1. Verantwortliche Stelle und Kontakt
Verantwortlicher nach Art. 4 Nr. 7 DS-GVO ist für die Anwendungsentwicklung der Applikation die Sopra Financial Technology, Frankenstraße 146, 90461 Nürnberg. Die Urheberrechte der „SpardaApp“ stehen der Sopra Financial Technology zu.
Für datenschutzrechtliche Fragen rund um die Anwendungsentwicklung der Applikation, kontaktieren Sie gerne den Datenschutzbeauftragten unter der Adresse: Sopra Financial Technology, persönlich/vertraulich, Datenschutzbeauftragter, Frankenstraße 146, 90461 Nürnberg, Telefon +49 911 9291-0 oder gerne auch per E-Mail: [email protected].
1.1 Start der Applikation
Mit dem Start der Applikation (kurz App) und mit Einbezug der Bankzuordnung (Auswahl der Sparda-Bank) wird erstmalig eine Verbindung der App mit der zuvor ausgewählten Sparda-Bank hergestellt.
Für den Prozess der Registrierung der App ist die Erfassung der Online-Banking Zugangsdaten erforderlich.
Für den Prozess der Registrierung der App ist die Sopra Financial Technology verantwortliche Stelle.
1.2 Nutzung der Applikation mit ihren Funktionen
Nach erfolgter Registrierung findet die gesamte Datenverarbeitung bei der ausgewählten Sparda-Bank statt, also jener Sparda-Bank, bei welcher Sie Ihr Konto / Ihre Konten führen und welche Sie im Zusammenhang mit der App verwenden wollen. Diese Banken sind, für die anschließende Datenverarbeitung nach erfolgter Registrierung, verantwortliche Stelle im Sinne des Datenschutzgesetzes.
2. Datenschutzgrundsätze
Eine datenschutzfreundliche Voreinstellung der Softwareprodukte ist der Sopra Financial Technology ein besonderes Anliegen, sodass diese Produkte so konzipiert wurden. Es werden daher nur personenbezogene Daten erhoben, die für die Funktion des Produkts benötigt werden (Grundsatz der Datensparsamkeit).
Der rechtmäßige und verantwortungsvolle Umgang mit allen Daten in der App und bei der Anwendungsentwicklung ist der Sopra Financial Technology sehr wichtig. Die Sopra Financial Technology stellt ihre Anwendungen und Produkte sowie dessen Datennutzung und -speicherung möglichst transparent dar. Daten, die in der App verwendet werden, werden im Regelfall nur nach Einwilligung gespeichert und / oder an Dritte übermittelt.
2.1 Informationen zur Datenverarbeitung und Zweckbindung zur Erfüllung der vertraglichen und gesetzlichen Verpflichtungen
Soweit erforderlich, verarbeiten und speichern die Sparda-Banken Ihre personenbezogenen Daten in der „SpardaApp“ für die Dauer Ihrer Geschäftsbeziehung, was beispielsweise auch die Anbahnung und die Abwicklung eines Vertrages umfasst. Dabei ist zu beachten, dass Ihre Geschäftsbeziehung ein Dauerschuldverhältnis darstellt, welches auf Jahre angelegt ist.
Darüber hinaus unterliegen wir verschiedenen Aufbewahrungs- und Dokumentationspflichten, die sich unter anderem aus der Abgabenordnung, dem Handelsgesetzbuch, Kreditwesengesetz, Geldwäschegesetz und Wertpapierhandelsgesetz ergeben.
Es gelten die Fristen zur Aufbewahrung bzw. Dokumentation von zwei bis zehn Jahren. Zudem werden für die Speicherdauer auch die gesetzlichen Verjährungsfristen, z. B. nach den §§ 195 ff. des Bürgerlichen Gesetzbuches in der Regel 3 Jahre, in gewissen Fällen aber auch bis zu dreißig Jahre in Betracht gezogen.
Die Sopra Financial Technology verarbeitet Ihre übermittelten personenbezogenen Daten im Einklang zu Vorgenannten und unter Anwendung der Bestimmungen der Europäischen Datenschutz-Grundverordnung (DS-GVO) sowie dem Bundesdatenschutzgesetz (BDSG neu) zur Erbringung Ihrer Leistungen im Rahmen des Vertragsverhältnisses mit den Sparda-Banken.
2.2 Besondere datenschutzrechte Anforderungen
Nach der DS-GVO besteht jederzeit
– das unentgeltliche Auskunftsrecht über Ihre gespeicherten Daten (vgl. Art. 15 DS-GVO),
– das Recht auf Berichtigung (vgl. Art. 16 DS-GVO),
– das Recht auf Löschung Ihrer Daten (vgl. Art. 17 DS-GVO),
– das Recht auf Einschränkung der Verarbeitung (vgl. Art. 18 DS-GVO),
– das Recht auf Datenübertragbarkeit (vgl. Art. 20 DS-GVO) sowie
– das Recht auf Widerspruch (vgl. Art. 21 DS-GVO).
Bei Fragen haben Sie die Möglichkeit die Sopra Financial Technology per E-Mail anzuschreiben. Sollte es sich dabei um eine Anfrage für die verantwortliche Stelle der Sparda-Bank handeln, werden wir Ihre Anfrage zur Beauskunftung an diese Stelle weiterleiten.
Darüber hinaus haben Sie jederzeit das Recht, Beschwerde bei den zuständigen Datenschutzbehörden gemäß Art. 77 DS-GVO einzulegen.
3. Datenerhebung, -speicherung und -nutzung von personenbezogenen Daten
3.1 Welche Daten erheben, nutzen und verarbeiten wir
Als Anwendungsentwickler erhebt und verarbeitet die Sopra Financial Technology nur die Daten, die zur Aufrechterhaltung und Nutzung der Ihnen zur Verfügung gestellten Services unbedingt notwendig sind.
Alle Dienste und Services, die personenbezogene Daten übermitteln, weisen Sie vor Benutzung und Übertragung Ihrer Daten auf den genauen Umfang der Daten hin und verlangen Ihre Einwilligungserklärung zur Übertragung.
All Ihre Daten gehören Ihnen, daher leitet die Sopra Financial Technology keine der Sopra Financial Technology übermittelten Daten ohne Ihre Einwilligung an Dritte weiter, es sei denn, wir sind dazu gesetzlich verpflichtet, wie z. B. bei Vorliegen eines entsprechenden Gerichtsbeschlusses.
Die „SpardaApp“ erhebt nur die im Einzelfall erforderlichen und mit jeweiligen Funktionsumfang abhängigen Daten. In den nachfolgenden Funktionsbeschreibungen der App wird im Detail erläutert, welche Daten in welchem Umfang erhoben und verarbeitet werden.
Insbesondere werden die im Zusammenhang mit der „SpardaApp“ für den Betrieb notwendigen personenbezogenen Daten verarbeitet. Sofern Sie aber für die Nutzung erforderliche Daten nicht freigeben, kann dies die Nutzung der „SpardaApp“ einschränken.
3.2 Allgemeine Zahlungsfunktionen in der App
Zur Nutzung der allgemeinen Zahlungsverkehrsfunktionen, wie Sie diese bereits aus der Durchführung der üblichen Bankgeschäfte am Desktop kennen (hier z. B. Überweisungen, Anlegen von Daueraufträgen und / oder Lastschriftrückgaben), werden Ihre Kundenkennung und Online-PIN (zusätzlich ein Master-Passwort) erhoben, um Sie eindeutig zu identifizieren.
Daneben werden die für die jeweilige Transaktion relevanten Transaktionsdaten, die Sie in die jeweilige Maske eingegeben haben, an die betreffende Sparda-Bank übermittelt, um die entsprechende Transaktion durchzuführen.
Um Ihnen die Verarbeitung konkreter zu beschreiben, erfolgt in diesem Kapitel die Darstellung des Zwecks im Kontext der konkreten Verarbeitung innerhalb der App.
3.3 Feedback und Supportanfrage in der App
Für den Fall, dass Sie ein Feedback bzw. eine Supportanfrage stellen wollen, wird innerhalb eines Mailpostfachs die Korrespondenz geführt und ggf. pers. Daten verarbeitet. Die Weitergabe an Dritte findet nicht statt.
Im Falle eines Supports kann es dazu kommen, dass Sie der Sopra Financial Technology einige Ihrer personenbezogenen Daten übermitteln bzw. übermitteln müssen, damit die Sopra Financial Technology ihrer vertraglichen Verpflichtung, als Anwendungsentwickler, nachkommen kann.
3.4 Multibankenfähigkeit in der App
Bei Nutzung weiterer Fremdbank-/Kontoverbindungen, werden die Zugangsdaten der betroffenen Bankverbindungen erfasst. In diesem Fall wird von „Multibankenfähigkeit“ gesprochen.
Mit dieser Funktion können Sie sich in Ihrem Finanzstatus, die Kontosalden und Umsatztexte Ihrer Konten anzeigen lassen, die Sie bei anderen Banken unterhalten. Zu deren Darstellung werden Ihre Umsatzdaten und -salden, der von Ihnen eingebundenen Konten der Fremdbanken, verarbeitet. Sämtliche Banking-Funktionen und die dazugehörigen Daten werden dabei über Ihre jeweilige Fremdbank verarbeitet und erhoben. Durch Ihre Einwilligungserklärung der Nutzung der Multibankenfähigkeit, werden die Daten innerhalb der Fremdbanken, im Sinne der Verantwortlichen Stelle, verarbeitet.
Im Falle der Nutzung der Funktion „Multibankenfähigkeit“ in der App, wird eine gesicherte Verbindung zu den Servern der figo GmbH hergestellt.
Mit der figo GmbH, Gaußstraße 190c, 22765 Hamburg, haben wir zur Verarbeitung der Daten einen Auftragsverarbeitungsvertrag nach Art. 28 Abs. 3 DS-GVO geschlossen.
3.5 Appstart in der App
Im Falle der Nutzung der Funktion „Appstart“ werden in den Einstellungen der App und bei Übermittlung der Onlinebanking-Vertrags-ID die Kontonummern in der App gespeichert. Die Daten werden beim Start der App an die betreffende Sparda-Bank übermittelt.
Die Daten werden direkt verarbeitet, um im Bedarfsfall Hinweismeldungen Ihrer Sparda-Bank anzuzeigen. Die Speicherung oder Übermittlung der Daten an Dritte findet nicht statt.
3.6 Senden von Transaktionen und Hinterlegung von SEPA-Daten in der App
Bei der manuellen Hinterlegung von SEPA-Daten von einem Konto in der App, bzw. beim Senden von Transaktionen werden IBAN und BIC an das betreffende Institut zur Validierung übermittelt.
Die Daten werden direkt verarbeitet, um Ihnen im Fehlerfall eine entsprechende Meldung Ihrer Sparda-Bank anzuzeigen. Die Speicherung oder Übermittlung der Daten an Dritte findet nicht statt.
3.7 Nutzung von Webview in der App
Die App bietet eine Geldautomatensuche mittels sogenannter „Webview“ an. Es handelt sich um eine Webseite, die innerhalb der App dargestellt wird. Hierzu wird ein Cookie gesetzt. Dieses wird von der Sopra Financial Technology auf dem Webserver automatisiert gespeichert, um Sitzungszustandsinformationen zu speichern, die den Anwendungen zum Speichern von benutzerspezifischen Informationen dienen und zur Aufrechterhaltung der Systemsicherheit erforderlich sind.
Es wird beim Schließen der Webview bzw. der SpardaApp gelöscht. Insbesondere wird es nicht zur Identifikation von Einzelpersonen verwendet, die die Webseite besuchen.
3.8 Kameranutzung beim SpardaAppHeber in der App
Bei Nutzung der Funktionen „SpardaBargeld“ und „SpardaAppHeber“ wird zudem der von Ihnen gewünschte (Geld-)Betrag entsprechend verarbeitet.
Bei der Nutzung der Funktion „SpardaAppHeber“ ist der Zugriff auf die Kamera Ihres Geräts notwendig, um über einen Geldbetrag am Geldautomaten zu verfügen.
3.9 Kameranutzung beim QR-Code Scanner in der App
Im eigens bereitgestellten QR-Code Scanner („GiroCode“ und „BezahlCode“) erfolgt eine lokale, auf dem Gerät vorgenommene, Berechtigung und es wird auf die Kamera zugegriffen, um einen Überweisungsauftrag in die SpardaApp zu überführen.
3.10 Fotoüberweisung und automatischen Ausfüllen der Überweisungsmaske in der App
Bei der Nutzung der Funktion „Fotoüberweisung“ werden die Bilddaten, die Sie beim Abfotografieren Ihrer Rechnung erzeugt haben, in Transaktionsdaten umgewandelt.
Mit Nutzung der Fotoüberweisungsfunktion in der App, wird das Foto der Rechnung bzw. des Überweisungsformulars über eine gesicherte Verbindung an die Server der Gini GmbH übertragen und dort ausgelesen.
Daten, die für die Überweisungsmaske relevante Felder beinhalten, werden anonymisiert über eine gesicherte Verbindung an die App zurück übertragen, um damit die Felder des Überweisungsformulars automatisch auszufüllen. Mit Freigabe der Überweisung werden die verwendeten Überweisungsdaten an den Dienstleister zurückübertragen, damit dieser die Qualität der Dokumentanalyse überprüfen und verbessern kann. Das übertragene Foto und die Daten werden zum Zwecke der Nachprüfbarkeit und Dokumentation für bis zu vier Wochen beim Dienstleister gespeichert und danach gelöscht.
Mit der Gini GmbH, Sonnenstraße 23, 80331 München, haben wir zur Verarbeitung der Daten einen Auftragsverarbeitungsvertrag nach Art. 28 Abs. 3 DS-GVO geschlossen.
4. Erhebung, Speicherung und Nutzung von nichtpersonenbezogenen Daten
4.1 App-Absturz
Die App besitzt eine Absturzbenachrichtigung, womit manuell oder automatisch Informationen über die gerade aufgerufenen Funktionen an die Sopra Financial Technology gesendet werden, sofern Sie diesem zugestimmt haben.
Durch diese Informationen können wir auf Probleme reagieren und Ihnen somit auch schneller eine korrigierte Version der Apps über die Stores anbieten.
4.2 HockeyApp
Die App benutzt HockeyApp für Absturz-Analysen und Nutzermetriken.
Nutzermetricken stellen lediglich dar, wie oft in Summe bestimmte Funktionen innerhalb der App und eines definierten Zeitintervalls, verwendet wurden. Nutzermetriken werden automatisch gesendet und sind in der App nicht deaktivierbar.
Die dabei erhobenen Daten sind nicht personenbezogen bzw. -beziehbar und lassen damit keinen Rückschluss auf eine Person zu.
5. Von der App angeforderte Berechtigungen und deren Verwendung
Zur Nutzung bestimmter Funktionen muss auf dem genutzten Gerät eine entsprechende Erlaubnis innerhalb der App-Verwendung erteilt werden.
Sie können diese Erlaubnis in den App-Einstellungen widerrufen. Hierbei können nachfolgende Einstellungen vorgenommen bzw. Berechtigungen erteilt werden:
5.1 Kamera, Fotos und Dateien durch Ihr Endgerät
Die Kamera-Berechtigung wird benötigt von:
– BezahlCode,
– GiroCode,
– Foto-Überweisung und
– SpardaAppHeber.
Im Rahmen der Funktion „Kundenkommunikation“ können Dateien auf dem Gerät gespeichert / ausgelesen werden. Folgende betriebssystemspezifischen Besonderheiten sind zu beachten:
– Android:
Diese Dateien werden für bestimmte Apps freigeschaltet, damit diese lesend darauf zugreifen können (z. B. Foto-Datei in der Foto-App darstellen, oder PDF in einem PDF-Reader darstellen).
– iOS:
Eine Datei kann bei iOS über den System-Share-Dialog zur SpardaApp gesendet werden. Diese Datei landet im Dokumenten-Ordner der SpardaApp und kann nur von dieser App und iTunes gelesen und verarbeitet werden. Die Vorschau dieser Dateien findet mit Systemmitteln statt. Von dort aus kann es aus dem System zu anderen Apps verteilt werden.
5.2 Mobile Daten durch ihr Endgerät
Sofern keine Verbindung über WLAN besteht, benutzt die App die mobile Datenverbindung Ihres Netzbetreibers bspw. bei der Nutzung von Banking-Funktionalitäten oder der Filial- und Geldautomatensuche.
5.3 Standorte durch Ihr Endgerät
Die Filial- und Geldautomatensuche benötigt Ihren Standort, welcher über die GPS-Daten Ihres Mobilgerätes zur Verfügung gestellt wird, um Ihnen Filialen, Geldautomaten und sonstige Bargeldverfügungsmöglichkeiten in unmittelbarer Nähe anzuzeigen.
Mit Ihrer Freigabe der Nutzung des Standorts in der App, werden anonymisierte GPS-Informationen an YellowMap AG, nur in der Form der Längen- und Breitengrade, zur Verfügung gestellt, um Ihnen umliegende Filial- und Geldautomaten anzuzeigen.
Mit YellowMap AG, CAS-Weg 1-5, 76131 Karlsruhe, haben wir zur Verarbeitung der Daten einen Auftragsverarbeitungsvertrag nach Art. 28 Abs. 3 DS-GVO geschlossen. Sofern Sie aber für die Nutzung erforderlicher Daten nicht eingewilligt haben (im Sinne einer Einwilligung in der App), kann dies die Nutzung der „SpardaApp“ einschränken.
5.4 Terminvereinbarungen über die App
Die Terminvereinbarung in der „SpardaApp“ bieten die Sparda-Banken individuell über ihre App-Settings wahlweise an. Diese Funktion richtet sich danach, ob die Sparda-Bank Ihnen diesen Funktionsumfang anbietet.
Ferner besteht in jeder standardmäßig eingestellten „SpardaApp“ eine stark vereinfachte Kontaktaufnahmen an die Sparda-Banken um einen Erstkontakt zu ermöglichen.
6. Datensicherheit
6.1 Technische Schutzvorkehrungen
6.1.1 Vorkehrungen durch Sopra Financial Technology
Die von der Sopra Financial Technology eingesetzten Server werden durch und / oder ihre IT-Dienstleister konfiguriert und in zertifizierten Rechenzentren in Deutschland betrieben. Darüber hinaus wird die eingesetzte Hardware von zertifizierten namhaften Herstellern geliefert und ist ausfallsicher sowie redundant ausgelegt. Zudem ist die Verarbeitung Ihrer Daten durch umfangreiche technische und organisatorische Schutzmaßnahmen vor dem Zugriff Dritter geschützt.
Alle Dienstleister versichern, dass nur Sicherheitstechnologien, die sich auf dem aktuellen Stand der Technik befinden, verwendet werden und stetiger Aktualisierung unterliegen. Die Sicherheitskonzepte der Sopra Financial Technology werden fortlaufend an neue Erkenntnisse angepasst und erneuert, um Ihre Daten vor Diebstahl und Missbrauch zu schützen.
Alle von den Sparda-Banken an die Sopra Financial Technology übertragenen Daten werden verantwortungsbewusst behandelt und nach allen gesetzlichen Bestimmungen zum Datenschutz, insbesondere der europäischen Datenschutz-Grundverordnung (EU-DS-GVO) und des Bundesdatenschutzgesetzes (BDSG neu) und nach höchsten Sicherheitsstandards zur Datenverarbeitung und Speicherung verarbeitet.
6.1.2 Vorkehrungen für die Datenübertragung
Ihre Daten werden ausschließlich über SSL verschlüsselte Verbindungen von Ihrem Endgerät zu in Deutschland betriebenen Servern übermittelt. Dabei werden die Zertifikate auf Gültigkeit überprüft, um Missbrauch und Man-in-the-Middle-Attacken weitestgehend zu verhindern.
Eine Datenübermittlung in Drittstaaten (Staaten außerhalb des Europäischen Wirtschaftsraums – EWR) findet nur statt, soweit dies zur Ausführung Ihrer Aufträge erforderlich / gesetzlich vorgeschrieben ist oder Sie der Sparda-Bank und der Sopra Financial Technology Ihre Einwilligung erteilt haben. Über Einzelheiten werden Sie, sofern gesetzlich vorgegeben, gesondert informiert.
6.2 Organisatorische Schutzvorkehrungen
Die von der Sopra Financial Technology beauftragten internen Mitarbeiter, die an der expliziten Ausführung und Erfüllung der jeweiligen Informationsprozesse beteiligt sind, unterliegen den strengen Verschwiegenheitspflichten und sind im Falle von IT-Problemen berechtigt, auf mögliche Kundendaten zuzugreifen.
Durch Verschlüsselung und Anonymisierung können die Daten auch bei physischem Zugang zu den Systemen nicht ausgelesen oder über verschiedene Systeme bestimmten Benutzern zugeordnet werden. Dieses ist nur im Falle eines Ersuchens von Strafermittlungsbehörden und / oder zur Schadensfallbehebung möglich, sofern hierbei personenbeziehbare Daten zur Aufklärung eines Sachverhalts ermittelt werden müssen.
6.3 Nutzung von Fremddiensten
Für die Nutzung von Backup-Diensten gelten die Datenschutzbestimmungen gleichermaßen. Dennoch können Datenschutzbestimmungen von Dritten davon abweichen. Auf deren Inhalt und die Einhaltung kann seitens der Sopra Financial Technology kein Einfluss genommen werden.
6.4 Keine Weitergabe an Dritte
Eine Weitergabe der Daten an Dritte erfolgt ohne Ihre Einwilligung nur dann, wenn wir hierzu gesetzlich verpflichtet sind, z. B. bei Vorliegen eines entsprechenden Gerichtsbeschlusses.
Stand: November 2019