E-ZUSTELLUNGS- UND POSTSERVICE-RICHTLINIE
Offenlegung gem. Art. 13 DSGVO


Postserver bietet E-Zustellung und digitale Postservices über ein Webservice und als Integration.

Postserver achtet darauf, personenbezogene Daten in Einklang mit allen anwendbaren europäischen und österreichischen Rechtsvorschriften zu verarbeiten. Diese Seite beschreibt Art, Umfang, Zweck der Erhebung, Verwendung und Verarbeitung von personenbezogenen Daten im Rahmen des Postserver Kundenmanagments.

Verzeichnis E-Zustellung und digitale Postservices

ZWECK DER DATENVERARBEITUNG: E-Zustellung und digitale Postservices

KATEGORIEN EMPFÄNGER: Datenschutzbeauftragte, Fachkundiger Datenschutz-Mitarbeiter, Infrastrukturadministrator Tele2, Applikationsadministrator CPB, Applikationsadministrator kbprintcom, Mitarbeiter kbprintcom

KATEGORIEN BETROFFENE PERSONEN: Kunde

LÖSCHFRIST: Verbindungsdaten Zustellung ab Ende Vorgang 7 Jahre, Verbindungsdaten Zustellung ab Ende Dienst 3 Monate, Aufzeichnungen Zustellung ab Ende Vorgang 7 Jahre, Kernstammdaten Zustellung ab Ende Beziehung 5 Jahre, Inhaltsdaten E-Zustellung nicht abgeholt ab Ende Vorgang 3 Monate, Inhaltsdaten E-Zustellung nicht abgeholt ab Ende Dienst 3 Monate, Einladung ab Ende Vorgang 7 Tage

TECHNISCHE MAßNAHMEN ZUM SCHUTZ DER DATEN: Dedicated Server Systeme, sicherer Entsorgungsprozess, Backup Strategie, United Threat Management, automatische Updates (Firewall, Signaturen, CMS), Sicherung der aktuellen Firewall Konfiguration, Protokollierung, sicherer Umgang mit Sourcecode, Schutz vor Schadsoftware, Off-Site Backup, täglich inkrementelles Backup, Wöchentliche Full Backups, Getrenntes Accounting des Backuptraffics, Monitoring des Backups 24/7, Sicherer Entsorgungsprozess, Verwahrung von Backups in sicherer Umgebung, Verschlüsselung der Backups, Vier-Augen-Prinzip für Backup Wiederherstellung, Verschlüsselung Verzeichnis, In-House Software, Entwicklungs- und Testsysteme, mandantenfähige Software, Zugang nur über SSH-Tunnel, qualifizierte Authentifizierungsmethoden, Vertretungsvollmachten, Zertifikate, Absichern der Kommunikation (Druckstraße), Sichere Entsorgung gedruckter Daten, Druckmanagement, Closed-Loop-Verarbeitung

ORGANISATORISCHE MAßNAHMEN ZUM SCHUTZ DER DATEN: Login, Zugriffsbeschränkung nach Rolle, Schulungen, Awareness Kampagnen, Leitfaden zur Verwendung von Daten, Geheimhaltungs- und Verschwiegenheitsvereinbarungen, Secure Coding Guideline, Verzeichnis Verkehrssicherung Postserver, Verzeichnis Verkehrssicherung auf Systemebene, Controlling Druck, Anwendungs-, Netzwerk-, Sicherheitstests und -Audits

ZERTIFIZIERUNG: ISO Zertifizierung Druckstraße, Zertifizierung nach Zustellgesetz, Zertifizierung nach Rulebook WKÖ, PCI DSS Zertifizierung


Kontakt
Verantwortlicher

Alexander Mittag-Lenkheym
Postserver Onlinezustelldienst GmbH, Mariahilfer Straße 123, 1060 Wien, Österreich

Datenschutzbeauftragte

Der Datenschutzbeauftragte von Postserver ist Carola Zentara, CMO
E-Mail: datenschutz@postserver.com


Rechtsgrundlagen für die Verarbeitung

E-Zustellung und digitale Postservices

  • Zulassungsvoraussetzungen für Zustelldienste nach § 4, § 3 Abs. 1 Z 7 und Z 10 ZustDV
  • Behördliche E-Zustellung nach ZustG
    • Kommunikation zwischen Applikationen und Zustelldiensten zur Übergabe von Sendungen und zur Übermittlung von Zustellnachweisen nach ZUSEMSG i.S.v. ZustG
    • LDAP-Schema (Lightweight Directory Access Protocol-Schema) des Verzeichnisdienstes eines Zustelldienstes sowie die Abfragemöglichkeiten des Verzeichnisdienstes nach ZUSELDAP i.S.v. ZustG
    • Grundlagen und Prozessmodell der elektronischen Zustellung nach ZUSEMOD i.S.v. ZustG
    • Abläufe innerhalb eines Zustellservers nach ZUSESPEC i.S.v. ZustG
    • Grundlagen, Prozessmodell und Organisation der elektronischen Zustellungsverrechnung nach ZUSERECH i.S.v. ZustG
    • Abläufe innerhalb eines Zustellservers in Bezug auf den Zustellkopf nach ZUSEPUSH i.S.v. ZustG
    • Schnittstelle zwischen Zustellserver und Zustellkopf nach ZUSEKOPF i.S.v. ZustG
    • Abholung von Zustellungen über E-Mail Clients nach ZUSEMAIL i.S.v. ZustG
    • Nachweisliche Zusendung im Auftrag von Privaten nach ZUSEPRIV i.S.v. ZustG
  • Verständigung über eine E-Zustellung nach ZustFormV
  • Elektronische Identifizierung und Vertrauensdienste für elektronische Transaktionen im Binnenmarkt nach eIDAS Verordnung (EU) Nr. 910/2014
  • Regelungen zur Erleichterung des elektronischen Verkehrs mit öffentlichen Stellen nach e-GovG
  • Sichere elektronische Interaktion zwischen Bürgerinnen und Bürgern, Unternehmen und öffentlichen Verwaltungen nach SVG
  • Privatwirtschaftliche E-Zustellung nach Rulebook WKÖ

Aufbewahrungspflicht

  • 5 Jahre Aufbewahrungspflicht nach Punkt 11.2.3, Absatz 1 WKÖ-Rulebook System private E-Zustellung in Österreich, Version 1.2 2015
  • 7 Jahre Aufbewahrungspflicht nach Punkt 11.2.3, Absatz 2 WKÖ-Rulebook System private E-Zustellung in Österreich, Version 1.2 2015
  • 3 Monate Aufbewahrungspflicht nach Punkt 11.2.3, Absatz 3 WKÖ-Rulebook System private E-Zustellung in Österreich, Version 1.2 2015
  • 3 Monate Aufbewahrungspflicht nach Punkt 11.2.4 WKÖ-Rulebook System private E-Zustellung in Österreich, Version 1.2 2015
  • 7 Jahre Aufzeichnungs- und Aufbewahrungspflichten nach §§ 190, 212 UGB
  • Entfall des Rechts auf Löschung (Recht auf Vergessenwerden) nach Art. 17, Absatz 3 DSGVO

Zertifizierungen

Zertifizierung Druckstraße

ISO Zertifizierung
kbprintcom ist seit 1994 ISO 9001 zertifiziert und erfüllt alle diesbezüglichen externen und internen Kriterien.

Zertifizierung Postserver

Zertifizierung nach Zustellgesetz
Die Zulassung als behördlicher Zustelldienst beruht auf dem Zustellgesetz (ZustG), Zustelldiensteverordnung (ZustDV), Zustellformularverordnung (ZustFormV), Deregulierungsgesetz 2017 – Teil BKA, Datenschutzgesetz (DSG), EU-Datenschutzgrundverordnung (DSGVO), EU-Verordnung zur elektronische Identifizierung und Vertrauensdienste für elektronische Transaktionen im Binnenmarkt (eIDAS).
Das Bundesministerium für Digitales und Wirtschaftsstandort hat das EGIZ eGovernment Innovation Center damit beauftragt die Zertifizierung nach der durch das EGIZ entwickelten einheitlichen dualen Zustellspezifikation vorzunehmen.
Postserver wurde mit Bescheid vom 4. September 2012 als behördlicher Zustelldienst zugelassen.

Zertifizierung nach Rulebook der WKO
Die Zulassung als privatwirtschaftlicher Zustelldienst beruht auf dem Rulebook der WKO „System private E-Zustellung Österreich“.
Die Wirtschaftskammer Österreich hat den österreichische IT-Standardisierungs-Verein AUSTRIAPRO damit beauftragt, einen technischen Standard für die elektronische Zustellung eingeschriebener Briefe und Dokumente in Österreich zu entwickeln, der – im Gegensatz zur behördlichen E-Zustellung – sowohl von Unternehmen als auch Privatpersonen einfach und sicher untereinander genutzt werden kann.
Postserver wurde mit Vertrag vom 19. März 2010 als privatwirtschaftlicher Zustelldienst zugelassen.

Zertifizierung der PCI-Konformität

PCI DSS - Postserver
Die Postserver Zertifizierung der PCI-Konformität gemäß Payment Card Industry Data Security Standard erfolgte am 22. Mai 2018 und ist bis 21. Mai 2019 gültig.

PCI DSS - Wirecard
Die Wirecard Zertifizierung der PCI-Konformität gemäß Payment Card Industry Data Security Standard erfolgte am 22. Mai 2018 und ist bis 21. Mai 2019 gültig.


Personenbezogene Daten, die erfasst werden

Daten-Kategorie Datenart und Datenobjekte
Kundenstammdaten Person Ausprägung
  • ID
  • Zbpk
  • SourcePinType
  • edID (Postfach-ID)
  • Typ (natürliche o. juristische Person)
  • Logintyp (Vertrauensstufe I, II oder III)
  • Automatische Abholung aktiviert (ja oder nein)
  • Aktuelles Guthaben
  • Benutzter Speicherplatz
  • Username
  • Postfachtyp (natürliche o. juristische Person)
  • Commercialregno
  • Handynummer
  • Registrierungsdatum des Postfachs
  • Registrierungstyp
  • Firmenname / Vereinsname / Behördenname
Vertretung Ausprägung
  • Autorisierter Personen-Name
  • Start-Zeit
  • End-Zeit
  • ID
  • Berechtigungen (annehmen, löschen, antworten, weiterleiten)
  • Erlaubte Typen
  • Erlaubte Klassen
  • Erlaubte Mail-Boxen
  • Authorizer Person ID
  • Delegate Person ID
Aufzeichnungen Zustellung Login Ausprägung
  • Datum der Anmeldung
  • Anmeldeart (Vertrauensstufe I, II oder III)
  • ID
  • Person Typ
  • Zbpk
  • Client Info
  • Representive
E-Mail Ausprägung
  • Liste der E-Mail Adressen
Bankident Ausprägung
  • Datum angelegt
  • Status
  • Kommentar (Fehlermeldungen)
Verbindungsdaten Zustellung
  • Zustellung in
  • Zustellung out
Ausprägung
  • Status
  • Datum der Zustellung
  • Datum der Frist
  • Personen-Name
  • Subjekt
  • Empfänger-Key
  • Empfänger-Typ (natürliche o. juristische Person)
  • Doc-Typ
  • Sender
  • App-ID
  • MZS-ID
  • Provider
  • Archiv-Flag (ja oder nein)
  • Request-ID
  • Viewed (ja oder nein)
  • Protocol-Version
  • Vzbpk
  • Protocol-Typ (behördlich oder privatwirtschaftlich)
  • Document-Class
  • Document-Format
  • Sender-Key
  • Lock until
  • Channel
  • Channel-Profile
  • Sender-Reference
  • Receiver-Reference
  • Head-Token
  • Content-Due-Date
  • ERV Message
  • Geschäftszahl
  • Print-Parameter
  • Mailbox
  • Fetched via „automatische Abholung“
Benachrichtigung Ausprägung
  • ID
  • Benachrichtungstyp
  • ToDo (weitere Benachrichtung am)
  • Status
  • Datum erledigt
  • Anzahl

Daten-Kategorie Datenart und Datenobjekte
Inhaltsdaten Zustellung - Die Daten werden über die MOA-ZS Schnittstelle verschlüsselt übergeben und werden durch Postserver nicht verarbeitet.

Daten-Kategorie Datenart und Datenobjekte
Einladung Kontakt Einladung Ausprägung
  • E-Mail
  • Name

Fristen für die Löschung der erhobenen Daten

Verarbeitungs-Kategorie Löschklasse Löschroutine Startzeitpunkt Frist
Vertragswesen Verbindungsdaten Zustellung Aufbewahrungspflicht nach 11.2.3 Abs. 2 Rulebook WKO Ab Ende Vorgang 7 Jahre
Verbindungsdaten Zustellung Aufbewahrungspflicht nach 11.2.4 Rulebook WKO Ab Ende Dienst 3 Monate
Aufzeichnungen Zustellung Aufbewahrungspflicht nach 11.2.3 Abs. 2 Rulebook WKO Ab Ende Vorgang 7 Jahre
Kernstammdaten Zustellung Aufbewahrungspflicht nach 11.2.3 Abs. 1 Rulebook WKO Ab Ende Beziehung 5 Jahre
Zustellung Inhaltsdaten E-Zustellung nicht abgeholt Aufbewahrungspflicht nach 11.2.3 Abs. 3 Rulebook WKO Ab Ende Vorgang 3 Monate
Inhaltsdaten E-Zustellung nicht abgeholt Aufbewahrungspflicht nach 11.2.4 Rulebook WKO Ab Ende Dienst 3 Monate
Einladung Einladung Zur Nachverfolgung, ob eine Einladung angenommen wurde,
werden die Daten 7 Tage gespeichert und im Postfach angezeigt.
Ab Ende Vorgang 7 Tage

Kostenersatz

Verarbeitungs-Kategorie Datenbestand Kostenersatz
ergänzende Stammdaten aktueller Datenbestand unentgeltlich
archivierter Datenbestand Mindest-Kostenersatz: EUR 18,89