2. Datenverarbeitung Geschäftsbeziehung und Interessenten

2.1. Umfang der Verarbeitung personenbezogener Daten

Wenn Sie unser Kunde sind, oder sich für unsere Produkte und Dienstleistungen interessieren, verarbeiten wir – je nach Status der (sich anbahnenden) Geschäftsbeziehung – folgende personenbezogene Daten von Ihnen:

  • Name;
  • Adresse;
  • Geburtstag und –ort;
  • Staatsbürgerschaft;
  • Telefonnummer;
  • E-Mail-Adresse;
  • Steuerstatus;
  • Daten aus der Erfüllung unserer vertraglichen Verpflichtungen (zB Produkt-, Service- und Vertragsdaten,
  • Umsatz- und Transaktionsdaten im Zahlungsverkehr)
  • Informationen zu Ihrer Finanziellen Situation (zB Bonitätsdaten, Selbstauskunft, Ratingdaten, etc);
  • Auftragsdaten;
  • Werbe und Vertriebsdaten;
  • Dokumentationsdaten (zB Beratungsprotokolle);
  • Bild- und Tondaten (z.B. Fotos, Videos oder Telefonaufzeichnungen);
  • Informationen aus Ihrem elektronischen Verkehr gegenüber der Bank (zB Internetbanking, Apps und Cookies);
  • Daten über die Nutzung der von uns angebotenen Telemedien (zB Zeitpunkt des Anrufs unserer Websites, Newsletter);
  • Verarbeitungsergebnisse die die Bank selbst generiert;
  • Daten zur Erfüllung gesetzlicher und regulatorischer Anforderungen (zB regulatorische Meldedaten);
  • Social Media Nutzungsdaten (Besucheranzahl, Häufigkeit, Nutzerverhalten, Art des Nutzers, Zeitpunkt, Ort, Zielgruppen);

2.2. Wie erheben wir Ihre Daten?

Wir erhalten Ihre personenbezogenen Daten, wenn Sie Interesse an unseren Produkten bekunden, Anträge einreichen, Online-Eröffnungsstrecken ausfüllen, sich für Ihre Online Dienste registrieren oder per E-Mail oder Telefon mit uns Kontakt aufnehmen oder im Rahmen der aufrechten Geschäftsbeziehung unsere Produkte nutzen. Außerdem erhalten wir Ihre Daten fallweise auch von Dritten, etwa Schuldnerverzeichnissen (zB KSV 1870), Wirtschaftsauskunfteien (CRIF GmbH) sowie aus weiteren öffentlich zugänglichen Quellen (zB Grundbuch, Firmenbuch, Vereinsregister). Darüber hinaus erhalten wir Ihre Daten von anderen Mitgliedern des Volksbanken Kreditinstitute Verbundes zur Erfüllung der gesetzlichen Verpflichtungen gemäß § 30a BWG sowie der Kapitaladäquanz-Verordnung EU 575/20113 oder von Gerichten, Behörden oder von Personen im hoheitlichen Auftrag. Wenn wir Daten über Sie verarbeiten, die wir nicht direkt von Ihnen erhalten haben, informieren wir Sie hierüber gesondert und legen selbstverständlich auch unsere Quellen für diese Daten offen.

2.3. Rechtsgrundlage für die Verarbeitung personenbezogener Daten

Wir verarbeiten diese Daten ua auf Basis der Erfüllung eines Vertrages nach Art 6 Abs 1 lit b DSGVO. Darüber hinaus verarbeiten wir Ihre personenbezogenen Daten aufgrund unterschiedlicher gesetzlicher Verpflichtungen und aufsichtsrechtlicher Vorgaben gemäß Art 6 Abs 1 lit c DSGVO sowie aufgrund unseres berechtigten Interesses nach Art 6 Abs 1 lit f DSGVO (insbesondere zur Haftungsvermeidung und Geschäftsentwicklung).

2.4. Zweck der Datenverarbeitung

Die Verarbeitung erfolgt, um Ihnen unsere Produkte und Dienstleistungen, wie die Erbringung oder Vermittlung von Bankgeschäften, Finanzdienstleistungen sowie Versicherungs-, Leasing- oder Immobiliengeschäfte anbieten zu können. Die Verarbeitung dient insbesondere zur Durchführung unserer Verträge mit Ihnen und der Ausführung Ihrer Aufträge sowie aller mit dem Betrieb und der Verwaltung eines Kredit- und Finanzdienstleistungsinstituts erforderlichen Tätigkeiten.

Die Zwecke der Datenverarbeitung richten sich in erster Linie nach dem konkreten Produkt (z.B. Konto- oder Kreditvertrag, Wertpapierdienstleistungen, Einlagen, Vermittlung von Bausparverträgen, Immobilien, Konsumkrediten, Kreditkarten, Versicherungen). Die konkreten Einzelheiten zum Zweck der Datenverarbeitung können Sie den jeweiligen Vertragsunterlagen und Geschäftsbedingungen entnehmen.

Darüber hinaus erfolgt die Datenverarbeitung insbesondere für folgende Zwecke:

  • Kreditrisikomanagement nach dem BWG sowie der Kapitaladäquanz-Verordnung EU 575/2013;
  • Identitätsfeststellung, Transaktionsüberwachung, Meldungen an die Geldwäschemeldestelle in bestimmten Verdachtsfällen aufgrund des Finanzmarkt-Geldwäschegesetzes und der Geldtransfer-Verordnung EU 847/2015;
  • Auskunftserteilung an die FMA nach dem WAG 2018, dem BörseG oder der Marktmissbrauchsverordnung EU 596/2014, z.B. um die Einhaltung der Bestimmungen über den Marktmissbrauch von Insiderinformationen zu überwachen; 
    Auskunftserteilung an Abgabenbehörden des Bundes aufgrund des Kontenregister- und Konteneinschaugesetzes;
  • Maßnahmen zur Betrugsprävention und -bekämpfung (Transaktionsüberwachung) aufgrund der Delegierten Verordnung EU 2018/389;
  • Aufzeichnung von Telefongesprächen und elektronischer Kommunikation bei Wertpapiergeschäften nach dem WAG 2018;
  • Auskünfte in einem Strafverfahren gegenüber den Staatsanwaltschaften und Gerichten sowie gegenüber Finanzstrafbehörden wegen vorsätzlicher Finanzvergehen aufgrund des BWG, der StPO oder dem FinStrG;
  • Nachweis gegenüber Dritten, eine bestimmte, dem Dritten gegenüber relevante Altersgrenze überschritten zu haben (zB aufgrund von Jugendschutzbestimmungen betreffend den Bezug von Tabakwaren).

Zur Wahrung unserer berechtigten Interessen verarbeiten wir Ihre Daten darüber hinaus insbesondere für:

  • Konsultation von und Datenaustausch mit Auskunftstellen (zB KSV 1870) zur Ermittlung von Bonitäts- bzw. Ausfallrisiken;
  • Prüfung und Optimierung von Verfahren zur Bedarfsanalyse und direkter Kundenansprache;
  • Werbung oder Markt- und Meinungsforschung, soweit Sie der Nutzung Ihrer Daten nicht nach Art 21 DSGVO widersprochen haben;
  • Videoüberwachung, um Beweisdaten bei Straftaten oder zum Nachweis von Verfügungen und Einzahlungen (zB an Geldautomaten) zu sammeln; diese dient insbesondere auch dem Schutz unserer KundInnen und MitarbeiterInnen; 
  • Maßnahmen zur Geschäftssteuerung und Weiterentwicklung von Dienstleistungen und Produkten; 
  • Statistische Erhebungen und Marktforschung über die Facebook Fanpage,
  • Telefonaufzeichnungen (zB bei Beschwerdefällen oder für die Dokumentation von rechtsgeschäftlich relevanter Erklärungen wie etwa Kartensperren),
  • Kategorisierung von Finanzdaten für Online-Banking Portal in anonymisierter Form,
  • Dokumentation für die Provisionsabrechnung mit unseren Kooperationspartnern.

2.5. Dauer der Speicherung

Wir speichern Ihre personenbezogenen Daten nur so lange, wie wir sie für die Erfüllung der oben dargestellten Zwecke benötigen. Die gesetzliche Verjährungsfrist liegt zwischen drei und dreißig Jahren. In dieser Zeit können Ansprüche gegen uns geltend gemacht werden. Solange es je nach möglichem Anspruch und zur Ausübung unserer Rechtsansprüche notwendig ist, können wir Ihre dafür erforderlichen personenbezogenen Daten aufbewahren.

Wenn Sie mit uns in einer Geschäftsbeziehung stehen, verarbeiten wir Ihre personenbezogenen Daten für die Dauer der gesamten Geschäftsbeziehung (von der Anbahnung, Abwicklung bis zur Beendigung eines Vertrages) sowie darüber hinaus gemäß den gesetzlichen Verpflichtungen, insbesondere nach für sieben Jahre nach der BAO bzw für zehn Jahre nach dem FM-GWG.

Wenn Sie mit uns in keiner Geschäftsbeziehung stehen und bloß aus Interesse Kontakt aufnehmen, speichern wir Ihre Daten bis zur Bearbeitung Ihrer Anfrage und bewahren die Daten für weitere drei Jahre auf Basis unserer berechtigten Interessen auf. So haben wir ein Interesse daran, auf etwaige Rückfragen informiert und kundenorientiert antworten zu können.

3. Automatisierte Entscheidungsfindung, Profiling und Kundensegmentierung

Grundsätzlich nutzen wir keine automatisierte Entscheidungsfindung einschließlich Profiling gemäß Art 22 DSGVO zur Begründung und Durchführung unserer Geschäftsbeziehung. Sollten wir diese Verfahren in Einzelfällen einsetzen, werden wir Sie hierfür gesondert informieren, sofern dies gesetzlich vorgeschrieben ist.

3.1. Bonitätsprüfung

In Zusammenhang mit Ihrer Bonitätsprüfung gilt Folgendes:

3.1.1. Umfang der Verarbeitung personenbezogener Daten

In gewissen Fällen verarbeiten wir Ihre Daten automatisiert mit dem Ziel, bestimmte persönliche Aspekte zu bewerten (Profiling). Wenn wir Profiling betreiben, verarbeiten wir folgende personenbezogenen Daten von Ihnen:

Stammdaten (Name, Familienstand, Anzahl der Kinder, Arbeitgeber, Beschäftigungsdauer);
Angaben zu den allgemeinen finanziellen Verhältnissen (zB Einkommen, Vermögen, monatliche Ausgaben in Höhe der Verbindlichkeiten, Sicherheiten etc);
Daten zu Ihrem Zahlungsverhalten (zB ordnungsgemäße Kreditrückzahlungen, Mahnungen, Daten von Kreditauskunfteien).

3.1.2. Rechtsgrundlagen der Verarbeitung

Wir verarbeiten diese Daten aufgrund von Art 22 Abs 2 lit a DSGVO iVm Art 6 Abs 1 lit b DSGVO für den Abschluss oder die Erfüllung unseres Vertrages mit Ihnen. Darüber hinaus verarbeiten wir Ihre Daten automatisiert gemäß Art 22 Abs 2 lit b DSGVO iVm Art 6 Abs 1 lit c DSGVO aufgrund spezifischer gesetzlicher und regulatorischer Vorgaben. 
Wenn wir eine automatisierte Einzelentscheidung treffen, treffen wir angemessene Maßnahmen, um die Rechte und Freiheiten, sowie die berechtigten Interessen der betroffenen Personen zu wahren. Dazu zählt insbesondere das Recht der betroffenen Person ein Eingreifen einer natürlichen Person auf Seite des Verantwortlichen zu erwirken, den eigenen Standpunkt darzulegen und die durch das Profiling getroffene Entscheidung anzufechten (Art 22 Abs 3 und 4 DSGVO).

3.1.3. Zweck der Datenverarbeitung

Das Profiling wird von uns durchgeführt, um Ihre Bonität bei der Kreditvergabe (Rating) zu prüfen. Dabei wird anhand eines Klassifikationssystems die Ausfallswahrscheinlichkeit eines Kunden bewertet. Ist die Ausfallswahrscheinlichkeit zu hoch, kommt es zu einer Ablehnung des Kreditantrags, gegebenenfalls zu einer Eintragung in der beim KSV 1870 geführten Klein-Kreditevidenz sowie zur Aufnahme eines internen Warnhinweises.

Darüber hinaus verarbeiten wir Ihre personenbezogenen Daten zum Zweck der Bekämpfung von Geldwäscherei, Terrorismusfinanzierung und vermögensgefährdenden Straftaten.

3.1.4. Dauer der Speicherung

Wir speichern Ihre personenbezogenen Daten nur so lange, wie wir sie für die Erfüllung der oben dargestellten Zwecke benötigen. Die gesetzliche Verjährungsfrist liegt zwischen drei und dreißig Jahren. Wurde ein Kreditantrag abgelehnt, ist dies in der beim KSV 1870 geführten Klein-Kreditevidenz gemäß Bescheid der Datenschutzbehörde für sechs Monate ersichtlich.

3.2. Profiling zur Ermittlung maßgeschneiderter Angebote

Im Zusammenhang mit Profiling zur Ermittlung maßgeschneiderter Angebote gilt Folgendes:

3.2.1. Umfang der Verarbeitung personenbezogener Daten

Wir verarbeiten Ihre personenbezogenen Daten automatisiert, um Ihre Interessen und Bedürfnisse - somit bestimmte persönliche Aspekte – zu analysieren. Wenn wir Profiling nach Punkt 3.2. betreiben, verarbeiten wir folgende personenbezogenen Daten von Ihnen:

  • Stammdaten (Name, Familienstand, Alter, Anzahl der Kinder, Arbeitgeber, Beschäftigungsdauer, Wohnort);
  • Eckdaten zu Ihren Bankprodukten (Ablaufdaten, Bestände und Produktarten von Eigenprodukten und vermittelten Fremdprodukten, von uns erbrachte Dienstleistungen); 
  • Nutzungsdaten zu Ihren Bankprodukten und bezogenen Dienstleistungen; 
  • Freiwillig bekannt gegebene Daten zu Fremdprodukten (zB in Kundenterminen genannt); 
  • Umsatztexte (zB Vorhandensein von Fremdbankprodukten über Fremdbank-Abbuchungen, Alimente, bezogene Kinderbeihilfe)
  • Bewegungs-/Telemetriedaten (zur Empfehlung der nächstgelegenen Filiale als Stammfiliale)
  • Angaben zu den allgemeinen finanziellen Verhältnissen (zB Einkommen, Vermögen, monatliche Ausgaben in Höhe der Verbindlichkeiten, Sicherheiten etc);
  • Nutzungsintervalle und Daten zu Ihrem Zahlungsverhalten (zB ordnungsgemäße Kreditrückzahlungen, Mahnungen, Daten von Kreditauskunfteien).
  • CRM-Daten

3.2.2. Rechtsgrundlagen der Verarbeitung

Wir verarbeiten diese Daten aufgrund Ihrer ausdrücklichen und freiwilligen Einwilligung nach Art 6 Abs 1 lit a DSGVO. 
Durch das Profiling zur Ermittlung von maßgeschneiderten Angeboten werden Sie keiner automatisierten Verarbeitung unterworfen, die Ihnen gegenüber rechtliche Wirkung entfaltet oder Sie in ähnlicher Weise erheblich beeinträchtigt.

3.2.3. Zweck der Datenverarbeitung

Wir verarbeiten Ihre personenbezogenen Daten, um Ihnen maßgeschneiderte Angebote und Handlungsempfehlungen zu Bankprodukten zukommen zu lassen. Unsere Services dienen dementsprechend der umfassenden Kundenbetreuung und -servicierung.

3.2.4. Dauer der Speicherung

Wir speichern Ihre personenbezogenen Daten so lange, wie wir sie für die Erfüllung der oben dargestellten Zwecke benötigen, längstens jedoch bis zum Widerruf Ihrer Einwilligung bzw der Beendigung Ihrer Geschäftsbeziehung mit uns.

3.3. Allgemeine Kundensegmentierung zur Ermittlung passender Angebote

Wir verarbeiten allgemeine Kundendaten, um passende und ergänzende Angebote zu ermitteln. Für diesen Verarbeitungsvorgang gilt Folgendes:

3.3.1. Umfang der Verarbeitung personenbezogener Daten

Wir verarbeiten Ihre personenbezogenen Daten, um Kunden nach allgemeinen Kriterien zu segmentieren und ergänzende, noch nicht bezogene Produkte und Dienstleistungen zu empfehlen. Dazu verarbeiten wir folgende Daten:

  • Stammdaten (Name, Familienstand, Alter, Anzahl der Kinder, Wohnort);
  • Basis-Produkt- und -Kundendaten: 
    - Eckdaten zu Ihren Bankprodukten (Ablaufdaten, Bestände und Produktarten von Eigenprodukten und vermittelten Fremdprodukten, von uns erbrachte Dienstleistungen); 
    - Freiwillig bekannt gegebene Daten zu Fremdprodukten (zB in Kundenterminen genannt); 
    - CRM-Daten (Kontakthäufigkeit bzw letzter Kontakt zu uns)

3.3.2. Rechtsgrundlagen der Verarbeitung

Die Verarbeitung beruht auf Ihren und unseren Interessen gemäß Art 6 Abs 1 lit f DSGVO. Unser Interesse besteht an der Bereitstellung passender ergänzender Bankprodukte. Die Datenverarbeitung dient aber auch Ihrem Interesse an einer möglichst weitgehenden Kundenbetreuung und -servicierung.

3.3.3. Zweck der Datenverarbeitung

Wir verarbeiten Ihre personenbezogenen Daten, um Ihnen anhand Zielgruppenselektion ergänzende und passende Bankprodukte zu empfehlen. Die durch uns vorgenommene Einteilung erfolgt anhand genereller Eckpunkte und nicht individueller Merkmale. Die Datenverarbeitung dient insbesondere nicht der Vorhersage von Handlungen oder Schlussfolgerung über einzelnen Personen. Dementsprechend liegt kein Profiling nach Art 4 Z4 DSGVO vor.

3.3.4. Dauer der Speicherung

Wir speichern Ihre personenbezogenen Daten so lange, wie wir sie für die Erfüllung der oben dargestellten Zwecke benötigen, längstens jedoch bis zur Beendigung Ihrer Geschäftsbeziehung mit uns.