Allgemeine Datenschutzerklärung für Kund*innen und Interessent*innen
Allgemeine Datenschutzerklärung für Kund*innen und Interessent*innen der bank99 AG
Stand: August 2024
Datenschutz ist der bank99 AG (im Folgenden „bank99“, „wir“ oder „uns“) ein sehr wichtiges Anliegen. Wir respektieren und schützen Ihre Privatsphäre. Wir verarbeiten Ihre personenbezogenen Daten in voller Übereinstimmung mit den maßgeblichen datenschutzrechtlichen Vorgaben, insbesondere dem österreichischen Datenschutzgesetz (DSG) sowie der Datenschutz-Grundverordnung (DSGVO). Mit den nachfolgenden Informationen klären wir Sie gemäß Art. 13 und 14 DSGVO über die Erhebung und Verarbeitung Ihrer personenbezogenen Daten durch uns sowie die Ihnen zustehenden datenschutzrechtlichen Ansprüche und Rechte auf. Welche Ihrer Daten wir konkret erheben und wie wir diese konkret verarbeiten, richtet sich nach den jeweils beauftragten bzw. vereinbarten Dienstleistungen, die wir für Sie erbringen. Sollten die Datenverarbeitungen im Einzelfall von diesen Informationen abweichen, erteilen wir Ihnen im Rahmen der jeweiligen Produkte oder Dienstleistungen gesonderte Informationen über die Verarbeitung Ihrer personenbezogenen Daten.
Insbesondere bestehen neben dieser allgemeinen Datenschutzerklärung noch die folgenden datenschutzrechtlichen Hinweise:
Informationen über Datenverarbeitungen im Zusammenhang mit Hinweisgeber*innensystemen - diese finden Sie in unserem externen WhistleblowingTool
Datenschutzhinweis für Mitarbeiter*innen, Leiharbeitskräfte und Praktikant*innen (diese sind stets aktuell im Intranet unter Wissenswertes/ Datenschutz publiziert)
1. Wer ist für Ihre Datenverarbeitung verantwortlich und an wen können Sie sich wenden?
Verantwortlicher für die Verarbeitung Ihrer personenbezogenen Daten ist:
bank99 AG
Praterstraße 31, 1020 Wien
Telefon: 01 90202
E-Mail: info@bank99.at
Sie erreichen unsere*n Datenschutzbeauftragte*n unter der oben angeführten Adresse mit dem Zusatz „z. H. Datenschutzbeauftragte*r“ oder unter datenschutz@bank99.at.
2. Für wen gilt diese Datenschutzerklärung?
Diese Datenschutzerklärung betrifft die Verarbeitungpersonenbezogener Daten von:
Interessent*innen (inkl. Gewinnspielteilnehmer*innen), Antragstellenden und (ehemaligen) Kund*innen der bank99, die natürliche Personen sind, und zwar unabhängig davon, ob eine Bankdienstleistung direkt durch uns oder durch unsere Dienstleister*innen oder Produktpartner*innen ausgeführt wird;
Personen, die Einzelaufträge außerhalb von Rahmenverträgen für Zahlungsdienstleistungen erteilen;
allen anderen natürlichen Personen, die in Kontakt mit der bank99 stehen, z. B. Bevollmächtigte, Vertreter*innen oder Mitarbeiter*innen juristischer Personen, oder die an Überweisungen von oder an bank99 Konten beteiligt sind.
3. Welche personenbezogenen Daten von Ihnen verarbeiten wir und woher stammen diese Daten?
3.1 Personenbezogene Daten sind alle Informationen, die Sie direkt oder indirekt identifizieren bzw. identifizierbar machen oder die sich auf Sie beziehen.
Zu den von uns verarbeiteten Daten zählen dabei insbesondere:
Personenstammdaten (z. B. Vor- und Nachname, Adresse, Geburtsdatum und -ort, Staatsangehörigkeit, Telefonnummer, E-Mail-Adresse, Familienstand);
Legitimationsdaten (z. B. Personalausweis- oder Reisepasskopie) und Authentifikationsdaten (z. B. Unterschriftsprobe, Login-Daten zum Einstieg ins Online-Banking);
Finanzdaten (z. B. Angaben zum Einkommen, Gehaltsabrechnungen, Wert von Pfandgegenständen und Immobilien);
Bonitätsdaten (z. B. Einträge bei Auskunfteien, Warnlisteneinträge);
Auftrags- und Umsatzdaten (z. B. Zahlungsaufträge, Überweisungen, Einzahlungen auf Ihr bzw. Auszahlungen von Ihrem Giro-, Spar- oder Kreditkartenkonto);
Bild- und Tondaten (z. B. Video- und Sprachaufzeichnung Ihrer Telefonate mit uns, Fotos beim Bankomaten);
Ihre Interaktion mit der bank99 in sozialen Medien wie Facebook, X (Twitter), Instagram und YouTube - wir folgen im Internet öffentlichen Nachrichten, Postings, Likes und Antworten zur und über die bank99 im Rahmen unserer Unternehmenskommunikation;
Daten zu Ihren Wünschen und Onlinepräferenzen (z. B. Informationen aus Ihrem elektronischen Verkehr mit uns via App oder Website, IP-Adressen, Daten zu Ihren Besuchen auf unserer Website);
Daten, die zur Erfüllung gesetzlicher und regulatorischer Verpflichtungen erforderlich sind (Daten zur Erfüllung unserer Compliance- und Geldwäschebekämpfungs-Verpflichtungen, Kenne deine*n Kund*in/„Know Your Customer“), wie z. B. Daten zur Mittelherkunft, Familienstand, Informationen zum*zur Arbeitgeber*in, Gehaltsabrechnungen.
Besondere Kategorien personenbezogener Daten
Besondere Kategorien personenbezogener Daten sind insbesondere Daten zu Ihrer Gesundheit, ethnischen Zugehörigkeit, religiösen oder politischen Überzeugung sowie genetische oder biometrische Daten. Wir dürfen diese Daten verarbeiten, wenn:
Sie uns dazu Ihre explizite Zustimmung erteilt haben;
die einschlägigen nationalen Rechtsvorschriften dies erforderlich oder möglich machen;
Sie uns z. B. anweisen, eine Zahlung an eine politische Partei oder religiöse Einrichtung zu leisten;
die Verarbeitung für die Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen erforderlich ist;
Sie sich dafür entscheiden, die Fingerabdruckerkennung zur Identitätsprüfung beim Zugang zu mobilen Apps und bei der Ausführung bestimmter Abläufe in den Apps zu verwenden.
Daten von unmündigen Minderjährigen
Wir erheben Daten von Personen, die das 14. Lebensjahr nicht vollendet haben, nur, wenn sie ein Produkt bei der bank99 haben oder wenn Sie uns im Zusammenhang mit einem Produkt, das Sie kaufen, Informationen über Ihre eigenen Kinder bereitstellen. Wir holen die Zustimmung der Eltern ein, wenn dies von den nationalen Rechtsvorschriften vorgeschrieben wird.
3.2 Ihre personenbezogenen Daten erhalten wir im Rahmen der (bevorstehenden oder laufenden) Geschäftsbeziehung größtenteils direkt von Ihnen.
Dies erfolgt insbesondere durch:
Anbahnung und Abschluss der mit uns zu unseren einzelnen Dienstleistungen bzw. Produkten geschlossenen Verträge;
Inanspruchnahme unserer Dienstleistungen bzw. Nutzung unserer Produkte und Apps;
Einreichung von Anträgen;
Besuch unserer Website;
Anfragen (z. B. via Kontaktformular, Telefon oder Brief);
Gewinnspielteilnahmen.
3.3 Zudem erheben wir Ihre personenbezogenen Daten auch aus öffentlichen Quellen, jedoch nur dann, wenn diese für die Erbringung unserer Dienstleistung absolut notwendig sind.
Zu diesen Quellen Dritter zählen dabei insbesondere:
Insolvenzdaten aus der Ediktsdatei des Bundesministeriums für Justiz (öffentliche Quelle);
Sanktions- und Embargolisten sowie Listen politisch exponierter Personen (PEP);
Auskunfteien wie z. B. Kreditschutzverband von 1870, Wagenseilgasse 7, 1120 Wien (KSV1870; die Datenschutzerklärung des KSV1870 finden Sie unter ksv.at/datenschutzerklaerung), und CRIF GmbH, Rothschildplatz 3/Top 3.06.B, 1020 Wien (CRIF; sollte es im Rahmen unserer Geschäftsbeziehung erforderlich sein, Ihre Identität bzw. Bonität zu überprüfen, werden wir die hierfür erforderlichen Daten [Name, Adresse, Geburtsdatum, E-Mail-Adresse] an die CRIF, die als selbstständige Verantwortliche die übermittelten Daten für ihre eigenen Zwecke als Auskunftei wie unter crif.at/datenschutz beschrieben verarbeitet, übermitteln) Zum Datenaustauch im Rahmen der von CRIF geführten Verdachtsdatenbanksiehe Punkt 4.4 und andere zulässigerweise geführte Schuldnerverzeichnisse und Warnlisten der Banken;
Firmenbücher (öffentliche Quelle);
Grundbücher (öffentliche Quelle);
Vereinsregister (öffentliche Quelle);
Presse und Medien (öffentliche Quelle);
Zahlungs- und Transaktions-Verarbeitende;
Überweisungen an oder durch Sie;
Vermittler*innen;
Gerichtskommissär*innen bei der Abwicklung von Verlassenschaften;
Pflegschafts- und Strafgerichte;
Polizei und Staatsanwaltschaften.
4. Zu welchem Zweck verarbeiten wir Ihre Daten und auf welcher Rechtsgrundlage?
Wir verarbeiten Ihre personenbezogenen Daten im Einklang mit den Bestimmungen der DSGVO und dem DSG zur Erreichung der nachfolgend angeführten Zwecke und auf Basis der nachfolgend beschriebenen Rechtsgrundlagen:
4.1 Im Rahmen Ihrer Einwilligung
Sofern Sie uns eine Einwilligung zur Verarbeitung Ihrer personenbezogenen Daten für einen oder mehrere bestimmte Zwecke erteilt haben, erfolgt die Datenverarbeitung auf Basis und nach Maßgabe Ihrer Einwilligungserklärung (wie z. B. gemäß Ihrer Einwilligung für bestimmte Werbemaßnahmen).
Im Regelfall werden zu diesem Zwecke in einer aufrechten Geschäftsbeziehung folgende Daten verarbeitet:
Ihre persönlichen Daten (Personenstammdaten);
Ihre Produkt- und Umsatzdaten wie Soll- und Habenstände sowie Zahlungsrückstände zu Giro-, Spar- und Kreditkartenkonten, Zahlungsverhalten, ein- und ausgehende Zahlungstransaktionen, Zahlungsaufträge übermittelnde Dienstleister*innen, Beiträge, Verwendungszwecke, Häufigkeit und Art der Geldbewegungen sowie Sparverhalten usw.
Sie können Ihre Einwilligungserklärung uns gegenüber jederzeit und ohne Angabe von Gründen widerrufen, wobei der Widerruf erst für die Zukunft wirkt und somit die Rechtmäßigkeit der Datenverarbeitung bis zum Widerruf unberührt lässt.
4.2 Zur Erfüllung vertraglicher Pflichten bzw. Durchführung vorvertraglicher Maßnahmen
Sofern Sie mit uns einen Vertrag zur Erbringung bzw. Vermittlung bestimmter Bankgeschäfte und Finanzdienstleistungen oder sonstiger Leistungen bzw. Aufträge abschließen (z. B. Kontoeröffnung und Kontoverwaltung, Kontowechsel), erfolgt die Verarbeitung Ihrer personenbezogenen Daten in dem Ausmaß, das für die Vertragserfüllung notwendig ist. Hierzu zählen auch alle erforderlichen Tätigkeiten, die im Rahmen der Vertragserfüllung mit dem Betrieb bzw. der Verwaltung eines Kredit- und Finanzdienstleistungsinstituts verbunden sind. Ebenfalls umfasst ist die Durchführung vorvertraglicher Maßnahmen wie etwa die Ausarbeitung von Angeboten für Finanzierungen oder andere Produkte sowie Vertragsverhandlungen oder Vertragsanbahnungen, die auf Ihre Anfrage hin erfolgen. Detailinformationen zur Datenverarbeitung und zu den erhobenen Daten können Sie im Einzelfall den jeweils relevanten Vertragsunterlagen entnehmen.
4.3 Zur Erfüllung rechtlicher Pflichten
Sofern wir durch oder aufgrund anwendbarer Rechtsvorschriften dazu verpflichtet sind, verarbeiten wir entsprechend diesen Vorgaben Ihre personenbezogenen Daten zum Zweck der Erfüllung dieser gesetzlichen Verpflichtungen.
Zu diesen Rechtsvorschriften zählen insbesondere das Bankwesengesetz, das Finanzmarkt-Geldwäschegesetz, das Sanktionengesetz, das Wertpapieraufsichtsgesetz 2018 und die einschlägigen Steuergesetze in der jeweils geltenden Fassung sowie die aufsichtsbehördlichen Vorgaben insbesondere der Österreichischen Finanzmarktaufsicht, der Oesterreichischen Nationalbank, der Europäischen Zentralbank und der Europäischen Bankenaufsicht, denen wir als österreichisches Kreditinstitut unterliegen.
Ihre Daten werden zur Erfüllung rechtlicher Pflichten insbesondere zu folgenden Zwecken verarbeitet:
Bonitätsprüfung gem. § 39 Abs. 2 Bankwesengesetz sowie § 9 Hypothekar- und Immobilienkreditgesetz und § 7 Verbraucherkreditgesetz;
Identitäts- und Altersprüfung;
Prüfung der wirtschaftlichen Eigentümer*innen und Treugeber*innen von Kund*innen;
Informationen über die Herkunft der eingesetzten Mittel;
Transaktionsbelege und Aufzeichnungen;
Bewertung und Steuerung von diversen Risiken;
Ansässigkeitsstaat und Steueridentifikationsnummer/-n;
Kontodaten einschließlich Salden;Meldungen gemäß § 16 Finanzmarkt-Geldwäschegesetz an die Geldwäschemeldestelle in bestimmten Verdachtsfällen;
Auskunftserteilung an Finanzstrafbehörden im Rahmen eines Finanzstrafverfahrens wegen eines vorsätzlichen Finanzvergehens;
Auskunftserteilung an Abgabenbehörden des Bundes gemäß § 8 des Kontenregister- und Konteneinschaugesetzes;
Aufzeichnung Ihrer Telefongespräche und elektronischen Kommunikation gemäß § 33 Wertpapieraufsichtsgesetz 2018 bei der Erbringung von Wertpapierdienstleistungen, die sich auf die Annahme, Übermittlung und Ausführung Ihrer Wertpapieraufträge beziehen.
Aufzeichnungen Ihrer Telefongespräche, in welchen Sie uns einen Zahlungsauftrag erteilen (sog. Telefon-Banking) gem. § 66 Zahlungsdienstegesetz 2018 i. V. m. § 21 Finanzmarkt-Geldwäschegesetz.
Darüber hinaus ist die bank99 verpflichtet, die steuerliche/-n Ansässigkeit/-en ihrer Kundschaft festzustellen und dabei die Daten ihrer Kund*innen (natürliche Personen und juristische Personen) zu prüfen bzw. steuerliche Selbstauskünfte ihrer Kund*innen einzuholen (Gemeinsamer Meldestandard-Gesetz [GMSG]). Bei Feststellung einer steuerlichen Ansässigkeit in einem anderen Staat, der am automatischen Informationsaustausch zur Bekämpfung der Steuerhinterziehung teilnimmt, sind vom Kreditinstitut bestimmte Daten (Name, Adresse, Geburtsdatum/-ort, Ansässigkeitsstaat/-en, Steueridentifikationsnummer/-n,,Kontosalden/-werte zum Jahresende bzw. die Schließung des Kontos, Bruttoerträge und -erlöse sowie bei juristischen Personen zusätzlich der/die den*die Kunde*in allenfalls beherrschende/-n Person/-en]) an die österreichischen Finanzbehörden zu melden, die diese an die zuständigen ausländischen Finanzbehörden weiterleiten.
Weiters ist die bank99 verpflichtet, in Bezug auf grenzüberschreitende Zahlungen hinreichend detaillierte Aufzeichnungen über Zahlungsempfänger*innen und Zahlungen in Bezug auf die von uns in jedem Kalendervierteljahr erbrachten Zahlungsdienste zu führen, aufzubewahren und an das Finanzamt zu übermitteln. Die Aufzeichnungen umfassen bestimmte in § 18a Umsatzsteuergesetz 1994 definierte Informationen über Zahlungsempfänger*innen (insbesondere Name, Adresse, Umsatzsteuer-Identifikationsnummer oder sonstige nationale Steuernummer, Datum und Uhrzeit der Zahlung oder der Zahlungserstattung, Ort bzw. Mitgliedstaat, von dem die Zahlung stammt, IBAN oder andere Kennzeichen, die eindeutig den*die Zahlungsempfänger*in identifizieren), des*der Zahlungsdienstleister*in sowie genaue Angaben zu den grenzüber-schreitenden Zahlungen und zusammenhängend ermittelten Zahlungserstattungen.
Eine Meldepflicht besteht auch im Rahmen des Abkommens zwischen der Republik Österreich und den Vereinigten Staaten von Amerika über die Zusammenarbeit für eine erleichterte Umsetzung von FATCA (Foreign Account Tax Compliance Act). Die bank99 ist zur Identifikation, Dokumentation und Meldung von bestimmten Personen-, Konto- und Depotdaten von US-steuerpflichtigen Personen an die US-Steuerbehörde IRS (Internal Revenue Service) verpflichtet.
4.3.1 Datenverarbeitung nach dem Finanzmarkt-Geldwäschegesetz (FM-GwG)
Die bank99 ist als Kreditinstitut durch das FM-GwG im Rahmen der Sorgfaltspflichten zur Verhinderung von Geldwäscherei und Terrorismusfinanzierung dazu verpflichtet, von Personen bei Begründung der Geschäftsbeziehung oder anlässlich einer gelegentlichen Transaktion bestimmte Dokumente und Informationen einzuholen und aufzubewahren. Die bank99 hat unter anderem die Identität von Kund*innen, wirtschaftlichen Eigentümer*innen von Kund*innen oder allfälligen Treugeber*innen der Kund*innen festzustellen und zu prüfen, den von Kund*innen verfolgten Zweck und die von Kund*innen angestrebte Art der Geschäftsbeziehung zu bewerten, Informationen über die Herkunft der eingesetzten Mittel einzuholen und zu prüfen sowie die Geschäftsbeziehung und die in ihrem Rahmen durchgeführten Transaktionen kontinuierlich zu überwachen. Die bank99 hat insbesondere Kopien der erhaltenen Dokumente und Informationen, die für die Erfüllung der beschriebenen Sorgfaltspflichten erforderlich sind, und die Transaktionsbelege und -aufzeichnungen, die für die Ermittlung von Transaktionen erforderlich sind, aufzubewahren. Die Datenverarbeitungen im Rahmen der beschriebenen Sorgfaltspflichten beruhen auf einer gesetzlichen Verpflichtung der bank99 und dienen dem öffentlichen Interesse. Insofern kann der*die Kund*in dieser Datenverarbeitung nicht widersprechen. Die bank99 hat auf der Grundlage des FM-GwG verarbeitete Daten nach Ablauf einer Aufbewahrungsfrist von zehn Jahren nach Beendigung der Geschäftsbeziehung mit dem*der Kund*in oder nach einer gelegentlichen Transaktion zu löschen (es sei denn, Vorschriften anderer Bundesgesetze erfordern oder berechtigen zu einer längeren Aufbewahrungsfrist) und darf sie nicht für andere Zwecke, die mit den Zwecken der Verhinderung von Geldwäscherei und Terrorismusfinanzierung unvereinbar sind, verarbeiten (z. B. für kommerzielle Zwecke).
4.4 Zur Wahrung berechtigter Interessen
Soweit dies zur Wahrung unserer berechtigter Interessen oder der berechtigten Interessen eines Dritten erforderlich ist und Ihre Interessen oder Grundrechte/Freiheiten nicht überwiegen, erfolgt die Verarbeitung Ihrer personenbezogenen Daten nach und im Rahmen einer erfolgten Interessenabwägung.
Zu den Datenverarbeitungen zwecks Wahrung berechtigter Interessen zählen insbesondere:
Gesprächsaufzeichnung von Telefongesprächen aus Sicherheits -und Qualitätssicherungsgründen sowie zwecks Beweisführung über den Inhalt des Gesprächs für die Dauer von 90 Tagen. Wenn dies nicht gewünscht ist, können Sie diesem Vorgehen widersprechen. Sie können uns auch kontaktieren, um die Löschung eines Gesprächs zu veranlassen;
Bildaufnahmen von Bankomaten für die Dauer von 90 Tagen aus Sicherheitsgründen und zur Geltendmachung und Abwehr von Rechtsansprüchen;
Videoaufnahmen von Eingangsbereichen der Büroeinheiten der bank99 im Gebäude in der Praterstraße 31, 1020 Wien, für die Dauer von 30 Tagen aus Sicherheitsgründen und zur Geltendmachung und Abwehr von Rechtsansprüchen;
statistische Auswertung der Besucher*innenströme auf unserer Website sowie im Online-Banking und in der "meine99" App auf anonymer Basis mittels der „anonymen Funktion“ des Cookies „Piwik PRO“ zum Zweck der Verbesserung der Kund*innenfreundlichkeit unserer Serviceleistungen;
Analysen zwecks Produktoptimierung, Markt- und Präferenzforschung, damit wir unsere Angebote laufend verbessern können;
Anonymisierung zu statistischen Zwecken;
Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen;
Anfragen an sowie Datenaustausch mit Auskunfteien (KSV1870, CRIF) zwecks Ermittlung von Bonitäts- und Ausfallrisiken und zwecks Betrugsprävention. Informationen über unbestrittene und nach Eintritt der Fälligkeit unbezahlte Forderungen (sog. Zahlungserfahrungsdaten) sowie Name inkl. Titel, Adresse und Geburtsdatum des*der Schuldner*in werden nach vorheriger Benachrichtigung des*der Schuldner*in an KSV1870 in die Kleinkreditevidenz (KKE) und Warnliste der Banken sowie an CRIF übermittelt und dort eingetragen. Weiters werden Informationen zu Verdachtsfällen von Betrug und Betrugsversuch nach §§ 146 ff. StGB sowie ähnliche Straftaten, die während der Geschäftsbeziehung oder bei ihrer Anbahnung festgestellt werden, in der Verdachtsdatenbank für Bank- und Finanzinstitute erfasst und verarbeitet. Geführt wird diese von CRIF als Auftragsverarbeiterin. Bank- und Finanzinstitute, welche die Verdachtsdatenbank nutzen (mehr unter: crif.at/verdachtsdatenbank-finanzinstitute), können darin auch Daten empfangen, die es ihnen ermöglichen, vor dem Beginn einer Geschäftsbeziehung zu überprüfen, ob in der Vergangenheit Betrugsversuche unternommen wurden.
Sonstige Maßnahmen für die laufende Beurteilung der zulässigen Höhe der Kontoüberschreitung („Einkaufsreserve“), wie z. B. Ermittlung der Einkommenssituation anhand der Geldeingänge und -ausgänge auf dem Konto;
Maßnahmen zur Gewährleistung unserer IT-Sicherheit;
Maßnahmen zur Verhinderung und Aufklärung von Straftaten (bspw. Betrug und Cyberkriminalität);
Analyse unserer Kund*innensegmente auf aggregierter Basis zur Verbesserung unserer Produkte und Kommunikation.
5. Wer erhält Ihre Daten und warum?
5.1 Innerhalb unseres Bankinstituts erhalten ausschließlich diejenigen Stellen bzw. Mitarbeiter*innen Zugriff auf Ihre Daten, die diese zur Erfüllung ihrer bzw. unserer vertraglichen, gesetzlichen und/oder aufsichtsrechtlichen Aufgaben oder zur Wahrung unserer berechtigten Interessen benötigen. Unsere Mitarbeiter*innen, die Ihre personenbezogenen Daten verarbeiten, sind zur Vertraulichkeit und zum Datengeheimnis gemäß § 6 DSG verpflichtet.
5.2 Außerhalb unseres Bankinstituts übermitteln wir Ihre personenbezogenen Daten an:
Beauftragte Auftragsverarbeiter:
Z. B. IT- und Backoffice-Dienstleister*innen oder Dienstleister*innen für die Abwicklung des Kontowechsels, die bestimmte Datenverarbeitungen in unserem Auftrag für uns erbringen. Diese Auftragsverarbeiter*innen erhalten Ihre Daten erst nach Abschluss eines den datenschutzrechtlichen Vorgaben entsprechenden Auftragsverarbeitungsvertrags, dem zufolge diese insbesondere zur Verschwiegenheit und Vertraulichkeit, zur Befolgung unserer Weisungen, zur Datenverarbeitung ausschließlich auf Basis und nach Maßgabe des Auftragsverarbeitungsvertrags und des darin festgelegten Zwecks sowie zur Einhaltung bestimmter technischer und organisatorischer Sicherheitsmaßnahmen verpflichtet sind.Öffentliche Stellen und Behörden:
Z. B. Finanzmarktaufsicht, Oesterreichische Nationalbank, Europäische Zentralbank, Steuerbehörden, Finanzbehörden, Gerichte, Polizeibehörden, Staatsanwaltschaft, Anwält*innen, Notar*innen und Wirtschaftsprüfer*innen, sofern und soweit wir dazu gesetzlich oder aufsichtsrechtlich verpflichtet bzw. ermächtigt sind.Unabhängige Auftragnehmer, Makler und Geschäftspartner:
Wir können Ihre personenbezogenen Daten unseren unabhängigen Auftragnehmer*innen, Makler*innen oder Geschäftspartner*innen übermitteln, die in unserem Namen handeln oder gemeinsam mit uns Produkte und Dienstleistungen anbieten, wie z. B. Versicherungen oder andere Kredit- und Finanzinstitute. Diese Auftragnehmer*innen sind gemäß den nationalen Rechtsvorschriften registriert und verfügen über eine ordnungsgemäße Genehmigung der jeweiligen Aufsichtsbehörden.Sonstige Dritte:
Z. B. andere Kredit- und Finanzinstitute wie etwa Banken und Börsen, Finanzdienstleistungsunternehmen und Zahlungsdiensteanbieter*innen, Kreditschutzverbände und Kreditauskunfteien, Berater*innen einschließlich Anwält*innen oder Inkassounternehmen. An sie übermitteln wir Ihre personenbezogenen Daten ausschließlich im Rahmen der Vertragserfüllung (z. B. für Überweisungen oder Zahlungsdienste) auf Basis Ihrer schriftlichen Zustimmung oder soweit dies gesetzlich vorgeschrieben oder im Rahmen unserer berechtigten Interessen zulässig ist. Eine weitere Datenübermittlung an Dritte, z. B. zum Zweck der Zusendung von Werbeinformationen durch diese Dritte, kann ausschließlich mit Ihrer Einwilligung erfolgen.
Wir möchten Sie hinsichtlich der Datenweitergabe an Dritte darauf hinweisen, dass wir als österreichisches Kreditinstitut gesetzlich zur Wahrung des Bankgeheimnisses hinsichtlich aller kund*innenbezogenen Informationen verpflichtet sind, die Sie uns im Rahmen der Geschäftsbeziehung anvertraut haben.
6. Erfolgt eine Übermittlung Ihrer Daten in ein Drittland?
Eine Übermittlung Ihrer personenbezogenen Daten in ein Land außerhalb der EU bzw. des EWR (sog. Drittland) oder an eine internationale Organisation erfolgt ausschließlich, wenn das angemessene Datenschutzniveau im jeweiligen Land durch die EU-Kommission bestätigt wurde oder andere angemesseneDatenschutzgarantien (z. B. verbindliche unternehmensinterne Datenschutzvorschriften oder EU-Standardvertragsklauseln) vorhanden sind. Weitere Informationen über Garantien sowie über die Möglichkeit, wie eine Kopie zu erhalten ist oder wo sie verfügbar ist, sind auf Anfrage unter datenschutz@bank99.at erhältlich. Darüber hinaus ist eine Übermittlung Ihrer Daten in ein Drittland oder an eine internationale Organisation möglich, sofern Ausnahmen für bestimmte Fälle gem. Art. 49 DSGVO bestehen (z. B. wenn Sie eine Zahlung in ein Drittland oder an eine internationale Organisation beauftragen bzw. sofern die Übermittlung zur Geltendmachung, Ausübung, Verteidigung von Rechtsansprüchen oder aus wichtigen Gründen des öffentlichen Interesses erforderlich ist).
7. Findet eine automatisierte Entscheidungsfindung statt?
7.1 Damit wir unsere Dienstleistungen und Produkte schnell und einfach anbieten können, wird für die Begründung und Durchführung der Geschäftsbeziehung bei risikorelevanten Produkten (Kredite und Girokonten mit einer Überschreitung [sog. Einkaufsreserve]) eine Bonitätsprüfung in Form einer vollautomatisierten Entscheidungsfindung genutzt.
Je nach gewähltem kreditrisikorelevanten Produkt fließen unterschiedliche Daten in die Bonitätsprüfung ein, um einen Scorewert zu errechnen:
Name, Anschrift, Geburtsdatum, Familienstand;
Beruf, Branche, Beschäftigungsdauer sowie Daten zum Einkommen und Daten zur Ermittlung der Ausgabenpauschalen (wie z. B. Haushaltsgröße, unterhaltspflichtige Kinder, Auto, Größe der Wohnung, Miete oder Eigenheim, Fremdkreditraten etc.);
Informationen zum beantragten Produkt (Art des gewählten Produkts, Höhe der Kreditrate, Verhältnis der Kreditsumme zum Verkehrswert der Sicherheit, Höhe des Kreditbetrags im Verhältnis zum Gesamteinkommen, Höhe der Raten im Verhältnis zum Nettoeinkommen, frei verfügbares Haushaltseinkommen, Zeitraum seit letzter Kreditgenehmigung) sowie bei Bestandskund*innen die Mahnhistorie sowie die Inkasso- und Fälligstellungshistorie und
weitere Informationen, die wir von Kreditauskunfteien wie KSV1870 und CRIF erhalten.
Der so errechnete Scorewert wird mittels eines auf mathematischer Statistik basierenden anerkannten und bewährten Verfahrens erstellt, um anhand eines Stufensystems die Wahrscheinlichkeit eines Zahlungsausfalls für das beantragte Produkt zu errechnen. Als wesentliche Kriterien bei der Berechnung dienen dabei das Einkommen sowie Daten über die Haushaltsrechnung und Gesamtverschuldung, da daraus die Rückzahlungsmöglichkeit prognostiziert werden kann. Als wesentliche Kriterien dienen auch die Informationen von KSV1870 und CRIF sowie bei Bestandskund*innen die Mahnhistorie sowie die Inkasso- und Fälligstellungshistorie.
Sollte aufgrund der Bonitätsprüfung die nach internen strategischen Vorgaben definierte Bonitätsstufe nicht erreicht werden, kann Ihnen das beantragteGirokonto nicht angeboten werden, es kann zu einer Änderung der Höhe oder sogar Aufhebung ihrer Einkaufsreserve oder zu einer Ablehnung des Finanzierungsantrags kommen.
Für eine Auskunft über die in den Datenbanken von KSV1870 und CRIF über Sie gespeicherten Daten wenden Sie sich bitte direkt an KSV1870 bzw. an CRIF.
Sie haben das Recht, von der bank99 auch eine manuelle Überprüfung der automatisierten Entscheidung durch Mitarbeiter*innen der bank99 zu verlangen, Ihren eigenen Standpunkt darzulegen sowie die automatisierte Entscheidung anzufechten.
7.2 Wir verarbeiten Ihre Daten auch teilweise automatisiert:
Wir sind zum Zweck der Einhaltung gesetzlicher und aufsichtsrechtlicher Vorgaben zur Bekämpfung von Geldwäscherei, Terrorismusfinanzierung und anderen vermögensgefährdenden Straftaten verpflichtet. Dabei werden automatisierte Datenauswertungen (unter anderem im Zahlungsverkehr) vorgenommen. Diese Maßnahmen werden insbesondere zu Ihrem Schutz ergriffen (bspw. Schutz vor Betrug).
Durch gezieltes und automatisiertes Marketing wollen wir Ihnen Angebote machen, die auf Ihre Bedürfnisse zugeschnitten sind.
Werden personenbezogene Daten verarbeitet, um Direktwerbung zu betreiben, so haben Sie das Recht, jederzeit Widerspruch gegen die Verarbeitung Sie betreffender personenbezogener Daten zum Zweck derartiger Werbung einzulegen; dies gilt auch für das Profiling, soweit es mit solcher Direktwerbung in Verbindung steht.
8. Sind Sie zur Bereitstellung Ihrer Daten verpflichtet?
Sie sind nicht verpflichtet, Ihre Daten bereitzustellen. Ohne die Bereitstellung Ihrer Daten, die für die Aufnahme und Durchführung der Geschäftsbeziehung bzw. Vertragserfüllung erforderlich sind oder zu deren Erhebung wir gesetzlich verpflichtet sind, können wir Ihnen unsere Leistungen jedoch nicht (weiter) anbieten. Wenn Sie uns diese Daten nicht bereitstellen, werden wir den Abschluss des Vertrags oder die Ausführung des Auftrags in der Regel ablehnen oder einen bestehenden Vertrag nicht mehr durchführen können und somit beenden müssen. Soweit die Datenverarbeitung ausschließlich auf Ihrer Einwilligung basiert, sind Sie jedoch nicht verpflichtet, diese Einwilligung zu erteilen bzw. uns diese Daten bereitzustellen.
9. Wie lange bewahren wir Ihre Daten auf?
Wir bewahren Ihre personenbezogenen Daten für die Dauer der gesamten Geschäftsbeziehung (von der Anbahnung und Abwicklung bis zur Beendigung eines Vertrags) für die Ausübung, Verteidigung oder Geltendmachung von Rechtsansprüchen (hier beträgt die Frist zwischen drei und dreißig Jahren nach dem Allgemeinen bürgerlichen Gesetzbuch [ABGB]) sowie gemäß den gesetzlichen Aufbewahrungs- und Dokumentationspflichten auf, die sich insbesondere aus folgenden Gesetzesbestimmungen ergeben:
Zehn Jahre nach Beendigung der Geschäftsbeziehung mit dem*der Kund*in oder nach einer gelegentlichen Transaktion nach § 21 Finanzmarkt-Geldwäschegesetz (FM-GwG);
sieben Jahre nach § 212 Unternehmensgesetzbuch (UGB) und § 132 Bundesabgabenordnung (BAO);
drei Jahre ab Ende des Kalenderjahres, in dem die Zahlung ausgeführt wurde, für Aufzeichnungen aufgrund von § 18a Umsatzsteuergesetz (UStG) 1994;
fünf Jahre nach § 33 Wertpapieraufsichtsgesetz 2018, wobei die FMA eine längere Aufbewahrungsfrist von bis zu sieben Jahren anordnen kann.
Bitte beachten Sie: Da die Aufbewahrungs- und Dokumentationspflicht nach § 21 FM-GwG zehn Jahre nach Beendigung der Geschäftsbeziehung oder gelegentlicher Transaktion beträgt, kommt es somit im Regelfall vor, dass wir auch nach Beendigung der Geschäftsbeziehung Ihre personenbezogenen Daten aufbewahren müssen.
Gesprächsaufzeichnungen werden, wie unter Punkt 4.4 beschrieben, nach 90 Tagen gelöscht. Längere gesetzliche Aufbewahrungsfristen bestehen für die Aufzeichnung Ihrer Telefongespräche und elektronischen Kommunikation nach § 33 Wertpapieraufsichtsgesetz 2018 bei der Erbringung von Wertpapierdienstleistungen, die sich auf die Annahme, Übermittlung und Ausführung Ihrer Wertpapieraufträge beziehen (fünf bis max. sieben Jahre) und beim Telefon-Banking gem. § 21 FM-GwG (zehn Jahre nach Beendigung der Geschäftsbeziehung).
10. Welche Datenschutzrechte stehen Ihnen zu?
Nach Maßgabe der gesetzlichen Bestimmungen haben Sie folgende Rechte in Bezug auf Ihre personenbezogenen Daten:
Recht auf Auskunft über die Sie betreffenden personenbezogenen Daten (Art. 15 DSGVO);
Recht auf Berichtigung, wenn wir unrichtige oder unvollständige Daten verarbeiten (Art. 16 DSGVO);
Recht auf Löschung, wobei eine Löschung nicht erfolgen darf, soweit die Daten im Rahmen gesetzlicher Aufbewahrungspflichten gespeichert werden müssen oder zur Geltendmachung von Rechtsansprüchen erforderlich sind (Art. 17 DSGVO);
Recht auf Einschränkung der Datenverarbeitung (Art. 18 DSGVO);
Recht auf Datenübertragbarkeit (Art. 20 DSGVO);
Recht auf Widerspruch gegen die Datenverarbeitung, die im Rahmen berechtigter Interessen erfolgt (Art. 21 DSGVO);
jederzeitiges und begründungsloses Recht auf Widerruf einer erteilten Einwilligung, wobei ein Widerruf nicht die Rechtmäßigkeit der bis zum Widerruf erfolgten Datenverarbeitung berührt;
Recht, eine Überprüfung von automatisierten Entscheidungen durch eine Person zu erwirken und Ihren Standpunkt darzulegen (Art. 22 DSGVO);
Beschwerderecht bei der zuständigen Datenschutzbehörde (in Österreich: Österreichische Datenschutzbehörde; Art. 77 DSGVO i. V. m. § 24 DSG).
Um diese Rechte wahrzunehmen oder weitere Informationen zur Datenverarbeitung zu erhalten, wenden Sie sich bitte direkt an datenschutz@bank99.at oder per Post an die in Punkt 1 genannte Anschrift.