Hinweise zum Datenschutz

Unsere digitale Welt lebt von Informationen und Daten. Trotzdem sammeln wir sie sparsam und gehen sorgsam mit ihnen um. Hierzu hat sich die DSV-Gruppe als zentraler Lösungsanbieter der Sparkassen-Finanzgruppe seit jeher verpflichtet. Wichtige Grundsätze einer ordnungsgemäßen Datenverarbeitung sind die Rechtmäßigkeit und die Transparenz gegenüber den Personen, deren Daten verarbeitet werden.

Um für Sie eine möglichst hohe Transparenz zu schaffen, differenzieren die vorliegenden Hinweise zum Datenschutz zwischen der Verarbeitung von Daten der Beschäftigten unserer Geschäftskunden (Abschnitt C) und der Verarbeitung von Daten unabhängig von einer B2B-Kundenbeziehung (Abschnitt B). Die Allgemeinen Hinweise (Abschnitt A) betreffen beide Kategorien betroffener Personen.

 

Allgemeine Hinweise

Verantwortlicher

Der Verantwortliche im Sinne der EU Datenschutz-Grundverordnung (im Folgenden „DSGVO“) und weiterer Vorschriften zum Datenschutz ist die

S-Payment GmbH
(im Folgenden „Verantwortlicher“ oder „S-Payment“)

Am Wallgraben 115, 70565 Stuttgart
Deutschland
Telefon: +49 711 78299-0
E-Mail: info@s-payment.com

Personenbezogene Daten

Personenbezogene Daten sind per gesetzlicher Definition alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person (im Folgenden „betroffene Person“) beziehen. Als identifizierbar wird eine natürliche Person angesehen, die direkt oder indirekt identifiziert werden kann. Dabei erfolgt die Identifizierung insbesondere mittels Zuordnung zu einer Kennung wie einem Namen, zu einer Kennnummer, zu Standortdaten, zu einer Online-Kennung oder zu einem oder mehreren besonderen Merkmalen, die Ausdruck der physischen, physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität dieser natürlichen Person sind. Zu den von der S-Payment verarbeiteten Daten können gehören: der Name einer betroffenen Person, ihre E-Mail-Adresse, ihre Telefonnummer oder sonstige Kontaktdaten, Informationen über bestimmte Produktaffinitäten einer betroffenen Person oder Informationen über Website-Besuche einer betroffenen Person und andere Informationen, sofern diese Personenbezug aufweisen.

Art, Umfang und Zweck der Verarbeitung

Wir verarbeiten unterschiedliche Arten personenbezogener Daten. Dabei bezeichnet der Ausdruck „Verarbeitung“ jeden mit oder ohne Hilfe automatisierter Verfahren ausgeführten Vorgang oder jede solche Vorgangsreihe im Zusammenhang mit personenbezogenen Daten. Es kann sich dabei beispielsweise um das Erheben, das Erfassen, die Organisation, das Ordnen, die Speicherung, die Anpassung, die Veränderung, das Auslesen, das Abfragen, die Verwendung, die Offenlegung durch Übermittlung, die Offenlegung durch Verbreitung, die Offenlegung durch eine andere Form der Bereitstellung, den Abgleich, die Verknüpfung, die Einschränkung, das Löschen oder die Vernichtung personenbezogener Daten handeln.

Wir verarbeiten personenbezogene Daten insbesondere zu folgenden Zwecken: Soweit dies zur Erbringung unserer Leistungen und etwaiger damit verbundener Nebenleistungen erforderlich ist. Zudem verarbeiten wir – soweit für die Erbringung unserer Dienstleistung erforderlich – personenbezogene Daten, die wir von anderen Unternehmen zulässigerweise (z. B. zur Ausführung von Aufträgen, zur Erfüllung von Verträgen oder aufgrund einer von Ihnen erteilten Einwilligung) erhalten haben. Auch darüber hinaus kann es sein, dass wir bestimmte personenbezogene Daten verarbeiten, die wir im Rahmen unserer Geschäftsbeziehung von Ihnen erhalten haben. Zum anderen verarbeiten wir personenbezogene Daten, die wir öffentlich zugänglichen Quellen zulässiger Weise entnommen haben (z. B. Statistiken, Schuldnerverzeichnisse, Grundbücher, Handels- und Vereinsregister, Presse, Medien).

Einzelheiten werden in den folgenden Abschnitten B und C erläutert.

Rechtsgrundlage für die Verarbeitung personenenbezogener Daten

Soweit wir für Verarbeitungsvorgänge personenbezogener Daten eine Einwilligung der betroffenen Person einholen, dient diese in Verbindung mit Artikel 6 Absatz 1 Satz 1 Buchstabe a und Artikel 7 DSGVO als Rechtsgrundlage für die Verarbeitung personenbezogener Daten. Beispiele hierfür wären die Einholung einer Einwilligung für das Webtracking oder für Zwecke der Werbung.

Bei der Verarbeitung von personenbezogenen Daten, die zur Erfüllung eines Vertrages, dessen Vertragspartei die betroffene Person ist, erforderlich ist, ist Artikel 6 Absatz 1 Satz 1 Buchstabe b DSGVO Rechtsgrundlage. Dies gilt auch für Verarbeitungsvorgänge, die zur Durchführung vorvertraglicher Maßnahmen erforderlich sind. Beispielsweise kann dies die Verarbeitung von Daten zur Erfüllung eines Kauf- oder Dienstleistungsvertrags sein.

Soweit eine Verarbeitung personenbezogener Daten zur Erfüllung einer rechtlichen Verpflichtung erforderlich ist, welcher die verantwortliche Stelle unterliegt, dient Artikel 6 Absatz 1 Satz 1 Buchstabe c DSGVO als Rechtsgrundlage. Beispiele hierfür sind Aufzeichnungs- und Aufbewahrungspflichten zur Gewährleistung der Sicherheit der Verarbeitung oder nach Handels-, Gewerbe-, Steuer- und Sozialrecht.

Für den Fall, dass lebenswichtige Interessen der betroffenen Person oder einer anderen natürlichen Person eine Verarbeitung personenbezogener Daten erforderlich machen, dient Artikel 6 Absatz 1 Satz 1 Buchstabe d DSGVO als Rechtsgrundlage. Dies trifft für die Verarbeitung von Daten der hier genannten Kategorien betroffener Personen typischer Weise nicht zu, wäre also nur für derzeit nicht erwartete Fälle anwendbar.

Ist die Verarbeitung zur Wahrung eines berechtigten Interesses unseres Unternehmens oder eines Dritten erforderlich und überwiegen die Interessen, Grundrechte und Grundfreiheiten der betroffenen Person das erstgenannte Interesse nicht, so dient uns Artikel 6 Absatz 1 Satz 1 Buchstabe f DSGVO als Rechtsgrundlage für die Verarbeitung. Die Interessenabwägung kann in vielen verschiedenen Fallkonstellationen zur Anwendung kommen, etwa für Zwecke der Werbung oder Markt- und Meinungsforschung (soweit Sie der Nutzung Ihrer Daten nicht widersprochen haben oder wir diese Verarbeitung nicht auf eine Einwilligung stützen), zur Konsultation von Auskunfteien und zum Datenaustausch mit diesen (Ermittlung von Bonitäts- bzw. Ausfallrisiken), zur Prüfung und Optimierung von Verfahren zur Bedarfsanalyse und direkten Kundenansprache, zur Geltendmachung rechtlicher Ansprüche und zur Verteidigung bei rechtlichen Streitigkeiten, zur Gewährleistung der Sicherheit der Verarbeitung, der Informations- und IT-Sicherheit sowie des IT-Betriebs oder zur Verhinderung und Aufklärung von Straftaten.

Datenlöschung, Einschränkung der Datenverarbeitung und Speicherdauer

Soweit erforderlich, verarbeiten wir Ihre Daten für die Dauer unserer Geschäftsbeziehung, was insbesondere die Anbahnung und die Abwicklung eines Vertrages umfasst. Dabei ist zu beachten, dass viele unserer Geschäftsbeziehungen auf Dauer angelegt sind, häufig für viele Jahre.

Darüber hinaus unterliegen wir verschiedenen Aufbewahrungs- und Dokumentationspflichten, die sich unter anderem aus dem Handelsgesetzbuch (HGB), der Abgabenordnung (AO), dem Kreditwesengesetz (KWG), dem Geldwäschegesetz (GwG) und dem Wertpapierhandelsgesetz (WpHG) ergeben. Die dort vorgegebenen Fristen zur Aufbewahrung bzw. Dokumentation betragen zwei bis zehn Jahre.

Schließlich beurteilt sich die Speicherdauer auch nach den gesetzlichen Verjährungsfristen, die zum Beispiel nach den §§ 195 ff. des Bürgerlichen Gesetzbuches (BGB) in der Regel drei Jahre, in gewissen Fällen aber auch bis zu dreißig Jahre betragen können.

Personenbezogene Daten werden von uns unverzüglich gelöscht, sofern sie für die Zwecke, für die sie erhoben oder auf sonstige Weise verarbeitet wurden, nicht mehr notwendig sind und keine Aufbewahrungs- und Dokumentationspflichten, legitimen Aufbewahrungsrechte (etwa zur Verfolgung eigener Rechtsansprüche oder zur Erfüllung der Rechenschaftspflichten gemäß DSGVO) oder anderweitigen Rechtsgrundlagen für die Verarbeitung entgegenstehen. Gleiches gilt für die Löschung von Daten in Folge des Widerrufs einer Einwilligung, auf die sich die Verarbeitung gemäß Artikel 6 Absatz 1 Buchstabe a oder Artikel 9 Absatz 2 Buchstabe a DSGVO stützte. Legt die betroffene Person gemäß Artikel 21 Absatz 1 DSGVO Widerspruch gegen die Verarbeitung ein und liegen keine vorrangigen berechtigten Gründe für die Verarbeitung vor, oder stützt die betroffene Person ihren Widerspruch auf Artikel 21 Absatz 2 DSGVO, so werden die Daten von uns ebenfalls unverzüglich gelöscht. Gleiches gilt für den Fall, dass die die personenbezogenen Daten gemäß Artikel 17 Absatz 1 Buchstabe c DSGVO unrechtmäßig verarbeitet wurden. Die unverzügliche Löschung der personenbezogenen Daten kann außerdem zur Erfüllung einer rechtlichen Verpflichtung nach dem Unionsrecht oder nationalem Recht erforderlich sein. Wurden die personenbezogenen Daten in Bezug auf angebotene Dienste der Informationsgesellschaft gemäß Artikel 8 Absatz 1 DSGVO erhoben, so gilt die Löschpflicht gemäß Artikel 17 Absatz 1 Buchstabe f DSGVO.

Die Verarbeitung der Daten wird eingeschränkt, wenn

a) die Richtigkeit der personenbezogenen Daten von der betroffenen Person bestritten wird, und zwar für eine Dauer, die es dem Verantwortlichen ermöglicht, die Richtigkeit der personenbezogenen Daten zu überprüfen,
b) die Verarbeitung unrechtmäßig ist und die betroffene Person die Löschung der personenbezogenen Daten ablehnt und stattdessen die Einschränkung der Nutzung der personenbezogenen Daten verlangt;
c) der Verantwortliche die personenbezogenen Daten für die Zwecke der Verarbeitung nicht länger benötigt, die betroffene Person sie jedoch zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen benötigt, oder
d) die betroffene Person Widerspruch gegen die Verarbeitung gemäß Artikel 21 Absatz 1 DSGVO eingelegt hat, solange noch nicht feststeht, ob die berechtigten Gründe des Verantwortlichen gegenüber denen der betroffenen Person überwiegen.

Schutz personenbezogener Daten

Wir haben auf Basis des gesetzlich geforderten risikoorientierten Ansatzes technische und organisatorische Maßnahmen umgesetzt, um personenbezogene Daten gegen zufällige oder vorsätzliche Manipulationen, gegen Verlust, Zerstörung oder den Zugriff Unberechtigter zu schützen. Unsere Sicherheitsmaßnahmen werden unter anderem entsprechend der technologischen Entwicklung fortlaufend kontrolliert und verbessert.
Das Rechenzentrum der S-Payment GmbH ist nach ISO 27001 und anderen anerkannten Standards zertifiziert bzw. überprüft. Sie wird laufend durch interne und externen Stellen überprüft.

Rechte der betroffenen Personen

Werden Ihre personenbezogenen Daten verarbeitet, stehen Ihnen gegenüber dem Verantwortlichen die im Folgenden genannten Rechte zu.

Auskunftsrecht
Sie können von uns eine Bestätigung darüber verlangen, ob personenbezogene Daten, die Sie betreffen, von uns verarbeitet werden.
Liegt eine solche Verarbeitung vor, können Sie von uns über folgende Informationen Auskunft verlangen:

  1. die Zwecke, zu denen die personenbezogenen Daten verarbeitet werden;
  2. die Kategorien von personenbezogenen Daten, welche verarbeitet werden;
  3. die Empfänger bzw. die Kategorien von Empfängern, gegenüber denen die Sie betreffenden personenbezogenen Daten offengelegt wurden oder noch offengelegt werden;
  4. die geplante Dauer der Speicherung der Sie betreffenden personenbezogenen Daten oder, falls konkrete Angaben hierzu nicht möglich sind, Kriterien für die Festlegung der Speicherdauer;
  5. das Bestehen eines Rechts auf Berichtigung oder Löschung der Sie betreffenden personenbezogenen Daten, eines Rechts auf Einschränkung der Verarbeitung durch den Verantwortlichen oder eines Widerspruchsrechts gegen diese Verarbeitung;
  6. das Bestehen eines Beschwerderechts bei einer Aufsichtsbehörde;
  7. alle verfügbaren Informationen über die Herkunft der Daten, wenn die personenbezogenen Daten nicht bei der betroffenen Person erhoben werden;
  8. das Bestehen einer automatisierten Entscheidungsfindung einschließlich Profiling gemäß Artikel 22 Absatz 1 und 4 DSGVO und – zumindest in diesen Fällen – aussagekräftige Informationen über die involvierte Logik sowie die Tragweite und die angestrebten Auswirkungen einer derartigen Verarbeitung für die betroffene Person.

Ihnen steht das Recht zu, Auskunft darüber zu verlangen, ob die Sie betreffenden personenbezogenen Daten in ein Drittland oder an eine internationale Organisation übermittelt werden. In diesem Zusammenhang können Sie verlangen, über die geeigneten Garantien gemäß Artikel 46 DSGVO im Zusammenhang mit der Übermittlung unterrichtet zu werden.

Recht auf Berichtigung
Sie haben ein Recht auf Berichtigung und/oder Vervollständigung gegenüber dem Verantwortlichen, sofern die verarbeiteten personenbezogenen Daten, die Sie betreffen, unrichtig oder unvollständig sind. Der Verantwortliche hat die Berichtigung unverzüglich vorzunehmen.

Recht auf Einschränkung der Verarbeitung
Unter den folgenden Voraussetzungen können Sie die Einschränkung der Verarbeitung der Sie betreffenden personenbezogenen Daten verlangen:

  1. wenn Sie die Richtigkeit der Sie betreffenden personenbezogenen für eine Dauer bestreiten, die es dem Verantwortlichen ermöglicht, die Richtigkeit der personenbezogenen Daten zu überprüfen;
  2. die Verarbeitung unrechtmäßig ist und Sie die Löschung der personenbezogenen Daten ablehnen und stattdessen die Einschränkung der Nutzung der personenbezogenen Daten verlangen;
  3. der Verantwortliche die personenbezogenen Daten für die Zwecke der Verarbeitung nicht länger benötigt, Sie diese jedoch zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen benötigen, oder
  4. wenn Sie Widerspruch gegen die Verarbeitung gemäß Artikel 21 Absatz 1 DSGVO eingelegt haben und noch nicht feststeht, ob die berechtigten Gründe des Verantwortlichen gegenüber Ihren Gründen überwiegen.

Wurde die Verarbeitung der Sie betreffenden personenbezogenen Daten eingeschränkt, dürfen diese Daten – von ihrer Speicherung abgesehen – nur mit Ihrer Einwilligung oder zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen oder zum Schutz der Rechte einer anderen natürlichen oder juristischen Person oder aus Gründen eines wichtigen öffentlichen Interesses der Union oder eines Mitgliedstaats verarbeitet werden.

Wurde die Einschränkung der Verarbeitung nach den o.g. Voraussetzungen eingeschränkt, werden Sie von dem Verantwortlichen unterrichtet bevor die Einschränkung aufgehoben wird.

Recht auf Löschung
Sie können von dem Verantwortlichen verlangen, dass die Sie betreffenden personenbezogenen Daten unverzüglich gelöscht werden, und der Verantwortliche ist verpflichtet, diese Daten unverzüglich zu löschen, sofern einer der folgenden Gründe zutrifft:

  1. Die Sie betreffenden personenbezogenen Daten sind für die Zwecke, für die sie erhoben oder auf sonstige Weise verarbeitet wurden, nicht mehr notwendig.
  2. Sie widerrufen Ihre Einwilligung, auf die sich die Verarbeitung gemäß Artikel 6 Absatz 1 Satz 1 Buchstabe a oder Artikel 9 Absatz 2 Buchstabe a DSGVO stützte, und es fehlt an einer anderweitigen Rechtsgrundlage für die Verarbeitung.
  3. Sie legen gemäß Artikel 21 Absatz 1 DSGVO Widerspruch gegen die Verarbeitung ein und es liegen keine vorrangigen berechtigten Gründe für die Verarbeitung vor, oder Sie legen gemäß Artikel 21 Absatz 2 DSGVO Widerspruch gegen die Verarbeitung ein.
  4. Die Sie betreffenden personenbezogenen Daten wurden unrechtmäßig verarbeitet.
  5. Die Löschung der Sie betreffenden personenbezogenen Daten ist zur Erfüllung einer rechtlichen Verpflichtung nach dem Unionsrecht oder dem Recht der Mitgliedstaaten erforderlich, dem der Verantwortliche unterliegt.
  6. Die Sie betreffenden personenbezogenen Daten wurden in Bezug auf angebotene Dienste der Informationsgesellschaft gemäß Artikel 8 Absatz 1 DSGVO erhoben.

Information an Dritte in Folge der Löschung
Hat der Verantwortliche die Sie betreffenden personenbezogenen Daten öffentlich gemacht und ist er gemäß Artikel 17 Absatz 1 DSGVO zu deren Löschung verpflichtet, so trifft er unter Berücksichtigung der verfügbaren Technologie und der Implementierungskosten angemessene Maßnahmen, auch technischer Art, um für die Datenverarbeitung Verantwortliche, die die personenbezogenen Daten verarbeiten, darüber zu informieren, dass Sie als betroffene Person von ihnen die Löschung aller Links zu diesen personenbezogenen Daten oder von Kopien oder Replikationen dieser personenbezogenen Daten verlangt haben.

Ausnahmen vom Recht auf Löschung
Das Recht auf Löschung besteht nicht, soweit die Verarbeitung erforderlich ist

  1. zur Ausübung des Rechts auf freie Meinungsäußerung und Information;
  2. zur Erfüllung einer rechtlichen Verpflichtung, die die Verarbeitung nach dem Recht der Union oder der Mitgliedstaaten, dem der Verantwortliche unterliegt, erfordert, oder zur Wahrnehmung einer Aufgabe, die im öffentlichen Interesse liegt oder in Ausübung öffentlicher Gewalt erfolgt, die dem Verantwortlichen übertragen wurde;
  3. aus Gründen des öffentlichen Interesses im Bereich der öffentlichen Gesundheit gemäß Artikel 9 Absatz 2 Buchstabe h und i sowie Artikel 9 Absatz 3 DSGVO;
  4. für im öffentlichen Interesse liegende Archivzwecke, wissenschaftliche oder historische Forschungszwecke oder für statistische Zwecke gemäß Artikel 89 Absatz 1 DSGVO, soweit das unter Abschnitt a) genannte Recht voraussichtlich die Verwirklichung der Ziele dieser Verarbeitung unmöglich macht oder ernsthaft beeinträchtigt, oder
  5. 5. zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen.

Recht auf Unterrichtung
Haben Sie das Recht auf Berichtigung, Löschung oder Einschränkung der Verarbeitung gegenüber dem Verantwortlichen geltend gemacht, ist dieser verpflichtet, allen Empfängern, denen die Sie betreffenden personenbezogenen Daten offengelegt wurden, diese Berichtigung oder Löschung der Daten oder Einschränkung der Verarbeitung mitzuteilen, es sei denn, dies erweist sich als unmöglich oder ist mit einem unverhältnismäßigen Aufwand verbunden.

Ihnen steht gegenüber dem Verantwortlichen das Recht zu, über diese Empfänger unterrichtet zu werden.

Recht auf Datenübertragbarkeit
Sie haben das Recht, die Sie betreffenden personenbezogenen Daten, die Sie dem Verantwortlichen bereitgestellt haben, in einem strukturierten, gängigen und maschinenlesbaren Format zu erhalten. Außerdem haben Sie das Recht diese Daten einem anderen Verantwortlichen ohne Behinderung durch den Verantwortlichen, dem die personenbezogenen Daten bereitgestellt wurden, zu übermitteln, sofern

  1. die Verarbeitung auf einer Einwilligung gemäß Artikel 6 Absatz 1 Satz 1 Buchstabe a DSGVO oder Artikel 9 Absatz 2 Buchstabe a DSGVO oder auf einem Vertrag gemäß Artikel 6 Absatz 1 Satz 1 Buchstabe b DSGVO beruht und
  2. die Verarbeitung mithilfe automatisierter Verfahren erfolgt.

In Ausübung dieses Rechts haben Sie ferner das Recht, zu erwirken, dass die Sie betreffenden personenbezogenen Daten direkt von einem Verantwortlichen einem anderen Verantwortlichen übermittelt werden, soweit dies technisch machbar ist. Freiheiten und Rechte anderer Personen dürfen hierdurch nicht beeinträchtigt werden.

Das Recht auf Datenübertragbarkeit gilt nicht für eine Verarbeitung personenbezogener Daten, die für die Wahrnehmung einer Aufgabe erforderlich ist, die im öffentlichen Interesse liegt oder in Ausübung öffentlicher Gewalt erfolgt, die dem Verantwortlichen übertragen wurde.

Widerspruchsrecht
Sie haben das Recht, aus Gründen, die sich aus ihrer besonderen Situation ergeben, jederzeit gegen die Verarbeitung der Sie betreffenden personenbezogenen Daten, die aufgrund von Artikel 6 Absatz 1 Satz 1 Buchstabe e oder f DSGVO erfolgt, Widerspruch einzulegen; dies gilt auch für ein auf diese Bestimmungen gestütztes Profiling.

Der Verantwortliche verarbeitet die Sie betreffenden personenbezogenen Daten nicht mehr, es sei denn, er kann zwingende schutzwürdige Gründe für die Verarbeitung nachweisen, die Ihre Interessen, Rechte und Freiheiten überwiegen, oder die Verarbeitung dient der Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen.

Werden die Sie betreffenden personenbezogenen Daten verarbeitet, um Direktwerbung zu betreiben, haben Sie das Recht, jederzeit Widerspruch gegen die Verarbeitung der Sie betreffenden personenbezogenen Daten zum Zwecke derartiger Werbung einzulegen; dies gilt auch für das Profiling, soweit es mit solcher Direktwerbung in Verbindung steht.

Widersprechen Sie der Verarbeitung für Zwecke der Direktwerbung, so werden die Sie betreffenden personenbezogenen Daten nicht mehr für diese Zwecke verarbeitet.

Sie haben die Möglichkeit, im Zusammenhang mit der Nutzung von Diensten der Informationsgesellschaft ungeachtet der Richtlinie 2002/58/EG Ihr Widerspruchsrecht mittels automatisierter Verfahren auszuüben, bei denen technische Spezifikationen verwendet werden.

Recht auf Widerruf der datenschutzrechtlichen Einwilligungserklärung
Sie haben das Recht, Ihre datenschutzrechtliche Einwilligungserklärung jederzeit zu widerrufen. Durch den Widerruf der Einwilligung wird die Rechtmäßigkeit der aufgrund der Einwilligung bis zum Widerruf erfolgten Verarbeitung nicht berührt.

Automatisierte Entscheidung im Einzelfall einschließlich Profiling
Sie haben das Recht, nicht einer ausschließlich auf einer automatisierten Verarbeitung – einschließlich Profiling – beruhenden Entscheidung unterworfen zu werden, die Ihnen gegenüber rechtliche Wirkung entfaltet oder Sie in ähnlicher Weise erheblich beeinträchtigt. Dies gilt nicht, wenn die Entscheidung

  1. für den Abschluss oder die Erfüllung eines Vertrags zwischen Ihnen und dem Verantwortlichen erforderlich ist,
  2. aufgrund von Rechtsvorschriften der Union oder der Mitgliedstaaten, denen der Verantwortliche unterliegt, zulässig ist und diese Rechtsvorschriften angemessene Maßnahmen zur Wahrung Ihrer Rechte und Freiheiten sowie Ihrer berechtigten Interessen enthalten oder
  3. mit Ihrer ausdrücklichen Einwilligung erfolgt.

Allerdings dürfen diese Entscheidungen nicht auf besonderen Kategorien personenbezogener Daten nach Artikel 9 Absatz 1 DSGVO beruhen, sofern nicht Artikel 9 Absatz 2 Buchstabe a oder g DSGVO gilt und angemessene Maßnahmen zum Schutz der Rechte und Freiheiten sowie Ihrer berechtigten Interessen getroffen wurden.

Hinsichtlich der in (1) und (3) genannten Fälle trifft der Verantwortliche angemessene Maßnahmen, um die Rechte und Freiheiten sowie Ihre berechtigten Interessen zu wahren, wozu mindestens das Recht auf Erwirkung des Eingreifens einer Person seitens des Verantwortlichen, auf Darlegung des eigenen Standpunkts und auf Anfechtung der Entscheidung gehört.

Recht auf Beschwerde bei einer Aufsichtsbehörde
Unbeschadet eines anderweitigen verwaltungsrechtlichen oder gerichtlichen Rechtsbehelfs steht Ihnen das Recht auf Beschwerde bei einer Aufsichtsbehörde, insbesondere in dem Mitgliedstaat ihres Aufenthaltsorts, ihres Arbeitsplatzes oder des Orts des mutmaßlichen Verstoßes, zu, wenn Sie der Ansicht sind, dass die Verarbeitung der Sie betreffenden personenbezogenen Daten gegen die DSGVO verstößt.

Die Aufsichtsbehörde, bei der die Beschwerde eingereicht wurde, unterrichtet den Beschwerdeführer über den Stand und die Ergebnisse der Beschwerde einschließlich der Möglichkeit eines gerichtlichen Rechtsbehelfs nach Artikel 78 DSGVO.

Betrieblicher Datenschutzbeauftragter

Jochen Weller
Deutscher Sparkassen Verlag GmbH
Am Wallgraben 115, 70565 Stuttgart
Tel.: +49 711 782-21151
E-Mail: datenschutz@s-payment.com

 

B) Datenverarbeitung im Zusammenhang mit der Nutzung unserer Website

Unsere Geschäftskunden beachten bitte die im Einzelfall abweichenden Besonderheiten in Abschnitt C („Ergänzende Datenschutzhinweise für Geschäftskunden und Interessenten“).

Webauftritt und Logfiles

Beschreibung und Umfang der Datenverarbeitung
Bei jeder Nutzung unseres Webauftritts werden Daten zwischen dem Client (z. B. Ihrem Web-Browser) und dem Server (unser Webauftritt) ausgetauscht. Dabei werden automatisch personenbezogene Daten von uns erhoben und auf unserem Server gespeichert. Auf unserem Server werden hierfür die nachfolgenden Informationen gespeichert (Datum und Uhrzeit des Zugriffs, Typ und Version Ihres Internet-Browsers, Typ und Version des Betriebssystems, volle IP-Adresse des Nutzers, Internet-Service-Provider des Nutzers, aufgerufene Seiten und Dateien des Webauftritts, Datenmenge der angeforderten Inhalte unserer Website, die zuvor besuchte Seite / Referrer URL)

Zweck
Diese Informationen werden von uns ausschließlich für die nachfolgenden Zwecke genutzt: Erstellung von Nutzungsstatistiken und Statistiken des IT-Betriebs, Optimierung unserer Inhalte, Sicherstellung des Betriebs oder der Betriebssicherheit, Analyse bei Verdacht auf eine rechtswidrige Nutzung unserer Website.

Rechtsgrundlage
Rechtsgrundlage für die vorübergehende Speicherung dieser Daten und der zugehörigen Logfiles ist Artikel 6 Absatz 1 Satz 1 Buchstabe f DSGVO, wobei unser berechtigtes Interesse in der Erfüllung der oben genannten Zwecke liegt.

Dauer der Speicherung
Die Daten werden gelöscht, sobald sie für die Erreichung des jeweiligen Zweckes nicht mehr erforderlich sind.

Widerruf, Widerspruch und Ende der Verarbeitung
Der Erfassung der Daten zur Bereitstellung der Website und die Speicherung der Daten in Logfiles kann effektiv durch Verlassen der Internetseite widersprochen werden. Soweit personenbezogene Daten bereits gespeichert sind, richten Sie Ihren etwaigen Widerspruch bitte an die eingangs genannten Kontaktdaten. Soweit die Daten für die Sicherung und den Betrieb der Website zwingend erforderlich sind besteht keine Widerspruchsmöglichkeit.

Technisch nicht notwendige Cookies
Die von uns eingesetzten technisch nicht notwendigen Cookies betreffen den Einsatz von Tracking-Software und werden nur mit Ihrer Zustimmung verwendet. Bitte beachten Sie hierzu die entsprechenden Ausführungen in den vorliegenden Hinweisen zum Datenschutz (z. B. die Erläuterungen zu Google Analytics).

Google Analytics

Google Analytics ist ein Webanalysedienst der Google Ireland Ltd., Gordon House, Barrow Street, Dublin 4, Irland („Google“).
Google Analytics verwendet Cookies, die für statistische Zwecke eine Analyse der Benutzung dieser Website durch Sie ermöglichen. In unserem Auftrag wird Google diese Informationen benutzen, um Reports über die Nutzung der Website zusammenzustellen und um weitere verbundene Dienstleistungen zu erbringen.
Darüber hinaus wird Google Analytics mit seinen entsprechenden Werbefunktionen zu Marketingzwecken analysieren, wie viele Nutzerbrowser bspw. eine spezifische Produktseite aufgerufen haben. An Hand dieser Informationen können entsprechende Zielgruppen gebildet werden. Zusätzlich werden Daten hinzugefügt von angemeldeten Google-Produkte-Nutzern, wenn diese ihre Zustimmung zur Verknüpfung ihres Web- und App-Browserverlaufs von Google mit ihrem Google-Konto erteilt haben und Informationen aus ihrem Google-Konto zum Personalisieren von Anzeigen verwendet werden. Auch auf Basis demografischer Merkmale können Berichte erstellt oder zielgerichtete Ansprachen erfolgen. Dies findet allerdings immer nur dann statt, wenn Google-Produkte-Nutzer eine entsprechende Einwilligung erteilt haben. Dies erfolgt bei Nutzern mit einem Google-Account bei Akzeptanz der Nutzungsbedingungen während des Registrierungsprozesses und kann über die dortigen Einstellungen verwaltet werden. Google-Produkte-Nutzer ohne Google-Account haben auf den Webseiten oder in Apps von solchen Dritten, die Werbung von Google einsetzen, die Möglichkeit ihre Zustimmung zur Erhebung demografischer Merkmale zu erteilen. Wird die Zustimmung nicht erteilt, können diese Daten auch nicht verarbeitet und an uns vermittelt werden. Informationen zum Datenschutz und zu den Nutzungsbedingungen bei Google finden Sie hier https://www.google.de/intl/de/policies/privacy
Die durch Ihre Benutzung dieser Website erzeugten Informationen können auch an einen Server von Google in den USA übertragen und dort gespeichert werden.
Im Rahmen der für diese Website aktivierten IP-Anonymisierung wird jedoch Ihre IP-Adresse von Google vor Speicherung gekürzt. Dadurch können die übermittelten Informationen nicht mehr einer einzelnen Person zugeordnet werden.

Für den datenschutzkonformen restriktiven und sicheren Einsatz für Google Analytics bestehen innerhalb der Sparkassen-Finanzgruppe Vereinbarungen gem. Art. 28 DSGVO, welche u. a. die frühzeitige IP-Anonymisierung festlegen. Zudem wurden mit Google Individualvereinbarungen getroffen, die vorsorglich – nämlich trotz bestehender, möglichst frühzeitiger Anonymisierung – sicherstellen, dass Google Informationen, die aus der Analyse des Nutzerverhaltens von Kunden aus der Sparkassen-Finanzgruppe gewonnen werden, nicht für eigene Zwecke nutzen darf.

Die im Rahmen von Google Analytics verarbeiteten und mit Cookies verknüpften Daten werden nach 26 Monaten automatisch gelöscht.

Rechtsgrundlage für die Datenverarbeitung ist Art. 6 Abs. 1 Satz 1 lit. a DSGVO.

Besucheraktions-Pixel von Facebook

Mit dem Einsatz des „Besucheraktions-Pixel“ der Facebook Ireland Ltd., 4 Grand Canal Square Dublin 2, Irland, („Facebook“) kann das Verhalten eines Nutzers nachverfolgt werden, nachdem er durch einen Klick auf eine Facebook-Werbeanzeige auf die Webseite des Anbieters weitergeleitet wurde. Damit soll ermöglicht werden, die Wirksamkeit der Facebook-Werbeanzeigen für statistische und Marktforschungszwecke auszuwerten und kann dazu beitragen, zukünftige Werbemaßnahmen zu optimieren. Die erhobenen Daten sind für uns grundsätzlich anonym, bieten uns also keinerlei Rückschlüsse auf die Identität des Nutzers. Allerdings werden die Daten von Facebook gespeichert und verarbeitet, sodass eine Verbindung zum jeweiligen Nutzerprofil möglich ist und Facebook die Daten für eigene Werbezwecke, entsprechend der Facebook- Datenverwendungsrichtlinie (https://www.facebook.com/about/privacy/), verwenden kann. Sie können Facebook sowie dessen Partnern das Schalten von Werbeanzeigen auf und außerhalb von Facebook ermöglichen. Es kann hierzu auch ein Cookie auf Ihrem Rechner gespeichert werden. Eine Einwilligung in den Einsatz des Besucheraktions-Pixels darf nur von Nutzern, die älter als 13 Jahre alt sind, erklärt werden. Falls Sie jünger sind, bitten wir Sie, Ihre Erziehungsberechtigten um Erlaubnis zu fragen.

Die im Rahmen von Facebook verarbeiteten und mit Cookies verknüpften Daten werden nach 90 Tagen automatisch gelöscht.

Rechtsgrundlage für die Datenverarbeitung ist Art. 6 Abs. 1 Satz 1 lit. a DSGVO.

Kontaktmanagement

Beschreibung, Umfang der Datenverarbeitung
Mit unserem Angebot bieten wir Ihnen die Möglichkeit, sich mit uns auf elektronischem Wege in Verbindung zu setzen. Hierfür werden die nachfolgenden Informationen erhoben: Datum und Uhrzeit der Anfrage, IP-Adresse des aufrufenden Endgeräts, Name, E-Mail-Adresse, Telefonnummer, Ihr Anliegen bzw. Ihr Produktinteresse und ggf. den Lösungsverlauf. Ihre Nachricht wird an unser E-Mail- und teils auch an unser Ticket-System, mit welchem die Vielzahl von Kundenanfragen verwaltet wird, weitergeleitet. Sollten Sie Ihre Daten zur Kontaktaufnahme durch ein Institut angeben, werden diese an den jeweilig gewünschten Adressaten (von Ihnen gewähltes Institut) weitergeleitet.

Zweck
Die Daten werden verarbeitet, um das uns übermittelte Anliegen zu bearbeiten.

Rechtsgrundlage
Für die Verarbeitung Ihrer Daten und der zugehörigen Logfiles ist Artikel 6 Absatz 1 Buchstabe f DSGVO und, soweit sie eine solche abgegeben haben, Ihre Einwilligung Rechtsgrundlage.

Dauer der Speicherung
Für unser Unternehmen ist generell angewiesen und teilweise ergänzend technisch sichergestellt, dass Daten den Vorgaben des Artikel 17 Absatz 1 DSGVO entsprechend gelöscht werden. Wie und wann gelöscht wird, hängt vom genutzten Kommunikationskanal und den datenverarbeitenden Systemen ab (z. B. werden viele Anfragen an unser Ticketsystem weitergeleitet, damit wir die Datenverarbeitung auf genau ein System beschränken können).
Die Daten werden gelöscht, sobald sie für die Erreichung des jeweiligen Zwecks nicht mehr erforderlich sind, spätestens jedoch nach 10 Jahren, gerechnet ab dem Ende des Kalenderjahrs ihrer Erhebung.

Widerruf, Widerspruch und Ende der Verarbeitung
Ihre Daten werden bis zum Widerspruch gegen die Verarbeitung, des Widerrufs Ihrer Einwilligung oder bis zu dem Moment gespeichert, wo für uns ersichtlich ist, dass einer der sonstigen in Artikel 17 Absatz 1 DSGVO genannten Löschgründe vorliegt.

 

C) Ergänzende Datenschutzhinweise für Geschäftskunden und Interessenten

Kunden der S-Payment (DSV-Gruppe) sind vor allem die Sparkassen, Landesbanken, Sparkassenversicherungen und Verbundpartner der Sparkassen-Finanzgruppe. Da es sich hierbei um juristische Personen handelt – typischerweise um Anstalten des öffentlichen Rechts, Aktiengesellschaften oder Gesellschaften mit beschränkter Haftung –, genießen diese den Schutz des Datenschutzrechts nicht, selbstverständlich aber die dort beschäftigten Personen.

Informationspflicht für Beschäftige unserer Geschäftskunden

Als Mitarbeiter oder Mitarbeiterin eines unserer Geschäftskunden beachten Sie bitte, dass die Unternehmen der DSV-Gruppe von den Sparkassen, Landesbanken, Sparkassenversicherungen, Verbundpartnern und sonstigen Geschäftskunden beauftragt sind, im Rahmen der B2B-Beziehung über aktuelle Entwicklungen, Potentiale, Chancen und Risiken als auch über unsere Produkte und Services zu informieren. Für Beschäftige unserer Geschäftskunden besteht deshalb in aller Regel eine Informationspflicht. Außerdem wünschen unsere Geschäftskunden eine einheitliche Betreuung durch die Unternehmen der DSV-Gruppe. Hierfür ist der Datenaustausch innerhalb der Gruppe unerlässlich.
Soweit wir innerhalb des B2B-Geschäfts Zwecke der Werbung und des Marketings verfolgen, werden hierfür aber ausschließlich Ihre betrieblichen Daten verwendet.

Verträge im Verhältnis zu unseren Geschäftskunden

Beschreibung, Umfang der Datenverarbeitung
Zwischen unseren Kunden und uns bestehen zahlreiche Vertragsbeziehungen, zu deren Erfüllung wir verschiedenste personenbezogene Daten aus der betrieblichen Sphäre der Kunden verarbeiten müssen.

Zweck
Die Datenverarbeitung erfolgt zur Erfüllung des Vertrags oder der vertragsähnlichen Rechtsverhältnisse.

Rechtsgrundlage
Die Zulässigkeit der Verarbeitung der Daten stützen wir auf Artikel 6 Absatz 1 Satz 1 Buchstabe b DSGVO sowie auf unser berechtigtes Interesse gemäß nach Artikel 6 Absatz 1 Satz 1 Buchstabe f DSGVO.

Dauer der Speicherung
Die Daten werden nach der Erfüllung ihrer vorgesehenen Zwecke gelöscht, sofern dem keine gesetzlichen Aufbewahrungspflichten entgegenstehen oder eine Aufbewahrung zu Beweiszwecken und im Interesse der Rechtsverfolgung eine längere Aufbewahrung rechtfertigen.

Werbung und sonstige Informationsschreiben

Beschreibung, Umfang der Datenverarbeitung
Durch Newsletter und andere Informationsschreiben halten wir Sie zu Themen der Sparkassen-Finanzgruppe, zu Entwicklungen und Potentialen, Chancen und Risiken sowie unseren Produkten und Services informiert. Diese Informationen können werblichen Charakter haben. Die Daten, welche hierfür verarbeitet werden, sind Ihre geschäftliche E-Mail-Adresse oder andere geschäftliche Kontaktdaten, Ihr Name und die Anrede. Unsere Newsletter-Angebote finden Sie im Kundenportal z. B. unter den Stichworten „informiert halten“ und „Info Service“.

Zweck
Mit unserem Service und den entsprechenden Aussendungen sorgen wir für den erforderlichen Fachaustausch innerhalb der Sparkassen-Finanzgruppe, ferner dafür, dass Sie auf der Höhe der Zeit informiert bleiben. Schließlich können unsere Aussendungen auch Produktinformationen und Informationen über unsere Services enthalten.

Rechtsgrundlage
Die Zulässigkeit der Verarbeitung der Daten stützen wir auf unser berechtigtes Interesse gemäß nach Artikel 6 Absatz 1 Satz 1 Buchstabe f DSGVO.

Dauer der Speicherung
Die Daten werden bis zum Widerspruch oder bis zu dem Moment gespeichert, wo für uns ersichtlich ist, dass einer der sonstigen in Artikel 17 Absatz 1 DSGVO genannten Löschgründe vorliegt.

Service, Besuchsberichte, CRM

Beschreibung, Umfang der Datenverarbeitung
Kundenbefragungen zeigen uns, dass unsere Kunden eine einheitliche Betreuung durch die Unternehmen der DSV-Gruppe wünschen. Hierfür müssen wir die Daten, die wir in Kundengesprächen, bei Besuchen der Kunden und durch Feedback zu unseren Services erheben, konzernweit verarbeiten dürfen. Typischerweise gilt dies für die im CRM (Customer Relationship Management) abgelegten Kontaktdaten und Besuchsberichte, für uns bekannte Interessen, aber auch für Anregungen und Kritik der Kunden.

Zweck
Durch die Daten, welche wir in Kundengesprächen, bei Besuchen der Kunden und durch die Auswertung von Feedback verarbeiten, möchten wir die gewünschte einheitliche und umfangreiche Betreuung unserer Kunden durch die Unternehmen der DSV-Gruppe sicherstellen. Darüber hinaus verwenden wir Anregungen und Kritik um unser Angebot stets weiterzuentwickeln, für die Verbesserung unserer Services und die Sicherstellung der Qualität.

Rechtsgrundlage
Da wir und unsere Kunden sehr hohe Ansprüche an die Qualität unseres Services stellen, stützen wir uns bei der Verarbeitung Ihrer personenbezogenen Daten auf unser berechtigtes Interesse nach Artikel 6 Absatz 1 Satz 1 Buchstabe f DSGVO.

Dauer der Speicherung
Ihre personenbezogenen Daten werden in der Regel für die Dauer der Kundenbeziehung verarbeitet und dann unverzüglich gelöscht, sofern dem keine Aufbewahrungspflichten entgegenstehen, keine Beweissicherung erforderlich ist und keine Aufbewahrung zu Zwecken der Rechtsverfolgung angezeigt ist.

Veranstaltungen

Beschreibung, Umfang der Datenverarbeitung
Wir bieten regelmäßig sowohl große Kundenveranstaltungen (z. B. „Scope“) oder auch kleinere Veranstaltungen bei uns im Haus (z. B. Symposien, Arbeitskreise) an. Wir wollen damit den Austausch innerhalb der Sparkassen-Finanzgruppe fördern, Ihnen attraktive und wegweisende Themen präsentieren und den direkten Kontakt mit Ihnen pflegen. Hierfür müssen wir entsprechende personenbezogene Daten von Ihnen verarbeiten, wie: Name, Essenswünsche und E-Mail-Adresse, aber auch Ihr Veranstaltungsfeedback.

Zweck
Die Verarbeitung dieser personenbezogenen Daten ist für die Vorbereitung der Veranstaltungen und die Gewährleistung eines reibungslosen Verlaufs notwendig. Hierzu zählen auch die Optimierung des Besuchermanagements (z. B. Parkraummanagement, Verwaltung der Hotelkontingente) und die Gewährleistung der Sicherheit (z. B. Gebäudesicherheit). Außerdem ist uns die Verarbeitung Ihres persönlichen Feedbacks eine Herzensangelegenheit.

Rechtsgrundlage
Als Veranstalter haben wir an der Erfüllung dieser Zwecke ein berechtigtes Interesse, das auch mit dem uns bekannten Bedarf der Besucher übereinstimmt. Wir stützen die Verarbeitung dieser personenbezogenen Daten deshalb auf Artikel 6 Absatz 1 Satz 1 Buchstabe f DSGVO, es sei denn, es liegen für einzelne Sachverhalte auch Einwilligungen vor, die dann vorrangig gelten.

Dauer der Speicherung
Die Daten, welche im Rahmen einer Veranstaltung erhoben wurden, können im Nachgang noch für die Zusendung von Veranstaltungsunterlagen oder ähnlichem genutzt werden, werden jedoch spätestens nach zwei Jahren gelöscht.

Berater-Chat, Kontaktformular und Hotline-Informationen

Beschreibung, Umfang der Datenverarbeitung
Wenn Sie auf einer unserer Websites, die diese Funktionen anbieten, den Berater-Chat, das Kontaktformular oder die Hotline-Informationen öffnen, werden von Ihrem Browser oder Ihrem E-Mail-Client die personenbezogenen Daten übermittelt und von uns weiterverarbeitet, die wir benötigen, um Ihre Anfrage zu beantworten. Dabei werden folgende Daten verarbeitet: IP-Adresse, Zeitpunkt der Kontaktaufnahme. Zudem die Informationen, welche Sie für die Bearbeitung Ihres Anliegens angeben (z. B. Besuchername, Name, Kontaktdaten, Anliegen).

Zweck
Die Verarbeitung Ihrer personenbezogenen Daten erfolgt zu dem Zweck, Ihre Anfrage zu beantworten und zur Verhinderung einer missbräuchlichen Verwendung des Kontaktformulars sowie zur Gewährleistung der Sicherheit und Funktionalität unserer IT.

Rechtsgrundlage
Bei der Verarbeitung Ihrer Daten zur Beantwortung Ihrer Anfrage und zur Gewährleistung der Sicherheit unserer IT, stützen wir uns auf unser berechtigtes Interesse gemäß Artikel 6 Absatz 1 Satz 1 Buchstabe f DSGVO. Außerdem stützen wir die Verarbeitung Ihrer personenbezogenen Daten auf Artikel 6 Absatz 1 Satz 1 Buchstabe a DSGVO, sofern im Einzelfall Einwilligungen vorliegen, die der Interessenabwägung dann vorgehen. Bei Bestehen eines Vertrags (z. B. Nutzungsvereinbarung) stützen wir die Verarbeitung zusätzlich auf Artikel 6 Absatz 1 Satz 1 Buchstabe b DSGVO.

Dauer der Speicherung
Ihre personenbezogenen Daten werden bis zur Beantwortung Ihrer Anfrage verarbeitet und dann unverzüglich gelöscht, sofern dem keine Aufbewahrungspflichten entgegenstehen, keine Beweissicherung erforderlich ist und keine Aufbewahrung zu Zwecken der Rechtsverfolgung angezeigt ist. Sie sind zur Bereitstellung Ihrer personenbezogenen Daten nicht verpflichtet, eine Nutzung dieser Kundenservices ist dann aber nicht möglich.