Datenschutzerklärung vom 03.04.2018
1 Präambel
Die Applikation „PSD Banking“ wird von der Fiducia & GAD IT AG im Auftrag der PSD Banken entwickelt und auf verschiedenen Plattformen zur Verfügung gestellt.
Der Schutz Ihrer personenbezogenen und -beziehbaren Daten bei der Erhebung, Verarbeitung und Nutzung in diesen Applikationen ist uns ein wichtiges Anliegen. Ihre Daten werden im Rahmen der gesetzlichen Vorschriften und unseren eigenen, hohen Qualitätsanforderungen geschützt.
Nachfolgend finden Sie Informationen, welche Daten während der Nutzung der Applikationen erfasst und wie der Umgang mit diesen Daten ist.
2 Verantwortliche Stellen und Eigentümer
Die Urheberrechte der Applikation stehen der Fiducia & GAD IT AG, Fiduciastraße 20, 76227 Karlsruhe zu.
Verantwortliche Stellen im Sinne des Bundesdatenschutzgesetzes sind die jeweiligen PSD Banken.
Wenn Sie Fragen zum Datenschutz haben oder von Ihren Rechten, Pflichten und Ansprüchen als Betroffener Gebrauch machen möchten, wenden Sie sich bitte an den Datenschutzbeauftragten Ihrer PSD Bank.
3 Arten der erhobenen Daten
Personenbezogene und -beziehbare sowie sonstige Daten, die diese Applikationen entweder selbst oder über Dritte erheben, sind unter anderem Nutzungsdaten, Online-Banking- und Bankkontodaten sowie Autorisierungsdaten und die geografische Position.
Im Zusammenhang mit der Nutzung der Applikationen werden für den Betrieb notwendige personenbezogene und -beziehbare Daten vom Nutzer freiwillig zur Verfügung gestellt oder automatisiert erhoben, verarbeitet und genutzt. Fehlen diese Daten oder werden sie nicht zur Verfügung gestellt, können die Applikationen möglicherweise ihre Dienstleistung nur teilweise, eingeschränkt oder gar nicht erbringen.
Digitale girocard (nur für Android-Geräte)
Um das Bezahlen mit der digitalen girocard zu ermöglichen, werden folgende Daten elektronisch und unverschlüsselt in der PSD-BankingApp gespeichert:
- Kartennummer,
- Kurzbankleitzahl,
- Kontonummer,
- Gültigkeitsdatum,
- Länderkennung und
- technische Daten zur Steuerung der Transaktion.
Über die NFC-Schnittstelle können diese Daten ausgelesen bzw. daraus abgeleitet werden. Diese Daten werden insbesondere verwendet, sobald sich das mobile Endgerät mit Ansprache der in der BankingApp hinterlegten digitalen girocard in unmittelbarer Nähe eines NFC-fähigen Gerätes befindet. Die Ansprache über die NFC-Schnittstelle kann erfolgen, wenn die digitale girocard in der PSD BankingApp aktiviert wird oder wenn für die entsprechende girocard die sog. ExpressZahlung und das Display aktiviert wurden.
Zusätzlich werden in der PSD BankingApp die folgenden Daten verarbeitet:
- Name des Kontoinhabers,
- Name des Karteninhabers,
- IBAN
- Transaktionsdaten
Diese Daten sind nicht über die NFC-Schnittstelle auslesbar.
Digitale Mastercard und Visa Karte
Um das Bezahlen mit der digitalen Mastercard und Visa Karte zu ermöglichen, werden folgende Daten elektronisch und unverschlüsselt in der PSD BankingApp gespeichert:
- Name des Karteninhabers,
- eine pseudonymisierte Kartennummer (nicht die eigentliche Kartennummer der „Plastikkarte“),
- Laufzeitende der digitalen Karte,
- Länderkennung des Herausgebers und
- technische Daten zur Steuerung der Transaktion.
Über die NFC-Schnittstelle können diese Daten ausgelesen bzw. daraus abgeleitet werden. Diese Daten werden insbesondere verwendet, sobald sich das mobile Endgerät mit Ansprache der in der BankingApp hinterlegten digitalen Mastercard und Visa Karte in unmittelbarer Nähe eines NFC-fähigen Gerätes befindet. Die Ansprache über die NFC-Schnittstelle kann erfolgen, wenn die digitale Mastercard und Visa Karte in der PSD-BankingApp aktiviert wird oder wenn für die entsprechende Mastercard und Visa Karte die sog. ExpressZahlung und das Display aktiviert wurden.
Zusätzlich werden in der PSD-BankingApp die folgenden Daten verarbeitet:
- Name des Karteninhabers,
- Transaktionsdaten
Diese Daten sind nicht über die NFC-Schnittstelle auslesbar.
4 Nutzung der erhobenen Daten, Methoden und Ort der Datenverarbeitung
Die Datenerhebung über den Nutzer erfolgt, damit der Eigentümer der Applikationen die Dienstleistungen erbringen kann, zum Anzeigen von Inhalten externer Plattformen und für standortbezogene Interaktionen.
Die personenbezogenen und –beziehbaren, aber auch die sonstigen Daten, die zu den aufgeführten Zwecken in den Applikationen erhoben und verwendet werden, sind in den jeweiligen Abschnitten dieser Datenschutzerklärung aufgeführt. Die Daten werden in Deutschland, ausschließlich auf eigens dafür betriebenen, installierten und gewarteten Servern in Hochsicherheitsrechenzentren verarbeitet und genutzt. Die Datenübertragungen erfolgen über SSL-verschlüsselte Verbindungen.
4.1 PSD OnlineBanking
Die Vereinbarung zum OnlineBanking, die Sie mit Ihrer PSD Bank getroffen haben, gilt auch für die Nutzung der Banking-Funktionen der Applikation mit Ihrem PSD Bank-Konto. Generell wird für den Abruf von Kontoinformationen der Zugriff auf Netzwerkverbindungen benötigt
Multibanking
Binden Sie Fremdbankkonten in die Applikation ein, wird lediglich die Bankleitzahl der entsprechenden Banken an die Fiducia & GAD IT AG übertragen, um die zur Kommunikation benötigten Informationen zu erfragen. Nachfolgende Interaktionen werden direkt zwischen der Applikation und dem IT-Dienstleister des jeweiligen Fremdinstituts abgewickelt.
Kontaktinformationen Ihres Bankberaters
Wird in der Applikation die Kontaktinformation Ihres Beraters bei Ihrer PSD Bank aufgerufen, werden Ihre Onlinebanking-Identifikations- und -Autorisierungsdaten an den Server Ihrer PSD Bank übermittelt. Die Daten werden dort verarbeitet, um die Kontaktinformationen Ihres Beraters abzurufen und in der Applikation anzuzeigen. Eine Speicherung oder Übermittlung der Daten an Dritte findet nicht statt.
Geolokalisation
Die Geolokalisation wird nicht durchgehend durchgeführt. Bei der Nutzung der Geldautomaten- und Filialsuche wird Ihr Standort lokalisiert und anonymisiert an die VR-NetWorld GmbH als Suchanbieter und den jeweiligen Kartenanbieter der Applikations-Plattform übertragen.
Inhalte von externen Plattformen
Die Karten, die auf externen Plattformen verarbeitet und genutzt werden, lassen sich bei der Funktion „Geldautomaten- und Filialsuche“ direkt in der Applikation nutzen. Diese Dienste erheben möglicherweise dann Verkehrsdaten auf der Seite, in der sie eingebunden sind, auch wenn der Nutzer sie nicht aktiv verwendet.
Google-Maps-Widget (Google Inc.)
Dieser Dienst wird in der Android Version der Applikation genutzt. Google Inc. stellt mit Google Maps einen Dienst bereit, der als Service Karten in der Applikation darstellt.
Personenbezogene Datenerhebung: Google Servicekonfigurationen
Ort der Datenverarbeitung: USA
Datenschutzerklärung von Google Inc.: https://www.google.de/policies/privacy/
Zugriff auf Fotos, Medien und Dateien
Werden in der Applikation die Funktionen „PSD-ProfiBroker“ oder „Postfach“ oder „Geld senden & anfordern“ genutzt, werden möglicherweise PDF-Dateien auf dem Endgerät gespeichert. Mit der Funktion „Geld senden & anfordern“ können zudem auf dem Smartphone gespeicherte Fotos versendet werden.
Zugriff auf Kamera und Mikrofon
Bei Nutzung der Funktion „GiroCode“ scannt die Applikation den QR-Code mit der Kamera des Geräts und benötigt daher entsprechende Zugriffsrechte. Mit der Funktion „Geld senden & anfordern“ können mit der Kamera aufgenommene Bilder versendet werden.
Zugriff auf Kontakte
Die Funktion „Geld senden & anfordern“ benötigt Zugriff auf das Kontaktbuch des Smartphones. Mit Hilfe der Mobilfunknummer werden die Teilnehmer an dem Zahlungsdienst identifiziert. Ein Zugriff auf die Kontakte erfolgt jedoch ausschließlich bei Verwendung der Funktion nachdem man sich erfolgreich für die Funktion angemeldet hat.
Zugriff auf Smartphone-Vibration
Für physisches Feedback beispielsweise nach erfolgreichem Scan eines GiroCode.
Zugriff auf Telefonanrufe
Um die Funktion „Digitale Karten“ auf Android-Geräten nutzen zu können, benötigt die App Rechte, um die Identität des mobilen Geräts eindeutig festzustellen. Bei erstem Aufruf der Funktion werden die benötigten Rechten explizit abgefragt.
Berechtigung für Mitteilungen (Push-Nachrichten)
Um bei Nutzung der Funktion „Geld senden & anfordern“ Push-Benachrichtigungen über neue Vorgänge (Zahlungsaufforderungen, Zahlungen, Nachrichten) erhalten zu können, muss der App die Berechtigung für Mitteilungen erteilt werden.
Kontaktaufnahme
Bei der Kontaktaufnahme über die Applikation (zum Beispiel per Kontaktformular oder E-Mail) werden die Angaben des Nutzers zwecks Bearbeitung der Anfrage sowie für den Fall, dass Anschlussfragen entstehen, gespeichert.
4.2 SecureGo
Bei der Nutzung der Applikation SecureGo werden personenbezogene und -beziehbare Daten zur Registrierung und Freischaltung und zum Abruf von TAN-Nachrichten erhoben, verarbeitet und genutzt. Im Detail werden für die einzelnen Geschäftsprozesse folgende personenbezogene und -beziehbare Daten erhoben, verarbeitet und genutzt:
Registrierung der Applikation
Für die Registrierung der Applikation ist die Verarbeitung der Autorisierungsdaten des Online-Banking erforderlich, um unberechtigte Registrierungen zu vermeiden. Die Applikation wird eindeutig gekennzeichnet, damit ausschließlich die registrierte App mit der Gegenstelle dem IT-Dienstleister kommunizieren kann. Die Registrierung muss im Online-Banking durch die Eingabe einer TAN bestätigt werden.
Freischaltung der Applikation
Um die Applikation für Ihren Online-Banking-Zugang nutzen zu können, ist nach der Registrierung eine Freischaltung erforderlich. Hierzu wird Ihnen auf postalischem Weg an die für Ihren Online-Banking-Zugang hinterlegte Postversandadresse ein so genannter Freischaltcode gesendet. Der Freischaltcode kann zur Freischaltung entweder mittels einer in Ihrem verwendeten Gerät integrierten Kamera gescannt (QR-Code) oder manuell erfasst werden (s. a. Abschnitt Zugriff auf Kamera und Mikrofon).
Es wird geprüft, ob tatsächlich die vorher registrierte Applikation mit der Gegenstelle bei dem IT-Dienstleister kommuniziert. Die Autorisierungsdaten des Online-Banking und der Freischaltcode werden verarbeitet, damit die berechtigte Freischaltung erfolgen kann.
Abruf der TAN
Beim Abruf der TAN erfolgt eine Verarbeitung der Autorisierungsdaten des Online-Banking. Zusätzlich werden auf den jeweiligen Geschäftsvorfall bezogene Transaktionsdaten (z. B. bei einer Einzelüberweisung SEPA die erfasste Empfänger-IBAN und der Betrag) und die dazugehörige TAN verarbeitet und übertragen. Die Übertragung erfolgt verschlüsselt, um sie bestmöglich gegen unberechtigten Zugriff zu schützen. (nur SecureGo)
4.3 Scan2Bank
Die Funktion Scan2Bank ermöglicht Ihnen, unter Verwendung der Gerätekamera, Dokumente zu fotografieren und daraus technisch unterstützt Zahlungsvorgänge zu initiieren. Dabei werden die komprimierten Inhaltsdaten der fotografierten und oder gespeicherten Dokumentenbilder, und falls technisch unterstützt elektronische Dokumente, an Datenverarbeitungssysteme im gesicherten Rechenzentrum der Bank verschlüsselt übertragen. Mittels einer Texterkennungssoftware werden die Zahlungsdaten ausgelesen und elektronisch Ihnen in einer Überweisungsmaske auf Ihrem mobilen Endgerät zur Ansicht und eigenverantwortlichen Prüfung der Inhalte sowie zur Auslösung des Zahlungsvorgangs zur Verfügung gestellt. Nach erfolgreicher Verarbeitung werden die Ursprungsdaten auf dem mobilen Endgerät und in den Datenverarbeitungssystemen des Rechenzentrums gelöscht.
Es werden ausschließlich die personenbezogene und -beziehbare Daten erhoben, verarbeitet und genutzt, welche für die Durchführung des Zahlungsvorgangs erforderlich sind. Dies sind die Kontoverbindungsdaten des Zahlungsempfängers, seine Rechnungsidentifikationsdaten und der der Zahlungsbetreff. Eine Verwendung der Daten zu anderen Zwecken außerhalb der Durchführung des Zahlungsverkehrs oder die Weiterleitung an Dritte im In- und Ausland ist nicht vorgesehen. Nach erfolgreicher Verarbeitung werden die Ursprungsdaten auf dem mobilen Endgerät und in den Datenverarbeitungssystemen des Rechenzentrums gelöscht. Bitte beachten Sie die jeweils gültigen Regelungen zum Zahlungsverkehr und Online-Banking Ihrer Bank.
5 Datensicherheit
Die von dem IT-Dienstleister Ihrer PSD Bank erhobenen Daten werden in Deutschland, ausschließlich auf eigens installierten und betriebenen Servern in Hochsicherheitsrechenzentren verarbeitet und genutzt. Die Datenübertragung erfolgt über SSL-verschlüsselte Verbindungen.
Im Rahmen des Betriebs haben nur wenige berechtigte Beschäftigte der Fiducia & GAD IT AG Zugang zu den erhobenen Daten und dies auch nur dann, wenn es für die Erfüllung und Ausführung von Prozessen zur Bereitstellung der Funktionen der Applikation erforderlich ist.
5.1 Digitale Karten (nur für Android-Geräte)
Für die digitale Bankkarte sind bestimmte personenbezogene Daten dauerhaft in einem zugriffgesicherten Bereich des mobilen Endgeräts hinterlegt. Diese Daten können über die NFC Schnittstelle ausgelesen werden. Dies geschieht insbesondere während des Bezahlvorgangs. Wird die NFC-Schnittstelle des mobilen Endgerätes deaktiviert, ist auf diesem Weg kein Zugriff mehr auf die digitalen Bankkarten möglich.
Grundsätzlich gelten für kontaktlose Transaktionen die Richtlinien des Bundesdatenschutzgesetzes und künftig die EU Datenschutzgrundverordnung.
Um die auf dem mobilen Endgerät gespeicherten Daten wirksam vor einem Ausspähen über eine Internetverbindung zu schützen, sind die in den Nutzungshinweisen dargestellten Sicherheitshinweise zu beachten. Die Nutzungshinweise liegen als Anlage zu den Sonderbedingungen für die girocard (Debitkarte) vor, sind aber auch für die digitale Mastercard und Visa Karte verwendbar.
Die in der PSD BankingApp gespeicherten Daten können nach Aktivierung der entsprechenden Karte mit frei verfügbaren Apps auf einem NFC-fähigen Smartphone (nicht das Gerät, auf dem die Karte gespeichert ist) oder einem NFC-Kartenleser an einem PC ausgelesen werden.
Mit der Deinstallation der PSD BankingApp werden diese Daten gelöscht und damit auch die zugehörigen digitalen Bankkarten.
6 Datenübermittlung an Dritte
Eine Datenübermittlung an Dritte findet nur statt, wenn die verantwortliche Stelle dazu gesetzlich verpflichtet ist oder durch Behörden zur Herausgabe, beispielsweise aufgrund eines entsprechenden Gerichtsbeschlusses, aufgefordert wird.
7 Auskunft- und Widerrufsrecht
Sie erhalten jederzeit ohne Angabe von Gründen Auskunft über Ihre gespeicherten Daten. Begründet können Sie jederzeit die erhobenen Daten sperren, berichtigen oder löschen lassen, sofern diesem Recht keine gesetzlichen Aufbewahrungspflichten gegenüberstehen. Darüber hinaus können Sie jederzeit eine erteilte Einwilligung zur Datenerhebung, -verarbeitung und -nutzung widerrufen. Wenden Sie sich hierzu bitte an die jeweilige verantwortliche Stelle (s. a. Abschnitt Verantwortliche Stellen und Eigentümer).
8 Begriffsbestimmung
Nutzer
Person, die mindestens eine der dargestellten Applikationen nutzt, der die personenbezogenen und -beziehbaren zuzuordnen sind und die selbst Dateninhaber oder ein von ihr Bevollmächtigter ist.
Nutzungsdaten
Nutzungsdaten sind durch die Applikationen automatisch erhobene Daten wie Domain-Namen, URI- und IP-Adressen, bestimmte System- und Systemumfeld-Informationen, Zeit und Protokollinformationen, die zur Kommunikation zwischen den Applikationen und Servern benötigt werden.
Verantwortliche Stelle
Verantwortliche Stelle ist jede Person oder Stelle, die personenbezogene Daten für sich selbst erhebt, verarbeitet oder nutzt oder dies durch andere im Auftrag vornehmen lässt.