Datenschutzinformation
- Eigenhändige Unterschrift, z. B. „Tinte und Papier“; oder
- Qualifizierte elektronische Signatur, z.B. „Handysignatur“; oder
- Starke Kundenauthentifizierung im Digital Banking, z. B. Freigabemethode Passwort und TAC SMS; CardTAN oder s Identity-Freigabemethode in George.
- Risikomanagement, insbesondere Kreditrisiko und operationelles Risiko
- Beschwerdemanagement und Beschwerdebearbeitung, Analyse von Beschwerdefällen
- Monitoring von Insiderhandel, Interessenkonflikten und Marktmanipulation
- Identitätsfeststellung, Transaktionsüberwachung, Verdachtsmeldungen, Einhaltung von Sanktionsvorschriften
- Meldungen in das Kontoregister und Meldungen von Kapitalabflüssen
- Buchhaltung, Controlling und Erfüllung abgabenrechtlicher Vorschriften bzw. der Vorschriften des Unternehmensgesetzbuches
- Auskünfte an Staatsanwaltschaften, Gerichte, Finanzstrafbehörden
- Offenlegung von Informationen über die Identität von AktionärInnen
- Maßnahmen zum Schutz von MitarbeiterInnen, KundInnen sowie des Eigentums der Bank
- Ausüben oder Verteidigen von Rechten
- Datenaustausch für Bonitäts- und Ausfallsrisiken gegenüber Auskunfteien, z.B. Meldungen und Abfragen aus der Warnliste oder der Konsumentenkreditevidenz des Kreditschutzverband von 1870
- Betrugsprävention und -bekämpfung sowie Verhinderung von Geldwäscherei und Terrorismusfinanzierung, im Speziellen z.B.:
- In der Verdachtsdatenbank (VDB) für Bank- und Finanzinstitute werden Verdachtsfälle von Betrug und Betrugsversuch nach §§ 146 ff StGB sowie ähnliche Straftaten erfasst und verarbeitet, die während der Geschäftsbeziehung oder bei ihrer Anbahnung festgestellt werden. Geführt wird diese Datenbank von der CRIF GmbH als Auftragsverarbeiter. Wenn Bank- und Finanzinstitute diese Datenbanklösung nutzen, können sie auch Daten empfangen, mit denen sie zu Beginn einer Geschäftsbeziehung mit KundInnen überprüfen können, ob in der Vergangenheit Betrugsversuche unternommen wurden.
- Entwicklung von Datenmodellen zum Erkennen verdächtiger Verhaltensmuster
- Dokumentation vergangener Schadensfälle als Entscheidungshilfe über das Eingehen neuer oder erweiterter Kundenbeziehungen
- Steigerung der Datenqualität
- Gewährleistung der IT-Sicherheit und des IT-Betriebs der Bank
- Aufzeichnungen von Telefongesprächen, z.B. für Beschwerdefälle oder Schulungszwecke unserer MitarbeiterInnen
- Maßnahmen zur Geschäfts-, Vertriebs- und Konzernsteuerung, wie z.B. Kundensegmentierung, Reorganisationen und damit einhergehende Kundenanalysen, Vermeiden von Werbung zu bereits genutzten Produkten. Dazu zählt auch die Entwicklung von Datenmodellen für solche Maßnahmen.
- Maßnahmen zum Prozess- und Qualitätsmanagement: Wir erheben anlassbezogen Daten über unsere Prozesse und Services. Mit diesen Daten sichern wir die Qualität unserer Dienstleistungen, die Einhaltung unserer Service-Standards und die Effizienz unserer Prozesse.
- Auswahl zur Evaluierung der Zufriedenheit mit den angebotenen Serviceleistungen und Produkten
- Produktentwicklung, z.B. anhand von Datenmodellen
- Erstellen von synthetischen oder anonymisierten Daten zu Testzwecken (in eingeschränkten Fällen kann es auch erforderlich sein, Echtdaten zu Testzwecken heranzuziehen)
- Wenn Sie uns eine Datei mit einer elektronischen Signatur oder einem elektronischen Siegel übermitteln, werden wir dieses Dokument für die Signatur-/Siegelprüfung an einen Validierungsdienst (z.B. Signaturprüfdienst der Rundfunk und Telekom Regulierungs-GmbH) übermitteln.
- Wenn wir ein Dokument elektronisch signieren, das Ihre Daten enthält, werden wir das Dokument an einen Vertrauensdiensteanbieter (z. B. A-Trust) übermitteln.
Seit 25. Mai 2018 gilt in der Europäischen Union die Datenschutz-Grundverordnung, kurz DSGVO oder auf Englisch „GDPR“ - General Data Protection Regulation. Die DSGVO gibt vor, wie personenbezogene Daten verarbeitet werden dürfen und wie sie geschützt werden müssen.
Was ist die DSGVO?
Die DSGVO ist eine Verordnung der Europäischen Union. Sie gilt unmittelbar in jedem Mitgliedstaat, also auch in Österreich. Jede Person, deren Daten verarbeitet werden, kann sich direkt auf die DSGVO berufen.
Was regelt die DSGVO?
Die DSGVO enthält Vorschriften über die Verarbeitung Ihrer personenbezogenen Daten. Egal, ob es um Ihren Namen, Ihre Telefonnummer, Ihre Kontoumsätze oder Ihre Interessen geht – all das schützt die DSGVO. Die darin festgeschriebenen Grundsätze regeln, wie Ihre personenbezogenen Daten gespeichert und verarbeitet werden dürfen.
Wieso gibt es weiterhin ein österreichisches Datenschutzgesetz (DSG)?
Die Europäische Union hat nicht nur die DSGVO erlassen, sondern ein ganzes „Datenschutz-Paket“. Ein Teil davon war auch eine neue Datenschutz-Richtlinie. Worin unterscheidet sich eine Richtlinie von einer Verordnung? Im Gegensatz zu einer Verordnung, muss eine Richtlinie erst im nationalen Recht umgesetzt werden. Außerdem lässt die DSGVO den Mitgliedstaaten Spielräume offen, um einzelne Aspekte detaillierter zu regeln, als in der DSGVO selbst.
Beides passiert in Österreich im Datenschutzgesetz („DSG“).
Warum ist der Schutz meiner Daten so wichtig?
Datenschutz ist ein Grundrecht. Genauso wie Ihr Recht auf Freiheit oder Sicherheit, ist Ihr Recht auf Datenschutz in der Charta der Grundrechte der Europäischen Union verankert. Diese EU-Grundrechtecharta gilt im Verhältnis zwischen Ihnen und staatlichen Institutionen.
Gesetzlich ist aber anerkannt, dass auch im privaten und wirtschaftlichen Bereich ein ausgewogenes Interessensverhältnis zwischen Datenverarbeitenden und den sogenannten „betroffenen Personen“ bestehen muss – also zum Beispiel zwischen Ihnen und Ihrer Bank. Diese Regeln finden sich in der DSGVO und im DSG.
Personenbezogene Daten sagen viel über uns aus: Unsere Interessen und Wünsche können darin sichtbar werden. Das ist natürlich schützenswert. Aber erst wenn wir Ihre Interessen kennen, ist es uns möglich, unseren Service individuell für Sie zu verbessern. Ein Kernelement des Datenschutzes ist es, dass wir gemeinsam einen Weg finden, wie wir Ihre Daten in Ihrem Interesse und unter Ihrer Aufsicht verarbeiten können und dürfen.
Gilt in Österreich nicht ohnehin das Bankgeheimnis?
Ja, die Informationen, die uns auf Grund der Geschäftsverbindung bekannt werden, sind auch vom österreichischen Bankgeheimnis geschützt - nach § 38 Bankwesengesetz. Die DSGVO gilt zusätzlich dazu.
Gut zu wissen: Die Entbindung vom Bankgeheimnis darf nur schriftlich erfolgen – siehe § 38 Absatz 2 Ziffer 5 Bankwesengesetz. „Schriftlich“ bedeutet hier:
Wo erfahre ich mehr über die DSGVO und das DSG?
(Alle Links mit Stand September 2021)
Einen konsolidierten Text der DSGVO finden Sie hier:
https://eur-lex.europa.eu/legal-content/DE/TXT/?uri=CELEX%3A02016R0679-20160504
Einen konsolidierten Text des DSG finden Sie hier:
https://www.ris.bka.gv.at/GeltendeFassung.wxe?Abfrage=Bundesnormen&Gesetzesnummer=10001597
Die EU-Grundrechtecharte:
https://eur-lex.europa.eu/legal-content/DE/TXT/?uri=celex:12012P/TXT
Weiterführende Informationen zu Ihren Rechten finden Sie auf folgenden Websites:
Österreichische Datenschutzbehörde:
https://www.dsb.gv.at/
Europäischen Kommission:
https://ec.europa.eu/info/law/law-topic/data-protection_de
(Alle Links mit Stand September 2021)
Damit wir über Datenschutz sprechen können, ist es wichtig, einige grundlegende Begriffe zu klären. Wir haben auch die jeweiligen Artikel-Bezeichnungen der DSGVO angeführt, damit Sie die Definitionen bei Interesse nachlesen können. Bitte beachten Sie, dass es sich nur um Zusammenfassungen, also verkürzte Darstellungen handelt. Den gesamten Text der DSGVO und der jeweiligen Artikel finden Sie hier:
https://eur-lex.europa.eu/legal-content/DE/TXT/?uri=CELEX%3A02016R0679-20160504
Was sind personenbezogene Daten?
Personenbezogene Daten sind alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person („betroffene Person“) beziehen. Zum Beispiel ein Namen oder eine Kennnummer, wie ein IBAN oder eine Kontonummer.
Nachzulesen in Artikel 4 Ziffer 1 DSGVO.
Was fällt alles unter die Verarbeitung von Daten?
Der Begriff „Verarbeitung“ meint jeden mit oder ohne Hilfe automatisierter Verfahren ausgeführten Vorgang im Zusammenhang mit personenbezogenen Daten. Dazu zählen zum Beispiel das Erheben, das Erfassen, die Organisation, das Ordnen, das Speichern, das Anpassen oder Verändern, das Auslesen, das Abfragen, das Verwenden, das Offenlegen (durch Übermitteln, Verbreiten oder eine andere Form des Bereitstellens), den Abgleich oder das Verknüpfen, das Einschränken, das Löschen oder das Vernichten.
Nachzulesen in Artikel 4 Ziffer 2 DSGVO.
Was bedeutet „Verantwortlicher“?
Der Begriff „Verantwortlicher“ meint die natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet. Zum Beispiel wir als Bank.
Nachzulesen in Artikel 4 Ziffer 7 DSGVO.
Was bedeutet „Auftragsverarbeiter“?
Der Begriff „Auftragsverarbeiter“ meint eine natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die personenbezogene Daten im Auftrag von Verantwortlichen verarbeitet.
Nachzulesen in Art 4 Ziffer 8 DSGVO.
Wer ist für die Verarbeitung der personenbezogenen Daten verantwortlich?
Für die Verarbeitung Ihrer Daten verantwortlich ist die
Bausparkasse der österreichischen Sparkassen Aktiengesellschaft (im Folgenden kurz s Bausparkasse)
Am Belvedere 1
A-1100 Wien
www.sbausparkasse.at/de/ueber-die-s-bausparkasse/impressum
Kontaktdaten für datenschutzrelevante Anfragen:
Erste Group Bank AG
0196 1905/AT Data Privacy Security Management
Data Protection Management Support Office
Am Belvedere 1
1100 Wien
E-Mail: DSGVO-Support@erstegroup.com
Zuständige Aufsichtsbehörde für datenschutzrechtliche Agenden:
Österreichische Datenschutzbehörde
Barichgasse 40-42
1030 Wien, Österreich
Telefon: +43 1 52 152-0
E-Mail: dsb@dsb.gv.at
https://www.dsb.gv.at/
Wer ist Datenschutzbeauftragter?
Die Funktion des Datenschutzbeauftragten, auch Data Protection Officer genannt, übernimmt bei uns Gregor König. Bei Fragen, Anregungen oder Beschwerden zur Verarbeitung Ihrer Daten erreichen Sie ihn und sein Team unter:
Gregor König – Datenschutzbeauftragter
Erste Group Bank AG
Am Belvedere 1
1100 Wien
E-Mail: datenschutz@erstegroup.com
Zu welchen Zwecken und auf welcher Rechtsgrundlage werden meine personenbezogenen Daten verarbeitet?
Wir sind eine Bank nach § 1 (1) Bankwesengesetz und Artikel 4 (1) 1 EU-Kapitaladäquanz-Verordnung.
Im Rahmen dieser Tätigkeiten verarbeiten wir Ihre personenbezogenen Daten:
Verarbeitung für die Vertragserfüllung und für vorvertragliche Maßnahmen, die auf Ihre Anfrage erfolgen
Welche Leistungen wir für Sie erbringen dürfen, hängt vom jeweiligen Vertrag ab. Dabei handelt es sich z.B. um einen Darlehensvertrag oder einen Bausparvertrag. Je nach Art des Vertrages sind auf dessen Grundlage bestimmte Leistungen zu erbringen. Dazu ist die Verarbeitung Ihrer Daten erforderlich. Den Umfang der Datenverarbeitung finden Sie in den Vertragsunterlagen und Geschäftsbedingungen. Sofern Sie uns, wenn auch nur konkludent, auffordern, Daten an Gläubiger von Ihnen weiterzugeben, kommen wir diesem Ersuchen entsprechend Ihrer Aufforderung nach.
Verarbeitung aufgrund rechtlicher Verpflichtungen
Auch rechtliche Vorschriften erfordern, dass wir Ihre personenbezogenen Daten verarbeiten, z.B. Bankwesengesetz, EU-Kapitaladäquanz-Verordnung und Finanzmarkt-Geldwäschegesetz. Das betrifft:
Verarbeitung aufgrund berechtigter Interessen
Ein berechtigtes Interesse zur Datenverarbeitung durch uns oder Dritte besteht in folgenden Fällen:
Verarbeitung aufgrund Einwilligung
Gibt es weder einen Vertrag noch rechtliche Verpflichtungen oder ein berechtigtes Interesse, kann die Datenverarbeitung dennoch rechtmäßig sein: nämlich dann, wenn Sie uns Ihre Einwilligung dazu erteilt haben. Umfang und Inhalt dieser Datenverarbeitung ergibt sich immer aus der jeweiligen Einwilligung. Sie können eine Einwilligung jederzeit für die Zukunft widerrufen. Wenn Sie eine Einwilligung widerrufen, bleiben aber die Verarbeitungen bis zum Zeitpunkt des Widerrufs rechtmäßig. Das bedeutet also, ein Widerruf wirkt nicht für die Vergangenheit.
Verarbeitung für statistische Zwecke
Wir verarbeiten Ihre personenbezogenen Daten auch für statistische Zwecke nach § 7 Datenschutzgesetz.
Werden auch Daten verarbeitet, die nicht bei mir erhoben werden?
Die meisten personenbezogenen Daten, die wir über Sie verarbeiten, haben Sie uns selbst bekannt gegeben. Es ist aber möglich, dass wir Ihre Daten auch aus anderen Quellen erheben: