DATENSCHUTZHINWEIS

1. Wer ist für die Datenverarbeitung verantwortlich und an wen kann ich mich wenden?

Verantwortliche Stelle ist:
CA Auto Bank S.p.A.
Corso Orbassano 367,
10137 Turin, Italien
E-Mail: sparen@ca-autobank-einlagenservice.de

Sie erreichen unseren Datenschutzbeauftragten wie folgt:

  • E-Mail: dpo-italia@ca-autobank.com;
  • Post: CA Auto Bank S.p.A., Corso Orbassano 367, 10137 Turin, Italien mit der Aufschrift „All’attenzione del Responsabile della Protezione dei Dati (Data Protection Officer) / Zu Händen des Datenschutzbeauftragten“.

2. Welche Quellen und Daten nutzen wir?

Wir verarbeiten personenbezogene Daten, die wir im Rahmen unserer Geschäftsbeziehung von Ihnen erhalten. Zudem verarbeiten wir – soweit für die Erbringung unserer Dienstleistung erforderlich – personenbezogene Daten, die von Kooperationspartnern der CA Auto Bank S.p.A. oder von sonstigen Dritten (z.B. Schufa, Creditreform, Deutsche Post) zulässigerweise (z.B. zur Ausführung von Anträgen, zur Erfüllung von Verträgen oder aufgrund einer von Ihnen erteilten Einwilligung) erhalten haben. Zum anderen verarbeiten wir personenbezogene Daten, die wir aus öffentlich zugänglichen Quellen (z.B. Schuldnerverzeichnis, Grundbücher, Handels- und Vereinsregister, Presse, Medien) zulässigerweise gewonnen haben und verarbeiten dürfen.
Relevante personenbezogene Daten sind u.a. Personalien (Vorname, Name, Adresse und andere Kontaktdaten, Geburtstag und – ort und Staatsangehörigkeit), Legitimationsdaten (z.B. Ausweisdaten) und Authentifikationsdaten (z.B. Unterschriftsprobe). Darüber hinaus können dies auch Auftragsdaten (z.B. Eröffnungsantrag), Daten aus der Erfüllung unserer vertraglichen Verpflichtungen (z.B. Kontoauszug), Produktdaten, Informationen über Ihre finanzielle Situation (z.B. Bonitätsdaten, Scoring/Ratingdaten, Herkunft von Vermögenswerten), Steuer-ID, FATCA-Status, Werbe- und Vertriebsdaten (inkl. Werbescores), Dokumentationsdaten (z.B. Gesprächsnotizen) sowie andere mit den genannten Kategorien vergleichbare Daten sein.

3. Wofür verarbeiten wir Ihre Daten (Zweck der Verarbeitung) und auf welcher Rechtsgrundlage?

3.1. Zur Erfüllung von vertraglichen Pflichten (Art. 6 Abs. 1b DS-GVO)

Die Verarbeitung personenbezogener Daten erfolgt zur Erbringung und Vermittlung von Finanzdienstleistungen, insbesondere zur Anbahnung und Durchführung unserer Verträge oder vertraglichen Maßnahmen mit Ihnen und der Ausführung Ihrer Aufträge, sowie aller mit dem Betrieb und der Verwaltung eines Finanzdienstleistungsinstitutes erforderlichen Tätigkeiten.
Die Zwecke der Datenverarbeitung richten sich in erster Linie nach dem konkreten Produkt (z.B. Festgeld) und können unter anderem Bedarfsanalysen, Beratung, Verwaltung sowie die Durchführung von Transaktionen umfassen. Die weiteren Einzelheiten zu den Zwecken der Datenverarbeitung können Sie den jeweiligen Vertragsunterlagen und Geschäftsbedingungen entnehmen.

3.2. Im Rahmen der Interessensabwägung (Art. 6 Abs. 1f DS-GVO)

Soweit erforderlich verarbeiten wir Ihre Daten über die eigentliche Erfüllung des Vertrages hinaus zur Wahrung berechtigter Interessen von uns oder Dritten wie beispielweise in den folgenden Fällen

  • Konsultation von und Datenaustausch mit Auskunfteien (z.B. Schufa) zur Ermittlung von Bonitäts- bzw. Ausfallrisiken;
  • Prüfung und Optimierung von Verfahren zur Bedarfsanalyse und direkter Kundenansprache;
  • Werbung oder Markt- und Meinungsforschung, soweit Sie der Nutzung Ihrer Daten nicht widersprochen haben;
  • Geltendmachung rechtlicher Ansprüche und Verteidigung bei rechtlichen Streitigkeiten;
  • Gewährleistung der IT-Sicherheit und des IT-Betriebs der Bank;
  • Verhinderung und Aufklärung von Straftaten;
  • Maßnahmen zur Geschäftsteuerung und Weiterentwicklung von Dienstleistungen und Produkten.

3.3. Aufgrund Ihrer Einwilligung (Art. 6 Abs. 1a DS-GVO)

Soweit Sie uns eine Einwilligung zur Verarbeitung von personenbezogenen Daten für bestimmte Zwecke (z.B. Nutzung der Daten für Marketing-Zwecke und Weitergabe von Daten im Verbund/Konzern) erteilt haben, ist die Rechtmäßigkeit dieser Verarbeitung auf Basis Ihrer Einwilligung gegeben. Eine erteilte Einwilligung kann jederzeit widerrufen werden. Dies gilt auch für den Widerruf von Einwilligungserklärungen, die vor der Geltung der DS-GVO, also vor dem 25. Mai 2018, uns gegenüber erteilt worden sind.
Bitte beachten Sie, dass der Widerruf erst für die Zukunft wirkt. Verarbeitungen, die vor dem Widerruf erfolgt sind, sind davon nicht betroffen.

3.4. Aufgrund gesetzlicher Vorgaben (Art. 6 Abs. 1c DS-GVO) oder im öffentlichen Interesse (Art. 6 Abs. 1e DS-GVO)

Zudem unterliegen wir als Bank diversen rechtlichen Verpflichtungen, das heißt gesetzlichen Anforderungen (z.B. Kreditwesengesetz, Geldwäschegesetz, Steuergesetze) sowie bankaufsichtsrechtlichen Vorgaben (z.B. der Europäische Zentralbank, der Europäischen Bankenaufsicht und der Banca d`Italia). Zu den Zwecken der Verarbeitung gehören unter anderem die Identitäts- und Altersprüfung (z.B. POSTIDENT), Betrugs- und Geldwäscheprävention, die Erfüllung steuerrechtlicher Kontroll- und Meldepflichten sowie die Bewertung und Steuerung von Risiken.

4. Wer bekommt meine Daten?

Innerhalb der Bank erhalten diejenigen Stellen Zugriff auf Ihre Daten, die diese zur Erfüllung unserer vertraglichen und gesetzlichen Pflichten brauchen. Wenn die ordnungsgemäße Erfüllung des Vertrages es erfordert oder eine sonstige Rechtsgrundlage zur Weitergabe der Daten besteht (z.B. die Erfüllung rechtlicher Verpflichtungen oder ein berechtigtes Interesse) können die Daten im erforderlichen Umfang an Dritte weitergegeben werden. Dies sind u.a.:

  • Unternehmen der CA Auto Bank S.p.A. Gruppe, Tochtergesellschaften oder assoziierte Unternehmen;
  • Unternehmen der Crédit Agricole Gruppe;
  • Finanz- und Versicherungsdienstleister;
  • Aufsichts- und Kontrollbehörden und -institutionen sowie, im Allgemeinen, öffentliche oder private Stellen mit Funktionen von öffentlichem Interesse (z. B. FIU, Banca d’Italia, CONSAP S.p.A. – im Rahmen der Verwaltung des zentralen IT Systems zur behördlichen Prävention von Identitätsdiebstahl (SCIPAFI) des italienischen Ministeriums für Wirtschaft und Finanzen (MEF), Steuerregister, Justizbehörden und Polizei);
  • Institutionen, die nationale und internationale Betrugskontrollsysteme verwalten (zum Beispiel: MEF-UCAMP);
  • Unternehmen, die Datenerfassungs- und Datenverarbeitungsdienste durchführen, die für die Ausführung der von Kunden erhaltenen Aufträge erforderlich sind;
  • Unternehmen, die Dienstleistungen für die Verwaltung des Informationssystems und der Telekommunikationsnetze der Bank (einschließlich E-Mail) erbringen;
  • Unternehmen, die die Übertragung, Kuvertierung, den Transport und das Sortieren der Kommunikation mit den Interessierten durchführen;
  • Unternehmen, die Archivdokumente verwalten und Dateneingabeaktivitäten durchführen;
  • Unternehmen, die Kundenunterstützung bieten (z. B. Call-Center);
  • Externe Dienstleister und Berater, die Systeme zur Betrugsprävention für Banken und Finanzvermittler unterstützen;
  • Personen/Unternehmen, die Rechtsdienstleistungen oder Inkassoaktivitäten anbieten;
  • Personen/Unternehmen, die Vertriebs- und Marketingaktivitäten in Bezug auf Produkte/Dienstleistungen der Bank und anderer Gesellschaften der Gruppe, zu der die CA Auto Bank S.p.A. gehört, ausführen;
  • Personen/Unternehmen, die auch im Interesse der Kunden Kontrollen, Prüfungen und Zertifizierungen der von der Bank durchgeführten Aktivitäten durchführen.

Falls gesetzlich erforderlich, wurden/werden mit den Dritten Vereinbarungen zur Auftragsverarbeitung nach geltendem Recht abgeschlossen.
Weitere Datenempfänger können diejenigen Stellen sein, für die Sie uns Ihre Einwilligung zur Datenübermittlung erteilt bzw. für die Sie uns vom Bankgeheimnis befreit haben.

5. Werden Daten in ein Drittland oder an eine internationale Organisation übermittelt?

Eine Datenübermittlung in Drittstaaten (Staaten außerhalb des europäischen Wirtschaftsraums – EWR) findet grundsätzlich nicht statt. Falls aus technischen oder betrieblichen Gründen erforderlich, können Daten in Ländern außerhalb des Europäischen Wirtschaftsraums verarbeitet werden, sofern ein angemessenes Schutzniveau gewährleistet ist, für das ein spezieller Angemessenheitsbeschluss der Europäischen Kommission vorliegt. Eine Übermittlung personenbezogener Daten in Länder außerhalb des Europäischen Wirtschaftsraums, für die kein Angemessenheitsbeschluss der Europäischen Kommission vorliegt, erfolgt nur, wenn geeignete und angemessene Garantien bestehen, wie z.B. bei der Verwendung der Standard-Datenschutzklauseln. Die Übermittlung personenbezogener Daten in Drittländer außerhalb der Europäischen Union, in Abwesenheit eines Angemessenheitsbeschlusses oder anderer geeigneter Garantien wie oben beschrieben, erfolgt nur in den von der DSGVO vorgesehenen Fällen.

6. Wie lange werden meine Daten gespeichert?

Ihre personenbezogenen Daten werden nur so lange verarbeitet, wie dies notwendig ist, also insbesondere für die Dauer unserer Geschäftsbeziehung, was beispielsweise auch die Anbahnung und die Abwicklung eines Vertrages umfasst. Dabei ist zu beachten, dass unsere Geschäftsbeziehung ein Dauerschuldverhältnis ist, welches ggf. auf mehrere Jahre ausgelegt ist.
Darüber hinaus unterliegen wir verschiedenen Aufbewahrungs- und Dokumentationspflichten, die sich unter anderem aus den handelsrechtlichen, steuerrechtlichen sowie geldwäscherechtlichen Vorschriften ergeben. Die dort vorgegebenen Fristen zur Aufbewahrung bzw. Dokumentation betragen zwei bis zehn Jahre.
Schließlich beurteilt sich die Speicherdauer auch nach den gesetzlichen Verjährungsfristen, die zum Beispiel nach den §§ 195 ff. BGB in der Regel 3 Jahre, in gewissen Fällen aber auch bis zu dreißig Jahre betragen können.

7. Welche Datenschutzrechte habe ich?

Jede betroffene Person hat das Recht auf Auskunft nach Art. 15 DS-GVO, das Recht auf Berichtigung nach Art. 16 DS-GVO, das Recht auf Löschung nach Art. 17 DS-GVO, das Recht auf Einschränkung der Verarbeitung nach Art. 18 DS-GVO sowie das Recht auf Datenübertragbarkeit aus Art. 20 DS-GVO. Beim Auskunftsrecht und beim Löschungsrecht gelten die Einschränkungen nach §§ 34 und 36 BDSG. Darüber hinaus besteht ein Beschwerderecht bei einer Datenschutzaufsichtsbehörde (Art. 77 DS-GVO i.v.m. § 19 BDSG).

———————————————————————————————————————————————

 

Information über Ihr Widerspruchsrecht nach Art. 21 Datenschutz-Grundverordnung (DS-GVO)

1. Sie haben das Recht, aus Gründen, die sich aus Ihrer besonderen Situation ergeben, jederzeit gegen die Vereinbarung Sie betreffender personenbezogener Daten, die aufgrund von Artikel 6 Absatz 1 Buchstabe e DS-GVO (Datenverarbeitung im öffentlichen Interesse) und Artikel 6 Absatz 1 Buchstabe f der DS-GVO (Datenverarbeitung auf der Grundlage einer Interessensabwägung) erfolgt, Widerspruch einzulegen; dies gilt auch für ein auf diese Bestimmung gestütztes Profiling im Sinne von Artikel 4 Nr. 4 DS-GVO, das wir zur Bonitätsbewertung oder für Zwecke einsetzen.

Legen Sie Widerspruch ein, werden wir Ihre personenbezogenen Daten nicht mehr verarbeiten, es sei denn, wir können zwingende schutzwürdige Gründe für die Verarbeitung nachweisen, die Ihre Interessen, Rechte und Freiheiten überwiegen, oder die Verarbeitung dient der Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen.

2. In Einzelfällen verarbeiten wir Ihre personenbezogenen Daten, um Direktwerbung zu betreiben. Sie haben das Recht, jederzeit Widerspruch gegen die Verarbeitung Sie betreffender personenbezogener Daten zum Zwecke derartiger Werbung einzulegen; dies gilt auch für das Profiling soweit es mit solcher Direktwerbung in Verbindung steht.

Widersprechen Sie der Verarbeitung für Zwecke der Direktwerbung, so werden wir Ihre personenbezogenen Daten nicht mehr für diese Zwecke verarbeiten.

Der Widerspruch kann formfrei erfolgen.

8. Besteht eine Pflicht zur Bereitstellung von Daten?

Im Rahmen unserer Geschäftsbeziehung müssen Sie nur diejenigen personenbezogenen Daten bereitstellen, die für die Begründung, Durchführung und Beendigung einer Geschäftsbeziehung erforderlich sind oder zu deren Erhebung wir gesetzlich verpflichtet sind. Ohne diese Daten werden wir in der Regel den Abschluss des Vertrages oder die Ausführung des Antrages ablehnen müssen oder einen bestehenden Vertrag nicht mehr durchführen können und ggf. beenden müssen.
Insbesondere sind wir nach den geldwäscherechtlichen Vorschriften verpflichtet, Sie vor der Begründung der Geschäftsbeziehung beispielsweise anhand Ihres Personalausweises zu identifizieren und dabei Ihren Namen, Geburtsort, Geburtsdatum, Staatsangehörigkeit sowie Ihre Wohnanschrift zu erheben. Damit wir dieser gesetzlichen Verpflichtung nachkommen können, haben Sie uns nach dem Geldwäschegesetz die notwendigen Informationen und Unterlagen zur Verfügung zu stellen und sich im Laufe der Geschäftsbeziehung ergebende Änderungen unverzüglich anzuzeigen. Sollten Sie uns die notwendigen Informationen und Unterlagen nicht zur Verfügung stellen, dürfen wir die von Ihnen gewünschte Geschäftsbeziehung nicht aufnehmen.

9. Inwieweit gibt es eine automatisierte Entscheidung im Einzelfall?

Zur Begründung und Durchführung der Geschäftsbeziehung nutzen wir grundsätzlich keine vollautomatisierte Entscheidungsfindung gemäß Art. 22 DS-GVO. Sollten wir dieses Verfahren in Einzelfällen einsetzen, werden wir Sie hierüber gesondert informieren, sofern dies gesetzlich vorgegeben ist.

10. Inwieweit werden meine Daten für die Profilbildung (Scoring) genutzt?

Wir verarbeiten teilweise Ihre Daten automatisiert mit dem Ziel, bestimmte persönliche Aspekte zu bewerten (Profiling). Wir setzen Profiling beispielsweise in folgenden Fällen ein:

  • Aufgrund gesetzlicher und regulatorischer Vorgaben sind wir zur Bekämpfung von Geldwäsche, Terrorismusfinanzierung und vermögensgefährdenden Straftaten verpflichtet. Dabei werden auch Datenauswertungen (u.a. im Zahlungsverkehr) vorgenommen. Diese Maßnahmen dienen zugleich auch Ihrem Schutz.

Um Sie zielgerichtet über Produkte informieren und beraten zu können, setzen wir Auswertungsinstrumente ein. Diese ermöglichen eine bedarfsgerechte Kommunikation und Werbung einschließlich Markt- und Meinungsforschung.

Unabhängig von der freiwilligen Mitteilung von Daten werden bei jedem Zugriff eines Nutzers auf eine Seite aus dem Angebot der CA Auto Bank S.p.A. und bei jedem Abruf einer Datei Zugriffsdaten über diesen Vorgang in einer Protokolldatei auf einem Server gespeichert. Jeder Datensatz besteht aus:

  • der Seite, von der aus die Datei angefordert wurde
  • dem Namen der Datei
  • dem Datum und der Uhrzeit der Anforderung
  • der übertragenen Datenmenge
  • dem Zugriffsstatus (Datei übertragen, Datei nicht gefunden etc.)
  • einer Beschreibung des Typs des verwendeten Webbrowsers
  • Client IP-Adresse