Datenschutzbestimmungen S-pushTAN
Wir freuen uns über Ihr Interesse an unseren Produkten, unserem Unternehmen und unserem Umgang mit den uns von Ihnen anvertrauten Daten. Mit der S-pushTAN-App stellt die Star Finanz-Software Entwicklung und Vertriebs GmbH Onlinebanking und mobile Banking-Lösungen und Services im Auftrag der Finanz Informatik und Sparkassen auf verschiedenen Plattformen bereit.
1. Verantwortliche Stellen und Kontakt
Verantwortliche Stelle im Sinne der Datenschutzgesetze ist die Star Finanz-Software Entwicklung und Vertriebs GmbH, Grüner Deich 15, 20097 Hamburg.
Für datenschutzrechtliche Fragen erreichen Sie unseren Datenschutzbeauftragten unter der Adresse:
Star Finanz-Software Entwicklung und Vertriebs GmbH
Datenschutzbeauftragter
Grüner Deich 15
20097 Hamburg
Telefax +49 40 23728-350
E-Mail: datenschutz@starfinanz.de
2. Datenschutzgrundsätze
Grundsätzlich sind die Softwareprodukte der Star Finanz so konzipiert, dass sie über eine datenschutzfreundliche Voreinstellung verfügen. Dazu gehört z.B., dass nur solche personenbezogenen Daten erhoben werden, die für die Funktion des Produkts benötigt werden (Grundsatz der Datenminimierung)
Wir versichern Ihnen den rechtmäßigen und verantwortungsvollen Umgang mit allen Daten, die Sie uns als Nutzer unserer Produkte übermitteln und möchten Ihnen nachfolgend transparent darstellen, welche Daten wir im Detail verarbeiten, wofür wir diese verwenden und ob und bejahendenfalls in welchem Umfang diese von uns gespeichert und/oder an Dritte übermittelt werden.
2.1 Welche Quellen und Daten nutzen wir
Wir verarbeiten personenbezogene Daten nur in dem von Ihnen persönlich autorisierten Umfang. Dabei werden von uns nur die Daten erhoben und verarbeitet, die zur Aufrechterhaltung und Nutzung der Ihnen zur Verfügung gestellten Services unbedingt notwendig sind. Alle Dienste und Services, die personenbezogene Daten übermitteln, weisen Sie vor Benutzung und Übertragung Ihrer Daten auf den genauen Umfang der Daten hin und verlangen Ihre Bestätigung zur Übertragung. Alle Ihre Daten gehören Ihnen, daher leiten wir keine der an uns übermittelten Daten ohne Ihre Einwilligung an Dritte weiter, es sei denn, wir sind dazu gesetzlich verpflichtet, wie z.B. bei Vorliegen eines entsprechenden Gerichtsbeschlusses.
Unter personenbezogene Daten sind z.B. zu verstehen: Personalien (Name, Adresse und andere Kontaktdaten, Geburtstag und -ort und Staatsangehörigkeit), Legitimationsdaten (z.B. Ausweisdaten) und Authentifikationsdaten (z.B. Unterschriftprobe). Darüber hinaus können dies auch Auftragsdaten (z.B. Zahlungsauftrag, Wertpapierauftrag), Daten aus der Erfüllung unserer vertraglichen Verpflichtungen (z.B. Umsatzdaten im Zahlungsverkehr, Kreditrahmen, Produktdaten (z. B. Einlagen-, Kredit- und Depotgeschäft), Informationen über ihre finanzielle Situation (z.B. Bonitätsdaten, Scoring-/Ratingdaten, Herkunft von Vermögenswerten), Werbe- und Vertriebsdaten (inklusive Werbescores), Dokumentationsdaten (z.B. Beratungsprotokoll), Registerdaten, Daten über Ihre Nutzung von unseren angebotenen Telemedien (z.B. Zeitpunkt des Aufrufs unserer Webseiten, Apps oder Newsletter, angeklickte Seiten von uns bzw. Einträge sowie andere vergleichbare Daten) sein.
2.2 Grundlagen zur Datenverarbeitung zur Erfüllung der vertraglichen Verpflichtungen
Wir verarbeiten Ihre uns übermittelten personenbezogenen Daten im Einklang mit den Bestimmungen der Europäischen Datenschutz-Grundverordnung (DS-GVO) und dem Bundesdatenschutzgesetz (BDSG) zur Erbringung unserer Leistungen im Rahmen des Vertragsverhältnisses.
2.3 Verarbeitung aufgrund Ihrer Einwilligung
Soweit Sie uns eine Einwilligung zur Verarbeitung von personenbezogenen Daten für bestimmte Zwecke (z. B. Weitergabe von Daten im Verbund/Konzern, Auswertung von Zahlungsverkehrsdaten für Marketingzwecke) erteilt haben, ist die Rechtmäßigkeit dieser Verarbeitung auf Basis Ihrer Einwilligung gegeben. Eine erteilte Einwilligung kann jederzeit widerrufen werden.
Bitte beachten Sie, dass der Widerruf erst für die Zukunft wirkt. Verarbeitungen, die vor dem Widerruf erfolgt sind, sind davon nicht betroffen.
2.4 Datenschutzrechte
Nach der DS-GVO haben Sie das Recht auf unentgeltliche Auskunft über Ihre gespeicherten Daten (Art. 15 DS-GVO), das Recht auf Berichtigung (Art. 16 DS-GVO), das Recht auf Löschung ihrer Daten (Art. 17 DS-GVO), das Recht auf Einschränkung der Verarbeitung (Art. 18 DS-GVO) sowie das Recht auf Datenübertragbarkeit (Art. 20 DS-GVO).
Sollten Sie Fragen haben, die Ihnen diese Datenschutzerklärung nicht beantworten konnte, oder Sie eine Auskunft über die über Sie gespeicherten Daten möchten, kontaktieren Sie uns bitte per E-Mail über die bei Kontakt genannte Adresse.
Darüber hinaus besteht ein Beschwerderecht bei einer Datenschutzbehörde (Art. 77 DS-GVO).
3. Datenerhebung, -speicherung und -nutzung von personenbezogenen und nichtpersonenbezogenen Daten
3.1 Registrierung der App bei Ihrem Institut
Durch die Registrierung der App bei Ihrem Institut wird eine feste Verbindung hergestellt. Die für die Einrichtung dieser Verbindung notwendigen Daten sind Ihre Benutzerkennung, die Bankleitzahl Ihres Institutes und der Registrierungscode, den Sie von Ihrem Institut erhalten haben. Diese Daten werden ausschließlich von Ihrem Institut gespeichert.
3.2 Registrierung für den Empfang von Push-Notifications
Sobald eine TAN für Sie vorliegt, erhalten Sie von Ihrem Institut eine Push Notification. Für den Empfang dieser Push Notification ist eine Registrierung der App bei Apple (iOS) bzw. Google (Android) notwendig. Die dabei erzeugte Gerätekennung („Device Token“) wird von der App an Ihr Institut übermittelt und dort gespeichert.
Sie können den Empfang Ihres Smartphones von Push-Notifications (auch nachträglich) deaktivieren. In diesem Fall kann Ihr Institut Sie nicht mehr über neu vorliegende TANs informieren. Für Sie vorliegende TANs können weiter durch die App abgeholt werden.
4. Von der App angeforderte Berechtigungen und deren Verwendung
4.1 Geräte- & App-Verlauf
Wird benötigt, um die empfangene TAN an die aktive Banking-App übergeben zu können.
4.2 Identität
Wird benötigt, um die App für den Empfang der Push-Notifications für die TANs zu registrieren.
4.3 Kamera
Wird zum Scannen des QR-Codes bei der Registrierung der App für den Empfang der TANs verwendet. Alternativ können die Daten auch manuell eingegeben werden.
4.4 Telefon und Geräte-ID & Anrufinformationen
Wird zur Erhöhung der Sicherheit für die feste Verknüpfung der App Registrierung mit dem Gerät verwendet und verhindert Übertragungen der App-Registrierung auf andere Geräte.
4.5 Bluetooth
Wird verwendet, um die Sicherheit beim Hinzufügen weiterer Geräte zu erhöhen.
4.6 Sonstige
4.6.1 Daten aus dem Internet abrufen
Wird für die Internetverbindung zur Abholung der TAN verwendet.
4.6.2 Netzwerkverbindungen abrufen
Wird für die Internetverbindung zur Abholung der TAN verwendet.
4.6.3 Zugriff auf alle Netzwerke
Wird für die Internetverbindung zur Abholung der TAN verwendet.
4.6.4 Lichtanzeige steuern
Zugriff auf das Blitzlicht für Scannen von QR-Codes über die Kamera.
4.6.5 Aktive Apps neu ordnen
Wird verwendet, um bei Übergabe der TAN automatisch die Banking App aufzurufen und in den Vordergrund zu bringen.
4.6.6 Ruhezustand deaktivieren
Verhindert das automatische Abschalten des Gerätes während der Ausführung einer Transaktion, um Kontosperrungen zu vermeiden.
4.6.7 Vibrationsalarm steuern
Wird verwendet, um beim Empfang einer TAN den Vibrationsalarm zu aktivieren.
5. Datensicherheit
5.1 Technische Schutzvorkehrungen
5.1.1 Star Finanz Server
Alle von uns eingesetzten Server werden im eigenen Hause konfiguriert und installiert und in Hochsicherheitsrechenzentren in Deutschland betrieben. Die eingesetzte Hardware wird von zertifizierten namhaften Herstellern geliefert und ist ausfallsicher und redundant ausgelegt. Der Transport und die Installation der Server in den Rechenzentren erfolgt durch unsere eigenen Mitarbeiter, nicht durch Subunternehmer, Logistikfirmen oder andere Dritte. Unsere Mitarbeiter sind zur Verschwiegenheit verpflichtet. Wir speichern grundsätzlich keine Daten auf anderen Servern, insbesondere nicht im Ausland.
Wir versichern, dass alle von uns verwendeten Sicherheitstechnologien sich auf dem aktuellen Stand der Technik befinden und stetig aktualisiert werden. Unsere Sicherheitskonzepte werden fortlaufend an neue Erkenntnisse angepasst und erneuert, um Ihre Daten vor Diebstahl und Missbrauch zu schützen. Alle von Ihnen an uns übertragenen Daten werden von uns verantwortungsbewusst behandelt und nach allen gesetzlichen Bestimmungen zum Datenschutz, insbesondere der europäischen Datenschutz-Grundverordnung (DS-GVO) und des Bundesdatenschutzgesetzes (BDSG) und nach höchsten Sicherheitsstandards zur Datenverarbeitung und Speicherung verarbeitet.
5.1.2 Datenübertragung
Ihre Daten werden ausschließlich über SSL verschlüsselte Verbindungen von Ihrem Endgerät zu unseren in Deutschland in Hochsicherheitsrechenzentren betriebenen Servern übermittelt. Dabei werden die Zertifikate auf Gültigkeit und -wenn technisch auf einer Plattform möglich- zusätzlich die Fingerabdrücke des Zertifikats überprüft, um Missbrauch und Man-in-the-Middle-Attacken weitestgehend zu verhindern.
Die vom Instituts-Server an die App übermittelten TANs inkl. zugehöriger Auftragsdaten (z.B. Überweisungsdaten) werden vor der Übertragung zusätzlich für jeden Kunden individuell verschlüsselt.
5.1.3 Datenverarbeitung und Speicherung
Ihre Daten werden auf Servern der Star Finanz-Software Entwicklung und Vertriebs GmbH in Deutschland verarbeitet und ggf. gespeichert und von uns durch umfangreiche technische und organisatorische Schutzvorkehrungen gegen den Zugriff Dritter geschützt.
Soweit erforderlich, verarbeiten und speichern wir Ihre personenbezogenen Daten für die Dauer unserer Geschäftsbeziehung, was beispielsweise auch die Anbahnung und die Abwicklung eines Vertrages umfasst. Die Daten werden danach gelöscht.
Darüber hinaus unterliegen wir verschiedenen Aufbewahrungs- und Dokumentationspflichten, die sich unter anderem aus dem Handelsgesetzbuch (HGB) und der Abgabenordnung (AO),ergeben. Die dort vorgegebenen Fristen zur Aufbewahrung bzw. Dokumentation betragen zwei bis zehn Jahre. Schließlich beurteilt sich die Speicherdauer auch nach den gesetzlichen Verjährungsfristen, die zum Beispiel nach den §§ 195 ff. des Bürgerlichen Gesetzbuches (BGB) bis zu dreißig Jahre betragen können, wobei die regelmäßige Verjährungsfrist drei Jahre beträgt. Nach Ablauf der Speicherungsfrist werden die Daten routinemäßig gelöscht.
5.2 Organisatorische Schutzvorkehrungen
Innerhalb der Star Finanz haben nur interne Mitarbeiter, die an der Ausführung und Erfüllung der jeweiligen Informationsprozesse beteiligt sind Zugriff auf Daten. Durch Verschlüsselung und Anonymisierung können auch bei physischem Zugang zu den Systemen die Daten nicht ausgelesen oder über verschiedene Systeme bestimmten Benutzern zugeordnet werden.
5.3 Nutzung vom Fremddiensten
Für die Nutzung von Backup-Diensten Dritter gelten die eigenen Datenschutzbestimmungen der jeweiligen Dritten, auf deren Inhalt und Einhaltung wir keinen Einfluss haben.
5.4 Keine Weitergabe an Dritte
Eine Weitergabe der Daten an Dritte erfolgt ohne Ihre Einwilligung nur dann, wenn wir hierzu gesetzlich verpflichtet sind, z.B. bei Vorliegen eines entsprechenden Gerichtsbeschlusses.
Stand: November 2023