Datenschutzhinweise gemäß EU-Datenschutz- Grundverordnung für die „FYRST Banking App“

Stand: November 2022 

Die Bank als verantwortliche Stelle im Rahmen der EU-Datenschutzgrundverordnung (DSGVO) erhebt und verarbeitet Ihre personenbezogenen Daten sowie weitere Informationen über Sie, sofern Sie die FYRST Banking App nutzen. Mit den nachfolgenden Informationen geben wir Ihnen einen Überblick über die Verarbeitung Ihrer personenbezogenen Daten durch uns und Ihre Rechte aus dem Datenschutzrecht. 

1. Wer ist für die Datenverarbeitung verantwortlich und an wen kann ich mich wenden?

Verantwortliche Stelle ist:

Deutsche Bank AG 

Taunusanlage 12

60325 Frankfurt am Main 

Telefon: (069) 910-10000

Fax: (069) 910-10001

E-Mail-Adresse: deutsche.bank@db.com

Sie erreichen unseren betrieblichen Datenschutzbeauftragten unter 

Deutsche Bank AG

Datenschutzbeauftragter Taunusanlage 12

60325 Frankfurt am Main 

Telefon: (069) 910-10000

E-Mail-Adresse: datenschutz.db@db.com

Anmeldung
Wir verarbeiten personenbezogene Daten, die wir im Rahmen unserer Geschäftsbeziehung von unseren Kunden / von Ihnen erhalten, sofern Sie sich für die Banking App anmelden. Relevante personenbezogene können sein:

Postbank ID (individuelle Benutzerkennung), individuelle Bezeichnung des BestSign-Verfahrens, Seal One-ID (eindeutige Kennung des BestSign-Verfahrens).

Bei der Anmeldung mit Postbank ID, werden die Login-Daten (Postbank ID und Passwort) über eine sichere Verbindung übertragen. Das Passwort wird nicht in der FYRST Banking App gespeichert. Alternativ zum Passwort kann für die Anmeldung ein biometrisches Mittel (Fingerabdruck, Gesichtserkennung oder Iris-Scan) genutzt werden. Dabei liegt Ihr biometrisches Mittel verschlüsselt auf dem Gerät und kann zu keinem Zeitpunkt von uns eingesehen, noch gespeichert werden.

Geräte- und nutzungsbezogene Daten (Internetdaten), u. a. (i) spezifische Informationen zu dem Gerät, auf dem die FYRST Banking App installiert ist (u. a. Angaben zum Hersteller, Modell und Betriebssystem), (ii) Informationen zur Nutzung bestimmter Features und Funktionen auf dem Gerät und (iii) sitzungsbezogene Informationen (u. a. zu automatisch generierten Kennungen).

Profil
In der FYRST Banking App werden im Rahmen Ihres Anwenderprofils Ihr Titel, Adelstitel, Vor- und Zuname angezeigt.

Sicherheit
Für die gesetzlich geforderte Absicherung Ihrer App erfassen wir verschiedene Geräteinformationen. Standortangaben und Telekommunikationsinformationen erfassen wir, wenn Sie den entsprechenden Rechte-/ Datenzugriffsabfragen Ihres mobilen Betriebssystems zugestimmt haben. Zu Ihrem eigenen Schutz empfehlen wir, diese Abfragen anzunehmen. Die erfassten Informationen werden von uns ausschließlich zum Schutz vor Betrugsfällen verarbeitet. Nach der Zustimmung können Sie diese Abfragen in den Einstellungen Ihres Gerätes für die FYRST Banking App wieder deaktivieren.

Transaktion

Für das Ausführen einer Transaktion in der FYRST Banking App verarbeiten wir im Zuge der Zwei-Faktor-Autorisierung (PIN-TAN-Verfahren) die Ihnen persönlich zugeteilte Transaktionsnummer (TAN) sowie die IP-Adresse des Endgerätes, von dem die Transaktion veranlasst wurde.Hinweis: Transaktion- oder Umsatzdaten werden von uns weder analysiert noch für Produktempfehlungen verwendet. Sollten wir diese Funktion in Zukunft einführen, werden wir Sie selbstverständlich darüber informieren und ausdrücklich um Ihr Einverständnis bitten.

SmartÜberweisung

Zur Nutzung des Tools SmartÜberweisung werden über eine Texterkennungssoftware relevante Zahlungsinformationsdaten (Zahlungsempfänger, Verwendungszweck, Betrag etc.) aus einer Bilddatei extrahiert und in die Überweisungsmaske eingefügt.

Transaktionsfreigabe
Wenn Sie Transaktionen in der FYRST Banking App / BestSign App mit Ihrem biometrisches Mittel (Fingerabdruck, Gesichtserkennung oder Iris-Scan) freigeben möchten, wird Ihre Erlaubnis durch Ihr Gerät abgefragt, dass die biometrisches Mittel (Fingerabdruck, Gesichtserkennung) auf Ihrem Gerät verwendet werden darf. Dabei liegt Ihr biometrisches Mittel verschlüsselt auf dem Gerät und kann zu keinem Zeitpunkt von uns eingesehen, noch gespeichert werden.

Push-Mitteilungen
Wenn Sie die Funktion BestSign per Push-Mitteilung nutzen möchten, benötigen wir Ihre Erlaubnis, Ihnen Push-Mitteilungen zustellen zu dürfen. Diese Push-Mitteilungen dienen ausschließlich der erleichterten Freigabe Ihres Auftrages aus dem Online- und Mobile-Banking mit dem Sicherheitsverfahren BestSign und werden nicht für werbliche Mitteilungen genutzt.

Bargeldstellen- und Filialsuche 
Damit Sie die Funktion der Filialsuche benutzen können, benötigen wir eine Freigabe für die Lokalisierungsfunktion Ihres Endgerätes. Für diesen Service arbeiten wir mit unserem Partner YellowMap zusammen. Um Ihnen die gesuchten Standorte anzeigen zu können, übermitteln wir die von Ihrem Telefon ermittelte Position an die YellowMap API. Dies ist notwendig, damit YellowMap die Informationen über Filialen in der Nähe Ihrer Suchposition feststellen und bereitstellen kann. Bei Nutzung der Filialsuche in den Mobile Apps geben wir keine Informationen an YellowMap, die eine Identifikation Ihrer Person zulassen. Die von Ihrem Telefon übermittelte Position wird von uns nicht gespeichert. YellowMap wird von der YellowMap AG, CAS-Weg 1-5, 76131 Karlsruhe, Deutschland betrieben. Unter www.yellowmap.com finden Sie Informationen zum Datenschutz der YellowMap AG.

Digitale Services
Hinsichtlich der beim Einsatz von digitalen Serviceprodukten verarbeiteten Daten wird verwiesen auf weiterführende Informationen zum Datenschutz im Zusammenhang mit dem jeweiligen digitalen Service (Bsp.: Verarbeitung von Umsatzdaten eingebundener Fremdbankkonten im Rahmen der Multibanken-Aggregation bei Benutzung der Applikation FinanzPlaner).

Cookies und ähnliche Technologien
Bei Verwendung der FYRST Banking App werden Cookies eingesetzt, die für den Betrieb der Mobile Banking Plattform unbedingt erforderlich sind.Zum Zwecke der Sicherstellung des Betriebs unserer Mobile Apps setzen wir hierbei wir Cookies und Dienste ein, die eine anonyme Auswertung der Nutzung unserer Mobile Apps ermöglichen. Dadurch können wir die Qualität unserer Mobile Apps. Wir erfahren, wie die Mobile Apps genutzt wird und können so unser Angebot stetig optimieren.Um unsere mobilen Services kontinuierlich für Sie zu verbessern und zu erweitern, sammeln und verarbeiten wir in unseren Applikationen statistische, nicht auf Sie zurückverfolgbare Informationen.

Die im Rahmen der statistischen Analyse unserer Mobile Apps erlangten Informationen können und werden nicht mit Ihren sonstigen, im Rahmen des Online- und Mobile-Banking erfassten, Daten zusammengeführt. Diese Daten werden vielmehr im anonymisierten Tracking erfasst und an uns weitergegeben:

Technische Daten

Technische Daten beinhalten Informationen über das Betriebssystem, das Modell Ihres Handys, die verwendete Version der Mobile App und weitere statistische Informationen über die Nutzung der Mobile Apps. Diese Daten lassen keinen Rückschluss auf Ihre Person zu.

Folgende Cookies kommen zum Einsatz:

Wir verarbeiten die vorab genannten personenbezogenen Daten im Einklang mit den Bestimmungen der EU-Datenschutz-Grundverordnung (DSGVO), dem Bundesdatenschutzgesetz (BDSG) und dem Telekommunikation-Telemedien-Datenschutz-Gesetz (TTDSG):

Zur Erfüllung von vertraglichen Pflichten (Artikel 6 Abs.1 b DSGVO) 

Die Rechtsgrundlage für die Verarbeitung Ihrer personenbezogenen Daten bildet der mit Ihnen abgeschlossene Vertrag über die Nutzung der BestSign App. Die Zwecke der Datenverarbeitung richtet sich in erster Linie nach der konkreten Applikation. 
Die FYRST Banking App ermöglicht Ihnen Zugang zu Ihrem Online-Banking über eine dedizierte Mobile-Banking Applikation.Die weiteren Einzelheiten zum Zweck der Datenverarbeitung können Sie den besonderen Bedingungen zum FYRST Online-Banking der AGB entnehmen.  

Im Rahmen der Interessenabwägung (Artikel 6 Abs. 1 f DSGVO)

Soweit erforderlich, verarbeiten wir Ihre Daten über die eigentliche Erfüllung des Vertrages hinaus zur Wahrung berechtigter Interessen von uns oder Dritten. Beispiele:— Prüfung und Optimierung von Verfahren zur Bedarfsanalyse und zu direkter Kundenansprache; inkl. Kundensegmentierungen und Berechnung von Abschlusswahrscheinlichkeiten— Geltendmachung rechtlicher Ansprüche und Verteidigung bei rechtlichen Streitigkeiten— Gewährleistung der IT-Sicherheit und des IT-Betriebs der Bank— Verhinderung von Straftaten— Maßnahmen zur Geschäftssteuerung und Weiterentwicklung von Dienstleistungen und Produkten— Risikosteuerung im Konzern

Aufgrund Ihrer Einwilligung (Artikel 6 Abs. 1 a DSGVO)

Soweit Sie uns eine Einwilligung zur Verarbeitung von personenbezogenen Daten für bestimmte Zwecke (z. B. zu Werbezwecken) erteilt haben, ist die Rechtmäßigkeit dieser Verarbeitung auf Basis Ihrer Einwilligung gegeben. Eine erteilte Einwilligung kann jederzeit widerrufen werden. Dies gilt auch für den Widerruf von Einwilligungserklärungen, die vor der Geltung der EU-Datenschutz-Grundverordnung, also vor dem 25. Mai 2018, uns gegenüber erteilt worden sind. Bitte beachten Sie, dass der Widerruf erst für die Zukunft wirkt. Verarbeitungen, die vor dem Widerruf erfolgt sind, sind davon nicht betroffen. Eine Statusübersicht der von Ihnen erteilten Einwilligungen können Sie jederzeit bei uns anfordern.

Aufgrund gesetzlicher Vorgaben (Artikel 6 Abs.1 c DSGVO) 

Zudem unterliegen wir als Bank diversen rechtlichen Verpflichtungen, das heißt gesetzlichen Anforderungen (z. B. Kreditwesengesetz, Geldwäschegesetz, Wertpapierhandelsgesetz, Steuergesetze) sowie bankaufsichtsrechtlichen Vorgaben (z. B. der Europäischen Zentralbank, der Europäischen Bankenaufsicht, der Deutschen Bundesbank und der Bundesanstalt für Finanzdienstleistungsaufsicht). Zu den Zwecken der Verarbeitung gehören unter anderem die Kreditwürdigkeitsprüfung, die Identitäts- und Altersprüfung, Betrugs- und Geldwäscheprävention, die Erfüllung steuerrechtlicher Kontroll- und Meldepflichten sowie die Bewertung und Steuerung von Risiken in der Bank und im Konzern.

Innerhalb der Bank erhalten diejenigen Stellen Zugriff auf Ihre Daten, die diese zur Erfüllung unserer vertraglichen und gesetzlichen Pflichten brauchen. Auch von uns eingesetzte Dienstleister und Erfüllungsgehilfen können zu diesen Zwecken Daten erhalten, wenn diese das Bankgeheimnis und unsere schriftlichen datenschutzrechtlichen Weisungen wahren. Dies sind im wesentlichen Unternehmen aus den im Folgenden aufgeführten Kategorien. Im Hinblick auf die Datenweitergabe an Empfänger außerhalb der Bank ist zunächst zu beachten, dass wir als Bank zur Verschwiegenheit über alle kundenbezogenen Tatsachen und Wertungen verpflichtet sind, von denen wir Kenntnis erlangen (Bankgeheimnis gemäß Nr. 2 unserer Allgemeinen Geschäftsbedingungen). Informationen über Sie dürfen wir nur weiter- geben, wenn gesetzliche Bestimmungen dies gebieten, Sie eingewilligt haben, wir zur Erteilung einer Bankauskunft befugt sind und/oder vonuns beauftragte Auftragsverarbeiter gleichgerichtet die Einhaltung des Bankgeheimnisses sowie die Vorgaben der EU-Datenschutz-Grundverordnung (DSGVO), dem Bundesdatenschutzgesetz (BDSG) und dem Telekommunikation-Telemedien-Datenschutz-Gesetz (TTDSG) garantieren. Unter diesen Voraussetzungen können Empfänger personenbezogener Daten z. B. sein:

• Öffentliche Stellen und Institutionen (z. B. Deutsche Bundesbank, Bundesanstalt für Finanzdienstleistungsaufsicht, Europäische Bankenaufsichtsbehörde, Europäische Zentralbank, Finanzbehörden, Bundeszentralamt für Steuern) bei Vorliegen einer gesetzlichen oder behördlichen Verpflichtung.
• Andere Kredit- und Finanzdienstleistungsinstitute, vergleichbare Einrichtungen und Auftragsverarbeiter, an die wir zur Durchführung der Geschäftsbeziehung mit Ihnen personenbezogene Daten übermitteln. Im Einzelnen: Unterstützung/Wartung von EDV-/IT-Anwendungen, insbesondere zur Optical Character Recognition-Technologie (SmartÜberweisung), Compliance-Services, Datenscreening für Anti-Geldwäsche-Zwecke, Sicherheitenverwaltung, Zahlkartenabwicklung (Debitkarten/Kreditkarten), Marketing, Zahlungsverkehr.

Weitere Datenempfänger können diejenigen Stellen sein, für die Sie Ihre Einwilligung zur Datenübermittlung erteilt haben bzw. für die Sie uns vom Bankgeheimnis gemäß Vereinbarung oder Einwilligung befreit haben.

Eine Datenübermittlung in Länder außerhalb der EU bzw. des EWR (sogenannte Drittstaaten) findet nur statt, soweit dies zur Ausführung Ihrer Aufträge (z. B. Zahlungs- und Wertpapieraufträge) erforderlich, gesetzlich vorgeschrieben ist (z. B. steuerrechtliche Meldepflichten), Sie uns eine Einwilligung erteilt haben oder im Rahmen einer Auftragsverarbeitung. Werden Dienstleister im Drittstaat eingesetzt, sind diese zusätzlich zu schriftlichen Weisungen durch die Vereinbarung der EU-Standardvertragsklauseln zur Einhaltung des Datenschutzniveaus in Europa verpflichtet.

Wir verarbeiten und speichern Ihre personenbezogenen Daten, solange es für die Erfüllung unserer vertraglichen und gesetzlichen Pflichten erforderlich ist. Dabei ist zu beachten, dass unsere Geschäftsbeziehung ein Dauerschuldverhältnis ist, welches auf mehrere Jahre angelegt ist. Sind die Daten für die Erfüllung vertraglicher oder gesetzlicher Pflichten nicht mehr erforderlich, werden diese regelmäßig gelöscht, es sei denn, ihre – befristete – Weiterverarbeitung ist zu folgenden Zwecken erforderlich:

Erfüllung handels- und steuerrechtlicher Aufbewahrungsfristen: Zu nennen sind das Handelsgesetzbuch, die Abgabenordnung, das Kreditwesengesetz, das Geldwäschegesetz und das Wertpapierhandelsgesetz. Die dort vorgegebenen Fristen zur Aufbewahrung bzw. Dokumentation betragen zwei bis zehn Jahre. Erhaltung von Beweismitteln im Rahmen der Verjährungsvorschriften. Nach den §§ 195 ff. des Bürgerlichen Gesetzbuches (BGB) können die- se Verjährungsfristen bis zu 30 Jahre betragen, wobei die regelmäßige Verjährungsfrist drei Jahre beträgt.

Werden personenbezogene Daten von Ihnen verarbeitet, sind Sie ein „Betroffener“ im Sinne der DSGVO. Ihnen stehen folgende Rechte gegenüber uns als Verantwortlichem zu:

Recht auf Auskunft

Sie können Auskunft darüber verlangen, ob wir personenbezogene Daten von Ihnen verarbeiten. Ist dies der Fall, so haben Sie ein Recht auf Auskunft über diese personenbezogene Daten sowie auf weitere mit der Verarbeitung zusammenhängende Informationen (Art. 15 DSGVO). Bitte beachten Sie, dass dieses Auskunftsrecht in bestimmten Fällen eingeschränkt oder ausgeschlossen sein kann.

Recht auf Berichtigung

Für den Fall, dass personenbezogene Daten über Sie nicht (mehr) zutreffend oder unvollständig sind, können Sie eine Berichtigung und gegebenenfalls Vervollständigung dieser Daten verlangen (Art. 16 DSGVO).

Recht auf Löschung oder Einschränkung der Verarbeitung

Bei Vorliegen der gesetzlichen Voraussetzungen können Sie die Löschung Ihrer personenbezogenen Daten (Art. 17 DSGVO) oder die Einschränkung der Verarbeitung dieser Daten (Art. 18 DSGVO) verlangen. Das Recht auf Löschung nach Art. 17 Abs. 1 und 2 DSGVO besteht jedoch unter anderem dann nicht, wenn die Verarbeitung personenbezogener Daten zur Erfüllung einer rechtlichen Verpflichtung erforderlich ist (Art. 17 Abs. 3 Buchst. b DSGVO).

Widerspruchsrecht

Aus Gründen, die sich aus Ihrer besonderen Situation ergeben, können Sie der Verarbeitung Sie betreffender personenbezogener Daten durch uns zudem jederzeit widersprechen (Art. 21 DSGVO). Sofern die gesetzlichen Voraussetzungen vorliegen, verarbeiten wir in der Folge Ihre personenbezogenen Daten nicht mehr.

Recht auf Datenübertragbarkeit

Sie sind berechtigt, unter den Voraussetzungen von Art. 20 DSGVO von uns zu verlangen, dass wir Ihnen die Sie betreffenden personenbezogenen Daten, die Sie uns bereitgestellt haben, in einem strukturierten, gängigen und maschinenlesbaren Format zu übergeben.

Recht auf Widerruf der datenschutzrechtlichen Einwilligungserklärung

Sie haben das Recht, Ihre Einwilligung jederzeit zu widerrufen. Der Widerruf wirkt erst für die Zukunft; das heißt, durch den Widerruf wird die Rechtmäßigkeit der aufgrund der Einwilligung bis zum Widerruf erfolgten Verarbeitungen nicht berührt.

Recht auf Beschwerde bei einer Aufsichtsbehörde

Unbeschadet eines anderweitigen verwaltungsrechtlichen oder gerichtlichen Rechtsbehelf steht einem Betroffenen (Ihnen) das Recht auf Beschwerde bei einer Aufsichtsbehörde – insbesondere in dem Mitgliedsstaat Ihres Aufenthaltsortes – zu, wenn Sie der Ansicht sind, dass die Verarbeitung Ihrer personenbezogenen Daten durch uns gegen die DSGVO verstößt. Die für uns zuständige Aufsichtsbehörde ist:

Der Hessische Beauftragte für Datenschutz und Informationsfreiheit

Gustav-Stresemann-Ring 1

65189 Wiesbaden

Telefon: 0 611 / 14 08 – 0

Fax: 0 611 / 14 08 – 611

E-Mail: poststelle@datenschutz.hessen.de

Wir empfehlen Ihnen allerdings, eine Beschwerde zunächst immer an unseren Datenschutzbeauftragten zu richten.

Ihre Anträge über die Ausübung Ihrer Rechte sollten nach Möglichkeit schriftlich an die oben angegebene Anschrift oder direkt an unseren Datenschutzbeauftragten adressiert werden.

Im Rahmen unserer Geschäftsbeziehung müssen Sie diejenigen personenbezogenen Daten bereitstellen, die für die Aufnahme und Durchführung einer Geschäftsbeziehung und die Erfüllung der damit verbundenen vertraglichen Pflichten erforderlich sind oder zu deren Erhebung wir gesetzlich verpflichtet sind. Ohne diese Daten werden wir in der Regel den Abschluss des Vertrages oder die Ausführung des Auftrages ablehnen müssen oder einen bestehenden Vertrag nicht mehr durchführen können und ggf. beenden müssen.

Zur Begründung und Durchführung der Geschäftsbeziehung nutzen wir grundsätzlich keine vollautomatisierte Entscheidungsfindung gemäß Artikel 22 DSGVO. Sollten wir diese Verfahren in Einzelfällen einsetzen, werden wir Sie hierüber gesondert informieren, sofern dies gesetzlich vorgegeben ist.

Wir verarbeiten Ihre Daten teilweise automatisiert mit dem Ziel, bestimmte persönliche Aspekte zu bewerten (Profiling). Wir setzen Profiling beispielsweise in folgenden Fällen ein:

• Aufgrund gesetzlicher Vorgaben sind wir zur Geldwäsche- und Betrugsbekämpfung verpflichtet. Dabei werden auch Datenauswertungen (u. a. im Zahlungsverkehr) vorgenommen. Diese Maßnahmen dienen zugleich auch Ihrem Schutz.

Einzelfallbezogenes Widerspruchsrecht

Sie haben das Recht, aus Gründen, die sich aus Ihrer besonderen Situation ergeben, jederzeit gegen die Verarbeitung Sie betreffender personenbezogener Daten, die aufgrund von Artikel 6 Abs. 1 e DSGVO (Datenverarbeitung im öffentlichen Interesse) und Artikel 6 Abs. 1 f DSGVO (Datenverarbeitung auf der Grundlage einer Interessenabwägung) erfolgt, Widerspruch einzulegen; dies gilt auch für ein auf diese Bestimmung gestütztes Profiling im Sinne von Artikel 4 Abs. 4 DSGVO. Legen Sie Widerspruch ein, werden wir Ihre personenbezogenen Daten nicht mehr verarbeiten, es sei denn, wir können zwingende schutzwürdige Gründe für die Verarbeitung nachweisen, die Ihre Interessen, Rechte und Freiheiten überwiegen, oder die Verarbeitung dient der Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen.

Widerspruchsrecht gegen Verarbeitung von Daten zu Werbezwecken

In Einzelfällen verarbeiten wir Ihre personenbezogenen Daten, um Direktwerbung zu betreiben. Sie haben das Recht, jederzeit Widerspruch gegen die Verarbeitung Sie betreffender personenbezogener Daten zum Zwecke derartiger Werbung einzulegen; dies gilt auch für das Profiling, soweit es mit solcher Direktwerbung in Verbindung steht. Widersprechen Sie der Verarbeitung für Zwecke der Direktwerbung, so werden wir Ihre personenbezogenen Daten nicht mehr für diese Zwecke verarbeiten. Der Widerspruch kann formfrei erfolgen und sollte möglichst telefonisch gerichtet werden an: (069) 910 10000.

Wir behalten uns das Recht vor, diese Datenschutzerklärung jederzeit zu ändern. Etwaige Änderungen werden durch Veröffentlichung der geänderten Datenschutzerklärung auf unserer Website bekannt gemacht. Soweit nicht ein anderes bestimmt ist, werden solche Änderungen sofort wirksam. Bitte prüfen Sie daher diese Datenschutzerklärung regelmäßig, um die jeweils aktuelle Version einzusehen.