Datenschutzerklärung
für Interessentinnen und Interessenten 

Diese Datenschutzerklärung richtet sich an Interessenten und Interessentinnen, also Unternehmen oder Verbraucher (z.B. Kreditnehmer, Käufer, Mieter, …), die für einen bestimmten Geschäftszweck mit dem Auftraggeber eine Bonitätsprüfung durchführen lassen wollen, oder Informationen zur Geschäftsabwicklung übermitteln möchten. Auftraggeber sind typischerweise Anbieter von Produkten oder Leistungen (z.B. Online-Shops, Privatvermieter bzw. -verkäufer, Makler, Kreditinstitute).

Ihre Privatsphäre ist uns bei FINcredible sehr wichtig. Wir erheben und verarbeiten Ihre personenbezogenen Daten daher mit höchster Verantwortung und unter strenger Wahrung Ihrer Privatsphäre. In dieser Datenschutzerklärung informieren wir Sie über die Verarbeitung personenbezogener Daten unserer Interessenten und Interessentinnen bei der Durchführung einer Bonitätsprüfung und Erhebung von Informationen zur Geschäftsabwicklung im Rahmen unseres FINcredible-Checks (nachfolgend der „FINcredible-Check“).

Die nachstehenden Informationen erteilen wir Ihnen gemäß Art 13 DSGVO hinsichtlich jener Daten, die wir bei Ihnen selbst erheben, sowie gemäß Art 14 DSGVO hinsichtlich jener Daten, die wir aus anderen Quellen – also nicht bei Ihnen selbst – erheben (Punkt 3.).

1. Verantwortlicher und Kontaktmöglichkeit

Verantwortlicher der Datenverarbeitungen ist die

FINcredible GmbH
Wagenseilgasse 7
A-1120 Wien, Österreich
FN 481488x, Handelsgericht Wien

Unsere Datenschutzbeauftragte ist: Valentina Gasser, LL.M. (WU)

Für Fragen und Anliegen zum Datenschutz erreichen Sie uns, sowie unseren Datenschutzbeauftragten unter datenschutz@fincredible.at.

2. Verarbeitungszwecke und Rechtsgrundlagen

Wir verarbeiten Ihre personenbezogenen Daten

• auf Basis Ihrer Einwilligung zu der Verarbeitung der Sie betreffenden personenbezogenen Daten (Art 6 Abs 1 lit a DSGVO und allenfalls Art 9 Abs 2 lit a DSGVO), nämlich
  • der Erhebung Ihrer Stammdaten, Daten zur Geschäftsabwicklung, Daten zu Ihrer Finanzsituation, Allgemeine Informationen über das von Ihnen angegebenen Konto, sowie die Kontotransaktionsdaten für die Zwecke der Durchführung des FINcredible-Checks;
  • die Durchführung des FINcredible-Checks; sowie
  • die Übermittlung der Ergebnisse des FINcredible-Checks an den jeweiligen Auftraggeber.

Weitere Informationen zur Funktionsweise des FINcredible-Checks – insbesondere über die involvierte Logik sowie die Tragweite und die angestrebten Auswirkungen der Bonitätsprüfung (Profiling) – finden Sie unten in Punkt 6.

• zur Erfüllung eines Vertrags (Art 6 Abs 1 lit b DSGVO), nämlich des zwischen Ihnen und uns abgeschlossenen Vertrages (Allgemeine Geschäftsbedingungen) zur Durchführung des FINcredible-Checks. Dazu zählen
  • der Betrieb und die Bereitstellung des FINcredible-Checks;
  • die Durchführung des FINcredible-Checks, wobei wir hierzu gesondert auch noch Ihre Einwilligung einholen (siehe dazu oben);
  • die Erbringung von Service- und Supportdienstleistungen im Zusammenhang mit dem FINcredible-Check; sowie
  • die ordnungsgemäße Rechnungslegung und Abrechnung.

• zur Durchführung vorvertraglicher Maßnahmen, die auf Ihre Anfrage erfolgen (Art 6 Abs 1 lit b DSGVO)
  • wenn Sie uns zur Anbahnung eines Vertragsverhältnisses (z.B. bei Fragen vor dem Vertragsabschluss) kontaktieren.

• zur Erfüllung gesetzlicher Verpflichtungen (Art 6 Abs 1 lit c DSGVO), nämlich
  • der Führung einer ordnungsgemäßen Buchhaltung;
  • der Erfüllung von gesetzlichen Aufbewahrungspflichten (z.B. aus Gründen der Buchhaltung und berufsrechtlichen Vorgaben); sowie
  • der Erfüllung behördlicher und/oder gerichtlicher Aufforderungen (z.B. Herausgabe von Daten an Strafverfolgungsbehörden).

• aufgrund überwiegender berechtigter Interessen (Art 6 Abs 1 lit f DSGVO), nämlich
  • der Vorbeugung, Erkennung und Verhinderung der missbräuchlichen Nutzung des FINcredible-Checks;
  • der Erkennung und Behebung von Softwarefehlern des FINcredible-Checks;
  • der Sammlung und Bearbeitung von Kundenfeedback;
  • die teamübergreifende Zusammenarbeit unserer Mitarbeiterinnen und Mitarbeiter;
  • die Produktentwicklung, -gestaltung und -verbesserung; sowie
  • die Verbesserung unseres Rechen- und Analysemodells sowie Maßnahmen der Datenminimierung (Aggregation) in diesem Zusammenhang

3. Andere Datenquellen (Verarbeitung personenbezogene Daten, die nicht bei Ihnen erhoben wurden – Art 14 DSGVO)

Bei der Beauftragung zur Durchführung des FINcredible-Checks können Auftraggeber uns bestimmte, Sie als Interessent betreffende personenbezogene Daten bereits bei der Beauftragung übermitteln, sodass diese in weiterer Folge nicht mehr bei Ihnen selbst erhoben werden (müssen).

Dies kann folgende Kategorien personenbezogener Daten betreffen:

• Stammdaten (Vorname und Nachname, E-Mailadresse, Geburtsdatum, Wohnsitz / Land)
• Informationen zu Ihrer Finanzsituation (Einnahmen und Ausgaben sowie Beschäftigungsstatus inklusive Arbeitgeber)
• Angaben zur Geschäftsabwicklung (z.B. Produkt-, Kunden-, Bestell- und Zahlungsinformationen)

Die Quelle der personenbezogenen Daten ist der jeweilige Auftraggeber des FINcredible-Checks (z.B. der Anbieter eines Produktes / einer Leistung).

Zweck der Erhebung dieser personenbezogenen Daten ist die Durchführung der Bonitätsprüfung und Erhebung von Informationen zur Geschäftsabwicklung im Rahmen des FINcredible-Checks, wobei wir durch die Voraberhebung Ihren Aufwand bei der Durchführung reduzieren wollen.

Den Namen des Verantwortlichen und der Kontaktdaten sowie Informationen zum Datenschutzbeauftragten finden Sie in Punkt 1. Hinsichtlich der Verarbeitungszwecke sowie den Rechtsgrundlagen der Verarbeitung (Punkt 2.), Empfänger (Punkt 4.), die Verarbeitungsdauer (Punkt 5.), die Funktionsweise der Bonitätsprüfung im Rahmen des FINcredible-Checks in Form des Profilings (Punkt 6.) und Ihre Rechte als betroffene Person (Punkt 7.) gelten die allgemeinen Ausführungen, die Sie in den jeweils angegebenen Punkten finden.

4. Empfänger

Um diese angestrebten Zwecke zu erreichen, kann es notwendig sein, Ihre personenbezogenen Daten gegenüber Dritten offenzulegen:

Empfänger	Zweck	Rechtsgrundlage der Übermittlung	Sitz / Ort der Daten-verarbeitung	Grundlage für Übermittlung in ein Drittland
Amazon Web Services EMEA SARL	Hosting der eigenen IT-Systeme	Überwiegende berechtigte Interessen (Art 6 Abs 1 lit f DSGVO): Inanspruchnahme professioneller IT-Infrastruktur	EU (Luxemburg)	Keine Drittlandsübermittlung
Klarna Bank AB	Bereitstellung der technischen Schnittstelle zur Erhebung Ihrer Kontodaten	Überwiegende berechtigte Interessen (Art 6 Abs 1 lit f DSGVO): Inanspruchnahme professioneller IT-Infrastruktur	EU (Schweden)	Keine Drittlandsübermittlung
PayPal S.a.r.l. et Cide, S.C.A.	Zahlungsabwicklung	Überwiegende berechtigte Interessen (Art 6 Abs 1 lit f DSGVO): Inanspruchnahme professioneller Finanzdienstleister	Sitz: EU (Irland) Konzerninterne Übermittlung: USA	Art 49 Abs 1 lit b DSGVO
Zammad GmbH	Erfassung und Bearbeitung von Kundenanfragen	Überwiegende berechtigte Interessen (Art 6 Abs 1 lit f DSGVO): Inanspruchnahme professioneller IT-Infrastruktur	EU (Deutschland)	Keine Drittlandsübermittlung
Consultatio Steuerberatung GmbH & Co KG	Buchhaltung und Steuerberatung	Überwiegende berechtigte Interessen (Art 6 Abs 1 lit f DSGVO): Inanspruchnahme professioneller Steuerberatung	EU (Österreich)	Keine Drittlandsübermittlung
Auftraggeber des FINcredible-Checks	Erfüllung des Vertrages mit der betroffenen Person zur Durchführung des FINcredible-Checks	Art 6 Abs 1 lit b DSGVO	Sitz des Auftraggebers	Wenn Sitz des Auftraggebers im Drittland: Art 49 Abs 1 lit b DSGVO
Plattformen (Websites oder Softwareanbieter), die den FINcredible-Check anbieten	Erfüllung des Vertrages mit der betroffenen Person zur Durchführung des FINcredible-Checks	Art 6 Abs 1 lit b DSGVO	Sitz des Plattformbetreibers	Wenn Sitz des Plattformbetreibers im Drittland: Art 49 Abs 1 lit b DSGVO

Bei Vorliegen einer rechtlichen Verpflichtung übermitteln wir personenbezogene Daten an öffentliche Stellen und Institutionen (z.B. Strafverfolgungsbehörden, Gerichte).

5. Verarbeitungsdauer

Wir speichern und verarbeiten Ihre personenbezogenen Daten, solange dies für die Erfüllung des Verarbeitungszwecks erforderlich ist. Die Löschung der Sie betreffenden personenbezogenen Daten erfolgt entsprechend dem folgenden Löschkonzept automatisiert:

Kategorie personenbezogener Daten (Überblick)	Kategorie personenbezogener Daten (Details)	Verarbeitungsdauer bzw. Zeitpunkt der Löschung	Rechtsgrundlage der Aufbewahrungsfrist (sofern anwendbar)
Stammdaten	Vorname, Nachname, Geburtsdatum, Wohnort, Email-Adresse	Sieben Jahre nach Ablauf des Kalenderjahres der Erhebung	§ 152 GewO 1994, § 212 UGB
Allgemeine Informationen über das Konto	Vorname, Nachname, Titel, Geschlecht des Kontoinhabers, Bankverbindung (Bankleitzahl/BIC, Bankname, Bankland, IBAN)	Sieben Jahre nach Ablauf des Kalenderjahres der Erhebung	§ 152 GewO 1994, § 212 UGB
Kontotransaktionsdaten	Name des Empfängers und Auftraggebers, IBAN des Empfängers und Auftraggebers, Buchungstexte, Datum und Beträge der Transaktionen	Zwei Werktage nach Erhebung	Art 6 Abs 1 lit a, b, f DSGVO
Angaben über die Finanzsituation	Eigene Angaben des Interessenten über die Finanzsituation (Einnahmen und Ausgaben, sowie Beschäftigungsstatus inklusive Arbeitgeber)	Sieben Jahre nach Ablauf des Kalenderjahres der Erhebung	§ 152 GewO 1994, § 212 UGB
Bonitätskennzahlen	Zur Überprüfung der wirtschaftlichen Eignung festgelegte Kennzahlen (z.B. Einkommen)	Sieben Jahre nach Ablauf des Kalenderjahres der Erhebung	§ 152 GewO 1994, § 212 UGB
Bonitätskriterien	Beurteilung, ob die vom Auftraggeber festgelegten Bonitätskriterien erfüllt sind (ja / nein) (z.B. Entgeltzahlung ist kleiner als ein bestimmter Anteil am monatlichen Einkommen, oder der Interessent gibt selbst Fixkosten in bestimmter Höhe zur Verifikation an).	Sieben Jahre nach Ablauf des Kalenderjahres der Erhebung	§ 152 GewO 1994, § 212 UGB
Gesamtempfehlung	Beurteilung der Wahrscheinlichkeit einer Zahlungsauffälligkeit (z.B. Wert in Punkten, oder Einteilung in Kategorien)	Sieben Jahre nach Ablauf des Kalenderjahres der Erhebung	§ 152 GewO 1994, § 212 UGB
Informationen zur Geschäftsabwicklung	optimaler Zahlungs- bzw. Abbuchungszeitraum (z.B. erste Woche im Monat), Art des angegebenen Kontos (z.B. Gehaltskonto), Angaben des Auftraggebers oder des Interessenten (z.B. Angaben über den Geschäftszweck, Kunden-/Produkt-/Bestell- / Zahlungsinformationen, Kommentar/Anmerkung), Geschäftliche Korrespondenz und Support-Anfragen	Sieben Jahre nach Ablauf des Kalenderjahres der Erhebung	§ 152 GewO 1994, § 212 UGB
Protokolldaten und technische Informationen bei der Durchführung des FINcredible Check	Datum, Art & Uhrzeit der Nutzung, Auftraggeber, Geschäftszweck, Produkt, Personenidentifikation/Kunden-/Auftragsnummer, Reaktionszeiten, Status-, Fortschritts- und Fehlermeldungen bei der Durchführung des FINcredible Check	Sieben Jahre nach Ablauf des Kalenderjahres der Erhebung	§ 152 GewO 1994, § 212 UGB

Im Fall vorhersehbarer Rechtsstreitigkeiten können Ihre personenbezogenen Daten überdies auch länger, jedenfalls bis zum Ablauf der einschlägigen Verjährungsfristen der rechtlichen Ansprüche, aufbewahrt werden.

6. Funktionsweise der Bonitätsprüfung im Rahmen des FINcredible-Checks (Profiling)

Im Rahmen des FINcredible-Checks führen wir eine Bonitätsprüfung durch. Das bedeutet, es erfolgt eine automatisierte Verarbeitung personenbezogener Daten unter Bewertung persönlicher Aspekte in Bezug auf Ihre wirtschaftliche Lage (Profiling), welche im Wesentlichen wie folgt funktioniert:

1. Die erhobenen Kontotransaktionsdaten werden mittels statistischen Verfahrens/Mustererkennung und Textanalyse anhand der Verwendungszwecke, sowie der eigenen Angaben über die Finanzsituation kategorisiert (zB „Einkommen“ oder „Miete“).
   
2. Die so gewonnenen Datenkategorien werden mittels statistischer Analyse und Aggregation der einzelnen Kategorien analysiert.
   
3. Auf Basis dieser Analysedaten werden Bonitätsinformationen errechnet, die für die Beurteilung der Bonität für den Auftraggeber relevant sein können (z.B. monatliches Einkommen).
   
4. Aus den berechneten Bonitätsinformationen werden die Ergebnisse der Bonitätsprüfung abgeleitet. Es wird überprüft, ob die errechneten Bonitätsinformationen den vom Auftraggeber vorgegebenen Bonitätskriterien, oder den eigenen Angaben über die Finanzsituation des Interessenten entsprechen (z.B. Entgeltzahlung ist kleiner als ein bestimmter Anteil am monatlichen Einkommen, oder der Interessent gibt selbst Fixkosten in bestimmter Höhe zur Verifikation an), bzw. werden diese Informationen in übergeordneten Kategorien (z.B. alle Bonitätskriterien zum monatlichen Einkommen werden erfüllt) zusammengefasst. Falls dies der Auftraggeber für einen Geschäftsabschluss vorgibt, werden aus den berechneten Bonitätsinformationen durch den Auftraggeber festgelegte Bonitätskennzahlen (z.B. Einnahmen oder Ausgaben nach festgelegten Kategorien, oder bestimmte Verhältnisse zwischen Ausgaben festgelegter Kategorien) erhoben. Eine Gesamtempfehlung (Score-Modell, z.B. Wert in Punkten, oder Einteilung in Kategorien) gibt darüber hinaus eine Einschätzung der Wahrscheinlichkeit einer Zahlungsauffälligkeit an, indem der Interessent einer Personengruppe mit aktuell, oder in der Vergangenheit vergleichbaren Bonitätsinformationen statistisch zugeordnet, und gegenüber anderen Interessenten anhand der Gesamtempfehlung gereiht wird.

Für die Durchführung der Bonitätsprüfung und des Profiling verwenden wir geeignete mathematisch-statistische Verfahren. Außerdem werden technische und organisatorische Maßnahmen getroffen, um das Risiko von Fehlern bei der Durchführung der Bonitätsprüfung zu minimieren. Die Berechnungslogik der Bonitätsprüfung unterliegt unseren Geschäftsgeheimnissen; die Dokumentation und Beschreibung der Zusammenhänge können gegenüber Aufsichtsbehörden im Rahmen der rechtlichen Erfordernisse nachgewiesen werden.

Die von Ihnen als betroffene Person angegebenen Daten, insbesondere die Angaben über die Finanzsituation, und die freigegebenen Kontotransaktionsdaten des Bankkontos, werden jedoch nicht auf Richtigkeit, Vollständigkeit und Schlüssigkeit geprüft. Es wird ebenso nicht geprüft, ob neben den freiwillig angeführten Bankkonten noch andere Bankkonten für die Verarbeitung relevant sein können. In Ausnahmefällen erfolgt bei Unregelmäßigkeiten in der Analyse eine manuelle Kontrolle der Datenverarbeitung innerhalb von zwei Werktagen. Außerdem kann eine Überprüfung der Bonität aufgrund einer nicht aussagekräftigen Datenlage oder Unregelmäßigkeiten bei der Überprüfung abgebrochen werden, wobei der Auftraggeber darüber eine Information erhält.

7. Betroffenenrechte

Als betroffene Person stehen Ihnen die nachfolgend beschriebenen Rechte zu. Sollten wir begründete Zweifel an der Identität Ihrer Person im Rahmen der Ausübung eines der Betroffenenrechte haben, können wir von Ihnen zusätzliche Informationen anfordern, die zur Bestätigung der Identität Ihrer Person erforderlich sind.

Bei jenen Rechten, die mittels eines Begehrens geltend gemacht werden, haben wir einen Monat Zeit, diesen nachzukommen.

Auskunftsrecht gem. Art 15 DSGVO

Sie haben jederzeit das Recht, Auskunft über die Sie betreffenden, von uns verarbeiteten personenbezogenen Daten zu verlangen. Das Recht auf Auskunft beinhaltet dabei auch das Recht auf Erhalt einer Datenkopie, sofern dadurch nicht die Rechte und Freiheiten anderer Personen beeinträchtigt werden. Für das Erstellen einer solchen Datenkopie dürfen wir Ihnen ein angemessenes Entgelt auf Grundlage der Verwaltungskosten in Rechnung stellen.

Recht auf Berichtigung gem. Art 16 DSGVO

Sie haben das Recht, die Berichtigung oder Vervollständigung Sie betreffender unrichtiger Daten zu verlangen.

Recht auf Löschung gem. Art 17 DSGVO

Sie haben grundsätzlich das Recht, die Löschung Sie betreffender Daten zu verlangen. Dieses Recht auf Löschung besteht allerdings nicht, sofern die Verarbeitung erforderlich ist:

• für das Recht auf freie Meinungsäußerung und Information; oder
• zur Erfüllung einer rechtlichen Verpflichtung, die die Verarbeitung nach dem Recht der Union oder der Mitgliedstaaten, dem der Verantwortliche unterliegt, erfordert, oder zur Wahrnehmung einer Aufgabe, die im öffentlichen Interesse liegt oder in Ausübung öffentlicher Gewalt erfolgt, die dem Verantwortlichen übertragen wurde; oder
• aus Gründen des öffentlichen Interesses im Bereich der öffentlichen Gesundheit; oder
• für im öffentlichen Interesse liegende Archivzwecke, wissenschaftliche oder historische Forschungszwecke oder für statistische Zwecke, soweit die Löschung voraussichtlich die Verwirklichung der der Verarbeitung zugrundeliegenden Ziele unmöglich macht oder zumindest ernsthaft beeinträchtigen würde; oder
• zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen.

Recht auf Einschränkung der Verarbeitung gem. Art 18 DSGVO

Sie haben das Recht, die Einschränkung der Verarbeitung zu verlangen, sofern zumindest eine der folgenden Voraussetzungen gegeben ist:

• die Richtigkeit der personenbezogenen Daten wird von Ihnen bestritten, und zwar für eine Dauer, die es dem Verantwortlichen ermöglicht, die Richtigkeit der personenbezogenen Daten zu überprüfen; oder
• die Verarbeitung ist unrechtmäßig und Sie lehnen die Löschung der personenbezogenen Daten ab und verlangen stattdessen die Einschränkung der Nutzung der personenbezogenen Daten; oder
• der Verantwortliche benötigt die personenbezogenen Daten für die Zwecke der Verarbeitung nicht länger, Sie benötigen diese jedoch zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen; oder
• nach erfolgtem Einlegen eines Widerspruches gem. Art 21 Abs 1 DSGVO, solange noch nicht feststeht, ob die berechtigen Gründe des Verantwortlichen gegenüber Ihren Interessen überwiegen.

Haben Sie von Ihrem Recht auf Einschränkung der Verarbeitung Gebrauch gemacht, dürfen wir diese personenbezogenen Daten – mit Ausnahme der Speicherung dieser Daten – nur mit Ihrer Einwilligung oder zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen oder zum Schutz der Rechte einer anderen natürlichen oder juristischen Person oder aus Gründen eines wichtigen öffentlichen Interesses der Union oder eines Mitgliedstaats verarbeiten.

Widerspruchsrecht gem. Art 21 DSGVO

Sie haben das Recht, gegen Verarbeitungen, die auf Grundlage eines überwiegenden berechtigten Interesses unsererseits oder eines Dritten (gem. Art 6 Abs 1 lit f DSGVO) erfolgen, Widerspruch einzulegen. Im Fall eines Widerspruchs verarbeiten wir Ihre Daten nicht mehr, es sei denn, die Verarbeitung dient der Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen oder wir weisen zwingende schutzwürdige Gründe für die Verarbeitung nach, die Ihre Interessen überwiegen.

Ein Widerspruch gegen die Verarbeitung von personenbezogenen Daten zu Zwecken der Direktwerbung ist jederzeit möglich und führt dazu, dass wir Ihre Daten zu diesem Zweck jedenfalls nicht mehr verarbeiten dürfen.

Recht auf Datenübertragbarkeit gem. Art 20 DSGVO

Sie haben grundsätzlich auch das Recht, die Übertragung der von Ihnen bereitgestellten Daten in einem strukturierten, gängigen und maschinenlesbaren Format zu erhalten und diese Daten einem anderen Verantwortlichen zu übermitteln. Das Recht auf Datenübertragbarkeit besteht jedoch nur, sofern die Verarbeitung auf Ihrer Einwilligung oder auf einem Vertrag beruht und die Verarbeitung mithilfe automatisierter Verfahren erfolgt.

Recht auf Beschwerde gem. Art 77 DSGVO

Sollten Sie der Ansicht sein, dass die Verarbeitung Ihrer Daten unrechtmäßig erfolgt ist und gegen die DSGVO verstößt, haben Sie das Recht, eine Beschwerde bei der zuständigen Datenschutzbehörde einzubringen. Die Zuständigkeit richtet sich nach Ihrem Aufenthalts- oder Arbeitsort.

Die österreichische Datenschutzbehörde erreichen Sie unter:

Österreichische Datenschutzbehörde

Barichgasse 40-42
1030 Wien
dsb@dsb.gv.at