Close Menu

Datenschutzhinweise

Datenschutzhinweise gemäß Art. 13, 14 DSGVO 

 

Die First Data GmbH, Marienbader Platz 1, 61348 Bad Homburg (nachfolgend "Fiserv"), informiert Sie hiermit über die Verarbeitung Ihrer personenbezogenen Daten (Art. 4 Nr. 2 Datenschutz-Grundverordnung (nachfolgend "DSGVO")) durch Fiserv und die Ihnen datenschutzrechtlich zustehenden Rechte im Zusammenhang mit der App TransactVerify. Fiserv weist ausdrücklich darauf hin, dass Ihr Emittent möglicherweise über Datenschutzrichtlinien verfügt, die zusätzlich zu diesen Bedingungen gelten.

 

1.      Wer ist für die Datenverarbeitung verantwortlich und an wen kann ich mich wenden?

Verantwortlicher ist die First Data GmbH, Marienbader Platz 1, 61348 Bad Homburg, Deutschland.

Der Datenschutzbeauftragte von Fiserv ist erreichbar unter dpo@fiserv.com

Fiserv bedient sich für den Betrieb des Authentifizierungsservers für Mastercard Secure Code (3D-Secure) des Dienstleisters Netcetera AG, 8040 Zürich, Schweiz (nachfolgend "Netcetera").

 

2.      Welche Quellen und Daten verwendet Fiserv?

2.1    Fiserv verarbeitet nur Daten, die erforderlich sind, um den Betrieb der App zu gewährleisten.

2.2    Bei der Registrierung wird über die in der App eingetragene Kreditkartennummer und die Nummer der App-Installation auf Ihrem mobilen Endgerät (die sogenannte emCertID) eine Verbindung hergestellt. Die Kreditkartennummer und die dazugehörige emCertID werden an Fiserv und deren Dienstleister Netcetera übermittelt. Fiserv und Netcetera sind so in der Lage, Ihnen bei Bedarf während eines Online-Kaufs eine Push-Nachricht auf Ihr mobiles Endgerät zu senden, über die Sie den Kauf und damit Ihre Identität bestätigen. In der App selbst werden keine Daten gespeichert. Die Liste aller Karten, die bereits in der App registriert sind, wird bei jedem Öffnen der App vom Server abgerufen und beim Schließen der App verworfen. Zudem werden die Kartennummern nur teilweise angezeigt (maskiert).

2.3    Im Rahmen des Registrierungsprozesses wird der Nutzer aufgefordert, den Versand eines Codes per Brief, per 1-Cent-Transaktion oder per SMS zu initiieren und zu bestätigen. Im Falle eines Codes per SMS werden die letzten vier Ziffern Ihrer Kartennummer, das Ablaufdatum Ihrer Karte, Ihr Geburtsdatum und Ihre Telefonnummer zur Identitätsprüfung abgefragt. 

2.4    Um die optionale Kartenscanner-Funktion oder die Offline-Zahlungsfreigabe nutzen zu können, benötigt die App zusätzlich eine Berechtigung zum Öffnen der Kamera.

 

3.      Wofür verarbeitet Fiserv Ihre Daten (Zweck der Verarbeitung) und auf welcher Rechtsgrundlage?

Fiserv übermittelt keine Daten in andere Länder als Deutschland und die Schweiz. Alle Daten werden von Ihnen, Ihrem Arbeitgeber oder Ihrem Kartenherausgeber zur Verfügung gestellt. Die Daten werden bis zu 13 Monate gespeichert (z.B. bei Rechtsstreitigkeiten).

Fiserv verarbeitet Ihre personenbezogenen Daten zu folgenden Zwecken und auf folgender Rechtsgrundlage:

Aktivität

Rechtsgrundlage

Unser berechtigtes Interesse

Empfänger der Daten

Transaktionen anzeigen

Berechtigtes Interesse

Sicherstellen, dass Transaktionen nur von der richtigen Person und vom richtigen Gerät aus gesehen werden können.

Fiserv

Netcetera

E-Kontoauszüge anzeigen

Berechtigtes Interesse

Erfüllung vertraglicher Verpflichtungen

Sicherstellen, dass eStatements nur von der richtigen Person und vom richtigen Gerät aus gesehen werden können.

Betriebspflichtdienst: Abrechnungen

Fiserv

Netcetera

Genehmigen Sie Transaktionen über 3D Secure

Erfüllung vertraglicher Verpflichtungen

Betriebspflicht: 3D Secure

Fiserv

Netcetera

3D Secure-Registrierung

Erfüllung vertraglicher Verpflichtungen

Betriebspflicht: 3D Secure

Fiserv

Netcetera

Anzeige des Kartenguthabens

Berechtigtes Interesse

Betriebsservice: Karte Guthaben

Fiserv

Netcetera

 

4.      Wer erhält meine Daten?

4.1    Innerhalb von Fiserv erhalten diejenigen Stellen Ihre Daten, die diese zur Erfüllung der vertraglichen und gesetzlichen Pflichten von Fiserv benötigen. 

4.2    Zu diesen Zwecken können auch von Fiserv eingesetzte Auftragsverarbeiter (Art. 28 DSGVO) Daten erhalten. 

Dabei handelt es sich zunächst um Unternehmen innerhalb der Fiserv-Unternehmensgruppe, an die Fiserv die Abwicklung von Dienstleistungen, z.B. Betriebs- und IT-Dienstleistungen, auslagert, insbesondere die FDR Limited, LLC, Zweigniederlassung Deutschland, 90459 Nürnberg (Kartenantragsbearbeitung, Karteninhaberbetreuung und -korrespondenz, Callcenter, Betrugsprävention, Geldwäscheüberwachung, Bearbeitung von Zahlungsbeschwerden und Rücklastschriften) oder Sanktionslistenüberwachung.

        Empfänger außerhalb der Fiserv-Gruppe sind folgende Auftragsverarbeiter von Fiserv gemäß Art. 28 DSGVO: 

  • Netcetera AG, 8040 Zürich, Schweiz: Betrieb des Authentifizierungsservers für Mastercard Secure Code (3D-Secure);
  • Deutsche Telekom Business Solutions GmbH, 53227 Bonn: mTAN per SMS versenden;

 

4.3   Informationen über Sie können an andere Empfänger außerhalb von Fiserv weitergegeben werden, wenn dies gesetzlich zulässig oder erforderlich ist, wenn dies für die Erfüllung des Kartenvertrages erforderlich ist oder wenn Sie eingewilligt haben. Unter diesen Voraussetzungen können Empfänger personenbezogener Daten z.B. sein

  • Dein Arbeitgeber  (Firmenkreditkarte und Gehaltskarte des Mitarbeiters)
  • Ggf. ein Kreditinstitut, mit dem Ihr Arbeitgeber im Zusammenhang mit den Karten für seine Mitarbeiter zusammenarbeitet (bei Firmenkreditkarten und Gehaltskarten der Mitarbeiter);
  • Öffentliche Stellen und Institutionen (z.B. Deutsche Bundesbank, Bundesanstalt für Finanzdienstleistungsaufsicht, Finanzbehörden, Geldwäschemeldestellen, Ermittlungsbehörden, Zentrale Finanztransaktionsermittlungsstelle (FIU)) bei Vorliegen einer gesetzlichen oder behördlichen Verpflichtung;
  • Kredit- und Finanzdienstleistungsinstitute oder vergleichbare Institute, an die Fiserv zur Durchführung des Kartenvertrages personenbezogene Daten übermittelt (z.B. Ihre Hausbank);
  • Mastercard Europe SPRL, 1410 Waterloo, Belgien;
  • AWP P&C S.A. Niederlassung für Deutschland, 85609 Aschheim: Versicherung (nur bei Inanspruchnahme einer Versicherung, die Ihre Anspruchsberechtigung bestätigt).

4.4 Weitere Datenempfänger können diejenigen Stellen sein, für die Sie Fiserv Ihre Einwilligung zur Datenübermittlung erteilt haben.

 

5.      Wie lange werden meine Daten gespeichert?

Soweit erforderlich, verarbeitet und speichert Fiserv Ihre personenbezogenen Daten für die Dauer des Kartenvertrages. 

Darüber hinaus unterliegt Fiserv verschiedenen Aufbewahrungs- und Dokumentationspflichten, die sich unter anderem aus dem Handelsgesetzbuch (HGB), der Abgabenordnung (AO), dem Zahlungsdiensteaufsichtsgesetz (ZAG) und dem Geldwäschegesetz (GwG) ergeben. Die dort vorgegebenen Aufbewahrungs- und Dokumentationsfristen betragen bis zu zehn Jahre.

Schließlich bemisst sich die Speicherdauer auch nach den gesetzlichen Verjährungsfristen, die beispielsweise nach §§ 195 ff. BGB in der Regel 3 Jahre, teilweise aber auch bis zu 30 Jahre betragen.

 

6.      Werden Daten in ein Drittland oder an eine internationale Organisation übermittelt?

Eine Übermittlung personenbezogener Daten in Drittländer (Länder außerhalb des Europäischen Wirtschaftsraums (EWR)) findet nur statt, wenn dem Drittland von der EU-Kommission ein angemessenes Datenschutzniveau bestätigt wurde oder andere geeignete Datenschutzgarantien (z.B. Binding Corporate Rules oder EU-Standarddatenschutzklauseln) vereinbart wurden oder Sie Fiserv Ihre Einwilligung erteilt haben.

 

7.      Welche Datenschutzrechte habe ich?

Jede betroffene Person hat das Recht auf Auskunft nach Art. 15 DSGVO, das Recht auf Berichtigung nach Art. 16 DSGVO, das Recht auf Löschung nach Art. 17 DSGVO, das Recht auf Einschränkung der Verarbeitung nach Art. 18 DSGVO und das Recht auf Datenübertragbarkeit nach Art. 20 DSGVO. Für das Recht auf Auskunft und das Recht auf Löschung gelten die Einschränkungen der §§ 34 und 35 BDSG. 

Darüber hinaus haben Sie das Recht, eine Beschwerde bei der Datenschutzaufsichtsbehörde Ihres Bundeslandes einzureichen (Art. 77 DSGVO i.V.m. § 19 BDSG).

Den Datenschutzbeauftragten von Fiserv erreichen Sie unter dpo@fiserv.com.

 

8.      Habe ich eine Pflicht zur Bereitstellung von Daten?

Sie müssen nur die personenbezogenen Daten angeben, die für den Betrieb der App erforderlich sind 

Insbesondere ist Fiserv nach Geldwäschevorschriften verpflichtet, Sie zu identifizieren, wenn der Kartenvertrag zwischen Fiserv und Ihnen zustande kommt, vor Abschluss des Kartenvertrages, etwa mittels Ihres amtlichen Ausweisdokuments, und Ihren Namen, Ihren Geburtsort, Ihr Geburtsdatum, Ihre Staatsangehörigkeit und Ihre Wohnanschrift zu erheben, oder  wenn der Kartenvertrag zwischen Fiserv und Ihrem Arbeitgeber geschlossen wird, vor Abschluss des Kartenvertrages mindestens Ihren Namen und ggf. weitere Informationen zu erheben. Damit Fiserv dieser gesetzlichen Verpflichtung nachkommen kann, benötigt Fiserv die nach dem Geldwäschegesetz (GwG) erforderlichen Informationen und Unterlagen und, falls sich Änderungen im Verlauf des Kartenvertrages ergeben, unverzügliche Mitteilung über die Änderung und etwaige geänderte Unterlagen. Erhält Fiserv die erforderlichen Informationen und Unterlagen nicht, darf Fiserv den Kartenvertrag nicht abschließen oder fortführen.

 

Information über Ihr Widerspruchsrecht nach Art. 21 Datenschutz-Grundverordnung (DSGVO)

Sie haben das Recht, aus Gründen, die sich aus Ihrer besonderen Situation ergeben, jederzeit gegen die Verarbeitung Sie betreffender personenbezogener Daten, die aufgrund von Art. 6 Abs. 1 lit. f DSGVO (Datenverarbeitung auf der Grundlage einer Interessenabwägung) erfolgt, Widerspruch einzulegen; dies gilt auch für ein auf diese Bestimmung gestütztes Profiling im Sinne von Art. 4 Abs. 4 DSGVO, das Fiserv zur Beurteilung der Kreditwürdigkeit einsetzt. 

Wenn Sie Widerspruch einlegen, wird Fiserv Ihre personenbezogenen Daten nicht mehr verarbeiten, es sei denn, Fiserv kann zwingende schutzwürdige Gründe für die Verarbeitung nachweisen, die Ihre Interessen, Rechte und Freiheiten überwiegen, oder die Verarbeitung dient der Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen.

 

Informationen zur Verarbeitung personenbezogener Daten gemäß der EU-Geldtransferverordnung

Die "Verordnung (EU) 2015/847 des Europäischen Parlaments und des Rates vom 20. Mai 2015 über Informationen bei Geldtransfers" (EU-Geldtransferverordnung) dient der Verhinderung, Aufdeckung und Untersuchung von Geldwäsche und Terrorismusfinanzierung im Zusammenhang mit Geldtransfers. Sie verpflichtet Fiserv, bei der Ausführung von Überweisungen Informationen über den Zahler und den Zahlungsempfänger zu überprüfen und zu übermitteln. Diese Informationen bestehen aus dem Namen und der Kundennummer des Zahlers und des Zahlungsempfängers sowie der Adresse des Zahlers. Bei Geldtransfers innerhalb des Europäischen Wirtschaftsraums darf die Adresse des Auftraggebers zunächst nicht übermittelt werden, diese Informationen können jedoch vom Zahlungsdienstleister des Zahlungsempfängers angefordert werden. Fiserv verwendet die in seinen Systemen gespeicherten Daten zur Bereitstellung des Namens und ggf. der Anschrift, um den gesetzlichen Anforderungen nachzukommen. Die Verordnung stellt sicher, dass Zahler und Zahlungsempfänger aus den Zahlungsverkehrsdatensätzen selbst immer eindeutig identifiziert werden können. Dies bedeutet auch, dass Fiserv Zahlungsdaten prüfen, Anfragen anderer Kreditinstitute zur Identität des Zahlers oder Zahlungsempfängers beantworten und diese Daten den zuständigen Behörden auf Verlangen zur Verfügung stellen muss.