Datenschutzerklärung

Datenschutzerklärung für Zahlungsdienstnutzer

Diese Datenschutzerklärung richtet sich an Zahlungsdienstnutzer iSd § 4 Z 10 ZaDiG 2018 / Art 4 Z 10 PSD2, also Unternehmer oder Verbraucher (z.B. Kreditnehmer, Käufer, Mieter), die für einen bestimmten Geschäftszweck mit dem Auftraggeber diesem durch die Nutzung eines Zahlungsdienstes iSd § 4 Z 3 ZaDiG 2018 / Art 4 Z 3 PSD2 Informationen zur Geschäftsabwicklung und/oder Bonitätsinformationen im Rahmen des FINcredible-Check („FINcredible-Check“) übermitteln möchten. Auftraggeber sind typischerweise Anbieter von Produkten oder Leistungen (z.B. Online-Shops, Privatvermieter bzw. -verkäufer, Makler, Kreditinstitute).

Ihre Privatsphäre ist uns bei FINcredible sehr wichtig. Wir erheben und verarbeiten Ihre personenbezogenen Daten daher mit höchster Verantwortung und unter strenger Wahrung Ihrer Privatsphäre.

In dieser Datenschutzerklärung informieren wir Sie über die Verarbeitung personenbezogener Daten von Zahlungsdienstnutzern bei der Erhebung von Informationen zur Geschäftsabwicklung durch die Erbringung von Kontoinformationsdienstleistungen iSd § 4 Z 16 ZaDiG 2018 / Art 4 Z 16 PSD2 im Rahmen des FINcredible-Check.

Bei Kontoinformationsdienstleistungen handelt es sich um Zahlungsdienste iSd ZaDiG 2018 / der PSD2.

In dieser Datenschutzerklärungen finden Sie die folgenden Informationen:

  • Punkt 1.: Namen des Verantwortlichen, Kontaktdaten sowie Informationen zur Datenschutzbeauftragten;
  • Punkt 2.: Verarbeitungszwecke und Rechtsgrundlagen der Verarbeitung;
  • Punkt 3.: Empfänger von personenbezogenen Daten;
  • Punkt 4.: Verarbeitungsdauer;
  • Punkt 5.: Funktionsweise der Kontoinformationsdienste;
  • Punkt 6.: Betroffenenrechte.

Die Informationen in dieser Datenschutzerklärung erteilen wir Ihnen gemäß Art 13 DSGVO hinsichtlich jener Daten, die wir bei Ihnen selbst erheben, sowie gemäß Art 14 DSGVO hinsichtlich jener Daten, die wir aus anderen Quellen – also nicht bei Ihnen selbst – erheben.

1. Verantwortlicher und Kontaktmöglichkeit

Verantwortlicher der Datenverarbeitungen ist die

FINcredible GmbH
Wagenseilgasse 7
A-1120 Wien
FN 481488x, Handelsgericht Wien

(nachfolgend auch „FINcredible“ oder „wir“)

Unsere Datenschutzbeauftragte ist: Valentina Gasser, LL.M. (WU)

Für Fragen und Anliegen zum Datenschutz erreichen Sie uns sowie unsere Datenschutzbeauftragte unter datenschutz@fincredible.io.

2. Verarbeitungszwecke und Rechtsgrundlagen

Wir verarbeiten Ihre personenbezogenen Daten auf Basis der folgenden Rechtsgrundlagen und für die folgenden Verarbeitungszwecke:

  • Auf Basis Ihrer ausdrücklichen, jederzeit widerrufbaren Einwilligung in die Verarbeitung der Sie betreffenden personenbezogenen Daten (Art 6 Abs 1 lit a DSGVO und allenfalls Art 9 Abs 2 lit a DSGVO), nämlich
    • der Erhebung Ihrer Stammdaten, allgemeine Informationen über das von Ihnen angegebene Zahlungskonto sowie die Kontotransaktionsdaten für die Zwecke der Durchführung des FINcredible-Check; sowie
    • die Durchführung des FINcredible-Check, der gegebenenfalls auch eine automatisierte Bonitätsprüfung einschließlich Profiling umfassen kann.

Weitere Informationen zur Funktionsweise des FINcredible-Check in Bezug auf die Einholung der Informationen zur Geschäftsabwicklung finden Sie in Punkt 5. Dieser Datenschutzerklärung.

  • Zur Erfüllung eines Vertrags (Art 6 Abs 1 lit b DSGVO), nämlich des zwischen Ihnen und uns abgeschlossenen Vertrages (Allgemeine Geschäftsbedingungen) zur Durchführung des FINcredible-Check. Dazu zählen
    • der Betrieb und die Bereitstellung des FINcredible-Check;
    • die Durchführung des FINcredible-Check, wobei wir hierzu gesondert auch noch Ihre Einwilligung einholen (siehe dazu oben);
    • die Erbringung von Service- und Supportdienstleistungen im Zusammenhang mit dem FINcredible-Check; sowie
    • die ordnungsgemäße Rechnungslegung und Abrechnung.
  • Zur Durchführung vorvertraglicher Maßnahmen, die auf Ihre Anfrage hin erfolgen (Art 6 Abs 1 lit b DSGVO)
    • wenn Sie uns zur Anbahnung eines Vertragsverhältnisses (z.B. bei Fragen vor dem Vertragsabschluss) kontaktieren.
  • Zur Erfüllung gesetzlicher Verpflichtungen (Art 6 Abs 1 lit c DSGVO), nämlich
    • der Führung einer ordnungsgemäßen Buchhaltung;
    • der Erfüllung von gesetzlichen Aufbewahrungspflichten (z.B. aus Gründen der Buchhaltung und berufsrechtlichen Vorgaben); sowie
    • der Erfüllung behördlicher und/oder gerichtlicher Aufforderungen (z.B. Herausgabe von Daten an Strafverfolgungsbehörden).
  • Aufgrund überwiegender berechtigter Interessen (Art 6 Abs 1 lit f DSGVO), nämlich
    • der Vorbeugung, Erkennung und Verhinderung der missbräuchlichen Nutzung des FINcredible-Check;
    • der Erkennung und Behebung von Softwarefehlern des FINcredible-Check;
    • der Sammlung und Bearbeitung von Kundenfeedback;
    • die teamübergreifende Zusammenarbeit unserer Mitarbeiterinnen und Mitarbeiter;
    • die Produktentwicklung, -gestaltung und -verbesserung; sowie
    • die Verbesserung unseres Rechen- und Analysemodells sowie Maßnahmen der Datenminimierung (Aggregation) in diesem Zusammenhang.

Zweck der Erhebung dieser personenbezogenen Daten ist die Erbringung von Kontoinformationsdiensten im Rahmen des FINcredible-Check, wobei wir durch die Voraberhebung Ihren Aufwand bei der Durchführung reduzieren wollen.

Den Namen des Verantwortlichen und der Kontaktdaten sowie Informationen zum Datenschutzbeauftragten finden Sie in Punkt 1. Hinsichtlich der Verarbeitungszwecke sowie den Rechtsgrundlagen der Verarbeitung (Punkt 2.), Empfänger (Punkt 3.), die Verarbeitungsdauer (Punkt 4.), die Funktionsweise des FINcredible-Check (Punkt 5.) und Ihre Rechte als betroffene Person (Punkt 6.) gelten die allgemeinen Ausführungen, die Sie in den jeweils angegebenen Punkten finden.

3. Empfänger

Um die angeführten Verarbeitungszwecke zu erreichen, kann es notwendig sein, Ihre personenbezogenen Daten gegenüber einem oder mehreren der folgenden Dritten offenzulegen:

EmpfängerZweckRechtsgrundlage der ÜbermittlungSitz / Ort der Daten-verarbeitungGrundlage für Übermittlung in ein Drittland
Amazon Web Services EMEA SARLHosting der eigenen IT-SystemeÜberwiegende berechtigte Interessen (Art 6 Abs 1 lit f DSGVO): Inanspruchnahme professioneller IT-InfrastrukturEU (Luxemburg)Keine Drittlandsübermittlung
Klarna Bank ABBereitstellung der technischen Schnittstelle zur Erhebung Ihrer KontodatenÜberwiegende berechtigte Interessen (Art 6 Abs 1 lit f DSGVO): Inanspruchnahme professioneller IT-InfrastrukturEU (Schweden)Keine Drittlandsübermittlung
Zammad GmbHErfassung und Bearbeitung in KundenanfragenÜberwiegende berechtigte Interessen (Art 6 Abs 1 lit f DSGVO): Inanspruchnahme professioneller IT-InfrastrukturEU (Deutschland)Keine Drittlandsübermittlung
Consultatio
Steuerberatung GmbH & Co KG
Buchhaltung und SteuerberatungÜberwiegende berechtigte Interessen (Art 6 Abs 1 lit f DSGVO): Inanspruchnahme professioneller SteuerberatungEU (Österreich)Keine Drittlandsübermittlung
Auftraggeber des FINcredible-CheckErfüllung des Vertrages mit der betroffenen Person zur Durchführung des FINcredible-CheckArt 6 Abs 1 lit b DSGVOSitz des AuftraggebersWenn Sitz des Auftraggebers im Drittland: Art 49 Abs 1 lit b DSGVO
Kontoführende Bank des ZahlungsdienstnutzersErfüllung des Vertrages mit der betroffenen Person zur Durchführung der Kontoinformationsdienstleistungen§ 1 Abs. 2 Z 8 ZaDiG 2018;
Art 6 Abs 1 lit b DSGVO
Sitz der BankWenn Sitz der Bank im Drittland: Art 49 Abs 1 lit b DSGVO

Bei Fragen zur Verarbeitung Ihrer Daten können Sie sich jederzeit an uns (siehe dazu Punkt 1. dieser Datenschutzerklärung) oder direkt an den jeweiligen Dritten wenden.

Bei Vorliegen einer rechtlichen Verpflichtung übermitteln wir personenbezogene Daten an öffentliche Stellen und Institutionen (z.B. Strafverfolgungsbehörden, Gerichte)

4. Verarbeitungsdauer

Wir speichern und verarbeiten Ihre personenbezogenen Daten solange dies für die Erfüllung des Verarbeitungszwecks erforderlich ist. Die Löschung der Sie betreffenden personenbezogenen Daten erfolgt entsprechend dem folgenden Löschkonzept automatisiert:

Kategorie personenbezogener Daten (Überblick)Kategorie personenbezogener Daten (Details)Verarbeitungsdauer bzw. Zeitpunkt der LöschungRechtsgrundlage der Aufbewahrungsfrist (sofern anwendbar)
StammdatenVorname, Nachname, Geburtsdatum, Wohnort, Email-AdresseSieben Jahre nach Ablauf des Kalenderjahres der Erhebung§ 152 GewO 1994, § 212 UGB
Allgemeine Informationen über das ZahlungskontoVorname, Nachname, Titel, Geschlecht des Kontoinhabers, Bankverbindung (Bankleitzahl/BIC, Bankname, Bankland, IBAN)Sieben Jahre nach Ablauf des Kalenderjahres der Erhebung§ 152 GewO 1994, § 212 UGB
KontotransaktionsdatenName des Empfängers und Auftraggebers, IBAN des Empfängers und Auftraggebers, Buchungstexte, Datum und Beträge der TransaktionenDreißig Werktage nach Erhebung

Hinweis:
Sollte die Verarbeitung von Kontotransaktionsdaten für die Verarbeitungszwecke nicht erforderlich sein, so werden diese nach Möglichkeit nicht von der kontoführenden Bank erhoben. Die Übermittlung von Kontotransaktionsdaten durch die kontoführende Bank kann technisch jedoch nicht ausgeschlossen werden, sodass in diesen Fällen eine unmittelbare Löschung dieser Daten erfolgt.
Art 6 Abs 1 lit a, b, f DSGVO
Protokolldaten und technische Informationen bei der Durchführung des FINcredible-CheckDatum, Art & Uhrzeit der Nutzung, Auftraggeber, Geschäftszweck, Produkt, Personenidentifikation/Kunden-/Auftragsnummer, Reaktionszeiten, Status-, Fortschritts- und Fehlermeldungen bei der Durchführung des FINcredible-CheckSieben Jahre nach Ablauf des Kalenderjahres der Erhebung§ 152 GewO 1994, § 212 UGB
ZahlungskontodatenBenutzername bzw. Identifikator des Verfügers (z.B. Verfügernummer, Email-Adresse);
Zugangskennung (PIN/Passwort);
Security- bzw. Session-Token
Unmittelbar nach Durchführung der KontoinformationsdienstleistungArt 6 Abs 1 lit a, b, f DSGVO

Im Fall vorhersehbarer Rechtsstreitigkeiten können Ihre personenbezogenen Daten überdies auch länger, jedenfalls bis zum Ablauf der einschlägigen Verjährungsfristen der rechtlichen Ansprüche, aufbewahrt werden.

5. Funktionsweise der Kontoinformationsdienste

Für die Durchführung der Kontoinformationsdienste – somit bei Einsatz des FINcredible-Check – verwenden wir geeignete mathematisch-statistische und technische Verfahren.

Zuerst wählt der Zahlungsdienstnutzer die kontoführende Bank aus, die das gewünschte Zahlungskonto des Zahlungsdienstnutzers führt. Dann werden die Zahlungskontodaten vom Zahlungsdienstnutzer bekanntgegeben und an die kontoführende Bank des Zahlungsdienstnutzers übermittelt, und eine Freigabe des Zahlungskontos von FINcredible zur Erbringung von Kontoinformationsdienstleistungen angefordert. Die Zahlungskontodaten werden vom Zahlungsdienstnutzer entweder direkt bei der kontoführenden Bank eingegeben, oder durch FINcredible an die kontoführende Bank des Zahlungsdienstnutzers übertragen und anschließend gelöscht. FINcredible erhält einen Security Token, mit dem die folgenden Informationen von der Bank abgerufen werden können.

Die allgemeinen Informationen über das Zahlungskonto (Vorname, Nachname, Titel, Geschlecht des Kontoinhabers, Bankverbindung (Bankleitzahl/BIC, Bankname, Bankland, IBAN) werden aus einem strukturierten Datenformat, das die kontoführende Bank an uns übermittelt, ausgelesen. Die Kategorisierung der Kontotransaktionsdaten (Name des Empfängers und Auftraggebers der Buchung, IBAN des Empfängers und des Auftraggebers der Buchung, Buchungstext, Transaktionsdatum und Transaktionsbetrag) erfolgt automatisiert auf Basis von statistischen Verfahren / Mustererkennung (z.B. Beträge oder Regelmäßigkeiten von Zahlungen) und Textanalyse anhand der Verwendungszwecke oder Empfängernamen (z.B. „Einkommen“ oder „Tankstelle“).

Außerdem werden technische und organisatorische Maßnahmen getroffen, um das Risiko von Fehlern bei der Erhebung von Informationen zur Geschäftsabwicklung zu minimieren. Die technischen Details des FINcredible-Check unterliegen unseren Geschäftsgeheimnissen; die Dokumentation und Beschreibung der Zusammenhänge können gegenüber Aufsichtsbehörden im Rahmen der rechtlichen Erfordernisse nachgewiesen werden. Die von Ihnen angegebenen Daten, insbesondere die freigegebenen Kontotransaktionsdaten eines Zahlungskontos des Betroffenen, werden jedoch nicht auf Richtigkeit, Vollständigkeit und Schlüssigkeit geprüft. Es wird ebenso nicht geprüft, ob neben den freiwillig angeführten Zahlungskonten noch andere Zahlungskonten für die Verarbeitung relevant sein können. In Ausnahmefällen erfolgt bei Unregelmäßigkeiten in der Analyse eine manuelle Kontrolle der Datenverarbeitung innerhalb von dreißig Werktagen. Außerdem kann eine Erhebung von Informationen zur Geschäftsabwicklung aufgrund einer nicht aussagekräftigen Datenlage oder Unregelmäßigkeiten bei der Überprüfung abgebrochen werden, wobei der Auftraggeber und der Interessent eine Information darüber erhalten.

6. Betroffenenrechte

Als betroffene Person stehen Ihnen die nachfolgend beschriebenen Rechte zu. Sollten wir begründete Zweifel an der Identität Ihrer Person im Rahmen der Ausübung eines der Betroffenenrechte haben, können wir vor der Ergreifung weiterer Maßnahmen zusätzliche Informationen von Ihnen anfordern, um Ihre Identität bestätigen zu können.

Bei jenen Betroffenenrechten, die mittels eines Antrags (Begehrens) geltend gemacht werden, informieren wir Sie innerhalb eines Monats nach Eingang Ihres Antrags darüber, welche Maßnahmen wir getroffen haben oder über die Gründe für die Ablehnung Ihres Antrags. Diese Frist kann aufgrund der Komplexität und der Anzahl von Anträgen um zwei weitere Monate verlängert werden.

Auskunftsrecht gem. Art 15 DSGVO

Sie haben jederzeit das Recht, Auskunft über die Sie betreffenden, von uns verarbeiteten personenbezogenen Daten zu verlangen. Das Recht auf Auskunft beinhaltet dabei auch das Recht auf Erhalt einer Datenkopie, sofern dadurch nicht die Rechte und Freiheiten anderer Personen beeinträchtigt werden. Für das Erstellen einer solchen Datenkopie dürfen wir Ihnen ein angemessenes Entgelt auf Grundlage der Verwaltungskosten in Rechnung stellen.

Recht auf Berichtigung gem. Art 16 DSGVO

Sie haben das Recht, die Berichtigung oder Vervollständigung Sie betreffender unrichtiger Daten zu verlangen.

Recht auf Löschung gem. Art 17 DSGVO

Sie haben grundsätzlich das Recht, die Löschung Sie betreffender Daten zu verlangen. Dieses Recht auf Löschung besteht allerdings nicht, sofern die Verarbeitung erforderlich ist:

  • für das Recht auf freie Meinungsäußerung und Information; oder
  • zur Erfüllung einer rechtlichen Verpflichtung, die die Verarbeitung nach dem Recht der Union oder der Mitgliedstaaten, dem der Verantwortliche unterliegt, erfordert, oder zur Wahrnehmung einer Aufgabe, die im öffentlichen Interesse liegt oder in Ausübung öffentlicher Gewalt erfolgt, die dem Verantwortlichen übertragen wurde; oder
  • aus Gründen des öffentlichen Interesses im Bereich der öffentlichen Gesundheit; oder
  • für im öffentlichen Interesse liegende Archivzwecke, wissenschaftliche oder historische Forschungszwecke oder für statistische Zwecke, soweit die Löschung voraussichtlich die Verwirklichung der der Verarbeitung zugrundeliegenden Ziele unmöglich macht oder zumindest ernsthaft beeinträchtigen würde; oder
  • zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen.

Recht auf Einschränkung der Verarbeitung gem. Art 18 DSGVO

Sie haben das Recht, die Einschränkung der Verarbeitung zu verlangen, sofern zumindest eine der folgenden Voraussetzungen gegeben ist:

  • die Richtigkeit der personenbezogenen Daten wird von Ihnen bestritten und zwar für eine Dauer, die es dem Verantwortlichen ermöglicht, die Richtigkeit der personenbezogenen Daten zu überprüfen; oder
  • die Verarbeitung ist unrechtmäßig und Sie lehnen die Löschung der personenbezogenen Daten ab und verlangen stattdessen die Einschränkung der Nutzung der personenbezogenen Daten; oder
  • der Verantwortliche benötigt die personenbezogenen Daten für die Zwecke der Verarbeitung nicht länger, Sie benötigen diese jedoch zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen; oder
  • nach erfolgtem Einlegen eines Widerspruches gem. Art 21 Abs 1 DSGVO, solange noch nicht feststeht, ob die berechtigen Gründe des Verantwortlichen gegenüber Ihren Interessen überwiegen.

Haben Sie von Ihrem Recht auf Einschränkung der Verarbeitung Gebrauch gemacht, dürfen wir diese personenbezogenen Daten – mit Ausnahme der Speicherung dieser Daten – nur mit Ihrer Einwilligung oder zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen oder zum Schutz der Rechte einer anderen natürlichen oder juristischen Person oder aus Gründen eines wichtigen öffentlichen Interesses der Union oder eines Mitgliedstaats verarbeiten.

Widerspruchsrecht gem. Art 21 DSGVO

Sie haben das Recht, gegen Verarbeitungen, die auf Grundlage eines überwiegenden berechtigten Interesses unsererseits oder eines Dritten (gem. Art 6 Abs 1 lit f DSGVO) erfolgen, Widerspruch einzulegen. Im Fall eines Widerspruchs verarbeiten wir Ihre Daten nicht mehr, es sei denn, die Verarbeitung dient der Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen oder wir weisen zwingende schutzwürdige Gründe für die Verarbeitung nach, die Ihre Interessen überwiegen.

Ein Widerspruch gegen die Verarbeitung von personenbezogenen Daten zu Zwecken der Direktwerbung ist jederzeit möglich und führt dazu, dass wir Ihre Daten zu diesem Zweck jedenfalls nicht mehr verarbeiten dürfen.

Recht auf Datenübertragbarkeitgem. Art 20 DSGVO

Sie haben grundsätzlich auch das Recht, die Übertragung der von Ihnen bereitgestellten Daten in einem strukturierten, gängigen und maschinenlesbaren Format zu erhalten und diese Daten einem anderen Verantwortlichen zu übermitteln. Das Recht auf Datenübertragbarkeit besteht jedoch nur, sofern die Verarbeitung auf Ihrer Einwilligung oder auf einem Vertrag beruht und die Verarbeitung mithilfe automatisierter Verfahren erfolgt.

Recht auf Beschwerde gem. Art 77 DSGVO

Sollten Sie der Ansicht sein, dass die Verarbeitung Ihrer Daten unrechtmäßig erfolgt ist und gegen die DSGVO verstößt, haben Sie das Recht, eine Beschwerde bei der zuständigen Datenschutzbehörde einzubringen. Die Zuständigkeit richtet sich nach Ihrem Aufenthalts- oder Arbeitsort.

Die österreichische Datenschutzbehörde erreichen Sie unter:

Österreichische Datenschutzbehörde
Barichgasse 40-42
A-1030 Wien, Österreich
dsb@dsb.gv.at