Hinweise zum Datenschutz für digitale Bankkarten*

Sowohl die girocard als auch die Mastercard und Visa Karte können als digitale Bankkarten zur Speicherung auf einem mobilen Endgerät (z. B. Smartphone) ausgegeben werden. Die digitalen Bankkarten können überall dort eingesetzt werden, wo auch die entsprechenden kontaktlosen Bankkarten akzeptiert werden.

1 Allgemeine Hinweise zum Datenschutz

Die Atruvia AG ist der Dienstleister für Informationstechnologie innerhalb der genossenschaftlichen FinanzGruppe. Weitere Informationen zu den Unternehmen finden Sie auf www.vr.de, sowie auf www.atruvia.de.

Die Atruvia AG (nachfolgend auch „Atruvia“ oder „wir“) ist Anbieterin dieser mobilen Applikation (nachfolgend „Digitales Bezahlen App“ oder „App“).

Für die digitale Bankkarte sind bestimmte personenbezogene Daten dauerhaft in einem zugriffgesicherten Bereich des mobilen Endgeräts hinterlegt. Wird die NFC-Schnittstelle des mobilen Endgerätes deaktiviert, ist auf diesem Weg kein Zugriff mehr auf die digitalen Bankkarten möglich. Grundsätzlich gelten für kontaktlose Transaktionen die Richtlinien des Bundesdatenschutzgesetzes und die EU Datenschutzgrundverordnung.

Im Folgenden umfasst der Begriff der Verarbeitung das Erheben, Erfassen, die Organisation, das Ordnen, die Speicherung, die Anpassung oder Veränderung, das Auslesen, das Abfragen, die Verwendung, die Offenlegung durch Übermittlung, Verbreitung oder eine andere Form der Bereitstellung, den Abgleich oder die Verknüpfung, die Einschränkung, das Löschen oder die Vernichtung personenbezogener Daten (Art. 4 Nr. 2 DSGVO).

2 Datenverarbeitung durch Nutzung der App

2.1 Ersteinrichtung der App

Für die Erstanmeldung in der App müssen Sie die nachfolgenden Angaben machen, die für die Nutzung notwendig sind:

  • Anmeldekennwort, welches Sie selbst wählen
  • Online-Banking-Zugangsdaten (Zugang zu Online-Banking / Alias und PIN/ Bankleitzahl (BLZ))

Die Verarbeitung dieser Daten insbesondere ihre Speicherung auf Ihrem Gerät ist notwendig, um Ihnen die uneingeschränkte Nutzung unserer App zur Verfügung stellen zu können, insbesondere um eine Verbindung zu Ihrer Bank herzustellen.

Das in der App vom Nutzer vergebene Anmeldepasswort wird nur lokal in der App verwendet und nicht Atruvia oder Dritte weitergegeben.

Nach Ersteinrichtung der App wird eine Verbindung mit den Servern der jeweils verwendeten Bank hergestellt, um Ihre Bankdaten (z.B. TAN-Verfahren) in der App anzuzeigen.

2.2 Fingerprint/Gesichtserkennung

Nach Vergabe eines Anmeldekennworts ist ein optionaler Login per Fingerprint oder Gesichtserkennung möglich. Hierbei handelt es sich um biometrische Daten, die gemäß Art. 9 Abs. 1 DSGVO zu den Kategorien besonders schützenswerter personenbezogener Daten zählen. Diese Daten werden durch das Betriebssystem Ihres Endgeräts nur lokal am Gerät gespeichert und nicht zur Verarbeitung an die Atruvia oder Dritte weitergegeben. Wird der optionale Login verwendet, erhält die App bei einem Anmeldeversuch lediglich die Information vom Betriebssystem Ihres Endgeräts, ob die Authentifizierung erfolgreich war oder nicht. Eine Verarbeitung personenbezogener Daten durch die App findet an dieser Stelle nicht statt. Der optionale Login kann jederzeit über die Systemeinstellungen der App eingerichtet oder abgestellt werden. Für weitere Informationen zur Verwendung ihres biometrischen Identifikationsmerkmals können Sie die Datenschutzhinweise des Anbieters des Betriebssystems Ihres Endgeräts einsehen.

2.3 Digitale girocard

Um das Bezahlen mit der digitalen girocard zu ermöglichen, werden folgende Daten elektronisch und unverschlüsselt in der App Digitales Bezahlen gespeichert:

  • Kartennummer,
  • Kurzbankleitzahl,
  • Kontonummer,
  • Gültigkeitsdatum,
  • Länderkennung und technische Daten zur Steuerung der Transaktion.

Über die NFC-Schnittstelle können diese Daten ausgelesen bzw. daraus abgeleitet werden. Diese Daten werden insbesondere verwendet, sobald sich das mobile Endgerät mit Ansprache der in der App Digitales Bezahlen hinterlegten digitalen girocard in unmittelbarer Nähe eines NFC-fähigen Gerätes befindet. Die Ansprache über die NFC-Schnittstelle kann erfolgen, wenn die digitale girocard in der App Digitales Bezahlen aktiviert wird oder wenn für die entsprechende girocard die sog. Standardkarte und das Display aktiviert wurden.

Zusätzlich werden in der App Digitales Bezahlen die folgenden Daten verarbeitet:

  • Name des Kontoinhabers,
  • Name des Karteninhabers,
  • IBAN
  • Transaktionsdaten

Diese Daten sind nicht über die NFC-Schnittstelle auslesbar.

2.4 Digitale Mastercard und Visa Karte

Um das Bezahlen mit der digitalen Mastercard und Visa Karte zu ermöglichen, werden folgende Daten elektronisch und unverschlüsselt in der App Digitales Bezahlen gespeichert:

  • eine pseudonymisierte Kartennummer (nicht die eigentliche Kartennummer der physischen Karte),
  • Laufzeitende der digitalen Karte,
  • Länderkennung des Herausgebers und technische Daten zur Steuerung der Transaktion.

Über die NFC-Schnittstelle können diese Daten ausgelesen bzw. daraus abgeleitet werden.

Diese Daten werden insbesondere verwendet, sobald sich das mobile Endgerät mit Ansprache der in der App Digitales Bezahlen hinterlegten digitalen Mastercard und Visa Karte in unmittelbarer Nähe eines NFC-fähigen Gerätes befindet. Die Ansprache über die NFC-Schnittstelle kann erfolgen, wenn die digitale Mastercard und Visa Karte in der App Digitales Bezahlen aktiviert wird oder wenn für die entsprechende Mastercard und Visa Karte die sog. Standardkarte und das Display aktiviert wurden.

Zusätzlich werden in der App Digitales Bezahlen die folgenden Daten gespeichert:

  • Name des Karteninhabers,
  • Transaktionsdaten

Diese Daten sind nicht über die NFC-Schnittstelle auslesbar.

2.5 Nutzung der Entsperrfunktion beim Bezahlen mit den digitalen Karten

Beim Bezahlen mit den digitalen Karten (girocard; Mastercard und VISA Karte) kann – soweit für POS von Ihnen aktiviert und mit der digitalen girocard im eCommerce jederzeit - auch die Entsperrfunktion Ihres mobilen Endgeräts (z. B. Smartphone) zur Verifizierung Ihrer Person genutzt werden. Dieser Vorgang wird als Consumer Device Cardholder Verification Method, kurz CDCVM, bezeichnet. Kunden bestätigen ihre Zahlungen im stationären Handel dann mittels Fingerabdruck, Gesichtserkennung (falls sicher), Gerätecode oder Muster – so wie sie es in ihrem Alltag vom Entsperren ihres Smartphones gewohnt sind.

Wichtig ist, dass im Rahmen der Nutzung der Entsperrfunktion zum Bezahlen weder biometrische noch wissensbasierte Daten an die Bank oder den Händler übermittelt werden. Die Verifizierung erfolgt ausschließlich in dem mobilen Endgerät. Die Bank erhält lediglich eine Information über die erfolgreiche oder nicht erfolgreiche Verifizierung Ihrer Person.

2.6 Gespeicherte Daten einsehen und löschen

Die in der App Digitales Bezahlen gespeicherten Daten können nach Aktivierung der entsprechenden Karte mit frei verfügbaren Apps auf einem NFC-fähigen Smartphone (nicht das Gerät, auf dem die Karte gespeichert ist) oder einem NFC-Kartenleser an einem PC ausgelesen werden. Mit der Deinstallation der Digitales Bezahlen App werden diese Daten gelöscht und damit auch die zugehörigen digitalen Bankkarten.

2.7 Benachrichtigung über Firebase Cloud Messaging

In der App Digitales Bezahlen wird Firebase Cloud Messaging zur Übertragung von Push-Benachrichtigungen verwendet. Das Firebase Cloud Messaging nutzt hierfür eine Funktion von Google Analytics. Es werden keine personenbezogenen Daten über diesen Zweck hinaus erhoben.

 

2.8. Zahlung mit der digitalen girocard im eCommerce unter giropay

Durch Zahlung mit der digitalen girocard im Online-Handel und mit der Hinterlegung der E-Mail-Adresse aus dem Online-Shop werden nachfolgende Daten zu diesem Zweck durch uns erhoben, auf unseren eigenen Servern gespeichert und nicht an Dritte weitergegeben.

  • Konto-/Kartendaten:
    • Zugang zu Online-Banking
    • IBAN
    • PAN
    • Kartentyp
    • Card Owner Name
    • Folgenummer
    • Gültigkeitsdatum
    • Kurzbankleitzahl
    • Kontonummer
    • Kartensperren
  • Profildaten:
    • E-Mail-Adresse
    • evtl. Merchant Ids
    • Profilbeschreibung
    • App/Profil-ID
    • Telefonnummer
  • technische Daten zur Steuerung der Transaktion (Device ID; Gerätehersteller; Gerätemodell; Gerät Rooted; Android Version API Level; (AppVersion Name&Code))

 

2.9 Datenanalyse-Funktionen

2.9.1 App-Tracking zu Analysezwecken
Sofern Sie uns Ihre Zustimmung hierzu erteilen, erheben wir die nachfolgend beschriebenen personenbezogenen Daten, die Rückschlüsse auf einen einzelnen Benutzer zulassen können, zu Zwecken der Verbesserung der Gewährleistung der Sicherheit und Stabilität der App. Diese Erhebung dieser Daten geschieht nur mit Ihrer ausdrücklichen Einwilligung gemäß § 25 Abs. 1 TTDSG in Verbindung mit Art. 6 Abs. 1 lit. a DSGVO. Ihre Einwilligung können Sie jederzeit mit Wirkung für die Zukunft in den App-Einstellungen widerrufen.

Die nachfolgenden Daten werden zu diesem Zweck durch uns erhoben und über Firebase Crashlytics von Google, Inc. Developers verarbeitet.

  • Anzahl der Nutzer und Sitzungen
  • Sitzungsdauer
  • Betriebssysteme
  • Gerätemodelle
  • Region
  • Erstmalige Starts
  • App-Ausführungen
  • App-Updates

Eine detaillierte Übersicht und weitere Informationen über die von Google Firebase erfassten Daten finden Sie unter: support.google.com/firebase/answer/6318039

2.10 Telefonzugriff

Die App Digitales Bezahlen benötigt Zugriff auf die Android Serial Number des Smartphones. Dieser Zugriff ist aus sicherheitstechnischen Gründen erforderlich, um die Erstellung von Kopien der App Digitales Bezahlen und deren missbräuchlichen Einsatz zu verhindern.

2.11 Zugriff auf Benachrichtigungen

Die App Digitales Bezahlen benötigt ab Android 13 Zugriff auf Push-Mitteilungen, um ihnen Benachrichtigungen anzeigen zu dürfen. Wir benachrichtigen Sie bei erfolgreicher Kommunikation zwischen Händlerterminal und Smartphone, sowie bei Kartenaktivierungen und -löschungen.

3 Ihre Rechte

3.1 Widerruf Ihrer Einwilligung

Sofern Sie uns eine Einwilligung für die Verarbeitung ihrer personenbezogenen Daten erteilt haben (Art. 6 Abs. 1 S. 1 lit. a) DSGVO), können Sie diese jederzeit widerrufen. Der Widerruf Ihrer Einwilligung wirkt für die Zukunft. Die Rechtmäßigkeit der Verarbeitung Ihrer personenbezogenen Daten bis zum Zeitpunkt des Widerrufs bleibt unberührt. Richten Sie Ihren Widerruf an den jeweiligen Datenschutzbeauftragten (siehe Kap. 4).

Sofern Sie Ihre Einwilligung widerrufen, verarbeiten wir Ihre in diesem Zusammenhang erhobenen personenbezogenen Daten zur Beantwortung Ihrer Anfrage. Die Verarbeitung Ihrer personenbezogenen Daten erfolgt auf Grundlage von Art. 6 Abs. 1 S. 1 lit. f) DSGVO.

3.2 Berechtigte Interessen an der Datenverarbeitung und Widerspruch

Soweit wir Ihre personenbezogenen Daten auf Grundlage unserer berechtigten Interessen (Art. 6 Abs. 1 S. 1 lit. f) DSGVO) verarbeiten, können Sie der Datenverarbeitung aus Gründen, die sich aus Ihrer besonderen Situation ergeben, jederzeit widersprechen.

3.3 Weitere Betroffenenrechte

1. Sie können jederzeit von uns nach Maßgabe der DSGVO verlangen, dass wir

  • Ihnen Auskunft über die Sie betreffenden personenbezogenen Daten, die wir verarbeiten, erteilen sowie Ihnen eine Kopie Ihrer personenbezogenen Daten bereitstellen (Art. 15 DSGVO),
  • personenbezogene Daten, die Sie betreffen und unrichtig sind, berichtigen (Art. 16 DSGVO),

2. Unter bestimmten Voraussetzungen haben Sie das Recht, von uns zu verlangen, dass wir

  • Ihre personenbezogenen Daten löschen (Art. 17 DSGVO),
  • die Verarbeitung Ihrer personenbezogenen Daten einschränken (Art. 18 DSGVO) und/ oder
  • Ihre personenbezogenen Daten an Sie herausgeben sowie auf Ihren Wunsch an einen anderen Verantwortlichen übermitteln (Art. 20 DSGVO).  

3.  Unbeschadet Ihrer Rechte nach Ziffer 7. können Sie sich jederzeit gemäß Art. 77 DSGVO bei einer Aufsichtsbehörde beschweren, sollten Sie der Ansicht sein, dass wir bei der Verarbeitung Sie betreffender personenbezogener Daten gegen datenschutzrechtliche Bestimmungen verstoßen. Diese wird sich im Anschluss mit Ihrer Beschwerde befassen.
Welche Datenschutzaufsichtsbehörde zuständig ist, richtig sich nach dem Ort Ihres gewöhnlichen Aufenthalts, ihres Arbeitsplatzes, des Orts des mutmaßlichen Verstoßes oder des Sitzes des Verantwortlichen. Eine Liste aller Aufsichtsbehörden sowie deren Kontaktdaten können Sie folgendem Link entnehmen: https://www.bfdi.bund.de/DE/Infothek/Anschriften_Links/anschriften_links-node.htmlh.

4 Datenschutzbeauftragter

4.1 Datenschutzbeauftragte Kartenprodukte

Zuständiger Datenschutzbeauftragter für die digitale girocard ist der Datenschutzbeauftragte des kartenausgebenden Instituts. Die Kontaktdaten finden sich unter dem Menüpunkt „Datenschutz“ auf der Website des jeweiligen kartenausgebenden Instituts.

Für die digitale Mastercard und Visa Karte ist zuständig: Datenschutzbeauftragter des Herausgebers der Karte:

Für Kunden der MLP Banking AG:

MLP Datenschutzbeauftragter, Alte Heerstraße 40, 69168 Wiesloch (E-Mail: Datenschutzbeauftragter@mlp.de)

Für Kunden aller anderen Institute:

Datenschutzbeauftragter DZ BANK AG Deutsche Zentral-Genossenschaftsbank

Frankfurt am Main (60265 Frankfurt am Main, Telefon +49 (0)69 7447 94101, Telefax +49 (0)69 7447 2197, E-Mail: datenschutz@dzbank.de).
 

4.2 Datenschutzbeauftragter der App "Digitales Bezahlen"

Verantwortlicher der App im Sinne von Art. 4 Nr. 7 DSGVO ist:

Ihre Bank.

Details zur Kontaktaufnahme entnehmen Sie bitte der Datenschutzerklärung und den Datenschutzhinweisen Ihrer Bank, die Ihnen auf deren Webseiten elektronisch bereitgestellt werden.

Datenschutzbeauftragter der Atruvia AG ist:

der Datenschutzbeauftragte Ihrer Bank:

Details zur Kontaktaufnahme entnehmen Sie bitte der Datenschutzerklärung und den Datenschutzhinweisen Ihrer Bank, die Ihnen auf deren Webseiten elektronisch bereitgestellt werden.

4 Änderung der Datenschutzerklärung

Wir behalten uns das Recht vor, die Datenschutzerklärung an die aktuellen rechtlichen Anforderungen sowie Änderungen unserer Leistungen anzupassen. Für Ihren Besuch gilt die jeweils aktuelle Datenschutzerklärung. Die aktualisierte Datenschutzerklärung gilt ab dem Zeitpunkt, in dem sie Ihnen bekanntgegeben wurde.

Stand: September 2022

* Digitale girocard (Debit), digitale Mastercard und Visa Karte (Debit und Kredit)