Datenschutzinformation
Vielen Dank für Ihr Interesse an unserem Unternehmen und unserer Website. Auch wenn wir externe Links sorgfältig prüfen, haften wir nicht für Inhalt und Sicherheit dieser externen Links.
Wir schützen Ihre personenbezogenen Daten bestmöglich bei allen Verarbeitungsschritten – online und offline. Im Folgenden lesen Sie Informationen zur Verwendung dieser Daten.
Seit 25. Mai 2018 gilt in der Europäischen Union die Datenschutz-Grundverordnung, kurz DSGVO oder auf Englisch „GDPR“ – General Data Protection Regulation. Die DSGVO gibt vor, wie personenbezogene Daten verarbeitet werden dürfen und wie sie geschützt werden müssen.
Was ist die DSGVO?
Die DSGVO ist eine Verordnung der Europäischen Union. Sie gilt unmittelbar in jedem Mitgliedstaat, also auch in Österreich. Jede Person, deren Daten verarbeitet werden, kann sich direkt auf die DSGVO berufen.
Was regelt die DSGVO?
Die DSGVO enthält Vorschriften über die Verarbeitung Ihrer personenbezogenen Daten. Egal, ob es um Ihren Namen, Ihre Telefonnummer, Ihre Kontoumsätze oder Ihre Hobbys geht – all das schützt die DSGVO. Die darin festgeschriebenen Grundsätze regeln, wie Ihre personenbezogenen Daten gespeichert und verarbeitet werden dürfen.
Wieso gibt es weiterhin ein österreichisches Datenschutzgesetz (DSG)?
Die Europäische Union hat nicht nur die DSGVO erlassen, sondern ein ganzes „Datenschutz-Paket“. Ein Teil davon war auch eine neue Datenschutz-Richtlinie. Worin unterscheidet sich eine Richtlinie von einer Verordnung? Im Gegensatz zu einer Verordnung muss eine Richtlinie erst in nationales Recht umgesetzt werden. Außerdem lässt die DSGVO den Mitgliedstaaten Spielräume offen, um einzelne Aspekte detaillierter zu regeln als in der DSGVO selbst.
Beides passiert in Österreich im Datenschutzgesetz („DSG”).
Warum ist der Schutz meiner Daten so wichtig?
Datenschutz ist ein Grundrecht. Genauso wie Ihr Recht auf Freiheit oder Sicherheit ist Ihr Recht auf Datenschutz in der Charta der Grundrechte der Europäischen Union verankert. Diese EU-Grundrechtecharta gilt im Verhältnis zwischen Ihnen und staatlichen Institutionen.
Gesetzlich ist aber anerkannt, dass auch im privaten und wirtschaftlichen Bereich ein ausgewogenes Interessenverhältnis zwischen Datenverarbeitenden und den sogenannten „betroffenen Personen“ bestehen muss – also zum Beispiel zwischen Ihnen und Ihrer Bank. Diese Regeln finden sich in der DSGVO und im DSG.
Personenbezogene Daten sagen viel über uns aus: Unsere Hobbys, Vorlieben und Wünsche können darin sichtbar werden. Das ist natürlich schützenswert. Aber erst wenn wir Ihre Vorlieben kennen, ist es uns möglich, unseren Service individuell für Sie zu verbessern. Ein Kernelement des Datenschutzes ist es, dass wir gemeinsam einen Weg finden, wie wir Ihre Daten in Ihrem Interesse und unter Ihrer Aufsicht verarbeiten können und dürfen.
Gilt in Österreich nicht ohnehin das Bankgeheimnis?
Ja, die Informationen, die uns auf Grund der Geschäftsverbindung bekannt werden, sind auch vom österreichischen Bankgeheimnis geschützt – nach § 38 Bankwesengesetz. Die DSGVO gilt zusätzlich dazu.
Gut zu wissen: Die Entbindung vom Bankgeheimnis darf nur schriftlich erfolgen – siehe § 38 Absatz 2 Ziffer 5 Bankwesengesetz. „Schriftlich“ bedeutet hier:
- Eigenhändige Unterschrift, z. B. „Tinte und Papier“; oder
- Qualifizierte elektronische Signatur, z. B. „Handysignatur“; oder
- Starke Kundenauthentifizierung im Internetbanking, z. B. CardTAN oder s Identity-Freigabemethode in George.
Wo erfahre ich mehr über die DSGVO und das DSG 2018?
(Alle Links mit Stand März 2023)
Einen konsolidierten Text der DSGVO finden Sie hier:
https://eur-lex.europa.eu/legal-content/DE/TXT/?uri=CELEX%3A02016R0679-20160504
Einen konsolidierten Text des DSG finden Sie hier:
https://www.ris.bka.gv.at/GeltendeFassung.wxe?Abfrage=Bundesnormen&Gesetzesnummer=10001597
Die EU-Grundrechtecharta:
https://eur-lex.europa.eu/legal-content/DE/TXT/?uri=celex:12012P/TXT
Weiterführende Informationen zu Ihren Rechten finden Sie auf folgenden Webseiten:
Österreichische Datenschutzbehörde
https://www.dsb.gv.at/
Europäische Kommission:
https://ec.europa.eu/info/law/law-topic/data-protection_de
(Alle Links mit Stand Mai 2024)
Damit wir über Datenschutz sprechen können, ist es wichtig, einige grundlegende Begriffe zu klären. Wir haben auch die jeweiligen Artikel-Bezeichnungen der DSGVO angeführt, damit Sie die Definitionen bei Interesse nachlesen können. Bitte beachten Sie, dass es sich nur um Zusammenfassungen, also verkürzte Darstellungen handelt. Den gesamten Text der DSGVO und der jeweiligen Artikel finden Sie hier:
https://eur-lex.europa.eu/legal-content/DE/TXT/?uri=CELEX%3A02016R0679-20160504
Was sind personenbezogene Daten?
Personenbezogene Daten sind alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person („betroffene Person“) beziehen. Zum Beispiel ein Name oder eine Kennnummer, wie eine IBAN oder eine Kontonummer.
Nachzulesen in Artikel 4 Ziffer 1 DSGVO.
Was fällt alles unter die Verarbeitung von Daten?
Der Begriff „Verarbeitung“ meint jeden mit oder ohne Hilfe automatisierter Verfahren ausgeführten Vorgang im Zusammenhang mit personenbezogenen Daten. Dazu zählen zum Beispiel das Erheben, das Erfassen, die Organisation, das Ordnen, das Speichern, das Anpassen oder Verändern, das Auslesen, das Abfragen, das Verwenden, das Offenlegen (durch Übermitteln, Verbreiten oder eine andere Form des Bereitstellens), der Abgleich oder das Verknüpfen, das Einschränken, das Löschen oder das Vernichten.
Nachzulesen in Artikel 4 Ziffer 2 DSGVO.
Was bedeutet „Verantwortlicher“?
Der Begriff „Verantwortlicher“ meint die natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet. Zum Beispiel wir als Bank.
Nachzulesen in Artikel 4 Ziffer 7 DSGVO.
Was bedeutet „Auftragsverarbeiter“?
Der Begriff „Auftragsverarbeiter“ meint eine natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die personenbezogene Daten im Auftrag von Verantwortlichen verarbeitet.
Nachzulesen in Art 4 Ziffer 8 DSGVO.
Wer ist für die Verarbeitung meiner personenbezogenen Daten verantwortlich?
Für die Verarbeitung Ihrer Daten verantwortlich ist die
Sparkasse Kufstein, Tiroler Sparkasse von 1877
Oberer Stadtplatz 1
6330 Kufstein
Kontakt für datenschutzrelevante Anfragen:
Erste Group Bank AG
0196 1905/AT Data Privacy Security Management
Am Belvedere 1
1100 Wien
E-Mail: DSGVO-Support@erstegroup.com
Am schnellsten geht es über s Kontakt-Nachricht in George: Wenn Sie zwischen Themen auswählen können, klicken Sie auf „Datenschutz Grundverordnung / DSGVO“. Sonst schreiben Sie einfach „Datenschutz“ in den Betreff Ihrer Nachricht.
Zuständige Aufsichtsbehörde für datenschutzrechtliche Agenden:
Österreichische Datenschutzbehörde
Barichgasse 40-42
1030 Wien
Telefon: +43 1 52 152-0
E-Mail: dsb@dsb.gv.at
https://www.dsb.gv.at/
Wer ist Datenschutzbeauftragter?
Die Funktion des Datenschutzbeauftragten, auch Data Protection Officer genannt, übernimmt bei uns Dr. Gregor König. Bei Fragen, Anregungen oder Beschwerden zur Verarbeitung Ihrer Daten erreichen Sie ihn und sein Team unter:
Dr. Gregor König – Datenschutzbeauftragter
Erste Group Bank AG
Am Belvedere 1
1100 Wien
E-Mail: datenschutz@erstegroup.com
Welche personenbezogenen Daten werden verarbeitet und wie werden sie erhoben?
Welche personenbezogenen Daten wir von Ihnen verarbeiten, hängt vom Umfang der Geschäftsbeziehung zwischen Ihnen und uns ab.
Hier finden Sie eine Liste mit den möglichen Daten, die wir direkt bei den betroffenen Personen erheben oder aus den erhobenen Daten ableiten. Bitte beachten Sie: Das bedeutet nicht zwangsläufig, dass wir diese Daten von Ihnen auch konkret verarbeiten:
Wir erheben Ihre personenbezogenen Daten an verschiedenen Stellen und bei verschiedenen Anlässen, wenn Sie
- unsere Filialen besuchen oder Selbstbedienungs-Geräte nutzen.
- eines unserer Produkte eröffnen oder nutzen.
- unser online Angebot nutzen (insbesondere Webseiten, Internetbanking, Apps).
- unsere sonstigen Serviceangebote und Kontaktmöglichkeiten nutzen z. B. 24h Service, Gewinnspiele, Veranstaltungen)
Zu welchen Zwecken und auf welcher Rechtsgrundlage werden meine personenbezogenen Daten verarbeitet?
Wir sind eine Bank nach § 1 (1) Bankwesengesetz und Artikel 4 (1) 1 EU-Kapitaladäquanz-Verordnung. Zusätzlich sind wir auch als Vermittlerin für andere Produkte und Dienstleistungen tätig, z. B. Versicherungen und Bausparverträge. Im Rahmen dieser Tätigkeiten verarbeiten wir Ihre personenbezogenen Daten:
- Verarbeitung für die Vertragserfüllung und für vorvertragliche Maßnahmen, die auf Ihre Anfrage erfolgen
Welche Leistungen wir für Sie erbringen dürfen, hängt vom jeweiligen Vertrag ab, z. B. Kredit-, Konto-, Leasing-Vertrag, Versicherungsvermittlung oder George-Vereinbarung. Damit Sie sich z. B. bei George einloggen, Ihr Konto online verwalten und Transaktionen durchführen können, müssen wir Ihre Daten verarbeiten. Den Umfang der Datenverarbeitung finden Sie in den Vertragsunterlagen und Geschäftsbedingungen.
Für unser Internetbanking George analysieren wir die hinterlegten Daten und bereiten sie für eine bessere Darstellung technisch auf. Diese Aufbereitung beinhaltet neben persönlichen Informationen, Kontoständen, Buchungen und Umsatzdaten auch die Kategorisierung von Kontoumsätzen und die Indizierung dieser Daten für eine schnellere Suche in George. Davon sind auch Daten betroffen, die Sie selbst in das Internetbanking George geladen haben.
- Verarbeitung aufgrund rechtlicher Verpflichtungen
Auch rechtliche Vorschriften erfordern, dass wir Ihre personenbezogenen Daten verarbeiten, z. B. Bankwesengesetz, EU-Kapitaladäquanz-Verordnung, Wertpapieraufsichtsgesetz, Finanzmarkt-Geldwäschegesetz und EU-Geldtransfer-Verordnung. Das betrifft:- Risikomanagement, insbesondere Kreditrisiko und operationelles Risiko
- Beschwerdemanagement und Beschwerdebearbeitung, Analyse von Beschwerdefällen
- Monitoring von Insiderhandel, Interessenkonflikten und Marktmanipulation
- Identitätsfeststellung, Transaktionsüberwachung, Verdachtsmeldungen, Einhaltung von Sanktionsvorschriften
- Meldungen in das Kontoregister und Meldungen von Kapitalabflüssen
- Zahlungsdienstleistungen, z. B. zur Erkennung nicht autorisierter oder betrügerischer Zahlungsvorgänge
- Buchhaltung, Controlling und Erfüllung abgabenrechtlicher Vorschriften
- Aufzeichnen von Telefongesprächen und elektronischer Kommunikation bei Wertpapiergeschäften
- Auskünfte an Staatsanwaltschaft, Gerichte, Finanzstrafbehörden
- Offenlegung von Informationen über die Identität von Aktionär:innen
- Verarbeitung aufgrund berechtigter Interessen
Ein berechtigtes Interesse zur Datenverarbeitung durch uns oder Dritte besteht in folgenden Fällen:- Bewerbung neuer Produkte, Features und Dienstleistungen
- Um nicht-rechtsverbindliche, behördliche Empfehlungen zu befolgen
- Maßnahmen zum Schutz von Mitarbeiter:innen, Kund:innen sowie des Eigentums der Bank
- Ausüben oder Verteidigen von Rechten
- Datenaustausch für Bonitäts- und Ausfallsrisiken gegenüber Auskunfteien, z. B. Meldungen und Abfragen aus der Warnliste oder der Konsumentenkreditevidenz des Kreditschutzverband von 1870
- Betrugsprävention und -bekämpfung sowie Verhinderung von Geldwäscherei und Terrorismusfinanzierung, im Speziellen z. B.:
- In der Verdachtsdatenbank (VDB) für Bank- und Finanzinstitute werden Verdachtsfälle von Betrug und Betrugsversuch nach §§ 146 ff StGB sowie ähnliche Straftaten erfasst und verarbeitet, die während der Geschäftsbeziehung oder bei ihrer Anbahnung festgestellt werden. Geführt wird diese Datenbank von der CRIF GmbH als Auftragsverarbeiter. Wenn Bank- und Finanzinstitute diese Datenbanklösung nutzen, können sie auch Daten empfangen, mit denen sie zu Beginn einer Geschäftsbeziehung mit Kund:innen überprüfen können, ob in der Vergangenheit Betrugsversuche unternommen wurden.
- Entwicklung von Datenmodellen zum Erkennen verdächtiger Verhaltensmuster
- Dokumentation vergangener Schadensfälle als Entscheidungshilfe über das Eingehen neuer oder erweiterter Kundenbeziehungen
- Steigerung der Datenqualität
- Gewährleistung der IT-Sicherheit und des IT-Betriebs der Bank
- Aufzeichnungen und Niederschriften von Telefongesprächen zu folgenden Zwecken: Dokumentation rechtsgeschäftlich relevanter Erklärungen, Identifizierung von Verbesserungspotenzial zu Produkten und Dienstleistungen, Qualitätsmonitoring der Dienstleistungen sowie Identifizierung von Verbesserungspotenzial der Callcenter-Mitarbeiter:innen. Tonaufnahmen speichern wir nur und geben Sie im Bedarfsfall an Dritte weiter, wenn das zu Beweiszwecken notwendig ist. Hier finden Sie detaillierte Informationen zu den Verarbeitungen.
- Videoüberwachungen, um unser Hausrecht durchzusetzen, zur Prävention von Angriffen, um bei Straftaten Beweise zu sammeln, zum Schutz von Kund:innen, Mitarbeiter:innen und Eigentum, zur Durchsetzung und Abwehr von Rechtsansprüchen oder zum Nachweis von Verfügungen und Einzahlungen, z. B. an Geldautomaten. Videoaufzeichnungen von derartigen Vorfällen können im Einzelfall nach sorgfältiger Prüfung auch für Sicherheitsschulungen unserer Mitarbeiter:innen eingesetzt werden.
- Maßnahmen zur Geschäfts-, Vertriebs- und Konzernsteuerung, wie z. B. Kundensegmentierung, Reorganisationen und damit einhergehende Kundenanalysen, Vermeiden von Werbung zu bereits genutzten Produkten. Dazu zählt auch die Entwicklung von Datenmodellen für solche Maßnahmen.
- Maßnahmen zum Prozess- und Qualitätsmanagement: Wir erheben anlassbezogen Daten über unsere Prozesse und Services. Mit diesen Daten sichern wir die Qualität unserer Dienstleistungen, die Einhaltung unserer Service-Standards und die Effizienz unserer Prozesse.
- Laufende Berechnung Ihres Finanzierungspotenzials
- Auswahl zur Evaluierung der Zufriedenheit mit den angebotenen Serviceleistungen und Produkten
- Produktentwicklung, z. B. anhand von Datenmodellen
- Erstellen von synthetischen oder anonymisierten Daten zu Testzwecken (in eingeschränkten Fällen kann es auch erforderlich sein, Echtdaten zu Testzwecken heranzuziehen)
- Wenn Sie uns eine Datei mit einer elektronischen Signatur oder einem elektronischen Siegel übermitteln, werden wir dieses Dokument für die Signatur-/Siegelprüfung an einen Validierungsdienst (z. B. Signaturprüfdienst der Rundfunk und Telekom Regulierungs-GmbH) übermitteln.
- Wenn wir ein Dokument elektronisch signieren, das Ihre Daten enthält, werden wir das Dokument an einen Vertrauensdiensteanbieter (z. B. A-Trust) übermitteln.
- Wir wollen unsere hohen Qualitätsstandards über alle Beratungen hinweg sicherstellen, um unseren Gründungsauftrag gerecht zu werden: „Finanzielle Gesundheit für alle“. Dafür haben wir einen Beratungsablauf festgelegt, der auf Daten basiert und die Finanzbedürfnisse der Kund:innen gesamtheitlich betrachtet.
Für die professionellen Vorbereitung und Durchführung von Beratungen analysieren wir diese Daten:- Stammdaten, z. B.: Name, Geburtsdatum, Adresse
- Daten zu genutzten Produkten, Transaktionen
Daraus leiten wir einen aktuellen Status der Finanzbedürfnisse ab: monatliche Finanzen (Haushaltsrechnung), Liquidität und Reserve, Vermögensaufbau, Vorsorge, Risiken absichern und Finanzieren. Durch diese Datenanalyse können wir unsere Kund:innen noch treffsicherer in deren Interesse beraten. Spätestens nach 5 Jahren bzw. bei Auflösung der Geschäftsbeziehung werden die Angaben gelöscht.
- Verarbeitung aufgrund Einwilligung
Gibt es weder einen Vertrag noch rechtliche Verpflichtungen oder ein berechtigtes Interesse, kann die Datenverarbeitung dennoch rechtmäßig sein: nämlich dann, wenn Sie uns Ihre Einwilligung dazu erteilt haben. Umfang und Inhalt dieser Datenverarbeitung ergibt sich immer aus der jeweiligen Einwilligung – etwa wenn Sie uns erlauben, im Rahmen der Identitätsfeststellung ein Foto von Ihnen zu machen. Sie können eine Einwilligung jederzeit für die Zukunft widerrufen. Wenn Sie eine Einwilligung widerrufen, bleiben aber die Verarbeitungen bis zum Zeitpunkt des Widerrufs rechtmäßig. Das bedeutet also, ein Widerruf wirkt nicht für die Vergangenheit.
- Verarbeitung für statistische Zwecke
Wir verarbeiten Ihre personenbezogenen Daten auch für statistische Zwecke nach § 7 Datenschutzgesetz.
Werden auch Daten verarbeitet, die nicht bei mir erhoben werden?
Die meisten personenbezogenen Daten, die wir über Sie verarbeiten, haben Sie uns selbst bekannt gegeben. Es ist aber möglich, dass wir Ihre Daten auch aus anderen Quellen erheben:
Für die soeben genannten Datenkategorien und Datenverarbeitungen gelten auch die übrigen Ausführungen dieser Seite, ausgenommen der vorherige Punkt („Zu welchen Zwecken und auf welcher Rechtsgrundlage werden meine personenbezogenen Daten verarbeitet?“)
Bin ich verpflichtet, meine personenbezogenen Daten bereitzustellen? Was geschieht, wenn ich das nicht möchte?
Für unsere Geschäftsbeziehung sind wir auf viele Ihrer personenbezogenen Daten angewiesen, z. B. um Ihnen eine nachbestellte Debitkarte zuzusenden. Wenn wir Ihre Identität nicht prüfen können, verbietet uns das Gesetz die Geschäftsbeziehung. Kennen wir Ihre Bonität nicht, dürfen wir Ihnen keinen Kredit geben. Sie sehen: Dort, wo es aufgrund eines Vertrags oder einer rechtlichen Vorschrift erforderlich ist, müssen wir Ihre personenbezogenen Daten verarbeiten. Möchten Sie dies nicht, kann es sein, dass wir bestimmte Services leider nicht erbringen dürfen. In allen anderen Fällen verarbeiten wir Ihre Daten nur mit Ihrer Einwilligung – und die ist selbstverständlich rein freiwillig. Sie sind nicht verpflichtet, in diesen Fällen Ihre Daten bereit zu stellen.
Gibt es eine Entscheidungsfindung, die auf einer automatisierten Verarbeitung beruht – z. B. Profiling?
Sofern bei einer spezifischen Verarbeitung eine automatisierte Entscheidungsfindung inklusive Profiling stattfindet, werden Sie dort vorab darüber informiert.
Bei der Kreditvergabe prüfen wir die Bonität mit dem sogenannten Kredit-Scoring. Dabei wird das Ausfallsrisiko von Kreditsuchenden mithilfe statistischer Vergleichsgruppen bewertet.
Der errechnete Score-Wert ermöglicht eine Prognose, mit welcher Wahrscheinlichkeit ein beantragter Kredit zurückgezahlt wird. Zur Berechnung dieses Score-Wertes dienen folgende Daten:
- Ihre Stammdaten, z. B. Familienstand, Zahl der Kinder, Dauer der Beschäftigung, Arbeitgeber etc.
- Angaben zu den allgemeinen finanziellen Verhältnissen, z. B. Einkommen, Vermögen, monatliche Ausgaben, Verbindlichkeiten, Sicherheiten etc.
- Daten zum Zahlungsverhalten, z. B. Kreditrückzahlungen, Mahnungen, Daten von Kreditauskunfteien
Ist das Ausfallsrisiko zu hoch, wird der Kreditantrag abgelehnt und es kann einen Eintrag in die KKE des KSV 1870 sowie einen internen Warnhinweis geben. Wurde ein Kreditantrag abgelehnt, ist dies in KSV 1870 KKE für 6 Monate ersichtlich, gemäß Bescheid der Datenschutzbehörde.
An wen werden meine personenbezogenen Daten weitergegeben?
Ihre personenbezogenen Daten können weitergegeben werden an:
- Kreditinstitute, Stellen und Personen innerhalb des Verbundes von Sparkassen, Erste Bank und Erste Group, die diese Daten für vertragliche, gesetzliche oder aufsichtsrechtliche Pflichten sowie für berechtigte Interessen benötigen. Das gilt besonders für das Risikomanagement innerhalb der Erste Group sowie für das Management von Kreditrisiken, wenn Kreditinstitute innerhalb der Erste Group idente Kund:innen haben.
- Auskunfteien, wie z. B. den Kreditschutzverband von 1870
- Öffentliche Stellen und Institutionen sowie Personen im hoheitlichen Auftrag, sofern wir rechtlich dazu verpflichtet sind oder um unsere berechtigten Interessen zu wahren, z. B. Europäische Bankenaufsichtsbehörde, Europäische Zentralbank, Finanzmarktaufsicht, Oesterreichische Nationalbank, Finanzbehörden etc.
- Von uns beauftragte Auftragsverarbeiter:innen und sonstige Dienstleister:innen (Verantwortliche), z. B. für IT, Backoffice, Rechts- und Steuerberatung, Wirtschaftstreuhand- und Inkassounternehmen, sofern diese die Daten für ihre Aufgabe benötigen
- Bank- und Jahresabschlussprüfer:innen, soweit dies für die Prüfungstätigkeit erforderlich ist
- Dritte, sofern es für die Vertragserfüllung oder rechtliche Vorschriften verpflichtend ist, z. B. die Empfänger:in einer Überweisung und deren Zahlungsdienstleister:in.
- Validierungsdienste wie z. B. die Rundfunk und Telekom Regulierungs-GmbH, sofern dies erforderlich ist, um eine von Ihnen übermittelte elektronische Signatur oder ein elektronisches Siegel zu prüfen
- Vertrauensdiensteanbieter:innen, z. B. A-Trust, wenn wir ein Dokument elektronisch signieren, das Ihre Daten enthält.
Die Weitergabe an Dritte kann auch dann erfolgen, wenn und solange Sie in die Weitergabe eingewilligt haben.
Eine Liste mit einer Übersicht möglicher Empfänger:innen finden Sie hier.
Werden meine personenbezogenen Daten in ein Drittland übermittelt?
Ihre personenbezogenen Daten können in den folgenden Fällen in ein Drittland übermittelt werden:
- Wenn dies erforderlich ist, um Rechtsansprüche geltend zu machen, auszuüben oder zu verteidigen bzw. auch wenn eine Rechtspflicht vorliegt, z. B. auf behördliche Aufforderung im Rahmen eines Rechtshilfeabkommens.
- Sofern es für Ihren Vertrag oder für vorvertragliche Maßnahmen erforderlich ist, z. B. wenn eine Überweisung in ein Drittland vorgenommen wird.
- Unsere Auftrags- und Sub-Auftragsverarbeiter:innen können in Drittländern ansässig sein. Sofern die Übermittlung nicht auf Grundlage eines Angemessenheitsbeschlusses der Europäischen Kommission erfolgt, übermitteln wir die Daten auf Basis geeigneter oder angemessener Garantien. Auf Anfrage stellen wir Ihnen diese gern zur Verfügung.
- In anderen Fällen, in denen an ein Drittland übermittelt wird, werden Sie gesondert informiert.
Eine Liste mit einer Übersicht möglicher Drittland-Empfänger:innen finden Sie hier.
Wie lange werden meine personenbezogenen Daten aufbewahrt?
(Alle Links mit Stand Mai 2024)
Ihre personenbezogenen Daten werden so lange aufbewahrt, wie es für den jeweiligen Zweck erforderlich ist: Das kann etwa die Dauer der Kundenbeziehung, ein anhängiges Gerichtsverfahren oder der Bestand einer Forderung sein oder wenn es ein Gesetz vorschreibt. Die Aufbewahrung kann auch erforderlich sein, wenn Sie nicht mehr unsere Kund:in sind.
Die für ein Kreditinstitut wesentlichen gesetzlichen Bestimmungen sind z. B.:
- Unternehmensgesetzbuch § 212 (7 Jahre)
- Bundesabgabenordnung § 132 (7 Jahre oder für die Dauer eines Abgabenverfahrens)
- Wertpapieraufsichtsgesetz 2018 § 33 (5 oder 7 Jahre auf Anordnung der Finanzmarktaufsicht)
- Finanzmarkt-Geldwäschegesetz § 21 (10 Jahre ab Ende der Geschäftsbeziehung)
Eine Übersicht über weitere in Österreich geltende gesetzliche Aufbewahrungspflichten finden Sie z. B. hier:
In folgenden Fällen hat die Bank ein berechtigtes Interesse, Ihre personenbezogenen Daten aufzubewahren:
- Finanzierungsanträge können jedenfalls bis zu 18 Monate nach Erstellung aufbewahrt werden. Dies dient unserem berechtigten Interesse, den Kundenkontakt zu dokumentieren und den Antrag rasch weiterbearbeiten zu können, wenn Sie wieder zu uns kommen.
- Wenn Sie den George Store nutzen und den Kauf nicht abschließen, werden Ihre personenbezogenen Daten 60 Tage lang gespeichert. In dieser Zeit können Sie den Wiederherstellungs-Link verwenden und den Kauf abschließen.
- Wenn Sie den George Store nutzen, werden Metadaten (z. B. Logdaten, technische Protokolldaten, Datum und Zeitstempel) im Zusammenhang mit dem abgeschlossenen Kauf 60 Tage lang aufbewahrt. Das machen wir, um potenzielle betriebliche Probleme zu erkennen, die sich aus dem Ablauf des Kaufs ergeben. Außerdem nutzen wir diese Daten, um mögliche Rechtsansprüche abzuwehren und um Wartungsarbeiten durchzuführen.
- SWIFT-Nachrichten werden zur Betrugsprävention und -bekämpfung sowie zur Verhinderung von Geldwäscherei und Terrorismusfinanzierung 30 Jahre lang aufbewahrt.
- Daten über verkaufte Forderungen werden 30 Jahre ab Verkauf aufbewahrt. Dies dient dem berechtigten Interesse der Bank, mögliche Einwendungen aus dem Forderungsverkauf abzuwenden.
- Ihre personenbezogenen Daten können auch zur Dokumentation vergangener Schadensfälle aufbewahrt werden, als Entscheidungshilfe über das Eingehen neuer oder erweiterter Kundenbeziehungen. Konkret:
- 7 Jahre bei einem Schadensfall, wenn
- die Schadenshöhe zum Fallabschluss maximal 20.000 Euro betragen hat oder
- sonst aufgrund besonderer Umstände kein Interesse an einer Geschäftsbeziehung besteht
- 12 Jahre bei einem Schadensfall, wenn
- die Schadenshöhe zum Fallabschluss mehr als 20.000 Euro betragen hat oder
- während unserer aufrechten Geschäftsbeziehung über Ihr Vermögen die Insolvenz eröffnet wurde.
- 30 Jahre in besonders schwerwiegenden Ausnahmefällen nach eingehender Prüfung im Einzelfall.
- 7 Jahre bei einem Schadensfall, wenn
Die Aufbewahrungsdauer beginnt, wenn der Schadensfall abgeschlossen wurde, d. h. sobald keine Schuld/Forderung mehr besteht oder ein Insolvenzverfahren beendet oder aufgehoben wurde. Darüber hinaus müssen Daten über vergangene Schadensfälle zu regulatorischen Zwecken aufbewahrt werden, z. B. werden die Daten auch für unser Modell zur Berechnung von Ausfällen herangezogen. Auf diese Daten hat jedoch nur ein beschränkter Personenkreis Zugriff. Für Kundenbetreuer:innen sind sie nicht mehr ersichtlich. Die Daten haben auch keine Auswirkungen auf eine bestehende oder zukünftige Geschäftsbeziehung.
Wer ist für die Verarbeitung meiner personenbezogenen Daten verantwortlich?
Für die Verarbeitung Ihrer Daten verantwortlich ist die
Sparkasse Kufstein, Tiroler Sparkasse von 1877
Oberer Stadtplatz 1
6330 Kufstein
Kontakt für datenschutzrelevante Anfragen:
Erste Group Bank AG
0196 1905/AT Data Privacy Security Management
Am Belvedere 1
1100 Wien
E-Mail: DSGVO-Support@erstegroup.com
Am schnellsten geht es über s Kontakt-Nachricht in George: Wenn Sie zwischen Themen auswählen können, klicken Sie auf „Datenschutz Grundverordnung / DSGVO“. Sonst schreiben Sie einfach „Datenschutz“ in den Betreff Ihrer Nachricht.
Zuständige Aufsichtsbehörde für datenschutzrechtliche Agenden:
Österreichische Datenschutzbehörde
Barichgasse 40-42
1030 Wien
Telefon: +43 1 52 152-0
E-Mail: dsb@dsb.gv.at
https://www.dsb.gv.at/
Wer ist Datenschutzbeauftragter?
Die Funktion des Datenschutzbeauftragten, auch Data Protection Officer genannt, übernimmt bei uns Dr. Gregor König. Bei Fragen, Anregungen oder Beschwerden zur Verarbeitung Ihrer Daten erreichen Sie ihn und sein Team unter:
Dr. Gregor König – Datenschutzbeauftragter
Erste Group Bank AG
Am Belvedere 1
1100 Wien
E-Mail: datenschutz@erstegroup.com
Welche personenbezogenen Daten werden verarbeitet und wie werden sie erhoben?
Welche personenbezogenen Daten wir von Ihnen verarbeiten, hängt vom Umfang der Geschäftsbeziehung zwischen Ihnen und uns ab.
Hier finden Sie eine Liste mit den möglichen Daten, die wir direkt bei den betroffenen Personen erheben oder aus den erhobenen Daten ableiten. Bitte beachten Sie: Das bedeutet nicht zwangsläufig, dass wir diese Daten von Ihnen auch konkret verarbeiten:
Wir erheben Ihre personenbezogenen Daten an verschiedenen Stellen und bei verschiedenen Anlässen, wenn Sie
- unsere Filialen besuchen oder Selbstbedienungs-Geräte nutzen.
- eines unserer Produkte eröffnen oder nutzen.
- unser online Angebot nutzen (insbesondere Webseiten, Internetbanking, Apps).
- unsere sonstigen Serviceangebote und Kontaktmöglichkeiten nutzen z. B. 24h Service, Gewinnspiele, Veranstaltungen)
Zu welchen Zwecken und auf welcher Rechtsgrundlage werden meine personenbezogenen Daten verarbeitet?
Wir sind eine Bank nach § 1 (1) Bankwesengesetz und Artikel 4 (1) 1 EU-Kapitaladäquanz-Verordnung. Zusätzlich sind wir auch als Vermittlerin für andere Produkte und Dienstleistungen tätig, z. B. Versicherungen und Bausparverträge. Im Rahmen dieser Tätigkeiten verarbeiten wir Ihre personenbezogenen Daten:
- Verarbeitung für die Vertragserfüllung und für vorvertragliche Maßnahmen, die auf Ihre Anfrage erfolgen
Welche Leistungen wir für Sie erbringen dürfen, hängt vom jeweiligen Vertrag ab, z. B. Kredit-, Konto-, Leasing-Vertrag, Versicherungsvermittlung oder George-Vereinbarung. Damit Sie sich z. B. bei George einloggen, Ihr Konto online verwalten und Transaktionen durchführen können, müssen wir Ihre Daten verarbeiten. Den Umfang der Datenverarbeitung finden Sie in den Vertragsunterlagen und Geschäftsbedingungen.
Für unser Internetbanking George analysieren wir die hinterlegten Daten und bereiten sie für eine bessere Darstellung technisch auf. Diese Aufbereitung beinhaltet neben persönlichen Informationen, Kontoständen, Buchungen und Umsatzdaten auch die Kategorisierung von Kontoumsätzen und die Indizierung dieser Daten für eine schnellere Suche in George. Davon sind auch Daten betroffen, die Sie selbst in das Internetbanking George geladen haben.
- Verarbeitung aufgrund rechtlicher Verpflichtungen
Auch rechtliche Vorschriften erfordern, dass wir Ihre personenbezogenen Daten verarbeiten, z. B. Bankwesengesetz, EU-Kapitaladäquanz-Verordnung, Wertpapieraufsichtsgesetz, Finanzmarkt-Geldwäschegesetz und EU-Geldtransfer-Verordnung. Das betrifft:- Risikomanagement, insbesondere Kreditrisiko und operationelles Risiko
- Beschwerdemanagement und Beschwerdebearbeitung, Analyse von Beschwerdefällen
- Monitoring von Insiderhandel, Interessenkonflikten und Marktmanipulation
- Identitätsfeststellung, Transaktionsüberwachung, Verdachtsmeldungen, Einhaltung von Sanktionsvorschriften
- Meldungen in das Kontoregister und Meldungen von Kapitalabflüssen
- Zahlungsdienstleistungen, z. B. zur Erkennung nicht autorisierter oder betrügerischer Zahlungsvorgänge
- Buchhaltung, Controlling und Erfüllung abgabenrechtlicher Vorschriften
- Aufzeichnen von Telefongesprächen und elektronischer Kommunikation bei Wertpapiergeschäften
- Auskünfte an Staatsanwaltschaft, Gerichte, Finanzstrafbehörden
- Offenlegung von Informationen über die Identität von Aktionär:innen
- Verarbeitung aufgrund berechtigter Interessen
Ein berechtigtes Interesse zur Datenverarbeitung durch uns oder Dritte besteht in folgenden Fällen:- Bewerbung neuer Produkte, Features und Dienstleistungen
- Um nicht-rechtsverbindliche, behördliche Empfehlungen zu befolgen
- Maßnahmen zum Schutz von Mitarbeiter:innen, Kund:innen sowie des Eigentums der Bank
- Ausüben oder Verteidigen von Rechten
- Datenaustausch für Bonitäts- und Ausfallsrisiken gegenüber Auskunfteien, z. B. Meldungen und Abfragen aus der Warnliste oder der Konsumentenkreditevidenz des Kreditschutzverband von 1870
- Betrugsprävention und -bekämpfung sowie Verhinderung von Geldwäscherei und Terrorismusfinanzierung, im Speziellen z. B.:
- In der Verdachtsdatenbank (VDB) für Bank- und Finanzinstitute werden Verdachtsfälle von Betrug und Betrugsversuch nach §§ 146 ff StGB sowie ähnliche Straftaten erfasst und verarbeitet, die während der Geschäftsbeziehung oder bei ihrer Anbahnung festgestellt werden. Geführt wird diese Datenbank von der CRIF GmbH als Auftragsverarbeiter. Wenn Bank- und Finanzinstitute diese Datenbanklösung nutzen, können sie auch Daten empfangen, mit denen sie zu Beginn einer Geschäftsbeziehung mit Kund:innen überprüfen können, ob in der Vergangenheit Betrugsversuche unternommen wurden.
- Entwicklung von Datenmodellen zum Erkennen verdächtiger Verhaltensmuster
- Dokumentation vergangener Schadensfälle als Entscheidungshilfe über das Eingehen neuer oder erweiterter Kundenbeziehungen
- Steigerung der Datenqualität
- Gewährleistung der IT-Sicherheit und des IT-Betriebs der Bank
- Aufzeichnungen und Niederschriften von Telefongesprächen zu folgenden Zwecken: Dokumentation rechtsgeschäftlich relevanter Erklärungen, Identifizierung von Verbesserungspotenzial zu Produkten und Dienstleistungen, Qualitätsmonitoring der Dienstleistungen sowie Identifizierung von Verbesserungspotenzial der Callcenter-Mitarbeiter:innen. Tonaufnahmen speichern wir nur und geben Sie im Bedarfsfall an Dritte weiter, wenn das zu Beweiszwecken notwendig ist. Hier finden Sie detaillierte Informationen zu den Verarbeitungen.
- Videoüberwachungen, um unser Hausrecht durchzusetzen, zur Prävention von Angriffen, um bei Straftaten Beweise zu sammeln, zum Schutz von Kund:innen, Mitarbeiter:innen und Eigentum, zur Durchsetzung und Abwehr von Rechtsansprüchen oder zum Nachweis von Verfügungen und Einzahlungen, z. B. an Geldautomaten. Videoaufzeichnungen von derartigen Vorfällen können im Einzelfall nach sorgfältiger Prüfung auch für Sicherheitsschulungen unserer Mitarbeiter:innen eingesetzt werden.
- Maßnahmen zur Geschäfts-, Vertriebs- und Konzernsteuerung, wie z. B. Kundensegmentierung, Reorganisationen und damit einhergehende Kundenanalysen, Vermeiden von Werbung zu bereits genutzten Produkten. Dazu zählt auch die Entwicklung von Datenmodellen für solche Maßnahmen.
- Maßnahmen zum Prozess- und Qualitätsmanagement: Wir erheben anlassbezogen Daten über unsere Prozesse und Services. Mit diesen Daten sichern wir die Qualität unserer Dienstleistungen, die Einhaltung unserer Service-Standards und die Effizienz unserer Prozesse.
- Laufende Berechnung Ihres Finanzierungspotenzials
- Auswahl zur Evaluierung der Zufriedenheit mit den angebotenen Serviceleistungen und Produkten
- Produktentwicklung, z. B. anhand von Datenmodellen
- Erstellen von synthetischen oder anonymisierten Daten zu Testzwecken (in eingeschränkten Fällen kann es auch erforderlich sein, Echtdaten zu Testzwecken heranzuziehen)
- Wenn Sie uns eine Datei mit einer elektronischen Signatur oder einem elektronischen Siegel übermitteln, werden wir dieses Dokument für die Signatur-/Siegelprüfung an einen Validierungsdienst (z. B. Signaturprüfdienst der Rundfunk und Telekom Regulierungs-GmbH) übermitteln.
- Wenn wir ein Dokument elektronisch signieren, das Ihre Daten enthält, werden wir das Dokument an einen Vertrauensdienste-Anbieter (z. B. A-Trust) übermitteln.
- Wir wollen unsere hohen Qualitätsstandards über alle Beratungen hinweg sicherstellen, um unserem Gründungsauftrag gerecht zu werden: „Finanzielle Gesundheit für alle“. Dafür haben wir einen Beratungsablauf festgelegt, der auf Daten basiert und die Finanzbedürfnisse der Kund:innen gesamtheitlich betrachtet.
Für die professionellen Vorbereitung und Durchführung von Beratungen analysieren wir diese Daten:- Stammdaten, z. B.: Name, Geburtsdatum, Adresse
- Daten zu genutzten Produkten, Transaktionen
Daraus leiten wir einen aktuellen Status der Finanzbedürfnisse ab: monatliche Finanzen (Haushaltsrechnung), Liquidität und Reserve, Vermögensaufbau, Vorsorge, Risiken absichern und Finanzieren. Durch diese Datenanalyse können wir unsere Kund:innen noch treffsicherer in deren Interesse beraten. Spätestens nach 5 Jahren bzw. bei Auflösung der Geschäftsbeziehung werden die Angaben gelöscht.
- Verarbeitung aufgrund Einwilligung
Gibt es weder einen Vertrag noch rechtliche Verpflichtungen oder ein berechtigtes Interesse, kann die Datenverarbeitung dennoch rechtmäßig sein: nämlich dann, wenn Sie uns Ihre Einwilligung dazu erteilt haben. Umfang und Inhalt dieser Datenverarbeitung ergibt sich immer aus der jeweiligen Einwilligung – etwa wenn Sie uns erlauben, im Rahmen der Identitätsfeststellung ein Foto von Ihnen zu machen. Sie können eine Einwilligung jederzeit für die Zukunft widerrufen. Wenn Sie eine Einwilligung widerrufen, bleiben aber die Verarbeitungen bis zum Zeitpunkt des Widerrufs rechtmäßig. Das bedeutet also, ein Widerruf wirkt nicht für die Vergangenheit.
- Verarbeitung für statistische Zwecke
Wir verarbeiten Ihre personenbezogenen Daten auch für statistische Zwecke nach § 7 Datenschutzgesetz.
Werden auch Daten verarbeitet, die nicht bei mir erhoben werden?
Die meisten personenbezogenen Daten, die wir über Sie verarbeiten, haben Sie uns selbst bekannt gegeben. Es ist aber möglich, dass wir Ihre Daten auch aus anderen Quellen erheben:
Für die soeben genannten Datenkategorien und Datenverarbeitungen gelten auch die übrigen Ausführungen dieser Seite, ausgenommen der vorherige Punkt („Zu welchen Zwecken und auf welcher Rechtsgrundlage werden meine personenbezogenen Daten verarbeitet?“)
Bin ich verpflichtet, meine personenbezogenen Daten bereitzustellen? Was geschieht, wenn ich das nicht möchte?
Für unsere Geschäftsbeziehung sind wir auf viele Ihrer personenbezogenen Daten angewiesen, z. B. um Ihnen eine nachbestellte Debitkarte zuzusenden. Wenn wir Ihre Identität nicht prüfen können, verbietet uns das Gesetz die Geschäftsbeziehung. Kennen wir Ihre Bonität nicht, dürfen wir Ihnen keinen Kredit geben. Sie sehen: Dort, wo es aufgrund eines Vertrags oder einer rechtlichen Vorschrift erforderlich ist, müssen wir Ihre personenbezogenen Daten verarbeiten. Möchten Sie dies nicht, kann es sein, dass wir bestimmte Services leider nicht erbringen dürfen. In allen anderen Fällen verarbeiten wir Ihre Daten nur mit Ihrer Einwilligung – und die ist selbstverständlich rein freiwillig. Sie sind nicht verpflichtet, in diesen Fällen Ihre Daten bereit zu stellen.
Gibt es eine Entscheidungsfindung, die auf einer automatisierten Verarbeitung beruht – z. B. Profiling?
Sofern bei einer spezifischen Verarbeitung eine automatisierte Entscheidungsfindung inklusive Profiling stattfindet, werden Sie dort vorab darüber informiert.
Bei der Kreditvergabe prüfen wir die Bonität mit dem sogenannten Kredit-Scoring. Dabei wird das Ausfallsrisiko von Kreditsuchenden mithilfe statistischer Vergleichsgruppen bewertet.
Der errechnete Score-Wert ermöglicht eine Prognose, mit welcher Wahrscheinlichkeit ein beantragter Kredit zurückgezahlt wird. Zur Berechnung dieses Score-Wertes dienen folgende Daten:
- Ihre Stammdaten, z. B. Familienstand, Zahl der Kinder, Dauer der Beschäftigung, Arbeitgeber etc.
- Angaben zu den allgemeinen finanziellen Verhältnissen, z. B. Einkommen, Vermögen, monatliche Ausgaben, Verbindlichkeiten, Sicherheiten etc.
- Daten zum Zahlungsverhalten, z. B. Kreditrückzahlungen, Mahnungen, Daten von Kreditauskunfteien
Ist das Ausfallsrisiko zu hoch, wird der Kreditantrag abgelehnt und es kann einen Eintrag in die KKE des KSV 1870 sowie einen internen Warnhinweis geben. Wurde ein Kreditantrag abgelehnt, ist dies in KSV 1870 KKE für 6 Monate ersichtlich, gemäß Bescheid der Datenschutzbehörde.
An wen werden meine personenbezogenen Daten weitergegeben?
Ihre personenbezogenen Daten können weitergegeben werden an:
- Kreditinstitute, Stellen und Personen innerhalb des Verbundes von Sparkassen, Erste Bank und Erste Group, die diese Daten für vertragliche, gesetzliche oder aufsichtsrechtliche Pflichten sowie für berechtigte Interessen benötigen. Das gilt besonders für das Risikomanagement innerhalb der Erste Group sowie für das Management von Kreditrisiken, wenn Kreditinstitute innerhalb der Erste Group idente Kund:innen haben.
- Auskunfteien, wie z. B. den Kreditschutzverband von 1870
- Öffentliche Stellen und Institutionen sowie Personen im hoheitlichen Auftrag, sofern wir rechtlich dazu verpflichtet sind oder um unsere berechtigten Interessen zu wahren, z. B. Europäische Bankenaufsichtsbehörde, Europäische Zentralbank, Finanzmarktaufsicht, Oesterreichische Nationalbank, Finanzbehörden etc.
- Von uns beauftragte Auftragsverarbeiter:innen und sonstige Dienstleister:innen (Verantwortliche), z. B. für IT, Backoffice, Rechts- und Steuerberatung, Wirtschaftstreuhand- und Inkassounternehmen, sofern diese die Daten für ihre Aufgabe benötigen
- Bank- und Jahresabschlussprüfer:innen, soweit dies für die Prüfungstätigkeit erforderlich ist
- Dritte, sofern es für die Vertragserfüllung oder rechtliche Vorschriften verpflichtend ist, z. B. die Empfänger:in einer Überweisung und deren Zahlungsdienstleister:in.
- Validierungsdienste wie z. B. die Rundfunk und Telekom Regulierungs-GmbH, sofern dies erforderlich ist, um eine von Ihnen übermittelte elektronische Signatur oder ein elektronisches Siegel zu prüfen
- Vertrauensdiensteanbieter:innen, z. B. A-Trust, wenn wir ein Dokument elektronisch signieren, das Ihre Daten enthält.
Die Weitergabe an Dritte kann auch dann erfolgen, wenn und solange Sie in die Weitergabe eingewilligt haben.
Eine Liste mit einer Übersicht möglicher Empfänger:innen finden Sie hier.
Werden meine personenbezogenen Daten in ein Drittland übermittelt?
Ihre personenbezogenen Daten können in den folgenden Fällen in ein Drittland übermittelt werden:
- Wenn dies erforderlich ist, um Rechtsansprüche geltend zu machen, auszuüben oder zu verteidigen bzw. auch wenn eine Rechtspflicht vorliegt, z. B. auf behördliche Aufforderung im Rahmen eines Rechtshilfeabkommens.
- Sofern es für Ihren Vertrag oder für vorvertragliche Maßnahmen erforderlich ist, z. B. wenn eine Überweisung in ein Drittland vorgenommen wird.
- Unsere Auftrags- und Sub-Auftragsverarbeiter:innen können in Drittländern ansässig sein. Sofern die Übermittlung nicht auf Grundlage eines Angemessenheitsbeschlusses der Europäischen Kommission erfolgt, übermitteln wir die Daten auf Basis geeigneter oder angemessener Garantien. Auf Anfrage stellen wir Ihnen diese gern zur Verfügung.
- In anderen Fällen, in denen an ein Drittland übermittelt wird, werden Sie gesondert informiert.
Eine Liste mit einer Übersicht möglicher Drittland-Empfänger:innen finden Sie hier.
Wie lange werden meine personenbezogenen Daten aufbewahrt?
(Alle Links mit Stand Mai 2024)
Ihre personenbezogenen Daten werden so lange aufbewahrt, wie es für den jeweiligen Zweck erforderlich ist: Das kann etwa die Dauer der Kundenbeziehung, ein anhängiges Gerichtsverfahren oder der Bestand einer Forderung sein oder wenn es ein Gesetz vorschreibt. Die Aufbewahrung kann auch erforderlich sein, wenn Sie nicht mehr unsere Kund:in sind.
Die für ein Kreditinstitut wesentlichen gesetzlichen Bestimmungen sind z. B.:
- Unternehmensgesetzbuch § 212 (7 Jahre)
- Bundesabgabenordnung § 132 (7 Jahre oder für die Dauer eines Abgabenverfahrens)
- Wertpapieraufsichtsgesetz 2018 § 33 (5 oder 7 Jahre auf Anordnung der Finanzmarktaufsicht)
- Finanzmarkt-Geldwäschegesetz § 21 (10 Jahre ab Ende der Geschäftsbeziehung)
Eine Übersicht über weitere in Österreich geltende gesetzliche Aufbewahrungspflichten finden Sie z. B. hier:
In folgenden Fällen hat die Bank ein berechtigtes Interesse, Ihre personenbezogenen Daten aufzubewahren:
- Finanzierungsanträge können jedenfalls bis zu 18 Monate nach Erstellung aufbewahrt werden. Dies dient unserem berechtigten Interesse, den Kundenkontakt zu dokumentieren und den Antrag rasch weiterbearbeiten zu können, wenn Sie wieder zu uns kommen.
- Wenn Sie den George Store nutzen und den Kauf nicht abschließen, werden Ihre personenbezogenen Daten 60 Tage lang gespeichert. In dieser Zeit können Sie den Wiederherstellungs-Link verwenden und den Kauf abschließen.
- Wenn Sie den George Store nutzen, werden Metadaten (z. B. Logdaten, technische Protokolldaten, Datum und Zeitstempel) im Zusammenhang mit dem abgeschlossenen Kauf 60 Tage lang aufbewahrt. Das machen wir, um potenzielle betriebliche Probleme zu erkennen, die sich aus dem Ablauf des Kaufs ergeben. Außerdem nutzen wir diese Daten, um mögliche Rechtsansprüche abzuwehren und um Wartungsarbeiten durchzuführen.
- SWIFT-Nachrichten werden zur Betrugsprävention und -bekämpfung sowie zur Verhinderung von Geldwäscherei und Terrorismusfinanzierung 30 Jahre lang aufbewahrt.
- Daten über verkaufte Forderungen werden 30 Jahre ab Verkauf aufbewahrt. Dies dient dem berechtigten Interesse der Bank, mögliche Einwendungen aus dem Forderungsverkauf abzuwenden.
- Ihre personenbezogenen Daten können auch zur Dokumentation vergangener Schadensfälle aufbewahrt werden, als Entscheidungshilfe über das Eingehen neuer oder erweiterter Kundenbeziehungen. Konkret:
- 7 Jahre bei einem Schadensfall, wenn
- die Schadenshöhe zum Fallabschluss maximal 20.000 Euro betragen hat oder
- sonst aufgrund besonderer Umstände kein Interesse an einer Geschäftsbeziehung besteht
- 12 Jahre bei einem Schadensfall, wenn
- die Schadenshöhe zum Fallabschluss mehr als 20.000 Euro betragen hat oder
- während unserer aufrechten Geschäftsbeziehung über Ihr Vermögen die Insolvenz eröffnet wurde.
- 30 Jahre in besonders schwerwiegenden Ausnahmefällen nach eingehender Prüfung im Einzelfall.
- 7 Jahre bei einem Schadensfall, wenn
Die Aufbewahrungsdauer beginnt, wenn der Schadensfall abgeschlossen wurde, d. h. sobald keine Schuld/Forderung mehr besteht oder ein Insolvenzverfahren beendet oder aufgehoben wurde. Darüber hinaus müssen Daten über vergangene Schadensfälle zu regulatorischen Zwecken aufbewahrt werden, z. B. werden die Daten auch für unser Modell zur Berechnung von Ausfällen herangezogen. Auf diese Daten hat jedoch nur ein beschränkter Personenkreis Zugriff. Für Kundenbetreuer:innen sind sie nicht mehr ersichtlich. Die Daten haben auch keine Auswirkungen auf eine bestehende oder zukünftige Geschäftsbeziehung.
Welche Rechte habe ich?
Die DSGVO gewährt folgende Rechte für Ihre personenbezogenen Daten. Sie haben das Recht auf:
- Auskunft, nach Artikel 15 DSGVO
- Berichtigung, nach Artikel 16 DSGVO
- Löschung, nach Artikel 17 DSGVO
- Einschränkung der Verarbeitung, nach Artikel 18 DSGVO
- Datenübertragbarkeit, nach Artikel 20 DSGVO
- Widerspruch, nach Artikel 21 DSGVO
- Entscheidungen, die nicht ausschließlich auf einer automatisierten Verarbeitung beruhen – einschließlich Profiling, nach Artikel 22 DSGVO
Was bedeutet das Recht auf Auskunft?
Sie haben das Recht, eine Bestätigung darüber zu verlangen, ob wir Ihre personenbezogenen Daten verarbeiten. Ist dies der Fall, haben Sie auch das Recht auf Auskunft über diese personenbezogenen Daten und auf die folgenden Informationen:
- Verarbeitungszwecke
- Kategorien der personenbezogenen Daten, die verarbeitet werden
- Empfänger:innen oder Kategorien von Empfänger:innen, gegenüber denen die personenbezogenen Daten offengelegt worden sind oder noch offengelegt werden, insbesondere bei Empfänger:innen in Drittländern oder bei internationalen Organisationen
- Falls möglich, die geplante Dauer, für die die personenbezogenen Daten gespeichert werden, oder, falls dies nicht möglich ist, die Kriterien für die Festlegung dieser Dauer
- Das Bestehen des Rechts auf Berichtigen oder Löschen der Sie betreffenden personenbezogenen Daten; Einschränkung oder Widerspruch gegen diese Verarbeitung
- Beschwerderecht bei einer Aufsichtsbehörde
- Alle verfügbaren Informationen über die Herkunft der personenbezogenen Daten, wenn die Daten nicht bei der betroffenen Person erhoben werden
- Ob eine automatisierte Entscheidungsfindung einschließlich Profiling besteht, gemäß Artikel 22 Absätze 1 und 4 DSGVO und – zumindest in diesen Fällen –aussagekräftige Informationen über Logik, Tragweite und Auswirkungen einer derartigen Verarbeitung für die betroffene Person
Wie Sie Ihr Recht genau geltend machen können, finden Sie hier.
Was bedeutet das Recht auf Berichtigung?
Uns ist wichtig, dass Ihre Daten stets richtig und vollständig sind. Wenn Sie vermuten, dass sie unrichtig oder unvollständig sind, können Sie beantragen, dass die Daten berichtigt oder vervollständigt werden. Wie Sie Ihr Recht geltend machen können, finden Sie hier.
Was bedeuten das „Recht auf Löschung“ und das „Recht auf Vergessenwerden“?
Wir legen großen Wert darauf, dass Ihre Daten nur innerhalb der Rahmenbedingungen der DSGVO und des DSG verarbeitet werden. Sollten Sie dennoch der begründeten Ansicht sein, dass dies nicht der Fall ist, können Sie das Löschen Ihrer personenbezogenen Daten beantragen. Die Gründe dafür können sein:
- Die personenbezogenen Daten sind für die Zwecke, für die sie erhoben oder auf sonstige Weise verarbeitet wurden, nicht mehr notwendig.
Beispiel: Ihre personenbezogenen Daten müssen gelöscht werden, wenn diese ausschließlich für die Abwicklung eines Kaufs erhoben wurden (= einziger Zweck) und Sie nicht eingewilligt haben, dass diese Daten für andere Zwecke verarbeitet werden. In diesem Fall ist es nach Abschluss des Kaufs und nach Ablauf einer Aufbewahrungsfrist nicht mehr notwendig, die Daten weiterzuverarbeiten. Die möglichen Aufbewahrungsfristen finden Sie hier.
- Sie widerrufen Ihre Einwilligung, auf die sich die Verarbeitung stützte, nach Artikel 6 Absatz 1 Buchstabe a DSGVO oder Artikel 9 Absatz 2 Buchstabe a DSGVO, und es fehlt an einer anderweitigen Rechtsgrundlage für die Verarbeitung.
Beispiel: Sie haben eingewilligt, dass Ihre personenbezogenen Daten für individuelle Produktangebote eines Drittanbieters verarbeitet werden dürfen (= einziger Zweck). Sobald Sie diese Einwilligung widerrufen, müssen die personenbezogenen Daten wieder gelöscht werden. Ausnahmen: Andere Zwecke oder Rechtfertigungen für die Verarbeitung liegen vor und Sie stehen zum Beispiel auch in einer Kundenbeziehung zum Drittanbieter.
- Sie legen Widerspruch gegen die Verarbeitung ein, nach Artikel 21 Absatz 1 DSGVO, und es liegen keine vorrangigen berechtigten Gründe für das Verarbeiten vor.
Beispiel: Sie können Widerspruch einlegen, wenn zum Beispiel jemand Ihre personenbezogenen Daten ohne Ihre Einwilligung verarbeitet, nur weil er meint, ein berechtigtes Interesse daran zu haben (und es auch sonst keine Rechtfertigung gibt). Wenn Sie dem widersprechen und es tatsächlich kein berechtigtes Interesse gab, müssen die personenbezogenen Daten gelöscht werden. Der Widerspruch war erfolgreich.
- Die personenbezogenen Daten wurden unrechtmäßig verarbeitet.
Unrechtmäßig („grundlos“) verarbeitete personenbezogene Daten müssen gelöscht werden.
- Die Löschung der personenbezogenen Daten unterliegt einer rechtlichen Verpflichtung nach dem EU-Recht oder dem Recht der Mitgliedstaaten der Verantwortlichen.
Damit sind Gesetze oder andere Rechtsvorschriften gemeint, die eine Löschung von personenbezogenen Daten verlangen.
- Die personenbezogenen Daten wurden in Bezug auf angebotene Dienste der Informationsgesellschaft gemäß Artikel 8 Absatz 1 DSGVO erhoben.
Hierbei handelt es sich um eine besondere Schutzregel zugunsten Minderjähriger, die online Dienstleistungen in Anspruch nehmen.
Das war das Recht auf Löschung, kurz zusammengefasst. Dieses ist nicht mit dem „Recht auf Vergessenwerden“ zu verwechseln.
Das „Recht auf Vergessenwerden“ bezieht sich auf öffentlich gemachte personenbezogene Daten. Es besagt Folgendes: Muss die Person, die die Daten ursprünglich veröffentlicht hat, diese Daten löschen (weil einer der oben genannten Löschungsgründe vorliegt), dann muss sie zusätzlich auch jene Personen davon verständigen, welche die Daten aufgrund der Veröffentlichung erhalten haben. Im Detail ist diese Regel recht kompliziert. Die DSGVO bezieht sich dabei besonders auf Internet-Suchmaschinen.
Wie Sie Ihr Recht auf Löschung und Vergessenwerden geltend machen können, finden Sie hier.
Was bedeutet das Recht auf Einschränkung der Verarbeitung?
Wir legen hohen Wert darauf, dass wir Ihre Daten stets innerhalb der Rahmenbedingungen der DSGVO und des DSG verarbeiten. Sollten Sie dennoch der Ansicht sein, dass dies nicht der Fall ist, haben Sie das Recht, die Einschränkung der Verarbeitung Ihrer personenbezogenen Daten zu verlangen. Allerdings gilt dies nur unter folgenden berechtigten Gründen:
- Sie bestreiten die Richtigkeit Ihrer personenbezogenen Daten. Für die Dauer, die es den Verantwortlichen ermöglicht, die Richtigkeit der personenbezogenen Daten zu überprüfen, können Sie verlangen, dass die Bearbeitung eingeschränkt wird.
Nicht immer ist man einer Meinung. Damit aber die strittigen personenbezogenen Daten nicht sofort gelöscht oder geändert werden müssen, kann für die Dauer der Angelegenheit eine weitere Verarbeitung eingeschränkt werden. Vielleicht stellt sich ja heraus, dass die Daten doch richtig waren.
- Die Verarbeitung personenbezogener Daten ist unrechtmäßig. Anstelle der Löschung möchten Sie aber, dass „nur“ die Nutzung der personenbezogenen Daten eingeschränkt wird.
Die DSGVO gibt Ihnen also ein Wahlrecht: Wenn Sie nicht möchten, dass unrechtmäßig verarbeitete Daten gleich gelöscht werden, dann können Sie verlangen, dass sie zwar weiter gespeichert, aber nicht mehr genutzt werden.
- Die Verantwortlichen benötigen Ihre personenbezogenen Daten nicht mehr für die Verarbeitung. Sie benötigen die Daten jedoch zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen.
Wenn Ihre personenbezogenen Daten eigentlich gelöscht werden müssten, Sie diese aber zu Ihrer eigenen Verteidigung oder Rechtedurchsetzung benötigen, können sie für diese Zwecke weiterverarbeitet werden.
- Sie haben Widerspruch gegen die Verarbeitung gemäß Artikel 21 Absatz 1 DSGVO eingelegt. Solange noch nicht feststeht, ob die berechtigten Gründe des Verantwortlichen gegenüber Ihren Interessen überwiegen, kann die Einschränkung der Verarbeitung verlangt werden.
Damit strittige personenbezogene Daten nicht sofort gelöscht werden müssen, kann für die Dauer der Angelegenheit die weitere Verarbeitung eingeschränkt werden. Vielleicht stellt sich ja heraus, dass die Verarbeitung doch berechtigt war.
Wie Sie Ihr Recht auf Einschränkung der Verarbeitung geltend machen können, finden Sie hier.
Was bedeutet das Recht auf Datenübertragbarkeit?
Ihre personenbezogenen Daten gehören Ihnen. Sie haben daher das Recht, diese Daten in einem strukturierten, gängigen und maschinenlesbaren Format zu erhalten. Das betrifft Daten, die Sie uns bereitgestellt haben und die aufgrund Ihrer Einwilligung oder aufgrund einer Vertragserfüllung automatisiert verarbeitet werden. Sie können auch verlangen, dass wir diese personenbezogenen Daten gleich direkt an einen anderen Verantwortlichen übermitteln.
- In welcher Form erhalte ich die Daten?
Wir stellen Ihnen die Daten in einem gängigen maschinenlesbaren Format zur Verfügung. Wie Sie Ihr Recht geltend machen können, finden Sie hier.
- Welche wichtigen Sicherheitshinweise sollte ich beachten?
Ihnen ist der Schutz Ihrer personenbezogenen Daten und Ihres Geldes sicher genauso wichtig wie uns. Betrachten Sie Ihr Recht auf Datenübertragbarkeit daher bitte wie einen Kontoauszug. Würden Sie diesen auch „einfach so“ an jemand anderen schicken?
Bitte denken Sie auch daran, dass Ihre Finanzdaten personenbezogene Daten anderer Personen enthalten: Wenn Sie jemandem Geld überwiesen haben, ist dies ebenfalls in den übertragenen Daten ersichtlich – genauso wie auf einem Kontoauszug. Auch diese Personen haben Rechte und Freiheiten. Wir werden anderen Personen als Ihnen die Daten daher nur dann direkt übermitteln,
- wenn Sie uns ausdrücklich damit beauftragen,
- wenn Sie uns vom Bankgeheimnis entbinden und
- wenn es sich bei der Empfänger:in um andere Finanzunternehmen, Anwaltskanzleien, Notariate, Steuerberatungen bzw. Wirtschaftstreuhänder:innen oder eine staatliche Behörde handelt.
Bitte wenden Sie sich vorab an uns, wenn Sie Ihre Daten an Dritte übertragen möchten, damit wir alle Details klären können. Bitte beachten Sie auch die aktuellen Sicherheitshinweise unter https://www.sparkasse.at/sicherheitscenter/sicherheit.
Unser Tipp: Sie können übrigens jederzeit in George Ihre Transaktionsdaten z. B. von Konten, Kreditkarten, Finanzierungen oder Wertpapierdepots einsehen und selbstständig speichern. So haben Sie immer einen aktuellen Überblick.
Was bedeutet das Recht auf Widerspruch?
Ihre Daten dürfen verarbeitet werden, wenn ein berechtigtes Interesse dazu besteht.
Wird ein solches berechtigtes Interesse behauptet, müssen Sie darüber informiert werden. Sind Sie dann der Ansicht, dass das berechtigte Interesse nicht besteht, können Sie dagegen Widerspruch einlegen. Das gilt insbesondere dann, wenn Ihre personenbezogenen Daten für Direktwerbung genutzt werden. Sofern Verantwortliche keine schutzwürdigen Gründe für die weitere Verarbeitung nachweisen können, dürfen Ihre personenbezogenen Daten nach dem Widerspruch nicht weiter verarbeitet werden.
Wie Sie Ihr Recht auf Widerspruch geltend machen können, finden Sie hier.
Was bedeutet das Recht, nicht einer ausschließlich auf einer automatisierten Verarbeitung – einschließlich Profiling – beruhenden Entscheidung unterworfen zu werden?
Wenn wir automatisierte Entscheidungsfindungen nach Art 22 DSGVO nutzen, werden Sie darüber gesondert vorab informiert. In solchen Fällen haben Sie dann das Recht zu verlangen, dass das Ergebnis der automatisierten Verarbeitung von einem Menschen überprüft wird, Sie Ihren eigenen Standpunkt darlegen können und die automatisiert getroffene Entscheidung anfechtbar ist.
Welche Informationen muss ich erteilen?
Wir möchten nicht, dass Ihre Daten in falsche Hände geraten. Bitte haben Sie Verständnis dafür, dass wir in Zweifelsfällen weitere Angaben zu Ihrer Identität verlangen.
Wie kann ich den Antrag einbringen?
Egal, welches Recht Sie geltend machen möchten, bitte übermitteln Sie Ihren Antrag (mit dem Hinweis auf ihr kontoführendes Institut) auf eine der fünf Arten an uns:
- Per s Kontakt-Nachricht in George
Hier geht es am schnellsten! Wenn Sie zwischen Themen auswählen können, klicken Sie auf „Datenschutz Grundverordnung / DSGVO“. Sonst schreiben Sie einfach „Datenschutz“ in den Betreff Ihrer Nachricht. - Über unser Webformular zur Einmeldung von Betroffenenrechten
- Per E-Mail, idealerweise mit qualifizierter elektronischer Signatur, an DSGVO-Support@erstegroup.com
- Per Brief, bitte eigenhändig unterschrieben und mit Ausweiskopie an
Erste Group Bank AG
0196 1905/AT Data Privacy Security Management
Am Belvedere 1
1100 Wien - Persönlich in einer Filiale der Bank
Bitte verfassen Sie Ihr Anliegen so konkret wie möglich – so können wir es rasch bearbeiten. Bitte beachten Sie die besonderen Hinweise für Ihr Recht auf Datenübertragbarkeit.
Wie lange dauert es, bis mein Antrag bearbeitet ist?
Wir werden Ihnen unverzüglich, jedenfalls aber innerhalb eines Monats nach Eingang Ihres Antrags, die entsprechenden Informationen über die Maßnahmen zur Verfügung stellen.
Die Frist kann um weitere 2 Monate verlängert werden, wenn das aufgrund der Komplexität und der Anzahl der Anträge erforderlich ist. Wir informieren Sie aber jedenfalls innerhalb eines Monats nach Eingang Ihres Antrags über eine mögliche Fristverlängerung und die Gründe dafür.
Wie wird mein Antrag bearbeitet?
Geldangelegenheiten sind Vertrauenssache – E-Mails aber leider nicht immer vertrauenswürdig. E-Mails sind von der Sicherheit eher mit einer Postkarte als mit einem Brief vergleichbar. Da wir Ihre Bankdaten nicht auf einer Postkarte schicken möchten, werden wir Ihnen die Auskunft je nach Ihrem Wunsch per Post, s Kontakt oder s Box (das ist ein bankeigener Online-Datenspeicher) zukommen lassen.
Bitte beachten Sie auch immer die Sicherheitshinweise unter https://www.sparkasse.at/sicherheitscenter/wichtige-sicherheitstipps.
Was sollte ich beim Recht auf Datenübertragbarkeit beachten?
- Bitte denken Sie daran, dass Ihre Finanzdaten personenbezogene Daten anderer Personen enthalten: Wenn Sie Verwandten oder Bekannten Geld überweisen, dann ist dies ebenfalls in den übertragenen Daten ersichtlich – genauso wie auf einem Kontoauszug.
- Wir übermitteln die Daten nur dann direkt an andere, wenn Sie
- uns ausdrücklich dazu beauftragen,
- uns vom Bankgeheimnis entbinden, und
- wenn es sich um Finanzdienstleistungsunternehmen, Anwaltskanzleien, Notariate, Steuerberatungen, Wirtschaftstreuhänder:innen oder eine staatliche Behörde handelt. Bitte wenden Sie sich vorab an uns, wenn Sie Ihre Daten an Dritte übertragen möchten, damit wir alle Details klären können.
Unser Tipp: Sie können übrigens jederzeit in George Ihre Transaktionsdaten z. B. von Konten, Kreditkarten, Finanzierungen oder Wertpapierdepots einsehen und selbstständig speichern. So haben Sie immer einen aktuellen Überblick.
Kostet es mich etwas, wenn ich meine Rechte geltend mache?
Nein, die Anträge werden unentgeltlich erledigt. Ausnahme: Wenn die Anträge offenkundig unbegründet oder exzessiv gestellt werden, sind wir berechtigt, ein angemessenes Entgelt zu verlangen. Damit werden die Verwaltungskosten für die Mitteilung, Weigerung oder Durchführung der beantragten Maßnahme berücksichtigt.
Gibt es Beschwerdemöglichkeiten?
Bei allen Beschwerden, Fragen und Anregungen zum Thema Datenschutz steht Ihnen gern unser Datenschutzbeauftragter zur Verfügung. Wir sind überzeugt, dass sich zu fast jedem Problem eine gemeinsame Lösung finden lässt.
Wenn Sie keine rechtzeitige Antwort auf einen Antrag erhalten, Sie sich in Ihrem Recht auf Datenschutz verletzt sehen oder der Ansicht sind, dass wir Ihrem Antrag nicht gesetzmäßig nachgekommen sind, können Sie auch Beschwerde bei der zuständigen Aufsichtsbehörde einlegen:
Österreichische Datenschutzbehörde
Barichgasse 40-42
1030 Wien
Österreich
Telefon: +43 1 52 152-0
E-Mail: dsb@dsb.gv.at
https://www.dsb.gv.at/
Darüber hinaus hat jede Person, der wegen eines Verstoßes gegen die DSGVO oder gegen § 1 oder Artikel 2 1. Hauptstück des DSG ein materieller oder immaterieller Schaden entstanden ist, Anspruch auf Schadenersatz gegen Verantwortliche oder Auftragsverarbeitende nach Artikel 82 DSGVO. Im Einzelnen gelten dafür die allgemeinen Bestimmungen des bürgerlichen Rechts. Bitte beachten Sie, dass für Schadenersatzansprüche nicht die Österreichische Datenschutzbehörde zuständig ist, sondern das in bürgerlichen Rechtssachen betraute, lokale Landesgericht Ihres Sprengels. Anträge und Klagen können aber auch bei dem Landesgericht erhoben werden, in dessen Sprengel der Beklagte seinen gewöhnlichen Aufenthalt, Sitz oder eine Niederlassung hat. Welches Gericht zuständig ist, finden Sie hier: https://www.justiz.gv.at/
Stand Juni 2024
Manchmal sind wir nicht allein, sondern gemeinsam mit anderen für eine Datenverarbeitung verantwortlich. Das Gesetz schreibt vor, dass darüber eine besondere Vereinbarung abgeschlossen werden muss. Die wesentlichen Inhalte davon müssen wir den betroffenen Personen zur Verfügung stellen. Dies geschieht in diesem Abschnitt:
Webseite „sparkasse.at“
Wenn wir auf den Speicher Ihres Internet-Browsers zugreifen und dort "Identifier" ablegen (etwa Cookies), gilt das für alle Webseiten des Onlineauftritts unter der Adresse „sparkasse.at“. Hier besteht eine sogenannte „gemeinsame Verantwortlichkeit“ zwischen den Instituten der Sparkassengruppe (Artikel 26 Datenschutz-Grundverordnung).
Das bedeutet, dass wir die folgenden Tätigkeiten für alle Sparkassen-Institute durchführen:
- Technisch und rechtlich notwendige Verarbeitungen für den Betrieb der Webauftritte
- Bei Vorliegen Ihrer Einwilligung
- Statistik (Nutzerverhalten auf den Webauftritten und Reichweitenmessung von Werbung);
- Personalisierte Werbung samt Optimierung (Personalisierte Inhalte auf der Webseite sowie in Werbeformaten basierend auf Ihrem Nutzungsverhalten, anbieterübergreifendes Ausspielen von Werbung und Erfolgsmessung);
- Online Verkauf von Services und Produkten (Digital Sales).
Gut zu wissen: Die gemeinsame Verantwortlichkeit bezieht sich nur auf Online-Identifier (etwa Cookie-IDs). Ihre reale Identität wird nicht zwischen den Instituten der Sparkassen-Gruppe offengelegt. Das Bankgeheimnis bleibt selbstverständlich gewahrt.
Sie haben Fragen dazu? Als gemeinsame Anlaufstelle können sich alle Nutzer:innen unserer Webseiten an die Erste Group Bank AG wenden:
Erste Group Bank AG
0196 1905/AT Data Privacy Security Management
Am Belvedere 1
1100 Wien
E-Mail: DSGVO-Support@erstegroup.com
Am schnellsten geht es über s Kontakt-Nachricht in George: Dort können Sie zwischen Themen auswählen. Klicken Sie da einfach auf „Datenschutz Grundverordnung / DSGVO“ und schon können Sie uns schreiben. Sonst schreiben Sie einfach eine normale Nachricht mit „Datenschutz“ im Betreff.
Weitere Informationen zum Datenschutz finden Sie in der Datenschutz-Information Ihres Instituts oder der jeweiligen Sparkasse, auf deren Webseite Sie sich befinden.
Adform A/S
Adform A/S, Central Business Register (CVR) Nr. 26434815, Silkegade 3b, stuen & 1. sal ("Adform") verwendet Tracking-Technologien auf den Websites der Erste Bank und Sparkassen und den dazugehörigen Subdomains.
Das Adform-Cookie wird auf Ihrem Gerät als Endnutzer platziert, nachdem Sie Ihre Zustimmung gegeben haben. Ein Adform-Cookie wird auch gesetzt, wenn Sie die Werbung der Erste Bank und Sparkassen auf einer anderen Website ansehen und Sie den Cookies auf dieser Website zugestimmt haben.
Adform-Cookie-ID
Die rechtliche Grundlage für die Platzierung von Adform-Cookies ist Ihre Einwilligung. Personenbezogene Daten werden zu Analysezwecken und zur Optimierung von Werbekampagnen, ID-Matching für die Kunden von Adform, einschließlich Erste Bank und Sparkassen, gesammelt.
Der Adform-Cookie sammelt die folgenden personenbezogenen Daten: Cookie-ID, Gerätetyp/ID, Zeitpunkt des Anklickens der Website oder des Werbemediums, die URL der Website oder des Werbemediums, automatisch von Ihrem Gerät gesendete Informationen (einschließlich Spracheinstellung, IP-Adresse, demografische Daten).
Kunde 1st party IDs
Die Rechtsgrundlage für den Erhalt der sogenannten „1st Party-ID“ durch Erste Bank und Sparkassen durch Adform ist Ihre Einwilligung. Personenbezogene Daten werden von Erste Bank und Sparkassen gesammelt und dann an Adform weitergegeben, um Werbekampagnen zu optimieren und personalisierte Werbung zu liefern.
Die folgenden Daten werden zusammen mit der „1st Party-ID“ verarbeitet: Gerätetyp/ID, Zeitpunkt des Anklickens der Website oder des Werbemediums, die URL der Website oder des Werbemediums, automatisch von Ihrem Gerät gesendete Informationen (einschließlich Spracheinstellung, IP-Adresse, demografische Daten).
Gemeinsame Verantwortlichkeit
Erste Bank und Sparkassen und Adform sind gemeinsam für die Erhebung und Übermittlung Ihrer personenbezogenen Daten an Adform über das Adform-Cookie und für bestimmte Verarbeitungen der „1st Party-ID“ im Zusammenhang mit personalisierter Werbung verantwortlich (siehe die Beschreibung oben). Gemäß der zwischen den Parteien unterzeichneten Vereinbarung sind beide Parteien für die Umsetzung Ihrer Datenschutzrechte verantwortlich. Um Ihre Rechte auszuüben, können Sie Adform unter folgendem Link und für Erste Bank und Sparkasse hier kontaktieren. Sie können Ihre Einwilligung jederzeit widerrufen, indem Sie dies unter diesem Link tun.
Wenn Adform die Daten für eigene Zwecke verarbeitet, ist Adform ein Datenverantwortlicher und allein für die Optimierung von Werbekampagnen und Zielgruppen verantwortlich. Adform analysiert die über Cookies gesammelten Daten, um gezielte Werbeeinkäufe im Namen von Adforms Kunden (einschließlich Erste Bank und Sparkassen) zu tätigen, wie in der Datenschutzrichtlinie von Adform beschrieben. Klicken Sie hier, um weitere Informationen über die Verarbeitung durch Adform zu erhalten.
Das Adform-Cookie, das in Ihrem Browser platziert wird, wird nach 60 Tagen gelöscht. Wenn Sie jedoch Ihre Zustimmung widerrufen, werden keine Daten von Adform gesammelt, obwohl ein Cookie auf Ihrem Gerät platziert ist. Die gleiche Datenspeicherung gilt für die 1st Party ID, die Erste Bank und Sparkassen mit Adform teilt oder die Adform auf den digitalen Plattformen der Erste Bank und Sparkassen sammelt.
Visa
1. Visa Account Updater
Bei Erneuerung Ihrer Kreditkarte wird das neue Ablaufdatum automatisch an die Händler:innen übermittelt, bei denen Sie Ihre Kartendaten gespeichert haben. Davon ausgenommen ist der Austausch der Karte nach einem Diebstahl, Verlust oder technischen Defekt. Die Weiterleitung des neuen Ablaufdatums soll Ablehnungen von Zahlungsaufträgen durch das erneuerte Ablaufdatum verhindern.
2. Visa Delegated Authentication
Wichtig, wenn Sie Ihre Kartendaten mit einer erfolgreichen „starken Kundenauthentifizierung“ bei einer Händler:in hinterlegen (= Kartendaten speichern):
Sind Händler:innen in der Lage, selbstständig eine „starke Kundenauthentifizierung“ durchzuführen, können Sie bei weiteren Bezahlungen mit dieser Karte technisch darauf verweisen.
Die Händler:in hat und speichert die Information, dass eine „starke Kundenauthentifizierung“ stattgefunden hat. Die Händler:in speichert aber nicht die Information, welche Daten dafür verwendet wurden.
3. Visa Resolve Online
Wenn Sie einen Umsatz reklamieren, werden Kunden- und Transaktionsdaten gespeichert. Ihre Reklamation wird dann von einem Schiedsgericht (Arbitrationsverfahren) zwischen Ihnen und der Händler:in geklärt.
Bei diesen Services (zusammengefasst unter Visa 1.-3.) arbeiten diese Unternehmen eng zusammen.
Visa Europe Limited
1 Sheldon Square
London, W2 6TT, Vereinigtes Königreich
(kurz Visa)
und
Erste Bank der oesterreichischen Sparkassen AG,
Am Belvedere 1
1100 Wien
(kurz Erste Bank)
Die Zusammenarbeit betrifft auch die Verarbeitung Ihrer personenbezogenen Daten. Visa und Erste Bank sind daher für den Schutz Ihrer personenbezogenen Daten ausschließlich im Rahmen des Services zur Kartenaktualisierung gemeinsam Verantwortliche im Sinne des Art. 26 DSGVO.
Im Rahmen dieser Zusammenarbeit haben Visa und Erste Bank nach dem Artikel 26 DSGVO vertraglich vereinbart, wer von ihnen welche Pflichten nach der DSGVO erfüllt. Dies betrifft insbesondere die Pflicht, die Rechte der betroffenen Personen wahrzunehmen und die Informationspflichten zu erfüllen, siehe Artikel 13 und 14 DSGVO.
Auch wenn eine gemeinsame Verantwortlichkeit besteht, erfüllen die Unternehmen die datenschutzrechtlichen Pflichten entsprechend ihrer jeweiligen Zuständigkeiten für die einzelnen Prozessabschnitte folgendermaßen:
- Erste Bank ist dafür zuständig, personenbezogene Daten zu erheben und diese im Rahmen des Kartenaktualisierungsservice an Visa zu übermitteln.
- Visa ist zuständig für die Verarbeitung der personenbezogenen Daten in den Visa Systemen, konkret die Aktualisierung der Daten, und dafür, dass Zahlungsdienstleister für die Zahlungsabwicklung im Hintergrund Daten abfragen können.
- Erste Bank macht den betroffenen Personen die gemäß Art. 13 und 14 DS-GVO erforderlichen Informationen in präziser, transparenter, verständlicher und leicht zugänglicher Form in einer klaren und einfachen Sprache unentgeltlich zugänglich.
Diese finden sie hier: https://www.erstebank.at/datenschutz
Visa stellt die relevanten Informationen unter https://www.visa.de/nutzungsbedingungen/visa-privacy-center.html zur Verfügung.
Sie können als betroffene Person Ihre Rechte bei der Erste Bank als Anlaufstelle geltend machen. Sie erhalten die Auskunft grundsätzlich von der Erste Bank. Beide Unternehmen informieren sich anlassbezogen gegenseitig über geltend gemachte Rechte. Beide Unternehmen stellen einander sämtliche notwendigen Informationen zur Verfügung, damit Ihre Anfrage beantwortet werden kann.
Welche Informationen muss ich erteilen?
Wir möchten nicht, dass Ihre Daten in falsche Hände geraten. Bitte haben Sie Verständnis dafür, dass wir in Zweifelsfällen weitere Angaben zu Ihrer Identität verlangen.
Wie kann ich den Antrag einbringen?
Egal, welches Recht Sie geltend machen möchten, bitte übermitteln Sie Ihren Antrag (mit dem Hinweis auf ihr kontoführendes Institut) auf eine der fünf Arten an uns:
- Per s Kontakt-Nachricht in George
Hier geht es am schnellsten! Wenn Sie zwischen Themen auswählen können, klicken Sie auf „Datenschutz Grundverordnung / DSGVO“. Sonst schreiben Sie einfach „Datenschutz“ in den Betreff Ihrer Nachricht. - Über unser Webformular zur Einmeldung von Betroffenenrechten
- Per E-Mail, idealerweise mit qualifizierter elektronischer Signatur, an DSGVO-Support@erstegroup.com
- Per Brief, bitte eigenhändig unterschrieben und mit Ausweiskopie an
Erste Group Bank AG
0196 1905/AT Data Privacy Security Management
Am Belvedere 1
1100 Wien - Persönlich in einer Filiale der Bank
Bitte verfassen Sie Ihr Anliegen so konkret wie möglich – so können wir es rasch bearbeiten. Bitte beachten Sie die besonderen Hinweise für Ihr Recht auf Datenübertragbarkeit.
Wie lange dauert es, bis mein Antrag bearbeitet ist?
Wir werden Ihnen unverzüglich, jedenfalls aber innerhalb eines Monats nach Eingang Ihres Antrags, die entsprechenden Informationen über die Maßnahmen zur Verfügung stellen.
Die Frist kann um weitere 2 Monate verlängert werden, wenn das aufgrund der Komplexität und der Anzahl der Anträge erforderlich ist. Wir informieren Sie aber jedenfalls innerhalb eines Monats nach Eingang Ihres Antrags über eine mögliche Fristverlängerung und die Gründe dafür.
Wie wird mein Antrag bearbeitet?
Geldangelegenheiten sind Vertrauenssache – E-Mails aber leider nicht immer vertrauenswürdig. E-Mails sind von der Sicherheit eher mit einer Postkarte als mit einem Brief vergleichbar. Da wir Ihre Bankdaten nicht auf einer Postkarte schicken möchten, werden wir Ihnen die Auskunft je nach Ihrem Wunsch per Post, s Kontakt oder s Box (das ist ein bankeigener Online-Datenspeicher) zukommen lassen.
Bitte beachten Sie auch immer die Sicherheitshinweise unter https://www.sparkasse.at/sicherheitscenter/wichtige-sicherheitstipps.
Was sollte ich beim Recht auf Datenübertragbarkeit beachten?
- Bitte denken Sie daran, dass Ihre Finanzdaten personenbezogene Daten anderer Personen enthalten: Wenn Sie Verwandten oder Bekannten Geld überweisen, dann ist dies ebenfalls in den übertragenen Daten ersichtlich – genauso wie auf einem Kontoauszug.
- Wir übermitteln die Daten nur dann direkt an andere, wenn Sie
- uns ausdrücklich dazu beauftragen,
- uns vom Bankgeheimnis entbinden, und
- wenn es sich um Finanzdienstleistungsunternehmen, Anwaltskanzleien, Notariate, Steuerberatungen, Wirtschaftstreuhänder:innen oder eine staatliche Behörde handelt. Bitte wenden Sie sich vorab an uns, wenn Sie Ihre Daten an Dritte übertragen möchten, damit wir alle Details klären können.
Unser Tipp: Sie können übrigens jederzeit in George Ihre Transaktionsdaten z. B. von Konten, Kreditkarten, Finanzierungen oder Wertpapierdepots einsehen und selbstständig speichern. So haben Sie immer einen aktuellen Überblick.
Kostet es mich etwas, wenn ich meine Rechte geltend mache?
Nein, die Anträge werden unentgeltlich erledigt. Ausnahme: Wenn die Anträge offenkundig unbegründet oder exzessiv gestellt werden, sind wir berechtigt, ein angemessenes Entgelt zu verlangen. Damit werden die Verwaltungskosten für die Mitteilung, Weigerung oder Durchführung der beantragten Maßnahme berücksichtigt.
Gibt es Beschwerdemöglichkeiten?
Bei allen Beschwerden, Fragen und Anregungen zum Thema Datenschutz steht Ihnen gern unser Datenschutzbeauftragter zur Verfügung. Wir sind überzeugt, dass sich zu fast jedem Problem eine gemeinsame Lösung finden lässt.
Wenn Sie keine rechtzeitige Antwort auf einen Antrag erhalten, Sie sich in Ihrem Recht auf Datenschutz verletzt sehen oder der Ansicht sind, dass wir Ihrem Antrag nicht gesetzmäßig nachgekommen sind, können Sie auch Beschwerde bei der zuständigen Aufsichtsbehörde einlegen:
Österreichische Datenschutzbehörde
Barichgasse 40-42
1030 Wien
Österreich
Telefon: +43 1 52 152-0
E-Mail: dsb@dsb.gv.at
https://www.dsb.gv.at/
Darüber hinaus hat jede Person, der wegen eines Verstoßes gegen die DSGVO oder gegen § 1 oder Artikel 2 1. Hauptstück des DSG ein materieller oder immaterieller Schaden entstanden ist, Anspruch auf Schadenersatz gegen Verantwortliche oder Auftragsverarbeitende nach Artikel 82 DSGVO. Im Einzelnen gelten dafür die allgemeinen Bestimmungen des bürgerlichen Rechts. Bitte beachten Sie, dass für Schadenersatzansprüche nicht die Österreichische Datenschutzbehörde zuständig ist, sondern das in bürgerlichen Rechtssachen betraute, lokale Landesgericht Ihres Sprengels. Anträge und Klagen können aber auch bei dem Landesgericht erhoben werden, in dessen Sprengel der Beklagte seinen gewöhnlichen Aufenthalt, Sitz oder eine Niederlassung hat. Welches Gericht zuständig ist, finden Sie hier: https://www.justiz.gv.at/
Stand Juni 2024
Mittels Cookies analysieren wir die Zugriffe auf unsere Website und erstellen Inhalte und Angebote, die Ihren Bedürfnissen entsprechen. Sie können Ihren Browser so einstellen, dass vor dem Verwenden eines Cookies Ihre Zustimmung eingeholt werden muss oder das Verwenden von Cookies generell blockiert wird. Auf unserer Seite "Datenverarbeitung bei Online-Diensten" finden Sie weitere Informationen und die Möglichkeit, der Verwendung von Cookies zu widersprechen.
Wir setzen Videoüberwachung in vielen unsere Bereiche ein, um eine erhöhte Sicherheit zu gewährleisten. Diese Bereiche sind entsprechend gekennzeichnet.
Für diese Zwecke erfolgt die Videoüberwachung:
- Um unser Hausrecht durchzusetzen und zur Prävention von Angriffen
- Schutz von Kund:innen, Mitarbeiter:innen und Eigentum der Bank
- Um Rechtsansprüche durchzusetzen und abzuwehren
- Um Beweise bei Straftaten zu sammeln
- Für Nachweise von Verfügungen und Einzahlungen (bei Geldautomaten und in Filialen)
Speicherdauer der Videoaufzeichnung:
- Wir speichern die Aufzeichnungen für 90 Tage und löschen sie anschließend.
- Eine längere Speicherung ist möglich, wenn es erforderlich ist, z. B. ein Verfahren läuft (im Falle eines Betrugverdachts)
Für die Videoüberwachung verantwortlich ist:
Sparkasse Kufstein, Tiroler Sparkasse von 1877
Oberer Stadtplatz 1
6330 Kufstein
Kontakt für Anfragen zum Datenschutz:
Erste Group Bank AG
0196 1905/AT Data Privacy Security Management
Am Belvedere 1
1100 Wien
E-Mail: DSGVO-Support@erstegroup.com
Die mit Datenschutz beauftragte Person erreichen Sie unter:
E-Mail: datenschutz@erstegroup.com