Datenschutz in der VR Smart Finanz

Datenschutzaufklärung der VR Smart Finanz

Allgemeines

Folgend informieren wir Sie über die Verarbeitung Ihrer personenbezogenen Daten („Daten“) durch die VR Smart Finanz AG und VR Smart Finanz Bank GmbH und die Ihnen nach den datenschutzrechtlichen Regelungen zustehenden Ansprüche und Rechte. Welche Daten im Einzelnen verarbeitet und in welcher Weise genutzt werden, richtet sich maßgeblich nach den jeweils von Ihnen beantragten bzw. mit Ihnen vereinbarten Dienstleistungen.

1. Wer ist für die Datenverarbeitung verantwortlich und an wen können Sie sich wenden?

Verantwortliche Stelle ist jeweils das Unternehmen, bei dem Sie Dienstleistungen beantragt bzw. mit dem Sie Dienstleistungen vereinbart haben:

a) VR Smart Finanz AG
Hauptstraße 131-137
65760 Eschborn
Telefon 06196 99 5401
Telefax 06196 99 4954 01

b) VR Smart Finanz Bank GmbH
Hauptstraße 131-137
65760 Eschborn
Telefon 06196 99 5401
Telefax 06196 99 4954 01

Sie erreichen unseren betrieblichen Konzerndatenschutzbeauftragten unter:
VR Smart Finanz AG
Konzerndatenschutzbeauftragter
Hauptstraße 131-137
65760 Eschborn
Telefon 06196 99 5401
E-Mail: datenschutz@vr-smart-finanz.de

2. Welche Quellen und Daten nutzen wir?

Wir (d. h. die jeweilige vorstehend unter Ziffer 1. genannte verantwortliche Stelle) verarbeiten personenbezogene und unternehmensbezogene Daten, die wir im Rahmen unserer Geschäftsbeziehung von Ihnen erhalten. Zudem verarbeiten wir – soweit für die Erbringung unserer Dienstleistung erforderlich – personenbezogene Daten, die wir von Ihrer Volks- und Raiffeisenbank oder von sonstigen Dritten (z. B. der SCHUFA und der Creditreform AG) zulässigerweise (z. B. zur Ausführung von Aufträgen, zur Erfüllung von Verträgen, aufgrund berechtigter Interessen oder aufgrund einer von Ihnen erteilten Einwilligung) erhalten haben. Zum anderen verarbeiten wir personenbezogene Daten, die wir aus öffentlich zugänglichen Quellen (z. B. Schuldnerverzeichnisse, Grundbücher, Handels- und Vereinsregister, Presse, Medien) zulässigerweise gewonnen haben und verarbeiten dürfen.

Relevante personenbezogene Daten sind Personalien (Name, Adresse und andere Kontaktdaten, Geburtstag und -ort und Staatsangehörigkeit), Legitimationsdaten (z. B. Ausweisdaten) und Authentifikationsdaten (z. B. Unterschriftprobe). Darüber hinaus können dies auch Auftragsdaten (z. B. Zahlungsauftrag), Daten aus der Erfüllung unserer vertraglichen Verpflichtungen (z. B. Umsatzdaten im Zahlungsverkehr), Informationen über Ihre finanzielle Situation (z. B. Bonitätsdaten, Scoring-/Ratingdaten, Herkunft von Vermögenswerten), Werbe- und Vertriebsdaten (inklusive Werbescores), Dokumentationsdaten (z. B. Beratungsprotokoll), Registerdaten sowie andere vergleichbare Daten sein.

Relevante unternehmensbezogene Daten, die zugleich auch personenbezogen sein können, sind u. a. Bilanzstichtage, Umsatzerlöse, Jahresüberschüsse, Abschreibungen, Zinsaufwand und vergleichbare Daten.

3. Wofür verarbeiten wir Ihre Daten (Zweck der Verarbeitung) und auf welcher Rechtsgrundlage?

Wir verarbeiten Ihre Daten im Einklang mit den Bestimmungen der Europäischen Datenschutz-Grundverordnung (‚DSGVO‘) und des Bundesdatenschutzgesetzes (‚BDSG‘):

3.1. Zur Erfüllung von vertraglichen Pflichten (Art. 6 Abs. 1b DSGVO)

Die Verarbeitung personenbezogener Daten (Art. 4 Nr. 2 DSGVO) erfolgt zur Erbringung von Bankgeschäften, Finanzdienstleistungen sowie Versicherungs- und Immobiliengeschäften, insbesondere zur Durchführung unserer Verträge mit Ihnen und der Ausführung Ihrer Aufträge, sowie aller mit dem Betrieb und der Verwaltung eines Kredit- und Finanzdienstleistungsinstituts erforderlichen Tätigkeiten.

Die Zwecke der Datenverarbeitung richten sich in erster Linie nach dem konkreten Produkt (z. B. Kredit oder Leasing) und können unter anderem Bedarfsanalysen, Beratung, sowie die Durchführung von Transaktionen umfassen.

Die weiteren Einzelheiten zum Zweck der Datenverarbeitung können sie den jeweiligen Vertragsunterlagen und Geschäftsbedingungen entnehmen.

3.2. Im Rahmen der Interessenabwägung (Art. 6 Abs. 1f DSGVO)
Soweit erforderlich, verarbeiten wir Ihre Daten über die eigentliche Erfüllung des Vertrages hinaus zur Wahrung berechtigter Interessen von uns oder Dritten. Beispiele:

• Konsultation von und Datenaustausch mit Auskunfteien (z. B. SCHUFA) zur Ermittlung von Bonitäts- bzw. Ausfallrisiken (§ 31 Abs. 2 BDSG und Art. 6 Abs. 1f DSGVO);
• Prüfung und Optimierung von Verfahren zur Bedarfsanalyse und direkter Kundenansprache;
• Werbung oder Markt- und Meinungsforschung, soweit Sie der Nutzung Ihrer Daten nicht widersprochen haben;
• Geltendmachung rechtlicher Ansprüche und Verteidigung bei rechtlichen Streitigkeiten;
• Effiziente zentrale Datenverarbeitung innerhalb der o. g. Unternehmen
• Gewährleistung der IT-Sicherheit und des IT-Betriebs;
• Maßnahmen zur Geschäftssteuerung und Weiterentwicklung von Dienstleistungen und Produkten.

3.3. Aufgrund Ihrer Einwilligung (Art. 6 Abs. 1a DSGVO)

Soweit Sie uns eine Einwilligung zur Verarbeitung von personenbezogenen Daten für bestimmte Zwecke (z. B. Weitergabe von Daten im Verbund/Konzern, Auswertung von Zahlungsverkehrsdaten für Werbezwecke) erteilt haben, ist die Rechtmäßigkeit dieser Verarbeitung auf Basis Ihrer Einwilligung gegeben. Eine erteilte Einwilligung kann jederzeit widerrufen werden. Bitte beachten Sie, dass der Widerruf erst für die Zukunft wirkt. Verarbeitungen, die vor dem Widerruf erfolgt sind, sind davon nicht betroffen.

3.4. Aufgrund gesetzlicher Vorgaben (Art. 6 Abs. 1c DSGVO)

Zudem unterliegen wir diversen rechtlichen Verpflichtungen, das heißt gesetzlichen Anforderungen (z. B. Kreditwesengesetz, Geldwäschegesetz, Steuergesetze) sowie bankaufsichtsrechtlichen Vorgaben (z. B. der Europäischen Zentralbank, der Europäischen Bankenaufsicht, der Deutschen Bundesbank und der Bundesanstalt für Finanzdienstleistungsaufsicht). Zu den Zwecken der Verarbeitung gehören unter anderem die Kreditwürdigkeitsprüfung, die Identitäts- und Altersprüfung, Betrugs- und Geldwäscheprävention, die Erfüllung steuerrechtlicher Kontroll- und Meldepflichten sowie die Bewertung und Steuerung von Risiken.

4. Wer bekommt Ihre Daten?

Innerhalb der verantwortlichen Stelle erhalten diejenigen Stellen Ihre Daten, die diese zur Erfüllung unserer vertraglichen und gesetzlichen Pflichten brauchen. Auch von uns eingesetzte Auftragsverarbeiter (Art. 28 DSGVO) können zu diesen genannten Zwecken Daten erhalten. Dies sind die o. g. Unternehmen sowie Unternehmen in den Kategorien kreditwirtschaftliche Leistungen, IT-Dienstleistungen, Logistik, Druckdienstleistungen, Telekommunikation, Inkasso, Beratung und Consulting sowie Vertrieb und Marketing.

Informationen über Sie an Empfänger außerhalb der verantwortlichen Stelle dürfen wir nur weitergeben, wenn gesetzliche Bestimmungen dies erlauben, gebieten oder Sie eingewilligt haben. Unter diesen Voraussetzungen können Empfänger personenbezogener Daten z. B. sein:

• Öffentliche Stellen und Institutionen (z. B. Deutsche Bundesbank, Bundesanstalt für Finanzdienstleistungsaufsicht, Europäische Bankenaufsichtsbehörde, Europäische Zentralbank, Finanzbehörden, Bundesanzeiger Verlag GmbH), die o. g. Unternehmen sowie deren verbundene Unternehmen im Sinne der §§ 15 ff. Aktiengesetz bei Vorliegen einer gesetzlichen oder behördlichen Verpflichtung.
• Die weiteren o. g. Unternehmen, an die wir zur Durchführung der Geschäftsbeziehung mit Ihnen (s. o., Ziffer 3.1) oder zur Wahrung berechtigter Interessen (s. o., Ziffer 3.2: Prüfung und Optimierung von Verfahren zur Bedarfsanalyse und direkter Kundenansprache, Werbung oder Markt- und Meinungsforschung, Geltendmachung rechtlicher Ansprüche und Verteidigung bei rechtlichen Streitigkeiten, effiziente zentrale Datenverarbeitung, Gewährleistung der IT-Sicherheit und des IT-Betriebs, Maßnahmen zur Geschäftssteuerung und Weiterentwicklung von Dienstleistungen und Produkten) personenbezogene Daten übermitteln.
• Die Sie betreuende Volks- und Raiffeisenbank bzw. die Volks- und Raiffeisenbank oder unser Kooperationspartner, über die bzw. den Sie die Dienstleistungen bei uns beantragt bzw. mit uns vereinbart haben, an die bzw. den wir zur Durchführung der Geschäftsbeziehung mit Ihnen (s. o., Ziffer 3.1) oder zur Wahrung berechtigter Interessen (s. o., Ziffer 3.2: Geltendmachung rechtlicher Ansprüche und Verteidigung bei rechtlichen Streitigkeiten) personenbezogene Daten übermitteln.
• Andere Kredit- und Finanzdienstleistungsinstitute oder vergleichbare Einrichtungen, an die wir zur Durchführung der Geschäftsbeziehung mit Ihnen personenbezogene Daten übermitteln.
• Auskunfteien (z. B. SCHUFA, Verband der Vereine Creditreform e.V., s. u. Ziffer 12.) zur Ermittlung von Bonitäts- bzw. Ausfallrisiken.

Weitere Datenempfänger können diejenigen Stellen sein, für die Sie uns Ihre Einwilligung zur Datenübermittlung erteilt haben.

5. Wie lange werden Ihre Daten gespeichert?

Soweit erforderlich, verarbeiten und speichern wir Ihre personenbezogenen Daten für die Dauer unserer Geschäftsbeziehung, was beispielsweise auch die Anbahnung und die Abwicklung eines Vertrages umfasst.

Darüber hinaus unterliegen wir verschiedenen Aufbewahrungs- und Dokumentationspflichten, die sich unter anderem aus dem Handelsgesetzbuch (HGB), der Abgabenordnung (AO), dem Kreditwesengesetz (KWG), dem Geldwäschegesetz (GwG) und dem Wertpapierhandelsgesetz (WpHG) ergeben. Die dort vorgegebenen Fristen zur Aufbewahrung bzw. Dokumentation betragen zwei bis zehn Jahre.

Schließlich beurteilt sich die Speicherdauer auch nach den gesetzlichen Verjährungsfristen, die zum Beispiel nach den §§ 195 ff. des Bürgerlichen Gesetzbuches (BGB) bis zu dreißig Jahre betragen können, wobei die regelmäßige Verjährungsfrist drei Jahre beträgt.

6. Werden Daten in ein Drittland oder an eine internationale Organisation übermittelt?

Eine Datenübermittlung in Drittstaaten (Staaten außerhalb des Europäischen Wirtschaftsraums – EWR) findet nur statt, soweit dies zur Ausführung Ihrer Aufträge erforderlich, gesetzlich vorgeschrieben ist oder Sie uns Ihre Einwilligung erteilt haben. Über Einzelheiten werden wir Sie, sofern gesetzlich vorgegeben, gesondert informieren.

7. Welche Datenschutzrechte haben Sie?

Jede betroffene Person hat das Recht auf Auskunft nach Art. 15 DSGVO, das Recht auf Berichtigung nach Art. 16 DSGVO, das Recht auf Löschung nach Art. 17 DSGVO, das Recht auf Einschränkung der Verarbeitung nach Art. 18 DSGVO sowie das Recht auf Datenübertragbarkeit aus Art. 20 DSGVO. Darüber hinaus besteht ein Beschwerderecht bei einer Datenschutzaufsichtsbehörde (Art. 77 DSGVO).

8. Besteht für Sie eine Pflicht zur Bereitstellung von Daten?

Im Rahmen unserer Geschäftsbeziehung müssen Sie nur diejenigen personenbezogenen Daten bereitstellen, die für die Aufnahme und Durchführung einer Geschäftsbeziehung erforderlich sind oder zu deren Erhebung wir gesetzlich verpflichtet sind. Ohne diese Daten werden wir in der Regel den Abschluss des Vertrages oder die Ausführung des Auftrages ablehnen müssen oder einen bestehenden Vertrag nicht mehr durchführen können und ggf. beenden müssen.

Insbesondere sind wir nach den geldwäscherechtlichen Vorschriften verpflichtet, Sie vor der Begründung der Geschäftsbeziehung zu identifizieren und Daten über Ihre Person zu erheben. Damit wir dieser gesetzlichen Verpflichtung nachkommen können, haben Sie uns die notwendigen Informationen und Unterlagen zur Verfügung zu stellen und sich im Laufe der Geschäftsbeziehung ergebende Änderungen unverzüglich anzuzeigen. Sollten Sie uns die notwendigen Informationen und Unterlagen nicht zur Verfügung stellen, dürfen wir die von Ihnen gewünschte Geschäftsbeziehung nicht aufnehmen.

9. Inwieweit gibt es eine automatisierte Entscheidungsfindung im Einzelfall?

Die Entscheidung über das Zustandekommen des Vertragsverhältnisses kann auf eine automatisierte Verarbeitung personenbezogener Daten gestützt werden, die der Bewertung einzelner Persönlichkeitsmerkmale dient. Im Falle einer den Antrag ablehnenden Entscheidung haben Sie das Recht (insofern Sie eine natürliche Person sind), uns gegenüber Ihren Standpunkt geltend zu machen und die Entscheidung überprüfen zu lassen. Eine Verpflichtung zum Vertragsabschluss besteht jedoch nicht.

10. Inwieweit werden Ihre Daten für die Profilbildung (Scoring) genutzt?

Zur Beurteilung Ihrer Bonität und Kreditwürdigkeit können gemäß Profilbildung nach § 31 Abs. 1 BDSG Score-Werte genutzt werden. Beim Scoring wird die Wahrscheinlichkeit berechnet, mit der ein Kunde seinen Zahlungsverpflichtungen vertragsgemäß nachkommen wird. Die Berechnung Ihres Score-Wertes beruht auf mathematisch-statistisch anerkannten und bewährten Verfahren und ist das Ergebnis langjähriger Erfahrung. Die Aussagekraft der Prognosen wird permanent überprüft.

Die Berechnung der Score-Werte erfolgt insbesondere auf der Grundlage folgender, zu Ihrer Person bei uns gespeicherten Datenarten:

• Zahlungsverhalten und Vertragstreue
• Finanzierungsdaten (z. B. Ratenhöhe, Laufzeit)
• Kundendaten (z. B. Kundenart, Dauer der Kundenbeziehung, Anzahl der Verträge beim Institut).

Darüber hinaus können externe Informationen in die Berechnung fließen, wie der SCHUFA-Score. Die von uns verwendeten SCHUFA-Informationen und SCHUFA-Wahrscheinlichkeitswerte können Angaben aus den SCHUFA-Datenarten (Bisherige Zahlungsstörungen, Kreditnutzung, Kreditaktivität letztes Jahr, Länge Kredithistorie und Allgemeine Daten) enthalten.

Die errechneten Scorewerte unterstützen uns bei der Beurteilung der Kreditwürdigkeit, der Entscheidungsfindung und gehen in unser Risikomanagement ein.

11. Information über Ihr Widerspruchsrecht nach Art. 21 DSGVO

11.1. Sie haben das Recht, aus Gründen, die sich aus Ihrer besonderen Situation ergeben, jederzeit gegen die Verarbeitung Sie betreffender personenbezogener Daten, die aufgrund von Artikel 6 Absatz 1 Buchstabe f der Datenschutz-Grundverordnung (Datenverarbeitung auf der Grundlage einer Interessenabwägung) erfolgt, Widerspruch einzulegen; dies gilt auch für ein auf diese Bestimmung gestütztes Profiling im Sinne von Art. 4 Nr. 4 DSGVO, das wir zur Bonitätsbewertung oder für Werbezwecke einsetzen.

Legen Sie Widerspruch ein, werden wir Ihre personenbezogenen Daten nicht mehr verarbeiten, es sei denn, wir können zwingende schutzwürdige Gründe für die Verarbeitung nachweisen, die Ihre Interessen, Rechte und Freiheiten überwiegen, oder die Verarbeitung dient der Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen.

11.2. In Einzelfällen verarbeiten wir Ihre personenbezogenen Daten, um Direktwerbung zu betreiben. Sie haben das Recht, jederzeit Widerspruch gegen die Verarbeitung betreffender personenbezogener Daten zum Zwecke derartiger Werbung einzulegen; dies gilt auch für das Profiling, soweit es mit solcher Direktwerbung in Verbindung steht.

Widersprechen Sie der Verarbeitung für Zwecke der Direktwerbung, so werden wir Ihre personenbezogenen Daten nicht mehr für diese Zwecke verarbeiten.

12. SCHUFA- und Auskunfteien-Hinweis

12.1. Datenübermittlung an und Datenverarbeitung durch die die SCHUFA

Die jeweilige unter Ziffer 1. genannte verantwortliche Stelle übermittelt im Rahmen des Vertragsverhältnisses mit Ihnen erhobene personenbezogene Daten über die Beantragung, die Durchführung und Beendigung dieser Geschäftsbeziehung sowie Daten über nicht vertragsgemäßes Verhalten oder betrügerisches Verhalten an die SCHUFA Holding AG, Kormoranweg 5, 65201 Wiesbaden.

Die SCHUFA verarbeitet die erhaltenen Daten und verwendet sie auch zum Zwecke der Profilbildung (Scoring), um ihren Vertragspartnern im Europäischen Wirtschaftsraum und in der Schweiz sowie ggf. weiteren Drittländern (sofern zu diesen ein Angemessenheitsbeschluss der Europäischen Kommission besteht) Informationen unter anderem zur Beurteilung der Kreditwürdigkeit von natürlichen Personen zu geben. Nähere Informationen zur Tätigkeit der SCHUFA können dem SCHUFA-Informationsblatt nach Art. 14 DSGVO entnommen oder online unter www.schufa.de/datenschutz eingesehen werden.

12.2. Datenübermittlung an Auskunfteien

Die jeweilige unter Ziffer 1. genannte verantwortliche Stelle übermittelt im Rahmen des Vertragsverhältnisses mit Ihnen erhobene personenbezogene Daten über die Beantragung, die Durchführung und Beendigung dieser Geschäftsbeziehung sowie Daten über nicht vertragsgemäßes Verhalten oder betrügerisches Verhalten auch an weitere Auskunfteien wie z. B. den Verband der Vereine Creditreform e.V. („Crediterform“), Hellersbergstraße 12, 41460 Neuss.

12.3. Rechtsgrundlagen für die Datenübermittlungen an die SCHUFA und Auskunfteien

Rechtsgrundlagen dieser Übermittlungen sind Art. 6 Absatz 1 Buchstabe b und Art. 6 Absatz 1 Buchstabe f DSGVO. Übermittlungen auf der Grundlage von Art. 6 Absatz 1 Buchstabe f DSGVO dürfen nur erfolgen, soweit dies zur Wahrung berechtigter Interessen der verantwortlichen Stelle oder Dritter erforderlich ist und nicht die Interessen oder Grundrechte und Grundfreiheiten der betroffenen Person, die den Schutz personenbezogener Daten erfordern, überwiegen. Der Datenaustausch mit der SCHUFA und den weiteren Auskunfteien dient auch der Erfüllung gesetzlicher Pflichten zur Durchführung von Kreditwürdigkeitsprüfungen von Kunden (§ 505a des Bürgerlichen Gesetzbuches, § 18a des Kreditwesengesetzes).

13. Befreiungen der Banken vom Bankgeheimnis

13.1. Datenübermittlungen durch Ihre Volks- und Raiffeisenbank:

Sie befreien Ihre Volks- und Raiffeisenbank für die in Ziffer 2. („Welche Quellen und Daten nutzen wir?“) genannten Datenübermittlungen an die unter Ziffer 1. genannte verantwortliche Stelle vom Bankgeheimnis.

13.2. Datenübermittlungen durch die verantwortliche Stelle:

Sofern die unter Ziffer 1. genannte verantwortliche Stelle dem Bankgeheimnis unterliegt, befreien Sie die verantwortliche Stelle für die in Ziffer 4. („Wer bekommt meine Daten?“) genannten Datenübermittlungen vom Bankgeheimnis.

13.3. Datenübermittlungen an die SCHUFA und an weitere Auskunfteien:

Sofern die unter Ziffer 1. genannte verantwortliche Stelle dem Bankgeheimnis unterliegt, befreien Sie die verantwortliche Stelle für die Datenübermittlungen an die SCHUFA und an weitere Auskunfteien gemäß SCHUFA- und Auskunfteien-Hinweis in Ziffer 13. („SCHUFA- und Auskunfteien-Hinweis“) vom Bankgeheimnis.

Eschborn, November 2020