CountryDatenschutzerklärung
Datenschutzerklärung gemäß Art. 13, 14 DSGVO
für die App "TransactVerify", Version[2.0]
Hiermit informiert Sie das Institut, das Ihre (Kredit- oder Prepaid-)Karte herausgegeben hat ("Kartenherausgeber"), über die Verarbeitung Ihrer personenbezogenen Daten (Art. 4 Nr. 2 Datenschutzgrundverordnung („DSGVO“)) durch den Kartenherausgeber und die Ihnen nach dem Datenschutzrecht zustehenden Rechte im Zusammenhang mit der App "TransactVerify" („App“). Der Kartenherausgeber ist Ihre Bank oder ein anderes Institut, mit dem ein Vertrag über Ihre Karte besteht - entweder direkt mit Ihnen oder, falls Sie die Karte von Ihrem Arbeitgeber erhalten haben, mit Ihrem Arbeitgeber ("Kartenvertrag").
Die App ermöglicht Ihnen
a) die Authentifizierung bei Zahlungsvorgängen im Internet („Internetzahlungen“) mittels Mastercard® Identity CheckTM („3D Secure“). 3D Secure ist ein Verfahren, das das Bezahlen im Internet sicherer machen soll, indem beim Bezahlvorgang Ihre Identität überprüft wird. Durch die Authentifizierung können Sie sich also als berechtigte/r Karteninhaber:in gegenüber dem Kartenherausgeber ausweisen. 3D Secure dient somit der Vermeidung von missbräuchlichen Umsätzen;
b) die Ansicht und den Download von Kartenabrechnungen zu einer Karte (Funktionsbereich “eStatements”), die Sie in der App registriert haben, sofern der Kartenherausgeber diese Funktionalität anbietet;
c) die Ansicht von Informationen zu Zahlungen, die mit einer Karte vorgenommen wurden, die Sie in der App registriert haben (Funktionsbereich „Transaktionen“), sofern der Kartenherausgeber diese Funktionalität anbietet;
d) den Erhalt von Nachrichten in der App, wenn Zahlungen mit einer Karte vorgenommen wurden, die Sie in der App registriert haben (Funktionsbereich „Alert Service“), sofern der Kartenherausgeber diese Funktionalität anbietet;
e) die Ansicht des Kartenlimits und des für den betreffenden Monat verbleibenden, grundsätzlich möglichen Verfügungsbetrages zu einer Karte, die Sie in der App registriert haben (Funktionsbereich „Saldo der Karte“).
Diese Datenschutzerklärung gemäß Art. 13, 14 DSGVO für die App ergänzt die Datenschutzerklärung bzw. Datenschutzinformationen des Kartenherausgebers für den Kartenvertrag, die Sie beim Kartenherausgeber erhalten können.
1. Wer ist für die Datenverarbeitung verantwortlich und an wen kann ich mich wenden?
Der für die Datenverarbeitung Verantwortliche ist der Kartenherausgeber.
Der Datenschutzbeauftragte des Kartenherausgebers ist unter den Kontaktdaten erreichbar, die Ihnen der Kartenherausgeber in der Datenschutzerklärung bzw. den Datenschutzinformationen zum Kartenvertrag mitgeteilt hat.
2. Welche Daten werden genutzt und was sind die Quellen der Daten?
2.1 Wenn Sie sich über 3D Secure für die App registrieren,
a) wählen Sie eine PIN, mit der Sie sich bei Internetzahlungen künftig authentifizieren können (3D Secure);
b) haben Sie außerdem die Möglichkeit, die biometrische Erkennung zu wählen, um sich bei Internetzahlungen künftig zu authentifizieren (3D Secure). Sofern Sie diese Option ausgewählt haben, fragt die App das Mobilgerät, auf das Sie die App heruntergeladen haben, ob der biometrische Modus aktiviert wurde. Wenn dieser noch nicht aktiviert wurde, benachrichtigt das Mobilgerät die App entsprechend. Sobald Sie den biometrischen Modus in den Einstellungen Ihres Mobilgeräts aktiviert haben und das Gerät Ihren Fingerabdruck (Touch-ID) oder Ihre Gesichts-ID (Face-ID) erfolgreich erfasst hat, benachrichtigt das Gerät die App, dass die biometrischen Daten korrekt sind. Sie legen in den Einstellungen des Mobilgerätes fest, ob Sie Gesichtserkennung (Face-ID) oder Fingerabdruckerkennung (Touch-ID) wählen. Die Face-ID bzw. der Fingerabdruck werden nur auf Ihrem Mobilgerät gespeichert, sie werden nicht an die App übertragen;
c) geben Sie Ihre Kartennummer in der App ein, entweder manuell oder durch Scannen der Karte. Wenn Sie Ihre Kartennummer durch Scannen der Karte eingeben, erlauben Sie der App die Verwendung der Kamera des Mobilgerätes;
d) stellt die App eine Verbindung zwischen der von Ihnen in der App eingegebenen Kartennummer und der Nummer der App-Installation auf Ihrem Mobilgerät her ("emCertID");
e) erfasst die App das Betriebssystem und den Typ Ihres Mobilgeräts;
f) wählen Sie eine bevorzugte Methode, um einen Identifikationscode für den Authentifizierungsprozess zu erhalten, der während der Registrierung erforderlich ist. Sie können Übermittlung mittels SMS, 1-Cent-Transaktion oder Brief wählen.
Wenn Sie die Übermittlung per SMS gewählt haben, geben Sie auch die letzten vier Ziffern Ihrer Bankverbindung, das Ablaufdatum Ihrer Karte, Ihr Geburtsdatum und Ihre Mobiltelefonnummer in die App ein.
Sobald Sie den Identifikationscode über die von Ihnen gewählten Methode erhalten haben, geben Sie den Identifikationscode in der App ein.
Soweit möglich, werden Ihre Daten verschlüsselt verarbeitet.
2.2 Wenn Sie bei einer Internetzahlung aufgefordert werden, sich mittels 3D Secure zu authentifizieren,
a) sendet Ihnen der Kartenherausgeber mit Hilfe der Kartennummer und emCertID eine Nachricht auf Ihr Mobilgerät. Diese Nachricht enthält die letzten vier Ziffern Ihrer Kartennummer, den Namen des Händlers bzw. der Akzeptanzstelle, bei der die Internetzahlung vorgenommen wird, sowie Datum, Uhrzeit und Betrag der Internetzahlung;
b) erfasst die App das Betriebssystem und den Typ Ihres Mobilgeräts;
c) bestätigen Sie
(i) die Zahlung entweder durch Eingabe der von Ihnen gewählten PIN oder durch die von Ihnen gewählte biometrische Erkennungsmethode. Wenn Sie die biometrische Erkennung nutzen, wird die biometrische Erkennung von Ihrem Mobilgerät durchgeführt und die App wird nur darüber informiert, ob die Authentifizierung erfolgreich war oder nicht. Ihre Face-ID bzw. Ihr Fingerabdruck werden nicht an die App übertragen;
(ii) bzw., wenn Sie zur Freigabe der Zahlung alternativ die Offline-Autorisierungsfunktion auf der Website des Händlers bzw. der Akzeptanzstelle gewählt haben, bei dem/r Sie bezahlen möchten, öffnen Sie den QR-Code-Scanner in der App und scannen den auf der Website des Händlers angezeigten QR-Code, um die Zahlung zu bestätigen;
d) oder, wenn Sie die Transaktion nicht bestätigen möchten, lehnen Sie sie ab.
Soweit möglich, werden Ihre Daten verschlüsselt verarbeitet.
2.3 Sofern die Funktionalität „Transaktionen“ vom Kartenherausgeber angeboten wird, ermöglicht Ihnen die App die Ansicht sämtlicher von Ihnen getätigter Transaktionen mit der Karte, unabhängig davon, wo die Transaktionen vorgenommen wurden (z.B. im Internet, im Präsenzgeschäft oder Bargeldabhebungen). Die Ansicht beinhaltet die letzten vier Ziffern Ihrer Kartennummer, den Namen sowie (falls von Mastercard bereitgestellt) die Adresse und zusätzliche Informationen zum Händler/zur Akzeptanzstelle, bei dem/r die betreffende Transaktion vorgenommen wurde, außerdem Datum und Uhrzeit der Transaktion, Transaktionsbetrag in EUR und gegebenenfalls in Fremdwährung mit Wechselkurs und Währungsumrechnungsgebühr sowie Gesamtbetrag aller Transaktionen. Diese Daten werden vom Kartenherausgeber (ggf. über Mastercard) zur Verfügung gestellt.
2.4 Wenn Ihnen die Funktionalität "eStatement" vom Kartenherausgeber angeboten wird und Sie die Funktionalität in der App nicht deaktiviert haben, erhalten Sie Zugriff auf Ihre Kartenabrechnungen mit Informationen zu den von Ihnen mit der Karte getätigten Transaktionen. Die Kartenabrechnungen können Sie auch als pdf-Dokument herunterladen. Die Kartenabrechnungen enthalten eine Teilmenge der in Ziffer 2.3 beschriebenen Daten und werden vom Kartenherausgeber zur Verfügung gestellt.
2.5 Über die Funktionalität „Saldo der Karte“ können Sie das Limit (den Verfügungsrahmen) sowie den im betreffenden Monat jeweils noch verfügbaren, d.h. noch nicht für Zahlungen (z.B. Internetzahlungen, Zahlungen im Präsenzgeschäft oder Bargeldabhebungen) genutzten Verfügungsbetrag für die Karte einsehen. Diese Informationen werden vom Kartenherausgeber bereitgestellt.
2.6 Wenn Ihr Kartenherausgeber Ihnen die Funktionalität „Alert Service“ anbietet und Sie in den Betriebseinstellungen Ihres Mobilgeräts dem Erhalt von Push-Benachrichtigungen für die App zugestimmt haben, erhalten Sie eine Nachricht in der App, nachdem mit einer Karte eine Zahlung vorgenommen wurde. Dies gilt für sämtliche Transaktionen, unabhängig davon, ob es sich z.B. um Internetzahlungen, Zahlungen im Präsenzgeschäft oder Bargeldabhebungen handelt. Die Benachrichtigung enthält die letzten 4 Ziffern Ihrer Kartennummer, den Betrag und die Währung der Transaktion. Die Benachrichtigung wird vom Kartenherausgeber bereitgestellt.
2.7 Speicherort:
a) In der App registrierte Karten und damit verbundene Daten (Kartennummer, eStatements, Transaktionsdaten) werden grundsätzlich auf einem Server außerhalb der App und des Mobilgerätes gespeichert und nur dann vom Server in die App abgerufen, wenn und solange die App geöffnet ist. Wenn die App wieder geschlossen wird, bleiben die Daten nicht in der App gespeichert, sondern werden verworfen.
b) In der App gespeichert werden
(i) Daten, die für den Registrierungsprozess verwendet werden;
(ii) Daten, die für den Betrieb der App erforderlich (z.B. PIN zur Bestätigung von Internetzahlungen) und nicht mit der Karte verbunden sind.
Kartennummern werden nur teilweise angezeigt (maskiert).
3. Wofür verarbeitet der Kartenherausgeber Ihre Daten (Zweck der Verarbeitung) und auf welcher Rechtsgrundlage?
Der Kartenherausgeber verarbeitet Ihre personenbezogenen Daten für folgende Zwecke und auf folgender Rechtsgrundlage:
3.1 Zur Erfüllung von vertraglichen Pflichten (Art. 6 Abs. 1 Buchstabe b DSGVO): Sofern der Kartenvertrag zwischen dem Kartenherausgeber und Ihnen besteht, erfolgt die Verarbeitung personenbezogener Daten zur Erfüllung des Kartenvertrages zur Durchführung Ihrer Transaktionen.
3.2 Im Rahmen einer Interessenabwägung (Art. 6 Abs. 1 Buchst. f DSGVO): Sofern der Kartenvertrag zwischen dem Kartenherausgeber und Ihrem Arbeitgeber besteht, erfolgt die Verarbeitung personenbezogener Daten zur Wahrung Ihrer berechtigten Interessen sowie denen Ihres Arbeitgebers (z.B. Kartenabrechnungen und Transaktionsübersichten bei Firmenkreditkarten).
3.3 Aufgrund gesetzlicher Vorgaben (Art. 6 Abs. 1 Buchst. c DSGVO) oder im öffentlichen Interesse (Art. 6 Abs. 1 Buchst. e DSGVO): Darüber hinaus unterliegt der Kartenherausgeber rechtlichen Verpflichtungen, d.h. gesetzlichen Anforderungen (z.B. aus dem Zahlungsdiensteaufsichtsgesetz (ZAG)) sowie aufsichtsrechtlichen Vorgaben (z.B. der Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin)). Zu den Zwecken der Verarbeitung gehören unter anderem die Prüfung Ihrer Identität bei Internetzahlungen und die Erhöhung der Sicherheit im Online-Zahlungsverkehr sowie die Reduktion von Betrugsrisiken.
3.4 Art. 25 Abs. 2 Satz 2 TTDSG: In Bezug auf die Technologie, die auf Ihr Mobilgerät zugreift, ist die Rechtsgrundlage Art. 25 Abs. 2 Satz 2 Telekommunikation-Telemedien-Datenschutzgesetz (TTDSG). Diese Technologie ist erforderlich, um die gesetzlichen und aufsichtsrechtlichen Anforderungen an die Betrugsvermeidung im Zahlungsverkehr zu erfüllen.
4. Wer bekommt meine Daten?
4.1 Beim Kartenherausgeber erhalten diejenigen Abteilungen, die Ihre Daten zur Erfüllung vertraglicher, gesetzlicher und aufsichtsrechtlicher Pflichten des Kartenherausgebers benötigen, Zugriff.
4.2 Auch die vom Kartenherausgeber eingesetzten Auftragsverarbeiter (Art. 28 DSGVO) können zu diesen Zwecken Daten erhalten. Dies sind die folgenden Auftragsverarbeiter gemäß Art. 28 DSGVO:
- First Data GmbH, 61348 Bad Homburg (sofern die First Data GmbH nicht selbst der Kartenherausgeber ist, sondern als Dienstleister für einen anderen Kartenherausgeber tätig wird) ("First Data");
- Netcetera AG, 8040 Zürich, Schweiz: Betrieb des Authentifizierungsservers für 3D Secure bzw. des Servers für die App ("Netcetera");
- Deutsche Telekom Business Solutions GmbH, 53227 Bonn: Versand von SMS für die Registrierung in der App.
4.3 An sonstige Empfänger außerhalb des Kartenherausgebers können Informationen über Sie weitergegeben werden, wenn gesetzliche Bestimmungen bzw. aufsichtsrechtliche Vorgaben dies erlauben oder gebieten, dies zur Durchführung des Kartenvertrages notwendig ist oder Sie eingewilligt haben. Unter diesen Voraussetzungen können Empfänger personenbezogener Daten z. B. sein öffentliche Stellen und Institutionen (z.B. Deutsche Bundesbank, Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin), Finanzbehörden, Geldwäscheverdachtsmeldestellen, Ermittlungsbehörden, Zentralstelle für Finanztrans-aktionsuntersuchungen (FIU)) bei Vorliegen einer gesetzlichen oder behördlichen Verpflichtung.
5. Wie lange werden meine Daten gespeichert?
5.1 Daten, die mit der Karte verbunden sind (Kartennummer, eStatements, Transaktionsdaten), werden nicht in der App, sondern auf einem Server außerhalb der App und des Mobilgerätes gespeichert und nur dann vom Server in die App abgerufen, wenn und solange die App geöffnet ist. Diese Daten werden so lange gespeichert, wie die Karte eine aktive Karte ist, d.h. nicht gekündigt und nicht dauerhaft gesperrt ist.
5.2 Daten im Zusammenhang mit der 3D Secure-Authentifizierung während einer Internetzahlung werden für 13 Monate gespeichert.
5.3 Daten, die zum Betrieb der App verwendet werden und die nicht mit der Karte verbunden sind und nicht für die Authentifizierung genutzt werden (siehe vorherige Ziffern), werden in der App gespeichert, solange die App aktiv ist, d.h. nicht vom Mobilgerät gelöscht wurde.
5.4 Daten, die für den Registrierungsprozess verwendet werden, werden in der App gespeichert und nach 30 Tagen gelöscht, es sei denn, es handelt sich um Daten, die in den vorstehenden Ziffern genannt sind.
6. Werden Daten in ein Drittland oder an eine internationale Organisation übermittelt?
6.1 Eine Übermittlung personenbezogener Daten in Drittländer (Staaten außerhalb des Europäischen Wirtschaftsraums („EWR“)) erfolgt nur, soweit dem Drittland durch die EU-Kommission ein angemessenes Datenschutzniveau bestätigt worden ist oder andere angemessene Datenschutzgarantien (z.B. verbindliche unternehmensinterne Datenschutzvorschriften (Binding Corporate Rules) oder EU-Standardvertragsklauseln) vereinbart worden sind oder Sie dem Kartenherausgeber Ihre Einwilligung erteilt haben.
6.2 Ihre personenbezogenen Daten werden außerhalb des EWR in der Schweiz bei Netcetera verarbeitet. Für die Schweiz liegt ein datenschutzrechtlicher Angemessenheitsbeschluss der EU-Kommission vor. Darüber hinaus haben First Data und Netcetera die EU-Standardvertragsklauseln vertraglich vereinbart.
6.3 Netcetera setzt Subunternehmer außerhalb des EWR in Nordmazedonien ein, die Ihre personenbezogenen Daten ebenfalls verarbeiten können. Netcetera hat sich gegenüber First Data in den EU-Standardvertragsklauseln vertraglich verpflichtet, geeignete Garantien für die Übermittlung personenbezogener Daten außerhalb des EWR gemäß Artikel 44 ff. DSGVO vertraglich zu vereinbaren.
7. Welche Datenschutzrechte habe ich?
Jede betroffene Person hat das Recht auf Auskunft nach Art. 15 DSGVO, das Recht auf Berichtigung nach Art. 16 DSGVO, das Recht auf Löschung nach Art. 17 DSGVO, das Recht auf Einschränkung der Verarbeitung nach Art. 18 DSGVO sowie das Recht auf Datenübertragbarkeit aus Art. 20 DSGVO. Beim Auskunftsrecht und beim Löschungsrecht gelten die Einschränkungen nach §§ 34 und 35 Bundesdatenschutzgesetz (BDSG).
Darüber hinaus besteht ein Beschwerderecht bei der Datenschutzaufsichtsbehörde Ihres Bundeslandes (Art. 77 DSGVO i.V.m. §19 BDSG).
Den Datenschutzbeauftragten des Kartenherausgebers erreichen Sie unter den Kontaktdaten, die Ihnen in der Kartenherausgeber in der Datenschutzerklärung bzw. den Datenschutzinformationen zum Kartenvertrag mitgeteilt hat.
8. Besteht für mich eine Pflicht zur Bereitstellung von Daten?
Sie müssen nur diejenigen personenbezogenen Daten bereitstellen, die für den Betrieb der App und Ihre Authentifizierung mittels 3D Secure erforderlich sind. Ohne diese Daten wird der Kartenherausgeber eine Internetzahlung möglicherweise ablehnen müssen, insbesondere wenn Sie nicht ein alternatives, vom Kartenherausgeber angebotenes Verfahren zur Authentifizierung bei Internetzahlungen nutzen.
Die Funktionalitäten eStatements und Alert Service hingegen sind optional und können deaktiviert werden.
9. Inwieweit gibt es eine automatisierte Entscheidungsfindung im Einzelfall?
Eine automatisierte Entscheidungsfindung findet nicht statt.
10. Inwieweit werden meine Daten für die Profilbildung (Scoring) genutzt?
Der Kartenherausgeber verarbeitet teilweise Ihre Daten automatisiert mit dem Ziel, bestimmte persönliche Aspekte zu bewerten (Profiling). Aufgrund gesetzlicher und regulatorischer Vorgaben ist der Kartenherausgeber verpflichtet, sicherzustellen, dass eine Internetzahlung vom rechtmäßigen Karteninhaber vorgenommen wird, und muss daher den Karteninhaber authentifizieren. Dabei werden auch Datenauswertungen vorgenommen. Diese Maßnahmen dienen zugleich auch Ihrem Schutz.
Informationen über Ihr Widerspruchsrecht gemäß Art. 21 DSGVO
Sie haben das Recht, aus Gründen, die sich aus Ihrer besonderen Situation ergeben, jederzeit gegen die Verarbeitung Sie betreffender personenbezogener Daten, die aufgrund von Artikel 6 Absatz 1 Buchstabe f der DSGVO (Datenverarbeitung auf der Grundlage einer Interessenabwägung) erfolgt, Widerspruch einzulegen; dies gilt auch für ein auf diese Bestimmung gestütztes Profiling im Sinne von Art. 4 Nr. 4 DSGVO.
Legen Sie Widerspruch ein, wird der Kartenherausgeber Ihre personenbezogenen Daten nicht mehr verarbeiten, es sei denn, er kann zwingende schutzwürdige Gründe für die Verarbeitung nachweisen, die Ihre Interessen, Rechte und Freiheiten überwiegen, oder die Verarbeitung dient der Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen.
Letzte Version 1.0
Das Kartenausgebende Institut (der " Kartenherausgeber ") Ihrer (Kredit- oder Prepaid-) Karte (die "Karte") informiert Sie hiermit über die Verarbeitung Ihrer personenbezogenen Daten (Art. 4 Nr. 2 Datenschutz-Grundverordnung ("DSGVO")) durch den Kartenherausgeber und die Ihnen datenschutzrechtlich zustehenden Rechte im Zusammenhang mit der App "TransactVerify".
Die App ermöglicht es Ihnen,
(i) E-Commerce-Transaktionen, die Sie mit Ihrer Karte durchführen (die "Transaktionen"), zu autorisieren (genehmigen) oder abzulehnen (Funktion "3D Secure" (Mastercard® Identity Check)). Das 3D-Secure-Verfahren erhöht die Sicherheit von Kartenzahlungen im Internet und dient dazu, das Betrugsrisiko zu verringern, indem Zahlungsvorgänge erst nach Authentifizierung des Karteninhabers ausgeführt werden;
(ii) einen Überblick über vergangene und aktuelle Kartenabrechnungen zu erhalten (Funktion "eStatements"),
(iii) einen Überblick über alle mit Ihrer Karte getätigten Transaktionen zu erhalten (Funktion "Transaktionen"),
(iv) Echtzeit-Push-Benachrichtigungen für jede Transaktion zu aktivieren und
(v) aktuelle Informationen über das Limit der Karte zu erhalten.
Der Kartenherausgeber der Karte ist Ihre Bank oder eine andere Institution, mit der ein Vertrag über Ihre Karte besteht - entweder direkt mit Ihnen oder, falls Sie die Karte von Ihrem Arbeitgeber erhalten haben, mit Ihrem Arbeitgeber (der "Kartenvertrag").
Diese Datenschutzerklärung gemäß Art. 13, 14 DSGVO für die App TransactVerify " (die "App") ergänzen die Datenschutzerklärung des Kartenherausgebers für den Kartenvertrag, die Sie vom Kartenherausgeber erhalten können (die "Datenschutzinformationen des Kartenherausgebers für den Kartenvertrag").
1. Wer ist für die Datenverarbeitung verantwortlich und an wen kann ich mich wenden?
Der Verantwortliche ist der Kartenherausgeber.
Der Datenschutzbeauftragte des Kartenherausgeber ist unter den Kontaktdaten erreichbar, die Ihnen in den Datenschutzinformationen zum Kartenvertrag der Herausgeberin mitgeteilt wurden.
2. Um welche Daten handelt es sich und wie sind die Quellen der Daten?
2.1 Wenn Sie sich über 3D Secure (Mastercard® Identity Check TM) für die App registrieren,
a) wählen Sie eine PIN, mit der Sie sich bei zukünftigen Internet-Kartenzahlungen authentifizieren können;
b) haben Sie außerdem die Möglichkeit, die biometrische Erkennung zu wählen, um sich bei zukünftigen Internet-Kartenzahlungen zu authentifizieren. Wenn Sie diese Option ausgewählt haben, fragt die App das mobile Gerät, auf das Sie die App heruntergeladen haben, ob der Biometrie-Modus aktiviert wurde. Wenn dieser noch nicht aktiviert wurde, benachrichtigt das mobile Gerät die App entsprechend. Sobald Sie den biometrischen Modus in den Einstellungen Ihres Mobilgeräts aktiviert haben und das Gerät Ihren Fingerabdruck oder Ihre Gesichts-ID erfolgreich erfasst hat, benachrichtigt das Gerät die App, dass die biometrischen Daten korrekt sind. Sie bestimmen in den Einstellungen des mobilen Endgeräts, ob Sie Face-ID, oder Touch-ID/Fingerabdruck wählen. Die Face-ID und/oder der Fingerabdruck werden nur auf Ihrem Mobilgerät gespeichert, sie werden nicht an die App übertragen.
c) geben Sie Ihre Kartennummer in der App ein, entweder manuell oder durch Scannen der Karte. Wenn Sie Ihre Kartennummer durch Scannen der Karte eingeben, genehmigen Sie der App die Verwendung der Kamera auf Ihrem Mobilgerät, auf das Sie die App heruntergeladen haben;
d) stellen Sie eine Verbindung zwischen der von Ihnen in der App eingegebenen Kartennummer und der Nummer der App-Installation auf Ihrem Mobilgerät, auf das Sie die App heruntergeladen haben (die "emCertID") her;
e) werden das Betriebssystem und der Typ Ihres Mobilgeräts erfasst;
f) wählen Sie eine bevorzugte Methode, um einen Identifikationscode für den Authentifizierungsprozess zu erhalten, der während der Registrierung erforderlich ist. Sie können entweder eine Übermittlung per SMS, 1-Cent-Transaktion oder Brief wählen.
Wenn Sie die Übermittlung per SMS gewählt haben, geben Sie auch die letzten vier Ziffern Ihrer Bankkontonummer, das Ablaufdatum der Karte, Ihr Geburtsdatum und Ihre Mobiltelefonnummer in die App ein.
Sobald Sie den Identifikationscode über den von Ihnen gewählten Kanal erhalten haben, geben Sie den Identifikationscode in der App ein.
Soweit möglich, werden Ihre Daten verschlüsselt verarbeitet.
2.2 Wenn Sie eine Transaktion über 3D Secure (Mastercard® Identity Check TM) autorisieren/bestätigen:
a) erhalten Sie eine Push-Nachricht auf Ihr mobiles Gerät vom Kartenherausgeber, der Ihre Kartennummer und die emCertID verwendet. Die Push-Nachricht enthält Ihre Kartennummer (die letzten vier Ziffern), den Namen des Händlers sowie das Datum, die Uhrzeit und den Betrag der Transaktion in der gewählten Währung.
b) wird das Betriebssystem und der Typ Ihres Mobilgeräts erfasst.
c) autorisieren/bestätigen Sie
i. die Transaktion entweder durch Eingabe der von Ihnen gewählten PIN oder durch die von Ihnen gewählte biometrische Erkennungsmethode. Wenn Sie die biometrische Erkennung autorisieren/bestätigen, wird die biometrische Erkennung von Ihrem Mobilgerät durchgeführt, und die App wird nur benachrichtigt, ob die Authentifizierung erfolgreich war oder nicht. Ihre Face-ID oder Ihr Fingerabdruck werden nicht an die App übertragen.
ii. Wenn Sie alternativ die Offline-Autorisierungsfunktion auf der Website des Händlers gewählt haben, bei dem Sie die Transaktion durchführen möchten, öffnen Sie den QR-Code-Scanner in der App und scannen den auf der Website des Händlers angezeigten QR-Code, um die Transaktion zu autorisieren/zu bestätigen.
d) Wenn Sie die Transaktion nicht autorisieren/bestätigen möchten, lehnen Sie sie ab
Soweit möglich, werden Ihre Daten verschlüsselt verarbeitet.
2.3 Sie können auch eine Liste mit allen von Ihnen getätigten und abgeschlossenen Transaktionen anzeigen lassen. Dies beinhaltet: Kartennummer (letzte vier Ziffern), Name des Händlers, Adresse (falls von MasterCard bereitgestellt), zusätzliche Händlerinformationen (falls von MasterCard bereitgestellt), Datum und Uhrzeit der Transaktion, Transaktionsbetrag in EUR und gegebenenfalls in Fremdwährung mit Wechselkurs und Währungsumrechnungsgebühr sowie Gesamtbetrag aller Transaktionen. Diese Daten werden vom Kartenherausgeber zur Verfügung gestellt.
2.4 Wenn Ihnen die Funktion "eStatement" vom Kartenherausgeber angeboten wird und Sie die Funktion in der App aktiviert haben, erhalten Sie Zugriff auf Ihre Kartenabrechnungen mit Informationen zu den von Ihnen getätigten Transaktionen, die Sie auch als pdf-Dokument herunterladen können. Die Kartenabrechnungen enthalten eine Teilmenge der in Ziffer 2.3 beschriebenen Daten und werden vom Kartenherausgeber zur Verfügung gestellt.
2.5 Sie können auch das Limit Ihrer Karte einschließlich des bereits genutzten sowie des noch verfügbaren Betrags einsehen. Das Limit wird vom Kartenherausgeber bereitgestellt.
2.6 Wenn Sie in den Geräteeinstellungen Ihres Mobilgeräts dem Erhalt von Push-Benachrichtigungen für die App zugestimmt haben, erhalten Sie eine Push-Nachricht, wenn eine Karte, die Sie zuvor in der App registriert haben, für Transaktionen verwendet wurde (Funktion "Alert Service"). Die Benachrichtigung enthält die letzten 4 Ziffern Ihrer Kartennummer, den Betrag und die Währung.
2.7 In der App registrierte Karten und damit verbundene Daten (z.B. Kartennummer, Transaktionen, eStatements) werden nicht in der App, sondern auf einem zentralen Server ausserhalb der App und des mobilen Endgeräts gespeichert. Jedes Mal, wenn die App geöffnet wird, werden die Kartendaten vom Server abgerufen und verworfen, wenn die App wieder geschlossen wird.
Kartennummern werden nur teilweise angezeigt (maskiert).
Grundsätzlich werden alle Daten (z.B. Kartennummer, Transaktionen), die mit der Karte verbunden sind, auf einem Server außerhalb der App und des mobilen Endgeräts gespeichert. Es werden nur die Daten, die für den Betrieb der App erforderlich sind (z. B. PIN zur Autorisierung/Bestätigung von Transaktionen), auf dem mobilen Gerät, auf das die App heruntergeladen wurde, gespeichert.
Daten, die für den Registrierungsprozess verwendet werden, werden in der App gespeichert.
3. Wofür verarbeitet der Kartenherausgeber Ihre Daten (Zweck der Verarbeitung) und auf welcher Rechtsgrundlage?
Der Kartenherausgeber verarbeitet Ihre personenbezogenen Daten zu folgenden Zwecken und auf folgender Rechtsgrundlage:
3.1 Zur Erfüllung vertraglicher Pflichten (Art. 6 Abs. 1 lit. b DSGVO) Besteht der Kartenvertrag zwischen dem Herausgeber und Ihnen, erfolgt die Verarbeitung personenbezogener Daten zur Erfüllung des Kartenvertrages, z.B. zur Durchführung Ihrer Transaktionen.
3.2 Im Rahmen einer Interessenabwägung (Art. 6 Abs. 1 lit. f DSGVO) Wenn der Kartenvertrag zwischen dem Kartenherausgeber und Ihrem Arbeitgeber geschlossen wurde, werden personenbezogene Daten verarbeitet, um Ihre berechtigten Interessen zu schützen, d. h. die Ausführung von Transaktionen und die Bereitstellung von elektronischen Kontoauszügen, Transaktionsdaten und Kartenlimitdaten an Sie.
3.3 Aufgrund gesetzlicher Vorgaben (Art. 6 Abs. 1 lit. c GDPR) oder im öffentlichen Interesse (Art. 6 Abs. 1 lit. e GDPR) Darüber hinaus unterliegt der Kartenherausgeber verschiedenen rechtlichen Verpflichtungen, d.h. gesetzlichen Vorgaben (z.B. aus dem Zahlungsdiensteaufsichtsgesetz (ZAG)) sowie regulatorischen Vorgaben (z.B. der Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin)). Zu den Zwecken der Verarbeitung gehören Identitätsprüfungen. Der Kartenherausgeber verfolgt ihr berechtigtes Interesse, die Sicherheit im Online-Zahlungsverkehr zu erhöhen und Betrugsrisiken wirksam zu reduzieren.
3.4 Art. 25 Abs. 2 Satz 2 TTDSG
In Bezug auf die Technologie, die auf Ihr mobiles Endgerät zugreift, ist die Rechtsgrundlage Art. 25 Abs. 2 Satz 2 TTDSG. Diese Technologie ist zwingend erforderlich, um die gesetzlichen und regulatorischen Anforderungen an die Betrugsprävention im Zahlungsverkehr zu erfüllen.
4. Wer erhält meine Daten?
4.1 Innerhalb des Kartenherausgebers erhalten diejenigen Abteilungen, die Ihre Daten zur Erfüllung der vertraglichen und gesetzlichen Pflichten des Kartenherausgebers benötigen, Zugriff.
4.2 Auch die vom Kartenherausgeber eingesetzten Auftragsverarbeiter (Art. 28 DSGVO) können zu diesen Zwecken Daten erhalten.
Dies sind die folgenden Auftragsverarbeiter gemäß Art. 28 DSGVO:
- First Data GmbH, 61348 Bad Homburg (wobei die First Data GmbH selbst kein Kartenherausgeber ist, sondern als Dienstleister für den Kartenherausgeber tätig wird) ("First Data");
- Netcetera AG, 8040 Zürich, Schweiz: Betrieb des Authentifizierungsservers für 3D Secure (Mastercard® Secure CodeTM und die App ("Netcetera");
- Deutsche Telekom Business Solutions GmbH, 53227 Bonn: Versand von SMS für die Registrierung in der App;
4.3 Informationen über Sie können an andere Empfänger außerhalb des Kartenherausgebers weitergegeben werden, wenn dies gesetzlich erlaubt oder vorgeschrieben ist, wenn dies für die Erfüllung des Kartenvertrags erforderlich ist oder wenn Sie Ihre Einwilligung erteilt haben. Unter diesen Bedingungen können Empfänger personenbezogener Daten beispielsweise sein;
- Öffentliche Stellen und Institutionen (z.B. Deutsche Bundesbank, Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin), Finanzbehörden, Geldwäschemeldestellen, Ermittlungsbehörden, Central Financial Transaction Investigation Unit (FIU)) im Falle einer gesetzlichen oder behördlichen Verpflichtung;
5. Wie lange werden meine Daten gespeichert?
Daten, die mit der Karte verbunden sind (Kartennummerntransaktionen, eStatements), werden nicht in der App, sondern auf einem Server gespeichert und nur dann vom Server in die App abgerufen, wenn und solange die App geöffnet ist.
Diese Daten werden so lange gespeichert, wie die Karte eine aktive Karte ist (d.h. nicht gekündigt und nicht gesperrt). Daten im Zusammenhang mit der 3D Secure-Authentifizierung während einer Kartenzahlung werden 13 Monate lang gespeichert.
Daten, die zum Betrieb der App verwendet werden und die nicht mit der Karte verbunden sind (siehe vorherige Sätze), werden in der App gespeichert, solange die App aktiv ist (d.h. nicht vom mobilen Gerät gelöscht).
Daten, die für den Registrierungsprozess verwendet werden, werden in der App gespeichert und nach 30 Tagen gelöscht, es sei denn, es handelt sich um Daten, die in den vorstehenden Sätzen genannt sind.
6. Werden Daten in ein Drittland oder an eine internationale Organisation übermittelt?
Eine Übermittlung personenbezogener Daten in Drittländer (Länder außerhalb des Europäischen Wirtschaftsraums (EWR)) erfolgt nur, wenn dem Drittland von der EU-Kommission ein angemessenes Datenschutzniveau bestätigt wurde oder wenn andere geeignete Datenschutzgarantien (z.B. verbindliche Unternehmensregeln oder EU-Standardvertragsklauseln) vereinbart wurden oder wenn Sie dem Kartenherausgeber Ihre Einwilligung erteilt haben.
Ihre personenbezogenen Daten werden außerhalb der Europäischen Union/des Europäischen Wirtschaftsraums in der Schweiz bei Netcetera verarbeitet. Für die Schweiz liegt ein datenschutzrechtlicher Angemessenheitsbeschluss der Europäischen Kommission vor. Darüber hinaus haben First Data und Netcetera die EU-Standardvertragsklauseln vertraglich vereinbart.
Netcetera setzt Subunternehmer außerhalb der Europäischen Union/des Europäischen Wirtschaftsraums in Nordmazedonien ein, die Ihre personenbezogenen Daten ebenfalls bearbeiten können. Netcetera hat sich gegenüber First Data in den EU-Standardvertragsklauseln vertraglich verpflichtet, geeignete Garantien für die Übermittlung personenbezogener Daten ausserhalb der Europäischen Union/des Europäischen Wirtschaftsraums gemäss Art. 44 ff. DSGVO vertraglich zu vereinbaren.
7. Welche Datenschutzrechte habe ich?
Jede betroffene Person hat das Recht auf Auskunft nach Art. 15 DSGVO, das Recht auf Rektifizierung nach Art. 16 DSGVO, das Recht auf Löschung nach Art. 17 DSGVO, das Recht auf Einschränkung der Verarbeitung nach Art. 18 DSGVO und das Recht auf Datenübertragbarkeit nach Art. 20 DSGVO. Für das Auskunftsrecht und das Recht auf Löschung gelten die Einschränkungen der §§ 34 und 35 BDSG.
Darüber hinaus haben Sie das Recht, sich bei der Datenschutzaufsichtsbehörde Ihres Bundeslandes zu beschweren (Art. 77 DSGVO i.V.m. § 19 BDSG).
Den Datenschutzbeauftragten des Kartenherausgebers erreichen Sie unter den Kontaktdaten, die Ihnen in den Datenschutzerklärungen zum Kartenvertrag des Kartenherausgebers mitgeteilt wurden.
8. Habe ich eine Pflicht zur Bereitstellung von Daten?
Sie müssen nur die personenbezogenen Daten angeben, die für den Betrieb der App und die Autorisierung/Bestätigung von Transaktionen über 3D Secure (MasterCard® Identity Check) erforderlich sind.
9. Inwieweit werden meine Daten für das Profiling (Scoring) verwendet?
Der Kartenherausgeber verarbeitet einige Ihrer Daten automatisiert mit dem Ziel, bestimmte persönliche Aspekte zu bewerten (Profiling). Aufgrund gesetzlicher und behördlicher Anforderungen ist der Kartenherausgeber verpflichtet, sicherzustellen, dass die Transaktion vom rechtmäßigen Karteninhaber initiiert wird, und muss daher den Karteninhaber authentifizieren. Dabei werden Daten analysiert. Diese Maßnahmen dienen auch Ihrem Schutz.
Informationen über Ihr Widerspruchsrecht gemäß Art. 21 Datenschutz-Grundverordnung (DSGVO)
Sie haben das Recht, aus Gründen, die sich aus Ihrer besonderen Situation ergeben, jederzeit gegen die Verarbeitung Sie betreffender personenbezogener Daten, die aufgrund von Art. 6 Abs. 1 lit. f DSGVO (Datenverarbeitung auf der Grundlage einer Interessenabwägung) erfolgt, Widerspruch einzulegen; dies gilt auch für ein auf diese Bestimmung gestütztes Profiling im Sinne von Art. 4 Abs. 4 DSGVO, das Ihr Kartenherausgeber zur Beurteilung der Kreditwürdigkeit einsetzt.
Wenn Sie Widerspruch einlegen, wird Ihr Kartenherausgeber Ihre personenbezogenen Daten nicht mehr verarbeiten, es sei denn, Ihr Kartenherausgeber kann zwingende schutzwürdige Gründe für die Verarbeitung nachweisen, die Ihre Interessen, Rechte und Freiheiten überwiegen, oder die Verarbeitung dient der Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen.
