1. Wer ist für die Datenverarbeitung verantwortlich und an wen können Sie sich wenden?
Kommunalkredit Austria AG
Türkenstraße 9 | 1090 Wien | Österreich
T +43 1 31631 | F +43 1 31631-105
@ info-NOSPAM-kommunalkredit.at
W www.kommunalkredit.at
Der Datenschutzbeauftragte ist erreichbar unter:
@ datenschutz-NOSPAM-kommunalkredit.at
Türkenstraße 9 | 1090 Wien | Österreich
T +43 1 533 4795-0
2. Welche Daten werden verarbeitet und aus welchen Quellen stammen diese Daten?
Wir verarbeiten die personenbezogenen Daten, die wir im Rahmen der Geschäftsbeziehung oder als Interessent unserer Produkte und Dienstleistungen (z.B. im Rahmen von Gewinnspielen, Veranstaltungen) von Ihnen erhalten. Insbesondere erhalten wir personenbezogene Daten von Ihnen, wenn Sie sich für unsere Produkte interessieren, Anträge einreichen, Online-Eröffnungsstrecken ausfüllen, sich für unsere Online-Dienste registrieren oder sich per E-Mail oder Telefon an uns wenden oder wenn Sie bei aufrechter Geschäftsbeziehung unsere Produkte und Dienstleistungen nutzen. Zudem verarbeiten wir Daten, die wir von Auskunfteien, Schuldnerverzeichnissen und aus öffentlich zugänglichen Quellen (z. B. Firmenbuch, Vereinsregister, Grundbuch, Medien) zulässigerweise erhalten haben.
Zu den personenbezogenen Daten zählen Ihre Personalien (Name, Adresse, Kontaktdaten, Geburtsdatum und -ort, Staatsangehörigkeit, berufliche Angaben etc.), Legitimationsdaten (z.B. Ausweisdaten, Melde- und Zustelladresse, Lichtbildausweis) und Authentifikationsdaten (z.B. Unterschriftsprobe). Darüber hinaus können darunter auch die Berufsgruppe und Branche, Kunden-ID, Auftragsdaten (z.B. Zahlungsaufträge), Daten aus der Erfüllung unserer vertraglichen Verpflichtung (z.B. Umsatzdaten), Informationen über Ihren Finanzstatus (z. B. Bonitätsdaten, Scoring- bzw. Ratingdaten, Angaben zur Steuerpflicht bzw. steuerlichen Ansässigkeit, Kontodaten, Art und Herkunft der Gelder etc.), Werbe- und Vertriebsdaten, Dokumentationsdaten, Registerdaten, Bild- und Videoaufzeichnungen, Telefonaufzeichnungen (z.B. Telefonnummer, Gesprächsdauer, Datum und Uhrzeit des Gespräches), Informationen aus Ihrem elektronischen Verkehr gegenüber der Bank (z.B. Apps, Cookies etc.), Verarbeitungsergebnisse, die die Bank selbst generiert, sowie Daten zur Erfüllung gesetzlicher und regulatorischer Anforderungen sein.
3. Für welche Zwecke und auf welcher Rechtsgrundlage werden die Daten verarbeitet?
3.1. Zur Erfüllung von vertraglichen Pflichten (Art. 6 Abs. 1 lit. b DSGVO)
Die Verarbeitung personenbezogener Daten (Art. 4 Abs. 1 sowie Abs. 2 DSGVO) erfolgt zur Erbringung und Vermittlung von Bankgeschäften, Finanzdienstleistungen, insbesondere zur Durchführung unserer Verträge mit Ihnen und der Ausführung Ihrer Aufträge sowie aller mit dem Betrieb und der Verwaltung eines Kredit- und Finanzdienstleistungsinstituts erforderlichen Tätigkeiten. Die Zwecke der Datenverarbeitung richten sich in erster Linie nach dem konkreten Produkt und können u. a. Bedarfsanalysen, Beratung sowie die Durchführung von Transaktionen umfassen. Diese Datenverarbeitung dient lediglich der Erfüllung der Verträge im Rahmen der Geschäftsbeziehung mit dem Kunden (Art 6 Abs 1 lit b DSGVO) sowie in den meisten Fällen auch der Einhaltung der rechtlichen Verpflichtungen der Bank (Art 6 Abs 1 lit c DSGVO; siehe Pkt 3.2).
3.2. Zur Erfüllung rechtlicher Verpflichtungen (Art. 6 Abs. 1 lit. c DSGVO)
Eine Verarbeitung personenbezogener Daten kann zum Zweck der Erfüllung unterschiedlicher gesetzlicher Verpflichtungen (z.B. aus dem Bankwesengesetz (BWG), Finanzmarkt-Geldwäschegesetz (FM-GwG), Wertpapieraufsichtsgesetz (WAG 2018), Börsegesetz etc.) sowie aufsichtsrechtlicher Vorgaben (z.B. der Europäischen Zentralbank, der Europäischen Bankenaufsicht, der Österreichischen Finanzmarktaufsicht, bzw. der Deutschen Bundesbank und der Bundesanstalt für Finanzdienstleistungen etc.), welchen die Bank als österreichisches Kreditinstitut unterliegt, erforderlich sein.
Beispiele für solche Fälle sind:
Meldungen an die Geldwäschemeldestelle in bestimmten Verdachtsfällen aufgrund bestehender gesetzlicher Verpflichtungen (§ 16 FM-GwG);
Auskunftserteilung an die FMA nach dem WAG 2018 und dem BörseG, z. B. um die Einhaltung der Bestimmungen über den Marktmissbrauch von Insiderinformationen zu überwachen;
Auskunftserteilung an Finanzstrafbehörden im Rahmen eines Finanzstrafverfahrens wegen eines vorsätzlichen Finanzvergehens;
Auskunftserteilung an Abgabenbehörden aufgrund bestehender gesetzlicher Verpflichtungen (z.B. gemäß § 8 des Kontenregister- und Konteneinschaugesetzes).
3.3. Im Rahmen Ihrer Einwilligung (Art. 6 Abs. 1 lit. a DSGVO):
Wenn Sie uns eine Einwilligung zur Verarbeitung Ihrer personenbezogenen Daten erteilt haben, erfolgt eine Verarbeitung nur gemäß den in der Zustimmungserklärung festgelegten Zwecken und im darin vereinbarten Umfang. So holt die Bank beispielsweise im Rahmen des Business Marketing bei der Durchführung von elektronischen oder telefonischen Direktmarketingmaßnahmen im Zusammenhang mit Bankprodukten der Bank, bei der Setzung von Cookies, die nicht technisch zwingend notwendig sind etc. eine Einwilligung ein. Eine erteilte Einwilligung kann jederzeit mit Wirkung für die Zukunft widerrufen werden (z.B. per E-Mail an die Bank).
3.4. Zur Wahrung berechtigter Interessen (Art. 6 Abs. 1 lit. f DSGVO):
Soweit erforderlich kann im Rahmen von Interessenabwägungen zugunsten der Bank oder eines Dritten eine Datenverarbeitung über die eigentliche Erfüllung des Vertrags hinaus zur Wahrung berechtigter Interessen von uns oder Dritten erfolgen. In den folgenden Fällen erfolgt z.B. eine Datenverarbeitung zur Wahrung berechtigter Interessen:
Risikobeurteilung, Ausgleich der von uns übernommenen Risiken und Sicherstellung der Erfüllung Ihrer Ansprüche;
Konsultation von und Datenaustausch mit Auskunfteien und Ihrer kontoführenden Bank zur Ermittlung von Bonitäts- bzw. Ausfallrisiken;
Prüfung und Optimierung von Verfahren zur Bedarfsanalyse und direkter Kundenansprache;
Werbung oder Markt- und Meinungsforschung, soweit Sie der Nutzung Ihrer Daten nicht nach Art. 21 DSGVO widersprochen haben und keine Einwilligung hierfür erforderlich ist;
Business Marketing (wobei die elektronische und telefonische Kontaktaufnahme nur auf Basis Ihrer Einwilligung erfolgt) und Veranstaltungsmanagement, sofern als Ergebnis einer Interessenabwägung die jeweiligen Marktforschungs- oder Direktmarketingaktivitäten als eine einem berechtigten Interesse dienende Verarbeitung betrachtet werden kann. Ansonsten werden wir Ihre Daten für diese Zwecke nur mit Ihrer gesonderten und jederzeit widerrufbaren Einwilligung verwenden;
„Compliance“. Darunter ist die Konformität mit gesetzlichen und anderen Anforderungen, wie etwa ESt- und Sozialversicherungsabzüge, Aufzeichnungs-/Berichtsverpflichtungen, Audits, Konformität mit Überprüfungen durch Regierung/Behörden, Reaktion auf Rechtsprozesse, Verfolgung gesetzlicher Rechte/Abhilfen, Verteidigung bei Rechtsstreitigkeiten, Verwaltung interner Beschwerden/Ansprüche, Untersuchungen und konformes Verhalten mit Strategien/Verfahrensweisen zu verstehen;
Zutrittsberechtigung und Videoüberwachungen - nähere Informationen dazu finden Sie direkt bei uns beim Empfang;
Planung, Durchführung und Dokumentation interner Revisionsmaßnahmen, des Business Continuity Managements sowie forensischer Analysen zur Sicherstellung kontinuierlicher Verbesserung unserer Geschäftsprozesse und Erfüllung der aufsichtsrechtlichen Verpflichtungen (wobei dies z.T. auch im Rahmen der Vertragserfüllung geschieht);
Die Gewährleistung der IT Sicherheit und des IT Betriebs, Durchführung von Belastungstests, Entwicklung von neuen sowie Adaptierung der bestehenden Produkte und Systeme, Migration von Daten zur Sicherstellung der Tragfähigkeit und Integrität der Systeme und damit im weiteren Sinn auch der verarbeiteten Daten, soweit dies nicht bereits gesetzlich verpflichtend iSd § 39 BWG ist. Dabei werden die angegebenen personenbezogenen Daten vorwiegend für Tests verwendet, wo dies nicht mit vertretbarem wirtschaftlichem Aufwand auf Basis von anonymen Daten erfolgen kann, wobei die Datensicherheit gemäß Art 32 DSGVO selbstverständlich durchgehend gewährleistet ist; Zur Gewährleistung der IT-Sicherheit werden insb bei einem fehlgeschlagenen Login-Versuch im Kommunalkredit Direkt Online Portal „IP + Zeitstempel + Anzahl der Fehlversuche“ in ein Log-File geschrieben und bis zu einem Monat lokal gespeichert, um potenzielle Cyber-Angriffe zu identifizieren;
Maßnahmen zur Geschäftssteuerung und Weiterentwicklung von Dienstleistungen und Produkten.
Darüberhinausgehende personenbezogene Daten erhebt und verarbeitet die Bank ausschließlich mit Einwilligung des Kunden (etwa zum Versand von Newslettern) und im dafür erforderlichen Ausmaß. Eine solche Einwilligung kann der Kunde jederzeit mit Wirkung für die Zukunft widerrufen, z.B. per E-Mail an datenschutz-NOSPAM-kommunalkredit.at
3.5. Datenübermittlung in ein Drittland oder an eine internationale Organisation
Eine Datenübermittlung in Länder außerhalb der EU bzw. des EWR (sog. Drittländer) findet nur statt, wenn dies zur Ausführung Ihrer Aufträge erforderlich und gesetzlich vorgeschrieben ist, Sie uns eine Einwilligung erteilt haben oder im Rahmen einer Auftragsdatenverarbeitung. Werden Dienstleister im Drittland eingesetzt, sind diese zur Einhaltung des europäischen Datenschutzniveaus verpflichtet.
3.6. Gibt es eine automatisierte Entscheidungsfindung einschließlich Profiling?
Die Bank nutzt bzw. verarbeitet personenbezogene Daten des Kunden im Rahmen der Geldwäscheprüfung automatisiert mit dem Ziel, bestimmte persönliche Aspekte zu bewerten (Profiling). Dies aufgrund ihrer gesetzlichen und regulatorischen Vorgaben zur Bekämpfung von Geldwäsche und Terrorismusfinanzierung. Dabei werden folgende Daten erhoben und im Rahmen des Profiling verarbeitet:
Name, Geburtsdatum, Geburtsort, Wohnanschrift, Staatsbürgerschaft, Art des Ausweises, Nummer des Ausweises, Ausstellung des Ausweises, Erreichbarkeit, Bankverbindung/Kontounterlagen, Einstufung als „Politically exposed Person", Geschäft auf eigene/fremde Rechnung, Grund der Meldung, Rechtsgrundlage der Meldung, Geschäftsfall/Transaktion, Art und Datum des Geschäftes/Transaktion, Währung, Betrag, Aktueller Saldo, Begründung/Sachverhalt, Unterlagen in diesem Zusammenhang.
Diese Maßnahmen dienen zugleich auch dem Schutz des Kunden.
4. Kundeninformation zur Datenverarbeitung gem. Finanzmarkt-Geldwäschegesetz (FM-GwG)
Die Kommunalkredit Austria AG ist durch das Finanzmarkt-Geldwäschegesetz (FM-GwG) im Rahmen ihrer Sorgfaltspflichten zur Verhinderung von Geldwäscherei und Terrorismusfinanzierung dazu verpflichtet, von ihren Kunden bei Begründung der Geschäftsbeziehung oder anlässlich einer gelegentlichen Transaktion bestimmte Dokumente und Informationen einzuholen und aufzubewahren.
Die Kommunalkredit Austria AG hat in diesem Zusammenhang gemäß FM-GwG u. a. die Identität von Kunden, wirtschaftlichen Eigentümern von Kunden oder allfälligen Treugebern des Kunden festzustellen und zu prüfen, den vom Kunden verfolgten Zweck und die vom Kunden angestrebte Art der Geschäftsbeziehung zu bewerten, Informationen über die Herkunft der eingesetzten Mittel einzuholen und zu prüfen sowie die Geschäftsbeziehung und die in ihrem Rahmen durchgeführten Transaktionen kontinuierlich zu überwachen. Die Kreditinstitute haben insbesondere Kopien der erhaltenen Dokumente und Informationen, die für die Erfüllung der beschriebenen Sorgfaltspflichten erforderlich sind, sowie die Transaktionsbelege und -aufzeichnungen aufzubewahren.
Das FM-GwG räumt den Kreditinstituten die gesetzliche Ermächtigung zur Verwendung der genannten Daten der Kunden im Rahmen der Ausübung der Sorgfaltspflichten zur Verhinderung von Geldwäscherei und Terrorismusfinanzierung ein, zu denen das Institut gesetzlich verpflichtet ist und die dem öffentlichen Interesse dienen. Die Datenverarbeitungen im Rahmen der beschriebenen Sorgfaltspflichten beruhen auf einer gesetzlichen Verpflichtung der Bank. Ein Widerspruch des Kunden gegen diese Datenverarbeitungen darf daher von der Bank (Art 6 Abs 1 lit c DSGVO) nicht beachtet werden.
Das Kreditinstitut hat alle personenbezogenen Daten, die es ausschließlich auf der Grundlage des FM-GwG für die Zwecke der Verhinderung von Geldwäscherei und Terrorismusfinanzierung verarbeitet bzw. gespeichert hat, nach Ablauf einer Aufbewahrungsfrist von 5 Jahren ab Beendigung der Geschäftsbeziehung zu löschen, es sei denn, Vorschriften anderer Bundesgesetze erfordern oder berechtigen zu einer längeren Aufbewahrungsfrist oder die Finanzmarktaufsicht hat längere Aufbewahrungsfristen durch Verordnung festgelegt.
Personenbezogene Daten, die vom Kreditinstitut ausschließlich auf der Grundlage des FM-GwG für die Zwecke der Verhinderung von Geldwäscherei und Terrorismusfinanzierung verarbeitet werden, werden nicht in einer Weise weiterverarbeitet, die mit diesen Zwecken unvereinbar ist. Diese personenbezogenen Daten werden daher insbesondere nicht für andere Zwecke, wie beispielsweise für kommerzielle Zwecke, verarbeitet.
5. Wer erhält meine Daten?
Innerhalb der Bank erhalten diejenigen Stellen bzw. MitarbeiterInnen Ihre Daten, die diese zur Erfüllung der vertraglichen, gesetzlichen und aufsichtsrechtlichen Pflichten sowie berechtigten Interessen benötigen. Darüber hinaus erhalten von uns folgende beauftragte Auftragsverarbeiter Ihre Daten, die die Bank bei der Erbringung ihrer Leistungen unterstützen:
Backoffice-Dienstleister, IT-Dienstleister und/oder Anbieter von Datenhosting-Lösungen oder ähnlichen Diensten;
sonstige Dienstleister, Anbieter von Tools und Softwarelösungen, die die Bank ebenfalls bei der Erbringung ihrer Leistungen unterstützen und im Auftrag der Bank tätig werden (inkl. Anbieter von Marketingtools, Marketingagenturen, Kommunikationsdienstleister, Versanddienstleister und Callcenter).
Alle Auftragsverarbeiter verarbeiten die Daten der Kunden nur in unserem Auftrag und auf Basis der Weisungen der Bank.
Außerdem übermittelt die Bank die personenbezogenen Daten des Kunden im erforderlichen Ausmaß an folgende Empfänger (Verantwortliche):
etwaige an der Leistungserbringung an den Kunden mitwirkende Dritte zur Erfüllung der vertraglichen Verpflichtungen der Bank (z.B. Vertriebspartner);
externe Dritte im erforderlichen Ausmaß auf Basis berechtigter Interessen der Bank (z.B. Wirtschaftsprüfer und Steuerberater, Versicherungen im Versicherungsfall, Rechtsvertreter im Anlassfall);
Behörden und sonstige öffentliche Stellen im gesetzlich verpflichtenden Ausmaß (z.B. Finanzbehörden).
Sämtliche Auftragsverarbeiter und Verantwortliche sind vertraglich entsprechend dazu verpflichtet, Ihre Daten vertraulich zu behandeln und nur im Rahmen der Leistungserbringung zu verarbeiten.
Im Hinblick auf eine Datenweitergabe an sonstige Dritte möchten wir darauf hinweisen, dass wir als österreichisches Kreditinstitut zur Einhaltung des Bankgeheimnisses gemäß § 38 BWG und daher zur Verschwiegenheit über sämtliche kundenbezogene Informationen und Tatsachen verpflichtet sind, die uns aufgrund der Geschäftsbeziehung anvertraut oder zugänglich gemacht worden sind. Wir dürfen Ihre personenbezogenen Daten daher nur weitergeben, wenn Sie uns hierzu vorab schriftlich und ausdrücklich vom Bankgeheimnis entbunden haben oder wir gesetzlich bzw. aufsichtsrechtlich dazu verpflichtet oder ermächtigt sind. Empfänger personenbezogener Daten können in diesem Zusammenhang andere Kredit- und Finanzinstitute oder vergleichbare Einrichtungen sein, an die wir zur Durchführung der Geschäftsbeziehung mit Ihnen Daten übermitteln.
6. Wie lange werden meine Daten gespeichert?
Wir speichern Ihre personenbezogenen Daten, soweit erforderlich, für die Dauer der gesamten Geschäftsbeziehung [von der (vorvertraglichen) Anbahnung, Abwicklung bis zur Beendigung eines Vertrags] bzw. so lange dies für die Erreichung des/der oben dargestellten Zwecks/Zwecke notwendig ist und darüber hinaus gemäß den gesetzlichen Aufbewahrungs- und Dokumentationspflichten, die sich u. a. aus dem Unternehmensgesetzbuch (UGB) bzw. dem Handelsgesetzbuch (HGB Deutschland), der Bundesabgabenordnung (BAO) bzw. der Abgabenordnung (AO Deutschland), dem Bankwesengesetz (BWG), dem Finanzmarkt-Geldwäschegesetz (FM-GwG) bzw. Geldwäschegesetz (GwG Deutschland) und dem Wertpapieraufsichtsgesetz (WAG 2018) bzw. dem Wertpapierhandelsgesetz (WpHG Deutschland) ergeben (in der Regel 7 Jahre, teilweise aber auch 10 Jahre).
Außerdem speichert die Bank die personenbezogenen Daten des Kunden im Anlassfall auch über die genannten Fristen hinaus, solange Rechtsansprüche aus dem Verhältnis zwischen dem Kunden und der Bank geltend gemacht werden können bzw. bis zur endgültigen Klärung eines konkreten Vorfalls oder Rechtstreits. Diese längere Aufbewahrung erfolgt zur Wahrung der berechtigten Interessen der Bank an der Geltendmachung, Aufklärung und Verteidigung von Rechtsansprüchen.
7. Welche Datenschutzrechte stehen mir zu?
Sie haben jederzeit ein Recht auf Auskunft, Berichtigung, Löschung oder Einschränkung der Verarbeitung Ihrer gespeicherten Daten, ein Widerspruchsrecht gegen die Verarbeitung sowie ein Recht auf Datenübertragbarkeit gemäß den Voraussetzungen des Datenschutzrechts (siehe dazu Art. 15 ff DSGVO). Bei datenschutzrechtlichen Fragen kann sich der Kunde gerne an die Bank oder den Datenschutzbeauftragten wenden.
Außerdem kann der Kunde eine einmal erteilte Einwilligung jederzeit und ohne Grund widerrufen, um die Weiterverwendung seiner personenbezogenen Daten, die auf Grundlage einer Einwilligungserklärung erhoben und verwendet wurden, zu verhindern.
Beschwerden können sie auch an die jeweilige Datenschutzbehörde richten:
Für Österreich: Datenschutzbehörde | Barichgasse 40-42 | 1030 Wien | www.dsb.gv.at
Für Deutschland: Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI) | Husarenstraße 30 | 53117 Bonn | www.bfdi.bund.de
8. Bin ich zur Bereitstellung von Daten verpflichtet?
Im Rahmen der Geschäftsbeziehung müssen Sie diejenigen personenbezogenen Daten bereitstellen, die für die Aufnahme und Durchführung der Geschäftsbeziehung erforderlich sind und zu deren Erhebung wir gesetzlich verpflichtet sind. Wenn Sie uns diese Daten nicht zur Verfügung stellen, werden wir den Abschluss des Vertrags oder die Ausführungen des Auftrags in der Regel ablehnen müssen oder einen bestehenden Vertrag nicht mehr durchführen können und folglich beenden müssen. Sie sind jedoch nicht verpflichtet, hinsichtlich für die Vertragserfüllung nicht relevanter bzw. gesetzlich und/oder regulatorisch nicht erforderlicher Daten eine Einwilligung zur Datenverarbeitung zu erteilen.
9. Anpassung dieser Informationen
Bitte beachten Sie, dass wir bei Bedarf Anpassungen an dieser Information zur Datenverarbeitung vornehmen können. Die jeweils aktuellste Version dieser Information finden Sie jederzeit auf unserer Homepage www.kommunalkredit.at, www.kommunalkreditdirekt.at.
