Datenschutz

Die DKB AG verarbeitet personenbezogene Daten ausschließlich auf Grundlage der Datenschutz-Grundverordnung (DSGVO) bzw. des neuen Bundesdatenschutzgesetzes (BDSG).

Personenbezogene Daten sind z. B. Name, Adresse, Telefonnummer, Geburtsdatum und andere für die Abwicklung der Geschäftsbeziehung erforderliche Daten.

Nutzer*innen sind berechtigt, besondere personenbezogene Daten gemäß Art. 9 Abs. 1 DSGVO wie Angaben über die ethnische Herkunft und die Nationalität, politische Meinungen, religiöse oder philosophische Überzeugungen, Gewerkschaftszugehörigkeit, Gesundheit oder Sexualleben, auf den uns einzureichenden Unterlagen (z. B. im Verwendungszweck und Empfängerkonto/-name auf Kontoauszügen) unkenntlich zu machen.

Das Verarbeiten von Daten umfasst jeden mit oder ohne Hilfe automatisierter Verfahren ausgeführten Vorgang oder jede solche Vorgangsreihe im Zusammenhang mit personenbezogenen Daten wie das Erheben, das Erfassen, die Organisation, das Ordnen, die Speicherung, die Anpassung oder Veränderung, das Auslesen, das Abfragen, die Verwendung, die Offenlegung durch Übermittlung, Verbreitung oder eine andere Form der Bereitstellung, den Abgleich oder die Verknüpfung, die Einschränkung, das Löschen oder die Vernichtung.

Die DKB AG beschränkt die Verarbeitung personenbezogener Daten auf ein Minimum, das notwendig ist zur Anbahnung oder zur Abwicklung der Geschäftsbeziehung mit den Nutzer*innen oder zur Durchführung der von den Nutzer*innen gewünschten Dienstleistung. Die DKB AG verarbeitet personenbezogene Daten darüber hinaus nur im Falle eines datenschutzrechtlichen Erlaubnistatbestandes, einer gesetzlichen Verpflichtung oder auf Grundlage einer ausdrücklichen Einwilligung.

Weitere Darstellungen zum Umgang mit personenbezogenen Daten gibt es auch in den Informationen nach Art. 13, 14 und 21 DSGVO.

Kontaktformular

Wenn eine Anfrage über das Kontaktformular zugesandt wird, verarbeitet die DKB AG die dort eingetragenen Kontaktdaten, über die Nachricht mitgeteilte Informationen, die in den angehängten Dateien enthaltenen personenbezogenen Daten und gegebenenfalls zuvor verwendete Suchbegriffe im „Fragen & Antworten“-Bereich zum Zwecke der Bearbeitung der Anfrage.

Die Verarbeitung erfolgt zur Wahrung der berechtigten Interessen der DKB AG (Art. 6 Abs. 1 f ) DSGVO), um eine weitere Möglichkeit der sicheren Kontaktaufnahme, der verschlüsselten Datenübertragung und damit einen weiteren Service zu bieten.

Die Daten werden nur so lange gespeichert, wie sie für die Zweckerfüllung erforderlich sind.

KI Support

Die DKB AG bietet Kund*innen einen KI Support im browserbasierten Onlinebanking („Banking“) und über die DKB-App an.

Ebenso können Nutzer*innen der Webseite der DKB AG den KI Support im Rahmen der „Intelligente Suche“ und der FAQ in Anspruch nehmen, wobei in diesem Fall keine Verarbeitung personenbezogener Daten erforderlich ist. Sofern bei der Nutzung des KI Supports auf der Webseite der DKB AG dennoch personenbezogene Daten eingegeben werden (sog. aufgedrängte personenbezogene Daten), werden diese ebenfalls im nachfolgend näher genannten Umfang verarbeitet.

Dieser KI Support beantwortet als textbasiertes, automatisches Dialogsystem Fragen zu Produkten und Dienstleistungen, indem eine Künstliche Intelligenz über eine Integration von Schnittstellen auf verschiedene Datenquellen zurückgreift und daraus auf Basis von Nutzereingaben Antworten generiert.

Bei der Interaktion mit dem KI Support werden technische Meta-Daten und Informationen, wie z.B. Datum und Uhrzeit, Anzahl der Nachrichten, Anzahl der positiven und negativen Bewertungen, (wenn ausgewählt) Begründung der Bewertungen und eine Request ID (eindeutige Kennung für jede Anfrage) erhoben. Zudem werden, sofern sich die Kund*innen im Banking befinden, folgende personenbezogene Daten der Kund*innen sowie etwaigen Mitkontoinhaber*innen, Bevollmächtigten/gesetzlichen Vertreter*innen und Vollmachtgeber*innen/gesetzlichen Vertretenen erhoben: Identifikationsnummer, Stammdaten (z.B. Name, Adresse, Telefonnummer, E-Mail), Konto- und Kreditkartendaten und Authentifizierungsdaten.

Die vorgenannten personenbezogenen Daten werden benötigt, um die Anfragen im KI Support zu bearbeiten und zu beantworten.

Zu Zwecken der Qualitätssicherung, Protokollierung und zur möglichen Weiterbearbeitung des Anliegens im Kundenservice der DKB werden die Chatverläufe automatisiert gescreent und gespeichert. Die Speicherung dient auch der Gewährleistung einer hinreichenden Transparenz und dem Schutz der DKB AG im Falle einer rechtlichen Inanspruchnahme. Darüber hinaus werden die gespeicherten Chatverläufe genutzt, um den KI Support kontinuierlich zu verbessern und weiterzuentwickeln, um den Nutzer*innen einen bestmöglichen Service anbieten zu können. Ein Training oder maschinelles Lernen des KI Supports ist damit nicht verbunden. Soweit im Datenbestand auch personenbezogene Daten Minderjähriger enthalten sein sollten, werden diese Daten nicht für die Weiterentwicklung des KI Support verwendet.

Die vorgenannten personenbezogenen Daten werden gemeinsam mit dem gesamten Chatverlauf automatisiert für 24 Monate gespeichert. Zudem werden den jeweiligen Kund*innen zugeordnete Chatverläufe in der Kontakthistorie der DKB für 36 Monate gespeichert.

Rechtsgrundlage für die Verarbeitung der vorgenannten personenbezogenen Daten der Kund*innen ist Art. 6 Abs. 1 Buchst. b und f DSGVO. Die Verarbeitung erfolgt zur Erfüllung des mit den Kund*innen geschlossenen Vertrages und darüber hinaus aufgrund unseres berechtigten Interesses an der Durchführung des KI Supports und bestmöglichen Beantwortung der gestellten Fragen sowie an der Protokollierung, Qualitätssicherung und Weiterentwicklung von Produkten und Prozessen.

Sie haben das Recht auf Auskunft nach Art. 15 DSGVO, das Recht auf Berichtigung nach Art. 16 DSGVO, das Recht auf Löschung nach Art. 17 DSGVO, das Recht auf Einschränkung der Verarbeitung nach Art. 18 DSGVO, das Recht auf Datenübertragbarkeit aus Art. 20 DSGVO sowie das Recht, aus Gründen, die sich aus Ihrer besonderen Situation ergeben, jederzeit gegen die Verarbeitung Sie betreffender personenbezogener Daten, die aufgrund von Artikel 6 Abs. 1 Buchst. f der DSGVO (Datenverarbeitung auf der Grundlage einer Interessenabwägung) erfolgt, Widerspruch einzulegen.

Nähere Angaben zum Widerspruchsrecht entnehmen Sie bitte den Informationen nach Art. 13, 14 und 21 DSGVO.

Die Übertragung aller in der DKB-App eingegebenen Daten erfolgt über eine SSL-Verschlüsselung, um diese vor dem Missbrauch durch Dritte zu schützen.

Die DKB arbeitet mit spezialisierten IT-Sicherheitsunternehmen zusammen, um die Verfügbarkeit ihrer Services sicherzustellen. Selbstverständlich sind diese Dienstleister vertraglich verpflichtet, sich an die EU-Datenschutzregelungen / DSGVO zu halten. Auch greifen wir nur auf Unternehmen zurück, die vom Bundesamt für Sicherheit in der Informationstechnik (BSI) als ausgewählte und geprüfte Anbieter zum Schutz vor Cyberangriffen gelistet sind.

Weitere Informationen zum Thema Sicherheit finden Sie hier.

In unserer App befinden sich Links, die auf die Internetseiten Dritter verweisen. Die hier gegebenen Datenschutzhinweise gelten dort nicht. Nutzer*innen werden gebeten, die dort zu findenden Datenschutzhinweise zu lesen.

Nachfolgende Auskunfteien können von der DKB AG zu Zwecken der Bonitätsprüfung herangezogen werden:

SCHUFA Holding AG, infoscore Consumer Data GmbH, Verband der Vereine Creditreform e.V. Weitere Ausführungen zu den Auskunfteien gibt es auch in den jeweiligen Informationen nach Art. 13, 14 und 21 DSGVO der SCHUFA, der infoscore Consumer Data GmbH sowie des Verband der Vereine Creditreform e.V.

Die DKB AG verarbeitet im Rahmen von Card Control die Kreditkartennummer sowie die erhobenen Karten-, Länder- und Benachrichtigungseinstellungen sowie die Angabe, ob Nutzer*innen ihre Karten temporär sperren möchten. Die Verarbeitung ist für die Erfüllung des Kreditkartenvertrages erforderlich im Sinne von Art. 6 Abs. 1 Buchst. b DSGVO.

Für die Verarbeitung dieser personenbezogenen Daten (bis auf die Benachrichtigungseinstellung für den Länderwechsel) setzt die DKB AG Visa Europe Limited und Visa U.S.A. Inc. als Auftragsverarbeiter (Art. 28 DSGVO) ein.

Personenbezogene Daten der Nutzer*innen werden von Visa auch in den USA und damit außerhalb der Europäischen Union/des Europäischen Wirtschaftsraumes verarbeitet.

Geeignete Garantien für die Übermittlung von personenbezogenen Daten außerhalb der Europäischen Union/des Europäischen Wirtschaftsraumes gemäß Art. 44 ff. DSGVO bestehen in Form von Standardvertragsklauseln mit Visa. Eine Kopie der Standardvertragsklauseln kann unter datenschutzanfragen@dkb.de angefordert werden.

Für die USA liegt kein datenschutzrechtlicher Angemessenheitsbeschluss seitens der Europäischen Kommission vor. Es besteht für Nutzer*innen trotz der Weisungsgebundenheit des Anbieters als Teil unserer vertraglichen Regelung das Risiko, dass staatliche Stellen auf personenbezogene Daten zugreifen, ohne dass wir und/oder die Nutzer*innen davon erfahren. Die Zugriffsmöglichkeit der staatlichen Stellen ergibt sich vor allem aus Gesetzgebung zur Auslandsaufklärung, Spionageabwehr sowie Terrorismus- und Strafverfolgung.

Möchten Nutzer*innen im Falle eines Länderwechsels standortbasierte Benachrichtigungen zum Einsatz seiner DKB-VISA-Card erhalten, muss zuvor der App gestattet werden, den Standort des mobilen Endgerätes zu nutzen. Die App benötigt die Standortdaten, um den Nutzer*innen im Fall eines Länderwechsels benachrichtigen zu können. Rechtsgrundlage für die Verarbeitung der Standortdaten von Nutzer*innen ist Art. 6 Abs. 1 Buchst. b DSGVO. Die Standortdaten werden nur in der App auf dem Endgerät von Nutzer*innen für die Erstellung der Push-Benachrichtigungen verarbeitet und nicht gespeichert. Die Genauigkeit sowie die Intervalle der Übermittlung dieser Standortdaten an die App werden durch das Betriebssystem des mobilen Endgerätes bestimmt. Eine Deaktivierung der Standortnutzung durch die App ist in den Systemeinstellungen des mobilen Endgerätes jederzeit möglich.

Die DKB AG verarbeitet in ihren Server-Logfiles Daten wie Login-Versuche mit Datum und Uhrzeit, Beendigungen von Sitzungen nach Logouts, Sperrungen von Nutzerkonnten nach zu vielen Login-Fehlversuchen, Versuche Nutzer- oder Sicherheitseinstellungen zu ändern und pseudonymisierte Nutzerkennungen. Eine Zusammenführung dieser Daten mit anderen Datenquellen wird nicht vorgenommen. Die Verarbeitung erfolgt zur Wahrung der berechtigten Interessen der DKB AG (Art. 6 Abs. 1 Buchst. f DSGVO) zum Zweck der Fehlerverbesserung und aus Sicherheitsgründen (z.B. um Missbrauchsfälle aufklären zu können). Die Server-Logfiles werden innerhalb von 3 Monaten nach ihrer Aufzeichnung, beziehungsweise innerhalb von 6 Monaten nach ihrer Aufzeichnung, wenn ein Bezug zur betrieblichen Systemsicherheit besteht, gelöscht.

Die DKB AG setzt eine Technologie für einen SMS-Versand an Kund*innen ein, um eine mobile Nachrichtenübermittlung zur Unterstützung sicherheitskritischer Vorfälle und/oder im Rahmen von App-Sicherungsverfahren zu ermöglichen. Der SMS-Versand wird von der Deutsche Telekom Business Solutions GmbH, Landgrabenweg 151 in 53113 Bonn in unserem Auftrag und auf der Grundlage eines Auftragsverarbeitungsvertrages betrieben.

Der SMS-Versand wird sowohl für Warnhinweise zur Verhinderung von betrügerischen Handlungen als auch als Ausweichlösung für das 3D-Secure Verfahren und für die Übermittlung eines Passworts zum Zweck der Authentifizierung bei der Erstanmeldungen von z.B. der Banking App, Google Pay oder Apple Pay genutzt. Dabei werden die Mobilfunknummer und die SMS-Nachricht der Kund*innen verarbeitet. Eine Speicherung der personenbezogenen Daten erfolgt nicht.

Rechtsgrundlage für die Verarbeitung der vorgenannten personenbezogenen Daten ist Art. 6 Abs. 1 Buchst. b bzw. Buchst. f DSGVO. Die Datenverarbeitung ist für die App-Sicherungsverfahren erforderlich. Darüber hinaus verfolgen wir unser berechtigtes Interesse an der Verhinderung von betrügerischen Handlungen.

Damit Nutzer*innen eine Anzeige ihrer Kartenumsätze unmittelbar bei Autorisierung der Zahlung (Echtzeit-Transaktionen) erhalten können, wird die Kreditkartennummer durch die DKB AG verarbeitet. Die Verarbeitung der erhobenen Daten ist gemäß Art. 6 Abs. 1 Buchst. b DSGVO für die Erfüllung des Kreditkartenvertrages erforderlich.

Die DKB AG setzt im Zuge der Datenverarbeitung Visa Europe Limited und Visa U.S.A. Inc. als Auftragsverarbeiter (Art. 28 DSGVO) ein.

Personenbezogene Daten der Nutzer*innen werden von Visa auch in den USA und damit außerhalb der Europäischen Union/des Europäischen Wirtschaftsraumes verarbeitet.

Geeignete Garantien für die Übermittlung von personenbezogenen Daten außerhalb der Europäischen Union/des Europäischen Wirtschaftsraumes gemäß Art. 44 ff. DSGVO bestehen in Form von Standardvertragsklauseln mit Visa. Eine Kopie der Standardvertragsklauseln kann unter datenschutzanfragen@dkb.de angefordert werden.

Für die USA liegt kein datenschutzrechtlicher Angemessenheitsbeschluss seitens der Europäischen Kommission vor. Es besteht für Nutzer*innen trotz der Weisungsgebundenheit des Anbieters als Teil unserer vertraglichen Regelung das Risiko, dass staatliche Stellen auf personenbezogene Daten zugreifen, ohne dass wir und/oder die Nutzer*innen davon erfahren. Die Zugriffsmöglichkeit der staatlichen Stellen ergibt sich vor allem aus Gesetzgebung zur Auslandsaufklärung, Spionageabwehr sowie Terrorismus- und Strafverfolgung.

Möchten Nutzer*innen im Falle eines Länderwechsels standortbasierte Benachrichtigungen zum Einsatz seiner DKB-VISA-Card erhalten, muss zuvor der App gestattet werden, den Standort des mobilen Endgerätes zu nutzen. Die App benötigt die Standortdaten, um den Nutzer*innen im Fall eines Länderwechsels benachrichtigen zu können. Rechtsgrundlage für die Verarbeitung der Standortdaten von Nutzer*innen ist Art. 6 Abs. 1 Buchst. b DSGVO. Die Standortdaten werden nur in der App auf dem Endgerät von Nutzer*innen für die Erstellung der Push-Benachrichtigungen verarbeitet und nicht gespeichert. Die Genauigkeit sowie die Intervalle der Übermittlung dieser Standortdaten an die App werden durch das Betriebssystem des mobilen Endgerätes bestimmt. Eine Deaktivierung der Standortnutzung durch die App ist in den Systemeinstellungen des mobilen Endgerätes jederzeit möglich.

Die DKB AG setzt den Dienst Fotoüberweisung ein, um Kund*innen eine Vereinfachung bei der Vorbefüllung der Überweisungsmaske in der App zu ermöglichen. Der Dienst wird von der Gini GmbH, Ridlerstraße 57 80339 München in unserem Auftrag und auf der Grundlage eines Auftragsverarbeitungsvertrags betrieben.

Bei der Fotoüberweisung haben Kund*innen die Möglichkeit, Fotos (z.B. von Rechnungen oder Überweisungsträgern) mit den entsprechenden Überweisungsdaten (Kontodaten vom Empfänger, Verwendungszweck und Zahlungsbetrag) zu importieren. Der Dienst filtert die auf den Fotos stehenden Überweisungsdaten, so dass die Überweisungsmaske automatisch vorbefüllt werden kann. Der Dienst stellt lediglich ein Angebot der DKB AG dar und ist für eine Überweisung nicht notwendig. Sofern Kund*innen den Dienst Fotoüberweisung nutzen, werden die in den importierten Fotos enthaltenen Dokumentendaten, wie z.B. Kontodaten des Zahlungsempfängers, Verwendungszweck, Überweisungsbetrag) verarbeitet. Die Fotos werden nach Ablauf von max. 4 Wochen gelöscht. Rechtsgrundlage für die Verarbeitung der vorgenannten personenbezogenen Daten ist Art. 6 Abs. 1 Buchst. b DSGVO. Die Datenverarbeitung ist zur Ausführung des gewünschten Dienstes erforderlich.

Um unsere mobilen Applikationen regelmäßig zu verbessern und um Fehler zu beheben, setzen wir Analysedienste ein. Wir erklären hier, welche Tools wir dafür in unseren mobilen Applikationen verwenden. Die Verarbeitung dient ausschließlich dazu, unsere App-Inhalte und Funktionen für Nutzer*innen zu verbessern.

Google Firebase (Crashlytics)

Die DKB AG setzt den Dienst Crashlytics von Google Firebase ein, um eine Auswertung von Absturzursachen in der App zu ermöglichen. Der Dienst Crashlytics wird durch Google Ireland Limited, Gordon House, Barrow Street, Dublin 4, Ireland in unserem Auftrag und auf der Grundlage eines Auftragsverarbeitungsvertrages betrieben.

Der Dienst Crashlytics dient der Stabilität und Verbesserung der App. Dabei greift der Dienst bei Abstürzen auf Informationen über das verwendete Gerät der Nutzer*innen zu und sammelt zudem Informationen über die Nutzung der App (z. B. der Zeitstempel, wann die App gestartet wurde und wann der Absturz aufgetreten ist), die es ermöglichen, Probleme zu diagnostizieren und zu lösen. Hierfür verarbeitet Google in unserem Auftrag Instance-IDs und die Crashlytics-Installations-UUIDs von Endgeräten der Nutzer*innen. Instanz-IDs identifizieren einzelne Installationen der App. Da jede Instanz-ID für eine bestimmte App und ein bestimmtes Gerät eindeutig ist, können Firebase-Dienste auf bestimmte App-Instanzen verweisen. Wir erhalten als Auswertung eine Übersicht über die Anzahl der Abstürze in einem bestimmten Zeitraum.

Nähere Informationen zu den Nutzungsbedingungen und Datenschutz finden Sie unter den Firebase Nutzungsbedingungen.

Soweit personenbezogene Daten verarbeitet werden, beträgt die Speicherdauer 90 Tage. Rechtsgrundlage für den Einsatz von Crashlytics ist eine Einwilligung, im Hinblick auf den Zugriff auf das Endgerät gemäß § 25 Abs. 1 S. 1 TTDSG sowie hinsichtlich der Verarbeitung der vorgenannten personenbezogenen Daten der Nutzer*innen gemäß Art. 6 Abs. 1 Buchst. a DSGVO. Die Einwilligung ist freiwillig und kann jederzeit mit Wirkung für die Zukunft widerrufen werden, d. h. die Rechtmäßigkeit, der aufgrund der Einwilligung bis zum Widerruf erfolgten Verarbeitung, wird nicht berührt. Nutzer*innen können ihre Einwilligung jederzeit widerrufen, indem sie in der App den Schalter „Absturzberichte senden“ in den Einstellungen der Nutzungsdaten deaktivieren.

Google Analytics for Firebase

Die DKB AG setzt den nachfolgenden Dienst von Google Firebase ein, um das Nutzerverhalten in der App besser verstehen und optimieren zu können sowie eine bessere Nutzerführung zu ermöglichen. Der Dienst Google Analytics for Firebase wird durch Google Ireland Limited, Gordon House, Barrow Street, Dublin 4, Irland, in unserem Auftrag und auf der Grundlage eines Auftragsverarbeitungsvertrages betrieben.

Google Analytics for Firebase: Dieser Dienst greift auf das Endgerät der Nutzer*innen zu und erfasst Informationen über die Benutzung der App und wertet diese aus. Dazu verarbeitet Google in unserem Auftrag die Werbe-ID (Mobile Ad ID, Android ID, Firebase Installation ID, Analytics App Instance ID) und die Instance-ID von Endgeräten. Beispiele für die Datenerhebung sind u.a. die Anzahl der Nutzer*innen und Sitzungen, Sitzungsdauer, Betriebssysteme und Gerätemodelle. In der Standardimplementierung von Google Analytics für Firebase werden die folgenden Datentypen erfasst und an uns übermittelt: Anzahl der Nutzer*innen und Sitzungen, Sitzungsdauer, Betriebssysteme, Gerätemodelle, Region, erstmalige Starts, App-Ausführungen, App-Updates.

Nähere Informationen zu den Nutzungsbedingungen und Datenschutz finden Sie unter den Firebase Nutzungsbedingungen.

Soweit personenbezogene Daten verarbeitet werden, werden diese spätestens nach 14 Monaten nach Widerruf der Einwilligung gelöscht.

Rechtsgrundlage für den Einsatz des Dienstes Google Analytics for Firebase ist eine Einwilligung, im Hinblick auf den Zugriff auf das Endgerät gemäß § 25 Abs. 1 S. 1 TDDDG sowie hinsichtlich der Verarbeitung der vorgenannten personenbezogenen Daten der Nutzer*innen gemäß Art. 6 Abs. 1 Buchst. a DSGVO. Die Einwilligung ist freiwillig und kann jederzeit mit Wirkung für die Zukunft widerrufen werden, d. h. die Rechtmäßigkeit, der aufgrund der Einwilligung bis zum Widerruf erfolgten Verarbeitung, wird nicht berührt. Nutzer*innen können ihre Einwilligung jederzeit widerrufen, indem sie in der App den Schalter „Pseudonyme App-Analyse“ in den Einstellungen der Nutzungsdaten deaktivieren.

Seal One

Die DKB AG setzt eine Software von Seal One ein, welche die lokalen Daten des Endgerätes (Sensordaten) der Nutzer*innen erhebt, um eine Betrugsrisikobewertung vornehmen zu können.

Diese Software unterstützt die DKB AG im Zusammenhang mit Zahlungsaufträgen u.a. Aufträgen der Nutzer*innen in der App bei der Prävention, Entdeckung und Bearbeitung von strafbaren Handlungen und ermöglicht der DKB AG die Erfüllung von gesetzlichen und aufsichtsrechtlichen Anforderungen im Hinblick auf ein angemessenes Risikomanagement sowie interne Sicherungsmaßnahmen. Hierfür greift die Software auf Gerätedaten im Endgerät der Nutzer*innen sowie die IP-Adresse zu.

Eine Übermittlung der erhobenen Daten an Dritte findet nicht statt. Soweit durch die Software personenbezogene Daten verarbeitet werden, werden diese solange gespeichert, wie dies für den Zweck der Verarbeitung erforderlich ist und spätestens nach Ablauf von 10 Jahren gelöscht.

Rechtsgrundlage für den Einsatz der Software ist im Hinblick auf den Zugriff auf das Endgerät § 25 Abs. 2 S. 2 TDDDG. Der Dienst ist unbedingt erforderlich, um die gesetzlichen und aufsichtsrechtlichen Anforderungen an ein angemessenes Risikomanagement sowie interne Sicherungsmaßnahmen zu erfüllen. Die Verarbeitung der vorgenannten personenbezogenen Daten der Nutzer*innen erfolgt gemäß Art. 6 Abs. 1 Buchst. c DSGVO iVm § 25h Abs. 2 Satz 2 KWG zur Erfüllung der gesetzlichen Pflichten zum Vorhalten interner Sicherungsmaßnahmen.

Firebase Remote Config

Der Dienst Firebase Remote Config wird durch Google LLC, 1600 Amphitheatre Parkway, Mountain View, CA 94043, USA, betrieben.

Firebase Remote Config ermöglicht uns die Konfiguration von App-Einstellungen, damit die App auf den Endgeräten, auf denen sie installiert ist, verändert werden kann, ohne dass sie bei jeder Veränderung vollständig neu aus dem Google-Store installiert werden muss. Hierbei wird die Firebase-Installations-IDs lokal im Cache des Endgeräts gespeichert. Durch Firebase Remote Config werden keine personenbezogenen Daten verarbeitet.

Rechtsgrundlage für den Einsatz von Firebase Remote Config ist § 25 Abs. 2 S. 2 TDDDG. Der Dienst ist unbedingt erforderlich, um künftige Ausfälle und Störungen der App zu minimieren und somit eine sichere und stabile Funktion der App zu.

SAS ® 360

Wir setzen in unserer Banking App die Software SAS® 360 ein. Diese wird durch die SAS Institute GmbH, In der Neckarhelle 162, 69118 Heidelberg auf der Grundlage eines Auftragsverarbeitungsvertrags betrieben.

Die Software ermöglicht es unseren Kund*innen sowohl vom Gesetzgeber vorgeschriebene Pflichtkommunikation, interne Servicekommunikation (z.B. Benachrichtigung über Versand der VISA Folgekarte) oder Informationen zu passenden Produkten und Leistungen aus unserem DKB-Portfolio auszuspielen. Hierfür greift die Software auf das Endgerät der Kund*innen zu und erfasst die Device ID sowie die IP-Adresse nur in gekürzter Form. Zudem werden die E-Mail und das Klickverhalten der Kund*innen (Öffnungen und Klicks von Links, E-Mails bzw. Abmeldungen, interne Personennummer) gespeichert.

Über Subunternehmer der SAS Institute GmbH können ggfs. personenbezogene Daten der Kund*innen auch außerhalb der Europäischen Union/des Europäischen Wirtschaftsraumes verarbeitet werden. Für diesen Fall hat sich die SAS Institute GmbH uns gegenüber vertraglich verpflichtet, geeignete Garantien für die Übermittlung von personenbezogenen Daten außerhalb der Europäischen Union/des Europäischen Wirtschaftsraumes gemäß Art. 44 ff. DSGVO zu vereinbaren.

Es liegt kein datenschutzrechtlicher Angemessenheitsbeschluss seitens der Europäischen Kommission für die USA und eine Vielzahl weiterer Länder außerhalb der Europäischen Union/des Europäischen Wirtschaftsraumes vor. Es besteht für Kund*innen trotz der grundsätzlichen Weisungsgebundenheit des Anbieters als Teil unserer vertraglichen Regelung das Risiko, dass staatliche Stellen auf personenbezogene Daten zugreifen, ohne dass wir und/oder die Kund*innen davon erfahren. Die Zugriffsmöglichkeit der staatlichen Stellen ergibt sich vor allem aus Gesetzgebung zur Auslandsaufklärung, Spionageabwehr sowie Terrorismus- und Strafverfolgung.

Soweit durch die Software personenbezogene Daten der Kund*innen verarbeitet werden, werden diese spätestens nach Ablauf von 24 Monaten gelöscht.

Rechtsgrundlage für den Einsatz von SAS® 360 ist im Hinblick auf den Zugriff auf das Endgerät gemäß § 25 Abs. 2 Nr. 2 TDDDG. Der Dienst ist unbedingt erforderlich, um die gesetzlichen Anforderungen hinsichtlich bestehender Informationspflichten aus dem Vertrag mit den Kund*innen zu erfüllen und den Kund*innen die Vorteile und Einsatzmöglichkeiten ihrer Produkte aufzuzeigen. Die Verarbeitung der vorgenannten personenbezogenen Daten der Kund*innen erfolgt gemäß Art. 6 Abs. 1 Buchst. b zur Durchführung des Vertrages sowie gemäß Art. 6 Abs. 1 Buchst. f DSGVO. Wir verfolgen dabei unser berechtigtes Interesse an der interessensbasierten Angebots- und Produktempfehlung.

Dynatrace

Wir setzen auf unseren Webseiten die Software „Dynatrace“ ein. Dieser Dienst wird durch die Dynatrace GmbH, Konrad-Suse-Platz 8 D-81829 München, auf der Grundlage eines Auftragsverarbeitungsvertrags betrieben.

Dynatrace ist eine Performance-Management-Software für Programme. Diese Software verwaltet die Verfügbarkeit und Leistung von Softwareanwendungen. Durch Dynatrace können wir eigene Prozesse, die auf unseren Webseiten ausgeführt werden, erkennen und analysieren und so den stabilen und reibungslosen Betrieb unserer Webseiten sicherstellen. Hierfür setzt die Software Cookies auf dem Endgerät der Nutzer*innen mit Hilfe derer wir die IP-Adresse der Nutzer*innen verarbeiten.

Personenbezogene Daten können auch von der Dynatrace LLC, 1601 Trapelo Rd., Suite 116, Waltham, MA 02451, USA, und damit außerhalb der Europäischen Union/des Europäischen Wirtschaftsraumes verarbeitet werden. Geeignete Garantien für die Übermittlung von personenbezogenen Daten außerhalb der Europäischen Union/des Europäischen Wirtschaftsraumes gemäß Art. 44 ff. DSGVO bestehen in Form von Standardvertragsklauseln. Eine Kopie der Standardvertragsklauseln bzw. eine Auskunft darüber, wo diese verfügbar sind, kann unter datenschutzanfragen@dkb.de angefordert werden. Die Sicherstellung des angemessenen Datenschutzniveaus im Einzelfall erfolgt durch seitens Dynatrace erfolgt u. a. durch umfangreiche Verschlüsselungsmaßnahmen und Informationen an uns im Falle von Herausgabeverlangen von staatlichen Stellen in den USA sowie Anfechtungen solcher Herausgabeverlangen.

Es liegt kein datenschutzrechtlicher Angemessenheitsbeschluss seitens der Europäischen Kommission für die USA vor. Es besteht für Nutzer*innen trotz der Weisungsgebundenheit des Anbieters als Teil unserer vertraglichen Regelung das Risiko, dass staatliche Stellen auf personenbezogene Daten zugreifen, ohne dass wir und/oder die Nutzer*innen davon erfahren. Die Zugriffsmöglichkeit der staatlichen Stellen ergibt sich vor allem aus Gesetzgebung zur Auslandsaufklärung, Spionageabwehr sowie Terrorismus- und Strafverfolgung.

Die IP-Adresse der Nutzer*innen wird nach Ablauf von 14 Tagen gelöscht. Die Cookies verfallen gemäß den Standardeinstellungen des Browsers (i.d.R. 13 Monate). Im Übrigen werden die Daten gelöscht, sobald sie nicht mehr für die Verarbeitungszwecke benötigt werden.

Rechtsgrundlage für den Einsatz von Dynatrace ist im Hinblick auf den Zugriff auf das Endgerät § 25 Abs. 2 S. 2 TDDDG. Der Dienst ist unbedingt erforderlich, um einen schnellen, stabilen und sicheren Betrieb der Webseiten sicherzustellen. Die Verarbeitung der vorgenannten personenbezogenen Daten der Nutzer*innen erfolgt gemäß Art. 6 Abs. 1 Buchst. f DSGVO. Wir verfolgen dabei unser berechtigtes Interesse an einer effektiven Steuerung unserer Softwareanwendungen und der Sicherstellung des Betriebs der Webseite.

ENV

Wir setzen auf unseren Webseiten das Vermittlungstracking „ENV“ ein. Dieser Dienst wird durch PLANET IC GmbH, Mettenheimer Straße 9-15, 19061 Schwerin, auf der Grundlage eines Auftragsverarbeitungsvertrags betrieben.

Produktbeantragungen über unsere Webseiten werden zum Teil über Vermittler*innen initiiert. Dabei werden Interessent*innen durch im Internet geschaltete Banner auf unsere Webseiten verlinkt. Die hierbei übergebenen Parameter (z. B. Referrer-Links, Affiliate-Links) werden über den Cookie ENV referenziert. Mit dieser Technologie können Vermittler*innen über den Fortschritt des Onlinevertriebsprozesses und seine einzelnen Stufen informiert werden.

Das Cookie verfällt gemäß den Standardeinstellungen des Browsers (i.d.R. 13 Monate). Im Übrigen werden die Daten gelöscht, sobald sie nicht mehr für die Verarbeitungszwecke benötigt werden.

Rechtsgrundlage für den Einsatz von ENV ist § 25 Abs. 2 S. 2 TDDDG. Das Cookie ist unbedingt erforderlich, um den Dienst anbieten zu können und um eine Abrechnung für die Vermittlerprovision zu erstellen, da es nur über das Cookie möglich ist, nachzuvollziehen, von welchem Vertriebspartner die Nutzer*innen vermittelt wurden. Durch ENV werden keine personenbezogenen Daten verarbeitet.

PSO

Wir setzen auf unseren Webseiten „PSO“ zur Abrechnung unserer Weiterempfehlungen ein. Dieser Dienst wird durch die pso vertriebsprogramme GmbH, Stadtgarten Karree, Venloer Straße 47, 50672 Köln, auf der Grundlage eines Auftragsverarbeitungsvertrags betrieben. Über die pso bieten wir unseren Kund*innen die Möglichkeit an, durch Weiterempfehlung unserer Produkte Zugang zu einer Vorteilswelt zu bekommen. Mit dieser Technologie können wir die teilnehmenden Nutzer*innen effektiv zuordnen und die Prämienzuteilung sicherstellen. Hierfür setzt der Dienst Cookies auf dem Endgerät der Nutzer*innen mit Hilfe dessen wir die Auftragsnummer, Empfängernummer, Empfehlungsnummer und die IP-Adresse der Nutzer*innen verarbeiten.

Die IP-Adresse wird nach 14 Tagen um die letzten drei Stellen gekürzt und damit entsprechend anonymisiert. Die Cookies verfallen gemäß den Standardeinstellungen des Browsers (i.d.R. 13 Monate). Im Übrigen werden die Daten gelöscht, sobald sie nicht mehr für die Verarbeitungszwecke benötigt werden.

Rechtsgrundlage für den Einsatz von PSO ist im Hinblick auf den Zugriff auf das Endgerät § 25 Abs. 2 S. 2 TDDDG. Der Dienst ist unbedingt erforderlich, um die teilnehmenden Nutzer*innen zuzuordnen und eine Prämienzuteilung sicherzustellen. Die Verarbeitung der vorgenannten personenbezogenen Daten der Nutzer*innen erfolgt gemäß Art. 6 Abs. 1 Buchst. f DSGVO. Wir verfolgen dabei unser berechtigtes Interesse an einer korrekten Abrechnung von Werbeprämien.

Session Cookie

Wir verwenden auf unseren Webseiten sogenannte Session Cookies. Zum einen verwenden wir einen Session Cookie, der beim Besuch des Internetbankings auf dem Endgerät der Nutzer*innen eine Session ID speichert sowie die Information, ob die Nutzer*innen im Internetbanking eingeloggt sind. Darüber hinaus verwenden wir auf unseren Webseiten einen Session Cookie, der auf dem Endgerät der Nutzer*innen den Mediacode aus der URL der ersten besuchten dkb.de-Webseite außerhalb des Internetbankings speichert.

Diese Session Cookies werden ausschließlich für die Dauer Ihrer Nutzung unserer Webseiten bzw. der Nutzung des Internetbankings gespeichert und dienen ausschließlich dazu, Aktivitäten der Nutzer*innen während einer Session auf den Webseiten von dkb.de oder im eingeloggten Internetbanking der jeweiligen Sitzung („Session“) zuzuordnen, um so die Nutzung der Webseiten zu erleichtern. Nach Beendigung jeder Sitzung werden die Session Cookies gelöscht.

Rechtsgrundlage für den Einsatz von Session Cookies ist im Hinblick auf den Zugriff auf das Endgerät § 25 Abs. 2 S. 2 TDDDG. Der Dienst ist unbedingt erforderlich für die Zuordnung eines zusammenhängenden Besuchs von mehreren Seiten ("Sessions") der Nutzer*innen im Internetbanking sowie für die Sicherstellung der Nutzung und Optimierung unserer Webseiten. Die Verarbeitung der personenbezogenen Daten der Nutzer*innen beim Besuch des Internetbankings erfolgt gemäß Art. 6 Abs. 1 Buchst. f DSGVO. Wir verfolgen dabei unser berechtigtes Interesse den Betrieb unserer Webseite sowie den Aufruf und die Nutzung unserer Webseite technisch sicherzustellen.

Subito

Wir setzen auf unseren Webseiten „Subito“ ein. Dieser Dienst wird durch die Subito AG, Kurhessenstraße 5, 64546 Mörfelden-Walldorf, Deutschland, auf der Grundlage eines Auftragsverarbeitungsvertrags betrieben.

Subito ist eine Anwendung für die automatisierte Verarbeitung von Krediten. Dieser Dienst stellt die eindeutige Zuordnung von Kreditanträgen der Antragsteller*innen mittels Antrags-ID und der Vermittler*innen mittels Vermittlungs-ID sicher. Hierfür setzt der Dienst einen Session- Cookie und ein temporäres Cookie auf dem Endgerät der Antragsteller*innen mit Hilfe dessen wir die IP-Adresse der Antragsteller*innen verarbeiten. Im temporären Cookie wird die IP-Adresse gespeichert.

Die Cookies und die damit verbundenen personenbezogenen Daten werden nach Ablauf von 7 Tagen gelöscht.

Rechtsgrundlage für den Einsatz von Subito ist im Hinblick auf den Zugriff auf das Endgerät § 25 Abs. 2 S. 2 TDDDG. Der Dienst ist unbedingt erforderlich, um eine Abrechnung für die Vermittlerprovision zu erstellen, da es nur über das Cookie möglich ist, nachzuvollziehen, von welchem Vertriebspartner der Produktabschluss an die Antragsteller*innen vermittelt wurde. Die Verarbeitung der vorgenannten personenbezogenen Daten der Antragsteller*innen erfolgt gemäß Art. 6 Abs. 1 Buchst. f DSGVO. Wir verfolgen dabei unser berechtigtes Interesse an der automatisierten, digitalen Aufnahme und Bearbeitung von Kreditanträgen und die damit im Zusammenhang stehende korrekte Abrechnung der Vermittlungsprovision.

Tag Commander

Wir setzen auf unseren Webseiten „Tag Commander“ ein. Dieser Dienst wird durch die Fjord Technologies SAS, 3/5 Rue Saint Georges 75009 Paris, Frankreich, auf der Grundlage eines Auftragsverarbeitungsvertrags betrieben.

Durch Tag Commander können wir die Marketing-, Analyse- und Personalisierungs-Cookies zentral steuern und die Einwilligungseinstellungen der Nutzer*innen umsetzen. Hierfür setzt der Dienst Session-Cookies auf dem Endgerät der Nutzer*innen mit Hilfe dessen wir die interne Commanders Act ID der Nutzer*innen verarbeiten.

Die interne Commanders Act ID wird unter Verwendung eines Algorithmus pseudonymisiert. Eine Speicherung von Daten erfolgt nicht.

Rechtsgrundlage für den Einsatz von Tag Commander ist im Hinblick auf den Zugriff auf das Endgerät § 25 Abs. 2 S. 2 TDDDG. Der Dienst ist unbedingt erforderlich für die Steuerung der Cookies und Umsetzung der Einwilligungseinstellungen durch die Nutzer*innen. Die Verarbeitung der vorgenannten personenbezogenen Daten der Nutzer*innen erfolgt gemäß Art. 6 Abs. 1 Buchst. f DSGVO. Wir verfolgen dabei unser berechtigtes Interesse an einer effektiven Steuerung unserer Cookie-Technologien.

Trust Commander

Wir setzen auf unseren Webseiten „Trust Commander“ ein. Dieser Dienst wird durch die Fjord Technologies SAS, 3/5 Rue Saint Georges 75009 Paris, Frankreich, auf der Grundlage eines Auftragsverarbeitungsvertrags betrieben.

Durch Trust Commander können wir die von Webseiten-Nutzer*innen zu den eingesetzten Cookie-Technologien erteilten Einwilligungen dokumentieren, sodass eine Rückverfolgbarkeit der Einwilligung, die jede*r einzelne Nutzer*in der DKB AG gegenüber erteilt hat, möglich ist. Hierfür setzt der Dienst Cookies auf dem Endgerät der Nutzer*innen mit Hilfe dessen wir die interne Commanders Act ID der Nutzer*innen verarbeiten. Diese wird unter Verwendung eines Algorithmus pseudonymisiert und nur so lange gespeichert, wie es für den Zweck der Dokumentation der Einwilligung erforderlich ist bzw. solange wir zur Aufbewahrung der Daten gesetzlich verpflichtet sind.

Die Cookies verfallen gemäß den Standardeinstellungen des Browsers (i.d.R. 13 Monate). Im Übrigen werden die Daten gelöscht, sobald sie nicht mehr für die Verarbeitungszwecke benötigt werden.

Rechtsgrundlage für den Einsatz von Trust Commander ist im Hinblick auf den Zugriff auf das Endgerät § 25 Abs. 2 S. 2 TDDDG. Der Dienst ist unbedingt erforderlich für die Dokumentation der Einwilligungen der Nutzer*innen. Die Verarbeitung der vorgenannten personenbezogenen Daten der Nutzer*innen erfolgt gemäß Art. 6 Abs. 1 Buchst. f DSGVO. Wir verfolgen dabei unser berechtigtes Interesse an einer den gesetzlichen Anforderungen entsprechenden Dokumentation der erteilten Einwilligungen der Nutzer*innen.

Webtrekk

Wir setzen auf unseren Webseiten „Webtrekk“ ein. Dieser Dienst wird durch die Mapp Digital c/o Webtrekk GmbH, Schönhauser Allee 148, 10435 Berlin, auf Grundlage eines Auftragsverarbeitungsvertrags betrieben.

Durch Webtrekk können wir die Nutzung unserer Webseiten statistisch analysieren, um Beeinträchtigungen in der Nutzungsfähigkeit der Webseite zu erkennen und potentielle Ursachen zu untersuchen, um so Nutzer*innen eine bedienungsfähige Webseite anbieten zu können. Wir nutzen die statistischen Daten ebenfalls, um die Qualität unserer Webseiten im Sinne der Nutzerfreundlichkeit stetig zu verbessern und neue Webseitenabschnitte anwenderfreundlich zu entwickeln.

IP-Adressen werden beim Erkennen stark gekürzt und sofort gelöscht. Die Cookies werden spätestens nach Ablauf von 6 Monaten gelöscht.

Rechtsgrundlage für den Einsatz von Webtrekk ist im Hinblick auf den Zugriff auf das Endgerät gemäß § 25 Abs. 2 S. 2 TDDDG. Der Dienst ist unbedingt erforderlich, um durch Erkennung von Störungen einen stabilen und sicheren Betrieb der Webseiten zu gewährleisten und ferner unsere Webseiten entsprechend den Bedürfnissen der Nutzer*innen optimieren zu können.. Die Verarbeitung der vorgenannten personenbezogenen Daten der Nutzer*innen erfolgt gemäß Art. 6 Abs. 1 Buchst. f DSGVO. Wir verfolgen dabei unser berechtigtes Interesse an der Verbesserung der Nutzerfreundlichkeit unserer Webseiten.