§ 1 Verantwortlicher 

Verantwortlicher im Sinne der EU Datenschutz-Grundverordnung (im Folgenden „DSGVO“) und weiterer Vorschriften über den Datenschutz ist die

S-Communication Services GmbH
(im Folgenden „Anbieter“)
Anschrift: Friedrichstraße 50, 10117 Berlin
Land: Deutschland
Telefon: +49 30 246 36-700
Telefax: +49 30 246 36-701
E-Mail: support@s-trust.de
Website: https://www.s-trust.de 

Die Sparkassen sind nicht Anbieter des S-Trust-Angebots, können im Rahmen von Provisionsmodellen ihren Kunden aber S-Trust-Vorteilsangebote unterbreiten.

§ 2 Begrifflichkeiten

Personenbezogene Daten sind Einzelangaben über persönliche oder sachliche Verhältnisse einer bestimmten oder bestimmbaren natürlichen Person (sog. „betroffene Person“, im Folgenden auch „Betroffener“ oder „Nutzer“). Dazu gehören, um nur einige Beispiele zu nennen, der Name, die E-Mail-Adresse oder die Telefonnummer sowie Daten über Interessen oder Website-Besuche, in Dokumenten enthaltene Informationen oder getätigte Online-Einkäufe, immer vorausgesetzt, dass diese Informationen mit einer Person wie eben dem Nutzern verbunden sind oder in Verbindung gebracht werden können. Anonymisierte Daten etwa weisen keinen Personenbezug mehr auf.

Website bezeichnet im Folgenden die Marketingseite www.s-trust.de , auf welcher Informationen rund um das Produkt S-Trust bereitgestellt werden.  

S-Trust App ist der Zugang zum S-Trust-Angebot. Sie ist als Smartphone App, Webversion, Desktop-Version und Browser Erweiterung erhältlich. Die Smartphone App ist in den üblichen Stores verfügbar. Die Desktop-Versionen, können von der Website heruntergeladen werden. Die Browser Erweiterungen stehen in den jeweiligen Stores der Browser zur Verfügung.  

§ 3 Allgemeines zur Datenverarbeitung

Der Anbieter verarbeitet personenbezogene Daten der Nutzer grundsätzlich nur, soweit dies zur Erbringung seiner Leistungen und etwaiger damit verbundener Nebenleistungen erforderlich ist. Der Anbieter hat auf Basis des gesetzlich geforderten risikoorientierten Ansatzes technische und organisatorische Maßnahmen umgesetzt, um personenbezogene Daten gegen zufällige oder vorsätzliche Manipulationen, gegen Verlust, Zerstörung oder den Zugriff Unberechtigter zu schützen. Die Sicherheitsmaßnahmen des Anbieters werden unter anderem entsprechend der technologischen Entwicklung fortlaufend kontrolliert und verbessert.

§ 4 Datenverarbeitung bei Erstellung und Löschung eines Kundenkontos

(1) Für die Anwendung S-Trust legt der Nutzer (Kunde) über die dafür angebotene Klickstrecke für sich selbst ein Nutzerkonto an. Das Nutzerkonto ist Voraussetzung für die sichere Verwaltung der in der Anwendung hinterlegten Dokumente und Passwörter des Nutzers.

(2) Durch die Erstellung des Nutzerkontos wird ein eigenes Rechtsverhältnis begründet, welches auch vertragliche Nebenpflichten und die Abrechnung von Provisionsmodellen umfasst. Die Daten werden gemäß Artikel 6 Absatz 1 Satz 1 Buchstabe b DSGVO verarbeitet. Bei der Einrichtung des Nutzerkontos verarbeitet der Anbieter für die Zwecke der Registrierung die E-Mail-Adresse des Nutzers, die von diesem gewählte Produktvariante, die IP-Adresse und den Zeitpunkt der Registrierung, sowie die für die Abrechnung von kostenpflichtigen S-Trust-Produktvarianten notwendigen Abrechnungsdaten in Abhängigkeit des gewählten Bezahlverfahrens (z. B. IBAN, Anschrift, Kreditkartennummer, CVV, Kartenablaufdatum). Die Zahlungsverkehrsdaten dürfen für Abrechnungszwecke an Payment Service Provider oder sonstige Zahlungsabwickler weitergereicht werden. Darüber hinaus verarbeitet der Anbieter Nutzungsdaten (Auslastung des Speichers für Dokumente und Passworttresor, Frequenz der Besuche).

(3) Für den Fall des Verlusts der Zugangsdaten, welche für eine Anmeldung zu dem jeweiligen S Trust-Account benötigt werden, erzeugt S-Trust einen nur dem Nutzer im Rahmen der Registrierung angezeigten und im Nutzerkonto abrufbaren Wiederherstellungs-Code. Dieser Code dient zur Wiederherstellung der Zugriffsberechtigung bei Verlust der Zugangsdaten und muss gut aufbewahrt werden. Im Falle eines Verlusts des Wiederherstellungs-Codes kann der Account nicht wiederhergestellt werden. Es wird hierfür auch kein Escrow-Verfahren im Sinne des Absatz 6 angeboten.

(4) Die während der Nutzung von S-Trust vom Nutzer in die Anwendung eingestellten Dokumente sind nach dem Stand der Technik verschlüsselt und zu keinem Zeitpunkt – weder für den Anbieter noch für die Sparkassen – einsehbar. Gleiches gilt für das Passwort, das der Nutzer für den sicheren Login benötigt.

(5) Der Nutzer hat die Möglichkeit, einzelne seiner Dokumente über die hierfür in der Anwendung zur Verfügung gestellte Funktionalität für andere Personen gezielt freizugeben und auf diese Weise zu teilen.

(6) Sollte der Anbieter aufgrund von Ansprüchen eines Erben, der Aufforderungen einer Strafverfolgungsbehörde oder in vergleichbaren Fällen zur Herausgabe von Dokumenten verpflichtet sein, ist er gemäß Artikel 6 Absatz 1 Satz 1 Buchstabe c DSGVO zur Verarbeitung der davon betroffenen Daten bzw. Account-Inhalte berechtigt. Dem Anbieter ist es aufgrund der bestehenden S-Trust-Schutzmaßnahmen technisch nicht möglich, eigenständig auf Dokumente im S-Trust-Safe zuzugreifen. Vielmehr kommt in den in Satz 1 genannten Fällen ein streng reglementiertes Key-Escrow-Verfahren zur Anwendung. Das Verfahren sieht vor, dass die Zugangsdaten, die für einen Zugriff und zur Entschlüsselung eines Accounts bei einem unabhängigen Dritten lagern, nur beim Vorliegen mehrerer Voraussetzungen und bei Akzeptanz aller involvierten Prüfstellen an den Anbieter ausgehändigt werden. Für staatliche Stellen sind keine Schlüssel hinterlegt. Erst nach Prüfung und Freigabe eines berechtigten Herausgabeverlangens werden die Zugangsdaten zur einmaligen Verwendung an den Anbieter übermittelt. Im Anschluss an diese Prüfstufe müssen sie von mehreren Personen im 6-Augen-Prinzip in einen speziell für diesen Zweck freigeschalteten Bereich der Anwendung eingegeben werden. Erst dann erfolgt der Zugriff auf den Inhalt eines Accounts. Die Zugangsdaten für das Verfahren werden unmittelbar nach der Verwendung vernichtet. Für die Fälle, dass ein Nutzer sein Passwort vergisst, wird dieses aufwendige Verfahren nicht angeboten.

(7) Alle Maßnahmen der Sicherheit, einschließlich der Verschlüsselung, sind nach dem Stand der Technik umgesetzt. Die Datenübertragung ist mit „https“ gesichert.

(8) Die personenbezogenen Daten werden bis zur Löschung des Nutzerkontos oder bis zu dem Zeitpunkt verarbeitet, in dem für den Anbieter ersichtlich ist, dass einer der sonstigen in Artikel 17 Absatz 1 DSGVO genannten Löschgründe vorliegt und insoweit einer Löschung der Daten keine der in Artikel 17 Absatz 3 DSGVO genannten Gründe, insbesondere gesetzliche Aufbewahrungspflichten oder die Verfolgung eigener Rechtsansprüche entgegenstehen. Die Löschung des Nutzerkontos kann der Nutzer innerhalb des S-Trust-Accounts beantragen (Kündigung). Alternativ kann er der Datenverarbeitung mit dem Widerrufsformular (siehe Anlage zu den AGB) widersprechen (Kündigung durch Beendigung der Datenverarbeitung).

(9) Der Nutzer ist verpflichtet, für die von ihm im S Trust-Safe abgelegten Dokumente die gesetzlichen Aufbewahrungsfristen (z. B. gemäß Steuerrecht, Handelsrecht, Gewerberecht, Sozialrecht) eigenständig einzuhalten und hat zu berücksichtigen, dass der Ausdruck digitaler Dokumente lediglich eine Kopie darstellt und gegebenenfalls rechtlich einem Original nicht gleichgestellt ist. Er hat, sofern erforderlich, Originale aufzubewahren.

(10) Bei der Kündigung von zahlungspflichtigen Zusatzleistungen über den auf der Website angebotenen Kündigungsbutton werden vom Nutzer zur Durchführung der Kündigung über ein Formular folgende Daten verarbeitet: Vorname, Nachname, E-Mail-Adresse, Abo, Vertragsende, Art der Kündigung, Kündigungsgrund. Die Daten werden zum Zwecke der Vertragserfüllung gemäß Artikel 6 Absatz 1 Satz 1 Buchstabe b DSGVO verarbeitet.

(11) Widerruf, Widerspruch und Ende der Verarbeitung: Zur Beendigung der Verarbeitung kann das Nutzerkonto gekündigt oder durch den Nutzer über die vorgesehene Möglichkeit im Account gelöscht werden. Die im Account vorhandenen Daten werden aus der Anwendung S-Trust unwiderruflich gelöscht. Die von den Nutzern für die Anmeldung verwendeten Namen oder E-Mail-Adressen werden im Zuge der Account-Löschung anonymisiert. Backups werden für die Dauer von 36 Monaten, Logdateien gemäß den handels- und steuerrechtlichen Vorgaben für die Dauer von 10 Jahren aufbewahrt.

§ 5 Datenverarbeitung für Zwecke der Information und Werbung

(1) Der Newsletter des Anbieters bietet Informationen zur Nutzung von S-Trust. Dies können beispielsweise Informationen über Produktupdates, das Erreichen der Speicherobergrenze, die sichere Vergabe von Passwörtern oder über eine längere Inaktivität des Nutzers sein. Diese Informationen erhalten Nutzer an ihre bei der Erstellung des S-Trust-Kontos hinterlegte E-Mail-Adresse nur, wenn sie der Verwendung der Adresse zu Zwecken der Werbung zuvor nicht widersprochen haben. Der Anbieter hat gemäß Artikel 6 Absatz 1 Satz 1 Buchstabe f DSGVO i. V. m. § 7 Absatz 3 UWG ein berechtigtes wirtschaftliches Interesse daran, dem Nutzer Informationen über die Nutzung von S-Trust zukommen zu lassen. Diesem berechtigten Interesse des Anbieter stehen keine überwiegenden Interessen des Nutzers entgegen, da die Informationen dem Nutzer die Accountverwaltung erleichtern, zur Sicherheit beitragen und sich auf das Produkt S-Trust beschränken.

(2) Der Nutzer kann der Versendung der in Absatz 1 genannten Newsletter jederzeit per E Mail bzw. über den am Ende einer jeden Newsletter-Mail enthaltenen Link widersprechen.

(3) Informationen über Änderungen der AGB, Änderungen der Datenschutzhinweise oder andere Pflichtinformationen versendet der Anbieter gemäß Art. 6 Abs. 1 Satz 1 Buchstabe c DSGVO. Dem Erhalt dieser Informationen kann aus rechtlichen Gründen nicht widersprochen werden.

§ 6 Datenverarbeitung bei Nutzung der Website

(1) Bei Nutzung der Website werden Daten zwischen dem Client (z. B. dem Browser des Nutzers) und dem Server (Website) ausgetauscht. Für die erforderliche Nachvollziehbarkeit der Kommunikation werden dabei sogenannte Log-Dateien angelegt (vgl. Absatz 2) und mit Hilfe von Google Analytics weitergehende Informationen gewonnen (vgl. § 8).

(2) Der Anbieter speichert in den in Absatz 1 genannten Log-Dateien die vollständige IP-Adresse der Clients für die Dauer von 30 Tagen. Mittels dieser Log-Dateien kann der Anbieter die Aktivitäten auf der Webseite nachvollziehen und so beispielsweise Fehler identifizieren oder Angriffe abwehren. Die Logfiles werden nicht zur regelmäßigen Auswertung des Nutzerverhaltens verwendet und nicht mit anderen Daten zusammengeführt. Die Daten werden aus Gründen der Vertragserfüllung gemäß Artikel 6 Absatz 1 Satz 1 Buchstabe b DSGVO und Informationssicherheit gemäß Artikel 6 Absatz 1 Satz 1 Buchstabe c DSGVO verarbeitet.

§ 7 Datenverarbeitung durch technisch notwendige Cookies

(1) Beim Besuch der Website und Nutzung der S-Trust App werden auf dem Rechner des Nutzers Cookies gesetzt. Cookies sind kleine Informationsdateien, die auf dem vom Nutzer verwendeten Endgerät abgelegt werden, insbesondere, um diese Informationen zu einem späteren Zeitpunkt wieder nutzen zu können.

(2) Bei jeder Nutzung werden zur Gewährleistung der Betriebsfähigkeit der Website die nachfolgenden Informationen in Cookies abgelegt: Log-In-Informationen (Session Cookies), damit die Option „Angemeldet-Bleiben“ genutzt werden kann und die Seiteninhalte in einer Weise angeboten werden können, die einem modernen Nutzungserlebnis entspricht sowie Cookies, welche die Sicherheit der Verbindung zum Server erhöhen. Rechtsgrundlage hierfür ist § 25 Abs. 2 Nr. 2 TTDSG.

(3) Cookies werden gemäß den darin hinterlegten Fälligkeitswerten vom Browser des Nutzers automatisiert gelöscht. Nutzer können die Funktionen des Browsers aber auch verwenden, um Cookies gezielt zu löschen.

§ 8 Google Analytics

Google Analytics ist ein Webanalysedienst der Google Ireland Ltd., Gordon House, Barrow Street, Dublin 4, Irland („Google“), die insoweit als unsere Auftragsverarbeiterin (Art. 28 DSGVO) tätig wird.

Google Analytics verwendet Cookies, die für statistische Zwecke eine Analyse der Benutzung dieser Website durch Sie ermöglichen. Dabei wird stets das Verhalten und die Eigenschaften des Browsers (Seitenaufrufe, Klicks auf Links, Anträge, Einstellungen des Browsers) gemessen. Von Ihnen gemachte Eingaben in Formulare oder andere konkrete Inhalte können nicht erfasst werden. In unserem Auftrag wird Google diese Informationen benutzen, um Reports über die Nutzung der Website zusammenzustellen, die der Reichweitenmessung dienen sowie personalisierte Werbeanzeigen ermöglichen.

Die durch Ihre Benutzung dieser Website erzeugten Informationen können auch an einen Server von Google in den USA übertragen und dort gespeichert werden. Im Rahmen der für diese Website aktivierten IP-Anonymisierung wird jedoch Ihre IP-Adresse von Google vor Speicherung gekürzt. Dadurch können die übermittelten Informationen nicht mehr über die IP-Adresse einer einzelnen Person zugeordnet werden.

Für die Gewährleistung des Datenschutzniveaus bei Verarbeitung in Drittländern (insbesondere auch den USA) hat unsere Dienstleisterin, die Google Ireland Ltd., mit ihren Unterauftragsverarbeitern (insbesondere der Google LLC) Standardvertragsklauseln vereinbart, die auf dem Modul 3 der von der Europäischen Kommission am 04.06.2021 verabschiedeten Standardvertragsklauseln für die Übermittlung personenbezogener Daten in Drittländer beruhen (https://business.safety.google/adsprocessorterms/sccs/eu-p2p-intra-group/) . Die im Rahmen von Google Analytics verarbeiteten und mit Cookies verknüpften Daten werden nach 26 Monaten automatisch gelöscht.

Rechtsgrundlage für die Datenverarbeitung ist Ihre Einwilligung gemäß Art. 6 Abs. 1 UAbs. 1 lit. a DSGVO bzw. § 25 Abs. 1 TTDSG.

§ 9 Datenverarbeitung aufgrund behördlicher oder gerichtlicher Anordnung oder zwingender Rechtspflichten

(1) Bevor der Anbieter Daten aufgrund einer behördlichen oder gerichtlichen Anordnung sowie zwingender Rechtspflichten offenlegt, prüft er mit besonderer Sorgfalt, ob die entsprechenden Anforderungen formal wie inhaltlich berechtigt sind.

(2) Rechtsgrundlage: Erfüllung einer rechtlichen Verpflichtung gemäß Artikel 6 Absatz 1 Satz 1 Buchstabe c DSGVO.

(3) Der Umstand der Offenlegung und die wesentlichen Begleitumstände werden zu Beweiszwecken gesondert protokolliert und bis zum Ablauf der diesbezüglichen Verjährungsfristen aufbewahrt, in der Regel für die Dauer von drei Jahren.

§ 10 Rechte betroffener Personen

(1) Werden personenbezogenen Daten verarbeitet, stehen dem Nutzer gegenüber dem Anbieter die in den Absätzen 2 bis 11 genannten Rechte zu.

(2) Nutzer können vom Anbieter eine Bestätigung darüber verlangen, ob personenbezogene Daten, die den Nutzer betreffen, vom Anbieter verarbeitet werden. Liegt eine solche Verarbeitung vor, können Nutzer vom Anbieter über die in Artikel 15 DSGVO genannten Informationen Auskunft verlangen.

(3) Nutzer haben gemäß Artikel 16 DSGVO ein Recht auf Berichtigung oder Vervollständigung ihrer Daten. Der Anbieter wird die Berichtigung unverzüglich vornehmen.

(4) Nutzer können vom Anbieter verlangen, dass die sie betreffenden personenbezogenen Daten unverzüglich gelöscht werden, und der Anbieter ist verpflichtet, diese Daten unverzüglich zu löschen, sofern einer der in Artikel 17 Absatz 1 DSGVO genannten Gründe zutrifft und keine der in Artikel 17 Absatz 3 DSGVO genannten Ausnahmen vorliegt.

(5) Unter den in Artikel 18 DSGVO genannten Voraussetzungen und soweit keine Ausnahme nach Artikel 17 Absatz 3 DSGVO vorliegt, können Nutzer die Einschränkung der Verarbeitung der sie betreffenden personenbezogenen Daten verlangen. Wurde die Verarbeitung der einen Nutzer betreffenden personenbezogenen Daten eingeschränkt, dürfen diese Daten – von ihrer Speicherung abgesehen – nur mit der Einwilligung des Nutzers oder zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen oder zum Schutz der Rechte einer anderen natürlichen oder juristischen Person oder aus Gründen eines wichtigen öffentlichen Interesses der Union oder eines Mitgliedstaats verarbeitet werden. Wurde die Verarbeitung nach den o.g. Voraussetzungen eingeschränkt, wird der Nutzer vom Anbieter unterrichtet, bevor die Einschränkung aufgehoben wird.

(6) Hat der Anbieter die den Nutzer betreffenden personenbezogenen Daten öffentlich gemacht und ist er gemäß Artikel 17 Absatz 1 DSGVO zu deren Löschung verpflichtet, so trifft er unter Berücksichtigung der verfügbaren Technologie und der Implementierungskosten angemessene Maßnahmen, auch technischer Art, um für die Datenverarbeitung Verantwortliche, die die personenbezogenen Daten verarbeiten, darüber zu informieren, dass der Nutzer als betroffene Person vom Anbieter die Löschung aller Links zu diesen personenbezogenen Daten oder von Kopien oder Replikationen dieser personenbezogenen Daten verlangt hat.

(7) Haben Nutzer das Recht auf Berichtigung, Löschung oder Einschränkung der Verarbeitung gegenüber dem Anbieter geltend gemacht, ist dieser verpflichtet, allen Empfängern, denen die die Nutzer betreffenden personenbezogenen Daten offengelegt wurden, diese Berichtigung oder Löschung der Daten oder Einschränkung der Verarbeitung mitzuteilen, es sei denn, dies erweist sich als unmöglich oder ist mit einem unverhältnismäßigen Aufwand verbunden. Nutzern steht gegenüber dem Anbieter das Recht zu, über diese Empfänger unterrichtet zu werden.

(8) Nutzer haben das Recht, die sie betreffenden personenbezogenen Daten, die sie dem Anbieter bereitgestellt haben, in einem strukturierten, gängigen und maschinenlesbaren Format zu erhalten. Außerdem haben Nutzer das Recht, diese Daten einem anderen Verantwortlichen ohne Behinderung durch den Anbieter zu übermitteln, sofern die Voraussetzungen aus Artikel 20 Absatz 1 Buchstaben a und b DSGVO gegeben sind. In Ausübung dieses Rechts haben Nutzer ferner das Recht, zu erwirken, dass die die Nutzer betreffenden personenbezogenen Daten direkt vom Anbieter einem anderen Verantwortlichen übermittelt werden, soweit dies technisch machbar ist. Freiheiten und Rechte anderer Personen dürfen hierdurch nicht beeinträchtigt werden. Das Recht auf Datenübertragbarkeit gilt nicht für eine Verarbeitung personenbezogener Daten, die für die Wahrnehmung einer Aufgabe erforderlich ist, die im öffentlichen Interesse liegt oder in Ausübung öffentlicher Gewalt erfolgt, die dem Anbieter übertragen wurde.

(9) Widerspruchsrecht: Nutzer haben gemäß Artikel 21 DSGVO das Recht, aus Gründen, die sich aus ihrer besonderen Situation ergeben, jederzeit gegen die Verarbeitung der sie betreffenden personenbezogenen Daten, die aufgrund von Artikel 6 Absatz 1 Satz 1 Buchstabe e oder f DSGVO erfolgt, Widerspruch einzulegen. Der Anbieter verarbeitet die die Nutzer betreffenden personenbezogenen Daten dann nicht mehr, es sei denn, er kann zwingende schutzwürdige Gründe für die Verarbeitung nachweisen, die die Interessen, Rechte und Freiheiten der Nutzer überwiegen, oder die Verarbeitung dient der Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen. Werden die, die Nutzer betreffenden personenbezogenen Daten verarbeitet, um Direktwerbung zu betreiben, haben Nutzer das Recht, jederzeit Widerspruch gegen die Verarbeitung der sie betreffenden personenbezogenen Daten zum Zwecke derartiger Werbung einzulegen. Widersprechen Nutzer der Verarbeitung für Zwecke der Direktwerbung, so werden die sie betreffenden personenbezogenen Daten nicht mehr für diese Zwecke verarbeitet. Nutzer haben die Möglichkeit, im Zusammenhang mit der Nutzung von Diensten der Informationsgesellschaft ungeachtet der Richtlinie 2002/58/EG ihr Widerspruchsrecht mittels automatisierter Verfahren auszuüben, bei denen technische Spezifikationen verwendet werden.

(10) Widerruf der Einwilligung: Nutzer haben gemäß Artikel 5 Absatz 3 Satz 1 DSGVO das Recht, ihre datenschutzrechtliche Einwilligungserklärung jederzeit zu widerrufen. Durch den Widerruf der Einwilligung wird die Rechtmäßigkeit der aufgrund der Einwilligung bis zum Widerruf erfolgten Verarbeitung nicht berührt.

(11) Unbeschadet eines anderweitigen verwaltungsrechtlichen oder gerichtlichen Rechtsbehelfs steht Nutzern das Recht auf Beschwerde bei einer Aufsichtsbehörde, insbesondere in dem Mitgliedstaat ihres Aufenthaltsorts, ihres Arbeitsplatzes oder des Orts des mutmaßlichen Verstoßes, zu, wenn sie der Ansicht sind, dass die Verarbeitung der Sie betreffenden personenbezogenen Daten gegen die DSGVO verstößt. Die Aufsichtsbehörde, bei der die Beschwerde eingereicht wurde, unterrichtet den Beschwerdeführer über den Stand und die Ergebnisse der Beschwerde einschließlich der Möglichkeit eines gerichtlichen Rechtsbehelfs nach Artikel 78 DSGVO.

§ 11 Betrieblicher Datenschutzbeauftragter

Betrieblicher Datenschutzbeauftragter ist Herr Jochen Weller bei der Deutscher Sparkassen Verlag GmbH (Am Wallgraben 115, 70565 Stuttgart, Telefon: +49 711 782-21151). Sie erreichen das Team für Datenschutz und Informationssicherheit über unser hierfür zur Verfügung gestelltes Webformular .