1. Verantwortliche Stelle und Kontakt
Verantwortlicher nach Art. 4 Nr. 7 DS-GVO ist für die Anwendungsentwicklung der Applikation die Sopra Financial Technology GmbH, Frankenstraße 146, 90461 Nürnberg. Die Urheberrechte der „SpardaSecureApp“ stehen der Sopra Financial Technology zu.
Für datenschutzrechtliche Fragen rund um die Anwendungsentwicklung der Applikation, kontaktieren Sie gerne den Datenschutzbeauftragten unter der Adresse: Sopra Financial Technology, persönlich/vertraulich, Datenschutzbeauftragter, Frankenstraße 146, 90461 Nürnberg, Telefon +49 911 9291-0 oder gerne auch per E-Mail: [email protected].
1.1 Start der Applikation
Mit dem Start der Applikation (kurz App) und mit Einbezug der Bankzuordnung (Auswahl der Sparda-Bank) wird erstmalig eine Verbindung der App mit der zuvor ausgewählten Sparda-Bank hergestellt.
Für den Prozess der Registrierung der App ist die Erfassung der Online-Banking Zugangsdaten erforderlich.
Für den Prozess der Registrierung der App ist die Sopra Financial Technology verantwortliche Stelle.
1.2 Nutzung der Applikation mit ihren Funktionen
Nach erfolgter Registrierung findet die gesamte Datenverarbeitung bei der ausgewählten Sparda-Bank statt, also jener Sparda-Bank, bei welcher Sie Ihr Konto / Ihre Konten führen und welche Sie im Zusammenhang mit der App verwenden wollen. Diese Banken sind, für die anschließende Datenverarbeitung nach erfolgter Registrierung, verantwortliche Stelle im Sinne des Datenschutzgesetzes.
2. Datenschutzgrundsätze
Eine datenschutzfreundliche Voreinstellung der Softwareprodukte ist der Sopra Financial Technology ein besonderes Anliegen, sodass diese Produkte so konzipiert wurden. Es werden daher nur personenbezogene Daten erhoben, die für die Funktion des Produkts benötigt werden (Grundsatz der Datensparsamkeit).
Der rechtmäßige und verantwortungsvolle Umgang mit allen Daten in der App und bei der Anwendungsentwicklung ist der Sopra Financial Technology sehr wichtig. Die Sopra Financial Technology richtet ihre Anwendungen und Produkte sowie dessen Datennutzung und -speicherung möglichst transparent dar. Daten, die in der App verwendet werden, werden im Regelfall nur nach Einwilligung gespeichert und / oder an Dritte übermittelt.
2.1 Informationen zur Datenverarbeitung und Zweckbindung zur Erfüllung der vertraglichen und gesetzlichen Verpflichtungen
Soweit erforderlich, verarbeiten und speichern die Sparda-Banken Ihre personenbezogenen Daten in der „SpardaSecureApp“ für die Dauer Ihrer Geschäftsbeziehung, was beispielsweise auch die Anbahnung und die Abwicklung eines Vertrages umfasst. Dabei ist zu beachten, dass Ihre Geschäftsbeziehung ein Dauerschuldverhältnis darstellt, welches auf Jahre angelegt ist.
Darüber hinaus unterliegen wir verschiedenen Aufbewahrungs- und Dokumentationspflichten, die sich unter anderem aus der Abgabenordnung, dem Handelsgesetzbuch, Kreditwesengesetz, Geldwäschegesetz und Wertpapierhandelsgesetz ergeben.
Es gelten die Fristen zur Aufbewahrung bzw. Dokumentation von zwei bis zehn Jahre. Zudem werden für die Speicherdauer auch die gesetzlichen Verjährungsfristen, z. B. nach den §§ 195 ff. des Bürgerlichen Gesetzbuches in der Regel 3 Jahre, in gewissen Fällen aber auch bis zu dreißig Jahre in Betracht gezogen.
Die Sopra Financial Technology verarbeitet Ihre übermittelten personenbezogenen Daten im Einklang zu Vorgenannten und unter Anwendung der Bestimmungen der Europäischen Datenschutz-Grundverordnung (DS-GVO) sowie dem Bundesdatenschutzgesetz (BDSG neu) zur Erbringung Ihrer Leistungen im Rahmen des Vertragsverhältnisses mit den Sparda-Banken.
2.2 Besondere datenschutzrechte Anforderungen
Nach der DS-GVO besteht jederzeit
– das unentgeltliche Auskunftsrecht über Ihre gespeicherten Daten (vgl. Art. 15 DS-GVO),
– das Recht auf Berichtigung (vgl. Art. 16 DS-GVO),
– das Recht auf Löschung ihrer Daten (vgl. Art. 17 DS-GVO),
– das Recht auf Einschränkung der Verarbeitung (vgl. Art. 18 DS-GVO),
– das Recht auf Datenübertragbarkeit (vgl. Art. 20 DS-GVO) sowie
– das Recht auf Widerspruch (vgl. Art. 21 DS-GVO).
Bei Fragen, haben Sie die Möglichkeit die Sopra Financial Technology per E-Mail anzuschreiben. Sollte es sich dabei um eine Anfrage für die verantwortliche Stelle der Sparda-Bank handeln, werden wir Ihre Anfrage zur Beauskunftung an diese Stelle weiterleiten.
Das Beschwerderecht bei den zuständigen Datenschutzbehörden gemäß Art. 77 DS-GVO steht Ihnen jederzeit zur Verfügung.
3. Datenerhebung, -speicherung und -nutzung von personenbezogenen Daten
3.1 Welche Daten erheben, nutzen und verarbeiten wir
Als Anwendungsentwickler erhebt und verarbeitet die Sopra Financial Technology nur die Daten, die zur Aufrechterhaltung und Nutzung der Ihnen zur Verfügung gestellten Services unbedingt notwendig sind.
Alle Dienste und Services, die personenbezogene Daten übermitteln, weisen Sie vor Benutzung und Übertragung Ihrer Daten auf den genauen Umfang der Daten hin und verlangen Ihre Einwilligungserklärung zur Übertragung.
All Ihre Daten gehören Ihnen, daher leitet die Sopra Financial Technology keine der Sopra Financial Technology übermittelten Daten ohne Ihre Einwilligung an Dritte weiter, es sei denn, wir sind dazu gesetzlich verpflichtet, wie z. B. bei Vorliegen eines entsprechenden Gerichtsbeschlusses.
Die „SpardaSecureApp“ erhebt nur, die im Einzelfall erforderlichen und mit jeweiligen Funktionsumfang abhängigen Daten. In den nachfolgenden Funktionsbeschreibungen der App wird im Detail erläutert, welche Daten in welchem Umfang erhoben und verarbeitet werden.
Insbesondere werden die im Zusammenhang mit der „SpardaSecureApp“ für den Betrieb notwendigen personenbezogenen Daten verarbeitet. Sofern Sie aber für die Nutzung erforderliche Daten nicht freigeben, kann dies die Nutzung der „SpardaSecureApp“ einschränken.
3.2 Appstart in der App
Im Falle der Nutzung der Funktion „Appstart“ werden, in den Einstellungen der App und bei Übermittlung der Onlinebanking-Vertrags-ID, die Kontonummern in der App gespeichert. Die Daten werden beim Start der App an die betreffende Sparda-Bank übermittelt.
Die Daten werden direkt verarbeitet, um im Bedarfsfall Transaktionsmeldungen Ihrer Sparda-Bank anzuzeigen. Die Speicherung oder Übermittlung der Daten an Dritte findet nicht statt.
3.3 Senden von Transaktionen und Hinterlegung von SEPA-Daten in der App
Bei der manuellen Hinterlegung von SEPA-Daten von einem Konto in der App, bzw. beim Senden von Transaktionen werden IBAN und BIC an das betreffende Institut zur Validierung übermittelt.
Damit die entsprechende Transaktion durchgefügt werden kann, müssen die jeweils relevanten Transaktionsdaten verarbeitet werden. Sofern diese erforderlichen Daten fehlen, kann dies die Nutzung der App einschränken oder unmöglich machen. Die zuletzt durchgeführte Transaktion wird auf Ihrem Gerät gespeichert und gelöscht sobald eine neue Transaktion ausgeführt oder abgebrochen wurde.
3.4 Kameranutzung beim QR-Code Scanner in der App
Im eigens bereitgestellten QR-Code Scanner erfolgt eine lokale, auf dem Gerät vorgenommene, Berechtigung und es wird auf die Kamera zugegriffen, um einen Überweisungsauftrag in die SpardaSecureApp zu überführen.
Diese Funktion ist nur einmalig bei der Erstellung einer Benutzerkennung erforderlich.
4. Erhebung, Speicherung und Nutzung von nichtpersonenbezogenen Daten
4.1 App-Absturz
Die App besitzt eine Absturzbenachrichtigung womit manuell oder automatisch Informationen über die gerade aufgerufenen Funktionen an die Sopra Financial Technology gesendet werden, sofern Sie diesem zugestimmt haben.
Durch diese Informationen können wir auf Probleme reagieren und Ihnen somit auch schneller eine korrigierte Version der Apps über die Stores anbieten.
4.2 HockeyApp
Die App benutzt HockeyApp für Absturz-Analysen.
Die dabei erhobenen Daten sind nicht personenbezogen bzw. -beziehbar und lassen damit keinen Rückschluss auf eine Person zu.
5. Von der App angeforderte Berechtigungen und deren Verwendung
Zur Nutzung bestimmter Funktionen muss auf dem genutzten Gerät eine entsprechende Erlaubnis innerhalb der App-Verwendung erteilt werden.
Sie können diese Erlaubnis in den App-Einstellungen widerrufen. Hierbei können nachfolgende Einstellungen vorgenommen bzw. Berechtigungen erteilt werden:
5.1 Kamera und Gerätefreischaltungen z. B. Fingerprint-, Touch- sowie FaceID
Die Kamera-Berechtigung wird einmalig benötigt zur:
– Aktivierung der Benutzerkennung und/oder Mehrfachkonten mittels OR-Code;
– Gerätefreischaltung meint die Freigabe des Device mittels Passwort.
Folgende betriebssystemspezifischen Besonderheiten sind zu beachten:
– Android:
Im Rahmen der Freischaltung von Fingerprint werden die hinterlegten Daten für die SpardaSecureApp freigeschaltet, damit diese künftig verwendet werden. Gleichzeitig wird der Telefonstatus und WiFi-Status innerhalb dieser Umgebung freigegeben und muss nach der Installation der SpardaSecureApp bestätigt werden.
– iOS:
Im Rahmen der Freischaltung von Touch- sowie FaceID werden die hinterlegten Daten für die SpardaSecureApp freigeschaltet, damit diese künftig verwendet werden.
5.2 Mobile Daten durch ihr Endgerät
Sofern keine Verbindung über WLAN besteht, benutzt die App die mobile Datenverbindung Ihres Netzbetreibers bspw. bei der Nutzung von SpardaSecureApp.
6. Datensicherheit
6.1 Technische Schutzvorkehrungen
6.1.1 Vorkehrungen durch die Sopra Financial Technology
Die von der Sopra Financial Technology eingesetzten Server werden durch und / oder ihre IT-Dienstleister konfiguriert und in zertifizierten Rechenzentren in Deutschland betrieben. Darüber hinaus wird die eingesetzte Hardware von zertifizierten namhaften Herstellern geliefert und ist ausfallsicher sowie redundant ausgelegt. Zudem ist die Verarbeitung Ihrer Daten durch umfangreiche technische und organisatorische Schutzmaßnahmen vor dem Zugriff Dritter geschützt.
Alle Dienstleister versichern, dass nur Sicherheitstechnologien, die sich auf dem aktuellen Stand der Technik befinden, verwendet werden und stetiger Aktualisierung unterliegen. Die Sicherheitskonzepte der Sopra Financial Technology werden fortlaufend an neue Erkenntnisse angepasst und erneuert, um Ihre Daten vor Diebstahl und Missbrauch zu schützen.
Alle von den Sparda-Banken an die Sopra Financial Technology übertragenen Daten werden verantwortungsbewusst behandelt und nach allen gesetzlichen Bestimmungen zum Datenschutz, insbesondere der europäischen Datenschutz-Grundverordnung (EU-DS-GVO) und des Bundesdatenschutzgesetzes (BDSG neu) und nach höchsten Sicherheitsstandards zur Datenverarbeitung und Speicherung verarbeitet.
6.1.2 Vorkehrungen für die Datenübertragung
Ihre Daten werden ausschließlich über SSL verschlüsselte Verbindungen von Ihrem Endgerät zu in Deutschland betriebenen Servern übermittelt. Dabei werden die Zertifikate auf Gültigkeit überprüft, um Missbrauch und Man-in-the-Middle-Attacken weitestgehend zu verhindern.
Eine Datenübermittlung in Drittstaaten (Staaten außerhalb des Europäischen Wirtschaftsraums – EWR) findet nur statt, soweit dies zur Ausführung Ihrer Aufträge erforderlich / gesetzlich vorgeschrieben ist oder Sie der Sparda-Bank und der Sopra Financial Technology Ihre Einwilligung erteilt haben. Über Einzelheiten werden Sie, sofern gesetzlich vorgegeben, gesondert informieren.
6.2 Organisatorische Schutzvorkehrungen
Die von der Sopra Financial Technology beauftragten internen Mitarbeiter, die an der expliziten Ausführung und Erfüllung der jeweiligen Informationsprozesse beteiligt sind, unterliegen den strengen Verschwiegenheitspflichten und sind im Falle von IT-Problemen berechtigt, auf mögliche Kundendaten zuzugreifen.
Durch Verschlüsselung und Anonymisierung können die Daten auch bei physischem Zugang zu den Systemen nicht ausgelesen oder über verschiedene Systeme bestimmten Benutzern zugeordnet werden. Dieses ist nur im Falle eines Ersuchens von Strafermittlungsbehörden und / oder zur Schadensfallbehebung möglich, sofern hierbei personenbeziehbare Daten zur Aufklärung eines Sachverhalts ermittelt werden müssen.
6.3 Nutzung von Fremddiensten
Für die Nutzung von Backup-Diensten gelten die Datenschutzbestimmungen gleichermaßen. Dennoch können Datenschutzbestimmungen von Dritten davon abweichen. Auf deren Inhalt und die Einhaltung kann seitens der Sopra Financial Technology kein Einfluss genommen werden.
6.4 Keine Weitergabe an Dritte
Eine Weitergabe der Daten an Dritte erfolgt ohne Ihre Einwilligung nur dann, wenn wir hierzu gesetzlich verpflichtet sind, z. B. bei Vorliegen eines entsprechenden Gerichtsbeschlusses.
Stand: November 2019