Datenschutzerklärung

Die IHK-GfI mbH freut sich über Ihren Besuch auf dieser Webseite. Wir nehmen den Schutz Ihrer Daten ernst. Bitte lesen Sie unsere Datenschutzerklärung aufmerksam durch.

I. Name und Anschrift des Verantwortlichen

IHK Gesellschaft für Informationsverarbeitung mbH
Hörder Hafenstraße 5
44263 Dortmund
0231 9746-0
0231 9746-3800 (Fax)
info@gfi.ihk.de

II. Datenschutzbeauftragter

(Anschrift siehe oben)
E-Mail: datenschutz@gfi.ihk.de

III. Allgemeines zur Datenverarbeitung

Bei dem LUX-Berechtigungssystem (Verarbeitungstätigkeit) werden Daten verarbeitet, bei denen es sich auch um personenbezogene Daten handeln kann. Welche dies sind, für welche Zwecke diese verarbeitet werden und wie lange, stellen wir nachfolgend dar.

1. Beschreibung der Verarbeitungstätigkeit

Das LUX-Berechtigungssystem dient grundsätzlich als zentrale Anwendung für die Authentifizierung und Autorisierung von Endbenutzern in unterschiedlichen IHK-Anwendungen und umfasst zudem ein Berechtigungssystems für sog. Benutzer- und Unterbenutzerverwalter.
Das LUX-Berechtigungssystem stellt insbesondere das Single-Sign-On-System der IHK-Organisation für die digitalen IHK-Webfachverfahren dar. Das LUX-Berechtigungssystem ermöglicht es den Endnutzern, sich mit einem einzigen Nutzerkonto sicher an mehreren IHK-Webanwendungen anzumelden, ohne sich für jede Anwendung separat authentifizieren zu müssen.
Im Rahmen der Autorisierung werden Rollenzugehörigkeiten der Endbenutzer abgefragt.
In den Fällen, in denen ein Benutzer nicht nur einer Industrie- und Handelskammer (IHK) zugeordnet werden soll, sondern mehreren Kammern, ist eine Kammerzuordnung erforderlich und wird im Auftrag der IHK durch die IHK-GfI durchgeführt.

2. Authentifizierungsverfahren und Wiederherstellung des Zugangs

Das LUX-Berechtigungssystem unterstützt unterschiedliche Verfahren zur Authentifizierung von Endbenutzern:
a) Authentifizierung mittels Passwortes
Die Anmeldung erfolgt über eine Benutzerkennung in Verbindung mit einem von Endnutzer selbstgewählten Passwort. Das Passwort wird ausschließlich in gehashter Form gespeichert und unterliegt definierten Sicherheitsanforderungen (z. B. Mindestlänge, Zeichenvielfalt, Prüfung gegen bekannte schwache Passwörter). Zur Wiederherstellung des Zugangs stellt das LUX-Berechtigungssystem eine „Passwort vergessen?“-Funktion bereit. Hierbei wird nach Eingabe der Benutzerkennung oder E-Mail-Adresse ein einmalig nutzbarer, zeitlich begrenzter Link zur Zurücksetzung des Passworts erzeugt und an die hinterlegte E-Mail-Adresse versendet. Der Link enthält ein technisches Token, das ausschließlich der Identifikation des Zurücksetzungsvorgangs dient. Das Token wird nur für die Dauer der Gültigkeit des Zurücksetzungsvorgangs gespeichert und anschließend automatisch gelöscht. Zweck dieser Verarbeitung ist die sichere Wiederherstellung des Zugangs zum Benutzerkonto. Eine Verwendung der Daten zu anderen Zwecken erfolgt nicht.
b) Authentifizierung mittels Passkey
Alternativ kann die Anmeldung über einen sogenannten Passkey erfolgen. Dabei handelt es sich um ein kryptographisches Anmeldeverfahren, bei dem ein privater Schlüssel sicher auf der Endeinrichtung des Endnutzers gespeichert wird. Bei der Anmeldung wird lediglich ein kryptographischer Nachweis erbracht; ein Passwort wird nicht verarbeitet oder übertragen. Durch das Anklicken des Buttons „Anmelden mit Passkey“ wird der Anmeldeprozess an das Betriebssystem übergeben und dort vollständig ausgeführt.

3. Getrennte Verantwortlichkeit der IHK-GfI

Die IHK-GfI ist bei den IHK-Webanwendungen verantwortlich für die Portalseite (also bis zur Anmeldung). Ab Anmeldung des Nutzenden erfolgt die Verarbeitung durch die IHK-GfI als Auftragsverarbeiterin für die IHK; ab diesem Zeitpunkt ist die IHK Verantwortlich für die Verarbeitung der Daten. Bitte lesen Sie sich daher die dann zutreffende Datenschutzerklärung der für Sie zuständigen IHK durch.

IV. Durchführung des Registrierungsprozesses; Authentifizierungsverfahren; Wiederherstellung des Zugangs

Im Rahmen der Registrierung sowie des Authentifizierungsverfahrens und der Wiederherstellung des Zugangs verarbeiten wir die die nachfolgend genannten Arten und Kategorien von personenbezogenen Daten, um Ihnen ein Nutzerkonto bereitzustellen und Ihnen den Zugang zu den angebundenen Anwendungen zu ermöglichen:
  • Vorname
  • Nachname
  • E-Mail-Adresse
  • Geschlecht (optional)
  • Passwort
  • Benutzerkennung (Pflichtangabe) / alternativer Login (optional)
  • Fachliche Rolle / IHK Zuordnung
  • Letzter Login (Datum)
Ferner erheben und/oder verwenden wir im Rahmen des Authentifizierungsverfahrens und der Wiederherstellung des Zugangs die nachfolgend benannten Arten und Kategorien von personenbezogenen Daten zu dem Zweck, um die Verarbeitungstätigkeit durchführen zu können:
  • E-Mail-Adresse (Login/Kontakt für Passwort-Zurücksetzung)
  • Passwort
  • Benutzerkennung (Pflichtfeld)/alternativer Login (optional)

V. Verarbeitung beim Webserverbetrieb

Bei der informatorischen Nutzung des LUX-Berechtigungssystem-Portals, also der bloßen Betrachtung ohne eine Anmeldung und ohne, dass Sie uns anderweitig Informationen mitteilen, verarbeiten wir die personenbezogenen Daten, die Ihr Browser an unseren Server übermittelt. Die nachfolgend beschriebenen Daten sind für uns technisch erforderlich, um Ihnen unsere Website anzuzeigen und die Stabilität und Sicherheit zu gewährleisten und müssen daher von uns verarbeitet werden.
  • Informationen über den Browsertyp und die verwendete Version
  • Das Betriebssystem des Nutzers
  • Die IP-Adresse des Nutzers
  • Datum und Uhrzeit des Zugriffs
  • Websites, von denen das System des Nutzers auf unsere Internetseite gelangt

VI. Verwendung von Cookies

Cookies - einschließlich Storage-Objekten sowie XSRF-Token - sind kleine Textdateien, die im Browser des Endgeräts gespeichert werden, um Informationen für den Betrieb der Webanwendung bereitzuhalten. Sie haben die Möglichkeit, die Annahme von Cookies auf Ihrem Endgerät im Browser zu deaktivieren; sofern es sich um technisch erforderliche Informationen handelt, kann die Nutzung der Webanwendung damit ggf. nicht oder nur eingeschränkt möglich sein. Die Informationen können jederzeit von Ihnen im Browser gelöscht werden.
Es bestehen folgende (Session-) Cookies, Storage-Objekte oder XSRF-Token:
Bezeichnung der Information
Zweck

KEYCLOAK_SESSION
Verknüpft Browser mit aktiver SSO-Benutzersitzung
KEYCLOAK_SESSION_LEGACY
Abwärts-kompatibilität für ältere Browser
AUTH_SESSION_ID
Identifiziert eine laufende Authentifi-zierungs-Session (Login Flow)
AUTH_SESSION_ID_LEGACY
Legacy Variante für ältere Browser
KC_AUTH_SESSION_HASH
Integritätsprüfung der AUTH_SESSION_ID
KC_RESTART
Wiederaufnahme eines unter-brochenen Login-Flows
KC_AUTH_STATE
Technischer Status des Authentifizierungsprozesses
KC_START
Markiert Start eines Login Flows
KC_STATE_CHECKER
Same Site Workaround für ältere Browser
KEYCLOAK_LOCALE
Speichert die gewählte Sprache
XSRF-Token
Identifikation der Browser-Session sowie Schutz der Session vor Angriffen Dritter (XSRF-Token)
Der Zweck der Verwendung dieser gem. § 25 Abs. 2 Nr. 2 TDDDG technisch notwendigen Informationen ist es, die Nutzung des LUX-Berechtigungssystems zu ermöglichen. Die durch die Textdateien erhobenen Nutzerdaten werden nicht zur Erstellung von Nutzerprofilen verwendet.
Die Informationen enthalten keine personenbezogenen Daten

VII. Rechtsgrundlagen

Die Verarbeitung erfolgt, um die zuvor genannten Zwecke zu erfüllen. Die Rechtsgrundlage für die Verarbeitung ist Art. 6 Abs. 1 UAbs. 1 lit. f) DS-GVO. Das berechtigte Interesse folgt aus den oben aufgelisteten Zwecken (siehe III.), um den Endnutzern rechtegesteuerten Zugang zu den IHK-Webanwendungen zu ermöglichen (Vertragsdurchführung im Verhältnis zur jeweiligen IHK).
Die Verarbeitung im Rahmen der optional anzugebenden personenbezogenen Daten sowie des optionalen Log-In über eine Benutzerkennung (Passkey) erfolgt aufgrund einer zuvor bei Ihnen eingeholten Einwilligung gem. Art. 6 Abs. 1 UAbs. 1 lit. A) DS-GVO.
Wir behandeln alle personenbezogenen Daten vertraulich, können diese aber zudem an zur Berufsverschwiegenheit verpflichtete Berater, Behörden und/oder Gerichte weitergeben (Empfänger der personenbezogenen Daten).

VIII. Datenlöschung und Dauer der Speicherung

Die personenbezogenen Daten werden gelöscht oder gesperrt, sobald der Zweck der Speicherung entfällt. Benutzerverwalter der Industrie- und Handelskammern (IHK) können Benutzerkonten jederzeit löschen (d.h. ohne Archivierung der jeweiligen Daten), wenn der Benutzer keiner anderen IHK zugeordnet ist. Ist der Benutzer einer weiteren IHK zugeordnet, kann nur die fachliche Rolle/IHK Zuordnung gelöscht werden. Die Benutzerkonten werden zudem, nachdem sich der Benutzer 28 Monate lang nicht mehr angemeldet hat, deaktiviert.
Soweit nachfolgend keine ausdrückliche Speicherdauer angegeben wird, werden Ihre personenbezogenen Daten gelöscht oder gesperrt, sobald der Zweck oder die Rechtsgrundlage für die Speicherung entfällt.
Eine Speicherung kann jedoch über die angegebene Zeit hinaus im Falle einer (drohenden) Rechtsstreitigkeit mit Ihnen oder eines sonstigen rechtlichen Verfahrens erfolgen oder wenn die Speicherung durch gesetzliche Vorschriften, denen wir als Verantwortlicher unterliegen, vorgesehen ist. Wenn die durch die gesetzlichen Vorschriften vorgeschriebene Speicherfrist abläuft, erfolgt eine Sperrung oder Löschung der personenbezogenen Daten, es sei denn, dass eine weitere Speicherung erforderlich ist und dafür eine Rechtsgrundlage besteht.
Die oben dargestellten Cookies werden gelöscht:
  • Beim Schließen der Anwendung (Sitzungs-Cookies)

IX. Zusammenarbeit mit Auftragsverarbeitern als Empfänger

Wie bei jedem größeren Unternehmen, setzt auch die IHK-GfI zur Abwicklung des Geschäftsverkehrs auf Dienstleister ein. Diese werden nach unserer Weisung tätig und wurden i. S. v. Art. 28 DS-GVO vertraglich dazu verpflichtet, die datenschutzrechtlichen Bestimmungen einzuhalten.
Die personenbezogenen Daten werden im Rahmen der Verarbeitungstätigkeit den folgenden Auftragsverarbeitern als Empfängern offengelegt:
  • Webserverbetrieb: OVH, 2 Rue Kellermann – 59100 Roubaix – Frankreich

X. Rechte der betroffenen Person

Werden personenbezogene Daten von Ihnen verarbeitet, sind Sie Betroffener i. S. d. DS-GVO und es stehen Ihnen folgende Rechte gegenüber der IHK-GfI zu:
1. Auskunftsrecht
Sie können von uns eine Bestätigung darüber verlangen, ob und welche personenbezogenen Daten, die Sie betreffen, von uns verarbeitet werden.
2. Recht auf Berichtigung
Sie haben ein Recht auf Berichtigung und/oder Vervollständigung, sofern die verarbeiteten personenbezogenen Daten, die Sie betreffen, unrichtig oder unvollständig sind.
3. Recht auf Einschränkung der Verarbeitung
Unter den folgenden Voraussetzungen können Sie die Einschränkung der Verarbeitung der Sie betreffenden personenbezogenen Daten verlangen:
  • wenn Sie die Richtigkeit, der Sie betreffenden personenbezogenen für eine Dauer bestreiten, die es dem Verantwortlichen ermöglicht, die Richtigkeit der personenbezogenen Daten zu überprüfen;
  • die Verarbeitung unrechtmäßig ist und Sie die Löschung der personenbezogenen Daten ablehnen und stattdessen die Einschränkung der Nutzung der personenbezogenen Daten verlangen;
  • der Verantwortliche die personenbezogenen Daten für die Zwecke der Verarbeitung nicht länger benötigt, Sie diese jedoch zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen benötigen, oder
  • wenn Sie Widerspruch gegen die Verarbeitung gemäß Art. 21 Abs. 1 DS-GVO eingelegt haben und noch nicht feststeht, ob die berechtigten Gründe des Verantwortlichen gegenüber Ihren Gründen überwiegen.
4. Recht auf Löschung
Sie können verlangen, dass die Sie betreffenden personenbezogenen Daten unverzüglich gelöscht werden, sofern einer der folgenden Gründe zutrifft:
  • Die Sie betreffenden personenbezogenen Daten sind für die Zwecke, für die sie erhoben oder auf sonstige Weise verarbeitet wurden, nicht mehr notwendig.
  • Sie legen gem. Art. 21 Abs. 1 DS-GVO Widerspruch gegen die Verarbeitung ein und es liegen keine vorrangigen berechtigten Gründe für die Verarbeitung vor, oder Sie legen gem. Art. 21 Abs. 2 DS-GVO Widerspruch gegen die Verarbeitung ein.
  • Die Sie betreffenden personenbezogenen Daten wurden unrechtmäßig verarbeitet.
5. Widerrufsrecht
Sollten die personenbezogenen Daten aufgrund Ihrer Einwilligung verarbeitet worden sein, haben Sie das Recht, jederzeit mit Wirkung für die Zukunft die Einwilligung zu widerrufen.
Der Widerruf kann mündlich, per E-Mail an authorization-and-directoryservices@gfi.ihk.deoder schriftlich gegenüber der IHK-GfI erklärt werden.
Bitte beachten Sie, dass bei einem Widerruf die aufgrund einer Einwilligung verarbeiteten Daten nicht mehr bereitgestellt werden können. Ein Widerruf berührt nicht die Rechtmäßigkeit der aufgrund der Einwilligung bis zum Widerruf erfolgten Verarbeitung.
6. Recht auf Widerspruch

Sie haben das Recht, aus Gründen, die sich aus ihrer besonderen Situation ergeben, Widerspruch gegen die Verarbeitung Ihrer personenbezogenen Daten einzulegen, sofern diese Daten aufgrund eines berechtigten Interesses verarbeitet wurden. Die IHK-GfI verarbeitet die personenbezogenen Daten nicht mehr, es sei denn, sie kann zwingende schutzwürdige Gründe für die Verarbeitung nachweisen, die die Interessen, Rechte und Freiheiten von Ihnen überwiegen, oder die Verarbeitung dient der Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen.
7. Recht auf Datenübertragbarkeit
Sie haben das Recht, Ihre personenbezogenen Daten, die Sie uns bereitgestellt haben, in einem strukturierten, gängigen und maschinenlesbaren Format zu erhalten oder die Übermittlung an einen anderen Verantwortlichen zu verlangen.
8. Keine automatisierte Entscheidungsfindung/Profiling
Eine automatisierte Entscheidungsfindung einschließlich eines Profilings findet nicht statt.
9. Recht auf Beschwerde bei einer Aufsichtsbehörde
Wenn Sie meinen, dass im Umgang mit Ihren personenbezogenen Daten Ihre Rechte verletzt wurden, können Sie sich an die
Landesbeauftragte für Datenschutz und Informationsfreiheit Nordrhein-Westfalen
Kavalleriestr. 2-440213 Düsseldorf
Telefon: 0211/38424-0
Fax: 0211/38424-10
E-Mail: poststelle@ldi.nrw.de
wenden.