Die DKB AG verarbeitet personenbezogene Daten ausschließlich auf Grundlage der Datenschutz-Grundverordnung (DS-GVO) bzw. des neuen Bundesdatenschutzgesetzes (BDSG).
Personenbezogene Daten sind z. B. Name, Adresse, Telefonnummer, Geburtsdatum und andere für die Abwicklung der Geschäftsbeziehung erforderliche Daten.
Der Nutzer ist berechtigt, besondere personenbezogene Daten gemäß Art. 9 Abs. 1 DS-GVO wie Angaben über die ethnische Herkunft und die Nationalität, politische Meinungen, religiöse oder philosophische Überzeugungen, Gewerkschaftszugehörigkeit, Gesundheit oder Sexualleben, auf den uns einzureichenden Unterlagen (z. B. im Verwendungszweck und Empfängerkonto/-name auf Kontoauszügen) unkenntlich zu machen.
Das Verarbeiten von Daten umfasst jeden mit oder ohne Hilfe automatisierter Verfahren ausgeführten Vorgang oder jede solche Vorgangsreihe im Zusammenhang mit personenbezogenen Daten wie das Erheben, das Erfassen, die Organisation, das Ordnen, die Speicherung, die Anpassung oder Veränderung, das Auslesen, das Abfragen, die Verwendung, die Offenlegung durch Übermittlung, Verbreitung oder eine andere Form der Bereitstellung, den Abgleich oder die Verknüpfung, die Einschränkung, das Löschen oder die Vernichtung
Die DKB AG beschränkt die Verarbeitung personenbezogener Daten auf ein Minimum, das notwendig ist zur Anbahnung oder zur Abwicklung der Geschäftsbeziehung mit dem Nutzer oder zur Durchführung der vom Nutzer gewünschten Dienstleistung.
Die DKB AG verarbeitet personenbezogene Daten darüber hinaus nur im Falle eines datenschutzrechtlichen Erlaubnistatbestandes, einer gesetzlichen Verpflichtung oder auf Grundlage einer ausdrücklichen Einwilligung.
Weitere Darstellungen zum Umgang mit personenbezogenen Daten gibt es auch in den Informationen nach Art. 13, 14 und 21 DS-GVO.
Wenn uns eine Anfrage über unser Kontaktformular zugesandt wird, verarbeitet die DKB AG die dort eingetragenen Kontaktdaten, mitgeteilten Informationen und die in den angehängten Dateien enthaltenen personenbezogenen Daten zum Zwecke der Bearbeitung der Anfrage.
Die Verarbeitung erfolgt zur Wahrung der berechtigten Interessen der DKB AG (Art. 6 Abs. 1 f ) DS-GVO), um dem Webseitenbesucher eine weitere Möglichkeit der sicheren Kontaktaufnahme, der verschlüsselten Datenübertragung und damit einen weiteren Service zu bieten.
Die Daten werden nur solange gespeichert, wie sie für die Zweckerfüllung erforderlich sind.
Mit Wirkung zum 30.11.2016 wurde der „DKB-Club“ eingestellt. Mit der Abwicklung des Bonusprogramm „DKB-Club“ ist die DKB Service GmbH beauftragt, die auch ursprünglich Betreiberin des DKB-Club war. Sofern es für die Einlösung von DKB-Punkten in Prämien und für den Versand von Prämien notwendig ist, werden Daten (Name, Vorname, Postanschrift, Geburtsdatum) des Nutzers (ehemals DKB-Club-Teilnehmer) an die DKB Service GmbH übermittelt, wenn der Nutzer dazu bei der Anmeldung zum DKB-Club seine Einwilligung erklärt hat.
Sie haben das Recht auf Auskunft nach Art. 15 DSGVO, das Recht auf Berichtigung nach Art. 16 DSGVO, das Recht auf Löschung nach Art. 17 DSGVO, das Recht auf Einschränkung der Verarbeitung nach Art. 18 DSGVO, das Recht auf Datenübertragbarkeit aus Art. 20 DSGVO sowie das Recht, aus Gründen, die sich aus Ihrer besonderen Situation ergeben, jederzeit gegen die Verarbeitung Sie betreffender personenbezogener Daten, die aufgrund von Artikel 6 Abs. 1 Buchst. f der DS-GVO (Datenverarbeitung auf der Grundlage einer Interessenabwägung) erfolgt, Widerspruch einzulegen.
Nähere Angaben zum Widerspruchsrecht entnehmen Sie bitte den Informationen nach Art. 13, 14 und 21 DS-GVO.
Umfassende Informationen zu diesen Themen dokumentieren wir auf der folgenden Seite: Einsatz von Cookies und Technologien zur Webanalyse.
Die Übertragung aller in der Internetpräsenz der DKB AG eingegebenen Daten erfolgt über eine SSL-Verschlüsselung, um diese vor dem Missbrauch durch Dritte zu schützen.
Die DKB arbeitet mit spezialisierten IT-Sicherheitsunternehmen zusammen, um die Verfügbarkeit ihrer Services sicherzustellen. Selbstverständlich sind diese Dienstleister vertraglich verpflichtet, sich an die EU-Datenschutzregelungen / DS-GVO zu halten. Auch greifen wir nur auf Unternehmen zurück, die vom Bundesamt für Sicherheit in der Informationstechnik (BSI) als ausgewählte und geprüfte Anbieter zum Schutz vor Cyberangriffen gelistet sind.
Weitere Informationen zum Thema Sicherheit finden Sie hier.
Auf unserer Homepage befinden sich Links, die auf die Internetseiten Dritter verweisen. Die hier gegebenen Datenschutzhinweise gelten dort nicht. Der Nutzer wird gebeten, die dort zu findenden Datenschutzhinweise zu lesen.
Nachfolgende Auskunfteien können von der DKB AG zu Zwecken der Bonitätsprüfung herangezogen werden:
SCHUFA Holding AG, infoscore Consumer Data GmbH, Verband der Vereine Creditreform e.V.
Weitere Ausführungen zu den Auskunfteien gibt es auch in den jeweiligen Informationen nach Art. 13, 14 und 21 DS-GVO der SCHUFA, der infoscore Consumer Data GmbH sowie des Verband der Vereine Creditreform e.V.
Allgemeine Hinweise zu Social-Media-Präsenzen
Die DKB AG betreibt Präsenzen auf verschiedenen Social-Media-Plattformen ("Social-Media-Präsenzen"). Nutzer*innen können unsere Social-Media-Präsenzen besuchen und sich über uns und unsere Produkte informieren sowie unterschiedliche Funktionen nutzen (z.B. Social-Media-Präsenzen "liken" oder direkt mit uns über Nachrichten kommunizieren).
Wenn Nutzer*innen die Social-Media-Präsenzen der DKB AG besuchen, befinden sie sich auf der jeweiligen Social-Media-Plattform (siehe dazu die untenstehende Übersicht). Der jeweilige Anbieter der Social-Media-Plattform ist Verantwortlicher im Sinne von Art. 4 Nr. 7 DSGVO für den Betrieb des Social-Media-Plattform. Aus der Übersicht unten ergibt sich, welches Unternehmen Anbieter für welche Social-Media-Plattform ist. Die Verarbeitung Ihrer personenbezogenen Daten durch die jeweiligen Anbieter ist uns im Einzelnen nicht bekannt und wir haben hierauf keinen Einfluss. Nähere Informationen zur Verarbeitung personenbezogener Daten finden Nutzer*innen in den Datenschutzerklärungen der jeweiligen Anbieter. Einen direkten Link zu den Datenschutzerklärungen der jeweiligen Anbieter haben wir in der untenstehenden Übersicht bereitgestellt. Teils handelt es sich aber auch um Auftragsverarbeitungen durch die Anbieter. Details sind in den besonderen Hinweisen zu den einzelnen Anbietern dargestellt.
Es kann sein, dass die jeweilige Social-Media-Plattform personenbezogene Daten über Nutzer*innen erhebt und wir auf Grundlage der so erhobenen Daten statistische Auswertungen über die Nutzung unserer Social-Media-Präsenzen erhalten. Für diese Datenerhebung sind wir ggf. zusammen mit dem Betreiber der Social-Media-Plattform „gemeinsamer Verantwortlicher". Rechtsgrundlage für die Verarbeitung dieser Daten ist in der Regel die Einwilligung gem. Art. 6 Abs. 1 Buchst. a) DSGVO, die Nutzer*innen gegenüber dem Anbieter der jeweiligen Social-Media-Plattform erteilt haben.
Die Anbieter der Social-Media-Plattformen erheben und verarbeiten personenbezogene Daten über Nutzer*innen ggf. für weitere Zwecke (z.B. für Marktforschung oder Werbung). Die Anbieter erstellen ggf. aus dem Nutzungsverhalten und daraus abgeleiteten Vorlieben und Interessen der Nutzer*innen Nutzerprofile. Solche Nutzerprofile können verwendet werden, um beispielsweise zu vermeintlichen Interessen der jeweiligen Nutzer*innen passende Werbeanzeigen innerhalb des entsprechenden sozialen Netzwerks und auf anderen Online-Angeboten zu schalten. Die gesammelten Daten können ggf. bei eingeloggten Mitgliedern der jeweiligen Anbieter mit dem jeweiligen Nutzer-Account zusammengeführt werden. Die Anbieter erheben ggf. auch Daten über Besucher unserer Social-Media-Präsenz, die nicht bei ihrem Profil auf der Social-Media-Präsenz eingeloggt sind oder kein entsprechendes Profil haben.
Auf einigen Social-Media-Plattformen ist eine Kontaktaufnahme über bereitgestellte Messenger-Funktionen möglich, mittels der die DKB AG und Nutzer*innen Nachrichten austauschen können. Wir verarbeiten diese über die Messenger-Funktionen erhobenen Daten ausschließlich für die Zwecke der Kommunikation mit den Nutzer*innen entweder für die Erfüllung eines Vertrags oder zur Durchführung vorvertraglicher Maßnahmen (gem. Art. 6 Abs. 1 Buchst. b) DSGVO) oder auf Grundlage einer Interessenabwägung gem. Art. 6 Abs. 1 Buchst. f) DSGVO für unser legitimes Interesse der Außenkommunikation.
Die zuvor genannten personenbezogenen Daten werden für die beschriebenen Zwecke nur so lange gespeichert, wie es für diese Zwecke erforderlich ist bzw. solange wir zur Aufbewahrung der Daten gesetzlich verpflichtet sind. Gegenwärtig betreibt die DKB AG auf folgenden Social-Media-Plattformen eine Präsenz:
|
Name der Social-Media-Plattform |
Anbieter |
Datenschutzerklärung |
|
|
Facebook Ireland Ltd., 4 Grand Canal Square, Dublin, Irland |
https://www.facebook.com/privacy/explanation
|
|
|
Facebook Ireland Ltd., 4 Grand Canal Square, Dublin, Irland |
|
|
Kununu |
New Work SE, Dammtorstraße 30, |
|
|
|
LinkedIn Ireland Unlimited Company, Wilton Place, |
|
|
TikTok |
TikTok Technology Limited |
|
|
|
Twitter International Company |
|
|
|
New Work SE, Dammtorstraße 30, |
|
|
YouTube |
Google Ireland Limited, Gordon House, Barrow Street, Dublin 4, Irland |
Besondere Informationen zu den einzelnen Anbietern
Facebook & Instagram
Instagram ist ein Dienst von Facebook. Wenn Nutzer*innen unsere Social-Media-Präsenz auf Facebook besuchen (sogenannte "Facebook-Fanpage"), erhebt Facebook bestimmte Daten über Facebook-Nutzer*innen und stellt uns statistische Auswertungen der Nutzung unserer Social-Media-Präsenz auf Facebook zur Verfügung (sog. "Seiten-Insights").
Der Inhalt der Vereinbarung zwischen Facebook und uns über die Bereitstellung der Seiten-Insights ist zu finden unter https://www.facebook.com/legal/terms/page_controller_addendum. Der Europäische Gerichtshof geht auch hinsichtlich der Facebook-Fanpage davon aus, dass wir insoweit „gemeinsam Verantwortlicher" mit Facebook sind, auch wenn wir Daten nur in statistischer Form erhalten und uns kein Rückschluss auf Nutzer*innen als natürliche Personen möglich ist.
Facebook verarbeitet und teilt personenbezogene Daten der Nutzer*innen weltweit, sowohl intern zwischen den Facebook-Unternehmen als auch extern mit Facebook-Partnern. Insbesondere übermittelt Facebook Irland personenbezogene Daten an Facebook Inc., 1601 Willow Avenue, Menlo Park, CA 94025, USA. Daher werden personenbezogene Daten der Nutzer*innen durch Facebook auch außerhalb der Europäischen Union/des Europäischen Wirtschaftsraumes verarbeitet. Hinsichtlich geeigneter Garantien für die Übermittlung von personenbezogenen Daten außerhalb der Europäischen Union/des Europäischen Wirtschaftsraumes gemäß Art. 44 ff. DSGVO bestehen Standardvertragsklauseln zwischen Facebook Irland und Facebook Inc.. Eine Kopie der Standardvertragsklauseln von Facebook kann unter datenschutzanfragen@dkb.de angefordert werden.
Es liegt kein datenschutzrechtlicher Angemessenheitsbeschluss seitens der Europäischen Kommission für die USA und eine Vielzahl weiterer Länder außerhalb der Europäischen Union/des Europäischen Wirtschaftsraumes vor. Es besteht für Nutzer*innen das Risiko, dass staatliche Stellen auf personenbezogene Daten zugreifen, ohne dass wir und/oder die Nutzer*innen davon erfahren. Die Zugriffsmöglichkeit der staatlichen Stellen ergibt sich vor allem aus Gesetzgebung zur Auslandsaufklärung, Spionageabwehr sowie Terrorismus- und Strafverfolgung.
LinkedIn
LinkedIn ist für die Verarbeitung personenbezogener Daten auf der Social-Media-Präsenz eigenständiger Verantwortlicher. Darüber hinaus besteht für bestimmte Recruiting-Lizenzen eine Auftragsverarbeitungsvereinbarung mit LinkedIn.
Personenbezogene Daten der Nutzer*innen werden von LinkedIn auch in den USA und Singapur und damit außerhalb der Europäischen Union/des Europäischen Wirtschaftsraumes verarbeitet.
Geeignete Garantien für die Übermittlung von personenbezogenen Daten außerhalb der Europäischen Union/des Europäischen Wirtschaftsraumes gemäß Art. 44 ff. DSGVO im Rahmen der Auftragsverarbeitungsvereinbarung mit LinkedIn bestehen in Form von Standardvertragsklauseln mit LinkedIn. Eine Kopie der Standardvertragsklauseln kann unter datenschutzanfragen@dkb.de angefordert werden.
Für die USA und Singapur liegt kein datenschutzrechtlicher Angemessenheitsbeschluss seitens der Europäischen Kommission vor. Es besteht für Nutzer*innen trotz der Weisungsgebundenheit des Anbieters als Teil unserer vertraglichen Regelung das Risiko, dass staatliche Stellen auf personenbezogene Daten zugreifen, ohne dass wir und/oder die Nutzer*innen davon erfahren. Die Zugriffsmöglichkeit der staatlichen Stellen ergibt sich vor allem aus Gesetzgebung zur Auslandsaufklärung, Spionageabwehr sowie Terrorismus- und Strafverfolgung.
Rechtsgrundlage für die Verarbeitung personenbezogener Daten im Rahmen der Auftragsverarbeitungsvereinbarung mit LinkedIn ist eine Interessenabwägung gem. Art. 6 Abs. 1 Buchst. f) DSGVO (unser berechtigtes Interesse ist die bedarfsgerechte Gestaltung unserer Social-Media-Präsenz).
TikTok & Twitter
TikTok und Twitter sind jeweils für die Verarbeitung personenbezogener Daten auf der Social-Media-Präsenz eigenständiger Verantwortlicher.
Personenbezogene Daten der Nutzer*innen werden von TikTok und Twitter jeweils auch in den USA und damit außerhalb der Europäischen Union/des Europäischen Wirtschaftsraumes verarbeitet.
Es liegt kein datenschutzrechtlicher Angemessenheitsbeschluss seitens der Europäischen Kommission für die USA und eine Vielzahl weiterer Länder außerhalb der Europäischen Union/des Europäischen Wirtschaftsraumes vor. Es besteht für Nutzer*innen das Risiko, dass staatliche Stellen auf personenbezogene Daten zugreifen, ohne dass wir und/oder die Nutzer*innen davon erfahren. Die Zugriffsmöglichkeit der staatlichen Stellen ergibt sich vor allem aus Gesetzgebung zur Auslandsaufklärung, Spionageabwehr sowie Terrorismus- und Strafverfolgung.
YouTube
YouTube ist ein Dienst von Google. Dieser wird durch Google in unserem Auftrag und auf der Grundlage eines Auftragsverarbeitungsvertrags betrieben.
Personenbezogene Daten der Nutzer*innen werden von Google auch außerhalb der Europäischen Union/des Europäischen Wirtschaftsraumes verarbeitet. Die möglichen Verarbeitungsstandorte können folgendem Link entnommen werden: https://www.google.com/about/datacenters/locations/.
Geeignete Garantien für die Übermittlung von personenbezogenen Daten außerhalb der Europäischen Union/des Europäischen Wirtschaftsraumes gemäß Art. 44 ff. DSGVO bestehen in Form von Standardvertragsklauseln als Teil der Nutzungs- und Auftragsverarbeitungsbedingungen von YouTube. Ein Link bzw. eine Kopie der Standardvertragsklauseln kann unter datenschutzanfragen@dkb.de angefordert werden.
Es liegt kein datenschutzrechtlicher Angemessenheitsbeschluss seitens der Europäischen Kommission für die USA und eine Vielzahl weiterer Länder außerhalb der Europäischen Union/des Europäischen Wirtschaftsraumes vor. Es besteht für Nutzer*innen trotz der grundsätzlichen Weisungsgebundenheit des Anbieters als Teil unserer vertraglichen Regelung das Risiko, dass staatliche Stellen auf personenbezogene Daten zugreifen, ohne dass wir und/oder die Nutzer*innen davon erfahren. Die Zugriffsmöglichkeit der staatlichen Stellen ergibt sich vor allem aus Gesetzgebung zur Auslandsaufklärung, Spionageabwehr sowie Terrorismus- und Strafverfolgung.
Rechtsgrundlage für die Verarbeitung personenbezogener Daten ist eine Interessenabwägung gem. Art. 6 Abs. 1 Buchst. f) DSGVO (unser berechtigtes Interesse ist die bedarfsgerechte Gestaltung unserer Social-Media-Präsenz).
Die DKB AG stellt in ihrem Entwicklerportal sog. Drittdienstleistern im Sinne des § 1 Absatz 33 ZAG (Zahlungsauslösedienstleister) und § 1 Absatz 34 ZAG (Kontoinformationsdienstleister) im Rahmen der überarbeiteten Zahlungsdiensterichtlinie (PSD2) ihre PSD2-Schnittstelle sowie eine Testumgebung (Sandbox) hierfür zur Verfügung. Die DKB AG hält sich dabei an den Berlin Group Standard V1.3.2.
Besuch der Website
Beim Besuch der Website, auf welcher das Entwicklerportal zur Verfügung gestellt wird, erhebt die DKB AG folgende Daten der Nutzer: IP-Adresse, Device ID (falls der Nutzer sich über Mobile Devices einloggt). Diese Daten werden unmittelbar nach Beendigung der Sitzung gelöscht. Zusätzlich setzt die DKB AG auf dieser Website Cookies ein, um den Nutzer für die Dauer seines Besuches zu identifizieren und etwaige Sicherheitsrisiken zu verhindern. Zum einen werden dauerhafte Cookies verwendet. Diese Dateien bleiben in einem der Unterordner des Browsers des Nutzers, bis sie durch den Nutzer manuell gelöscht werden oder der Browser des Nutzers sie aufgrund der in der Datei des dauerhaften Cookies enthaltenen Dauer löscht. Zudem werden Session Cookies verwendet. Diese Cookies werden unmittelbar nach Beendigung der Sitzung gelöscht.
Nutzung der Sandbox
Jeder Nutzer, der auf die Sandbox im Entwicklerportal zugreifen möchte, muss sich registrieren. Im Zuge der Registrierung werden folgende Daten erhoben: Name der Firma, Art der Dienstleistung sowie E-Mail-Adresse. Diese Daten werden auf Servern der DKB AG gespeichert und –soweit im Rahmen regulatorischer Anforderungen erforderlich- an die zuständige Aufsichtsbehörde übermittelt. Soweit es sich hierbei um die Verarbeitung personenbezogener Daten handelt, erfolgt diese Verarbeitung zur Wahrung der berechtigten Interessen der DKB AG (Art. 6 Abs. 1 Buchst. f DS-GVO), um dem berechtigten Nutzer eine sichere Zugangsmöglichkeit zur Sandbox zu bieten und ferner den regulatorischen Dokumentationspflichten gegenüber der Aufsichtsbehörde zu genügen. Die Daten werden nur solange gespeichert, wie sie für die Zweckerfüllung erforderlich sind.
Im Rahmen der Nutzung der Sandbox werden keine Kundendaten der DKB AG oder andere personenbezogenen Daten verwendet oder verarbeitet. Die Sandbox verwendet ausschließlich Testdaten, die keine Rückschlüsse auf Personen zulassen.
Nutzung der PSD2-Schnittstelle
Zur Nutzung der im Entwicklerportal bereitgestellten PSD2-Schnittstelle ist die Übermittlung eines gültigen qualifizierten Website-Zertifikates der nationalen Finanzdienstleistungsaufsicht und eine zusätzliche Registrierung unter dem Menüpunkt „TPP Management“ erforderlich. Im Zuge der Registrierung werden folgende Daten erhoben: Name der Firma, Name und E-Mail-Adresse eines Ansprechpartners. Diese Daten sowie das Website-Zertifikat werden auf Servern der DKB AG gespeichert und –soweit im Rahmen regulatorischer Anforderungen erforderlich- an die zuständige Aufsichtsbehörde übermittelt. Die Verarbeitung erfolgt zur Wahrung der berechtigten Interessen der DKB AG (Art. 6 Abs. 1 Buchst. f DS-GVO), um dem Nutzer eine sichere Zugangsmöglichkeit zur PSD2-Schnittstelle zu bieten und ferner den regulatorischen Anforderungen und Dokumentationspflichten gegenüber der Aufsichtsbehörde zu genügen. Die Daten werden nur solange gespeichert, wie sie für die Zweckerfüllung erforderlich sind.
Nutzung der Kontaktmöglichkeiten
Sofern der Nutzer des Entwicklerportals eine Anfrage über eine der auf der Website genannten Kontaktmöglichkeiten (Telefon oder E-Mail) stellt, werden durch den von der DKB AG mit dem Support beauftragten Dienstleister Crealogix (Deutschland) AG folgende Daten erhoben: Name der Firma, E-Mail-Adresse und Telefonnummer eines Ansprechpartners. Die erhobenen Kontaktdaten, mitgeteilten Informationen und die in den angehängten Dateien enthaltenen personenbezogenen Daten werden zum Zwecke der Bearbeitung der Anfrage verarbeitet. Die Verarbeitung erfolgt zur Wahrung der berechtigten Interessen der DKB AG (Art. 6 Abs. 1 Buchst. f DS-GVO), um dem Nutzer eine weitere Möglichkeit der sicheren Kontaktaufnahme, der verschlüsselten Datenübertragung und damit einen weiteren Service zu bieten. Die Daten werden nur solange gespeichert, wie sie für die Zweckerfüllung erforderlich sind.
Die DKB AG verarbeitet im Rahmen von Card Control die Kreditkartennummer sowie die erhobenen Karten-, Länder- und Benachrichtigungseinstellungen sowie die Angabe, ob Nutzer*innen ihre Karten temporär sperren möchten. Die Verarbeitung ist für die Erfüllung des Kreditkartenvertrages erforderlich im Sinne von Art. 6 Abs. 1 Buchst. b DSGVO.
Für die Verarbeitung dieser personenbezogenen Daten (bis auf die Benachrichtigungseinstellung für den Länderwechsel) setzt die DKB AG Visa Europe Limited und Visa U.S.A. Inc. als Auftragsverarbeiter (Art. 28 DSGVO) ein.
Personenbezogene Daten der Nutzer*innen werden von Visa auch in den USA und damit außerhalb der Europäischen Union/des Europäischen Wirtschaftsraumes verarbeitet.
Geeignete Garantien für die Übermittlung von personenbezogenen Daten außerhalb der Europäischen Union/des Europäischen Wirtschaftsraumes gemäß Art. 44 ff. DSGVO bestehen in Form von Standardvertragsklauseln mit Visa. Eine Kopie der Standardvertragsklauseln kann unter datenschutzanfragen@dkb.de angefordert werden.
Für die USA liegt kein datenschutzrechtlicher Angemessenheitsbeschluss seitens der Europäischen Kommission vor. Es besteht für Nutzer*innen trotz der Weisungsgebundenheit des Anbieters als Teil unserer vertraglichen Regelung das Risiko, dass staatliche Stellen auf personenbezogene Daten zugreifen, ohne dass wir und/oder die Nutzer*innen davon erfahren. Die Zugriffsmöglichkeit der staatlichen Stellen ergibt sich vor allem aus Gesetzgebung zur Auslandsaufklärung, Spionageabwehr sowie Terrorismus- und Strafverfolgung.
Möchten Nutzer*innen im Falle eines Länderwechsels standortbasierte Benachrichtigungen zum Einsatz seiner DKB-VISA-Card erhalten, muss zuvor der DKB-Banking-App gestattet werden, den Standort des mobilen Endgerätes zu nutzen. Die DKB-Banking-App benötigt die Standortdaten, um den Nutzer im Fall eines Länderwechsels benachrichtigen zu können. Rechtsgrundlage für die Verarbeitung der Standortdaten des Nutzers ist Art. 6 Abs. 1 Buchst. b DSGVO. Die Standortdaten werden nur in der DKB-Banking-App auf dem Endgerät des Nutzers für die Erstellung der Push-Benachrichtigungen verarbeitet und nicht gespeichert. Die Genauigkeit sowie die Intervalle der Übermittlung dieser Standortdaten an die DKB-Banking-App werden durch das Betriebssystem des mobilen Endgerätes bestimmt. Eine Deaktivierung der Standortnutzung durch die DKB-Banking-App ist in den Systemeinstellungen des mobilen Endgerätes jederzeit möglich.
Damit Nutzer*innen eine Anzeige ihrer Kartenumsätze unmittelbar bei Autorisierung der Zahlung (Echtzeit-Transaktionen) erhalten können, wird die Kreditkartennummer durch die DKB AG verarbeitet. Die Verarbeitung der erhobenen Daten ist gemäß Art. 6 Abs. 1 Buchst. b DSGVO für die Erfüllung des Kreditkartenvertrages erforderlich.
Die DKB AG setzt im Zuge der Datenverarbeitung Visa Europe Limited und Visa U.S.A. Inc. als Auftragsverarbeiter (Art. 28 DSGVO) ein.
Personenbezogene Daten der Nutzer*innen werden von Visa auch in den USA und damit außerhalb der Europäischen Union/des Europäischen Wirtschaftsraumes verarbeitet.
Geeignete Garantien für die Übermittlung von personenbezogenen Daten außerhalb der Europäischen Union/des Europäischen Wirtschaftsraumes gemäß Art. 44 ff. DSGVO bestehen in Form von Standardvertragsklauseln mit Visa. Eine Kopie der Standardvertragsklauseln kann unter datenschutzanfragen@dkb.de angefordert werden.
Für die USA liegt kein datenschutzrechtlicher Angemessenheitsbeschluss seitens der Europäischen Kommission vor. Es besteht für Nutzer*innen trotz der Weisungsgebundenheit des Anbieters als Teil unserer vertraglichen Regelung das Risiko, dass staatliche Stellen auf personenbezogene Daten zugreifen, ohne dass wir und/oder die Nutzer*innen davon erfahren. Die Zugriffsmöglichkeit der staatlichen Stellen ergibt sich vor allem aus Gesetzgebung zur Auslandsaufklärung, Spionageabwehr sowie Terrorismus- und Strafverfolgung.
Die DKB AG verarbeitet in ihren Server-Logfiles Daten wie Login-Versuche mit Datum und Uhrzeit, Beendigungen von Sitzungen nach Logouts, Sperrungen von Nutzerkonnten nach zu vielen Login-Fehlversuchen, Versuche Nutzer- oder Sicherheitseinstellungen zu ändern und pseudonymisierte Nutzerkennungen. Eine Zusammenführung dieser Daten mit anderen Datenquellen wird nicht vorgenommen. Die Verarbeitung erfolgt zur Wahrung der berechtigten Interessen der DKB AG (Art. 6 Abs. 1 Buchst. f DSGVO) zum Zweck der Fehlerverbesserung und aus Sicherheitsgründen (z.B. um Missbrauchsfälle aufklären zu können). Die Server-Logfiles werden innerhalb von 3 Monaten nach ihrer Aufzeichnung, beziehungsweise innerhalb von 6 Monaten nach ihrer Aufzeichnung, wenn ein Bezug zur betrieblichen Systemsicherheit besteht, gelöscht.
Um unsere mobilen Applikationen regelmäßig zu verbessern und um Fehler zu beheben, setzen wir Analysedienste ein. Wir erklären hier, welche Tools wir dafür in unseren mobilen Applikationen verwenden. Es werden nur solche Daten verarbeitet, aus denen wir selbst keinen Personenbezug herleiten können. Die Verarbeitung dient ausschließlich dazu, unsere App-Inhalte und Funktionen für Nutzer*innen zu verbessern.
Hinsichtlich Informationen zur Übermittlung von personenbezogenen Daten außerhalb der Europäischen Union/des Europäischen Wirtschaftsraumes durch den Dienste-Anbieter siehe folgenden Hinweis.
Absturzberichte senden
Google Firebase (Crashlytics)
Die DKB AG setzt den Dienst Crashlytics von Google Firebase ein, um eine Auswertung von Absturzursachen in der App zu ermöglichen. Der Dienst Crashlytics wird durch Google Ireland Limited, Gordon House, Barrow Street, Dublin 4, Ireland in unserem Auftrag und auf der Grundlage eines Auftragsverarbeitungsvertrages betrieben.
Der Dienst Crashlytics dient der Stabilität und Verbesserung der App. Dabei werden bei Abstürzen Informationen über das verwendete Gerät und die Nutzung der App gesammelt (z. B. der Zeitstempel, wann die App gestartet wurde und wann der Absturz aufgetreten ist), die es ermöglichen, Probleme zu diagnostizieren und zu lösen. Hierfür verarbeitet Google in unserem Auftrag Instance-IDs und die Crashlytics-Installations-UUIDs von Endgeräten der Nutzer*innen. Instanz-IDs identifizieren einzelne Installationen der App. Da jede Instanz-ID für eine bestimmte App und ein bestimmtes Gerät eindeutig ist, können Firebase-Dienste auf bestimmte App-Instanzen verweisen. Wir erhalten als Auswertung eine Übersicht über die Anzahl der Abstürze in einem bestimmten Zeitraum.
Nähere Informationen zu den Nutzungsbedingungen und Datenschutz finden Sie unter den Firebase Nutzungsbedingungen.
Soweit personenbezogene Daten verarbeitet werden, beträgt die Speicherdauer 90 Tage.
Rechtsgrundlage für den Einsatz von Crashlytics ist eine Einwilligung, Art. 6 Abs. 1 Buchst. a DSGVO. Die Einwilligung ist freiwillig. Sie können dem Einsatz von Crashlytics und der damit verbundenen Verarbeitung der auf die App bezogenen Daten widerrufen, indem Nutzer*innen in der App den Schalter für diesen Dienst in den Analyse-Einstellungen deaktivieren.
App-Analyse
Google Analytics for Firebase
Die DKB AG setzt den nachfolgenden Dienst von Google Firebase ein, um das Nutzerverhalten in der App besser verstehen und optimieren zu können sowie eine bessere Nutzerführung zu ermöglichen. Der Dienst Google Analytics for Firebase wird durch Google Ireland Limited, Gordon House, Barrow Street, Dublin 4, Irland, in unserem Auftrag und auf der Grundlage eines Auftragsverarbeitungsvertrages betrieben.
Nähere Informationen zu den Nutzungsbedingungen und Datenschutz finden Sie unter den Firebase Nutzungsbedingungen.
Soweit personenbezogene Daten verarbeitet werden, werden diese spätestens nach 14 Monaten nach Widerruf der Einwilligung gelöscht.
Rechtsgrundlage für den Einsatz des Dienstes Google Analytics for Firebase ist eine Einwilligung, Art. 6 Abs. 1 Buchst. a DSGVO. Die Einwilligung ist freiwillig und kann jederzeit widerrufen werden, indem Nutzer*innen in den Analyse-Einstellungen den jeweiligen Schalter dafür deaktivieren.
Google Firebase A/B Testing
Die DKB AG setzt den nachfolgenden Dienst von Google Firebase ein, um das Nutzerverhalten in der App besser verstehen und optimieren zu können, indem Änderungen an der Benutzeroberfläche oder den Funktionen in der App getestet werden. Der Dienst Google Analytics for Firebase wird durch Google Ireland Limited, Gordon House, Barrow Street, Dublin 4, Irland, in unserem Auftrag und auf der Grundlage eines Auftragsverarbeitungsvertrages betrieben.
Dazu verarbeitet Google in unserem Auftrag die Instance ID und die Firebase Installation ID.
Nähere Informationen zu den Nutzungsbedingungen und Datenschutz finden Sie unter den Firebase Nutzungsbedingungen.
Adjust (App Attribution)
Die DKB AG setzt den Dienst App Attribution zur Analyse des App Traffics ein. Der Dienst wird durch die Adjust GmbH, Saarbrücker Str. 37a, 10405 Berlin, in unserem Auftrag und auf der Grundlage eines Auftragsverarbeitungsvertrages betrieben.
Bei der Nutzung unserer mobilen Applikationen erheben wir die Werbe-ID der Endgeräte der Nutzer*innen, Installierungs- und Ereignisdaten wie das erste Öffnen der App auf dem mobilen Endgerät, Interaktionen innerhalb der App (Klicks) und die Dauer von Sitzungen, um zu verstehen, wie Nutzer*innen mit der App interagieren und um Werbekampagnen zu optimieren. Ferner verarbeiten wir die IP-Adresse und gegebenenfalls die MAC-Adresse sowie technische Informationen des Endgeräts und der App. Diese werden nach der Erhebung ausschließlich in pseudonymisierter Form genutzt. Weder die DKB AG noch Adjust werden diese Daten mit anderen Daten kombinieren, um einen Personenbezug herzustellen.
Nähere Informationen zum Produkt finden Sie unter Adjust Datenschutzerklärung.
Die erhobenen Daten werden für die Dauer der Einwilligung gespeichert.
Rechtsgrundlage für den Einsatz von App Attribution ist eine Einwilligung, Art. 6 Abs. 1 Buchst. a DSGVO. Die Einwilligung ist freiwillig und kann jederzeit widerrufen werden, indem Nutzer*innen in den Analyse-Einstellungen den Schalter dafür deaktivieren.
Technisch notwendige Technologien
Diese folgenden Technologien sind notwendig, damit Nutzer*innen unsere mobilen Applikationen reibungslos nutzen können.
Firebase Cloud Messaging
Der Dienst Firebase Cloud Messaging wird durch Google LLC, 1600 Amphitheatre Parkway, Mountain View, CA 94043, USA, in unserem Auftrag und auf der Grundlage eines Auftragsverarbeitungsvertrages betrieben.
Google verarbeitet in unserem Auftrag Firebase-Installations-IDs, um zu bestimmen, an welche Geräte Nachrichten gesendet werden sollen.
Google speichert die Firebase-Installations-IDs, bis wir einen API-Aufruf zum Löschen der ID ausführen. Nach dem Anruf werden die Daten innerhalb von 180 Tagen aus den Live- und Backup-Systemen entfernt.
Rechtsgrundlage für den Einsatz von Firebase Cloud Messaging ist Art. 6 Abs. 1 Buchst. f DSGVO. Wir verfolgen dabei unser berechtigtes Interesse an einer Verbesserung und Optimierung unserer Apps.
Dynamic Firebase Links
Der Dienst Dynamic Firebase Link wird durch Google LLC, 1600 Amphitheatre Parkway, Mountain View, CA 94043, USA, in unserem Auftrag und auf der Grundlage eines Auftragsverarbeitungsvertrages betrieben.
Google verarbeitet in unserem Auftrag nur für iOS Gerätespezifikationen und IP-Adressen, um neu installierte Apps für eine bestimmte Seite oder einen bestimmten Kontext zu öffnen.
Google speichert Gerätespezifikationen und IP-Adressen nur vorübergehend, um den Dienst bereitzustellen.
Rechtsgrundlage für den Einsatz von Dynamic Firebase Links ist Art. 6 Abs. 1 Buchst. f DSGVO. Wir verfolgen dabei unser berechtigtes Interesse an einer Verbesserung und Optimierung unserer Apps.
Firebase In-App Messaging
Der Dienst Firebase In-App Messaging wird durch Google LLC, 1600 Amphitheatre Parkway, Mountain View, CA 94043, USA, in unserem Auftrag und auf der Grundlage eines Auftragsverarbeitungsvertrages betrieben.
Google verarbeitet in unserem Auftrag Firebase-Installations-IDs, um gezielte, kontextbezogene Nachrichten an aktive Benutzer der App zu senden.
Soweit personenbezogene Daten verarbeitet werden, werden diese nur gespeichert, soweit eine Einwilligung der Nutzer*innen zu den oben genannten Firebase-Diensten vorliegt, für die eine Einwilligung erforderlich ist.
Rechtsgrundlage für den Einsatz von Firebase In-App Messaging ist Art. 6 Abs. 1 Buchst. f DSGVO. Wir verfolgen dabei unser berechtigtes Interesse an einer Verbesserung und Optimierung unserer Apps.
Firebase Remote Config
Der Dienst Firebase Remote Config wird durch Google LLC, 1600 Amphitheatre Parkway, Mountain View, CA 94043, USA, in unserem Auftrag und auf der Grundlage eines Auftragsverarbeitungsvertrages betrieben.
Google verarbeitet in unserem Auftrag Firebase-Installations-IDs, um Konfigurationswerte auszuwählen, die an Endbenutzergeräte zurückgegeben werden sollen.
Google speichert die Firebase-Installations-IDs bei, bis wir einen API-Aufruf zum Löschen der ID ausführen. Nach dem Anruf werden die Daten innerhalb von 180 Tagen aus Live- und Backup-Systemen entfernt.
Rechtsgrundlage für den Einsatz von Firebase Remote Config ist Art. 6 Abs. 1 Buchst. f DSGVO. Wir verfolgen dabei unser berechtigtes Interesse an einer Verbesserung und Optimierung unserer Apps.
Firebase Performance Monitoring (Firebase-Leistungsüberwachung)
Der Dienst Firebase Performance Monitoring wird durch Google LLC, 1600 Amphitheatre Parkway, Mountain View, CA 94043, USA, in unserem Auftrag und auf der Grundlage eines Auftragsverarbeitungsvertrages betrieben.
Google berechnet in unserem Auftrag anhand von Firebase-Installations-IDs die Anzahl der eindeutigen Firebase-Installationen, die auf Netzwerkressourcen zugreifen, um sicherzustellen, dass die Zugriffsmuster ausreichend anonym sind. Außerdem verarbeitet Google in unserem Auftrag Firebase-Installations-IDs, um die Rate der Leistungsereignisberichte zu verwalten. Darüber hinaus werden insoweit IP-Adressen verwendet, um Leistungsereignisse den Ländern zuzuordnen, aus denen sie stammen.
Die Leistungsüberwachung speichert die Installation und IP-assoziierte Ereignisse 30 Tage lang und die nicht identifizierten Leistungsdaten 90 Tage.
Rechtsgrundlage für den Einsatz von Firebase Performance Monitoring ist Art. 6 Abs. 1 Buchst. f DSGVO. Wir verfolgen dabei unser berechtigtes Interesse an einer Verbesserung und Optimierung unserer Apps.
Informationen zur Übermittlung von personenbezogenen Daten außerhalb der Europäischen Union/des Europäischen Wirtschaftsraumes
Personenbezogene Daten der Nutzer*innen werden von Google auch außerhalb der Europäischen Union/des Europäischen Wirtschaftsraumes verarbeitet. Die möglichen Verarbeitungsstandorte können dem folgenden Link entnommen werden: https://www.google.com/about/datacenters/locations/.
Geeignete Garantien für die Übermittlung von personenbezogenen Daten außerhalb der Europäischen Union/des Europäischen Wirtschaftsraumes gemäß Art. 44 ff. DSGVO bestehen in Form von Standardvertragsklauseln mit Google LLC als Teil des Auftragsverarbeitungsvertrags. Ein Link bzw. eine Kopie der Standardvertragsklauseln kann unter datenschutzanfragen@dkb.de angefordert werden.
Es liegt kein datenschutzrechtlicher Angemessenheitsbeschluss seitens der Europäischen Kommission für die USA und eine Vielzahl weiterer Länder außerhalb der Europäischen Union/des Europäischen Wirtschaftsraumes vor. Es besteht für Nutzer*innen trotz der grundsätzlichen Weisungsgebundenheit des Anbieters als Teil unserer vertraglichen Regelung das Risiko, dass staatliche Stellen auf personenbezogene Daten zugreifen, ohne dass wir und/oder die Nutzer*innen davon erfahren. Die Zugriffsmöglichkeit der staatlichen Stellen ergibt sich vor allem aus Gesetzgebung zur Auslandsaufklärung, Spionageabwehr sowie Terrorismus- und Strafverfolgung.
Für Anfragen rund um den Datenschutz wenden Sie sich gerne an datenschutzanfragen@dkb.de.