Informationen zum Datenschutz
Vielen Dank für Ihr Interesse an unserem Unternehmen und unserer Website. Auch wenn wir externe Links sorgfältig prüfen, haften wir nicht für Inhalt und Sicherheit dieser externen Links.
Wir schützen Ihre personenbezogenen Daten bestmöglich bei allen Verarbeitungsschritten – online und offline. Im Folgenden lesen Sie Informationen zur Verwendung dieser Daten.
Seit 25. Mai 2018 gilt in der Europäischen Union die Datenschutz-Grundverordnung, kurz DSGVO oder auf Englisch „GDPR“ – General Data Protection Regulation. Die DSGVO gibt vor, wie personenbezogene Daten verarbeitet werden dürfen und wie sie geschützt werden müssen.
Was ist die DSGVO?
Die DSGVO ist eine Verordnung der Europäischen Union. Sie gilt unmittelbar in jedem Mitgliedstaat, also auch in Österreich. Jede Person, deren Daten verarbeitet werden, kann sich direkt auf die DSGVO berufen.
Was regelt die DSGVO?
Die DSGVO enthält Vorschriften über die Verarbeitung Ihrer personenbezogenen Daten. Egal, ob es um Ihren Namen, Ihre Telefonnummer, Ihre Kontoumsätze oder Ihre Hobbys geht – all das schützt die DSGVO. Die darin festgeschriebenen Grundsätze regeln, wie Ihre personenbezogenen Daten gespeichert und verarbeitet werden dürfen.
Wieso gibt es weiterhin ein österreichisches Datenschutzgesetz (DSG)?
Die Europäische Union hat nicht nur die DSGVO erlassen, sondern ein ganzes „Datenschutz-Paket“. Ein Teil davon war auch eine neue Datenschutz-Richtlinie. Worin unterscheidet sich eine Richtlinie von einer Verordnung? Im Gegensatz zu einer Verordnung muss eine Richtlinie erst in nationales Recht umgesetzt werden. Außerdem lässt die DSGVO den Mitgliedstaaten Spielräume offen, um einzelne Aspekte detaillierter zu regeln als in der DSGVO selbst.
Beides passiert in Österreich im Datenschutzgesetz („DSG”).
Warum ist der Schutz meiner Daten so wichtig?
Datenschutz ist ein Grundrecht. Genauso wie Ihr Recht auf Freiheit oder Sicherheit ist Ihr Recht auf Datenschutz in der Charta der Grundrechte der Europäischen Union verankert. Diese EU-Grundrechtecharta gilt im Verhältnis zwischen Ihnen und staatlichen Institutionen.
Gesetzlich ist aber anerkannt, dass auch im privaten und wirtschaftlichen Bereich ein ausgewogenes Interessenverhältnis zwischen Datenverarbeitenden und den sogenannten „betroffenen Personen“ bestehen muss – also zum Beispiel zwischen Ihnen und Ihrer Bank. Diese Regeln finden sich in der DSGVO und im DSG.
Personenbezogene Daten sagen viel über uns aus: Unsere Hobbys, Vorlieben und Wünsche können darin sichtbar werden. Das ist natürlich schützenswert. Aber erst wenn wir Ihre Vorlieben kennen, ist es uns möglich, unseren Service individuell für Sie zu verbessern. Ein Kernelement des Datenschutzes ist es, dass wir gemeinsam einen Weg finden, wie wir Ihre Daten in Ihrem Interesse und unter Ihrer Aufsicht verarbeiten können und dürfen.
Gilt in Österreich nicht ohnehin das Bankgeheimnis?
Ja, die Informationen, die uns auf Grund der Geschäftsverbindung bekannt werden, sind auch vom österreichischen Bankgeheimnis geschützt – nach § 38 Bankwesengesetz. Die DSGVO gilt zusätzlich dazu.
Gut zu wissen: Die Entbindung vom Bankgeheimnis darf nur schriftlich erfolgen – siehe § 38 Absatz 2 Ziffer 5 Bankwesengesetz. „Schriftlich“ bedeutet hier:
- Eigenhändige Unterschrift, z. B. „Tinte und Papier“; oder
- Qualifizierte elektronische Signatur, z. B. „Handysignatur“; oder
- Starke Kundenauthentifizierung im Internetbanking, z. B. CardTAN oder s Identity-Freigabemethode in George.
Wo erfahre ich mehr über die DSGVO und das DSG 2018?
(Alle Links mit Stand März 2023)
Einen konsolidierten Text der DSGVO finden Sie hier:
https://eur-lex.europa.eu/legal-content/DE/TXT/?uri=CELEX%3A02016R0679-20160504
Einen konsolidierten Text des DSG finden Sie hier:
https://www.ris.bka.gv.at/GeltendeFassung.wxe?Abfrage=Bundesnormen&Gesetzesnummer=10001597
Die EU-Grundrechtecharta:
https://eur-lex.europa.eu/legal-content/DE/TXT/?uri=celex:12012P/TXT
Weiterführende Informationen zu Ihren Rechten finden Sie auf folgenden Webseiten:
Österreichische Datenschutzbehörde
https://www.dsb.gv.at/
Europäische Kommission:
https://ec.europa.eu/info/law/law-topic/data-protection_de
(Alle Links mit Stand Mai 2024)
Damit wir über Datenschutz sprechen können, ist es wichtig, einige grundlegende Begriffe zu klären. Wir haben auch die jeweiligen Artikel-Bezeichnungen der DSGVO angeführt, damit Sie die Definitionen bei Interesse nachlesen können. Bitte beachten Sie, dass es sich nur um Zusammenfassungen, also verkürzte Darstellungen handelt. Den gesamten Text der DSGVO und der jeweiligen Artikel finden Sie hier:
https://eur-lex.europa.eu/legal-content/DE/TXT/?uri=CELEX%3A02016R0679-20160504
Was sind personenbezogene Daten?
Personenbezogene Daten sind alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person („betroffene Person“) beziehen. Zum Beispiel ein Name oder eine Kennnummer, wie eine IBAN oder eine Kontonummer.
Nachzulesen in Artikel 4 Ziffer 1 DSGVO.
Was fällt alles unter die Verarbeitung von Daten?
Der Begriff „Verarbeitung“ meint jeden mit oder ohne Hilfe automatisierter Verfahren ausgeführten Vorgang im Zusammenhang mit personenbezogenen Daten. Dazu zählen zum Beispiel das Erheben, das Erfassen, die Organisation, das Ordnen, das Speichern, das Anpassen oder Verändern, das Auslesen, das Abfragen, das Verwenden, das Offenlegen (durch Übermitteln, Verbreiten oder eine andere Form des Bereitstellens), der Abgleich oder das Verknüpfen, das Einschränken, das Löschen oder das Vernichten.
Nachzulesen in Artikel 4 Ziffer 2 DSGVO.
Was bedeutet „Verantwortlicher“?
Der Begriff „Verantwortlicher“ meint die natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet. Zum Beispiel wir als Bank.
Nachzulesen in Artikel 4 Ziffer 7 DSGVO.
Was bedeutet „Auftragsverarbeiter“?
Der Begriff „Auftragsverarbeiter“ meint eine natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die personenbezogene Daten im Auftrag von Verantwortlichen verarbeitet.
Nachzulesen in Art 4 Ziffer 8 DSGVO.
Für www.sparkasse.at gelten die unten angeführten Ansprechpartner. Für die Ansprechpartner der regionalen Sparkassen, wählen Sie bitte die entsprechende Sparkasse aus.
Wer ist für die Verarbeitung meiner personenbezogenen Daten verantwortlich?
Das Kreditinstitut, bei dem Sie den Produktvertrag unterzeichnet haben oder mit dem Sie in einer sonstigen Geschäftsbeziehung stehen. Nähere Informationen dazu finden Sie in Ihren Verträgen oder Unterlagen.
Kontakt für datenschutzrelevante Anfragen:
Erste Group Bank AG
0196 1905/AT Data Privacy Security Management
Am Belvedere 1
1100 Wien
E-Mail: DSGVO-Support@erstegroup.com
Zuständige Aufsichtsbehörde für datenschutzrechtliche Agenden:
Österreichische Datenschutzbehörde
Barichgasse 40-42
1030 Wien
Telefon: +43 1 52 152-0
E-Mail: dsb@dsb.gv.at
https://www.dsb.gv.at/
Wer ist der Datenschutzbeauftragte?
Gregor König
Erste Group Bank AG
Am Belvedere 1
1100 Wien
E-Mail: datenschutz@erstegroup.com
Welche personenbezogenen Daten werden verarbeitet und wie werden sie erhoben?
Welche personenbezogenen Daten wir von Ihnen verarbeiten, hängt vom Umfang der Geschäftsbeziehung zwischen Ihnen und uns ab. Hier finden Sie eine Liste mit den möglichen Daten, die wir direkt bei den betroffenen Personen erheben. Es kann auch sein, dass wir Informationen aus den erhobenen Daten ableiten.
Bitte beachten Sie: Das bedeutet nicht zwangsläufig, dass wir diese Daten von Ihnen auch konkret verarbeiten:
Wir erheben Ihre personenbezogenen Daten an verschiedenen Stellen und bei verschiedenen Anlässen, z. B. wenn Sie
- Unsere Filialen besuchen oder Selbstbedienungs-Geräte nutzen
- Eines unserer Produkte eröffnen oder nutzen
- Unser Online-Angebot nutzen (insbesondere Webseiten, Internetbanking, Apps)
- Unsere sonstigen Serviceangebote und Kontaktmöglichkeiten nutzen, z. B. 24h Service, Gewinnspiele, Veranstaltungen
Für welchen Zweck werden meine personenbezogenen Daten verarbeitet?
Welche rechtliche Grundlagen gibt es?
Wir sind eine Bank nach dem Bankwesengesetz (BWG) und der EU-Kapitaladäquanz-Verordnung – siehe BWG § 1 (1) und
EU-Kapitaladäquanz-Verordnung Artikel 4 (1) 1. Außerdem vermitteln wir andere Produkte und Dienstleistungen, z. B. Versicherungen und Bausparverträge. Für diese Tätigkeiten müssen wir Ihre personenbezogenen Daten verarbeiten.
Verarbeitung für die Vertragserfüllung und für vorvertragliche Maßnahmen, die auf Ihre Anfrage erfolgen
Es hängt vom Vertrag ab, welche Leistungen wir für Sie erbringen dürfen. Das können z. B. Kreditvertrag, Kontovertrag, Leasingvertrag, Vermittlung einer Versicherung oder eine George Vereinbarung sein.
Wir müssen z. B. Ihre Daten verarbeiten, damit Sie sich beim Internetbanking George einloggen können und damit Sie George nutzen können, z. B. für Überweisungen. Den Umfang der Datenverarbeitung finden Sie in den Vertragsunterlagen und Geschäftsbedingungen.
Für unser Internetbanking George analysieren wir die gespeicherten Daten. Wir bereiten die Daten technisch auf, damit sie besser dargestellt werden können. Davon umfasst sind:
- Persönliche Informationen
- Kontostände, Buchungen und Umsatzdaten
- Die Kategorisierung von Kontoumsätzen
- Die Indizierung dieser Daten für eine schnellere Suche in George
Davon sind auch Daten betroffen, die Sie selbst in das Internetbanking George geladen haben.
Verarbeitung wegen rechtlicher Verpflichtungen
Wir müssen auch aus rechtlichen Verpflichtungen Ihre personenbezogenen Daten verarbeiten, z. B.
- Bankwesengesetz
- EU-Kapitaladäquanz-Verordnung
- Wertpapieraufsichtsgesetz
- Finanzmarkt-Geldwäschegesetz
- EU-Geldtransfer-Verordnung
- EU-Sanktionsverordnungen
Wir verarbeiten Ihre personenbezogenen Daten für folgende Aufgaben:
- Risikomanagement, vor allem für die Beurteilung von Kreditrisiko und Risiko von Verlusten durch interne Vorgänge oder Mitarbeiter:innen (operationelles Risiko)
- Umgang mit Beschwerden, Bearbeitung von Beschwerden und Analyse von Beschwerden
- Überwachung von Insiderhandel, Interessenkonflikten und Marktmanipulation
- Feststellen der Identität, Überwachung von Transaktionen, Verdachtsmeldungen, Einhaltung von Sanktionsvorschriften, Nachweise zur Mittelherkunft, Angaben zu Art und Zweck der Geschäftsbeziehung
- Einhaltung von Sanktionen
- Meldungen an das zentrale Kontenregister und Meldungen von Kapitalabflüssen
- Zahlungs-Dienstleistungen, z. B. zur Erkennung nicht-autorisierter oder betrügerischer Zahlungsvorgänge
- Buchhaltung, Controlling und Vorschriften zu Steuern und Abgaben
- Aufzeichnung von Telefongesprächen und elektronischer Kommunikation bei Wertpapier-Geschäften
- Auskünfte an Staatsanwaltschaft, Gerichte und Finanzstrafbehörden
- Offenlegung über die Identität von Aktionär:innen
Verarbeitung aufgrund berechtigter Interessen
In manchen Fällen dürfen wir oder Dritte Ihre Daten verarbeiten, weil es ein berechtigtes Interesse gibt. Es gibt folgende Gründe:
- Zur Anzeige von nützlichen Funktionen, Produkten, Features und Dienstleistungen in George
- Um nicht-rechtsverbindliche, behördliche Empfehlungen zu befolgen
- Für Maßnahmen zum Schutz von Mitarbeiter:innen und Kund:innen sowie zum Schutz des Eigentums der Bank
- Wenn wir unsere Rechte ausüben und verteidigen
- Wenn wir Daten mit Auskunfteien austauschen, um Risiken zu bewerten, z. B. Meldungen und Abfragen aus der Warnliste oder beim Kreditschutzverband von 1870
- Zur Verhinderung und Bekämpfung von Betrug, Geldwäsche und Terrorismusfinanzierung, z. B.:
- Die Banken und Finanzinstitute haben eine Verdachtsdatenbank (VDB). In dieser Datenbank stehen Verdachtsfälle von Betrug, Betrugsversuch und ähnlichen Straftaten. Diese Daten werden verarbeitet. Es geht um Fälle, bei denen Betrug oder Betrugsversuche während einer Geschäftsbeziehung oder bei den Vorbereitungen dazu festgestellt worden sind. Die CRIF GmbH führt diese VDB als Auftragsverarbeiter. Wir können als Bank diese Datenbank nutzen, wenn wir eine neue Geschäftsbeziehung mit einer Person eingehen wollen. So können wir überprüfen, ob es von dieser Person schon Betrugsversuche gegeben hat
- Erkennen von verdächtigen Verhaltensarten durch Datenmodelle
- Für die Dokumentation von vergangenen Schadensfällen. So können wir besser entscheiden, ob wir neue Kund:innen annehmen oder Kundenbeziehungen erweitern
- Zur Verbesserung der Datenqualität
- Zur Wahrung der IT-Sicherheit und des IT-Betriebs der Bank
- Aufzeichnungen und Niederschriften von Telefongesprächen zu folgenden Zwecken: Dokumentation rechtsgeschäftlich relevanter Erklärungen, Identifizierung von Verbesserungspotenzial zu Produkten und Dienstleistungen, Qualitätsmonitoring der Dienstleistungen sowie Identifizierung von Verbesserungspotenzial der Callcenter-Mitarbeiter:innen. Tonaufnahmen speichern wir nur und geben sie im Bedarfsfall an Dritte weiter, wenn das zu Beweiszwecken notwendig ist.
Hier finden Sie detaillierte Informationen zu den Verarbeitungen. - Wenn wir aus verschiedenen Gründen Video-Überwachung einsetzen:
- Um unser Hausrecht durchzusetzen
- Um Angriffe zu verhindern
- Um Beweise bei Straftaten zu sammeln
- Um Kund:innen, Mitarbeiter: innen und unser Eigentum zu schützen
- Um Rechtsansprüche durchzusetzen und zu verteidigen
- Als Nachweis über Verfügungen und Einzahlungen, z. B. an Geldautomaten. Mit einer Verfügungsberechtigung bei einem Konto können Personen z. B. Überweisungen durchführen oder Daueraufträge einrichten. Wir dürfen Video-Überwachungen machen, damit wir feststellen können, welche Person etwas über Ihr Konto gemacht hat. Wir können die Video-Aufzeichnungen auch für Sicherheitsschulungen von Mitarbeiter:innen verwenden. Wir verwenden die Video-Aufzeichnungen aber nur, wenn wir sie sorgfältig geprüft, bestimmte Situationen ausgewählt und weitere Sicherheitsmaßnahmen beachtet haben
- Wir verarbeiten Daten zur Geschäfts-, Vertriebs- und Konzernsteuerung, z. B.:
- Um Kund:innen in Gruppen mit ähnlichen Merkmalen einzuteilen (Kundensegmentierung)
- Für Überlegungen zu neuen Organisationsformen und Untersuchungen von Merkmalen von Kund:innen
- Um Werbung für Produkte zu vermeiden, die Kund:innen schon nutzen
- Für die allgemeine Ausrichtung der Geschäftsstrategie und des Produktportfolios
Dazu gehört auch die Entwicklung von Datenmodellen für solche Maßnahmen.
- Sammlung von Daten zur Verbesserung von Arbeitsvorgängen und der Qualität unserer Dienstleistungen. Damit können wir sicherstellen, dass unsere Dienstleistungen, Services und Abläufe qualitativ hochwertig sind
- Laufende Berechnung Ihres Finanzierungspotenzials
- Wir dürfen Kund:innen auswählen, um ihre Zufriedenheit mit unseren Angeboten zu überprüfen
- Produktentwicklung, z. B. anhand von Datenmodellen
- Wir erstellen synthetische oder anonymisierte Daten, die ähnlich sind wie echte Daten. In wenigen Fällen kann es auch notwendig sein, dass wir für Tests echte Daten verwenden
- Wenn Sie uns ein Dokument mit einer elektronischen Signatur oder einem elektronischen Siegel schicken, schicken wir es an einen Validierungsdienst weiter. Ein Validierungsdienst ist ein Unternehmen, das überprüft, ob eine Signatur oder ein Siegel echt ist. Dieses Unternehmen kann z. B. der Signaturprüfdienst der Rundfunk und Telekom Regulierungs-GmbH sein
- Wenn wir ein Dokument mit Ihren Daten darin elektronisch unterschreiben, schicken wir es an einen Vertrauensdienste-Anbieter. Wir nutzen z. B. A-Trust
- Wir wollen unsere hohe Qualität in allen Beratungen und Kanälen sicherstellen. Wir wollen damit unseren Gründungsauftrag erfüllen: „Finanzielle Gesundheit für alle“. Dafür haben wir einen Beratungsablauf festgelegt. Der Ablauf richtet sich nach den Daten, die wir bekommen. Es geht dabei umfassend um die finanziellen Bedürfnisse unserer Kund:innen
- Wir wollen Beratungen professionell vorbereiten und durchführen. Dafür verwenden wir folgende Daten:
- Stammdaten. Dazu gehören z. B. Name, Geburtsdatum oder Adresse
- Daten zu den Produkten, die Kund:innen benutzen
- Daten zu Transaktionen
- Mit diesen Daten können wir feststellen, welche Beratung für Sie sinnvoll ist. Wir leiten Ihre aktuellen Finanzbedürfnisse aus folgenden Daten ab:
- Wie hoch sind die monatlichen Zahlungen, wie sieht z. B. Ihre Haushaltsrechnung aus?
- Wie viel Geld haben Sie gerade zur Verfügung, wie viel haben Sie gespart?
- Wie sieht der Vermögensaufbau aus?
- Gibt es eine Vorsorge?
- Wie sind die Risiken abgesichert?
- Gibt es eine Finanzierung?
- Wir wollen Beratungen professionell vorbereiten und durchführen. Dafür verwenden wir folgende Daten:
Durch die Analyse dieser Daten können wir Sie noch besser beraten. Neben der Beratung zeigen wir Ihnen in George hilfreiche Tipps („Insights“) zu Ihrer finanziellen Gesundheit an.
Wir speichern die Informationen, damit unsere Beratungen langfristig sinnvoll sind. Wir löschen Ihre Daten aber spätestens nach 7 Jahren oder wenn unsere Geschäftsbeziehung endet.
Verarbeitung nach Einwilligung
Wir dürfen Ihre Daten auch verarbeiten, wenn es keinen Vertrag, keine rechtlichen Verpflichtungen und kein berechtigtes Interesse gibt: nämlich dann, wenn Sie uns Ihre Einwilligung geben. Es hängt immer vom Umfang der Einwilligung ab, welche Daten wir verarbeiten und wofür wir sie verwenden. Sie können uns z. B. erlauben, ein Foto von Ihnen zu machen, damit wir feststellen können, wer Sie sind.
Sie können Ihre Einwilligung jederzeit widerrufen. Aber der Widerruf gilt nicht für die Vergangenheit. Das heißt: Die Verarbeitung Ihrer Daten vor dem Widerruf bleibt rechtmäßig.
Verarbeitung für statistische Zwecke
Wir verarbeiten personenbezogene Daten auch für Statistiken. Das ist nach § 7 im Datenschutzgesetz möglich.
Verarbeitet die Bank auch Daten, die sie nicht von mir hat?
Die meisten personenbezogenen Daten, die wir verarbeiten, haben Sie uns selbst gegeben. Es ist aber möglich, dass wir Ihre Daten aus anderen Quellen bekommen.
Für die hier genannten Datenarten und Datenverarbeitungen gelten auch die übrigen Punkte auf dieser Seite. Ausgenommen ist der Punkt „Welche rechtlichen Grundlagen gibt es? Welche personenbezogenen Daten werden verarbeitet und wie werden sie erhoben?“.
Muss ich meine personenbezogenen Daten bereitstellen?
Was passiert, wenn ich das nicht will?
Wir brauchen viele Ihrer personenbezogenen Daten für unsere Geschäftsbeziehung, z. B. damit wir Ihnen eine neue Debitkarte zuschicken können. Nach dem Gesetz dürfen wir keine Geschäftsbeziehung zu Ihnen haben, wenn wir nicht überprüfen können, wer Sie sind. Wenn wir nicht wissen, wie Ihre Zahlungsfähigkeit ist, können wir Ihnen keinen Kredit geben.
Wenn es wegen einer rechtlichen Vorschrift oder eines Vertrags notwendig ist, müssen wir Ihre Daten verarbeiten. Wenn Sie das nicht wollen, können wir bestimmte Services leider nicht anbieten.
In allen anderen Fällen verarbeiten wir Ihre Daten nur, wenn Sie uns Ihre Einwilligung geben. Diese Einwilligung ist selbstverständlich freiwillig. In diesen Fällen müssen Sie uns Ihre Daten nicht geben.
Gibt es Entscheidungen der Bank durch Datenberarbeitung inkl. Profiling ohne Eingriff einer Mitarbeiter:in?
Wenn wir Entscheidungen aufgrund von automatischer Datenverarbeitung treffen, werden wir Sie vorher darüber informieren.
Wenn wir einen Kredit vergeben, prüfen wir Ihre Zahlungsfähigkeit. Dazu verwenden wir das sogenannte Kredit-Scoring. Dabei untersuchen wir das Risiko, dass Sie den Kredit nicht zurückzahlen können. Dazu vergleichen wir Personen, die einen Kredit nehmen wollen, mit anderen Personengruppen.
Bei diesem Verfahren kommt ein bestimmter Wert heraus. Er heißt „Score-Wert“. Dieser Wert ermöglicht uns eine Vorhersage, mit welcher Wahrscheinlichkeit ein Kredit zurückgezahlt wird.
Um den Score-Wert zu berechnen, brauchen wir folgende Daten:
- Stammdaten, z. B. Familienstand, Anzahl der Kinder, Dauer der Beschäftigung oder Arbeitgeber:in
- Allgemeine finanzielle Verhältnisse, z. B. Einkommen, Vermögen, monatliche Ausgaben und Zahlungen, die eine Person leisten muss
- Zahlungsverhalten, z. B. Kreditrückzahlungen, Mahnungen und Daten von Kredit-Auskunfteien
Wenn das Risiko zu groß ist, lehnen wir einen Kredit ab. Es kann einen Eintrag in die Konsumentenkredit-Evidenz (KKE) des Kreditschutzverbands von 1870 (KSV 1870) geben. Außerdem kann es eine interne Warnung geben.
Wenn ein Kreditantrag abgelehnt wird, steht das 6 Monate lang in der KKE des KSV 1870 – wie im Bescheid der Datenschutzbehörde vorgesehen.
Wer bekommt meine personenbezogenen Daten?
- Kreditinstitute, Stellen und Personen im Verbund von Sparkassen, Erste Bank und Erste Group. Diese Stellen oder Personen bekommen Ihre personenbezogenen Daten, wenn sie diese für Folgendes brauchen:
- Vertragliche, gesetzliche oder aufsichtsrechtliche Pflichten
- Für das Risikomanagement innerhalb der Erste Group sowie für das Management von Kreditrisiken, wenn Kreditinstitute innerhalb der Erste Group idente Kund:innen haben
- Sonstige berechtigte Interessen
- Auskunfteien, wie z. B. der Kreditschutzverband von 1870
- Öffentliche Stellen und Einrichtungen und Personen im hoheitlichen Auftrag, wenn wir rechtlich dazu verpflichtet sind oder unsere berechtigten Interessen wahren müssen
Das kann z. B. der Fall sein bei:- Europäische Bankenaufsichtsbehörde
- Europäische Zentralbank
- Finanzmarktaufsicht
- Oesterreichische Nationalbank
- Finanzbehörden usw.
- Auftragsverarbeiter:innen und sonstige Dienstleister:innen, die wir beauftragt haben. Beispiele dafür sind IT, Backoffice, Rechts- und Steuerberatung, Wirtschaftstreuhand- und Inkassounternehmen. Wir dürfen Ihre Daten weitergeben, wenn das für den Auftrag notwendig ist
- Bankprüfer:innen und Jahresabschluss-Prüfer:innen, wenn es für die Prüfung notwendig ist
- Dritte, wenn es für das Einhalten eines Vertrags oder aufgrund von rechtlichen Vorschriften verpflichtend ist. Ein Beispiel dafür ist die Empfänger:in einer Überweisung und ihre Zahlungsdienstleister:in
- Validierungsdienste, die Ihre elektronische Signatur oder Ihr elektronisches Siegel prüfen müssen. So ein Dienst ist z. B. die Rundfunk und Telekom Regulierungs-GmbH
- Vertrauensdiensteanbieter, z. B. A-Trust. Diese schalten wir ein, wenn wir ein Dokument mit Ihren Daten elektronisch unterschreiben
Falls Sie eingewilligt haben, dürfen wir Ihre Daten auch an andere weitergeben.
Hier finden Sie eine Liste mit möglichen Empfänger:innen Ihrer Daten.
Übermitteln Sie meine Daten auch in Länder, die nicht in der EU sind?
Es gibt Fälle, in denen wir Ihre personenbezogenen Daten auch in Länder übermitteln können, die nicht in der EU sind:
- Wenn es erforderlich ist, damit wir Rechtsansprüche geltend machen, ausüben oder verteidigen können. Es kann auch eine Rechtspflicht geben. Das ist z. B. die Aufforderung einer Behörde, wenn es ein Rechtshilfeabkommen gibt
- Wir können Ihre Daten übermitteln, wenn das für einen Vertrag oder die Vorbereitungen für einen Vertrag notwendig ist. Das gilt z. B. für eine Überweisung in ein Land, das nicht in der EU ist
- Unsere Auftrags- und Sub-Auftragsverarbeiter:innen können in Drittländern ansässig sein. Wenn die Übermittlung nicht auf Grundlage eines Beschlusses der Europäischen Kommission zur Angemessenheit erfolgt, übermitteln wir die Daten auf Basis geeigneter oder angemessener Garantien. Auf Anfrage stellen wir Ihnen diese gern zur Verfügung
- Wir informieren Sie extra, wenn wir in anderen Fällen Daten in ein Land übermitteln, das nicht in der EU ist
Hier finden Sie eine Liste mit möglichen Empfänger:innen Ihrer Daten, die in Nicht-EU-Ländern sind.
Wie lange heben Sie meine personenbezogenen Daten auf?
Wir bewahren Ihre personenbezogenen Daten so lange auf, wie es für einen bestimmten Zweck notwendig ist, z. B.:
- Für die Dauer unserer Geschäftsbeziehung
- Für die Dauer eines Gerichtsverfahrens, das gerade läuft
- Solange wir eine Forderung Ihnen gegenüber haben
- Wenn es ein Gesetz verlangt
Auch wenn Sie nicht mehr Kund:in bei uns sind, kann es notwendig sein, dass wir Ihre Daten aufbewahren.
Für die Aufbewahrung von Daten gibt es gesetzliche Bestimmungen. Die wichtigsten Bestimmungen sind:
- Unternehmens-Gesetzbuch § 212
Notwendige Aufbewahrung der Daten: 7 Jahre - Bundesabgabenordnung § 132
Notwendige Aufbewahrung der Daten: 7 Jahre oder die Dauer des Abgabenverfahrens. - Wertpapieraufsichtsgesetz 2018 § 33
Notwendige Aufbewahrung der Daten: 5 Jahre (7 Jahre, wenn es die Finanzmarktaufsicht anordnet) - Finanzmarkt-Geldwäschegesetz § 21
Notwendige Aufbewahrung der Daten: 10 Jahre ab Ende der Geschäftsbeziehung bzw. nach der gelegentlichen Transaktion
In Österreich gelten noch andere Vorschriften zur Aufbewahrung von Daten. Eine Übersicht finden Sie z. B. hier:
https://www.wko.at/service/wirtschaftsrecht-gewerberecht/eu-dsgvo-speicher-und-aufbewahrungsfristen.html
Die Bank darf Ihre Daten auch aufbewahren, wenn es ein berechtigtes Interesse dafür gibt:
- Wir dürfen Finanzierungsanträge jedenfalls bis zu 18 Monate nach Erstellung aufbewahren. Es ist unser berechtigtes Interesse, dass wir den Kundenkontakt dokumentieren. So können wir Ihren Antrag schnell weiterbearbeiten, wenn Sie wieder zu uns kommen
- Wenn Sie den George Store nutzen und den Kauf nicht abschließen, speichern wir Ihre personenbezogenen Daten 60 Tage lang. In dieser Zeit können Sie den Wiederherstellungs-Link verwenden und den Kauf abschließen
- Wenn Sie den George Store nutzen, speichern wir Daten darüber für 60 Tage, z. B. Log-Daten, technische Protokolldaten, Datum und Zeitstempel. Das machen wir, damit wir mögliche Probleme erkennen können, die während des Kaufs auftreten. Wir nutzen diese Daten auch, damit wir Rechte durchsetzen und verteidigen können. Wir heben diese Daten außerdem auf, damit wir Wartungsarbeiten durchführen können
- SWIFT-Nachrichten werden 30 Jahre lang aufbewahrt. Das soll Betrug verhindern und bekämpfen sowie Geldwäsche und Terrorismusfinanzierung verhindern. SWIFT-Nachrichten sind eine sichere Art der Übermittlung, z. B. von Zahlungen
- Wir heben Daten über verkaufte Forderungen 30 Jahre ab dem Verkauf auf. Das berechtigte Interesse der Bank ist es, Einwendungen über den Verkauf zu vermeiden
- Wir können Ihre personenbezogenen Daten auch aufbewahren, wenn wir vergangene Schadensfälle dokumentieren wollen. Wir können die Daten auch verwenden, wenn wir entscheiden, ob wir eine neue Kundenbeziehung eingehen oder eine Kundenbeziehung erweitern wollen:
- 7 Jahre Aufbewahrung:
- Bei einem Schadensfall mit einer Schadenshöhe von höchstens 20.000 Euro
- Wenn die Bank aufgrund von besonderen Umständen kein Interesse an einer Geschäftsbeziehung hat
- 12 Jahre Aufbewahrung:
- Bei einem Schadensfall mit einer Schadenshöhe von mehr als 20.000 Euro
- Wenn während unserer Geschäftsbeziehung Insolvenz über Ihr Vermögen eröffnet wird
- 30 Jahre Aufbewahrung:
- In besonders schwerwiegenden Ausnahmefällen. Hier gibt es eine eingehende Prüfung im Einzelfall
- 7 Jahre Aufbewahrung:
Die Aufbewahrungsfrist beginnt:
- Wenn der Schadensfall abgeschlossen worden ist und es keine Schuld oder Forderungen mehr gibt
- Wenn ein Insolvenzverfahren beendet oder aufgehoben worden ist
Wir müssen die Daten über vergangene Schadensfälle außerdem für Berechnungen aufheben, z. B. für unser Modell zur Berechnung von Zahlungsausfällen. Aber nur wenige Personen können diese Daten einsehen. Kundenbetreuer:innen haben keinen Zugang mehr zu den Daten. Die Daten haben keinen Einfluss auf bestehende oder zukünftige Geschäftsbeziehungen.
Welche Rechte habe ich?
Die DSGVO gibt Ihnen einige Rechte für Ihre personenbezogenen Daten. Sie haben folgende Rechte:
- Sie können Auskunft erhalten (DSGVO, Art. 15)
- Sie können Ihre Daten berichtigen lassen (DSGVO, Art. 16)
- Sie können Ihre Daten löschen lassen (DSGVO, Art. 17)
- Sie können die Verarbeitung Ihrer Daten einschränken lassen (DSGVO, Art. 18)
- Sie können Ihre Daten übertragen lassen (DSGVO, Art. 20)
- Sie können Widerspruch einlegen (DSGVO, Art. 21)
- Sie haben das Recht, dass wir Entscheidungen nicht nur automatisiert treffen (DSGVO, Art. 22)
Was bedeutet das Recht auf Auskunft?
Sie haben das Recht, eine Bestätigung darüber zu verlangen, ob wir Ihre personenbezogenen Daten verarbeiten. Ist dies der Fall, haben Sie auch das Recht auf Auskunft über diese personenbezogenen Daten und auf die folgenden Informationen:
- Verarbeitungszwecke
- Kategorien der personenbezogenen Daten, die verarbeitet werden
- Empfänger:innen oder Kategorien von Empfänger:innen, gegenüber denen die personenbezogenen Daten offengelegt worden sind oder noch offengelegt werden, insbesondere bei Empfänger:innen in Drittländern oder bei internationalen Organisationen
- Falls möglich, die geplante Dauer, für die die personenbezogenen Daten gespeichert werden, oder, falls dies nicht möglich ist, die Kriterien für die Festlegung dieser Dauer
- Das Bestehen des Rechts auf Berichtigen oder Löschen der Sie betreffenden personenbezogenen Daten; Einschränkung oder Widerspruch gegen diese Verarbeitung
- Beschwerderecht bei einer Aufsichtsbehörde
- Alle verfügbaren Informationen über die Herkunft der personenbezogenen Daten, wenn die Daten nicht bei der betroffenen Person erhoben werden
- Ob eine automatisierte Entscheidungsfindung einschließlich Profiling besteht, gemäß Artikel 22 Absätze 1 und 4 DSGVO und – zumindest in diesen Fällen –aussagekräftige Informationen über Logik, Tragweite und Auswirkungen einer derartigen Verarbeitung für die betroffene Person
Wie Sie Ihr Recht genau geltend machen können, finden Sie hier.
Was bedeutet das Recht auf Berichtigung?
Uns ist wichtig, dass Ihre Daten stets richtig und vollständig sind. Wenn Sie vermuten, dass sie unrichtig oder unvollständig sind, können Sie beantragen, dass die Daten berichtigt oder vervollständigt werden. Wie Sie Ihr Recht geltend machen können, finden Sie hier.
Was bedeuten das „Recht auf Löschung“ und das „Recht auf Vergessenwerden“?
Wir legen großen Wert darauf, dass Ihre Daten nur innerhalb der Rahmenbedingungen der DSGVO und des DSG verarbeitet werden. Sollten Sie dennoch der begründeten Ansicht sein, dass dies nicht der Fall ist, können Sie das Löschen Ihrer personenbezogenen Daten beantragen. Die Gründe dafür können sein:
- Die personenbezogenen Daten sind für die Zwecke, für die sie erhoben oder auf sonstige Weise verarbeitet wurden, nicht mehr notwendig.
Beispiel: Ihre personenbezogenen Daten müssen gelöscht werden, wenn diese ausschließlich für die Abwicklung eines Kaufs erhoben wurden (= einziger Zweck) und Sie nicht eingewilligt haben, dass diese Daten für andere Zwecke verarbeitet werden. In diesem Fall ist es nach Abschluss des Kaufs und nach Ablauf einer Aufbewahrungsfrist nicht mehr notwendig, die Daten weiterzuverarbeiten. Die möglichen Aufbewahrungsfristen finden Sie hier.
- Sie widerrufen Ihre Einwilligung, auf die sich die Verarbeitung stützte, nach Artikel 6 Absatz 1 Buchstabe a DSGVO oder Artikel 9 Absatz 2 Buchstabe a DSGVO, und es fehlt an einer anderweitigen Rechtsgrundlage für die Verarbeitung.
Beispiel: Sie haben eingewilligt, dass Ihre personenbezogenen Daten für individuelle Produktangebote eines Drittanbieters verarbeitet werden dürfen (= einziger Zweck). Sobald Sie diese Einwilligung widerrufen, müssen die personenbezogenen Daten wieder gelöscht werden. Ausnahmen: Andere Zwecke oder Rechtfertigungen für die Verarbeitung liegen vor und Sie stehen zum Beispiel auch in einer Kundenbeziehung zum Drittanbieter.
- Sie legen Widerspruch gegen die Verarbeitung ein, nach Artikel 21 Absatz 1 DSGVO, und es liegen keine vorrangigen berechtigten Gründe für das Verarbeiten vor.
Beispiel: Sie können Widerspruch einlegen, wenn zum Beispiel jemand Ihre personenbezogenen Daten ohne Ihre Einwilligung verarbeitet, nur weil er meint, ein berechtigtes Interesse daran zu haben (und es auch sonst keine Rechtfertigung gibt). Wenn Sie dem widersprechen und es tatsächlich kein berechtigtes Interesse gab, müssen die personenbezogenen Daten gelöscht werden. Der Widerspruch war erfolgreich.
- Die personenbezogenen Daten wurden unrechtmäßig verarbeitet.
Unrechtmäßig („grundlos“) verarbeitete personenbezogene Daten müssen gelöscht werden.
- Die Löschung der personenbezogenen Daten unterliegt einer rechtlichen Verpflichtung nach dem EU-Recht oder dem Recht der Mitgliedstaaten der Verantwortlichen.
Damit sind Gesetze oder andere Rechtsvorschriften gemeint, die eine Löschung von personenbezogenen Daten verlangen.
- Die personenbezogenen Daten wurden in Bezug auf angebotene Dienste der Informationsgesellschaft gemäß Artikel 8 Absatz 1 DSGVO erhoben.
Hierbei handelt es sich um eine besondere Schutzregel zugunsten Minderjähriger, die online Dienstleistungen in Anspruch nehmen.
Das war das Recht auf Löschung, kurz zusammengefasst. Dieses ist nicht mit dem „Recht auf Vergessenwerden“ zu verwechseln.
Das „Recht auf Vergessenwerden“ bezieht sich auf öffentlich gemachte personenbezogene Daten. Es besagt Folgendes: Muss die Person, die die Daten ursprünglich veröffentlicht hat, diese Daten löschen (weil einer der oben genannten Löschungsgründe vorliegt), dann muss sie zusätzlich auch jene Personen davon verständigen, welche die Daten aufgrund der Veröffentlichung erhalten haben. Im Detail ist diese Regel recht kompliziert. Die DSGVO bezieht sich dabei besonders auf Internet-Suchmaschinen.
Wie Sie Ihr Recht auf Löschung und Vergessenwerden geltend machen können, finden Sie hier.
Was bedeutet das Recht auf Einschränkung der Verarbeitung?
Wir legen hohen Wert darauf, dass wir Ihre Daten stets innerhalb der Rahmenbedingungen der DSGVO und des DSG verarbeiten. Sollten Sie dennoch der Ansicht sein, dass dies nicht der Fall ist, haben Sie das Recht, die Einschränkung der Verarbeitung Ihrer personenbezogenen Daten zu verlangen. Allerdings gilt dies nur unter folgenden berechtigten Gründen:
- Sie bestreiten die Richtigkeit Ihrer personenbezogenen Daten. Für die Dauer, die es den Verantwortlichen ermöglicht, die Richtigkeit der personenbezogenen Daten zu überprüfen, können Sie verlangen, dass die Bearbeitung eingeschränkt wird.
Nicht immer ist man einer Meinung. Damit aber die strittigen personenbezogenen Daten nicht sofort gelöscht oder geändert werden müssen, kann für die Dauer der Angelegenheit eine weitere Verarbeitung eingeschränkt werden. Vielleicht stellt sich ja heraus, dass die Daten doch richtig waren.
- Die Verarbeitung personenbezogener Daten ist unrechtmäßig. Anstelle der Löschung möchten Sie aber, dass „nur“ die Nutzung der personenbezogenen Daten eingeschränkt wird.
Die DSGVO gibt Ihnen also ein Wahlrecht: Wenn Sie nicht möchten, dass unrechtmäßig verarbeitete Daten gleich gelöscht werden, dann können Sie verlangen, dass sie zwar weiter gespeichert, aber nicht mehr genutzt werden.
- Die Verantwortlichen benötigen Ihre personenbezogenen Daten nicht mehr für die Verarbeitung. Sie benötigen die Daten jedoch zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen.
Wenn Ihre personenbezogenen Daten eigentlich gelöscht werden müssten, Sie diese aber zu Ihrer eigenen Verteidigung oder Rechtedurchsetzung benötigen, können sie für diese Zwecke weiterverarbeitet werden.
- Sie haben Widerspruch gegen die Verarbeitung gemäß Artikel 21 Absatz 1 DSGVO eingelegt. Solange noch nicht feststeht, ob die berechtigten Gründe des Verantwortlichen gegenüber Ihren Interessen überwiegen, kann die Einschränkung der Verarbeitung verlangt werden.
Damit strittige personenbezogene Daten nicht sofort gelöscht werden müssen, kann für die Dauer der Angelegenheit die weitere Verarbeitung eingeschränkt werden. Vielleicht stellt sich ja heraus, dass die Verarbeitung doch berechtigt war.
Wie Sie Ihr Recht auf Einschränkung der Verarbeitung geltend machen können, finden Sie hier.
Was bedeutet das Recht auf Datenübertragbarkeit?
Ihre personenbezogenen Daten gehören Ihnen. Sie haben daher das Recht, diese Daten in einem strukturierten, gängigen und maschinenlesbaren Format zu erhalten. Das betrifft Daten, die Sie uns bereitgestellt haben und die aufgrund Ihrer Einwilligung oder aufgrund einer Vertragserfüllung automatisiert verarbeitet werden. Sie können auch verlangen, dass wir diese personenbezogenen Daten gleich direkt an einen anderen Verantwortlichen übermitteln.
- In welcher Form erhalte ich die Daten?
Wir stellen Ihnen die Daten in einem gängigen maschinenlesbaren Format zur Verfügung. Wie Sie Ihr Recht geltend machen können, finden Sie hier.
- Welche wichtigen Sicherheitshinweise sollte ich beachten?
Ihnen ist der Schutz Ihrer personenbezogenen Daten und Ihres Geldes sicher genauso wichtig wie uns. Betrachten Sie Ihr Recht auf Datenübertragbarkeit daher bitte wie einen Kontoauszug. Würden Sie diesen auch „einfach so“ an jemand anderen schicken?
Bitte denken Sie auch daran, dass Ihre Finanzdaten personenbezogene Daten anderer Personen enthalten: Wenn Sie jemandem Geld überwiesen haben, ist dies ebenfalls in den übertragenen Daten ersichtlich – genauso wie auf einem Kontoauszug. Auch diese Personen haben Rechte und Freiheiten. Wir werden anderen Personen als Ihnen die Daten daher nur dann direkt übermitteln,
- wenn Sie uns ausdrücklich damit beauftragen,
- wenn Sie uns vom Bankgeheimnis entbinden und
- wenn es sich bei der Empfänger:in um andere Finanzunternehmen, Anwaltskanzleien, Notariate, Steuerberatungen bzw. Wirtschaftstreuhänder:innen oder eine staatliche Behörde handelt.
Bitte wenden Sie sich vorab an uns, wenn Sie Ihre Daten an Dritte übertragen möchten, damit wir alle Details klären können. Bitte beachten Sie auch die aktuellen Sicherheitshinweise unter https://www.sparkasse.at/sicherheitscenter/sicherheit.
Unser Tipp: Sie können übrigens jederzeit in George Ihre Transaktionsdaten z. B. von Konten, Kreditkarten, Finanzierungen oder Wertpapierdepots einsehen und selbstständig speichern. So haben Sie immer einen aktuellen Überblick.
Was bedeutet das Recht auf Widerspruch?
Ihre Daten dürfen verarbeitet werden, wenn ein berechtigtes Interesse dazu besteht.
Wird ein solches berechtigtes Interesse behauptet, müssen Sie darüber informiert werden. Sind Sie dann der Ansicht, dass das berechtigte Interesse nicht besteht, können Sie dagegen Widerspruch einlegen. Das gilt insbesondere dann, wenn Ihre personenbezogenen Daten für Direktwerbung genutzt werden. Sofern Verantwortliche keine schutzwürdigen Gründe für die weitere Verarbeitung nachweisen können, dürfen Ihre personenbezogenen Daten nach dem Widerspruch nicht weiter verarbeitet werden.
Wie Sie Ihr Recht auf Widerspruch geltend machen können, finden Sie hier.
Was bedeutet das Recht, nicht einer ausschließlich auf einer automatisierten Verarbeitung – einschließlich Profiling – beruhenden Entscheidung unterworfen zu werden?
Wenn wir automatisierte Entscheidungsfindungen nach Art 22 DSGVO nutzen, werden Sie darüber gesondert vorab informiert. In solchen Fällen haben Sie dann das Recht zu verlangen, dass das Ergebnis der automatisierten Verarbeitung von einem Menschen überprüft wird, Sie Ihren eigenen Standpunkt darlegen können und die automatisiert getroffene Entscheidung anfechtbar ist.
Sie können Sie mit uns Kontakt aufnehmen, egal, welches Recht Sie ausüben wollen. Das können Sie auf eine der folgenden 6 Arten:
- Per Nachricht in George Hier geht es am schnellsten. Wenn Sie zwischen Themen auswählen können, klicken Sie auf „Datenschutz Grundverordnung/DSGVO“. Schreiben Sie sonst einfach „Datenschutz“ in den Betreff Ihrer Nachricht
- Über unser Webformular zur Einmeldung von Betroffenenrechten
- Im Zusammenhang mit der Verdachtsdatenbank (VDB) über unser Webformular Verdachtsdatenbank
- Per E-Mail, idealerweise mit einer qualifizierten elektronischen Signatur an DSGVO-Support@erstegroup.com
- Per Brief, bitte eigenhändig unterschrieben und mit Ausweiskopie an
Erste Group Bank AG
0196 1905/AT Data Privacy Security Management
Am Belvedere 1
1100 Wien - Persönlich in einer Filiale der Bank
Bitte haben Sie Verständnis dafür, dass wir in Zweifelsfällen weitere Angaben zu Ihrer Person verlangen. Das ist auch zu Ihrem Schutz. Wir wollen sicherstellen, dass nur Berechtigte Ihre Daten sehen können.
Bitte verfassen Sie Ihr Anliegen so konkret wie möglich – so können wir es rasch bearbeiten. Bitte beachten Sie die besonderen Hinweise für Ihr Recht auf Datenübertragbarkeit.
Wie lange dauert es, bis mein Antrag bearbeitet ist?
Wir werden Ihnen unverzüglich, jedenfalls aber innerhalb eines Monats nach Eingang Ihres Antrags, die entsprechenden Informationen über die Maßnahmen zur Verfügung stellen.
Die Frist kann um weitere 2 Monate verlängert werden, wenn das aufgrund der Komplexität und der Anzahl der Anträge erforderlich ist. Wir informieren Sie aber jedenfalls innerhalb eines Monats nach Eingang Ihres Antrags über eine mögliche Fristverlängerung und die Gründe dafür.
Wie wird mein Antrag bearbeitet?
Geldangelegenheiten sind Vertrauenssache – E-Mails aber leider nicht immer vertrauenswürdig. E-Mails sind von der Sicherheit eher mit einer Postkarte als mit einem Brief vergleichbar. Da wir Ihre Bankdaten nicht auf einer Postkarte schicken möchten, werden wir Ihnen die Auskunft je nach Ihrem Wunsch per Post, s Kontakt oder s Box (das ist ein bankeigener Online-Datenspeicher) zukommen lassen.
Bitte beachten Sie auch immer die Sicherheitshinweise unter https://www.sparkasse.at/sicherheitscenter/wichtige-sicherheitstipps.
Was sollte ich beim Recht auf Datenübertragbarkeit beachten?
- Bitte denken Sie daran, dass Ihre Finanzdaten personenbezogene Daten anderer Personen enthalten: Wenn Sie Verwandten oder Bekannten Geld überweisen, dann ist dies ebenfalls in den übertragenen Daten ersichtlich – genauso wie auf einem Kontoauszug.
- Wir übermitteln die Daten nur dann direkt an andere, wenn Sie
- uns ausdrücklich dazu beauftragen,
- uns vom Bankgeheimnis entbinden, und
- wenn es sich um Finanzdienstleistungsunternehmen, Anwaltskanzleien, Notariate, Steuerberatungen, Wirtschaftstreuhänder:innen oder eine staatliche Behörde handelt. Bitte wenden Sie sich vorab an uns, wenn Sie Ihre Daten an Dritte übertragen möchten, damit wir alle Details klären können.
Unser Tipp: Sie können übrigens jederzeit in George Ihre Transaktionsdaten z. B. von Konten, Kreditkarten, Finanzierungen oder Wertpapierdepots einsehen und selbstständig speichern. So haben Sie immer einen aktuellen Überblick.
Kostet es mich etwas, wenn ich meine Rechte geltend mache?
Nein, die Anträge werden unentgeltlich erledigt. Ausnahme: Wenn die Anträge offenkundig unbegründet oder exzessiv gestellt werden, sind wir berechtigt, ein angemessenes Entgelt zu verlangen. Damit werden die Verwaltungskosten für die Mitteilung, Weigerung oder Durchführung der beantragten Maßnahme berücksichtigt.
Gibt es Beschwerdemöglichkeiten?
Bei allen Beschwerden, Fragen und Anregungen zum Thema Datenschutz steht Ihnen gern unser Datenschutzbeauftragter zur Verfügung. Wir sind überzeugt, dass sich zu fast jedem Problem eine gemeinsame Lösung finden lässt.
Sie können auch Beschwerde einlegen, z. B.
- weil Sie nicht rechtzeitig eine Antwort auf einen Antrag erhalten,
- weil Sie der Ansicht sind, dass wir Ihrem Antrag nicht gesetzmäßig nachgekommen sind,
- weil Sie glauben, dass wir Ihr Recht auf Datenschutz verletzen.
Hier können Sie sich beschweren:
Österreichische Datenschutzbehörde
Barichgasse 40-42
1030 Wien
Österreich
Darüber hinaus hat jede Person, der wegen eines Verstoßes gegen die DSGVO oder gegen § 1 oder Artikel 2 1. Hauptstück des DSG ein materieller oder immaterieller Schaden entstanden ist, Anspruch auf Schadenersatz gegen Verantwortliche oder Auftragsverarbeitende nach Artikel 82 DSGVO. Im Einzelnen gelten dafür die allgemeinen Bestimmungen des bürgerlichen Rechts. Bitte beachten Sie, dass für Schadenersatzansprüche nicht die Österreichische Datenschutzbehörde zuständig ist, sondern das in bürgerlichen Rechtssachen betraute, lokale Landesgericht Ihres Sprengels. Anträge und Klagen können aber auch bei dem Landesgericht erhoben werden, in dessen Sprengel der Beklagte seinen gewöhnlichen Aufenthalt, Sitz oder eine Niederlassung hat. Welches Gericht zuständig ist, finden Sie hier: https://www.justiz.gv.at/
Stand Oktober 2025
Manchmal sind wir nicht allein, sondern gemeinsam mit anderen für eine Datenverarbeitung verantwortlich. Das Gesetz schreibt vor, dass darüber eine besondere Vereinbarung abgeschlossen werden muss. Die wesentlichen Inhalte davon müssen wir den betroffenen Personen zur Verfügung stellen. Dies geschieht in diesem Abschnitt:
Webseite „sparkasse.at“
Wenn wir auf den Speicher Ihres Internet-Browsers zugreifen und dort "Identifier" ablegen (etwa Cookies), gilt das für alle Webseiten des Onlineauftritts unter der Adresse „sparkasse.at“. Hier besteht eine sogenannte „gemeinsame Verantwortlichkeit“ zwischen den Instituten der Sparkassengruppe (Artikel 26 Datenschutz-Grundverordnung).
Das bedeutet, dass wir die folgenden Tätigkeiten für alle Sparkassen-Institute durchführen:
- Technisch und rechtlich notwendige Verarbeitungen für den Betrieb der Webauftritte
- Bei Vorliegen Ihrer Einwilligung
- Statistik (Nutzerverhalten auf den Webauftritten und Reichweitenmessung von Werbung);
- Personalisierte Werbung samt Optimierung (Personalisierte Inhalte auf der Webseite sowie in Werbeformaten basierend auf Ihrem Nutzungsverhalten, anbieterübergreifendes Ausspielen von Werbung und Erfolgsmessung);
- Online Verkauf von Services und Produkten (Digital Sales).
Gut zu wissen: Die gemeinsame Verantwortlichkeit bezieht sich nur auf Online-Identifier (etwa Cookie-IDs). Ihre reale Identität wird nicht zwischen den Instituten der Sparkassen-Gruppe offengelegt. Das Bankgeheimnis bleibt selbstverständlich gewahrt.
Sie haben Fragen dazu? Als gemeinsame Anlaufstelle können sich alle Nutzer:innen unserer Webseiten an die Erste Group Bank AG wenden:
Erste Group Bank AG
0196 1905/AT Data Privacy Security Management
Am Belvedere 1
1100 Wien
E-Mail: DSGVO-Support@erstegroup.com
Am schnellsten geht es über s Kontakt-Nachricht in George: Dort können Sie zwischen Themen auswählen. Klicken Sie da einfach auf „Datenschutz Grundverordnung / DSGVO“ und schon können Sie uns schreiben. Sonst schreiben Sie einfach eine normale Nachricht mit „Datenschutz“ im Betreff.
Weitere Informationen zum Datenschutz finden Sie in der Datenschutz-Information Ihres Instituts oder der jeweiligen Sparkasse, auf deren Webseite Sie sich befinden.
Adform A/S
Adform A/S, Central Business Register (CVR) Nr. 26434815, Silkegade 3b, stuen & 1. sal ("Adform") verwendet Tracking-Technologien auf den Websites der Erste Bank und Sparkassen und den dazugehörigen Subdomains.
Das Adform-Cookie wird auf Ihrem Gerät als Endnutzer platziert, nachdem Sie Ihre Zustimmung gegeben haben. Ein Adform-Cookie wird auch gesetzt, wenn Sie die Werbung der Erste Bank und Sparkassen auf einer anderen Website ansehen und Sie den Cookies auf dieser Website zugestimmt haben.
Adform-Cookie-ID
Die rechtliche Grundlage für die Platzierung von Adform-Cookies ist Ihre Einwilligung. Personenbezogene Daten werden zu Analysezwecken und zur Optimierung von Werbekampagnen, ID-Matching für die Kunden von Adform, einschließlich Erste Bank und Sparkassen, gesammelt.
Der Adform-Cookie sammelt die folgenden personenbezogenen Daten: Cookie-ID, Gerätetyp/ID, Zeitpunkt des Anklickens der Website oder des Werbemediums, die URL der Website oder des Werbemediums, automatisch von Ihrem Gerät gesendete Informationen (einschließlich Spracheinstellung, IP-Adresse, demografische Daten).
Kunde 1st party IDs
Die Rechtsgrundlage für den Erhalt der sogenannten „1st Party-ID“ durch Erste Bank und Sparkassen durch Adform ist Ihre Einwilligung. Personenbezogene Daten werden von Erste Bank und Sparkassen gesammelt und dann an Adform weitergegeben, um Werbekampagnen zu optimieren und personalisierte Werbung zu liefern.
Die folgenden Daten werden zusammen mit der „1st Party-ID“ verarbeitet: Gerätetyp/ID, Zeitpunkt des Anklickens der Website oder des Werbemediums, die URL der Website oder des Werbemediums, automatisch von Ihrem Gerät gesendete Informationen (einschließlich Spracheinstellung, IP-Adresse, demografische Daten).
Gemeinsame Verantwortlichkeit
Erste Bank und Sparkassen und Adform sind gemeinsam für die Erhebung und Übermittlung Ihrer personenbezogenen Daten an Adform über das Adform-Cookie und für bestimmte Verarbeitungen der „1st Party-ID“ im Zusammenhang mit personalisierter Werbung verantwortlich (siehe die Beschreibung oben). Gemäß der zwischen den Parteien unterzeichneten Vereinbarung sind beide Parteien für die Umsetzung Ihrer Datenschutzrechte verantwortlich. Um Ihre Rechte auszuüben, können Sie Adform unter folgendem Link und für Erste Bank und Sparkasse hier kontaktieren. Sie können Ihre Einwilligung jederzeit widerrufen, indem Sie dies unter diesem Link tun.
Wenn Adform die Daten für eigene Zwecke verarbeitet, ist Adform ein Datenverantwortlicher und allein für die Optimierung von Werbekampagnen und Zielgruppen verantwortlich. Adform analysiert die über Cookies gesammelten Daten, um gezielte Werbeeinkäufe im Namen von Adforms Kunden (einschließlich Erste Bank und Sparkassen) zu tätigen, wie in der Datenschutzrichtlinie von Adform beschrieben. Klicken Sie hier, um weitere Informationen über die Verarbeitung durch Adform zu erhalten.
Das Adform-Cookie, das in Ihrem Browser platziert wird, wird nach 60 Tagen gelöscht. Wenn Sie jedoch Ihre Zustimmung widerrufen, werden keine Daten von Adform gesammelt, obwohl ein Cookie auf Ihrem Gerät platziert ist. Die gleiche Datenspeicherung gilt für die 1st Party ID, die Erste Bank und Sparkassen mit Adform teilt oder die Adform auf den digitalen Plattformen der Erste Bank und Sparkassen sammelt.
Visa
1. Visa Account Updater
Bei Erneuerung Ihrer Kreditkarte wird das neue Ablaufdatum automatisch an die Händler:innen übermittelt, bei denen Sie Ihre Kartendaten gespeichert haben. Davon ausgenommen ist der Austausch der Karte nach einem Diebstahl, Verlust oder technischen Defekt. Die Weiterleitung des neuen Ablaufdatums soll Ablehnungen von Zahlungsaufträgen durch das erneuerte Ablaufdatum verhindern.
2. Visa Delegated Authentication
Wichtig, wenn Sie Ihre Kartendaten mit einer erfolgreichen „starken Kundenauthentifizierung“ bei einer Händler:in hinterlegen (= Kartendaten speichern):
Sind Händler:innen in der Lage, selbstständig eine „starke Kundenauthentifizierung“ durchzuführen, können Sie bei weiteren Bezahlungen mit dieser Karte technisch darauf verweisen.
Die Händler:in hat und speichert die Information, dass eine „starke Kundenauthentifizierung“ stattgefunden hat. Die Händler:in speichert aber nicht die Information, welche Daten dafür verwendet wurden.
3. Visa Resolve Online
Wenn Sie einen Umsatz reklamieren, werden Kunden- und Transaktionsdaten gespeichert. Ihre Reklamation wird dann von einem Schiedsgericht (Arbitrationsverfahren) zwischen Ihnen und der Händler:in geklärt.
Bei diesen Services (zusammengefasst unter Visa 1.-3.) arbeiten diese Unternehmen eng zusammen.
Visa Europe Limited
1 Sheldon Square
London, W2 6TT, Vereinigtes Königreich
(kurz Visa)
und
Erste Bank der oesterreichischen Sparkassen AG,
Am Belvedere 1
1100 Wien
(kurz Erste Bank)
Die Zusammenarbeit betrifft auch die Verarbeitung Ihrer personenbezogenen Daten. Visa und Erste Bank sind daher für den Schutz Ihrer personenbezogenen Daten ausschließlich im Rahmen des Services zur Kartenaktualisierung gemeinsam Verantwortliche im Sinne des Art. 26 DSGVO.
Im Rahmen dieser Zusammenarbeit haben Visa und Erste Bank nach dem Artikel 26 DSGVO vertraglich vereinbart, wer von ihnen welche Pflichten nach der DSGVO erfüllt. Dies betrifft insbesondere die Pflicht, die Rechte der betroffenen Personen wahrzunehmen und die Informationspflichten zu erfüllen, siehe Artikel 13 und 14 DSGVO.
Auch wenn eine gemeinsame Verantwortlichkeit besteht, erfüllen die Unternehmen die datenschutzrechtlichen Pflichten entsprechend ihrer jeweiligen Zuständigkeiten für die einzelnen Prozessabschnitte folgendermaßen:
- Erste Bank ist dafür zuständig, personenbezogene Daten zu erheben und diese im Rahmen des Kartenaktualisierungsservice an Visa zu übermitteln.
- Visa ist zuständig für die Verarbeitung der personenbezogenen Daten in den Visa Systemen, konkret die Aktualisierung der Daten, und dafür, dass Zahlungsdienstleister für die Zahlungsabwicklung im Hintergrund Daten abfragen können.
- Erste Bank macht den betroffenen Personen die gemäß Art. 13 und 14 DS-GVO erforderlichen Informationen in präziser, transparenter, verständlicher und leicht zugänglicher Form in einer klaren und einfachen Sprache unentgeltlich zugänglich.
Diese finden sie hier: https://www.erstebank.at/datenschutz
Visa stellt die relevanten Informationen unter https://www.visa.de/nutzungsbedingungen/visa-privacy-center.html zur Verfügung.
Sie können als betroffene Person Ihre Rechte bei der Erste Bank als Anlaufstelle geltend machen. Sie erhalten die Auskunft grundsätzlich von der Erste Bank. Beide Unternehmen informieren sich anlassbezogen gegenseitig über geltend gemachte Rechte. Beide Unternehmen stellen einander sämtliche notwendigen Informationen zur Verfügung, damit Ihre Anfrage beantwortet werden kann.
Mittels Cookies analysieren wir die Zugriffe auf unsere Website und erstellen Inhalte und Angebote, die Ihren Bedürfnissen entsprechen. Sie können Ihren Browser so einstellen, dass vor dem Verwenden eines Cookies Ihre Zustimmung eingeholt werden muss oder das Verwenden von Cookies generell blockiert wird. Auf unserer Seite "Datenverarbeitung bei Online-Diensten" finden Sie weitere Informationen und die Möglichkeit, der Verwendung von Cookies zu widersprechen.
Wir setzen Videoüberwachung in vielen unsere Bereiche ein, um eine erhöhte Sicherheit zu gewährleisten. Diese Bereiche sind entsprechend gekennzeichnet.
Für diese Zwecke erfolgt die Videoüberwachung:
- Um unser Hausrecht durchzusetzen und zur Prävention von Angriffen
- Schutz von Kund:innen, Mitarbeiter:innen und Eigentum der Bank
- Um Rechtsansprüche durchzusetzen und abzuwehren
- Um Beweise bei Straftaten zu sammeln
- Für Nachweise von Verfügungen und Einzahlungen (bei Geldautomaten und in Filialen)
Speicherdauer der Videoaufzeichnung:
- Wir speichern die Aufzeichnungen für 90 Tage und löschen sie anschließend.
- Eine längere Speicherung ist möglich, wenn es erforderlich ist, z. B. ein Verfahren läuft (im Falle eines Betrugverdachts)
Für die Videoüberwachung verantwortlich ist:
Erste Bank der oesterreichischen Sparkassen AG
Am Belvedere 1
1100 Wien
Kontakt für Anfragen zum Datenschutz:
Erste Group Bank AG
0196 1905/AT Data Privacy Security Management
Am Belvedere 1
1100 Wien
E-Mail: DSGVO-Support@erstegroup.com
Die mit Datenschutz beauftragte Person erreichen Sie unter:
Erste Group Bank AG
0196 0358/Data Protection Office
Am Belvedere 1
1100 Wien
E-Mail: datenschutz@erstegroup.com