CountryDatenschutzerklärung
Datenschutzerklärung gemäß Art. 13, 14 DSGVO für die App "TransactVerify"
Das Kartenausgebende Institut (der " Kartenherausgeber ") Ihrer (Kredit- oder Prepaid-) Karte (die "Karte") informiert Sie hiermit über die Verarbeitung Ihrer personenbezogenen Daten (Art. 4 Nr. 2 Datenschutz-Grundverordnung ("DSGVO")) durch den Kartenherausgeber und die Ihnen datenschutzrechtlich zustehenden Rechte im Zusammenhang mit der App "TransactVerify".
Die App ermöglicht es Ihnen,
(i) E-Commerce-Transaktionen, die Sie mit Ihrer Karte durchführen (die "Transaktionen"), zu autorisieren (genehmigen) oder abzulehnen (Funktion "3D Secure" (Mastercard® Identity Check)). Das 3D-Secure-Verfahren erhöht die Sicherheit von Kartenzahlungen im Internet und dient dazu, das Betrugsrisiko zu verringern, indem Zahlungsvorgänge erst nach Authentifizierung des Karteninhabers ausgeführt werden;
(ii) einen Überblick über vergangene und aktuelle Kartenabrechnungen zu erhalten (Funktion "eStatements"),
(iii) einen Überblick über alle mit Ihrer Karte getätigten Transaktionen zu erhalten (Funktion "Transaktionen"),
(iv) Echtzeit-Push-Benachrichtigungen für jede Transaktion zu aktivieren und
(v) aktuelle Informationen über das Limit der Karte zu erhalten.
Der Kartenherausgeber der Karte ist Ihre Bank oder eine andere Institution, mit der ein Vertrag über Ihre Karte besteht - entweder direkt mit Ihnen oder, falls Sie die Karte von Ihrem Arbeitgeber erhalten haben, mit Ihrem Arbeitgeber (der "Kartenvertrag").
Diese Datenschutzerklärung gemäß Art. 13, 14 DSGVO für die App TransactVerify " (die "App") ergänzen die Datenschutzerklärung des Kartenherausgebers für den Kartenvertrag, die Sie vom Kartenherausgeber erhalten können (die "Datenschutzinformationen des Kartenherausgebers für den Kartenvertrag").
1. Wer ist für die Datenverarbeitung verantwortlich und an wen kann ich mich wenden?
Der Verantwortliche ist der Kartenherausgeber.
Der Datenschutzbeauftragte des Kartenherausgeber ist unter den Kontaktdaten erreichbar, die Ihnen in den Datenschutzinformationen zum Kartenvertrag der Herausgeberin mitgeteilt wurden.
2. Um welche Daten handelt es sich und wie sind die Quellen der Daten?
2.1 Wenn Sie sich über 3D Secure (Mastercard® Identity Check TM) für die App registrieren,
a) wählen Sie eine PIN, mit der Sie sich bei zukünftigen Internet-Kartenzahlungen authentifizieren können;
b) haben Sie außerdem die Möglichkeit, die biometrische Erkennung zu wählen, um sich bei zukünftigen Internet-Kartenzahlungen zu authentifizieren. Wenn Sie diese Option ausgewählt haben, fragt die App das mobile Gerät, auf das Sie die App heruntergeladen haben, ob der Biometrie-Modus aktiviert wurde. Wenn dieser noch nicht aktiviert wurde, benachrichtigt das mobile Gerät die App entsprechend. Sobald Sie den biometrischen Modus in den Einstellungen Ihres Mobilgeräts aktiviert haben und das Gerät Ihren Fingerabdruck oder Ihre Gesichts-ID erfolgreich erfasst hat, benachrichtigt das Gerät die App, dass die biometrischen Daten korrekt sind. Sie bestimmen in den Einstellungen des mobilen Endgeräts, ob Sie Face-ID, oder Touch-ID/Fingerabdruck wählen. Die Face-ID und/oder der Fingerabdruck werden nur auf Ihrem Mobilgerät gespeichert, sie werden nicht an die App übertragen.
c) geben Sie Ihre Kartennummer in der App ein, entweder manuell oder durch Scannen der Karte. Wenn Sie Ihre Kartennummer durch Scannen der Karte eingeben, genehmigen Sie der App die Verwendung der Kamera auf Ihrem Mobilgerät, auf das Sie die App heruntergeladen haben;
d) stellen Sie eine Verbindung zwischen der von Ihnen in der App eingegebenen Kartennummer und der Nummer der App-Installation auf Ihrem Mobilgerät, auf das Sie die App heruntergeladen haben (die "emCertID") her;
e) werden das Betriebssystem und der Typ Ihres Mobilgeräts erfasst;
f) wählen Sie eine bevorzugte Methode, um einen Identifikationscode für den Authentifizierungsprozess zu erhalten, der während der Registrierung erforderlich ist. Sie können entweder eine Übermittlung per SMS, 1-Cent-Transaktion oder Brief wählen.
Wenn Sie die Übermittlung per SMS gewählt haben, geben Sie auch die letzten vier Ziffern Ihrer Bankkontonummer, das Ablaufdatum der Karte, Ihr Geburtsdatum und Ihre Mobiltelefonnummer in die App ein.
Sobald Sie den Identifikationscode über den von Ihnen gewählten Kanal erhalten haben, geben Sie den Identifikationscode in der App ein.
Soweit möglich, werden Ihre Daten verschlüsselt verarbeitet.
2.2 Wenn Sie eine Transaktion über 3D Secure (Mastercard® Identity Check TM) autorisieren/bestätigen:
a) erhalten Sie eine Push-Nachricht auf Ihr mobiles Gerät vom Kartenherausgeber, der Ihre Kartennummer und die emCertID verwendet. Die Push-Nachricht enthält Ihre Kartennummer (die letzten vier Ziffern), den Namen des Händlers sowie das Datum, die Uhrzeit und den Betrag der Transaktion in der gewählten Währung.
b) wird das Betriebssystem und der Typ Ihres Mobilgeräts erfasst.
c) autorisieren/bestätigen Sie
i. die Transaktion entweder durch Eingabe der von Ihnen gewählten PIN oder durch die von Ihnen gewählte biometrische Erkennungsmethode. Wenn Sie die biometrische Erkennung autorisieren/bestätigen, wird die biometrische Erkennung von Ihrem Mobilgerät durchgeführt, und die App wird nur benachrichtigt, ob die Authentifizierung erfolgreich war oder nicht. Ihre Face-ID oder Ihr Fingerabdruck werden nicht an die App übertragen.
ii. Wenn Sie alternativ die Offline-Autorisierungsfunktion auf der Website des Händlers gewählt haben, bei dem Sie die Transaktion durchführen möchten, öffnen Sie den QR-Code-Scanner in der App und scannen den auf der Website des Händlers angezeigten QR-Code, um die Transaktion zu autorisieren/zu bestätigen.
d) Wenn Sie die Transaktion nicht autorisieren/bestätigen möchten, lehnen Sie sie ab
Soweit möglich, werden Ihre Daten verschlüsselt verarbeitet.
2.3 Sie können auch eine Liste mit allen von Ihnen getätigten und abgeschlossenen Transaktionen anzeigen lassen. Dies beinhaltet: Kartennummer (letzte vier Ziffern), Name des Händlers, Adresse (falls von MasterCard bereitgestellt), zusätzliche Händlerinformationen (falls von MasterCard bereitgestellt), Datum und Uhrzeit der Transaktion, Transaktionsbetrag in EUR und gegebenenfalls in Fremdwährung mit Wechselkurs und Währungsumrechnungsgebühr sowie Gesamtbetrag aller Transaktionen. Diese Daten werden vom Kartenherausgeber zur Verfügung gestellt.
2.4 Wenn Ihnen die Funktion "eStatement" vom Kartenherausgeber angeboten wird und Sie die Funktion in der App aktiviert haben, erhalten Sie Zugriff auf Ihre Kartenabrechnungen mit Informationen zu den von Ihnen getätigten Transaktionen, die Sie auch als pdf-Dokument herunterladen können. Die Kartenabrechnungen enthalten eine Teilmenge der in Ziffer 2.3 beschriebenen Daten und werden vom Kartenherausgeber zur Verfügung gestellt.
2.5 Sie können auch das Limit Ihrer Karte einschließlich des bereits genutzten sowie des noch verfügbaren Betrags einsehen. Das Limit wird vom Kartenherausgeber bereitgestellt.
2.6 Wenn Sie in den Geräteeinstellungen Ihres Mobilgeräts dem Erhalt von Push-Benachrichtigungen für die App zugestimmt haben, erhalten Sie eine Push-Nachricht, wenn eine Karte, die Sie zuvor in der App registriert haben, für Transaktionen verwendet wurde (Funktion "Alert Service"). Die Benachrichtigung enthält die letzten 4 Ziffern Ihrer Kartennummer, den Betrag und die Währung.
2.7 In der App registrierte Karten und damit verbundene Daten (z.B. Kartennummer, Transaktionen, eStatements) werden nicht in der App, sondern auf einem zentralen Server ausserhalb der App und des mobilen Endgeräts gespeichert. Jedes Mal, wenn die App geöffnet wird, werden die Kartendaten vom Server abgerufen und verworfen, wenn die App wieder geschlossen wird.
Kartennummern werden nur teilweise angezeigt (maskiert).
Grundsätzlich werden alle Daten (z.B. Kartennummer, Transaktionen), die mit der Karte verbunden sind, auf einem Server außerhalb der App und des mobilen Endgeräts gespeichert. Es werden nur die Daten, die für den Betrieb der App erforderlich sind (z. B. PIN zur Autorisierung/Bestätigung von Transaktionen), auf dem mobilen Gerät, auf das die App heruntergeladen wurde, gespeichert.
Daten, die für den Registrierungsprozess verwendet werden, werden in der App gespeichert.
3. Wofür verarbeitet der Kartenherausgeber Ihre Daten (Zweck der Verarbeitung) und auf welcher Rechtsgrundlage?
Der Kartenherausgeber verarbeitet Ihre personenbezogenen Daten zu folgenden Zwecken und auf folgender Rechtsgrundlage:
3.1 Zur Erfüllung vertraglicher Pflichten (Art. 6 Abs. 1 lit. b DSGVO)
Besteht der Kartenvertrag zwischen dem Herausgeber und Ihnen, erfolgt die Verarbeitung personenbezogener Daten zur Erfüllung des Kartenvertrages, z.B. zur Durchführung Ihrer Transaktionen.
3.2 Im Rahmen einer Interessenabwägung (Art. 6 Abs. 1 lit. f DSGVO)
Wenn der Kartenvertrag zwischen dem Kartenherausgeber und Ihrem Arbeitgeber geschlossen wurde, werden personenbezogene Daten verarbeitet, um Ihre berechtigten Interessen zu schützen, d. h. die Ausführung von Transaktionen und die Bereitstellung von elektronischen Kontoauszügen, Transaktionsdaten und Kartenlimitdaten an Sie.
3.3 Aufgrund gesetzlicher Vorgaben (Art. 6 Abs. 1 lit. c GDPR) oder im öffentlichen Interesse (Art. 6 Abs. 1 lit. e GDPR)
Darüber hinaus unterliegt der Kartenherausgeber verschiedenen rechtlichen Verpflichtungen, d.h. gesetzlichen Vorgaben (z.B. aus dem Zahlungsdiensteaufsichtsgesetz (ZAG)) sowie regulatorischen Vorgaben (z.B. der Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin)). Zu den Zwecken der Verarbeitung gehören Identitätsprüfungen. Der Kartenherausgeber verfolgt ihr berechtigtes Interesse, die Sicherheit im Online-Zahlungsverkehr zu erhöhen und Betrugsrisiken wirksam zu reduzieren.
3.4 Art. 25 Abs. 2 Satz 2 TTDSG
In Bezug auf die Technologie, die auf Ihr mobiles Endgerät zugreift, ist die Rechtsgrundlage Art. 25 Abs. 2 Satz 2 TTDSG. Diese Technologie ist zwingend erforderlich, um die gesetzlichen und regulatorischen Anforderungen an die Betrugsprävention im Zahlungsverkehr zu erfüllen.
4. Wer erhält meine Daten?
4.1 Innerhalb des Kartenherausgebers erhalten diejenigen Abteilungen, die Ihre Daten zur Erfüllung der vertraglichen und gesetzlichen Pflichten des Kartenherausgebers benötigen, Zugriff.
4.2 Auch die vom Kartenherausgeber eingesetzten Auftragsverarbeiter (Art. 28 DSGVO) können zu diesen Zwecken Daten erhalten.
Dies sind die folgenden Auftragsverarbeiter gemäß Art. 28 DSGVO:
- First Data GmbH, 61348 Bad Homburg (wobei die First Data GmbH selbst kein Kartenherausgeber ist, sondern als Dienstleister für den Kartenherausgeber tätig wird) ("First Data");
- Netcetera AG, 8040 Zürich, Schweiz: Betrieb des Authentifizierungsservers für 3D Secure (Mastercard® Secure CodeTM und die App ("Netcetera");
- Deutsche Telekom Business Solutions GmbH, 53227 Bonn: Versand von SMS für die Registrierung in der App;
4.3 Informationen über Sie können an andere Empfänger außerhalb des Kartenherausgebers weitergegeben werden, wenn dies gesetzlich erlaubt oder vorgeschrieben ist, wenn dies für die Erfüllung des Kartenvertrags erforderlich ist oder wenn Sie Ihre Einwilligung erteilt haben. Unter diesen Bedingungen können Empfänger personenbezogener Daten beispielsweise sein;
- Öffentliche Stellen und Institutionen (z.B. Deutsche Bundesbank, Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin), Finanzbehörden, Geldwäschemeldestellen, Ermittlungsbehörden, Central Financial Transaction Investigation Unit (FIU)) im Falle einer gesetzlichen oder behördlichen Verpflichtung;
5. Wie lange werden meine Daten gespeichert?
Daten, die mit der Karte verbunden sind (Kartennummerntransaktionen, eStatements), werden nicht in der App, sondern auf einem Server gespeichert und nur dann vom Server in die App abgerufen, wenn und solange die App geöffnet ist.
Diese Daten werden so lange gespeichert, wie die Karte eine aktive Karte ist (d.h. nicht gekündigt und nicht gesperrt). Daten im Zusammenhang mit der 3D Secure-Authentifizierung während einer Kartenzahlung werden 13 Monate lang gespeichert.
Daten, die zum Betrieb der App verwendet werden und die nicht mit der Karte verbunden sind (siehe vorherige Sätze), werden in der App gespeichert, solange die App aktiv ist (d.h. nicht vom mobilen Gerät gelöscht).
Daten, die für den Registrierungsprozess verwendet werden, werden in der App gespeichert und nach 30 Tagen gelöscht, es sei denn, es handelt sich um Daten, die in den vorstehenden Sätzen genannt sind.
6. Werden Daten in ein Drittland oder an eine internationale Organisation übermittelt?
Eine Übermittlung personenbezogener Daten in Drittländer (Länder außerhalb des Europäischen Wirtschaftsraums (EWR)) erfolgt nur, wenn dem Drittland von der EU-Kommission ein angemessenes Datenschutzniveau bestätigt wurde oder wenn andere geeignete Datenschutzgarantien (z.B. verbindliche Unternehmensregeln oder EU-Standardvertragsklauseln) vereinbart wurden oder wenn Sie dem Kartenherausgeber Ihre Einwilligung erteilt haben.
Ihre personenbezogenen Daten werden außerhalb der Europäischen Union/des Europäischen Wirtschaftsraums in der Schweiz bei Netcetera verarbeitet. Für die Schweiz liegt ein datenschutzrechtlicher Angemessenheitsbeschluss der Europäischen Kommission vor. Darüber hinaus haben First Data und Netcetera die EU-Standardvertragsklauseln vertraglich vereinbart.
Netcetera setzt Subunternehmer außerhalb der Europäischen Union/des Europäischen Wirtschaftsraums in Nordmazedonien ein, die Ihre personenbezogenen Daten ebenfalls bearbeiten können. Netcetera hat sich gegenüber First Data in den EU-Standardvertragsklauseln vertraglich verpflichtet, geeignete Garantien für die Übermittlung personenbezogener Daten ausserhalb der Europäischen Union/des Europäischen Wirtschaftsraums gemäss Art. 44 ff. DSGVO vertraglich zu vereinbaren.
7. Welche Datenschutzrechte habe ich?
Jede betroffene Person hat das Recht auf Auskunft nach Art. 15 DSGVO, das Recht auf Rektifizierung nach Art. 16 DSGVO, das Recht auf Löschung nach Art. 17 DSGVO, das Recht auf Einschränkung der Verarbeitung nach Art. 18 DSGVO und das Recht auf Datenübertragbarkeit nach Art. 20 DSGVO. Für das Auskunftsrecht und das Recht auf Löschung gelten die Einschränkungen der §§ 34 und 35 BDSG.
Darüber hinaus haben Sie das Recht, sich bei der Datenschutzaufsichtsbehörde Ihres Bundeslandes zu beschweren (Art. 77 DSGVO i.V.m. § 19 BDSG).
Den Datenschutzbeauftragten des Kartenherausgebers erreichen Sie unter den Kontaktdaten, die Ihnen in den Datenschutzerklärungen zum Kartenvertrag des Kartenherausgebers mitgeteilt wurden.
8. Habe ich eine Pflicht zur Bereitstellung von Daten?
Sie müssen nur die personenbezogenen Daten angeben, die für den Betrieb der App und die Autorisierung/Bestätigung von Transaktionen über 3D Secure (MasterCard® Identity Check) erforderlich sind.
9. Inwieweit werden meine Daten für das Profiling (Scoring) verwendet?
Der Kartenherausgeber verarbeitet einige Ihrer Daten automatisiert mit dem Ziel, bestimmte persönliche Aspekte zu bewerten (Profiling). Aufgrund gesetzlicher und behördlicher Anforderungen ist der Kartenherausgeber verpflichtet, sicherzustellen, dass die Transaktion vom rechtmäßigen Karteninhaber initiiert wird, und muss daher den Karteninhaber authentifizieren. Dabei werden Daten analysiert. Diese Maßnahmen dienen auch Ihrem Schutz.
Informationen über Ihr Widerspruchsrecht gemäß Art. 21 Datenschutz-Grundverordnung (DSGVO)
Sie haben das Recht, aus Gründen, die sich aus Ihrer besonderen Situation ergeben, jederzeit gegen die Verarbeitung Sie betreffender personenbezogener Daten, die aufgrund von Art. 6 Abs. 1 lit. f DSGVO (Datenverarbeitung auf der Grundlage einer Interessenabwägung) erfolgt, Widerspruch einzulegen; dies gilt auch für ein auf diese Bestimmung gestütztes Profiling im Sinne von Art. 4 Abs. 4 DSGVO, das Ihr Kartenherausgeber zur Beurteilung der Kreditwürdigkeit einsetzt.
Wenn Sie Widerspruch einlegen, wird Ihr Kartenherausgeber Ihre personenbezogenen Daten nicht mehr verarbeiten, es sei denn, Ihr Kartenherausgeber kann zwingende schutzwürdige Gründe für die Verarbeitung nachweisen, die Ihre Interessen, Rechte und Freiheiten überwiegen, oder die Verarbeitung dient der Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen.
