Vielen Dank für Ihr Interesse an unserem Unternehmen und unserer Website. Auch wenn wir externe Links sorgfältig prüfen, haften wir nicht für Inhalt und Sicherheit dieser externen Links.
Wir schützen Ihre personenbezogenen Daten bestmöglich bei allen Verarbeitungsschritten – online und offline. Im Folgenden lesen Sie Informationen zur Verwendung dieser Daten.
- Eigenhändige Unterschrift, z. B. „Tinte und Papier“; oder
- Qualifizierte elektronische Signatur, z. B. „Handysignatur“; oder
- Starke Kundenauthentifizierung im Internetbanking, z. B. CardTAN oder s Identity-Freigabemethode in George.
Seit 25. Mai 2018 gilt in der Europäischen Union die Datenschutz-Grundverordnung, kurz DSGVO oder auf Englisch „GDPR“ – General Data Protection Regulation. Die DSGVO gibt vor, wie personenbezogene Daten verarbeitet werden dürfen und wie sie geschützt werden müssen.
Was ist die DSGVO?
Die DSGVO ist eine Verordnung der Europäischen Union. Sie gilt unmittelbar in jedem Mitgliedstaat, also auch in Österreich. Jede Person, deren Daten verarbeitet werden, kann sich direkt auf die DSGVO berufen.
Was regelt die DSGVO?
Die DSGVO enthält Vorschriften über die Verarbeitung Ihrer personenbezogenen Daten. Egal, ob es um Ihren Namen, Ihre Telefonnummer, Ihre Kontoumsätze oder Ihre Hobbys geht – all das schützt die DSGVO. Die darin festgeschriebenen Grundsätze regeln, wie Ihre personenbezogenen Daten gespeichert und verarbeitet werden dürfen.
Wieso gibt es weiterhin ein österreichisches Datenschutzgesetz (DSG)?
Die Europäische Union hat nicht nur die DSGVO erlassen, sondern ein ganzes „Datenschutz-Paket“. Ein Teil davon war auch eine neue Datenschutz-Richtlinie. Worin unterscheidet sich eine Richtlinie von einer Verordnung? Im Gegensatz zu einer Verordnung muss eine Richtlinie erst in nationales Recht umgesetzt werden. Außerdem lässt die DSGVO den Mitgliedstaaten Spielräume offen, um einzelne Aspekte detaillierter zu regeln als in der DSGVO selbst.
Beides passiert in Österreich im Datenschutzgesetz („DSG”).
Warum ist der Schutz meiner Daten so wichtig?
Datenschutz ist ein Grundrecht. Genauso wie Ihr Recht auf Freiheit oder Sicherheit ist Ihr Recht auf Datenschutz in der Charta der Grundrechte der Europäischen Union verankert. Diese EU-Grundrechtecharta gilt im Verhältnis zwischen Ihnen und staatlichen Institutionen.
Gesetzlich ist aber anerkannt, dass auch im privaten und wirtschaftlichen Bereich ein ausgewogenes Interessenverhältnis zwischen Datenverarbeitenden und den sogenannten „betroffenen Personen“ bestehen muss – also zum Beispiel zwischen Ihnen und Ihrer Bank. Diese Regeln finden sich in der DSGVO und im DSG.
Personenbezogene Daten sagen viel über uns aus: Unsere Hobbys, Vorlieben und Wünsche können darin sichtbar werden. Das ist natürlich schützenswert. Aber erst wenn wir Ihre Vorlieben kennen, ist es uns möglich, unseren Service individuell für Sie zu verbessern. Ein Kernelement des Datenschutzes ist es, dass wir gemeinsam einen Weg finden, wie wir Ihre Daten in Ihrem Interesse und unter Ihrer Aufsicht verarbeiten können und dürfen.
Gilt in Österreich nicht ohnehin das Bankgeheimnis?
Ja, die Informationen, die uns auf Grund der Geschäftsverbindung bekannt werden, sind auch vom österreichischen Bankgeheimnis geschützt – nach § 38 Bankwesengesetz. Die DSGVO gilt zusätzlich dazu.
Gut zu wissen: Die Entbindung vom Bankgeheimnis darf nur schriftlich erfolgen – siehe § 38 Absatz 2 Ziffer 5 Bankwesengesetz. „Schriftlich“ bedeutet hier:
Wo erfahre ich mehr über die DSGVO und das DSG 2018?
(Alle Links mit Stand März 2023)
Einen konsolidierten Text der DSGVO finden Sie hier:
https://eur-lex.europa.eu/legal-content/DE/TXT/?uri=CELEX%3A02016R0679-20160504
Einen konsolidierten Text des DSG finden Sie hier:
https://www.ris.bka.gv.at/GeltendeFassung.wxe?Abfrage=Bundesnormen&Gesetzesnummer=10001597
Die EU-Grundrechtecharta:
https://eur-lex.europa.eu/legal-content/DE/TXT/?uri=celex:12012P/TXT
Weiterführende Informationen zu Ihren Rechten finden Sie auf folgenden Webseiten:
Österreichische Datenschutzbehörde
https://www.dsb.gv.at/
Europäische Kommission:
https://ec.europa.eu/info/law/law-topic/data-protection_de
(Alle Links mit Stand März 2023)
Damit wir über Datenschutz sprechen können, ist es wichtig, einige grundlegende Begriffe zu klären. Wir haben auch die jeweiligen Artikel-Bezeichnungen der DSGVO angeführt, damit Sie die Definitionen bei Interesse nachlesen können. Bitte beachten Sie, dass es sich nur um Zusammenfassungen, also verkürzte Darstellungen handelt. Den gesamten Text der DSGVO und der jeweiligen Artikel finden Sie hier:
https://eur-lex.europa.eu/legal-content/DE/TXT/?uri=CELEX%3A02016R0679-20160504
Was sind personenbezogene Daten?
Personenbezogene Daten sind alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person („betroffene Person“) beziehen. Zum Beispiel ein Name oder eine Kennnummer, wie eine IBAN oder eine Kontonummer.
Nachzulesen in Artikel 4 Ziffer 1 DSGVO.
Was fällt alles unter die Verarbeitung von Daten?
Der Begriff „Verarbeitung“ meint jeden mit oder ohne Hilfe automatisierter Verfahren ausgeführten Vorgang im Zusammenhang mit personenbezogenen Daten. Dazu zählen zum Beispiel das Erheben, das Erfassen, die Organisation, das Ordnen, das Speichern, das Anpassen oder Verändern, das Auslesen, das Abfragen, das Verwenden, das Offenlegen (durch Übermitteln, Verbreiten oder eine andere Form des Bereitstellens), der Abgleich oder das Verknüpfen, das Einschränken, das Löschen oder das Vernichten.
Nachzulesen in Artikel 4 Ziffer 2 DSGVO.
Was bedeutet „Verantwortlicher“?
Der Begriff „Verantwortlicher“ meint die natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet. Zum Beispiel wir als Bank.
Nachzulesen in Artikel 4 Ziffer 7 DSGVO.
Was bedeutet „Auftragsverarbeiter“?
Der Begriff „Auftragsverarbeiter“ meint eine natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die personenbezogene Daten im Auftrag von Verantwortlichen verarbeitet.
Nachzulesen in Art 4 Ziffer 8 DSGVO.
- Verarbeitung für die Vertragserfüllung und für vorvertragliche Maßnahmen, die auf Ihre Anfrage erfolgen
Welche Leistungen wir für Sie erbringen dürfen, hängt vom jeweiligen Vertrag ab, z. B. Kredit-, Konto-, Leasing-Vertrag, Versicherungsvermittlung oder George-Vereinbarung. Damit Sie sich z. B. bei George einloggen, Ihr Konto online verwalten und Transaktionen durchführen können, müssen wir Ihre Daten verarbeiten. Den Umfang der Datenverarbeitung finden Sie in den Vertragsunterlagen und Geschäftsbedingungen. - Verarbeitung aufgrund rechtlicher Verpflichtungen
Auch rechtliche Vorschriften erfordern, dass wir Ihre personenbezogenen Daten verarbeiten, z. B. Bankwesengesetz, EU-Kapitaladäquanz-Verordnung, Wertpapieraufsichtsgesetz, Finanzmarkt-Geldwäschegesetz und EU-Geldtransfer-Verordnung. Das betrifft:- Risikomanagement, insbesondere Kreditrisiko und operationelles Risiko
- Beschwerdemanagement und Beschwerdebearbeitung, Analyse von Beschwerdefällen
- Monitoring von Insiderhandel, Interessenkonflikten und Marktmanipulation
- Identitätsfeststellung, Transaktionsüberwachung, Verdachtsmeldungen, Einhaltung von Sanktionsvorschriften
- Meldungen in das Kontoregister und Meldungen von Kapitalabflüssen
- Zahlungsdienstleistungen, z. B. zur Erkennung nicht autorisierter oder betrügerischer Zahlungsvorgänge
- Buchhaltung, Controlling und Erfüllung abgabenrechtlicher Vorschriften
- Aufzeichnen von Telefongesprächen und elektronischer Kommunikation bei Wertpapiergeschäften
- Auskünfte an Staatsanwaltschaft, Gerichte, Finanzstrafbehörden
- Offenlegung von Informationen über die Identität von Aktionär:innen
- Verarbeitung aufgrund berechtigter Interessen
Ein berechtigtes Interesse zur Datenverarbeitung durch uns oder Dritte besteht in folgenden Fällen:- Maßnahmen zum Schutz von Mitarbeiter:innen, Kund:innen sowie des Eigentums der Bank
- Ausüben oder Verteidigen von Rechten
- Datenaustausch für Bonitäts- und Ausfallsrisiken gegenüber Auskunfteien, z. B. Meldungen und Abfragen aus der Warnliste oder der Konsumentenkreditevidenz des Kreditschutzverband von 1870
- Betrugsprävention und -bekämpfung sowie Verhinderung von Geldwäscherei und Terrorismusfinanzierung, im Speziellen z. B.:
- In der Verdachtsdatenbank (VDB) für Bank- und Finanzinstitute werden Verdachtsfälle von Betrug und Betrugsversuch nach §§ 146 ff StGB sowie ähnliche Straftaten erfasst und verarbeitet, die während der Geschäftsbeziehung oder bei ihrer Anbahnung festgestellt werden. Geführt wird diese Datenbank von der CRIF GmbH als Auftragsverarbeiter. Wenn Bank- und Finanzinstitute diese Datenbanklösung nutzen, können sie auch Daten empfangen, mit denen sie zu Beginn einer Geschäftsbeziehung mit Kund:innen überprüfen können, ob in der Vergangenheit Betrugsversuche unternommen wurden.
- Entwicklung von Datenmodellen zum Erkennen verdächtiger Verhaltensmuster
- Dokumentation vergangener Schadensfälle als Entscheidungshilfe über das Eingehen neuer oder erweiterter Kundenbeziehungen
- Steigerung der Datenqualität
- Gewährleistung der IT-Sicherheit und des IT-Betriebs der Bank
- Aufzeichnungen von Telefongesprächen, z. B. für Beschwerdefälle, die Dokumentation rechtsgeschäftlich relevanter Erklärungen (z. B. Kartensperren) oder Schulungszwecke unserer Mitarbeiter:innen
- Videoüberwachungen, um unser Hausrecht durchzusetzen, zur Prävention von Angriffen, um bei Straftaten Beweise zu sammeln, zum Schutz von Kund:innen, Mitarbeiter:innen und Eigentum, zur Durchsetzung und Abwehr von Rechtsansprüchen oder zum Nachweis von Verfügungen und Einzahlungen, z. B. an Geldautomaten. Videoaufzeichnungen von derartigen Vorfällen können im Einzelfall nach sorgfältiger Prüfung auch für Sicherheitsschulungen unserer Mitarbeiter:innen eingesetzt werden.
- Maßnahmen zur Geschäfts-, Vertriebs- und Konzernsteuerung, wie z. B. Kundensegmentierung, Reorganisationen und damit einhergehende Kundenanalysen, Vermeiden von Werbung zu bereits genutzten Produkten. Dazu zählt auch die Entwicklung von Datenmodellen für solche Maßnahmen.
- Maßnahmen zum Prozess- und Qualitätsmanagement: Wir erheben anlassbezogen Daten über unsere Prozesse und Services. Mit diesen Daten sichern wir die Qualität unserer Dienstleistungen, die Einhaltung unserer Service-Standards und die Effizienz unserer Prozesse.
- Laufende Berechnung Ihres Finanzierungspotenzials
- Auswahl zur Evaluierung der Zufriedenheit mit den angebotenen Serviceleistungen und Produkten
- Produktentwicklung, z. B. anhand von Datenmodellen
- Erstellen von synthetischen oder anonymisierten Daten zu Testzwecken (in eingeschränkten Fällen kann es auch erforderlich sein, Echtdaten zu Testzwecken heranzuziehen)
- Wenn Sie uns eine Datei mit einer elektronischen Signatur oder einem elektronischen Siegel übermitteln, werden wir dieses Dokument für die Signatur-/Siegelprüfung an einen Validierungsdienst (z. B. Signaturprüfdienst der Rundfunk und Telekom Regulierungs-GmbH) übermitteln.
- Wenn wir ein Dokument elektronisch signieren, das Ihre Daten enthält, werden wir das Dokument an einen Vertrauensdiensteanbieter (z. B. A-Trust) übermitteln.
- Wir wollen unsere hohen Qualitätsstandards über alle Beratungen hinweg sicherstellen, um unseren Gründungsauftrag gerecht zu werden: „Finanzielle Gesundheit für alle“. Dafür haben wir einen Beratungsablauf festgelegt, der auf Daten basiert und die Finanzbedürfnisse der Kund:innen gesamtheitlich betrachtet.
Für die professionellen Vorbereitung und Durchführung von Beratungen analysieren wir diese Daten:- Stammdaten, z. B.: Name, Geburtsdatum, Adresse
- Daten zu genutzten Produkten, Transaktionen
Daraus leiten wir einen aktuellen Status der Finanzbedürfnisse ab: monatliche Finanzen (Haushaltsrechnung), Liquidität und Reserve, Vermögensaufbau, Vorsorge, Risiken absichern und Finanzieren. Durch diese Datenanalyse können wir unsere Kund:innen noch treffsicherer in deren Interesse beraten. Spätestens nach 5 Jahren bzw. bei Auflösung der Geschäftsbeziehung werden die Angaben gelöscht.
- Verarbeitung aufgrund Einwilligung
Gibt es weder einen Vertrag noch rechtliche Verpflichtungen oder ein berechtigtes Interesse, kann die Datenverarbeitung dennoch rechtmäßig sein: nämlich dann, wenn Sie uns Ihre Einwilligung dazu erteilt haben. Umfang und Inhalt dieser Datenverarbeitung ergibt sich immer aus der jeweiligen Einwilligung – etwa wenn Sie uns erlauben, im Rahmen der Identitätsfeststellung ein Foto von Ihnen zu machen. Sie können eine Einwilligung jederzeit für die Zukunft widerrufen. Wenn Sie eine Einwilligung widerrufen, bleiben aber die Verarbeitungen bis zum Zeitpunkt des Widerrufs rechtmäßig. Das bedeutet also, ein Widerruf wirkt nicht für die Vergangenheit. - Verarbeitung für statistische Zwecke
Wir verarbeiten Ihre personenbezogenen Daten auch für statistische Zwecke nach § 7 Datenschutzgesetz.
Wer ist für die Verarbeitung meiner personenbezogenen Daten verantwortlich?
Für die Verarbeitung Ihrer Daten verantwortlich ist die
Erste Bank der oesterreichischen Sparkassen AG
Am Belvedere 1
1100 Wien
Kontakt für datenschutzrelevante Anfragen:
Erste Group Bank AG
0196 1905/AT Data Privacy Security Management
Am Belvedere 1
1100 Wien
E-Mail: DSGVO-Support@erstegroup.com
Am schnellsten geht es über s Kontakt-Nachricht in George: Wenn Sie zwischen Themen auswählen können, klicken Sie auf „Datenschutz Grundverordnung / DSGVO“. Sonst schreiben Sie einfach „Datenschutz“ in den Betreff Ihrer Nachricht.
Zuständige Aufsichtsbehörde für datenschutzrechtliche Agenden:
Österreichische Datenschutzbehörde
Barichgasse 40-42
1030 Wien
Telefon: +43 1 52 152-0
E-Mail: dsb@dsb.gv.at
https://www.dsb.gv.at/
Wer ist Datenschutzbeauftragter?
Die Funktion des Datenschutzbeauftragten, auch Data Protection Officer genannt, übernimmt bei uns Gregor König. Bei Fragen, Anregungen oder Beschwerden zur Verarbeitung Ihrer Daten erreichen Sie ihn und sein Team unter:
Gregor König – Datenschutzbeauftragter
Erste Group Bank AG
Am Belvedere 1
1100 Wien
E-Mail: datenschutz@erstegroup.com
Zu welchen Zwecken und auf welcher Rechtsgrundlage werden meine personenbezogenen Daten verarbeitet?
Wir sind eine Bank nach § 1 (1) Bankwesengesetz und Artikel 4 (1) 1 EU-Kapitaladäquanz-Verordnung. Zusätzlich sind wir auch als Vermittlerin für andere Produkte und Dienstleistungen tätig, z. B. Versicherungen und Bausparverträge. Im Rahmen dieser Tätigkeiten verarbeiten wir Ihre personenbezogenen Daten:
Werden auch Daten verarbeitet, die nicht bei mir erhoben werden?
Die meisten personenbezogenen Daten, die wir über Sie verarbeiten, haben Sie uns selbst bekannt gegeben. Es ist aber möglich, dass wir Ihre Daten auch aus anderen Quellen erheben:
