Datenschutzerklärung “meine-bankID.de“ / CAS Bankenauswahl

Der Schutz Ihrer Privatsphäre und Ihrer personenbezogenen Daten ist uns ein zentrales Anliegen. Wir verarbeiten Ihre personenbezogenen Daten im Einklang mit den jeweils einschlägigen datenschutzrechtlichen Vorschriften, wie der EU-Datenschutz-Grundverordnung, dem Bundesdatenschutzgesetz, dem Telemediengesetz und allen sonst in Frage kommenden gesetzlichen Regelungen. Wir unterhalten zudem aktuelle technische und organisatorische Maßnahmen zur Gewährleistung des Datenschutzes und der Datensicherheit. Alle von uns verwendeten Sicherheitstechnologien befinden sich auf dem aktuellen Stand der Technik und werden stetig aktualisiert. Unsere Sicherheitskonzepte werden fortlaufend an neue Erkenntnisse angepasst und erneuert.

In dieser Datenschutzerklärung erfahren Sie, welche Daten wir bei der Nutzung des Identity Brokers speichern und wie, insbesondere zu welchen Zwecken, wir sie verarbeiten.

I. Geltungsbereich

Die Atruvia AG (nachfolgend auch „Atruvia“ oder „wir“)  ist technischer Dienstleister der Volks- und Raiffeisenbanken (VBRB) und betreibt den Service der Bankenauswahl „meine-bankID“ um die Zuordnung des Verbrauchers zum kontoführenden Institut zu gewährleisten .
Um am CAS teilnehmen zu können, wird dem Kunden im Rahmen des Identity Broker / „meine-bankID.de“ eine Bankenauswahl angeboten. Diese Bankenauswahl erlaubt dem Endkunden auf die Login-Seite des eBankings seiner kontoführenden Volks- und Raiffeisenbank (VBRB) zu gelangen, um den CAS-Login mit seinen Authentifizierungsverfahren durchzuführen.
Nach Auswahl der Bank durch den Kunden erfolgt ein Re-direkt zur ausgewählten VBRB. Der Eingabe der Login-Daten erfolgt nicht innerhalb des Identity Brokers, sondern direkt auf der Homepage der jeweiligen VBRB des Endkunden.

II. Definition

1. Personenbezogene Daten
Personenbezogene Daten sind alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen. Als identifizierbar wird eine natürliche Person angesehen, die direkt oder indirekt identifiziert werden kann, insbesondere mittels Zuordnung zu einer Kennung wie einem Namen, zu einer Kennnummer, zu Standortdaten, zu einer Online-Kennung oder zu einem oder mehreren besonderen Merkmalen, die Ausdruck der physischen, physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität dieser natürlichen Person sind, (Art. 4 Nr. 1 DS-GVO).


2. Verarbeitung
Verarbeitung umfasst das Erheben, Erfassen, die Organisation, das Ordnen, die Speicherung, die Anpassung oder Veränderung, das Auslesen, das Abfragen, die Verwendung, die Offenlegung durch Übermittlung, Verbreitung oder eine andere Form der Bereitstellung, den Abgleich oder die Verknüpfung, die Einschränkung, das Löschen oder die Vernichtung personenbezogener Daten (Art. 4 Nr. 2 DS-GVO).

III. Verantwortlicher

Verantwortlicher für die Erhebung, Verarbeitung und Nutzung Ihrer personenbezogenen Daten im Sinne des Datenschutzrechts ist die Atruvia. Sie können uns wie folgt erreichen:

 

Atruvia AG  

Fiduciastraße 20, 76227 Karlsruhe

GAD-Straße 2-6, 48163 Münster

E-Mail: postfach@atruvia.de

IV. Datenschutzbeauftragter

Martin Stäble
Tel.: (0721) 4004-1451
Fax: (0721) 4004-71451
E-Mail: datenschutz@atruvia.de

V. Allgemeines zur Datenverarbeitung

Wir erheben und verwenden personenbezogene Daten der Nutzer grundsätzlich nur, soweit dies zur Bereitstellung des Identity Broker / „meine-bankID.de“ erforderlich ist.
Die Erhebung und Verwendung personenbezogener Daten unserer Nutzer erfolgt grundsätzlich aufgrund vertraglicher Vereinbarungen mit den teilnehmenden Partnern oder der Abwägung von berechtigten Interessen der Vertragspartner. Durch angemessene technisch-organisatorische Maßnahmen, zur Verfügung gestellter Informationen, verbindlichen Verhaltensregeln und Nutzungsbedingungen kann das Überwiegen der Interessen, Grundrechte und Grundfreiheiten der Betroffenen verneint werden.
Die personenbezogenen Daten der Nutzer werden gelöscht, sobald der Zweck der Speicherung entfällt und keine vorrangigen Rechtsvorschriften diese erforderlich machen. Eine Löschung erfolgt dann nach Ablauf der vorgeschriebenen Speicherfristen.

VI. Beschreibung der Daten und Zweck der Verarbeitung

Wir verarbeiten folgende Daten von Ihnen:

Im Rahmen der Bankenauswahl werden Daten in kurzlebigen Sessions gespeichert, um eine sichere Verbindung für den Kunden zu gewährleisten. Darüber hinaus werden Logfiles angelegt die die IP- Adressen der Verbraucher enthalten. IP-Adressen werden in den Logfiles nach 7 Tagen anonymisiert. 

Grundlage für die Datenverarbeitung ist Art. 6 Abs. 1 lit. b) DSGVO, der die Verarbeitung von Daten zur Erfüllung eines Vertrages oder vorvertraglicher Maßnahmen gestattet.

VII. Empfänger Ihrer Daten

Die Daten werden im Rahmen der technischen Kommunikation zwischen den an diesem Geschäftsvorfall beteiligten Parteien verwendet und ausgetauscht, bspw. um eine sichere und verschlüsselte End-to-End Verbindung zu ermöglichen, oder alle beteiligten Teilnehmer zu identifizieren oder verifizieren.

VIII. Cookies

Essenziell

Wir verwenden vor allem sogenannte essenzielle Cookies, die für den Betrieb der Website und die Bereitstellung wesentlicher Funktionalitäten notwendig sind. Die essenziellen Cookies dienen der Steuerung der Internetverbindung während Ihres Besuchs und der Darstellung von Funktionen unseres Internetangebots (beispielsweise, wenn Sie unser neues Online-Banking für Firmenkunden verwenden). Darüber hinaus können Ihnen bestimmte Funktionalitäten unserer Website nur unter Verwendung von Cookies bereitgestellt werden. Schließlich dienen die essenziellen Cookies der Sicherheit unserer Website und der Absicherung der Kommunikation zwischen Ihrem Browser und unseren Servern.

Die Cookies, die zu den vorstehend beschriebenen Zwecken notwendig sind, werden in der Regel nach dem Schließen Ihres Browsers automatisch gelöscht (sog. Session-Cookies). Nur in wenigen Einzelfällen bleiben diese Cookies auch nach dem Schließen des Browsers auf Ihrem Endgerät gespeichert und ermöglichen es uns, Ihren Browser beim nächsten Besuch unseres Internetangebots wiederzuerkennen, auch wenn Sie den Browser zwischenzeitlich geschlossen hatten, z. B. damit wir leichter erkennen können, ob Sie in bestimmte Funktionen der Internetpräsenz und die damit zusammenhängenden Datenverarbeitungen eingewilligt haben (sog. persistente Cookies). In diesen Fällen beträgt die maximale Speicherdauer ein (1) Jahr.

Die Datenverarbeitung zu den vorstehend beschriebenen Zwecken basiert auf Art. 6 Abs. 1 f) DSGVO. Unser berechtigtes Interesse besteht darin, den Besuchern unserer Website wie oben erläutert ein einwandfrei funktionierendes, attraktives Internetangebot zur Verfügung zu stellen und den Besuch sowie die Nutzung der Website so angenehm und effizient wie möglich zu machen.

Manche Browser lassen bereits in der Grundeinstellung Cookies zu. Sollten Sie diese nicht wünschen, können Sie die Einstellung Ihres Browsers ändern. Wie dies erfolgt, entnehmen Sie bitte den Angaben des Browser-Herstellers. Sofern Sie sich gegen Cookies entscheiden, kann es vorkommen, dass Teile unseres Internetangebotes nicht genutzt werden können.

 

Komfort

Um Sie bei der Nutzung unserer Website optimal zu unterstützen und Ihnen die Bedienung zu erleichtern, besteht die Möglichkeit, Einstellungen, die Sie vorgenommen haben, zu speichern. Soweit wir diese Funktionen auf unserer Website anbieten, erfolgt eine Verarbeitung Ihrer personenbezogenen Daten grundsätzlich nur, wenn Sie uns hierzu eine Einwilligung erteilt haben und wir damit gemäß Art. 6 Abs. 1 a) DSGVO zur Verarbeitung Ihrer personenbezogenen Daten berechtigt sind.

 

Zustimmungspflichtige Cookies:

·       optIn (Speicherdauer: unbegrenzt): Cookie speichert die letzte Bankenauswahl des Kunden, sodass die Bank beim Aufruf der Website vorausgewählt ist.

 

Marketing

Soweit wir Marketing-Cookies einsetzen, nutzen wir diese, um Ihnen personalisierte Inhalte, passend zu Ihren Interessen anzuzeigen. So können wir zum Beispiel erkennen, welche Inhalte Sie auf unseren Seiten betrachtet haben. Wir geben diese Daten nicht an Dritte weiter. Diese Cookies setzen wir nur mit Ihrer Einwilligung zu den hier beschriebenen Zwecken (Art. 6 Abs. 1 a) DSGVO).

 

Statistik

Statistische Daten helfen, unser Angebot kontinuierlich zu verbessern und größtmöglichen Nutzerkomfort zu ermöglichen. Soweit wir diese Möglichkeiten nutzen, realisieren wir dies auf Basis von anonymisierten Auswertungen. Auf diese Weise wissen wir z. B., welche Bereiche unserer Internetpräsenz häufig besucht wurden und welche gar nicht oder nur mit kurzer Verweildauer.

Cookies zu statistischen Zwecken setzen wir nur mit Ihrer Einwilligung gemäß Art. 6 Abs. 1 a) DSGVO).

IX. Ort der Datenspeicherung

Die personenbezogenen Daten werden in den unternehmenseigenen Hochsicherheits-Rechenzentren in Karlsruhe und Münster unter Einhaltung höchster Sicherheitsstandards auf Sicherheitsservern übertragen, verarbeitet und gespeichert.

X. Dauer der Datenspeicherung

Ihre personenbezogenen Daten werden unverzüglich gelöscht, wenn diese für die Zwecke, für die sie von uns verarbeitet wurden, nicht mehr notwendig sind.

Sofern Ihre personenbezogenen Daten für die Geltendmachung und Abwicklung von zivilrechtlichen Ansprüchen erforderlich sind, werden sie entsprechend der allgemeinen Verjährungsfristen für 3 Jahre ab Schluss des Jahres, in dem der Anspruch entstanden ist und Sie Kenntnis von den anspruchsbegründenden Tatsachen erlangt haben oder ohne grobe Fahrlässigkeit hätten erlangen müssen (§§ 195, 199 Bürgerliches Gesetzbuch), gespeichert.

Sofern darüber hinaus besondere gesetzliche Aufbewahrungspflicht bestehen, speichern wir Ihre personenbezogenen Daten bis zur Erfüllung dieser Pflicht. Nach Ablauf dieser Fristen werden die betreffenden Daten routinemäßig gelöscht.

XI. Datensicherheit

Wir unterhalten aktuelle technische Maßnahmen zur Gewährleistung der Datensicherheit, insbesondere zum Schutz Ihrer personenbezogenen Daten vor Gefahren bei Datenübertragung sowie vor Kenntniserlangung durch Dritte. Diese werden dem aktuellen Stand der Technik entsprechend jeweils angepasst.

XII. Ihre Rechte

Werden personenbezogene Daten von Ihnen verarbeitet, sind Sie Betroffener im Sinne der Datenschutzgrundverordnung und es stehen Ihnen folgende Rechte gegenüber der Atruvia AG oder Ihrem Unternehmen zu:

1. Auskunftsrecht

Sie können von dem Verantwortlichen eine Bestätigung darüber verlangen, ob personenbezogene Daten, die Sie betreffen, von der Atruvia AG verarbeitet werden.
Lieg eine solche Verarbeitung vor, können Sie von der Atruvia AG über folgende, nur Sie betreffende, Informationen Auskunft verlangen:
1. die Zwecke, zu denen Ihre personenbezogenen Daten verarbeitet werden;
2. die Kategorien von personenbezogenen Daten, welche verarbeitet werden;
3. die Empfänger bzw. die Kategorien von Empfängern, gegenüber denen die Sie betreffenden personenbezogenen Daten offengelegt wurden oder noch offengelegt werden;
4. die geplante Dauer der Speicherung der Sie betreffenden personenbezogenen Daten oder, falls konkrete Angaben hierzu nicht möglich sind, die Kriterien für die Festlegung der Speicherdauer;
5. das Bestehen eines Rechts auf Berichtigung oder Löschung der Sie betreffenden personenbezogenen Daten, eines Rechts auf Einschränkung der Verarbeitung durch die Atruvia AG oder eines Widerspruchsrechts gegen die Verarbeitung;
6. das Bestehen eines Beschwerderechts bei einer Aufsichtsbehörde;
7. alle verfügbaren Informationen über die Herkunft der Daten, wenn die personenbezogenen Daten nicht beim Betroffenen erhoben werden/wurden;
8. das Bestehen einer automatisierten Entscheidungsfindung einschließlich Profiling gemäß Art. 22 (1) und (4) DSGVO und – zumindest in diesen Fällen – aussagekräftige Informationen über die involvierte Logik sowie die Tragweite und die angestrebten Auswirkungen einer derartigen Verarbeitung für die betroffene Person.
Ihnen steht das Recht zu, Auskunft darüber zu verlangen, ob die Sie betreffenden personenbezogenen Daten in ein Drittland (außerhalb der EU) oder an eine internationale Organisation übermittelt werden. In diesem Zusammenhang können Sie verlangen, über die geeigneten Garantien gemäß Art. 46 DSGVO im Zusammenhang mit der Übermittlung unterrichtet zu werden. Auskunftsrecht ist nicht uneingeschränkt, sondern hat seine Grenzen in den gesetzlichen Vorgaben der DSGVO und dem Bundesdatenschutzgesetz (2018).

2. Recht auf Berichtigung

Sie haben ein Recht auf Berichtigung und_/ oder Vervollständigung gegenüber der Atruvia AG, sofern die verarbeiteten personenbezogenen Daten, die Sie betreffen, unrichtig, unvollständig sind. Die Atruvia AG hat die Berichtigung, nach Prüfung der Anforderung, unverzüglich vorzunehmen

3. Recht auf Einschränkung der Verarbeitung

Unter den nachstehend genannten Voraussetzungen können Sie die Einschränkung der Verarbeitung der Sie betreffenden personenbezogenen Daten verlangen.
Liegt eine solche Verarbeitung vor, können Sie von der Atruvia AG über folgende, nur Sie betreffende, Informationen Auskunft verlangen:
1. wenn Sie die Richtigkeit der Sie betreffenden personenbezogenen Daten für eine Dauer bestreiten, die es der Atruvia AG ermöglicht, die Richtigkeit der personenbezogenen Daten zu prüfen;
2. Die Verarbeitung unrechtmäßig ist und Sie die Löschung der personenbezogenen Daten ablehnen und stattdessen die Einschränkung der Nutzung der personenbezogenen Daten verlangen;
3. die Atruvia AG die personenbezogenen Daten für die Zwecke der Verarbeitung nicht länger benötigt, Sie diese jedoch zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen benötigen oder
4. wenn Sie Widerspruch gemäß Art. 21 (1) gegen die Verarbeitung eingelegt haben und noch nicht feststeht, ob die berechtigten Gründe der Atruvia AG gegenüber Ihren Gründen überwiegen.
Wurde die Bearbeitung der Sie betreffenden personenbezogenen Daten eingeschränkt, dürfen diese Daten – von ihrer Speicherung abgesehen – nur mit Ihrer Einwilligung oder zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen oder zum Schutz der Rechte einer anderen natürlichen oder juristischen Person oder aus Gründen eines wichtigen öffentlichen Interesses der Union oder eines Mitgliedstaates verarbeitet werden.
Wurde die Einschränkung der Verarbeitung nach den oben genannten Voraussetzungen vorgenommen, werden Sie von der Atruvia AG unterrichtet, bevor die Einschränkung aufgehoben wird.

4. Recht auf Löschung

a) Löschpflicht
Sie können von der Atruvia AG verlangen, dass die Sie betreffenden personenbezogenen Daten unverzüglich gelöscht werden, und die Atruvia AG ist verpflichtet, diese Daten unverzüglich zu löschen, sofern einer der folgenden Gründe zutrifft:
1. Die Sie betreffenden personenbezogenen Daten sind für die Zwecke, für die sie erhoben oder auf sonstige Weise verarbeitet wurden, nicht mehr notwendig.
2. Sie widerrufen Ihre Einwilligung, auf die sich die Verarbeitung gemäß Art. 6 (2) lit. a. DSGVO stützte, und es fehlt an einer anderweitigen Rechtsgrundlage für die Verarbeitung.
3. Sie legen gemäß Art. 21 (1) DSGVO Widerspruch gegen die Verarbeitung ein und es liegen keine vorrangigen berechtigten Gründe für die Verarbeitung vor, oder Sie legen gemäß Art. 21 (2) DSGVO Widerspruch gegen die Verarbeitung ein.
4. Die Sie betreffenden personenbezogenen Daten wurden unrechtmäßig verarbeitet.
5. Die Löschung der Sie betreffenden personenbezogenen Daten ist zur Erfüllung einer rechtlichen Verpflichtung nach dem Unionsrecht oder dem Recht der Mitgliedsstaaten oder dem Recht der Mitgliedsstaaten erforderlich, dem die Atruvia AG unterliegt.
6. Die Sie betreffenden personenbezogenen Daten wurden in Bezug auf angebotene Dienste der Informationsgesellschaft gemäß Art. 8 (1) DSGVO erhoben.

b) Informationen an Dritte

Hat die Atruvia die Sie betreffenden personenbezogene Daten öffentlich gemacht und ist sie gemäß Art. 17 (1) DSGVO zu deren Löschung verpflichtet, so trifft sie unter Berücksichtigung der verfügbaren Technologie und der Implementierungskosten angemessene Maßnahmen, auch technischer Art, um für die Datenverarbeitung Verantwortliche, welche die personenbezogenen Daten verarbeiten, darüber zu informieren, dass Sie als betroffene Person von Ihnen die Löschung aller Links zu diesen personenbezogenen Daten oder von Kopien oder Replikationen dieser personenbezogenen Daten verlangt haben.

c) Ausnahmen
Das Recht auf Löschung besteht nicht, soweit die Verarbeitung erforderlich ist
1. zur Ausübung des Rechts auf freie Meinungsäußerung und Information;
2. zur Erfüllung einer rechtlichen Verpflichtung, die die Verarbeitung nach dem Recht der Union oder der Mitgliedstaaten, dem die Atruvia AG unterliegt, erfordert, oder zur Wahrnehmung einer Aufgabe, die im öffentlichen Interesse liegt oder in Ausübung öffentlicher Gewalt erfolgt, die der Atruvia AG übertragen wurde;
3. aus Gründen des öffentlichen Interesses im Bereich der öffentlichen Gesundheit gemäß Art.9 (2) lit. h und i sowie Art. 9 (3) DSGVO;
4. für im öffentlichen Interesse liegende Archivzwecke, wissenschaftliche oder historische Forschungszwecke oder für statistische Zwecke gemäß Art. 89 (1) DSGVO, soweit das unter Abschnitt a) genannte Recht voraussichtlich die Verwirklichung der Ziele dieser Verarbeitung unmöglich macht oder ernsthaft beeinträchtigt oder
5. zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen

5. Recht auf Unterrichtung

Haben Sie das Recht auf Berichtigung, Löschung oder Einschränkung der Verarbeitung gegenüber der Atruvia AG geltend gemacht, ist dieser verpflichtet, allen Empfängern, denen die Sie betreffenden personenbezogenen Daten offengelegt wurden, diese Berichtigung oder Löschung der Daten oder Einschränkung der Verarbeitung mitzuteilen, es sei denn, dies erweist sich als unmöglich oder ist mit einem unverhältnismäßigen Aufwand verbunden. Ihnen steht gegenüber der Atruvia AG das Recht zu, über diese Empfänger unterrichtet zu werden.

 

6. Recht auf Datenübertragbarkeit

Sie haben das Recht, die Sie betreffenden personenbezogenen Daten, die Sie der Atruvia AG bereitgestellt haben, in einem strukturierten, gängigen und maschinenlesbaren Format zu erhalten. Die Bereitstellung eines PDF stellt ein solches Format dar. Außerdem haben Sie das Recht diese Daten einem anderen Verantwortlichen ohne Behinderung durch die Atruvia AG, der die personenbezogenen Daten bereitgestellt wurden, zu übermitteln, sofern
1. die Verarbeitung auf einer Einwilligung gemäß Art. 6 (1) lit. a DSGVO oder Art. 9 (2) lit. a DSGVO oder auf einem Vertrag gemäße Art. 6 (1) lit. b DSGVO beruht und
2. die Verarbeitung mithilfe automatisierter Verfahren erfolgt.
In Ausübung dieses Rechts haben Sie ferner das Recht, zu erwirken, dass die Sie betreffenden personenbezogenen Daten direkt von der Atruvia AG zu einem anderen Verantwortlichen übermittelt werden, soweit dies technisch machbar ist. Freiheiten und Rechte anderer Personen dürfen hierdurch nicht beeinträchtigt werden.
Das Recht auf Datenübertragbarkeit gilt nicht für eine Verarbeitung personenbezogener Daten, die für die Wahrnehmung einer Aufgabe erforderlich ist, die im öffentlichen Interesse liegt oder in Ausübung öffentlicher Gewalt erfolgt, die der Atruvia AG übertragen wurde.

7. Widerspruchsrecht

Sie haben das Recht, aus Gründen, die sich aus ihrer besonderen Situation ergeben, jederzeit gegen die Verarbeitung der Sie betreffenden personenbezogenen Daten, die aufgrund von Art. 6 (1) lit. e oder f DSGVO erfolgt, Widerspruch einzulegen.; dies gilt auch für ein auf diese Bestimmungen gestütztes Profiling.

 

Die Atruvia AG verarbeitet die Sie betreffenden personenbezogenen Daten nicht mehr, es sei denn, sie kann zwingende schutzwürdige Gründe für die Verarbeitung nachweisen, die Ihre Interessen, Recht und Freiheiten, überwiegen, oder die Verarbeitung dient der Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen.

 

Werden personenbezogene Daten verarbeitet, um Direktwerbung zu betreiben, haben Sie das Recht, jederzeit Widerspruch gegen die Verarbeitung der Sie betreffenden personenbezogenen Daten zum Zwecke derartiger Werbung einzulegen; dies gilt auch für das Profiling, soweit es mit solcher Direktwerbung in Verbindung steht.

Widersprechen Sie der Verarbeitung für die Zwecke der Direktwerbung, so werden die Sie betreffenden personenbezogenen Daten nicht mehr für diese Zwecke verarbeitet.

Sie haben die Möglichkeit, im Zusammenhang mit der Nutzung von Diensten der

Informationsgesellschaft – ungeachtet der Richtlinie 2002/58/EG – Ihr Widerspruchsrecht mittels automatisierter Verfahren auszuüben, bei denen technische Spezifikationen verwendet werden.

 

8. Recht auf Widerruf der datenschutzrechtlichen Einwilligungserklärung

Sie haben das Recht, Ihre datenschutzrechtliche Einwilligungserklärung jederzeit zu widerrufen. Durch den Widerruf der Einwilligung wird die Rechtmäßigkeit der aufgrund der Einwilligung bis zum Widerruf erfolgten Verarbeitung nicht berührt.

XIII. Änderungen dieser Datenschutzerklärung

Wir behalten uns das Recht vor, die Datenschutzerklärung an die aktuellen rechtlichen Anforderungen sowie Änderungen unserer Leistungen anzupassen. Für Ihren Besuch gilt die jeweils aktuelle Datenschutzerklärung.

 

Stand: Juni 2018