Kundeninformation zur Datenverarbeitung - ADAC Kreditkarte
Der Schutz personenbezogener Daten ist uns ein wichtiges Anliegen. Wir verarbeiten personenbezogene Daten nur im Einklang mit den anwendbaren datenschutzrechtlichen Anforderungen, insbesondere der Datenschutz-Grundverordnung (DSGVO) und dem Bundesdatenschutzgesetz (BDSG).
Mit den nachfolgenden Informationen möchten wir Sie über die Verarbeitung Ihrer personenbezogenen Daten durch die Solaris SE („Solaris“ oder „wir“), Cuvrystraße 53, 10997 Berlin, im Zusammenhang mit der in Kooperation mit der ADAC Finanzdienste GmbH („ADAC“), Hansastraße 19, 80686 München, ausgestellten Kreditkarte informieren.
Der ADAC und Solaris sind in Bezug auf die Verarbeitung Ihrer personenbezogenen Daten im Zusammenhang mit der Kreditkarte, insbesondere im Rahmen des Antragsprozesses und weiterer Dienstleistungen gemeinsam Verantwortliche im Sinne des Art. 26 DSGVO. Wir haben deshalb in einer Vereinbarung mit dem ADAC festgelegt, wer welche Verpflichtungen gemäß der DSGVO, insbesondere im Hinblick auf die Wahrnehmung Ihrer Rechte, erfüllt. Auf Anfrage stellen wir Ihnen dazu gerne den wesentlichen Inhalt der Vereinbarung sowie weitergehende Informationen zur Verfügung.
Soweit nur wir die Zwecke und Mittel zur Verarbeitung Ihrer personenbezogenen Daten festlegen, sind wir alleinige Verantwortliche im Sinne der DSGVO. Sie erreichen unseren Datenschutzbeauftragten unter der oben genannten Anschrift oder unter privacy@solarisgroup.com. Soweit wir die Daten in gemeinsamer Verantwortlichkeit mit dem ADAC verarbeiten, können Sie die Anlaufstelle auch den Datenschutzhinweisen des ADAC unter www.adac.de/datenschutz entnehmen.
Wir verarbeiten personenbezogene Daten, die im Rahmen einer vertraglichen oder vorvertraglichen Geschäftsbeziehung für die Erbringung unserer Leistung oder zur Anbahnung eines Vertrages erforderlich sind, auf der Grundlage von Art. 6 Abs. 1 lit. b. DSGVO. Diese Daten haben wir oder der ADAC beispielsweise bei der Eröffnung und Führung eines Kontos von Ihnen erhalten. Zudem verarbeiten wir – soweit dies für die Erbringung unserer Dienstleistungen oder das Erstellen eines Angebots erforderlich ist – personenbezogene Daten, die wir von Dritten z.B. zur Ausführung von Aufträgen, zur Erfüllung von Verträgen oder aufgrund einer von Ihnen erteilten Einwilligung erhalten haben. Weiterhin verarbeiten wir personenbezogene Daten, die wir aus öffentlich zugänglichen Quellen (für Unternehmenskonten z.B. Schuldnerverzeichnisse, Grundbücher, Handels- und Vereinsregister; für alle Konten: Presse, Medien, Internet) gewonnen haben und verarbeiten dürfen.
Soweit Sie uns eine Einwilligung zur Verarbeitung von personenbezogenen Daten für bestimmte Zwecke (z.B. Weitergabe von Daten) erteilt haben, stellt Ihre Einwilligung die Rechtsgrundlage für diese Verarbeitung dar, Art. 6 Abs. 1 lit. a DSGVO. Eine erteilte Einwilligung kann jederzeit widerrufen werden. Sie können uns Ihren Widerruf unkompliziert über unser Kontaktformular mitteilen: faq.adac-kreditkarte.de , alternativ auch telefonisch über den ADAC Karten-Service (089 7676 1750). Bitte beachten Sie, dass der Widerruf erst für die Zukunft wirkt.
Als Bank unterliegen wir diversen rechtlichen und regulatorischen Verpflichtungen, das heißt gesetzlichen Anforderungen (z.B. Kreditwesengesetz, Geldwäschegesetz, Steuergesetze) sowie bankaufsichtsrechtlichen Vorgaben (z.B. der Europäischen Zentralbank, der Europäischen Bankenaufsicht und der Bundesanstalt für Finanzdienstleistungsaufsicht). Auch zur Erfüllung dieser Verpflichtungen und Vorgaben müssen wir Ihre personenbezogenen Daten gem. Art. 6 Abs. 1 lit. c DSGVO und Art. 6 Abs. 1 lit. e DSGVO verarbeiten. Zu den Zwecken der Verarbeitung gehören unter anderem die Kreditwürdigkeitsprüfung, die Identitäts- und Altersprüfung, Betrugs- und Geldwäscheprävention, die Erfüllung steuerrechtlicher Kontroll- und Meldepflichten sowie die Bewertung und Steuerung von Risiken in der Bank.
Im Rahmen unserer Geschäftsbeziehung müssen Sie diejenigen personenbezogenen Daten bereitstellen, die für die Begründung, Durchführung und Beendigung einer Geschäftsbeziehung und der Erfüllung der damit verbundenen vertraglichen Pflichten erforderlich sind oder zu deren Erhebung wir gesetzlich verpflichtet sind. Ohne diese Daten werden wir in der Regel den Abschluss des Vertrages oder die Ausführung des Auftrages ablehnen müssen oder einen bestehenden Vertrag nicht mehr durchführen können und ggf. beenden müssen.
Im Einzelnen:
Wenn Sie eine Kreditkarte beantragen, die wir in Kooperation mit dem ADAC anbieten, verarbeiten wir, teilweise gemeinsam mit dem ADAC, Ihre personenbezogenen Daten, die wir zur Erstellung der Kreditkarte und Ihres Kontos benötigen. Dabei müssen wir auch eine Bonitätsprüfung durchführen. Die Datenverarbeitung im Rahmen des Antragsprozesses geschieht zum einen auf Grundlage des Art. 6 Abs. 1 lit. b DSGVO, da wir diese personenbezogenen Daten verarbeiten müssen, um den Vertrag mit Ihnen abschließen und durchführen zu können. Soweit wir die personenbezogenen Daten verarbeiten müssen, um unsere gesetzlichen Verpflichtungen zu erfüllen, findet die Datenverarbeitung auf Grundlage des Art. 6 Abs. 1 lit. c und lit. e DSGVO statt.
Zu den Zwecken der Antragstellung, der Produktkonfiguration, der Bonitätsprüfung und weiterer gesetzlicher Verpflichtungen verarbeiten wir deshalb insbesondere folgende Datenkategorien:
· Anrede, Titel (optional), Name, Geburtsdatum, Geburtsort, Geburtsland, Geschlecht, Staatsangehörigkeit, Anschrift, Mobilfunknummer, E-Mail-Adresse (je nach Antragsweg optional)
· Details zum Referenzbankkonto (IBAN; BIC, Bank), Zeitraum der Eröffnung des Referenzbankkontos, Besitz von weiteren Kreditkartenkonten, SEPA-Mandat
· Art des Beschäftigungsverhältnisses, Monatliches Netto-Einkommen, Gegenwärtige Wohnsituation, Lebenshaltungskosten
· US-Steueransässigkeit, Steuerlicher Wohnsitz (Land, Steuernummer bzw. Steuer-ID)
· Familienstand, Anzahl unterhaltsberechtigter Kinder oder Personen
· ADAC-Mitgliedsnummer und Jahr des Beginns der ADAC-Mitgliedschaft des Hauptkarteninhabers
· Legitimationsdaten (z.B. Ausweisdaten), Authentifikationsdaten (z.B. eigenhändige Unterschrift oder qualifizierte elektronische Signatur („QES“)), FATCA-Status, Schufa-Score
Ohne die Angabe der nicht-optionalen Datenkategorien ist eine Eröffnung eines Kreditkartenkontos bzw. eine Beantragung der Kreditkarte leider nicht möglich. Ihre E-Mail-Adresse verarbeiten wir je nach Antragsweg, um Ihnen Vertragsunterlagen, weitere relevante Unterlagen sowie die erforderlichen Links zur Durchführung von Identifikationsverfahren zuzusenden. Ihre Mobilfunknummer müssen Sie über ein TAN-Verfahren verifizieren.
Je nach Antragsweg gelten die folgenden Besonderheiten:
Soweit Sie sich über www.adac.de mit ihrem Mitgliedsprofil einloggen und den Antragsprozess für die ADAC Kreditkarte online starten, werden die personenbezogenen Daten aus ihrem Mitgliedsprofil der ADAC-Website (Name, Geburtsdatum, Anschrift, Telefonnummer, E-Mail-Adresse, Kontoverbindung, ADAC-Mitglied seit…) an Solaris übermittelt und für den weiteren Antragsprozess, neben den oben genannten Antragsdaten, verarbeitet.
Wenn Sie auf unsere online Antragsstrecke gelangen, erhebt unser Server automatisiert Daten über Ihren Zugriff. Zudem setzen wir in unserer online Antragsstrecke Webanalyse-Technologien ein, wenn Sie uns Ihre Einwilligung dazu erteilt haben. Weitere Informationen zur Datenverarbeitung im Rahmen der online Antragsstrecke und unseren weiteren Online Services finden Sie unter (2.5.).
Nachdem Sie die Antragsstrecke durchlaufen haben, erhalten Sie von uns eine E-Mail mit Vertragsunterlagen sowie einem Link zu dem Video-Identifizierungsverfahren und einem Coupon für das alternativ durchführbare POSTIDENT-Verfahren. Wir sind gesetzlich verpflichtet, Ihre Identität zweifelsfrei festzustellen. Diesem Zweck dient das VideoIdent- bzw. POSTIDENT-Verfahren, welches die IDnow GmbH bzw. die Deutsche Post AG als Dienstleister für uns durchführen. Bei dem VideoIdent-Verfahren stellt IDnow die Echtheit des von Ihnen vorgezeigten Personalausweises oder Reisepasses sicher. Sie werden gebeten, sich gemäß den Anweisungen des IDnow-Vertreters direkt in einem aufgezeichneten Videoanruf zu identifizieren. Um Ihre Identität anhand des Ausweisdokuments zu überprüfen, holt IDnow Ihre Zustimmung zur Aufzeichnung des Dokuments ein. Das POSTIDENT-Verfahren wird von der Deutschen Post AG durchgeführt. Mit dem POSTIDENT-Verfahren können Sie die Identitätsprüfung in einer örtlichen Postfiliale durchführen lassen.
Soweit Sie die Kreditkarte vor Ort in einem der ADAC Regionalclubs („ADAC Filiale“) oder über das ADAC Callcenter beantragen, werden ebenfalls Ihre beim ADAC hinterlegten personenbezogenen Daten, wie etwa Ihre ADAC-Mitgliedsnummer, an das Solaris System übermittelt und neben den oben genannten personenbezogenen Daten zu denselben Zwecken verarbeitet.
Auch bei einer Beantragung über das Callcenter erhalten Sie anschließend per E-Mail die erforderlichen Zugänge zum VideoIdent- oder POSTIDENT-Verfahren. Soweit Sie die ADAC Kreditkarte in einer ADAC Filiale beantragen, kontrollieren die Mitarbeiter mit Ihrer Zustimmung Ihre Identität mit Hilfe Ihres Ausweisdokuments direkt vor Ort. Hierfür erheben sie die Art und Nummer des Ausweisdokuments, die ausstellende Behörde, das Ausstellungsdatum, das Gültigkeitsdatum und das Ausstellungsland. Sie können die Identifizierung durch die Mitarbeiter in der ADAC Filiale auch als Alternative zu dem Video-Identifizierungsverfahren bzw. POSTIDENT-Verfahren nach einem online Antrag oder einer Beantragung über das Call Center durchführen lassen.
Soweit Sie die ADAC Kreditkarte im Zusammenhang mit einer Reisebuchung im Express-Verfahren in einer ADAC Filiale beantragen, werden ebenfalls die oben genannten personenbezogenen Daten verarbeitet. Zusätzlich wird ihre Primary Account Number (PAN), das Gültigkeitsdatum der Kreditkarte sowie eine einmalige Kartenprüfnummer für die Buchung verarbeitet. Die Kreditkarteninformationen werden nach Abschluss der Buchung nicht weiter gespeichert.
Die Mitarbeiter der ADAC Regionalclubs und des Callcenters verarbeiten Ihre personenbezogenen Daten für die Beantragung der ADAC Kreditkarte in unserem Auftrag.
Zusätzlich zu den im Rahmen des Antragsprozesses erhobenen Daten werden von uns weitere, unter anderem produktspezifische, Daten zu den Zwecken der Kontoführung und Finanzdienstleistungen (Art. 6 Abs. 1 lit. b DSGVO) und der Erfüllung unserer gesetzlichen Pflichten (Art. 6 Abs. 1 lit. c und lit. e DSGVO) verarbeitet. Soweit dies erforderlich ist, verarbeiten wir Ihre Daten über die eigentliche Erfüllung des Vertrages hinaus zur Wahrung berechtigter Interessen gem. Art. 6 Abs. 1 lit. f DSGVO. Hierzu zählen die Konsultation von und der Datenaustausch mit Auskunfteien (SCHUFA Holding AG, Kormoranweg 5, 65201 Wiesbaden, „SCHUFA“, Infoscore Consumer Data GmbH, Rheinstr. 99, 76532 Baden-Baden, „ICD“) zur Ermittlung von Bonitäts- bzw. Ausfallrisiken und zur Verifikation der von Ihnen angegebenen Adresse, die Geltendmachung rechtlicher Ansprüche und Verteidigung bei rechtlichen Streitigkeiten, die Gewährleistung der IT-Sicherheit der Bank, die Verhinderung von Straftaten, Maßnahmen zur Geschäftssteuerung und Weiterentwicklung von Dienstleistungen und Produkten sowie die Risikosteuerung in der Bank. Weiterhin übermitteln wir personenbezogene Daten an Kreditvermittler, soweit diese ein berechtigtes Interesse daran haben, beispielsweise wenn diese Datenverarbeitung zur Validierung von Boni oder für die Anpassung der Risikoeinschätzung erforderlich ist. Ferner bearbeiten und dokumentieren wir etwaige Kundenbeschwerden und verarbeiten diesbezüglich erforderliche personenbezogene Daten.
Im Fall von Zahlungsausfällen, welche eine Kündigung der Kreditkarte nach sich ziehen, übermitteln wir Ihre personenbezogenen Daten an REAL Solution Factoring GmbH, Normannenweg 32, 20537 Hamburg („REAL Solution“) als unseren Inkassodienstleister zur Forderungseinziehung.
Folgende personenbezogene Daten werden regelmäßig im Interessentenprozess, bei der Stammdateneröffnung oder im Zuge einer Bevollmächtigung durch uns verarbeitet: Name, Kontaktdaten (Adresse, Telefon, E-Mail- Adresse), Geburtsdatum/-ort, Geschlecht, Staatsangehörigkeit, Familienstand, Legitimationsdaten (z.B. Ausweisdaten), Authentifikationsdaten (z.B. eigenhändige Unterschrift oder QES), Steuer-ID, FATCA-Status, Beschäftigungsstatus.
Für die Kontoführung werden Auftrags- und Transaktionsdaten (z.B. Überweisungsaufträge), Daten aus der Erfüllung unserer vertraglichen Verpflichtungen (z.B. Kontoauszüge), Daten zur Erfüllung unserer rechtlichen und regulatorischen Pflichten, insbesondere zur Bekämpfung von Finanzkriminalität, verarbeitet. Weitere Informationen zur Datenverarbeitung im Rahmen unserer Online und Digital Banking Services (Website und App) finden Sie unter 2.5.
Für tokenisierte Karten, Prepaidkarten, Kreditkarten und mobile Bezahlsysteme (z.B. Apple Pay, Google Pay) werden Transaktionsdaten (Währung, Summe, Land, Zeit, Händler, Art der Transaktion, Guthaben) verarbeitet.
Wir prüfen in regelmäßigen Abständen, wie sich Ihre Bonität verändert. Diese Datenverarbeitung findet zur Wahrung unserer berechtigten Interessen nach Art. 6 Abs. 1 lit. f DSGVO statt. Unser berechtigtes Interesse für die Verarbeitung Ihrer Daten zur Ermittlung von Bonitäts- und Ausfallrisiken im laufenden Vertragsverhältnis besteht darin, Ihren Kreditrahmen anpassen zu können. Auf Basis dieser Prüfung entscheiden wir, ob der Kreditrahmen erhöht werden kann oder gesenkt werden muss. Im Rahmen der Beurteilung Ihrer Kreditwürdigkeit nutzen wir das Scoring bzw. Rating. Dazu verarbeiten wir die uns von der SCHUFA und/oder ICD übermittelten Informationen und die folgenden Daten: Ihr Alter, das Alter des Kontos, letzte Lastschriftrückgabe; Limitnutzung; Rückzahlungsquote in den letzten 3 Monaten, Bargeldbezüge. Die Entscheidung über die Anpassung des Kreditrahmens erfolgt dabei automatisiert (weitere Details zum Scoring hinsichtlich der Kreditwürdigkeit und zu automatisierten Entscheidungsfindungen unter 6).
Die SCHUFA verarbeitet Daten und verwendet sie auch zum Zwecke der Profilbildung (Scoring), um ihren Vertragspartnern im Europäischen Wirtschaftsraum und in der Schweiz sowie ggf. weiteren Drittländern (sofern zu diesen ein Angemessenheitsbeschluss der Europäischen Kommission besteht) Informationen unter anderem zur Beurteilung der Kreditwürdigkeit von natürlichen Personen zu geben. Auch die ICD verarbeitet Daten zum Zwecke des Scorings. Nähere Informationen zur Tätigkeit der SCHUFA bzw. der ICD können den jeweiligen-Informationsblättern der beiden Auskunfteien nach Art. 14 DSGVO entnommen oder online unter www.schufa.de/datenschutz bzw. unter https://www.experian.de/content/dam/noindex/emea/germany/informationsblatt-art-14.pdf eingesehen werden.
Zusätzlich werden folgende produktspezifische Daten bei Finanzierungen und Kreditkarten verarbeitet: Bonitätsunterlagen (Einkommen, Ausgaben, Fremdkontoauszüge), Arbeitgeber, Art und Dauer Beschäftigungsverhältnis, Gehaltsabrechnungen, Scoring-/Ratingdaten.
Wir bieten Ihnen im Rahmen der ADAC Kreditkarte gemeinsam mit einigen Kooperationspartnern zusätzliche Leistungen und Services an. Hierzu zählen, je nach hinzugebuchtem Paket, insbesondere Versicherungsleistungen sowie Rabatt- und Bonus-Programme. Nachfolgend geben wir Ihnen einen Überblick über die Zusatzleistungen. Die vollständigen Informationen zu den einzelnen Leistungen und Services finden Sie in den Produktinformationsblättern oder allgemeinen Geschäftsbedingungen der jeweiligen Zusatzleistungen.
Um Ihnen mit den Vertragsunterlagen zu Ihrer Kreditkarte auch Produktinformationen über diese Leistungen, Versicherungszertifikate und weitere für diese Leistungen relevante Unterlagen zukommen zu lassen und die Umsetzung der Zusatzleistungen zu gewährleisten und Ihnen bei Fragen oder Problemen unterstützend zur Seite zu stehen, verarbeiten wir Ihre personenbezogenen Daten nach Maßgabe der folgenden Abschnitte. Dabei unterstützen uns die GKS Gesellschaft für Kommunikationsservice mbH, Messestr. 8, 94036 Passau („GKS“), die TAS AG, Kohlgartenstraße 13, 04315 Leipzig („TAS“), die ja-dialog Holding GmbH, Singerstraße 109, 10179 Berlin ("ja-dialog") sowie Zendesk, Inc., 989 Market Street, San Francisco, CA 94103, USA („Zendesk“), jeweils als Auftragsverarbeiter i.S.d. Art. 28 DSGVO.
Als Teil der Zusatzleistungen können Sie verschiedene Versicherungen zur Kreditkarte hinzubuchen.
Zahlungsschutz. Wir bieten Ihnen die Möglichkeit, für Ihr Kreditkartenkonto eine Versicherung zum Zahlungsschutz abzuschließen. Damit schützen Sie sich vor Zahlungsunfähigkeit infolge von Arbeitslosigkeit und Arbeitsunfähigkeit sowie Ihre Erben im Todesfall durch den Beitritt zum Gruppenversicherungsvertrag zwischen uns und den LifeStyle Protection Versicherungen. Hierfür verarbeiten wir Ihr Alter, Ihre Kontodaten und Ihre Kontaktdaten, um Ihre Anmeldung zu der Versicherung durchzuführen, zur Bonitätsprüfung, um Änderungen in Ihrem Versicherungsstatus vorzunehmen, Ihnen eine optimale Kundenbetreuung anbieten zu können, die Abwicklung im Falle eines Widerrufs oder einer Kündigung durchzuführen und die Versicherungsleistungen Ihnen gegenüber abzurechnen (Art. 6 Abs. 1 lit. b DSGVO). Wir leiten Ihre personenbezogenen Daten auch an den Versicherer, die LifeStyle Protection Lebensversicherung AG und LifeStyle Protection AG, Proactiv-Platz 1, 40721 Hilden, weiter, soweit dies für die Vertragsdurchführung erforderlich ist, etwa für Bestandsmeldungen oder bei Eintritt eines Versicherungsfalls. Der Versicherer verarbeitet Ihre personenbezogenen Daten in eigener Verantwortung. Weitere Informationen zur Datenverarbeitung durch die LifeStyle Protection Versicherungen finden Sie in den Datenschutzhinweisen der LifeStyle Protection, welche wir Ihnen per E-Mail zukommen lassen sowie in Ihrer Postbox im Online-/Mobile-Banking bereitstellen. Soweit Sie bei der online Beantragung der ADAC Kreditkarte eine Beratung von uns zu dem Zahlungsschutz und ein entsprechendes Beratungsprotokoll wünschen, fragen wir zur Erstellung dieses Dokuments Informationen ab, zum Beispiel, ob Sie arbeitsunfähig sind, einer selbstständigen Beschäftigung bzw. einer nicht sozialversicherungspflichtigen Beschäftigung nachgehen sowie, ob Sie bereits eine Versicherung, welche im Todesfall, dem Fall der Arbeitsunfähigkeit oder der Arbeitslosigkeit Ihren negativen Kreditkartensaldo abdeckt, haben. Das Beratungsprotokoll senden wir Ihnen anschließend per E-Mail zu.
Geldautomatenraub- und -diebstahl-Versicherung. Die Geldautomatenraub- und -diebstahl-Versicherung erstattet Ihnen bis zu 500 EUR, wenn es zu einem Raub oder Diebstahl kommt, nachdem Sie an einem Geldautomaten mit Ihrer ADAC Kreditkarte weltweit Geld abgehoben haben. Voraussetzung ist, dass der Vorfall in einem Umkreis von höchstens 500 Metern um den Geldautomaten und binnen einer Stunde nach der Abhebung stattfand. Dafür verarbeiten wir Ihre personenbezogenen Daten, wie etwa Ihre Customer ID und Vertragsdaten, zum Zweck der Vertragsdurchführung (Art. 6 Abs. 1 lit. b DSGVO). Diese Daten leiten wir auch an den Versicherer, Inter Partner Assistance S.A., vertreten durch AXA Assistance Deutschland GmbH, Colonia-Allee 10-20, 51067 Köln, weiter, soweit dies für die Vertragsdurchführung erforderlich ist, etwa bei Deckungsprüfungsanfragen seitens des Versicherers zur Abwicklung von Leistungsfällen. Der Versicherer verarbeitet Ihre personenbezogenen Daten in eigener Verantwortung. Weitere Informationen zur Datenverarbeitung durch den Versicherer finden Sie in den Datenschutzhinweisen des Versicherers, welche den Versicherungsbedingungen beigefügt sind.
Selbstbehalt-Versicherung für Carsharing und Mietfahrzeuge. Je nach hinzugebuchtem Zusatzpaket haben Sie die Möglichkeit, eine Selbstbehalt-Versicherung für Carsharing und Mietfahrzeuge im Rahmen von Voll- und Teilkasko-Versicherungen abzuschließen. Dafür verarbeiten wir Ihre personenbezogenen Daten, wie etwa Ihre Customer ID und Ihre Vertragsdaten zum Zweck der Vertragsdurchführung (Art. 6 Abs. 1 lit. b DSGVO). Diese Daten leiten wir auch an den Versicherer, Inter Partner Assistance S.A., vertreten durch AXA Assistance Deutschland GmbH, Colonia-Allee 10-20, 51067 Köln, weiter, soweit dies für die Vertragsdurchführung erforderlich ist, etwa bei Deckungsprüfungsanfragen seitens des Versicherers zur Abwicklung von Leistungsfällen. Der Versicherer verarbeitet Ihre personenbezogenen Daten in eigener Verantwortung. Weitere Informationen zur Datenverarbeitung durch den Versicherer finden Sie in den Datenschutzhinweisen des Versicherers, welche den Versicherungsbedingungen beigefügt sind.
Karten- und Dokumentenschutz, Identitätsschutz, Schlüsselschutz. Bei der Buchung bestimmter Zusatzpakete haben Sie die Möglichkeit, die Zusatzleistungen der Creating Profitable Partnerships GmbH (CPP), Am Lenkwerk 5, 33609 Bielefeld, zu beantragen. Diese umfassen insbesondere den Schutz Ihrer Karten und Dokumente sowie Ihrer persönlichen Daten. CPP verarbeitet Ihre personenbezogenen Daten in eigener Verantwortung. Weitere Informationen zur Datenverarbeitung durch CPP finden Sie in der Datenschutzerklärung von CPP, welche dem CPP-Antragsformular beigefügt ist. Wir verarbeiten Ihre Kontaktdaten, um Ihnen gemeinsam mit anderen Vertragsunterlagen auch Produktinformationen über die von Ihnen ausgewählte Kreditkarte und die Zusatzleistungen der CPP zukommen zu lassen. Ferner verarbeiten wir Ihre personenbezogenen Daten, etwa Vertragsdaten, zu Zwecken der Vertragsdurchführung, um etwa Ihren Anspruch auf den „Karten- und Dokumentenschutz, Identitätsschutz, Schlüsselschutz“ überprüfen zu können, Art. 6 Abs. 1 lit. b DSGVO. Zu diesem Zweck gleichen wir auch die bei CPP registrierten Kunden mit unseren Kunden ab, um CPP darüber informieren zu können, welche Kunden zum Abschluss des „Karten- und Dokumentenschutzes, Identitätsschutzes, Schlüsselschutzes“ bei CPP (nicht mehr) berechtigt sind.
Reiseschutz. Sie haben die Möglichkeit, ein Paket mit diversen Versicherungen der ADAC Versicherung AG, Hansastraße 19, 80686 München, rund um Ihre Reise zu buchen. Dies umfasst eine Reiserücktritts- und Reiseabbruch-Versicherung, den Auslandskrankenschutz 100, die Zusatz-Haftpflichtversicherung für Mietwagen im Ausland, eine Reise-Rechtsschutzversicherung für Mietfahrzeuge, eine Reise-Vertrags-Rechtsschutzversicherung und eine Verkehrsmittel-Unfallversicherung. Zur Vertragsdurchführung (Art. 6 Abs. 1 lit. b DSGVO) verarbeiten wir auch hier Ihre personenbezogenen Daten und übermitteln diese an die ADAC Versicherung AG, soweit dies etwa zur Abwicklung von Leistungsfällen oder anderweitig zur Erfüllung des Vertrages erforderlich ist. Der Versicherer verarbeitet Ihre personenbezogenen Daten in eigener Verantwortung. Weitere Informationen zur Datenverarbeitung durch die ADAC Versicherung finden Sie unter www.adac.de/datenschutz.
Verkehrsmittelunfall-Versicherung. Schließlich verarbeiten wir Ihre personenbezogenen Daten, wie etwa Personenstammdaten und Vertragsdaten, zum Zweck der Vertragserfüllung (Art. 6 Abs. 1 lit. b DSGVO) bei der Abwicklung der HanseMerkur Verkehrsmittelunfall-Versicherung. Hierfür übermitteln wir auch personenbezogene Daten an die HanseMerkur Reiseversicherung AG, Siegfried-Wedells-Platz 1, 20354 Hamburg, soweit dies für die Vertragsdurchführung erforderlich ist. Weitere Informationen zur Datenverarbeitung durch HanseMerkur finden Sie in den Datenschutzhinweisen des Versicherers, welche den Versicherungsbedingungen beigefügt sind.
Unfall-Assistance. Die ADAC Unfall-Assistance bietet Unterstützung, wenn eine versicherte Person durch einen Unfall bedingt stationär behandelt werden muss. Der Versicherer, die ADAC Versicherung AG, Hansastraße 19, 80686 München, hilft etwa bei der Ermittlung von deutschen Leistungsträgern und benennt Fachkliniken sowie Anwälte in Deutschland. Zur Vertragsdurchführung (Art. 6 Abs. 1 lit. b DSGVO) verarbeiten wir auch hier Ihre personenbezogenen Daten und übermitteln diese an die ADAC Versicherung AG, soweit dies etwa zur Abwicklung von Leistungsfällen oder anderweitig zur Erfüllung des Vertrages erforderlich ist. Der Versicherer verarbeitet Ihre personenbezogenen Daten in eigener Verantwortung. Weitere Informationen zur Datenverarbeitung durch die ADAC Versicherung finden Sie unter www.adac.de/datenschutz.
Gemeinsam mit dem ADAC verarbeiten wir Ihre personenbezogenen Daten, einschließlich Ihrer Kontodaten, um Ihnen Boni und Rabatte auszahlen zu können (Art. 6 Abs. 1 lit. b DSGVO). Dies geschieht etwa im Zusammenhang mit Tankrabatten und Cashbacks, die Sie bei Benutzung Ihrer ADAC Kreditkarte bei bestimmten Händlern erhalten, sowie Bonusprogrammen. Dabei verarbeiten wir auch Ihre Kontaktdaten, um Ihnen die entsprechenden Gutscheine für Tankrabatte oder Ähnliches zustellen zu können. Hierbei unterstützt uns exceet Card AG, Edisonstraße 3, 85716 Unterschleißheim („exceet“), als Auftragsverarbeiter i.S.d. Art. 28 DSGVO.
Sie haben die Möglichkeit, eine Partnerkarte zu Ihrer ADAC Kreditkarte für eine weitere Person zu beantragen, die unseren Service ebenfalls nutzen kann. Der Antrag für die Partnerkarte kann sowohl online als auch in einer ADAC Filiale oder telefonisch über den ADAC Karten-Service erfolgen. Dafür müssen wir bestimmte personenbezogene Daten des Partners verarbeiten.
Zunächst geben Sie als Hauptkarteninhaber bestimmte personenbezogene Daten zum Partner bei der Antragstellung an, damit wir den Partnerkartenantrag vorbereiten und im nächsten Schritt sicherstellen können, dass die tatsächlich antragsberechtigte Person den Partnerkartenantrag zu Ihrer ADAC Kreditkarte weiter verfolgt (Art. 6 Abs. 1 lit. b DSGVO). Dies betrifft folgende Datenkategorien: Anrede, E-Mail-Adresse, Vorname, Nachname und Geburtsdatum.
Darüber hinaus bestätigen Sie uns, dass der Partner Ihnen seine Zustimmung zum Erhalt einer E-Mail von uns mit einem Link zur weiteren Vervollständigung des Partnerkartenantrags erteilt hat. Sollte der Partner auf den Erhalt der E-Mail keine weiteren Schritte zur Beantragung der Partnerkarte vornehmen, verfällt der Link und die personenbezogenen Daten des Partners werden nach spätestens 90 Tagen automatisch gelöscht.
Soweit der Partner den Antrag für die Partnerkarte weiter verfolgt, befüllen wir den Antrag mit den bereits erhobenen Daten (Vorname, Nachname, E-Mail-Adresse, Geburtsdatum) vor und fragen zusätzlich nach weiteren relevanten Informationen, etwa der Anrede, Titel, Geburtsort, Staatsangehörigkeit, Mobilfunknummer, Anschrift und einer US-Steueransässigkeit Diese personenbezogenen Daten verarbeiten wir, um den Partnerkartenantrag abschließen und den Kreditkartenvertrag erfüllen zu können (Art. 6 Abs. 1 lit. b DSGVO), und um unseren gesetzlichen Verpflichtungen als Bank nachkommen zu können (Art. 6 Abs. 1 lit. c und lit. e DSGVO). Wir verarbeiten die E-Mail-Adresse des Partners auch, um ihm Vertragsunterlagen und weitere relevante Unterlagen, sowie einen Link zu dem Video-Identifizierungsverfahren und einen Coupon für das alternativ durchführbare POSTIDENT-Verfahren zukommen zu lassen. Alternativ zu dem Video-Identifizierungsverfahren oder dem POSTIDENT-Verfahren kann der Partner sich auch direkt vor Ort in einer ADAC Filiale identifizieren lassen. Zu weitergehenden Informationen hinsichtlich der verfügbaren Identifizierungsverfahren und den entsprechenden Datenverarbeitungen, siehe unter 2.1. Ferner muss der Partner seine Mobilfunknummer mit einem TAN-Verfahren verifizieren.
Soweit Sie den Partnerkartenantrag in einer ADAC Filiale stellen und der Partner hierbei anwesend ist, fragen die Mitarbeiter der ADAC Filiale den Partner ebenfalls nach den ihn betreffenden oben beschriebenen personenbezogenen Daten und verarbeiten diese zu denselben Zwecken.
Sie können die ADAC Kreditkarte bequem online, in Ihrer ADAC Mobile- oder Web-App, verwalten. Im Rahmen unserer Online und Digital Banking Services verarbeiten wir personenbezogene Daten nach Maßgabe der folgenden Abschnitte.
Wenn Sie unsere Online und Digital Banking Services aufrufen, erhebt unser Server automatisiert Daten über Ihren Zugriff. Dazu gehören Ihre IP-Adresse; Typ und Version des Internet-Browsers; verwendetes Betriebssystem; die aufgerufene Seite; die zuvor besuchte Seite (Referrer URL); Datum und Uhrzeit des Abrufs. Die Rechtsgrundlage der Verarbeitung ist unser berechtigtes Interesse (Art. 6 Abs. 1 lit. f DSGVO). Unser berechtigtes Interesse ist die Bereitstellung der durch Sie aufgerufenen Inhalte des Online und Digital Bankings. Die Daten werden in Server-Log-Dateien in einer Form, die die Identifizierung der betroffenen Personen ermöglicht, maximal für einen Zeitraum von 30 Tagen gespeichert, es sei denn, dass ein sicherheitsrelevantes Ereignis auftritt (z.B. ein DDoS-Angriff). Im Fall eines sicherheitsrelevanten Ereignisses werden Server-Log-Dateien bis zur Beseitigung und vollständigen Aufklärung des sicherheitsrelevanten Ereignisses gespeichert.
Um Ihnen im Online-Kartenkonto eine Reihe von Features und Funktionen anbieten zu können, verarbeiten wir unter anderem Ihre Kreditkartennummer sowie Personenstammdaten, Informationen zum Konto-Status inkl. Transaktionsdaten, im Rahmen von Zusatzleistungen gemachte Angaben. Die Verarbeitung ist nach Art. 6 Abs. 1 lit. b DSGVO für die Erfüllung des Kreditkartenvertrags erforderlich. Folgende Features und Funktionen stellen wir Ihnen in Ihrem Online-Kartenkonto in der ADAC Mobile- oder Web-App bereit: Anzeige Ihrer aktuellen Kartenumsätze unmittelbar bei Autorisierung der Zahlung in der App (Echtzeit-Transaktionen), Apple Pay, Google Pay, Card Control, Ersatzkarte bestellen, Partnerkarte bestellen und Partner einladen, Guthaben ein- und auszahlen, Module / Versicherungen hinzu- und abbuchen, Rückzahlungsoptionen verwalten, Limit erhöhen, Kartenabrechnungen einsehen, Einwilligungen verwalten, persönliche Daten verwalten, Einsicht in das Postfach, Einsatzmöglichkeiten festlegen, Kontaktformular.
Wenn Sie uns Ihre Einwilligung erteilt haben, setzen wir in unseren Online und Digital Banking Services Web- bzw. App Analyse-Technologien ein. Dies geschieht mit Hilfe des Dienstanbieters Piwik PRO GmbH, Kurfürstendamm 21, 10719 Berlin („Piwik“). Mittels Piwik sammeln wir auf der Grundlage von Cookies Daten zum Nutzungsverhalten von Nutzern. Die Webanalyse (auch als „Reichweitenmessung“ bezeichnet) dient der Auswertung der Besucherströme unseres Online-Angebotes und kann Verhalten, Interessen oder demographische Informationen zu den Besuchern, wie z.B. das Alter oder das Geschlecht, als pseudonyme Werte umfassen. Mit Hilfe der Reichweitenanalyse können wir z.B. erkennen, zu welcher Zeit unser Onlineangebot oder dessen Funktionen oder Inhalte am häufigsten genutzt werden oder zur Wiederverwendung einladen. Ebenso können wir nachvollziehen, welche Bereiche der Optimierung bedürfen.
Neben der Webanalyse können wir auch Testverfahren einsetzen, um z.B. unterschiedliche Versionen unseres Onlineangebotes oder seiner Bestandteile zu testen und optimieren.
Sofern nachfolgend nicht anders angegeben, können zu diesen Zwecken Profile, d.h. zu einem Nutzungsvorgang zusammengefasste Daten angelegt und Informationen in einem Browser, bzw. in einem Endgerät gespeichert und aus diesem ausgelesen werden. Zu den erhobenen Angaben gehören insbesondere besuchte Webseiten und dort genutzte Elemente sowie technische Angaben, wie der verwendete Browser, das verwendete Computersystem sowie Angaben zu Nutzungszeiten. Sofern Nutzer in die Erhebung ihrer Standortdaten uns gegenüber oder gegenüber den Anbietern der von uns eingesetzten Dienste eingewilligt haben, können auch Standortdaten verarbeitet werden.
Es werden ebenfalls die IP-Adressen der Nutzer gespeichert. Jedoch nutzen wir ein IP-Masking-Verfahren (d.h., Pseudonymisierung durch Kürzung der IP-Adresse) zum Schutz der Nutzer. Generell werden im Rahmen von Webanalyse, A/B-Testings und Optimierung keine Klardaten der Nutzer (wie z.B. E-Mail-Adressen oder Namen) gespeichert, sondern Pseudonyme. D.h., wir als auch die Anbieter der eingesetzten Software kennen nicht die tatsächliche Identität der Nutzer, sondern nur den für Zwecke der jeweiligen Verfahren in deren Profilen gespeicherten Angaben.
Verarbeitete Datenarten: Nutzungsdaten (z.B. besuchte Webseiten, Interesse an Inhalten, Zugriffszeiten); Meta-/Kommunikationsdaten (z.B. Geräte-Informationen, IP-Adressen).
Betroffene Personen: Nutzer (z.B. Webseitenbesucher, Nutzer von Onlinediensten).
Zwecke der Verarbeitung: Reichweitenmessung (z.B. Zugriffsstatistiken, Erkennung wiederkehrender Besucher); Profile mit nutzerbezogenen Informationen (Erstellen von Nutzerprofilen); Konversionsmessung (Messung der Effektivität von Marketingmaßnahmen); Bereitstellung unseres Onlineangebotes und Nutzerfreundlichkeit.
Sicherheitsmaßnahmen: IP-Masking (Pseudonymisierung der IP-Adresse).
Rechtsgrundlagen: Einwilligung (Art. 6 Abs. 1 S. 1 lit. a. DSGVO).
Die Rechtsgrundlage der Verarbeitung ist Ihre Einwilligung (Art. 6 Abs. 1 lit. a DSGVO), die wir über den Cookie Banner einholen (s. hierzu 2.5.5.). Weitere Informationen finden Sie unter https://piwikpro.de/datenschutz.
Sie können Ihre Cookie Präferenzen jederzeit über den Cookie Banner ändern und Ihre Einwilligung widerrufen, ohne dass die Rechtmäßigkeit der aufgrund der Einwilligung bis zum Widerruf erfolgten Verarbeitung berührt wird. Bei der Verwaltung und Dokumentation der von Ihnen über das Cookie Banner erteilten Einwilligungen hilft uns Usercentrics GmbH, Sendlinger Straße 7, 80331 München („Usercentrics"). Mit Ihrer Einwilligung leiten wir Daten zu den von Ihnen erteilten Einwilligungen sowie die Web- bzw. App Analyse-Daten auch an den ADAC weiter.
Wenn Sie sich online registrieren, um unsere Bankdienstleistungen zu nutzen und Sie in den Einsatz der Software zur Betrugsprävention und der diesbezüglichen Cookies eingewilligt haben, führen wir eine Risikoprüfung zur Betrugsprävention und Geldwäschebekämpfung durch. Für diese Zwecke setzen wir die SEON Technologies Kft., Rákóczi út 42. 7. em., Budapest 1072, Ungarn („SEON“) als Dienstleister im Rahmen einer Auftragsverarbeitungsvereinbarung gemäß Art. 28 DSGVO ein.
Um die Risikobewertung durchführen zu können, erheben wir die folgenden Browserdaten, Gerätedaten, Verkehrsdaten und Standortdaten von Ihrem Gerät: IP-Adresse inklusive Typ (z.B. kommerziell, Mobilfunk, Universität) und ob sie als schädlich eingestuft ist, TOR-Wert, VPN, Proxy, Anzahl des an Ihrem Gerät angeschlossenen Zubehörs, ob Ihr Telefon stummgeschaltet ist oder nicht, Lautstärkeeinstellungen, Ländercode und Name des Netzbetreibers (a) der mit der SIM-Karte verbunden ist und (b) den das Gerät derzeit verwendet, Gerätemodelltyp und ID, Systembetriebszeit, iCloud-Token, Version und Name des Geräts, die der Benutzer in den iOS-Einstellungen angegeben hat, Zeitpunkt des letzten Starts des Geräts im UNIX-Zeitformat und in der UTC-Zeitzone, Ländercode und Geräte-ID, Cookie- Sitzungs-ID und Browserdetails/-einstellungen einschließlich des Scrolling-Verhaltens. SEON hat ein mathematisch-statistisches Verfahren entwickelt, das aus diesen Datenpunkten eine Risikobewertung hinsichtlich möglicher betrügerischer oder anderer illegaler Aktivitäten in Form eines Risk Scores ermöglicht. Um in dem Verfahren eine verlässliche Bewertung zu gewährleisten, ist eine Gesamtschau aller dieser Datenpunkte im Hinblick auf untypische Geräteeinstellungen erforderlich. Soweit dies zur Durchführung der Risikoanalyse notwendig sein sollte, können wir ggf. zusätzliche Informationen hinzufügen und übermitteln diese Daten dann zusammen mit Ihrer E-Mail-Adresse, Ihrem Namen und Ihrer Telefonnummer an SEON, um eine Risikoanalyse hinsichtlich möglicher betrügerischer oder anderer illegaler Aktivitäten durchzuführen.
SEON analysiert diese personenbezogenen Daten auf der Grundlage eines mathematisch-statistisch anerkannten und bewährten Verfahrens und teilt uns das Ergebnis der Risikobewertung mit. Als Teil der Analyse führt SEON ggf. eine E-Mail-Adress-Analyse, einen Social Media Lookup oder ein Adressen-Profiling durch.
Auf der Grundlage der Analyse und der Risikobewertung können Sie Ihre Registrierung abschließen, als Kunde abgelehnt werden oder durch einen erweiterten Registrierungsprozess, mit dem Ziel, Ihren Onboarding-Prozess abzuschließen, geführt werden. Der Entscheidungsprozess ist vollständig automatisiert. Die automatisierte Entscheidungsfindung ist für den Abschluss und die Erfüllung eines von Ihnen gewünschten Vertrags erforderlich (Art. 22 Abs. 2 lit. a DSGVO). Wenn Sie (i) mehr Informationen über die Logik des Entscheidungsfindungsprozesses und/oder über die Folgen der Durchführung des automatisierten Entscheidungsfindungsprozesses einholen möchten, (ii) zusätzliche Erklärungen zu der nach der oben genannten Analyse getroffenen Entscheidung benötigen, (iii) die automatisierte Entscheidung anfechten möchten und/oder (iv) eine Überprüfung dieser automatisierten Entscheidung durch einen Menschen wünschen, können Sie sich mit uns in Verbindung setzen, indem Sie privacy@solarisgroup.com kontaktieren. Nach Ihrem Onboarding erheben wir weiterhin die oben genannten Daten und führen über SEON zusätzliche Risikoanalysen zur fortlaufenden Bewertung des Betrugsrisikos durch.
Die Rechtsgrundlage für diese Verarbeitung ist Ihre Einwilligung (§ 25 TTDDG, Art. 6 Abs. 1 lit. a DSGVO). Ohne Ihre Einwilligung können Sie unsere Bankdienstleistungen nicht nutzen, da die Betrugsprüfung und Geldwäschebekämpfung für eine sichere Erbringung der Bankdienstleistungen erforderlich ist (Art. 7 Abs. 4 DSGVO). Denn als zugelassene Bank sind wir gesetzlich verpflichtet, Geldwäsche durch ein funktionierendes Risikomanagement und interne Sicherheitsmaßnahmen sowie eine laufende Überprüfung der Kundenaktivitäten zu bekämpfen (§§ 4, 6 und 10 Geldwäschegesetz). Sie können Ihre Einwilligung jederzeit widerrufen, aber ohne Einwilligung können Sie unsere Leistungen nicht weiter nutzen. Sie können uns Ihren Widerruf unkompliziert über unser Kontaktformular mitteilen: faq.adac-kreditkarte.de, alternativ auch telefonisch über unsere Service-Hotline (089 7676 1750).
Ihre personenbezogenen Daten werden bis zur Erreichung der vorgenannten Verarbeitungszwecke gespeichert und spätestens 12 Monate nach Durchführung der Risikoprüfung gelöscht, sofern keine gesetzlichen Aufbewahrungspflichten (z.B. nach Geldwäsche-, Handels- oder Steuerrecht) bestehen.
Cookies sind kleine Textdateien, bzw. sonstige Speichervermerke, die Informationen auf Endgeräten speichern und Informationen aus den Endgeräten auslesen. Z.B. um den Login-Status in einem Nutzerkonto, einen Warenkorbinhalt in einem E-Shop, die aufgerufenen Inhalte oder verwendete Funktionen eines Onlineangebotes speichern. Cookies können ferner zu unterschiedlichen Zwecken eingesetzt werden, z.B. zu Zwecken der Funktionsfähigkeit, Sicherheit und Komfort von Onlineangeboten sowie der Erstellung von Analysen der Besucherströme.
Hinweise zur Einwilligung: Wir setzen Cookies im Einklang mit den gesetzlichen Vorschriften ein. Daher holen wir von den Nutzern eine vorhergehende Einwilligung ein, außer wenn diese gesetzlich nicht gefordert ist. Eine Einwilligung ist insbesondere nicht notwendig, wenn das Speichern und das Auslesen der Informationen, also auch von Cookies, unbedingt erforderlich sind, um dem den Nutzern einen von ihnen ausdrücklich gewünschten Telemediendienst (also unser Onlineangebot) zur Verfügung zu stellen. Die widerrufliche Einwilligung wird gegenüber den Nutzern deutlich kommuniziert und enthält die Informationen zu der jeweiligen Cookie-Nutzung.
Hinweise zu datenschutzrechtlichen Rechtsgrundlagen: Auf welcher datenschutzrechtlichen Rechtsgrundlage wir die personenbezogenen Daten der Nutzer mit Hilfe von Cookies verarbeiten, hängt davon ab, ob wir Nutzer um eine Einwilligung bitten. Falls die Nutzer einwilligen, ist die Rechtsgrundlage der Verarbeitung Ihrer Daten die erklärte Einwilligung. Andernfalls verarbeiten wir Cookies nur, wenn dies unbedingt erforderlich ist, um die von Ihnen ausdrücklich gewünschten Online und Digital Banking Services zu erbringen. Zu welchen Zwecken die Cookies von uns verarbeitet werden, darüber klären wir im Laufe dieser Datenschutzerklärung oder im Rahmen von unseren Einwilligungs- und Verarbeitungsprozessen auf.
Speicherdauer: Im Hinblick auf die Speicherdauer werden die folgenden Arten von Cookies unterschieden:
Temporäre Cookies (auch: Session- oder Sitzungs-Cookies): Temporäre Cookies werden spätestens gelöscht, nachdem ein Nutzer ein Online-Angebot verlassen und sein Endgerät (z.B. Browser oder mobile Applikation) geschlossen hat.
Permanente Cookies: Permanente Cookies bleiben auch nach dem Schließen des Endgerätes gespeichert. So können beispielsweise der Login-Status gespeichert oder bevorzugte Inhalte direkt angezeigt werden, wenn der Nutzer eine Website erneut besucht. Ebenso können die mit Hilfe von Cookies erhobenen Daten der Nutzer zur Reichweitenmessung verwendet werden. Sofern wir Nutzern keine expliziten Angaben zur Art und Speicherdauer von Cookies mitteilen (z.B. im Rahmen der Einholung der Einwilligung), sollten Nutzer davon ausgehen, dass Cookies permanent sind und die Speicherdauer bis zu zwei Jahre betragen kann.
Allgemeine Hinweise zum Widerruf und Widerspruch (Opt-Out): Nutzer können die von ihnen abgegebenen Einwilligungen jederzeit widerrufen und zudem einen Widerspruch gegen die Verarbeitung entsprechend den gesetzlichen Vorgaben im Art. 21 DSGVO einlegen (weitere Hinweise zum Widerspruch erfolgen im Rahmen dieser Datenschutzerklärung). Nutzer können Ihren Widerspruch auch mittels der Einstellungen Ihres Browsers oder im Einwilligungsmanager erklären.
Weitere Hinweise zu Verarbeitungsprozessen, Verfahren und Diensten: Verarbeitung von Cookie-Daten auf Grundlage einer Einwilligung: Wir setzen ein Verfahren zum Cookie-Einwilligungs-Management ein, in dessen Rahmen die Einwilligungen der Nutzer in den Einsatz von Cookies, bzw. der im Rahmen des Cookie-Einwilligungs-Management-Verfahrens genannten Verarbeitungen und Anbieter eingeholt sowie von den Nutzern verwaltet und widerrufen werden können. Hierbei wird die Einwilligungserklärung gespeichert, um deren Abfrage nicht erneut wiederholen zu müssen und die Einwilligung entsprechend der gesetzlichen Verpflichtung nachweisen zu können. Die Speicherung kann serverseitig und/oder in einem Cookie (sogenanntes Opt-In-Cookie, bzw. mithilfe vergleichbarer Technologien) erfolgen, um die Einwilligung einem Nutzer, bzw. dessen Gerät zuordnen zu können. Vorbehaltlich individueller Angaben zu den Anbietern von Cookie-Management-Diensten, gelten die folgenden Hinweise: Die Dauer der Speicherung der Einwilligung kann bis zu zwei Jahren betragen. Hierbei wird ein pseudonymer Nutzer-Identifikator gebildet und mit dem Zeitpunkt der Einwilligung, Angaben zur Reichweite der Einwilligung (z.B. welche Kategorien von Cookies und/oder Diensteanbieter) sowie dem Browser, System und verwendeten Endgerät gespeichert.
Wir verarbeiten Ihre personenbezogenen Daten, insbesondere Ihre Personenstammdaten und Kontaktdaten sowie ggf. weitere Informationen zu Ihrer Person und Ihrem Kontostatus, auch zu Marketingzwecken. Hierbei nehmen wir mit Ihnen per Telefon, SMS oder per E-Mail Kontakt auf, um Ihnen weitere Produkte oder Services von uns oder unseren Kooperationspartnern sowie personalisierte Werbung anbieten zu können. Auch zeigen wir Ihnen personalisierte Inhalte über die ADAC Mobile- oder Web-App an. Dabei unterstützt uns für Kampagnentools and E-Mail-Marketing Braze, Inc., 330 W 34th Street, 18th Floor, New York, NY 10001, USA („Braze“) und Mailjet Inc, Paris HQ, 43 Rue de Dunkerque, 75010 Paris, Frankreich („Mailjet“) für E-Mail-Marketing, beide als Auftragsverarbeiter i.S.d. Art. 28 DSGVO. Wenn Sie Marketing-E-Mails wie einen Newsletter von uns erhalten, verarbeiten wir Daten über die Öffnung von E-Mails, Klicks auf in dem Newsletter enthaltene Links, Daten des verwendeten Endgeräts, Daten zum Standort auf Basis der IP-Adresse und Daten, die die Erreichbarkeit der E-Mail-Adresse betreffen.
Ebenso verknüpfen, verwenden und werten wir Ihre Zahlungsverkehrsdaten aus, um passgenaue werbliche Ansprachen vorzunehmen und Sie persönlich und möglichst passend beraten, betreuen und informieren zu können. Zu diesem Zweck analysieren wir mittels eines Algorithmus Ihre Zahlungsverkehrsdaten und sprechen Sie mit Angeboten an, die auf Basis der Auswertung besonders gut für Sie passen können. Die passgenaue werbliche Ansprache bezieht sich z.B. auf die folgenden Themen:
· Angebot von zusätzlichen Paketen mit Zusatzleistungen, wie z.B. Tankrabatte, Reiseschutzversicherung, Cashback und weitere Zusatzleistungen, abhängig von dem gewählten Paket.
· Angebot eines Abrufkredits. Hierbei handelt es sich um einen einmaligen Kredit, den sich Kunden auf ihr Referenzkonto auszahlen lassen können. Dies geht grundsätzlich mit einer Erhöhung des Kreditrahmens und dem Wechsel auf eine Teilzahlung einher.
· Angebot, auf eine Teilzahlung zu wechseln.
Zu diesem Zweck verarbeiten wir folgende Datenkategorien: Monatliche Ausgaben, Verwendungszwecke (Reisen, Einzelhandel, Tanken usw.); Ausgaben Inland / Ausland, Ausgaben Online/Offline, Ausgaben per Händler; Häufigkeit der Nutzung der Karte und Bargeldbezug. Diese Daten werden uns von VISA bzw. Mastercard übermittelt.
Wir verarbeiten die Daten, um Ihre Bonität, Eignung oder Ihr mögliches Interesse an bestimmten Angeboten zu bestimmen. Mit den Ergebnissen der Prüfung bilden wir sogenannte „Score-Werte“ und teilen Kunden mit bestimmten Score-Werten in vordefinierte Gruppen ein. Je nach Ergebnis der Prüfung und des jeweiligen Score-Wertes, machen wir Ihnen aktiv Angebote zu den relevanten Themen. Dazu analysieren wir diese personenbezogenen Daten auf der Grundlage eines mathematisch-statistisch anerkannten und bewährten Verfahrens. Der Entscheidungsprozess ist automatisiert. Wenn Sie die automatisierte Entscheidung anfechten möchten und eine menschliche Überprüfung wünschen, können Sie sich mit uns in Verbindung setzen, indem Sie privacy@solarisgroup.com kontaktieren. Die Rechtsgrundlage für diese Verarbeitung ist Ihre Einwilligung (Art. 6 Abs. 1 lit. a DSGVO sowie Art. 22 Abs. 2 lit. c DSGVO).
Sofern der Verwendungszweck Ihrer Zahlungen besondere Kategorien personenbezogener Daten (nach Art. 9 DSGVO) enthält, z.B. Daten über politische Meinungen, Gewerkschaftszugehörigkeit oder Gesundheitsdaten, wertet die Solaris SE derartige Verwendungszwecke nicht aus.
Wir speichern Ihre personenbezogenen Daten für den oben genannten Zweck nur so lange, wie es für die Erreichung des Zwecks erforderlich ist. Wir löschen die Ergebnisse der Analyse daher spätestens nach 12 Monaten, sofern keine gesetzlichen Aufbewahrungspflichten (z.B. nach Geldwäsche, Handels- oder Steuerrecht) bestehen.
Wir leiten Ihre personenbezogenen Daten, einschließlich Ihrer Zahlungsverkehrsdaten auch an den ADAC zur Weiterentwicklung des ADAC Kreditkartenprogramms und damit der ADAC Sie ebenfalls über für Sie geeignete Finanzprodukte und Aktionen informieren kann, weiter.
Darüber hinaus laden wir Sie hin und wieder per E-Mail, Telefon, und / oder App zu Umfragen für die Marktforschung ein. Dies beinhaltet Umfragen wie z.B. Zufriedenheit, Erfahrungen beim Produktabschluss oder ob Sie Solaris weiterempfehlen würden.
Diese Datenverarbeitungen Ihrer personenbezogenen Daten zu Marketingzwecken erfolgen insgesamt nur auf Grundlage einer vorherigen Einwilligung durch Sie, Art. 6 Abs. 1 lit. a DSGVO.
Um die Qualität unseres Services stets bewerten und optimieren zu können, verarbeiten wir Ihre personenbezogenen Daten zu Analysezwecken. Daran haben wir ein berechtigtes Interesse nach Art. 6 Abs. 1 lit. f DSGVO, da uns dies ermöglicht, unsere Leistungen zu überwachen und ggf. anzupassen und auf diese Weise auch die Kundenzufriedenheit zu erhöhen.
Die Datenverarbeitung umfasst hier etwa: Erfassung und Übermittlung von Daten an den ADAC (z.B. Hochrechnungen aus Kontozahlen, Kartenumsätzen, Teilzahlungsvolumen und Risikokosten), Erfassung und Auswertung von Kundendaten (z.B. zur Messung der Kundenzufriedenheit), Datenverarbeitung zur Erstellung von Beschwerdestatistiken.
Innerhalb der Bank erhalten diejenigen Personen Zugriff auf Ihre Daten, die diese zur Erfüllung unserer vertraglichen und gesetzlichen Pflichten benötigen. Wir übermitteln Ihre Daten nur an Dritte (z.B. an den ADAC im Rahmen der gemeinsamen Verantwortlichkeit), sofern eine datenschutzrechtliche Übermittlungsbefugnis (z.B. nach den nach den oben genannten Rechtsvorschriften) besteht. Ihre Daten können von uns zudem an externe Dienstleister (z.B. IT-Dienstleister) weitergegeben werden, welche uns bei der Datenverarbeitung im Rahmen einer Auftragsverarbeitung streng weisungsgebunden unterstützen.
Unter diesen Voraussetzungen können Empfänger personenbezogener Daten sein: Gemeinsam mit uns Verantwortliche (z.B. ADAC) nach Maßgabe einer Vereinbarung über die gemeinsame Verantwortlichkeit, Öffentliche Stellen und Institutionen (z.B. Deutsche Bundesbank, Bundesanstalt für Finanzdienstleistungsaufsicht, Europäische Bankenaufsichtsbehörde, Europäische Zentralbank, Finanzbehörden, Bundeszentralamt für Steuern) bei Vorliegen einer gesetzlichen oder behördlichen Verpflichtung sowie andere Kredit- und Finanzdienstleistungsinstitute, vergleichbare Einrichtungen und Auftragsverarbeiter, an die wir zur Durchführung der Geschäftsbeziehung mit Ihnen personenbezogene Daten übermitteln sowie Kooperationspartner, mit denen wir zusammenarbeiten, um Ihnen Digital Banking Produkte und Finanzierungsprodukte sowie weitere Services anzubieten (siehe etwa unter 2.3., Zusätzliche Leistungen).
Zur Überprüfung und Verifizierung der von Ihnen angegebenen Adresse übermitteln wir diese an die Deutsche Post Direkt GmbH, Junkersring 57, 53844 Troisdorf („Deutsche Post“). Sofern die von Ihnen angegebene Adresse der Deutschen Post nicht bekannt ist oder nicht mit Ihren weiteren Angaben übereinstimmt, übermitteln wir die von Ihnen angegebene Adresse zur Überprüfung und Verifizierung an die SCHUFA. Auch findet die Konsultation von und der Datenaustausch mit Auskunfteien (SCHUFA, ICD) zur Ermittlung von Bonitäts- bzw. Ausfallrisiken statt (siehe 2.2). Ferner übermitteln wir Ihre Daten zu Zwecken der Betrugsprävention und Geldwäschebekämpfung an SEON (siehe 2.5.4).
Zur Überprüfung und Verifizierung Ihrer Angaben zum Zweck der Identifizierung übermitteln wir Ihre personenbezogenen Daten an die IDnow GmbH, Auenstr. 100, 80469 München, welche sie in unserem Auftrag verarbeitet. Sofern Sie das POSTIDENT-Verfahren wählen, verarbeitet die Deutsche Post AG, Charles-de-Gaulle-Straße 20, 53113 Bonn, Ihre personenbezogenen Daten zum Zwecke der Identifizierung in unserem Auftrag.
Zur Abwicklung des Antragsprozesses bei einer Beantragung in einer ADAC Filiale übersenden wir insbesondere die Antragsformulare mit Ihren personenbezogenen Daten an GKS,TAS und ja-dialog. Wir haben mit GKS, mit TAS und mit ja-dialog Vereinbarungen über eine Auftragsverarbeitung nach Art. 28 DSGVO geschlossen. GKS, TAS und ja-dialog unterstützen uns auch bei der Umsetzung zusätzlicher Leistungen (siehe unter 2.3.), beim Customer Support und bei der Kontaktaufnahme zu Marketingzwecken. Bei der Umsetzung von Rabatt- und Bonus-Programmen (siehe unter 2.3.2) unterstützt uns außerdem exceet, als Auftragsverarbeiter i.S.d. Art. 28 DSGVO.
Daneben übermitteln wir personenbezogene Daten an andere Verpflichtete nach dem Geldwäschesetz, wenn diese Datenverarbeitung zur Erfüllung der geldwäscherechtlichen Pflichten der empfangenden Verpflichteten erforderlich ist.
Wir speichern Ihre personenbezogenen Daten, solange es für die Erfüllung unserer vertraglichen und gesetzlichen Pflichten erforderlich ist. Sind die Daten für die Erfüllung dieser Zwecke nicht mehr erforderlich, werden sie regelmäßig gelöscht. Dies gilt nicht, wenn der Löschung rechtliche oder regulatorische Aufbewahrungsfristen gegenüberstehen: Zu nennen sind insbesondere das Handelsgesetzbuch, die Abgabenordnung, das Kreditwesengesetz, das Geldwäschegesetz und das Wertpapierhandelsgesetz. Die dort vorgegebenen Fristen zur Aufbewahrung bzw. Dokumentation betragen zwei bis zehn Jahre. Zudem speichern wir Daten auch zur Erhaltung von Beweismitteln im Rahmen der Verjährungsvorschriften. Nach den §§ 195 ff. des Bürgerlichen Gesetzbuches (BGB) können diese Verjährungsfristen bis zu 30 Jahre betragen, wobei die regelmäßige Verjährungsfrist drei Jahre beträgt.
Die wichtigsten Aufbewahrungsfristen betreffen die Dokumente im Zusammenhang mit der Kontoeröffnung (5 Jahre; die Aufbewahrungsfrist beginnt am Ende des Kalenderjahres, in dem die Geschäftsbeziehung endet) und die Transaktionsdaten (10 Jahre; die Aufbewahrungsfrist beginnt an dem Tag, an dem die Daten erstellt wurden).
Darüber hinaus zeichnen wir Gespräche zu Marketingzwecken oder zur Qualitätskontrolle auf, sofern Sie uns zuvor Ihre ausdrückliche Einwilligung erteilt haben (Art. 6 Abs. 1 lit. a DSGVO). Wir bewahren derartige Aufzeichnungen für 90 Tage auf.
Wir übermitteln Ihre Daten in Länder außerhalb der EU bzw. des EWR (sogenannte Drittländer) nur, soweit dies zur Ausführung Ihrer Aufträge (z.B. Zahlungs- und Wertpapieraufträge) erforderlich ist oder soweit eine gesetzliche Verpflichtung besteht (z.B. steuerrechtliche Meldepflichten), Sie uns eine Einwilligung erteilt haben, im Rahmen einer Auftragsverarbeitung und sofern ein angemessenes Datenschutzniveau gewährleistet ist. Auch wenn Empfänger innerhalb der EU bzw. des EWR ansässig sind, kann es vorkommen, dass der Empfänger personenbezogene Daten ggf. an weitere Empfänger in einem Drittland weiterübermittelt. Eine Übermittlung von personenbezogenen Daten in Drittländer findet in jedem Fall nur statt, wenn die Voraussetzungen der Art. 44 ff. DSGVO eingehalten sind. Ein Drittland gilt als unsicher, wenn die EU-Kommission für diesen Staat keinen Angemessenheitsbeschluss nach Art. 45 Abs. 1 DSGVO erlassen hat, in dem bestätigt wird, dass in dem Land ein angemessener Schutz für personenbezogene Daten besteht.
Hinweis: Seit dem 10. Juli 2023 gilt für die Übermittlung personenbezogener Daten in die USA das "EU-US Data Privacy Framework", das die Europäische Kommission durch einen sog. Angemessenheitsbeschluss verabschiedet hat. Danach besteht für personenbezogene Daten, die aus der EU an ein unter dem EU-US Data Privacy Framework zertifiziertes Unternehmen in den USA übermittelt werden, ein angemessenes Schutzniveau. Auch Datentransfers an nicht zertifizierte US-Unternehmen sind bei Einhaltung bestimmter Sicherheitsmaßnahmen grundsätzlich möglich, allerdings ist dort nicht das gleiche Datenschutzniveau gewährleistet, wie in der EU. Unsere US-Dienstleister Zendesk, Inc. und Braze, Inc. sind unter dem EU-US Data Privacy Framework zertifiziert.
Wir übermitteln Ihre personenbezogenen Daten in unsichere Drittländer nur, wenn durch den Empfänger ausreichend Garantien nach Art. 46 DSGVO für den Schutz der personenbezogenen Daten geboten werden, Sie in die Übermittlung gemäß Art. 49 Abs. 1 lit. a DSGVO eingewilligt haben, oder die Übermittlung erforderlich für die Erfüllung vertraglicher Verpflichtungen zwischen Ihnen und uns oder Dritter ist. Garantien nach Art. 46 DSGVO können die von der EU-Kommission verabschiedeten Standarddatenschutzklauseln (Art. 46 Abs. 2 lit. c DSGVO) sein, die Sie auf Wunsch bei uns anfordern können. Zusätzlich zu der Vereinbarung von Standardvertragsklauseln prüfen wir im Falle der Datenübermittlung in ein Drittland ohne angemessenes Datenschutzniveau, welche weiteren Maßnahmen zum Schutz der personenbezogenen Daten wir anwenden können, beispielsweise ob wir Daten verschlüsseln oder pseudonymisieren können.
Wir nutzen in Einzelfällen eine automatisierte Entscheidungsfindung nach Art. 22 DSGVO zur Herbeiführung einer Entscheidung über die Begründung und Durchführung der Geschäftsbeziehung. Sollte dies dazu führen, dass Sie eine negative rechtliche Folge trifft, werden wir Sie über die automatisierte Entscheidungsfindung informieren und es Ihnen ermöglichen, die automatisierte Entscheidung anzufechten, Ihren Standpunkt gesondert darzulegen und eine Entscheidung durch einen Sachbearbeiter zu erwirken. Wir erläutern Ihnen in diesem Zuge gerne auch die wesentlichen Gründe für die Entscheidung und stellen Ihnen konkrete Informationen zur Datenbasis und den Entscheidungsfaktoren sowie den Kriterien für die Einzelentscheidung zur Verfügung. Sie können sich dafür mit uns unter privacy@solarisgroup.com in Verbindung setzen.
Wir verarbeiten Ihre Daten teilweise automatisiert mit dem Ziel, bestimmte persönliche Aspekte zu bewerten (Profiling). Wir setzen Profiling beispielsweise in folgenden Fällen ein: Auf Grund gesetzlicher und regulatorischer Vorgaben sind wir zur Bekämpfung von Geldwäsche, Terrorismusfinanzierung und vermögensgefährdenden Straftaten verpflichtet. Dabei werden auch Datenauswertungen (u. a. im Zahlungsverkehr) vorgenommen. Diese Maßnahmen dienen zugleich auch Ihrem Schutz.
Im Rahmen der Beurteilung Ihrer Kreditwürdigkeit nutzen wir das Scoring bzw. Rating. Dabei wird die Wahrscheinlichkeit berechnet, mit der ein Kunde seinen Zahlungsverpflichtungen vertragsgemäß nachkommen wird. In die Berechnung können beispielsweise Einkommensverhältnisse, Ausgaben, bestehende Verbindlichkeiten, Anschrift, Beruf, Arbeitgeber, Beschäftigungsdauer, Zahlungsdauer (z.B. Kontoumsätze, Salden), Erfahrungen aus der bisherigen Geschäftsbeziehung, vertragsgemäße Rückzahlung früherer Kredite sowie Informationen von Kreditauskunfteien einfließen. Bei Firmenkunden fließen zusätzlich weitere Daten ein, wie Branche, Jahresergebnisse sowie Vermögensverhältnisse. Das Scoring und das Rating beruhen beide auf mathematisch-statistisch anerkannten und bewährten Verfahren. Die errechneten Scorewerte und Bonitätsnoten unterstützen uns bei der Entscheidungsfindung und gehen in das laufende Risikomanagement mit ein.
Soweit die automatisierte Entscheidungsfindung nicht für den Abschluss oder die Erfüllung des Vertrags mit Ihnen erforderlich (Art. 22 Abs. 2 lit. a DSGVO) oder aufgrund von Rechtsvorschriften zulässig (Art. 22 Abs. 2 lit. b DSGVO) ist, holen wir Ihre Einwilligung ein (Art. 22 Abs. 2 lit. c DSGVO). Dies ist etwa bei der automatisierten Entscheidung über die Anpassung Ihres Kreditrahmens während des laufenden Vertragsverhältnisses oder über das Angebot zusätzlicher Services und Produkte der Fall.
Als betroffene Person haben Sie alle in Art. 12 – Art. 23 DSGVO festgelegten Rechte in Bezug auf die Verarbeitung Ihrer personenbezogenen Daten. Diese sind insbesondere:
· Recht auf Auskunft (Art. 15 DSGVO): Sie haben insbesondere das Recht, von uns eine Bestätigung darüber zu verlangen, ob wir Sie betreffende personenbezogene Daten verarbeiten. Ist dies der Fall, haben Sie außerdem ein Recht auf Auskunft über diese personenbezogenen Daten und auf die in Art. 15 Abs. 1 DSGVO aufgeführten Informationen.
· Recht auf Berichtigung (Art. 16 DSGVO): Sie haben insbesondere das Recht, von uns unverzüglich die Berichtigung Sie betreffender unrichtiger personenbezogener Daten sowie die Vervollständigung unvollständiger personenbezogener Daten zu verlangen.
· Recht auf Löschung („Recht auf Vergessenwerden“) (Art. 17 DSGVO): Sie haben das Recht, unter den Voraussetzungen des Art. 16 DSGVO, die Sie betreffenden personenbezogenen Daten unverzüglich von uns löschen zu lassen.
· Recht auf Einschränkung der Verarbeitung (Art. 18 DSGVO): Sie haben insbesondere das Recht, die Einschränkung der Nutzung Ihrer personenbezogenen Daten zu verlangen, etwa bei einer unrechtmäßigen Datenverarbeitung.
· Recht auf Datenübertragbarkeit (Art. 20 DSGVO): Sie haben grundsätzlich das Recht, die Sie betreffenden personenbezogenen Daten, die sie uns bereitgestellt haben, in einem strukturierten, gängigen und maschinenlesbaren Format zu erhalten, und diese Daten einem anderen Verantwortlichen ohne Behinderung durch uns zu übermitteln.
· Recht auf Widerspruch (Art. 21 DSGVO): Sie haben insbesondere das Recht aus Gründen, die sich aus Ihrer besonderen Situation ergeben, jederzeit gegen die Verarbeitung Sie betreffender personenbezogener Daten, die auf Grund von Art. 6 Abs. 1 lit. e der DSGVO und Art. 6 Abs. 1 lit. f DSGVO erfolgt, Widerspruch einzulegen; dies gilt auch für ein auf diese Bestimmungen gestütztes Profiling. Legen Sie Widerspruch ein, werden wir Ihre personenbezogenen Daten nicht mehr verarbeiten, es sei denn, wir können zwingende schutzwürdige Gründe für die Verarbeitung nachweisen, die Ihre Interessen, Rechte und Freiheiten überwiegen, oder die Verarbeitung dient der Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen. Sie haben ferner grundsätzlich das Recht, gegen die Verarbeitung Ihrer personenbezogenen Daten zu Zwecken der Direktwerbung Widerspruch einzulegen.
· Recht auf Widerruf von Einwilligungen (Art. 7 Abs. 3 DSGVO): Soweit die Verarbeitung auf Art. 6 Abs. 1 lit. a oder Art. 9 Abs. 2 lit. a beruht, haben Sie das Recht, die entsprechende Einwilligung jederzeit zu widerrufen. Dadurch wird die Rechtmäßigkeit der aufgrund der Einwilligung bis zum Widerruf erfolgten Verarbeitung nicht berührt.
· Recht auf Beschwerde bei der Aufsichtsbehörde (Art. 77 DSGVO): Sie das insbesondere das Recht, sich bei einer Aufsichtsbehörde über die stattfindende Datenverarbeitung zu beschweren.
Zur Ausübung Ihrer Rechte können Sie sich unter den in Abschnitt 1 genannten Kontaktinformationen jederzeit an uns wenden.
Diese Datenschutzhinweise haben den Stand 09. September 2024.
Aufgrund technischer Weiterentwicklung und/oder aufgrund geänderter gesetzlicher und/oder behördlicher Vorgaben kann es notwendig werden, diese Datenschutzhinweise anzupassen.