Datenschutzerklärung gem. Art. 13 DSGVO zur UmweltBank Banking App

Der Schutz Ihrer Privatsphäre und Ihrer personenbezogenen Daten ist uns ein zentrales Anliegen. Wir verarbeiten Ihre personenbezogenen Daten im Einklang mit den jeweils einschlägigen datenschutzrechtlichen Vorschriften. Wir unterhalten zudem aktuelle technische und organisatorische Maßnahmen zur Gewährleistung des Datenschutzes und der Datensicherheit. Alle von uns verwendeten Sicherheitstechnologien befinden sich auf dem aktuellen Stand der Technik und werden stetig aktualisiert. Unsere Sicherheitskonzepte werden fortlaufend an neue Erkenntnisse angepasst und erneuert.

Im Folgenden möchten wir Sie über unseren Umgang mit personenbezogenen Daten bei der Nutzung der UmweltBank Banking App informieren.

 

1. Allgemeines

Die UmweltBank Banking App ist eine multibankfähige App für iOS- und Android-Geräte, welche umfassenden Service rund um Kontoinformationen, Zahlungsverkehr und Kommunikation mit der UmweltBank auf mobilen Endgeräten bietet. Die App wird von der Atruvia AG technisch im Auftrag der UmweltBank entwickelt und über den Apple App Store und Google Play Store bereitgestellt.

Die App ermöglicht es Ihnen, im Rahmen der Geschäftsbeziehung mit der UmweltBank, bestimmte Aufträge beim jeweiligen Institut zu erteilen (zum Beispiel Überweisungen, wodurch Daten des Auftrags mittels einer gesicherten Internetverbindung zu Ihrer Bank übermittelt werden). Darüber hinaus besteht die Möglichkeit, Daten des jeweiligen Instituts anzuzeigen, wie beispielsweise der Zugriff auf das elektronische Postfach.

Die Nutzung der App ist optional. Sie können selbst entscheiden, ob Sie diese App herunterladen und/oder installieren.

 

2. Geltungsbereich

Diese Datenschutzerklärung informiert Sie nachfolgend über alle Verarbeitungen personenbezogener Daten im Rahmen der Nutzung der UmweltBank Banking App.

 

3. Definitionen

3.1 Personenbezogene Daten

Personenbezogene Daten sind alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen. Als identifizierbar wird eine natürliche Person angesehen, die direkt oder indirekt identifiziert werden kann, insbesondere mittels Zuordnung zu einer Kennung wie einem Namen, zu einer Kennnummer, zu Standortdaten, zu einer Online-Kennung oder zu einem oder mehreren besonderen Merkmalen, die Ausdruck der physischen, physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität dieser natürlichen Person sind (Art. 4 Nr. 1 DSGVO). 

 

3.2 Verarbeitung

Der Begriff der Verarbeitung umfasst das Erheben, Erfassen, die Organisation, das Ordnen, die Speicherung, die Anpassung oder Veränderung, das Auslesen, das Abfragen, die Verwendung, die Offenlegung durch Übermittlung, Verbreitung oder eine andere Form der Bereitstellung, den Abgleich oder die Verknüpfung, die Einschränkung, das Löschen oder die Vernichtung personenbezogener Daten (Art. 4 Nr. 2 DSGVO).

 

4. Verantwortlicher

UmweltBank AG
Laufertorgraben 6
90489 Nürnberg

 

5. Datenschutzbeauftragter

Bei Fragen zum Thema Datenschutz wenden Sie sich bitte an unseren Datenschutzbeauftragten:

Datenschutzfunktion:
UmweltBank AG
Datenschutzfunktion
Laufertorgraben 6
90489 Nürnberg

E-Mail: datenschutz@umweltbank.de

 

Datenschutzbeauftragter:
UmweltBank AG
Datenschutzbeauftragter
Laufertorgraben 6
90489 Nürnberg

E-Mail: dsb@umweltbank.de.

 

6. Datenverarbeitung

Soweit in den folgenden Abschnitten nicht anders beschrieben, erfolgt die Datenverarbeitung im Rahmen der Nutzung der App auf der Rechtsgrundlage der Erfüllung unserer vertraglichen Pflichten gem.Art. 6 Abs. 1 lit. b DSGVO. In diesem Fall ist die Verarbeitung Ihrer Daten notwendig, um den UmweltBank Banking App Nutzungsvertrag mit Ihnen durchzuführen und Ihnen die Funktionalitäten der App zur Verfügung zu stellen.

Eine Ausnahme stellen bestimmte optionale Funktionen der App dar, für deren Nutzung die einzelnen Funktionen der App Zugriffsberechtigungen auf Ihr Endgerät (z. B. auf die Kamera, das Telefonbuch, das Mikrofon und/oder das Fotoalbum) benötigen. Die Erhebung und Verarbeitung der personenbezogenen Daten durch die beschriebenen Funktionen erfolgt auf Grundlage Ihrer Einwilligung gemäß Art. 6 Abs. 1 lit. a DSGVO. Sofern optionale Funktionalitäten der App hier beschriebene Zugriffsrechte benötigen, wird bei den nachfolgend aufgeführten Funktionalitäten konkret hierauf sowie ggf. auf die Rechtsgrundlage dafür eingegangen.

Im Folgenden informieren wir Sie über die einzelnen Datenverarbeitungen im Zuge der Nutzung der UmweltBank Banking App.

 

6.1 Datenverarbeitung durch Herunterladen der App aus dem App Store

a. Ersteinrichtung der App

Für die Erstanmeldung in der App müssen Sie die nachfolgenden Angaben machen, die für die Nutzung notwendig sind:

  • Anmeldekennwort, welches Sie selbst wählen
  • Online-Banking-Zugangsdaten (UmweltBank-Key/Alias und PIN/Bankleitzahl (BLZ))

Die Verarbeitung dieser Daten insbesondere ihre Speicherung auf Ihrem Gerät ist notwendig, um Ihnen eine uneingeschränkte Nutzung unserer App zur Verfügung stellen zu können, insbesondere um eine Verbindung zu Ihrer Bank herzustellen.

Das in der App vom Nutzer vergebene Anmeldepasswort wird nur lokal in der App verwendet und nicht an die UmweltBank oder Dritte weitergegeben.

Nach Ersteinrichtung der App wird eine Verbindung mit den technischen Umfeldern, denen die UmweltBank zugeordnet ist, hergestellt, um Ihre Bankdaten (z. B. Kontostände und Umsätze) in der App anzuzeigen.

 

b. Speicherung Ihrer IP-Adresse und des Datums bei der Registrierung

Für die Registrierung der Applikation ist auf Ihrem Gerät die Verarbeitung der Autorisierungsdaten des Online-Bankings (UmweltBank-Key/Alias und PIN/BLZ) sowie Ihrer IP-Adresse und des Datums der Registrierung erforderlich, um unberechtigte Anmeldungen zu vermeiden.

 

c. Datenverarbeitung zur Bereitstellung der App (Funktionen, Stabilität und Sicherheit)

Bei Nutzung der mobilen App erheben wir die nachfolgend beschriebenen personenbezogenen Daten, die für uns technisch erforderlich sind, um Ihnen die mobile App anzubieten und die Stabilität und Sicherheit zu gewährleisten. Die Datenerhebung und -verarbeitung erfolgt damit gemäß Art. 6 Abs. 1 lit. b) DSGVO i.V.m. § 25 Abs. 2 Nr. 2 TDDDG. Im Rahmen dessen verarbeiten wir folgende personenbezogenen Daten:

  • Datum und Uhrzeit der Anfrage
  • Zugriffsstatus/HTTP-Statuscode
  • jeweils übertragene Datenmenge
  • Browser
  • Betriebssystem und dessen Oberfläche
  • Sprache und Version der Browsersoftware
  • Inhalt der Anforderung (konkrete Seite)

Weiterhin wird für Ihre Gerätekennzeichnung eine zufällige eindeutige Nummer des Endgerätes erzeugt sowie die Modellbezeichnung Ihres mobilen Endgerätes erfasst.

Darüber hinaus kann die App im Falle eines Absturzes Informationen über die im Moment des Absturzes aufgerufenen Funktionen an uns senden. Dadurch können wir schneller auf ggf. auftretende Komplikationen reagieren. Die übermittelten Daten lassen keine Rückschlüsse auf bestimmte Benutzer zu.

Die erzeugten Informationen über die Nutzung werden innerhalb unseres Rechenzentrums gespeichert und nicht an Dritte weitergegeben.

Daneben setzen wir zur Bereitstellung (Funktion, Stabilität und Sicherheit) der App die folgenden Technologien ein:

#Zweck/DienstleisterDatenRechtsgrundlage
1

Technologien für das Consent Management

(OneTrust)

 
  • Einwilligungsstatus (Zustimmung oder Ablehnung)
  • IP-Adresse (anonymisiert)
  • Zeitstempel der Einwilligung.

§ 25 Abs. 2 TDDDG

Art. 6 Abs. 1 lit. f) DSGVO

Unser Interesse liegt in der Erfüllung unserer gesetzlichen Pflicht der rechtmäßigen Verarbeitung personenbezogener Daten unserer Kunden (Art. 5 Abs. 1 lit. a) DSGVO) auf Grundlage ihres aktuellen Einwilligungsstatus. 

 

Wir nutzen die Consent-Management-Plattform OneTrust, um Ihre Einwilligungen in die Verwendung von Cookies und vergleichbaren Technologien rechtskonform zu verwalten. OneTrust protokolliert, ob und wann Sie Ihre Zustimmung zu bestimmten Cookies erteilt oder widerrufen haben.

Die Verarbeitung dient dem Zweck, Ihre Wahl bezüglich der Cookie-Nutzung zu speichern und umzusetzen, damit wir nur solche Technologien einsetzen, denen Sie zugestimmt haben.

Ihre Einwilligungsdaten (z. B. ob Sie Cookies akzeptiert oder abgelehnt haben) werden bis zu zwei Jahre oder bis zum Widerruf gespeichert. Sie haben jederzeit die Möglichkeit, Ihre Zustimmung zu ändern oder zu widerrufen, indem Sie die Cookie-Einstellungen in unserem Consent-Banner oder in den Einstellungen Ihres Browsers anpassen.

2

Technologien für das Monitoring der App-Stabilität und Sicherstellung ihrer Verfügbarkeit

(Dynatrace)
  • Nutzerinteraktionen zur Fehler- und Performance-Überwachung 
  • Logs von Abstürzen der App werden aufgezeichnet 
  • Ladezeiten der App, Antwortzeiten von Webrequests 
  • Weitere Informationen über das Endgerät: wie Batteriestand, eingebauter RAM, verfügbarer RAM
  • Gerätemodell, CPU-Typ, Mobilanbieter, Netzwerktyp, Netzwerktechnik, Bildschirmauflösung
  • Bildschirmorientierung App-Version, App-Name, Spracheinstellungen, Betriebssystemversion

§ 25 Abs. 2 TDDDG

Art. 6 Abs. 1 lit. f)

Unser Interesse liegt darin, innerhalb der bestehenden App-Nutzungs-/Kundenbeziehung eine stabile und störungsfrei verfügbare App für das Online-Banking bereitzustellen

 

Wir nutzen Technologien für das Monitoring der App-Stabilität und Sicherstellung ihrer Verfügbarkeit für das Überwachen der Anwendungen in Echtzeit, das Erkennen automatischer Anomalien wie Server- oder Prozessausfälle und die automatisierte Ursachenanalysen. Mithilfe von synthetischem Monitoring und Netzwerkverfügbarkeitsüberwachung werden globale und lokale Ausfälle frühzeitig identifiziert, sodass proaktive Maßnahmen ergriffen werden können. Ein Monitoring der gesamten Anwendungsarchitektur, einschließlich Frontend, Backend und Infrastruktur, behebt Engpässe oder Fehler, bevor sie die Nutzererfahrung beeinträchtigen.

Ihre Daten werden hierzu für den Zeitraum von 35 Tagen gespeichert.

3

Technologien für das Tag Management

(aktuell: Adobe Launch)
  • Aktuelle URL der besuchten Seite
  • Browser-Typ und -Version (z. B. Chrome, Firefox, Safari)
  • Gerätetyp (z. B. Desktop, Smartphone, Tablet)
  • Betriebssystem (z. B. Windows, macOS, iOS, Android)
  • JavaScript- und Cookie-Unterstützung (ob diese im Browser aktiviert sind)
  • Referrer-URL (die vorher besuchte Seite)
  • Umgebungs-Variablen und Datalayer-informationen auf der Seite (u. a. Consent-Informationen)

§ 25 Abs. 2 Nr. 2 TDDDG

Art. 6 Abs. 1 lit. f) DSGVO

Sofern personenbezogene Daten verarbeitet werden (z. B. in Zusammenhang mit IP-Adressen oder Nutzungsdaten), liegt unser berechtigtes Interesse darin, sowohl die für die Funktion der App zwingend erforderliche als auch (wenn eine Einwilligung vorliegt) nicht erforderlich Skripte und Tags wirtschaftlich und modular über eine einheitliche Softwarelösung managen zu können und hierdurch die von Ihnen im Consent Banner getroffenen Einwilligungsentscheidungen korrekt umzusetzen.

 

Wir setzen Tag-Management-Systeme wie Adobe Launch ein, die steuern, welche Tracking-Codes und Skripte auf unseren Webseiten ausgeführt werden.

Hierdurch können wir bestimmte Skripte und Tags zentral verwalten und nur dann aktivieren, wenn Sie Ihre Einwilligung gegeben haben. So wird sichergestellt, dass Tracking- und Analysetools nur mit Ihrer Zustimmung ausgeführt werden.

Adobe Launch verarbeitet Ihre Daten nur für den Zeitraum, in dem die jeweiligen Tags und Skripte aktiviert sind.

4

Technologien zum In-App-Tracking für das Onlinemarketing

(aktuell: AppsFlyer)
  • Anonymisierte IP-Adresse,
  • Geräteinformationen (z. B. Modell, Hersteller, Betriebssystemversion),
  • Netzwerkstatus (z. B. WLAN oder mobile Daten),
  • Zeitstempel und spezifische In-App-Aktivitäten wie Käufe oder Interaktionen.
  • Anbieter-spezifische Werbe-IDs, wie beispielsweise eindeutige Kennungen für personalisierte Werbung.
  • Geräte-spezifische Werbe-ID (falls vom Gerät freigegeben) für die Erkennung wiederkehrender User und personalisierte Werbung.

§ 25 Abs. 1 TDDDG

Art. 6 Abs. 1 lit. a) DSGVO

 

Wir nutzen Technologien zum In-App-Tracking für das Onlinemarketing, um die Nutzung der App zu analysieren und die Effektivität von Werbekampagnen zu messen (Kampagnenattribution, Optimierung und Retargerting, Messung der Kampagneneffektivität). Die In-App-Trackingfunktionalitäten umfassen die Erfassung von Daten zu App-Installationen und Nutzeraktionen innerhalb der App, sogenannten “In-App-Events”. Diese Daten werden durch ein in der App integriertes SDK (Software Development Kit) gesammelt.

Die Daten werden in der Regel nach 13 Monaten anonymisiert oder gelöscht.

 

d. App-Tracking zu Analyse und Werbezwecken

In der Banking App sind Dienste zu Analyse- und Werbezwecken technisch eingebunden. Grundsätzlich sind diese Funktionen vorgesehen, um Ihr Nutzungserlebnis zu optimieren, Ihnen personalisierte Werbung anzuzeigen und Werbekampagnen für Sie gezielter auszurichten.

Diese Dienste werden jedoch nicht aktiv verwendet und führen keine Funktionen aus. Auch wenn Sie dem Einsatz dieser Dienste innerhalb des Consent-Managers zustimmen, erfolgt keine Verarbeitung Ihrer personenbezogenen Daten. 

 

e. Cookies

Zusätzlich zu den zuvor genannten Daten werden bei Ihrer Nutzung unserer mobilen App Cookies auf Ihrem Gerät gespeichert. Um die App verwenden zu können, ist die Aktivierung von Cookies im Browser des Endgerätes notwendig. Bei Cookies handelt es sich um kleine Textdateien, die im Gerätespeicher Ihres mobilen Endgerätes abgelegt und der von Ihnen verwendeten mobilen App zugeordnet gespeichert werden. Durch Cookies können der Stelle, die das Cookie setzt, bestimmte Informationen zufließen. Cookies können keine Programme ausführen oder Viren auf Ihr mobiles Endgerät übertragen.

Die von uns verwendeten Cookies dienen dazu, die UmweltBank Banking App insgesamt nutzerfreundlicher und effektiver zu machen, indem der berechtigte Nutzer für einen bestimmten Zeitraum innerhalb der App identifiziert wird, und zugleich dazu, dass unberechtigte Nutzer keinen Zugriff auf die App erhalten. Die Datenverarbeitung durch die von uns verwendeten Cookies stellt daher ein berechtigtes Interesse im Sinne des Art. 6 Abs. 1 lit. f) DSGVO dar.

Diese mobile App nutzt folgende Arten von Cookies, deren Umfang und Funktionsweise im Folgenden erläutert werden.

Als Cookies verwenden wir:

Bezeichnung des Cookies
Zweck/Erforderlichkeit
Ablaufdatum/Zeit 
bis zur automatischen
 Löschung
access_tokenIdentifiziert den angemeldeten Benutzer und berechtigt ihn zum aktiven Aufrufen von Services (Kurze Gültigkeit von 1 Minute)Beim Schließen der App
refresh_tokenIdentifiziert den angemeldeten Benutzer und ermöglicht ihm den access_token zu aktualisieren (Ermöglicht somit eine Sitzung)Beim Schließen der App

Transiente Cookies werden automatisiert gelöscht, wenn Sie unsere mobile App schließen. Dazu zählen insbesondere die Session-Cookies. Diese speichern eine sogenannte Session-ID, mit welcher sich verschiedene Anfragen Ihrer mobilen App zuordnen lassen. Dadurch kann Ihr mobiles Endgerät wiedererkannt werden, wenn Sie unsere mobile App erneut nutzen. Die Session-Cookies werden gelöscht, wenn Sie sich ausloggen oder die App schließen.

 

f. Touch ID/Face ID/Fingerprint

Nach Vergabe eines Anmeldekennworts ist ein optionaler Login per Touch ID/Face ID (iOS) oder Fingerprint (Android) möglich. Hierbei handelt es sich um biometrische Daten, die gemäß Art. 9 Abs. 1 DSGVO zu den Kategorien besonders schützenswerter personenbezogener Daten zählen. Diese Daten werden durch das Betriebssystem Ihres Endgeräts nur lokal am Gerät gespeichert und nicht zur Verarbeitung an die UmweltBank oder Dritte weitergegeben. Wird der optionale Login verwendet, erhält die App bei einem Anmeldeversuch lediglich die Information vom Betriebssystem Ihres Endgeräts, ob die Authentifizierung erfolgreich war oder nicht. Eine Verarbeitung personenbezogener Daten durch die App findet an dieser Stelle nicht statt. Der optionale Login kann jederzeit über die Systemeinstellungen der App eingerichtet oder abgestellt werden. Für weitere Informationen zur Verwendung ihres biometrischen Identifikationsmerkmals können Sie die Datenschutzhinweise des Anbieters des Betriebssystems Ihres Endgeräts einsehen.

 

g. Push-Benachrichtigungen

Sie haben die Möglichkeit im Rahmen der Nutzung dieser App sogenannte Push-Nachrichten zu erhalten. Push-Benachrichtigungen sind textliche Meldungen, die auf Ihrem Gerät erscheinen, auch wenn Sie die entsprechende App nicht gestartet haben. So bleiben Sie stets informiert.

Damit dies möglich ist, wird eine sog. Push-ID gespeichert und verarbeitet. Die Push-ID ist dabei eine Zeichenfolge, die auf dem Gerät generiert wird. Sie ist eine Kombination aus einem Zeitstempel und zufällig generierten Zeichen.

Die Push-Benachrichtigung dient dazu, Sie über bestimmte Transaktionen innerhalb der App zu informieren. Standardmässig werden die konkreten Informationen zu den Transaktionen selbst nur in der App und nicht in der Push-Benachrichtigung angezeigt (dies dient Ihrem Schutz vor einem möglichen Ausspähen durch andere Personen, die ggf. einen Blick auf den Bildschirm Ihres Gerätes haben). Die konkreten Transaktionsdaten können erst nach Ihrer Legitimation in der App abgerufen werden.

Für Transaktionen mit Ihrer girocard (girocard Debit Mastercard und Mastercard Kreditkarte) können Sie jedoch optional einstellen, dass detaillierte Informationen zu den Transaktionen direkt in der Push-Benachrichtigung angezeigt werden. Diese Einstellung können Sie in der App aktivieren oder deaktivieren. Bitte beachten Sie, dass bei Aktivierung dieser Funktion die detaillierten Transaktionsdaten in der Push-Benachrichtigung angezeigt werden und somit für Personen sichtbar sein könnten, die Zugriff auf den Bildschirm Ihres Geräts haben.

Angezeigt wird Ihnen in der Basiskonfiguration zunächst:    

  • Auftragsfreigabe (Möglichkeit der Anzeige und Freigabe von Aufträgen, welche Bevollmächtigte eingegeben haben. In der Push-Nachricht wird folgendes angezeigt: „Ein neuer Auftrag steht für Sie zur Freigabe bereit“)
  • Karten (Möglichkeit, Push-Benachrichtigungen bei Transaktionen für girocard Debit Mastercard und Mastercard Kreditkarte neuen Kreditkartenumsätzen zu erhalten. Für girocard-Transaktionen können Sie zusätzlich detaillierte Benachrichtigungen aktivieren.)
  • Benachrichtigungsservice (Möglichkeit, Push-Benachrichtigungen anhand eigens definierter Regeln zu Postfach, Kontosaldo und -umsätzen zu erhalten)

 

Um Push-Benachrichtigungen zu erhalten, ist es erforderlich, dass Sie Ihre Einwilligung gemäß Art. 6 Abs. 1 lit. a) DSGVO in die damit verbundene oben beschriebene Verarbeitung Ihrer personenbezogenen Daten erteilen. Die Einwilligung erteilen Sie, indem Sie in dem Betriebssystem Ihres Gerätes die Push-Funktion in den Einstellungen aktivieren. Es gelten diesbezüglich die Datenschutzhinweise des jeweiligen Anbieters Ihres Betriebssystems, wie z. B. Google oder Apple. Ihre Einwilligung können Sie jederzeit widerrufen, indem Sie Ihre Zustimmung für die Push-Funktion der App in den Einstellungen Ihres Geräts entziehen.

Bitte beachten Sie, dass die jeweiligen Push-Benachrichtigungen zwar transportverschlüsselt, aber nicht inhaltsverschlüsselt werden. Das heißt, bei Verschlüsselung auf Transportebene werden sowohl Meta- als auch Inhaltsdaten der Push-Benachrichtigung auf der Verbindung zwischen Endgerät und Server verschlüsselt, um sicherzustellen, dass die Push-Nachricht während des Transports von Dritten nicht mitgelesen werden kann. Auf den beteiligten Servern liegt die Nachricht jedoch im Klartext vor. Mit der Aktivierung der Push-Funktionalität stimmen Sie dem zu.

 

h. Datenverarbeitung durch Kontaktaufnahme

Bei Ihrer Kontaktaufnahme mit uns per E-Mail oder über ein Kontaktformular wird Ihre E-Mail-Adresse und, falls sie von Ihnen angegeben werden, Ihr Name und Ihre Telefonnummer von uns gespeichert, um Ihre Fragen zu beantworten. Hängt Ihr Anliegen mit einem bestehenden Vertrag mit uns oder mit vorvertraglichen Maßnahmen zusammen, zum Beispiel einer Angebotseinholung, erfolgt die Verarbeitung Ihrer Daten auf Grundlage von Art. 6 Abs. 1 lit. b) DSGVO. In allen anderen Fällen bildet unser berechtigtes Interesse gemäß Art. 6 Abs. 1 lit. f) DSGVO an der Bearbeitung Ihres Anliegens die Rechtsgrundlage der Verarbeitung. Wir speichern Ihre Angaben, bis der Zweck der Speicherung (v.a. Erledigung Ihres Anliegens) erfüllt ist oder Sie uns zur Löschung auffordern, sofern dem keine gesetzlichen Aufbewahrungsfristen entgegenstehen.

 

i. Mobil Bezahlen mit digitaler Karte

Sowohl die girocard Debit Mastercard als auch die Mastercard Kreditkarte der UmweltBank können als digitale Bankkarten zur Speicherung auf einem mobilen Endgerät (z. B. Smartphone) ausgegeben werden. Die digitalen Bankkarten können überall dort eingesetzt werden, wo auch die entsprechenden kontaktlosen Bankkarten akzeptiert werden.

Für die digitale Bankkarte sind bestimmte personenbezogene Daten dauerhaft in einem zugriffgesicherten Bereich des mobilen Endgeräts hinterlegt. Wird die NFC-Schnittstelle des mobilen Endgerätes deaktiviert, ist auf diesem Weg kein Zugriff mehr auf die digitalen Bankkarten möglich. Grundsätzlich gelten für kontaktlose Transaktionen die Vorgaben des Bundesdatenschutzgesetzes und der Datenschutz-Grundverordnung.

 

Virtuelle girocard

Um das Bezahlen mit der virtuellen girocard zu ermöglichen, werden folgende Daten elektronisch und unverschlüsselt in der Banking App gespeichert:     

  • Kartennummer,
  • Kurzbankleitzahl,
  • Kontonummer,
  • Gültigkeitsdatum,
  • Länderkennung und technische Daten zur Steuerung der Transaktion.

 

Über die NFC-Schnittstelle können diese Daten ausgelesen bzw. daraus abgeleitet werden. Diese Daten werden insbesondere verwendet, sobald sich das mobile Endgerät mit Ansprache der in der App hinterlegten virtuellen girocard in unmittelbarer Nähe eines NFC-fähigen Gerätes befindet. Die Ansprache über die NFC-Schnittstelle kann erfolgen, wenn die virtuelle girocard in der Banking App aktiviert wird oder wenn für die entsprechende girocard die sog. Standardkarte und das Display aktiviert wurden.

Zusätzlich werden in der App die folgenden Daten verarbeitet:   

  • Name des Kontoinhabers
  • Name des Karteninhabers
  • IBAN
  • Transaktionsdaten

 

Diese Daten sind nicht über die NFC-Schnittstelle auslesbar.

 

Digitalisierte Mastercard Kreditkarte

Um das Bezahlen mit der digitalisierten Mastercard Kreditkarte zu ermöglichen, werden folgende Daten elektronisch und unverschlüsselt in der Banking App gespeichert:

  • eine pseudonymisierte Kartennummer (nicht die eigentliche Kartennummer der physischen Karte)
  • Laufzeitende der digitalen Karte
  • Länderkennung des Herausgebers und technische Daten zur Steuerung der Transaktion

 

Über die NFC-Schnittstelle können diese Daten ausgelesen bzw. daraus abgeleitet werden. Diese Daten werden insbesondere verwendet, sobald sich das mobile Endgerät mit Ansprache der in der App hinterlegten digitalisierten Mastercard Kreditkarte in unmittelbarer Nähe eines NFC-fähigen Gerätes befindet. Die Ansprache über die NFC-Schnittstelle kann erfolgen, wenn die digitale Mastercard Kreditkarte in der Banking App aktiviert wird oder wenn die entsprechende Mastercard Kreditkarte als Standardkarte, die Banking App als Standard-Bezahl-App festgelegt und das Display aktiviert wurden.

Zusätzlich werden in der App die folgenden Daten gespeichert:

  • Name des Karteninhabers,
  • Transaktionsdaten

 

Diese Daten sind nicht über die NFC-Schnittstelle auslesbar.

 

Nutzung der Entsperrfunktion beim Bezahlen mit den digitalen Karten

Beim Bezahlen mit den digitalen Karten (girocard Debit Mastercard und Mastercard Kreditkarte) wird die Entsperrfunktion Ihres mobilen Endgeräts (z. B. Smartphone) zur Verifizierung Ihrer Person genutzt. Dieser Vorgang wird als Consumer Device Cardholder Verification Method, kurz CDCVM, bezeichnet. Kunden bestätigen ihre Zahlungen im stationären Handel dann mittels Fingerabdrucks, Gesichtserkennung (falls sicher), Gerätecode oder Muster – so wie sie es in ihrem Alltag vom Entsperren ihres Smartphones gewohnt sind.

Im Rahmen der Nutzung der Entsperrfunktion zum Bezahlen werden weder biometrische noch wissensbasierte Daten an die UmweltBank oder Dritte weitergegeben. Die Verifizierung erfolgt ausschließlich in dem mobilen Endgerät. Die UmweltBank erhält lediglich eine Information über die erfolgreiche oder nicht erfolgreiche Verifizierung Ihrer Person.

 

Gespeicherte Daten einsehen und löschen

Die in der Banking App aktivierten digitalen Karten können nach Aktivierung der entsprechenden Karte mit frei verfügbaren Apps auf einem NFC-fähigen Smartphone (nicht das Gerät, auf dem die Karte gespeichert ist) oder einem NFC-Kartenleser an einem PC ausgelesen werden. Mit der Deinstallation der App oder dem Löschen aller Karten über die Mobiles Bezahlen Einstellungen werden die zugehörigen digitalen Bankkarten zurückgesetzt.

 

j. Fotoüberweisung/Rechnung hochladen

Die Funktion Fotoüberweisung (in der App) sowie der Funktion Rechnung hochladen (im Online-Banking) bieten Ihnen eine Funktion an, mit der eine vereinfachte Vorbefüllung der Überweisungsmaske ermöglicht wird.

Bei der Fotoüberweisung sowie der Funktion Rechnung hochladen handelt es sich um einen Service, der überweisungsrelevante Daten wie Zahlungsempfänger, Empfänger-IBAN, Zahlungsbetrag und Verwendungszweck („Extraktionen") aus dem gescannten oder fotografierten Bild eines Rechnungsdokuments extrahiert und für einen Zahlungsauftrag im Online-Banking des Nutzers bereitstellt. Dabei werden die in den Fotos/ Dateien vorhandenen Überweisungsdaten ausgelesen, so dass die Überweisungsmaske automatisch vorbefüllt werden kann. Sollten mehrere Bankverbindungen vorhanden sein, wird das erste erkannte Bankkonto für die Vorbefüllung verwendet.

Die Funktionen „Fotoüberweisung" und „Rechnung hochladen" stellen lediglich ein Angebot der Bank dar und ist für eine Überweisung nicht notwendig. Die für die Überweisung erforderlichen Daten (Verwendungszweck ist nicht erforderlich für Überweisung) können auch wie gewohnt zum Beispiel über eine manuelle Eingabe eingetippt oder aus Vorlagen übernommen werden.

Zur Erbringung des Service nutzen wir die Dienste unseres Partners Gini GmbH, Ridlerstraße 57, 80339 München, der in unserem Auftrag und auf der Grundlage eines Vertrags zur Auftragsverarbeitung im Sinne des Art. 28 DSGVO handelt.

Für die Erbringung der Dienstleistung wird das vom Nutzer angefertigte Bild/die Datei des Rechnungsdokuments an die Gini GmbH übermittelt. Außerdem werden die vom Nutzer gegebenenfalls manuell korrigierten Überweisungsdaten an die Gini GmbH übermittelt. Zudem wird ein Feedback an Gini zurückgemeldet, wenn die Rechnungen nicht korrekt ausgelesen werden. Dadurch wird die Genauigkeit der Fotoüberweisung langfristig verbessert und die Fehlerquote reduziert.

Die Gini GmbH setzt zur Erbringung des Services künstliche Intelligenz (KI) ein. Merkmal der KI-Technologie ist es, dass die KI aus Fehlern lernt. Die Lernfunktion der Gini-API speichert dabei keinerlei personenbezogene Daten im Sinne der DSGVO, sondern lediglich nicht kundenspezifische Informationen zur Positionierung und Kategorisierung (z. B. „IBAN") von Extraktionen bei einem bestimmten Dokumententyp. ­­

Zweck der Datenverarbeitung sind die Extraktion von Zahlungsdaten aus dem Bild/der Datei des Rechnungsdokuments sowie die Fehlerkorrektur. Ihre personenbezogenen Daten werden längstens für 28 Tage gespeichert und anschließend gelöscht. Es werden nur die in der Überweisungsmaske in den Textfeldern angezeigten Daten weiterverarbeitet, um die Überweisung durchzuführen.

Rechtsgrundlage der Datenverarbeitung im Rahmen der Nutzung der Funktionen ist die Einwilligung im Sinne von Art. 6 Abs. 1 lit. a DSGVO sowie Art. 9 Abs. 2 lit. a DSGVO. Bei der Verwendung der Ausfüllhilfe werden besondere Kategorien personenbezogener Daten, aus denen zum Beispiel die rassische und ethnische Herkunft, politische Meinungen, religiöse oder weltanschauliche Überzeugungen oder die Gewerkschaftszugehörigkeit oder die sexuelle Orientierung (Art. 9 DSGVO) hervorgeht, verarbeitet, wenn solche Daten ohne Abdeckung auf den abfotografierten/importierten Dokumenten enthalten sind. So stehen z. B. Gesundheitsdaten auf Arztrechnungen. Diese können vor dem Auslesen der Daten technisch nicht herausgefiltert werden und werden automatisch mitverarbeitet für die Durchführung der Überweisung. Wenn Sie die Verarbeitung von nicht für die Überweisung notwendigen Daten verhindern wollen, decken Sie nicht erforderliche Daten ab.

Durch die Auftragsverarbeitung ändert sich die datenschutzrechtliche Verantwortlichkeit im Sinne des Art. 24 DSGVO nicht. Die Rechte des Nutzers nach DSGVO, BDSG und diesen Datenschutzhinweisen bleiben durch die Auftragsverarbeitung unberührt. Ihre Einwilligung können Sie im Online-Banking bzw. in der Banking App im Bereich „Zustimmungsmanagement" verwalten. Dort können Sie Ihre Einwilligung erteilen oder widerrufen.

 

6.2 Datenverarbeitung im Rahmen des Online-Bankings

Für Verarbeitungen Ihrer personenbezogenen Daten im Zusammenhang mit Banking-Funktionen (z. B. das Online-Banking, die Durchführung von Überweisungen, die Anzeige von Transaktionsdaten und Umsätzen) verweisen wir auf die Datenschutzhinweise der UmweltBank auf unserer Website.

Explizit verweisen wir hinsichtlich der Zwecke und Rechtsgrundlagen auf die Abschnitte „Welche Daten werden erhoben und gespeichert?“ und „Nutzung und Rechtsgrundlage der erhobenen Daten.

 

6.3 Speicherdauer, Empfänger, automatisierte Entscheidungsfindung

Für Informationen zur Speicherdauer, Empfängern und automatisierten Entscheidungsfindung verweisen wir auf die Datenschutzhinweise der UmweltBank auf unserer Website, speziell auf die Abschnitte „Datenverwaltung intern und extern“, „automatisierte Verarbeitung der personenbezogenen Daten“ und „Speicherdauer Ihrer personenbezogenen Daten“.  

 

7. Drittlandsübermittlung

Ihre Daten werden grundsätzlich in Deutschland oder im europäischen Ausland verarbeitet. Findet eine Verarbeitung Ihrer Daten in Ausnahmefällen auch in Drittstaaten statt, geschieht dies, soweit Sie hierin ausdrücklich eingewilligt haben oder es für unsere Leistungserbringung erforderlich ist oder es gesetzlich vorgesehen ist (Art. 49 DSGVO). Darüber hinaus erfolgt eine Verarbeitung Ihrer Daten in Drittstaaten nur, soweit durch bestimmte Maßnahmen sichergestellt ist, dass hierfür ein angemessenes Datenschutzniveau besteht (z. B. Angemessenheitsbeschluss der EU-Kommission oder sog. geeignete Garantien, Art. 44 ff. DSGVO unter Verwendung der Standard-Vertragsklauseln der Europäischen Kommission).

Nach Art. 45 Abs. 1, 3 DSGVO ist die Datenübermittlung in Drittländer zulässig, wenn ein Angemessenheitsbeschluss der EU-Kommission vorliegt. Dies ist seit dem 10. Juli 2023 für unter dem EU-U.S. Data Privacy Framework (DPF) zertifizierte Organisationen in den USA der Fall. Die nachstehenden Dienstleister sind DPF zertifizierte Unternehmen: 

#DienstleisterFunktion/ZweckDrittlandsübermittlung
1

OneTrust LLC

Suite 700, 1200 Abernathy Road North EastAtlanta, Georgia 30328 USA

Consent Management PlatformDie OneTrust-Dienste können Daten in die USA übermitteln. Die Gewährleistung des angemessenen Datenschutzniveaus in diesen Fällen wird durch eine Zertifizierung der Unterauftragsverarbeiterin unter dem EU US Data Privacy Framework gewährleistet. Informationen hierzu finden Sie hier.
2

Adobe Systems Software Ireland Limited (ADIR)

4-6 Riverwalk, Citywest Business Campus, Saggart, Dublin 24

IRELAND

Tag ManagementDie Adobe-Dienste können Daten in die USA übermitteln. Die Gewährleistung des angemessenen Datenschutzniveaus in diesen Fällen wird durch eine Zertifizierung der Unterauftragsverarbeiterin unter dem EU US Data Privacy Framework gewährleistet. Informationen hierzu finden Sie hier.
3

AppsFlyer Ltd.

14 Maskit St., POB 12371 Her-zliya,

ISRAEL

In-App-Tracking für Onlinemarketing

Die AppsFlyer-Dienste können Daten in die USA übermitteln. Die Gewährleistung des angemessenen Datenschutzniveaus in diesen Fällen wird durch eine Zertifizierung der Unterauftragsverarbeiterin unter dem EU US Data Privacy Framework gewährleistet. Informationen hierzu finden Sie hier und hier.  

Für Israel besteht ein Angemessenheitsbeschluss gem. Art. 45 DSGVO (Data protection adequacy for non-EU countries). 

 

8. Ihre Rechte

8.1 Widerruf Ihrer Einwilligung

Sofern die Verarbeitung Ihrer personenbezogenen Daten auf einer Einwilligung beruht und Sie uns diese erteilt haben (Art. 6 Abs. 1 lit. a) DSGVO), können Sie diese jederzeit widerrufen. Der Widerruf Ihrer Einwilligung wirkt für die Zukunft. Die Rechtmäßigkeit der Verarbeitung Ihrer personenbezogenen Daten bis zum Zeitpunkt des Widerrufs bleibt unberührt. Bitte richten Sie, sofern unter oben nicht anders dargestellt, den Widerruf Ihrer Einwilligung an:

UmweltBank AG
Datenschutzbeauftragter
Laufertorgraben 6
90489 Nürnberg
E-Mail: datenschutz@umweltbank.de

Sofern Sie Ihre Einwilligung widerrufen, verarbeiten wir Ihre in diesem Zusammenhang erhobenen personenbezogenen Daten zur Beantwortung Ihrer Anfrage. Die Verarbeitung Ihrer personenbezogenen Daten erfolgt auf Grundlage von Art. 6 Abs. 1 lit. f) DSGVO.

 

8.2 Berechtigte Interessen an der Datenverarbeitung und Widerspruch

Soweit wir Ihre personenbezogenen Daten auf Grundlage berechtigter Interessen (Art. 6 Abs. 1 S. 1 lit. f) DSGVO) verarbeiten, können Sie der Datenverarbeitung aus Gründen, die sich aus Ihrer besonderen Situation ergeben, jederzeit widersprechen (Art. 21 DSGVO).

 

8.3 Weitere Betroffenenrechte

1. Sie können jederzeit von uns nach Maßgabe der DSGVO verlangen, dass wir

  • Ihnen Auskunft über die Sie betreffenden personenbezogenen Daten, die wir verarbeiten, erteilen sowie Ihnen eine Kopie Ihrer personenbezogenen Daten bereitstellen (Art. 15 DSGVO),
  • personenbezogene Daten, die Sie betreffen und unrichtig sind, berichtigen (Art. 16 DSGVO),

 

2. Unter bestimmten Voraussetzungen haben Sie das Recht, von uns zu verlangen, dass wir

  • Ihre personenbezogenen Daten löschen (Art. 17 DSGVO),
  • die Verarbeitung Ihrer personenbezogenen Daten einschränken (Art. 18 DSGVO) und/ oder
  • Ihre personenbezogenen Daten an Sie herausgeben sowie auf Ihren Wunsch an einen anderen Verantwortlichen übermitteln (Art. 20 DSGVO).

 

3. Richten Sie Ihre Anfragen bitte an:

UmweltBank AG
Datenschutzbeauftragter
Laufertorgraben 6
90489 Nürnberg
E-Mail: datenschutz@umweltbank.de 

4. Unbeschadet Ihrer Rechte nach Ziffer 7. können Sie sich jederzeit gemäß Art. 77 DSGVO bei einer Aufsichtsbehörde beschweren, sollten Sie der Ansicht sein, dass wir bei der Verarbeitung Sie betreffender personenbezogener Daten gegen datenschutzrechtliche Bestimmungen verstoßen. Diese wird sich im Anschluss mit Ihrer Beschwerde befassen.

Welche Datenschutzaufsichtsbehörde zuständig ist, richtig sich nach dem Ort Ihres gewöhnlichen Aufenthalts, ihres Arbeitsplatzes, des Orts des mutmaßlichen Verstoßes oder des Sitzes des Verantwortlichen. Eine Liste aller Aufsichtsbehörden sowie deren Kontaktdaten können Sie diesem Link entnehmen.

 

 

9. Änderung der Datenschutzerklärung

Wir behalten uns das Recht vor, die Datenschutzerklärung an die aktuellen rechtlichen Anforderungen sowie Änderungen unserer Leistungen anzupassen. Für Ihren Besuch gilt die jeweils aktuelle Datenschutzerklärung. Die aktualisierte Datenschutzerklärung gilt ab dem Zeitpunkt, in dem sie Ihnen bekanntgegeben wurde.

 Stand: November 2025