Datenschutzrechtliche Hinweise zur onvista bank TAN-App

Personenbezogene Daten sind alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen. Als identifizierbar wird eine natürliche Person zum Beispiel dann angesehen, wenn sie direkt oder indirekt, insbesondere mittels Zuordnung zu einer Kennung wie einem Namen, zu einer Kennnummer, zu Standortdaten, zu einer Online-Kennung identifiziert werden kann. Personenbezogene Daten sind beispielsweise Informationen wie Ihr Name, Ihr Alter, Ihre Anschrift, Ihre Telefonnummer, Ihr Geburtsdatum, Ihre E-Mail-Adresse, Ihre IP-Adresse oder auch Ihr Nutzerverhalten. Informationen, bei denen wir keinen (oder nur mit einem unverhältnismäßigen Aufwand einen) Bezug zu Ihrer Person herstellen können, zum Beispiel durch Anonymisierung der Informationen, sind keine personenbezogenen Daten.

Die Verarbeitung von personenbezogenen Daten (bspw. das Erheben, das Abfragen, die Verwendung, die Speicherung oder die Übermittlung) bedarf immer einer gesetzlichen Grundlage, die die Verarbeitung erlaubt oder diese anordnet oder Ihrer Einwilligung:

• Soweit wir für Verarbeitungsvorgänge personenbezogener Daten eine Einwilligung der betroffenen Person einholen, dient Art. 6 Abs. 1 lit. a EU-Datenschutzgrundverordnung (DSGVO) als Rechtsgrundlage.
• Bei der Verarbeitung von personenbezogenen Daten, die zur Erfüllung eines Vertrages, dessen Vertragspartei die betroffene Person ist, erforderlich ist, dient Art. 6 Abs. 1 lit. b DSGVO als Rechtsgrundlage. Dies gilt auch für Verarbeitungsvorgänge, die zur Durchführung vorvertraglicher Maßnahmen erforderlich sind.
• Soweit eine Verarbeitung personenbezogener Daten zur Erfüllung einer rechtlichen Verpflichtung erforderlich ist, der unser Unternehmen unterliegt, dient Art. 6 Abs. 1 lit. c DSGVO als Rechtsgrundlage.
• Für den Fall, dass lebenswichtige Interessen der betroffenen Person oder einer anderen natürlichen Person eine Verarbeitung personenbezogener Daten erforderlich machen, dient Art. 6 Abs. 1 lit. d DSGVO als Rechtsgrundlage.
• Ist die Verarbeitung zur Wahrung eines berechtigten Interesses unseres Unternehmens oder eines Dritten erforderlich und überwiegen die Interessen, Grundrechte und Grundfreiheiten des Betroffenen das erstgenannte Interesse nicht, so dient Art. 6 Abs. 1 lit. f DSGVO als Rechtsgrundlage für die Verarbeitung.

Die personenbezogenen Daten der betroffenen Person werden gelöscht oder gesperrt, sobald der Zweck der Speicherung entfällt. Eine Speicherung kann darüber hinaus erfolgen, wenn dies durch den europäischen oder nationalen Gesetzgeber in unionsrechtlichen Verordnungen, Gesetzen oder sonstigen Vorschriften, denen der Verantwortliche unterliegt, vorgesehen wurde. Eine Sperrung oder Löschung der Daten erfolgt auch dann, wenn eine durch die genannten Normen vorgeschriebene Speicherfrist abläuft, es sei denn, dass eine Erforderlichkeit zur weiteren Speicherung der Daten für einen Vertragsabschluss oder eine Vertragserfüllung besteht.

Die onvista bank TAN-App wird von der onvista bank – eine Marke der Commerzbank AG, Solmsstraße 83, 60486 Frankfurt am Main zur Verfügung gestellt. Nutzen Sie diese App, werden von uns in dem nachfolgend beschriebenen Umfang personenbezogene Daten erhoben, verarbeitet und genutzt.

Personenbezogene Daten werden in unserer App nur im technisch notwendigen Umfang verarbeitet.

Zur Registrierung melden Sie sich bitte zuerst im Webtrading mit Ihrem User und Ihrem Passwort an und rufen unter dem Reiter „Verwaltung“ den Punkt „TAN-Verwaltung“ auf. Anschließend laden Sie sich die onvista bank TAN-App bitte auf Ihr Endgerät. Bitte folgen Sie anschließend der Anleitung in der App. Mit der Registrierung wird die App mit Ihrem Konto verknüpft. Dies ist notwendig, damit Aufträge und Services in der App angezeigt und freigegeben werden können.

Wir erhalten die Information über den von Ihnen verwandten „Endgerätetyp“, ob Sie ein Endgerät mit einem Android- oder einem iOS Betriebssystem aktiviert haben. Zweck der Erhebung dieser Information und Verarbeitung in dem IT-System der onvista bank ist die Prüfung, ob die App sich bei ihrer Installation auf dem Endgerät in dem richtigen, vom Hersteller autorisierten Betriebssystem befindet. Ist dies nicht der Fall, ist eine Aktivierung der onvista bank TAN-App auf dem Endgerät nicht möglich und Sie werden über diesen Umstand durch Fehlermeldungen informiert.

Ferner verarbeiten wir zur eindeutigen Identifizierung der Aktivierung der jeweiligen onvista bank TAN-App das Datum, an dem die Aktivierung erfolgt ist.

Die Endgerätekennung (IMEI) wird von der onvista bank TAN-App auf Ihrem Endgerät zum Zwecke des Schutzes der onvista bank TAN-App verwendet. Anhand dieser eindeutigen endgerätebezogenen Merkmale erkennt die onvista bank TAN-App das von Ihnen verwendete Endgerät eindeutig. Somit können Ihre Aktivierungsdaten nicht ungewollt oder böswillig kopiert und zur Aktivierung einer weiteren onvista bank TAN-App auf einem anderen Endgerät verwendet werden. Diese endgerätebezogenen Daten werden aber zu keinem Zeitpunkt an die onvista bank übertragen, sondern verbleiben auf dem Endgerät selbst.

Rechtsgrundlage für die Verarbeitung der vorbezeichneten Daten ist das zwischen Ihnen und der onvista bank – eine Marke der Commerzbank AG geschlossene Vertragsverhältnis (Art. 6 Abs. 1 lit. b DSGVO), hier die „Bedingungen für das Online-/Telefon-Banking“.

Die onvista bank TAN-App kann nach Aktivierung durch Sie auch den Fingerabdruck/ die TouchID oder die Gesichtserkennung/ FaceID zur Freigabe nutzen. Dazu müssen diese entsprechenden Informationen von Ihnen auf dem Endgerät hinterlegt und die Funktionen von Ihnen aktiviert werden. Diese Daten bleiben auf dem Endgerät und werden nicht an die onvista bank übertragen.

Die onvista bank TAN-App enthält eine Funktion, mit der Aufträge zur Freigabe direkt vom Server der onvista bank abgeholt werden können. Hierbei werden Daten des freizugebenden Auftrags mittels einer gesicherten Internetverbindung an die onvista bank TAN-App übertragen und verarbeitet. Die Daten zur Überprüfung und Freigabe bzw. Ablehnung eines Auftrags werden nicht in der App gespeichert und liegen nur temporär vor. Nach wenigen Minuten verschwinden die Daten aus der App unabhängig davon, ob Sie den Auftrag freigegeben oder abgelehnt haben. Für diese Funktion benötigt die App das Recht auf Internetfunktionen Ihres Endgeräts zugreifen zu können. Prinzip bedingt meldet sich die App am onvista bank Server mit der jeweils zum Zugriff gültigen Internet Adresse des Mobiletelefons (IP-Adresse) an. Diese IP Adresse wird außer in den gesetzlich vorgeschriebenen technischen Logdateien nicht weiter gespeichert oder verarbeitet.

Weiterhin ist es möglich, Push Nachrichten zu erhalten, wenn ein neuer Auftrag zur Freigabe vorliegt. Für diese Funktion benötigt die App das Recht, Push Nachrichten empfangen zu können. Dazu hinterlegt die onvista bank TAN-App ein von den jeweiligen Betriebssystembetreibern erzeugtes Push-Token auf dem Server der onvista bank. Dieses Token hat selbst keinerlei Personenbezug, sondern identifiziert für den Push Server lediglich die onvista bank TAN-App Installation auf dem Endgerät, auf dem diese installiert ist. Push Benachrichtigungen werden nur dann versendet, wenn Sie zuvor Ihre Einwilligung dazu gegeben haben. Über die Einstellungen der App kann die Einwilligung zum Erhalt von Push Benachrichtigungen widerrufen werden. Dadurch wird das Push Token vom onvista bank Server gelöscht. Durch Löschung der App auf dem Endgerät wird das Token ebenfalls unbrauchbar, da dann keine Verbindung zu einer existierenden App mehr besteht. Der Versand der Benachrichtigungen auf das jeweilige Endgerät erfolgt über den Server des jeweiligen Anbieters, also den Apple Push Notification Service und Google Firebase für iOS-Endgeräte, bzw. den Google Firebase Cloud Messaging Service für Android-Endgeräte. Zur sicheren Kommunikation mit dem Endgerät teilt die onvista bank Apple bzw. Google, entsprechend des durch das Endgerät verwendeten Betriebssystems, hierzu die Device Token ID mit. Dies ist eine aus der Endgeräte-ID erzeugte, eindeutige Verbindungsnummer, die die Zuordnung der Nachricht zum Endgerät des Benutzers ermöglicht.

Innerhalb der onvista bank erhalten nur diejenigen Stellen auf ihre Daten Zugriff, die diese zur Wahrung unserer berechtigten Interessen oder zur Erfüllung unserer vertraglichen und gesetzlichen Pflichten brauchen.

Wir geben Ihre persönlichen Daten nur an Dritte weiter, wenn:

• Sie hierzu Ihre ausdrückliche Einwilligung nach Art. 6 Abs. 1 S. 1 lit. a DSGVO erteilt haben;
• dies gesetzlich zulässig und nach Art. 6 Abs. 1 S. 1 lit. b DSGVO zur Erfüllung eines Vertragsverhältnisses mit Ihnen erforderlich ist; 
• nach Art. 6 Abs. 1 S. 1 lit. c DSGVO für die Weitergabe eine gesetzliche Verpflichtung besteht, Ihre personenbezogenen Daten an externe Stellen weiterzuleiten. Dies kommt insbesondere für folgende Empfänger in Betracht:

- Öffentliche Stellen, Aufsichtsbehörden und -organe,
   wie z.B. Bankenaufsicht (BaFin, EZB oder Bundesbank)

- Rechtsprechungs-/Strafverfolgungsbehörden,
   wie z.B. Polizei, Staatsanwaltschaften, Gerichte;

Wenn es zur Aufklärung einer rechtswidrigen Nutzung unserer Webseite dient oder für die Rechtsverfolgung erforderlich ist, können personenbezogene Daten an die Strafverfolgungsbehörden sowie gegebenenfalls an geschädigte Dritte weitergeleitet werden. Dies geschieht jedoch nur dann, wenn konkrete Anhaltspunkte für ein gesetzwidriges beziehungsweise missbräuchliches Verhalten vorliegen. Eine Weitergabe kann auch dann stattfinden, wenn dies der Durchsetzung von Nutzungsbedingungen oder anderer Vereinbarungen dient. Wir sind zudem gesetzlich verpflichtet, auf Anfrage bestimmten öffentlichen Stellen Auskunft zu erteilen. Dies sind Strafverfolgungsbehörden, Behörden, die bußgeldbewährte Ordnungswidrigkeiten verfolgen und die Finanzbehörden.

• die Weitergabe nach Art. 6 Abs. 1 S. 1 lit. f DSGVO zur Wahrung berechtigter Unternehmensinteressen, sowie zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen erforderlich ist und kein Grund zur Annahme besteht, dass Sie ein überwiegendes schutzwürdiges Interesse an der Nichtweitergabe Ihrer Daten haben.

Gelegentlich sind wir für die Erbringung unseres Service auf vertraglich verbundene externe Dienstleister angewiesen, beispielsweise für das Hosting von Subdomains oder Service- und Wartungsdienstleistungen von auf unserer Webseite eingesetzter Software sowie um auf unserer Webseite angebotene Funktionalitäten anzubieten. In solchen Fällen werden Informationen an diese Unternehmen bzw. Einzelpersonen weitergegeben, um diesen die weitere Bearbeitung zu ermöglichen. Diese externen Dienstleister werden von uns sorgfältig ausgewählt und auf Einhaltung der vertraglichen Vorgaben überprüft. Externe Dienstleister dürfen die Daten ausschließlich zu den von uns vorgegebenen Zwecken und gemäß unseren Weisungen verarbeiten.

Aus der DSGVO ergeben sich für Sie als Betroffene einer Verarbeitung personenbezogener Daten die folgenden Rechte:

• Gemäß Art. 15 DSGVO können Sie Auskunft über Ihre von uns verarbeiteten personenbezogenen Daten verlangen. Sie können insbesondere Auskunft über die Verarbeitungszwecke, die Kategorien der personenbezogenen Daten, die Empfänger oder Kategorien von Empfängern, gegenüber denen Ihre Daten offengelegt wurden oder werden, die geplante Speicherdauer, das Bestehen eines Rechts auf Berichtigung, Löschung, Einschränkung der Verarbeitung oder Widerspruch, das Bestehen eines Beschwerderechts, die Herkunft ihrer Daten, sofern diese nicht bei uns erhoben wurden, über eine Übermittlung in Drittländer oder an internationale Organisationen sowie über das Bestehen einer automatisierten Entscheidungsfindung einschließlich Profiling und ggf. aussagekräftige Informationen zu deren Einzelheiten verlangen.
• Gemäß Art. 16 DSGVO können Sie unverzüglich die Berichtigung unrichtiger oder die Vervollständigung Ihrer bei uns gespeicherten personenbezogenen Daten verlangen.
• Gemäß Art. 17 DSGVO können Sie die Löschung Ihrer bei uns gespeicherten personenbezogenen Daten unter den in Art 17 Abs. 1 lit. a) bis f) DSGVO verlangen, etwa wenn Ihre Daten für die Zwecke, für die sie erhoben oder auf sonstige Weise verarbeitet wurden, nicht mehr erforderlich sind, soweit die Verarbeitung nicht zur Ausübung des Rechts auf freie Meinungsäußerung und Information, zur Erfüllung einer rechtlichen Verpflichtung, aus Gründen des öffentlichen Interesses oder zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen erforderlich ist.
• Gemäß Art. 18 DSGVO können Sie die Einschränkung der Verarbeitung Ihrer personenbezogenen Daten verlangen, soweit die Richtigkeit der Daten von Ihnen bestritten wird, die Verarbeitung unrechtmäßig ist, wir die Daten nicht mehr benötigen und Sie deren Löschung ablehnen, weil Sie diese zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen benötigen. In einem solchen Fall werden die Daten für die Verarbeitung gesperrt. Das Recht aus Art. 18 DSGVO steht Ihnen auch zu, wenn Sie gemäß Art. 21 DSGVO Widerspruch gegen die Verarbeitung eingelegt haben.
• Gemäß Art. 20 DSGVO steht Ihnen zudem das Recht zu, sofern wir Ihre personenbezogenen Daten zur Erfüllung eines Vertrags mit Ihnen oder auf Grundlage Ihrer Einwilligung verarbeiten, Ihre personenbezogenen Daten in einem strukturierten, gängigen und maschinenlesbaren Format zu erhalten oder direkt an einen anderen Verantwortlichen zu übermitteln, sofern und soweit Sie uns die Daten zur Verfügung gestellt haben.
• Gemäß Art. 7 Abs. 3 DSGVO können Sie Ihre einmal erteilte Einwilligung jederzeit gegenüber uns widerrufen. Dies hat zur Folge, dass wir die auf dieser Einwilligung beruhende Datenverarbeitung für die Zukunft nicht mehr fortführen dürfen. Dies gilt auch für den Widerruf von Einwilligungserklärungen, die vor der Geltung der Datenschutzgrundverordnung, also vor dem 25. Mai 2018, uns gegenüber erteilt worden sind. Bitte beachten Sie, dass der Widerruf erst für die Zukunft wirkt. Verarbeitungen, die vor dem Widerruf erfolgt sind, sind davon nicht betroffen.
• Gemäß Art. 77 DSGVO steht Ihnen das Recht zu, jederzeit Beschwerde bei einer Aufsichtsbehörde einzulegen, insbesondere bei einer Aufsichtsbehörde in dem Mitgliedstaat Ihres Aufenthaltsorts, Ihres Arbeitsplatzes oder des Orts des mutmaßlichen Verstoßes, wenn Sie der Ansicht sind, dass die Verarbeitung der Sie betreffenden personenbezogenen Daten gegen datenschutzrechtliche Bestimmungen verstößt.

Sollten Sie Auskunft über die zu Ihrer Person gespeicherten Daten wünschen, Ihre sonstigen Rechte durchsetzen möchten oder Fragen zum Datenschutz bei uns haben, können Sie sich mit uns über die am Anfang dieses Dokumentes genannte Kontaktmöglichkeit (Verantwortliche Stelle) in Verbindung setzen.

1. Einzelfallbezogenes Widerspruchsrecht
   Sie haben das Recht, aus Gründen, die sich aus Ihrer besonderen Situation ergeben, jederzeit gegen die Verarbeitung Sie betreffender personenbezogener Daten, die aufgrund von Artikel 6 Absatz 1 Buchstabe e DSGVO (Datenverarbeitung im öffentlichen Interesse) und Artikel 6 Absatz 1 Buchstabe f DSGVO (Datenverarbeitung auf der Grundlage einer Interessenabwägung) erfolgt, Widerspruch einzulegen; dies gilt auch für ein auf diese Bestimmung gestütztes Profiling im Sinne von Artikel 4 Nr. 4 DSGVO. Legen Sie Widerspruch ein, werden wir Ihre personenbezogenen Daten nicht mehr verarbeiten, es sei denn, wir können zwingende schutzwürdige Gründe für die Verarbeitung nachweisen, die Ihre Interessen, Rechte und Freiheiten überwiegen, oder die Verarbeitung dient der Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen.
   
   
2. Widerspruchsrecht gegen eine Verarbeitung von Daten für Zwecke der Direktwerbung
   In Einzelfällen verarbeiten wir Ihre personenbezogenen Daten, um Direktwerbung zu betreiben. Sie haben das Recht, jederzeit Widerspruch gegen die Verarbeitung Sie betreffender personenbezogener Daten zum Zwecke derartiger Werbung einzulegen; dies gilt auch für das Profiling, soweit es mit solcher Direktwerbung in Verbindung steht. Widersprechen Sie der Verarbeitung für Zwecke der Direktwerbung, so werden wir Ihre personenbezogenen Daten nicht mehr für diese Zwecke verarbeiten.
   
   Der Widerspruch kann formfrei erfolgen und sollte möglichst gerichtet werden an:
   comdirect – eine Marke der Commerzbank AG
   Widerspruch Datenschutz
   Pascalkehre 15
   25451 Quickborn

Wir halten diese Datenschutzerklärung immer auf dem neuesten Stand. Deshalb behalten wir uns vor, sie von Zeit zu Zeit zu ändern und Änderungen bei der Verarbeitung Ihrer Daten nachzupflegen. Die aktuelle Fassung der Datenschutzerklärung ist stets unter der Rubrik "Datenschutz" auf unserer Webseite abrufbar.

Ihr Vertrauen ist uns wichtig. Daher möchten wir Ihnen jederzeit für Fragen zur Verarbeitung und Nutzung Ihrer personenbezogenen Daten zur Verfügung stehen.

Wenn Sie Informationen wünschen, die Ihnen diese Datenschutzerklärung nicht geben konnte oder wenn Sie zu einem Punkt vertiefte Auskunft wünschen, wenden Sie sich bitte jederzeit an den Datenschutzbeauftragten der Commerzbank AG. Diesen erreichen Sie per Mail unter datenschutz@comdirect.de.

Die Datenschutzerklärung der onvista bank, eine Marke der Commerzbank AG finden Sie hier: https://www.onvista-bank.de/datenschutz.html