Die Banque et Caisse d’Epargne de l’Etat, Luxembourg mit Sitz in 1, Place de Metz, L-2954 Luxemburg, nachstehend „Spuerkeess“ genannt, verarbeitet personenbezogene Daten natürlicher Personen im Rahmen ihrer satzungsgemäßen Tätigkeit. In ihrer Eigenschaft als für die Datenverarbeitung Verantwortlicher gewährleistet Spuerkeess die Einhaltung der Datenschutzvorschriften für personenbezogene Daten, die den betroffenen Personen Transparenz und Vertrauen garantieren.
Diese allgemeine Datenschutzrichtlinie für personenbezogene Daten beschreibt die Art und Weise, in der die personenbezogenen Daten von Spuerkeess je nach Art der Kundenbeziehung genutzt und geschützt werden.
Geltungsbereich
Diese Datenschutzrichtlinie von Spuerkeess gilt für die gesamte automatisierte oder nicht automatisierte Verarbeitung von personenbezogenen Daten, die von Spuerkeess durchgeführt wird, und enthält die Grundsätze und Leitlinien für ihre Pflichten als für die Datenverarbeitung „Verantwortlicher“ (der Verantwortliche bestimmt die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten) gemäß der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr, die am 25. Mai 2018 in Kraft getreten ist (im Folgenden die „Verordnung“).
Betroffene Personen
Spuerkeess verarbeitet personenbezogene Daten der natürlichen und juristischen Personen, zu denen sie eine direkte oder indirekte Beziehung hat, hatte oder möglicherweise haben kann, das heißt:
- von Kunden oder potenziellen Kunden, die an den Dienstleistungen und Produkten von Spuerkeess interessiert sind,
- von Anspruchsberechtigten, Bevollmächtigten und allen natürlichen Personen, die als Vertreter eines Kunden von Spuerkeess handeln,
- von Bürgen,
- von externen Dienstleistern und Auftragsverarbeitern, ihren Beschäftigten, Vertretern und Kontaktpersonen,
- von Besuchern,
- von Nutzern der Websites und Mobile Apps von Spuerkeess,
- von gesetzlichen Vertretern, Mitgliedern der Verwaltungsorgane und befugten Personen einer juristischen Person, die Kunde von Spuerkeess ist,
- von wirtschaftlichen Eigentümern und Aktionären einer juristischen Person, die Kunde von Spuerkeess ist,
- von Auftraggebern und/oder Begünstigten in Verbindung mit den Transaktionen, die von einem Kunden von Spuerkeess ausgeführt werden,
- von Bewerbern im Rahmen des Rekrutierungsprozesses,
- von jeder anderen natürlichen Person, die Spuerkeess kontaktiert.
Erfasste Daten
Es werden nur solche personenbezogenen Daten erfasst, die zur Erreichung der von Spuerkeess festgelegten Zwecke benötigt werden.
Es werden verschiedene Kategorien von personenbezogenen Daten erfasst:
- die persönlichen Identifikationsdaten (z. B. Name, Geburtsdatum und -ort, Personalausweis-/Reisepassnummer, Adresse, Beruf, Telefonnummer, E-Mail-Adresse, IP-Adresse Ihres Computers oder Mobilgeräts, gesetzlicher Vertreter, Bevollmächtigter usw.);
- Daten zum Familienstand (z. B. Zusammensetzung der Familie);
- Bank- und Finanzidentifikationsdaten (z. B. Kundennummer, Kontonummer, Portfolionummer, Kreditkartennummer, SIN (Steueridentifikationsnummer), Daten zu den Produkten und Dienstleistungen, die Sie in Anspruch nehmen);
- Finanztransaktionsdaten;
- Angaben zur Vermögenslage (z. B. Einkünfte, Ausgaben, Kredite, Vermögen);
- Daten, Kennzahlen und Ratings in Bezug auf Ihr Anlegerprofil oder Kreditnehmerprofil und andere Daten, die für eine ordnungsgemäße Verwaltung der Risiken durch Spuerkeess gemäß dem Gesetz (z. B. Rückzahlungsfähigkeit für Ihre Kredite, Zahlungsfähigkeit) notwendig sind;
- Daten zu Ihren Gewohnheiten und Vorlieben:
- Daten im Zusammenhang mit der Verwendung der von Ihnen bei uns in Anspruch genommenen Produkte und Dienstleistungen (Bank-, Finanz- und Transaktionsdaten);
- Daten, die im Rahmen unserer Kommunikation mit Ihnen in unseren Zweigstellen, auf unseren Websites, mobilen Apps oder Diensten in den sozialen Netzwerken, bei Terminen, Telefonanrufen, in Chats, E-Mails oder Gesprächen erfasst werden oder die bei Panels zur Optimierung der Benutzererfahrung (UX) erhoben werden;
- Standortdaten (z. B. benutzte Geldausgabeautomaten, besuchte Zweigstellen);
- Daten in Verbindung mit Ihrem Verhalten und Ihren Vorlieben beim Besuch unserer Websites. Weitere Informationen finden Sie in unseren Cookie-Richtlinien, die auf der Website www.spuerkeess.lu veröffentlicht sind; - Daten zur Ihrer Nutzung unserer Banking-App S-Net:
- Daten zu Ihrem Mobilgerät (z.B. technische Kennungen, Verbindungsdaten);
- finanzbezogene Daten (z.B. Abfragen von Kontoständen und -bewegungen, Zahlungsdaten, wenn Sie online Finanztransaktionen tätigen);
- Daten, die sich auf Ihre Zahlungskonten bei anderen Banken beziehen, auf die Sie über S-Net zugreifen (im Rahmen von PSD2, Revised Payment Services Directive);
- Daten, die sich auf Ihre Käufe von Bankprodukten und -dienstleistungen in S-Net beziehen;
- Kontaktdaten, Bilder, Nachrichten, einschließlich digitalisierter Dokumente, die Sie mit uns über S-Net austauschen;
- Daten bezüglich Simulationen (z.B. Darlehen, Speedinvest);
- Daten zur Nutzung des MIA-Tools, ein sogenannter „Personal Finance Manager“, der Sie bei der täglichen Verwaltung Ihrer Finanzen unterstützt;
- Daten zur Nutzung des in S-Net integrierten Payconiq-Dienstes (z.B. das Scannen von QR-Codes mit Ihrer Kamera, Kontaktliste Ihres Mobilgeräts). S-Net bittet Sie um Ihre Erlaubnis, auf Ihre Kontaktliste zuzugreifen und teilt Payconiq die Telefonnummer des Kontakts mit, den Sie auswählen, um eine Zahlung zu tätigen);
- Dokumente, die Sie im Tresor Ihres S-Net Steuerbereichs aufbewahren;
- Geolokalisierung, wenn Sie nach dem nächstgelegenen Geldautomaten oder der nächstgelegenen Spuerkeess-Zweigstelle suchen; - Authentifizierungsdaten (z. B. Ihre Unterschriftsprobe, biometrische Daten zur Identifizierung Ihrer Unterschrift auf dem Signing Pad);
- Videoaufnahmen und Videoüberwachung (CCTV) innerhalb und außerhalb unserer Gebäude und Anlagen;
- Aufzeichnungen bestimmter Telefongespräche;
- Aufzeichnungen von Face-to-Face-Besprechungen, Chat-Sitzungen, Videounterhaltungen;
- jede papierbasierte und elektronische Korrespondenz;
- Daten, mit deren Erhebung Sie uns beauftragt haben (z. B. Daten zu Bankkonten und Guthaben, die bei anderen Banken bestehen, die im Rahmen der Zahlungsdiensterichtlinie PSD2 ausgetauscht werden);
- Daten, die Spuerkeess benötigt, um ihre gesetzlichen und aufsichtsrechtlichen Pflichten einzuhalten (z. B. Daten, die zur Aufdeckung von verdächtigen oder betrügerischen Aktivitäten verarbeitet werden, Daten, die für Kontrollen im Rahmen der Bekämpfung von Geldwäsche und Terrorismusfinanzierung notwendig sind);
- Daten zur Bewertung der Fähigkeiten eines Bewerbers für eine Stelle (z. B. Diplome, Berufserfahrung, Ausbildungen).
Diese Daten werden insbesondere bei folgenden Gelegenheiten erhoben:
- bei der Aufnahme der Geschäftsbeziehung oder in deren Verlauf (z. B. bei Kontakten zu Ihren Kundenberatern, bei Aktualisierungen Ihrer Kundendaten, im Rahmen der Teilnahme an Umfragen oder Panels zur Optimierung der Benutzererfahrung (UX) usw.);
- wenn Sie unsere Anwendungen (z. B. S-Net, S-Net Mobile) nutzen oder unsere Websites besuchen;
- wenn Sie einen Dienst oder eine Veröffentlichung, die gleich in welcher Form von Spuerkeess erstellt wird (z. B. Newsletter), abonnieren;
- wenn Sie auf Einladungen zu Veranstaltungen, die von Spuerkeess organisiert werden, antworten;
- wenn Sie bei einem Besuch in unseren Zweigstellen oder Büros und während der Benutzung eines Geldausgabeautomaten von unseren Überwachungskameras gefilmt werden;
- wenn Sie Ihre Zahlungskonten bei anderen Banken in S-Net integrieren (im Rahmen der Zahlungsdiensterichtlinie PSD2);
- wenn Sie Spuerkeess im Rahmen eines Rekrutierungsprozesses Bewerbungsunterlagen übermitteln. Weitere Informationen zum Schutz Ihrer diesbezüglichen Daten finden Sie auf der Website www.mylittlebigstep.lu;
- in den Medien, in der Presse und/oder wenn Sie in sozialen Medien, zu denen wir den Zugang bereitstellen, Daten veröffentlichen;
- von Dritten (z. B. Behörden oder öffentlichen Einrichtungen, gewerblichen Betreibern von Datenbanken, anderen Finanzinstituten, Partnern, Auftragsverarbeitern).
Personenbezogene Daten Dritter (Familienangehöriger, Arbeitgeber, Bevollmächtigter, Vertreter oder auch wirtschaftlicher Eigentümer usw.), die Sie mitteilen, werden den Leistungen und Zwecken entsprechend genauso wie Ihre personenbezogenen Daten behandelt. Es liegt in Ihrer Verantwortung, die betroffenen Personen hierüber zu informieren.
Für die Erfüllung der Pflichten von Spuerkeess und im Rahmen des Notwendigen kann Spuerkeess „besondere Kategorien personenbezogener Daten“ wie Daten zu Gesundheit, über Verurteilungen und Straftaten sowie bezüglich der Ausübung einer öffentlichen Funktion verarbeiten.
Rechtmäßigkeit und Zwecke der Verarbeitung personenbezogener Daten
Spuerkeess erhebt und verarbeitet personenbezogene Daten, um bestimmte Zwecke zu erfüllen. Sie achtet in jedem Fall darauf, dass die personenbezogenen Daten nur in dem Umfang verarbeitet werden, der für den beabsichtigten Zweck notwendig ist. Alle von Spuerkeess ausgeführten Verarbeitungen personenbezogener Daten erfolgen im Hinblick auf deren Rechtmäßigkeit auf mindestens einer der folgenden Grundlagen:
- gesetzliche und aufsichtsrechtliche Pflichten, z. B. für die Verarbeitung zu den folgenden Zwecken:
- Bekämpfung von Geldwäsche und Terrorismusfinanzierung;
- aufsichtsrechtliches Reporting und automatischer Informationsaustausch (z. B. DAC - Directive on Administrative Cooperation, FATCA - Foreign Account Tax Compliance Act, CRS - Common Reporting Standard);
- Einhaltung der Anforderungen und Vorschriften der örtlichen oder ausländischen Behörden;
- geltende Gesetze hinsichtlich internationaler Sanktionen und Embargos;
- Aufdeckung von anormalen oder ungewöhnlichen Transaktionen;
- Festlegung Ihrer Kreditrisiko-Bewertung und Ihrer Rückzahlungsfähigkeit.
- Buchführung. - Ausführung eines Vertrags, einschließlich der vorvertraglichen Maßnahmen, z. B. für die Verarbeitung zu den folgenden Zwecken:
- Bereitstellung von Dienstleistungen und Produkten;
- Ausführung und Erfassung Ihrer Finanztransaktionen;
- Gewährung und Verwaltung von Krediten;
- Verwaltung von S-Net und S-Net Mobile. - berechtigte Interessen von Spuerkeess, z. B. für die Verarbeitung zu den folgenden Zwecken:
- Bereitstellung von Dienstleistungen und Produkten;
- Verwaltung der geschäftlichen Beziehungen mit Kunden, potenziellen Kunden, Lieferanten, Auftragsverarbeitern, Partnern und anderen Dritten;
- Aufdeckung und Verhinderung von Betrugs- und Missbrauchsfällen;
- Schutz Ihres Vermögens vor betrügerischen Aktivitäten;
- Analyse Ihrer Kontovorgänge und der Nutzung unserer Dienstleistungen;
- Durchführung von Zufriedenheitsbefragungen und Umfragen;
- Ausarbeitung von Studien und internen statistischen Modellen mit dem Ziel der Optimierung des Risikomanagements und der Verbesserung unseres Angebots von Produkten und Dienstleistungen durch Werbemaßnahmen wie Absatzförderung, Werbung, Organisation von Kunden-Events;
- Optimierung unserer Internetseiten und mobilen Apps;
- Verwaltung unserer Geschäftsanforderungen und Risikomanagement;
- Gewährleistung der Sicherheit von Vermögen und Personen;
- Gewährleistung der Kontinuität von Dienstleistungen und der Informationssicherheit;
- Verwaltung von Streitfällen und eventuellen Rechtsstreitigkeiten und Schutz unserer Rechte;
- Verwaltung der Rekrutierungen. - Einwilligung, z. B. bei:
- Erhebung von biometrischen Daten zur Identifizierung Ihrer Unterschrift auf dem Signing Pad;
- Integration Ihrer Zahlungskonten bei anderen Banken in S-Net (im Rahmen der Zahlungsdiensterichtlinie PSD2). Sofern Sie dem nicht widersprechen (Siehe das nachfolgende Kapitel "Recht auf Ablehnung bestimmter Verarbeitungen (Opt-Out)"), werden die dadurch importierten Konten auch der Datenverarbeitung unterzogen, die im Allgemeinen für Ihre Spuerkeess-Konten angewendet wird, wie unter anderem die Kategorisierung Ihrer Transaktionen;
- Wiederverwendung Ihrer Daten, die in unserem Steuerassistenten myTax eingegeben oder generiert werden, zu anderen Zwecken als zur Erstellung Ihrer Steuererklärung, um Ihre administrativen Schritte zwecks des Erhalts eines Produktes und/oder einer Dienstleistung zu vereinfachen oder um Ihnen Produkte anzubieten, deren Zweck die Senkung Ihrer Steuerlast ist;
- jede andere besondere Verarbeitung, in die die betroffene Person eingewilligt hat.
Bei der Durchführung dieser Verarbeitung werden Ihre Interessen und Ihre Grundrechte berücksichtigt.
In bestimmten Fällen kann es vorkommen, dass Sie ausdrücklich die Anweisung gegeben haben, dass Ihre personenbezogenen Daten nicht verwendet werden dürfen, aber dass Spuerkeess aus verschiedenen Gründen dennoch verpflichtet ist, sie zu verarbeiten und/oder zu speichern. In diesem Fall wird Spuerkeess die personenbezogenen Daten weiterhin verarbeiten und/oder speichern, wenn 1.) das Gesetz oder die Vorschriften sie dazu verpflichtet, 2.) die Ausführung eines Vertrags es erfordert oder 3. ) Spuerkeess ein berechtigtes Interesse daran hat.
Entscheidungen, die ausschließlich auf einer automatisierten Verarbeitung, einschließlich Profiling, beruhen
Im Allgemeinen verwendet Spuerkeess keine Entscheidungsverfahren, die ausschließlich auf einer automatisierten Verarbeitung im Sinne von Artikel 22 der Verordnung beruhen. Falls Spuerkeess punktuell ein solches Verfahren verwenden sollte, werden Sie vorab davon informiert und Sie haben das Recht, die Mitwirkung einer Person bei der Entscheidungsfindung zu erhalten.
Spuerkeess kann eine automatisierte Verarbeitung einsetzen, um Ihnen schnell Dienstleistungen und Produkte anbieten zu können, die an Ihre Bedürfnisse angepasst sind. So kann das System bei einem Online-Finanzierungsantrag oder bei einer Bitte um Änderung Ihres Kreditkartenlimits über S-Net den Antrag nur automatisch bewilligen (wenn im Voraus definierte Kriterien erfüllt sind), wobei jeder Antrag, der auf diese Weise (automatisch) nicht bewilligt werden konnte, manuell bearbeitet wird, wenn der Antragsteller es wünscht.
Spuerkeess nutzt Profiling, das heißt jede Form von automatisierter Verarbeitung personenbezogener Daten, bei der diese personenbezogenen Daten verwendet werden, um bestimmte individuelle Aspekte in Bezug auf eine natürliche Person zu beurteilen, insbesondere um im Hinblick auf gehaltene Produkte und/oder Bankverhalten relativ homogene Personenkategorien zu suchen oder zu bestimmen, die an einem neuen Produkt oder einem personalisierten geschäftlichen Angebot interessiert sein könnten.
In diesem Zusammenhang können Ihre personenbezogenen Daten für ein Profiling verwendet werden, unter anderem in folgenden Fällen:
- die Richtlinie MiFID II führt einen besseren Anlegerschutz ein: Ihr Anlegerprofil wird auf der Grundlage eines Fragebogens bestimmt, mit dem Ihre Kenntnisse über Finanzinstrumente und Ihre Erfahrung mit den Märkten beurteilt werden sollen. Diesem Fragebogen entsprechend kann Spuerkeess Ihnen Anlagen vorschlagen, die für Ihr Profil geeignet sind;
- wenn Sie das Produkt Speedinvest abonnieren, wird Ihr Anlegerprofil auf der Grundlage eines Fragebogens bestimmt, mit dem Ihre Kenntnisse über Finanzinstrumente und Ihre Erfahrung mit den Märkten beurteilt werden. Die Anlagen werden dann entsprechend dem ermittelten Profil automatisiert durchgeführt;
- bei der Kategorisierung Ihrer Transaktionen, bei der Berechnung Ihrer verfügbaren Guthaben und bei der Zusendung von personalisierten geschäftlichen Angeboten und Empfehlungen, die Ihren Bedürfnissen am besten entsprechen könnten. Bei dieser Verarbeitung kann unter anderem das MIA-Tool eingesetzt werden, ein sogenannter „Personal Finance Manager“, der Sie bei der täglichen Verwaltung Ihrer Finanzen unterstützt. MIA analysiert und klassifiziert die Einnahmen und Ausgaben in verschiedene Kategorien;
- bei der Verkaufsförderung für Produkte und Bankdienstleistungen, die Ihre bereits gezeichneten Produkte und Dienstleistungen ergänzen, bei Marketingaktionen (Zusendung von Newsletters, geschäftlichen und informativen Schreiben und Einladungen zu Veranstaltungen, Teilnahme an Gewinnspielen usw.);
- um ihre Pflichten zur Bekämpfung von Betrug, Geldwäsche und Terrorismusfinanzierung zu erfüllen;
- bei der Beurteilung Ihrer Zahlungsfähigkeit und Ihres Bankverhaltens. Dieses „Scoring“ erlaubt es Spuerkeess, z. B. die Wahrscheinlichkeit, mit der ein Kunde seine Rückzahlungspflichten für einen Kredit erfüllen wird, zu bestimmen. Das Scoring beruht auf einem definierten und bewährten mathematischen und statistischen Modell. Das Scoring wird insbesondere beeinflusst durch das Einkommen des Kunden, seine Ausgaben, seine laufenden Verpflichtungen, seinen Beruf und Arbeitgeber, die frühere Rückzahlung seiner Kredite, die Bewertung der Geschäftsbeziehung, öffentliche Informationen. Es hilft bei der Entscheidungsfindung für den Verkauf von Dienstleistungen (z. B. die Beantragung eines Privatkredits, die Änderung des Kreditkartenlimits und Risikomanagement). Bei Online-Krediten, die für zwei Personen aufgenommen werden, fließen die Belastungen/Einkommen des Mit-Kreditnehmers in die Beurteilung der Zahlungsfähigkeit ein und sind Bestandteil des Scorings.
Recht auf Ablehnung bestimmter Verarbeitungen (Opt-Out)
Sie haben ein Recht auf Widerspruch gegen bestimmte, oben beschriebene Verarbeitungen, ohne einen Grund dafür angeben zu müssen:
- Opt-Out bezüglich der Kategorisierung von Transaktionen (Dies gilt auch für die Daten Ihrer Bankkonten bei anderen Banken, die Sie im Kontext der PDS2 in S-Net aggregieren wollen). Bitte beachten Sie, dass Sie bei diesem Opt-Out bestimmte Dienstleistungen nicht nutzen können, wie unter anderem MIA sowie Online-Kreditanträge;
- Opt-Out bezüglich aller kommerziellen Mitteilungen und Aktionen (Mailings, Einladungen zu Vorträgen, Gewinnspielen usw.).
- Sie haben auch das Recht, nicht Gegenstand einer Entscheidung zu sein, die ausschließlich auf einer automatisierten Verarbeitung (siehe das Kapitel „Entscheidungen, die ausschließlich auf einer automatisierten Verarbeitung, einschließlich Profiling, beruhen“) beruht. In diesem Fall können Sie darum bitten, dass die Entscheidung erneut geprüft wird, indem Sie sich direkt an Ihre Zweigstelle wenden.
Dieses Widerspruchsrecht kann in einer Zweigstelle oder über eine S-Net-Nachricht, per E-Mail oder per Brief an folgende Adresse ausgeübt werden:
Einwilligung
Soweit bestimmte Verarbeitungen personenbezogener Daten Ihre Einwilligung voraussetzen, erfolgen diese erst nach deren ausdrücklicher Erteilung. Eine erteilte Einwilligung kann jederzeit unter den gleichen Bedingungen wie das Opt-Out zurückgezogen werden.
Zum Beispiel ist Ihre Einwilligung erforderlich, im Falle:
- einer Erhebung biometrischer Daten, wie bei der Unterzeichnung auf dem Unterschriftenpad in der Zweigstelle
- der Wiederverwendung Ihrer über myTax (Instrument zur Erstellung der Steuererklärung) erhobenen Daten.
Gemäß der Zahlungsdiensterichtlinie PSD2 werden Sie um Ihre Einwilligung gebeten, bevor Ihre Zahlungskonten, die bei anderen Banken geführt werden, in S-Net importiert werden.
Die Rechtmäßigkeit einer Verarbeitung, die auf der vor ihrem Widerruf gewährten Einwilligung beruht, ist davon nicht betroffen.
Weiterleitung Ihrer Daten an Dritte
m Rahmen ihrer Tätigkeit und der Achtung der geltenden Gesetze und Vorschriften kann Spuerkeess personenbezogene Daten an Dritte übermitteln, insbesondere:
- Finanzinstitute und Finanzfachleute, mit denen wir im Rahmen des nationalen und internationalen Zahlungsverkehrs, von Kreditgeschäften und bei Transaktionen mit Finanzinstrumenten zusammenarbeiten, wie z.B. Banken und spezialisierte Finanzunternehmen, Makler, Emittenten und Vermittler von Zahlungs- und Kreditkarten, Anbieter von Online-Zahlungslösungen, Clearingstellen, Börsen, Unterverwahrstellen, Vertriebsstellen, Verwalter von Anlageprodukten, Marktgegenparteien und Emittenten von Finanzinstrumenten, die Sie durch Vermittlung von Spuerkeess halten, usw.;
- Auftragsverarbeiter, Lieferanten, Gegenparteien und Dienstleister, die Spuerkeess hinzuzieht, um Ihnen die Dienstleistungen, die Sie abonniert haben, bestmöglich bereitzustellen, wie spezialisierte Anbieter des Finanzsektors, Versicherungsgesellschaften, Dienstleister für Steuer-Reporting sowie Dienstleister, die uns bei der Konzeption und Wartung unserer IT-Systeme, bei der Organisation von Veranstaltungen, bei der Verwaltung der Kommunikation mit den Kunden und bei der Entwicklung und/oder der Verwaltung unserer Produkte und Dienstleistungen helfen, Stellen für Identifizierung und elektronische Zertifizierung, Gesellschaften, von denen Sie über Spuerkeess Finanzinstrumente besitzen usw.;
- Auftragsverarbeiter, Lieferanten, Gegenparteien und Dienstleister, die Spuerkeess hinzuzieht, um gesetzliche Pflichten zu erfüllen, wie die Zertifizierungsstellen für die Konten der Bank, Kunden-Reporting bei der Aufnahme von Geschäftsbeziehungen im Remote-Banking (digital), Verwalter von KYC-Akten, Dienstleister für gesetzliches MiFIR-Reporting usw.;
- Dritte, die eine Verbindung zu unseren Kunden haben, wie Personen, die Bankgeschäfte für unsere Kunden ausführen, Begünstigte, Auftraggeber, Anspruchsberechtigte, Erben, Bevollmächtigte, Beauftragte, Vermögensverwalter und Anlageberater usw.;
- jede Person, die einen reglementierten Beruf ausübt und im Rahmen der ihr übertragenen Aufgaben tätig ist, wie Wirtschaftsprüfer, Rechtsanwälte, Gerichtsvollzieher, Notare, Abschlussprüfer usw.;
- Bonitätsprüfer, Inkassobüros und Agenturen, die Überprüfungen und Ermittlungen durchführen;
- Personen, die im Falle eines Streitfalls im Zusammenhang mit einem bestimmten Vorgang beteiligt sind;
- bestimmte Partner, wie Innovatoren oder Universitäten, die sie im Rahmen ihrer Forschung verarbeiten. Es wird darauf geachtet, dass die personenbezogenen Daten in pseudonymisierter, aggregierter Form übermittelt werden und dass die Forschungsergebnisse anonym behandelt werden;
- Steuer-, Justiz-, Polizei-, Aufsichts- und Verwaltungsbehörden, Regulierungs-, Kontroll- und Aufsichtsstellen;
- Dienstleister für Cloud Computing-Dienste. Es wird darauf geachtet, dass die verwendeten Datenzentren sich innerhalb des Europäischen Wirtschaftsraums befinden und dass während der Übertragung und im Ruhezustand eine geeignete Verschlüsselung der Daten gewährleistet ist;
- andere Parteien mit Ihrer Einwilligung oder gemäß Ihren Anweisungen. Mit Ihrer Einwilligung und auf Ihren Antrag kann Spuerkeess Ihre personenbezogenen Daten an Dritte weiterleiten.
Diese Dritten sind ihrerseits verpflichtet, als Verantwortlicher für die Verarbeitung personenbezogener Daten oder als Auftragsverarbeiter die gesetzlichen oder vertraglichen Datenschutzpflichten einzuhalten.
In einigen Ländern verlangen die für Finanzinstrumente und vergleichbare Rechte bzw. damit verbundene Transaktionen geltenden gesetzlichen und aufsichtsrechtlichen Bestimmungen, dass die Identität der direkten und indirekten Inhaber oder der wirtschaftlichen Begünstigten dieser Instrumente und ihrer Positionen in diesen Instrumenten offengelegt werden.
Automatischer Datenaustausch in Steuersachen
Spuerkeess ist gesetzlich verpflichtet, den Wohnsitz des Kontoinhabers zu steuerlichen Zwecken festzustellen und die jährlichen Meldepflichten gegenüber der luxemburgischen Steuerbehörde für meldepflichtige Konten von steuerlich nicht in Luxemburg ansässigen Personen (einschließlich von US-Bürgern wie durch das Gesetz vom 24. Juli 2015 betreffend FATCA (Foreign Account Tax Compliance Act)) auszuführen.
Die luxemburgische Steuerbehörde führt die Übermittlung dieser Daten an die Steuerbehörde des Landes, in dem der Inhaber des meldepflichtigen Kontos seinen Steuerwohnsitz hat, durch, wenn die Vorschriften zum automatischen Informationsaustausch dies erfordern.
Gemäß den Gesetzen und Vorschriften, die aufgrund der FATCA-Vorschriften und des globalen Standards für den automatischen Informationsaustausch über Finanzkonten (Common Reporting Standard - CRS) für sie gelten könnten, sind die Kunden verpflichtet, Spuerkeess das Formular zu ihrem FATCA- und/oder CRS-Status (oder jedes andere entsprechende Formular) sowie ggf. alle sie betreffenden Aktualisierungen, die sich auf sie beziehen, vorzulegen.
Ohne diese Steuerinformationen ist Spuerkeess nicht in der Lage, eine Geschäftsbeziehung zu eröffnen oder aufrechtzuerhalten.
Weiterleitung Ihrer Daten an Empfänger außerhalb des Europäischen Wirtschaftsraums
Ihre personenbezogenen Daten werden von Spuerkeess nur dann außerhalb des Europäischen Wirtschaftsraums („EWR“) übermittelt, wenn eine gesetzliche oder aufsichtsrechtliche Bestimmung sie dazu zwingt, wenn die Übermittlung für die Ausführung eines Vertrags notwendig ist oder wenn Sie ausdrücklich eingewilligt haben. Gemäß der Verordnung achtet Spuerkeess darauf, dass für die betreffenden Nicht-EWR-Länder eine Angemessenheitsentscheidung der Europäischen Kommission vorliegt oder aber dass alle geeigneten Sicherheitsvorkehrungen (z. B. Standard-Vertragsklauseln) getroffen wurden.
Zum Beispiel:
- Bei Geldtransfers oder Transaktionen mit Finanzinstrumenten werden die für die Ausführung der Transaktionen notwendigen Daten von an der Transaktion beteiligten Dritten (z. B. Korrespondenzbanken, Börsen, Finanzdienstleister usw.) verarbeitet, die ihren Sitz außerhalb des EWR haben können.
Dauer der Speicherung Ihrer Daten
Spuerkeess speichert Ihre personenbezogenen Daten gemäß ihren gesetzlichen Pflichten und für eine Dauer, die diejenige nicht überschreitet, die für die von Spuerkeess verfolgten Zwecke notwendig ist.
Die Dauer der Speicherung Ihrer Daten ist variabel und hängt von der Art der Daten und den verfolgten Zwecken sowie von den Speicherfristen ab, die durch die geltenden gesetzlichen und aufsichtsrechtlichen Bestimmungen vorgegeben sind.
Buchhaltungsdaten werden gemäß den geltenden Vorschriften während einer Dauer von zehn Jahren ab Abschluss des Geschäftsjahres, auf das sie sich beziehen, aufbewahrt.
Aus berechtigten Gründen und entsprechend den Umständen kann Spuerkeess die Daten über die festgelegte Dauer hinaus unter Einhaltung der entsprechenden gesetzlichen und aufsichtsrechtlichen Bestimmungen speichern.
Sicherung Ihrer Daten
Spuerkeess verpflichtet sich, Ihre personenbezogenen Daten zu schützen und zu sichern, um deren Vertraulichkeit zu gewährleisten und deren Vernichtung, Verlust, Veränderung oder Offenlegung zu verhindern.
Zu diesem Zweck hat Spuerkeess entsprechende physische, technische, organisatorische und verfahrenstechnische Maßnahmen getroffen:
- Die Mitarbeiter von Spuerkeess werden durch interne Schulungen, regelmäßige Mitteilungen, die Bekanntgabe bewährter Praktiken usw. für den Schutz personenbezogener Daten sensibilisiert.
- Spuerkeess garantiert, dass alle notwendigen Maßnahmen zum Schutz personenbezogener Daten schon bei der Entwicklung integriert werden („Privacy by Design“), sei es in neue technologische oder kommerzielle Anwendungen oder in bestehende Anwendungen, bei denen Funktionen hinzugefügt, ersetzt oder geändert werden.
- Spuerkeess garantiert standardmäßig das höchstmögliche Schutzniveau für die von ihr verarbeiteten personenbezogenen Daten („Privacy by Default“). Standardmäßig dürfen nur solche Daten erfasst und gespeichert werden, die tatsächlich für eine Verwendung in Frage kommen. Dieses Prinzip gilt sowohl für die Menge der personenbezogenen Daten als auch für den Umfang der Verarbeitung, die Dauer ihrer Speicherung und die Vertraulichkeit dieser Daten. Für bestimmte Kategorien personenbezogener Daten (sensible Daten) gelten erhöhte Sicherheitsanforderungen.
- Wenn Auftragsverarbeiter mit der Verarbeitung von personenbezogenen Daten beauftragt werden, verlangt Spuerkeess von ihren Auftragsverarbeitern im Rahmen der vertraglichen Vereinbarungen, dass sie dieselben Sicherheitsgarantien vorlegen, die sie sich selbst auferlegt.
- Die Datenschutzpolitik von Spuerkeess gewährleistet bei den personenbezogenen Daten einen der Verordnung konformen Sicherheitsstandard.
Alle diese Maßnahmen werden regelmäßig überprüft und aktualisiert.
Im Übrigen beruhen die Vertraulichkeit und die Sicherheit der personenbezogenen Daten auf der Einhaltung der bewährten Praktiken durch jeden einzelnen. Deshalb empfehlen wir Ihnen, wachsam zu sein und Vorsichtsmaßnahmen zu treffen, wie die Installation einer Antivirus- und Antispyware-Software, die Verwendung von komplexen und streng vertraulichen Passwörtern, die Löschung der Spuren Ihrer Navigation im Internet und schließlich die unverzügliche Meldung eines Verlusts oder eines Diebstahls Ihrer Bankkarten an Spuerkeess.
Meldung
Bei einem Missbrauch personenbezogener Daten meldet Spuerkeess dies umgehend und, sofern möglich, spätestens innerhalb von 72 Stunden nach Kenntnisnahme des Missbrauchs, der luxemburgischen Datenschutzkommission (Commission Nationale pour la Protection des Données – CNPD). Sollte dieser Verstoß Ihre personenbezogenen Daten betreffen und zudem voraussichtlich ein hohes Risiko für Ihre Rechte und Freiheiten beinhalten, wird Spuerkeess Sie umgehend informieren.
Videoüberwachung und telefonische Aufzeichnungen
Spuerkeess behält sich das Recht vor, das Gebäudeinnere und die äußere Umgebung ihrer Räumlichkeiten und Anlagen (Zweigstellen, Parkplätze, Geldautomaten usw.) per Video zu überwachen, um Ihre Sicherheit und die der Bankmitarbeiter sowie den Schutz ihrer Einrichtungen und ihres Materials zu gewährleisten. Die Videoaufnahmen und Fotos werden gespeichert, um als Nachweis für ein Vergehen oder einen Schaden dienen zu können oder auch zum Zwecke der Identifizierung einer Person (Zeuge, Opfer usw.).
Spuerkeess zeichnet die Telefongespräche, die Sie mit ihren Mitarbeitern führen (z. B. über das Service Center „Spuerkeess Direct“), auf und speichert sie zum Zwecke der Kontrolle und des Nachweises der geschäftlichen Kommunikation, zur Gewährleistung der Sicherheit der Finanztransaktionen sowie zur Einhaltung gewisser gesetzlicher Verpflichtungen, die dies vorschreiben (z. B. MiFID II). Solche Aufzeichnungen werden zehn Jahre lang aufbewahrt.
Dabei ist es selbstverständlich, dass diese Aufzeichnungen unter das Berufsgeheimnis fallen und nicht für andere als die oben genannten Zwecke verwendet werden dürfen.
Ihre Rechte
Die Verordnung sieht für Sie eine Reihe von Rechten bezüglich Ihrer von Spuerkeess verarbeiteten personenbezogenen Daten vor. Dabei haben Sie:
- das Recht, auf Ihre personenbezogenen Daten zuzugreifen und gegebenenfalls eine Kopie dieser Daten zu erhalten;
- das Recht, die Berichtigung oder Aktualisierung Ihrer personenbezogenen Daten zu verlangen, wenn Sie der Ansicht sind, dass sie unvollständig oder unrichtig sind;
- das Recht auf Löschung Ihrer personenbezogenen Daten, es sei denn, es liegt ein berechtigter Grund für deren Speicherung vor;
- das Recht, sich jederzeit der Verarbeitung Ihrer personenbezogenen Daten durch Opt-Out zu widersetzen, es sei denn, es besteht ein legitimer Grund, der Ihrer Interessenlage übergeordnet ist;
- das Recht auf eine Begrenzung der Verarbeitung Ihrer personenbezogenen Daten;
- das Recht auf Übertragbarkeit bestimmter personenbezogener Daten, d. h. sie in einem strukturierten, gängigen und maschinenlesbaren Format zu erhalten, um sie an einen anderen Verantwortlichen zu übermitteln.
Wenn Sie eines der vorstehenden Rechte ausüben wollen, kann dies per S-Net-Nachricht, per E-Mail oder per Brief an folgende Adresse erfolgen:
Aus Gründen der Vertraulichkeit und des Datenschutzes muss Spuerkeess sich Ihrer Identität vergewissern, bevor sie Ihren Antrag beantwortet. Daher ist jedem Antrag, der nicht via S-Net übermittelt wurde, eine Kopie eines Identitätsdokuments beizufügen.
Spuerkeess bemüht sich, Ihren Antrag so schnell wie möglich und innerhalb eines Monats nach dessen Eingang zu bearbeiten. Je nach Komplexität des Antrags oder der Anzahl der zu bearbeitenden Anträge kann Spuerkeess diese Frist um zwei Monate verlängern. Sie werden über diese Verlängerung und die Gründe für die Verschiebung innerhalb eines Monats nach Eingang des Antrags informiert.
Spuerkeess behält sich das Recht vor, den Antrag abzulehnen, wenn sie Sie nicht mit Sicherheit identifizieren kann oder wenn sie den Antrag als übertrieben oder unbegründet erachtet. Sie werden innerhalb eines Monats nach Eingang des Antrags über die Gründe der Ablehnung informiert. Im Falle unbegründeter oder übertriebener Anträge kann Spuerkeess auch die Zahlung angemessener Gebühren verlangen, insbesondere bei häufig wiederkehrenden Anträgen.
Wenn Sie mit der Erledigung Ihres Antrags nicht zufrieden sind, können Sie eine Beschwerde bei der luxemburgischen Datenschutzkommission einreichen (Informationen finden Sie auf der Website www.cnpd.public.lu).
Wenn Sie mit der Verarbeitung Ihrer personenbezogenen Daten nicht zufrieden sind, können Sie eine Beschwerde per S-Net-Nachricht, per E-Mail oder per Post an folgende Adresse richten:
Anpassung der Richtlinie
Diese Richtlinie wird jährlich überprüft und angepasst, sobald die Praktiken oder Vorschriften dies erfordern oder die Technologie sich weiterentwickelt. Jede neue Fassung wird vor ihrer Veröffentlichung dem Datenschutzausschuss von Spuerkeess zur Billigung vorgelegt. Um sich zu vergewissern, dass Sie jederzeit über die letzte Fassung verfügen, bitten wir Sie, dieses Dokument auf unserer Website zu konsultieren.