Nutzung und Verwaltung der Apps „Raiffeisen-App“, „Raiffeisen-ID“ und „ROBi Junior“
Wir nehmen den Schutz Ihrer personenbezogenen Daten sehr ernst und wenden in unserer Tätigkeit alle erforderlichen Maßnahmen an, um diesen Schutz im Sinne der Datenschutz-Grundverordnung und der nationalen Gesetzgebung zu gewährleisten.
Wie von den Bestimmungen zum Datenschutz vorgesehen, informieren wir Sie hiermit über die Verarbeitung Ihrer personenbezogenen Daten, wie sie im Zuge der Benutzung und Verwaltung unserer Apps „Raiffeisen-App“ (auch ROBi App genannt), „Raiffeisen-ID“ und „ROBi Junior“ erfolgt.
Hinsichtlich der Datenverarbeitung im Zusammenhang mit dem Online-Onboarding bei unserer Bank verweisen wir sie auf die gesonderte, intergierende Informationsmitteilung.
1. ALLGEMEINE INFORMATIONEN
Allgemeine Informationen - Zweck der Verarbeitung, Rechtsgrundlage, Quelle der Daten, Art der verarbeiteten Daten
Gegenständliche Informationsmitteilung bezieht sich nur auf die Nutzung der Apps „Raiffeisen-App“, „Raiffeisen-ID“ und „ROBi Junior“. Falls Sie über Links auf andere Seiten oder Apps weitergeleitet werden, informieren Sie sich direkt auf der weitergeleiteten Seite/Dienst/App über den jeweiligen Umgang mit Ihren Daten. Die nachfolgenden Hinweise informieren Sie über Art, Umfang und Zweck der Erhebung sowie die Verarbeitung und Nutzung personenbezogener Daten im Zuge der Benutzung und Verwaltung der genannten Applikationen.
Rechtsgrundlage der Verarbeitung bildet das entsprechende Vertragsverhältnis mit der Bank bzw. Ihre Einwilligung zur Verarbeitung, welche im Zuge der Geschäftsverbindung mit der Bank erteilt wurde
Die Nutzung der Apps ist in der Regel ohne Angabe von personenbezogenen Daten möglich. Dennoch kann es vorkommen, dass für die Nutzung der Apps personenbezogene Daten erhoben werden. Im Zuge der Verwendung und Verwaltung der Apps betrifft dies möglicherweise u.a. folgende personenbezogenen Daten, welche direkt bei Ihnen erhoben werden:
- Identifizierungsdaten (z.B. Name, E-Mail-Adresse, Benutzerkennung der Bank, Mobilfunknummer usw.), welche freiwillig, auch bei Vertragsunterzeichnung, angegeben werden und für die Verwendung der verschiedenen App-Bereiche potentiell erforderlich sind;
- Daten zur App-Navigation, Adresse, die für die Internetverbindung verwendet wird (IP-Adresse) und ID-Code des verwendeten Hardware-Geräts (Device ID),- Interessen des Nutzers (z.B. über die App genutzte Inhalte und Dienstleistungen), auch mittels Cookies oder ähnlichen Technologien;
- Geburtsdatum für das Empfangen von Glückwünschen von Sumsi (ROBi Junior).
Gleichzeitig werden automatisch einige technische übermittelte Informationen erhoben, soweit diese bereitgestellt werden. Diese Daten können nicht direkt einer bestimmten Person zugeordnet werden und eine Zusammenführung dieser Daten mit anderen Datenquellen wird nicht vorgenommen. Hierbei geht es primär um technische Informationen, welcher der Bank dazu dienen die Funktionalität der Apps zu prüfen und weiterzuentwickeln.
Wir möchten unterstreichen, dass die Bank keinerlei Zugang zu biometrischen Daten des Betroffenen erhält. Sollte der Zugang zu den Apps bzw. im Zuge der Nutzung der Apps die Gesichtserkennung des Telefons oder die Abfrage von Fingerabdrücken erfolgen, so verbleiben diese Informationen auf dem Gerät und werden nicht an die Bank weitergegeben
- Die Software ist auf dem Mobiltelefon des Betroffenen installiert und ist nicht Teil der Prozesse der Bank.
Art der Datenverarbeitung und Sicherheitsmaßnahmen
Die Verarbeitung Ihrer personenbezogenen Daten erfolgt für die oben genannten Zwecke primär elektronisch und jedenfalls unter Einhaltung sämtlicher organisatorischer und technischer Sicherheitsmaßnahmen, sodass die Sicherheit und Vertraulichkeit der Daten gewährleistet ist. Wir gewährleisten im Sinne der gesetzlichen Bestimmungen, dass die Verarbeitung der personenbezogenen Daten unter Beachtung der Rechte, Grundfreiheiten und der Würde des Betroffenen, im Besonderen in Bezug auf die Privatsphäre, die persönliche Identität und das Recht auf Schutz der personenbezogenen Daten, vorgenommen wird. Die Verarbeitung erfolgt durch unsere Mitarbeiter, die von den personenbezogenen Daten Kenntnis erlangen, und hierfür explizit beauftragt sowie entsprechend instruiert wurden. Gleichzeitig erfolgt die Verarbeitung auch durch Dienstleister und Dritte, welche von uns entsprechend beauftragt wurden
Gemäß den gesetzlichen und statutarischen Vorgaben werden alle Informationen und Daten, betrieblicher und persönlicher Art, in deren Kenntnis wir in Ausübung unserer Tätigkeit gelangen, streng vertraulich behandelt und nur für jene Zwecke verwendet, für die sie zur Verfügung gestellt bzw. weitergegeben wurden.
Aufbewahrungszeit
Ihre personenbezogenen Daten werden nur solange aufbewahrt, wie es für die Erfüllung von angefragten Dienstleistungen notwendig bzw. vom Gesetz vorgesehen ist (z.B. steuerrechtliche, zivilrechtliche und aufsichtsrechtliche Bestimmungen). Im Zusammenhang mit der Speicherdauer wird darauf hingewiesen, dass die ordentliche Verjährung nach Art. 2946 ZGB zehn Jahre beträgt. Im Zuge der Verwendung von einigen Tools erfolgt eine Löschung von bestimmten technischen Daten/Informationen bereits nach 90 bzw. 180 Tagen. So speichert z.B. Google - Firebase Crashlytics die Crash-Stack-Traces und zugehörige Kennungen nur 90 Tage lang.
Weitergabe der Daten an Dritte
Aus der Verwendung der Apps gewonnenen Informationen und personenbezogenen Daten werden grundsätzlich nicht an Dritte weitergegeben. Die von den Benutzern gelieferten personenbezogenen Daten werden für die Ausführung des gewünschten Dienstes oder Leistung verwendet und nur dann Dritten mitgeteilt, wenn es für den Zweck der Verarbeitung erforderlich ist.
Im Normalfall erfolgt im Zuge der App-Verwendung auch kein Datenaustausch zwischen den Banken des RIPS Verbundes. Es wird hervorgehoben, dass die technische Unterstützung der Apps „Raiffeisen-App“ sowie „Raiffeisen-ID“ und „ROBi Junior“ durch die Gesellschaft Raiffeisen Information Service KonsGmbH (RIS KonsGmbH), mit Sitz in Bozen, Raiffeisenstr. 2, erbracht wird. Genannter IT-Dienstleister der Banken wurde zum Auftragsverarbeiter gem. Art 28 DSGVO ernannt. Gleichzeitig fungiert die Raiffeisen Information Service KonsGmbH auch als offizieller Storebetreiber.
Rechte der betroffenen Personen
Die Datenschutzbestimmungen erkennen der betroffenen Person bestimmte Rechte in Bezug auf die Verarbeitung seiner Daten zu.
Insbesondere kann der Betroffene von der Bank jederzeit Auskunft über das Vorhandensein von Daten, die seine Person betreffen, über die Herkunft dieser Daten und die Art und Weise der Verarbeitung verlangen. Der Betroffene hat außerdem das Recht, seine Daten aktualisieren, vervollständigen und berichtigen zu lassen, falls sie nicht korrekt oder vollständig sind, die Löschung der Daten zu begehren, eine Einschränkung von widerrechtlich verarbeiteten Daten zu verlangen und der Verarbeitung seiner Daten zu widersprechen. Auch müssen der betroffenen Person auf Anfrage ihre personenbezogenen Daten in verständlicher Weise zur Verfügung gestellt werden bzw. an Dritte übertragen werden. Wir weisen darauf hin, dass der Betroffene jederzeit das Recht hat, seine Zustimmung zur Verarbeitung der Daten abzuändern bzw. zu widerrufen. Für die Ausübung dieser Rechte kann sich der Betroffene direkt an die Bank als Verantwortlichen der Datenverarbeitung wenden. Bitte richten Sie etwaige Anfragen schriftlich an die Bank bzw. den Datenschutzbeauftragten (auch „DPO“ genannt), wie nachfolgend genauer beschrieben.
Beschwerden können direkt an die italienische Datenschutzbehörde „Garante della Protezione dei Dati Personali“ gerichtet werden.
Verantwortlicher und Datenschutzbeauftragter („DPO“)
Verantwortlicher der Datenverarbeitung ist Raiffeisenkasse Bozen, mit Sitz in 39100 Bozen, Tel. 0471 065 600, E-Mail: rk.bozen@raiffeisen.it bzw. jene Bank bei welcher Sie die Bankgeschäftsbeziehung unterhalten. Die Bank sieht die Rolle eines sogenannten Datenschutzbeauftragten, auch „DPO - Data Protection Officer“ genannt, vor. Dieser dient auch als Ansprechpartner der Betroffenen bei Fragen zu den Verarbeitungstätigkeiten von personenbezogenen Daten innerhalb der Bank. Zum Datenschutzbeauftragten der Bank wurde der Raiffeisenverband Südtirol Gen., mit Sitz in Bozen, Raiffeisenstraße 2, Tel. 0471 945111 ernannt. Dieser ist bei vorgenannter postalischen Adresse oder unter folgender E-Mail erreichbar: dpo.rk.bozen@raiffeisen.it
2. WEITERE TECHNISCHE INFORMATIONEN UND SICHERHEITSTECHNISCHE HINWEISE ZU DEN APPS
Server-Log-Files
Der Provider erhebt und speichert automatisch Informationen in so genannten Server-Log Files, die Ihre App automatisch an uns übermittelt. Dies sind:
- Gerätedaten und App-Version
- verwendetes Betriebssystem
- aufgerufene URLs
- Uhrzeit der Serveranfrage
- IP-Adresse
Diese Daten sind nicht bestimmten Personen zuordenbar. Eine Zusammenführung dieser Daten mit anderen Datenquellen wird nicht vorgenommen. Wir sind vom Gesetzgeber verpflichtet, diese Daten aus Gründen der Strafverfolgbarkeit für die vom Gesetzgeber vorgeschriebene Zeit aufzubewahren, und behalten uns vor, diese Daten nachträglich zu prüfen, wenn uns konkrete Anhaltspunkte für eine rechtswidrige Nutzung bekannt werden.
Sicherheitsmaßnahmen und TLS-Verschlüsselung
Die Verarbeitung Ihrer personenbezogenen Daten erfolgt unter Beachtung der Rechte, Grundfreiheiten und der Würde des Betroffenen für die oben genannten Zwecke elektronisch und jedenfalls unter Einhaltung sämtlicher organisatorischer und technischer Sicherheitsmaßnahmen. Die Verwendung Ihrer Daten unterliegt den Prinzipien der Korrektheit, Rechtmäßigkeit und Transparenz.
Diese App nutzt aus Gründen der Sicherheit und zum Schutz der Übertragung vertraulicher Inhalte eine TLS-Verschlüsselung. Wenn die TLS-Verschlüsselung aktiviert ist, können die Daten, die Sie an uns übermitteln, nicht von Dritten mitgelesen werden.
Anmeldeinformationen / Login (Raiffeisen-App, Raiffeisen-ID und ROBi Junior)
Im Zuge der Anmeldung mit der Raiffeisen-App, der App Raiffeisen-ID und ROBi Junior werden verschiedene Daten erfasst und gespeichert. Dies betrifft z.B. die sog. TraceID (eindeutige Installations-ID, welche beim ersten Starten der App erzeugt wird und mit Löschen der Appdaten zurückgesetzt werden kann), die App Version, die Version des Betriebssystems, den Hersteller und das Modell des Mobilgerätes. Diese Daten sind notwendig um über entsprechende Fehleranalysen ein (technisches) Funktionieren der Applikationen zu gewährleisten bzw. im Schadensfall nötige Beweismittel generieren zu können.
Verwendung von Google - Firebase Crashlytics (Raiffeisen-App, Raiffeisen-ID und ROBi Junior)
Sowohl Raiffeisen-App als auch Raiffeisen-ID und ROBi Junior nutzen die Funktionen von Google - Firebase Crashlytics. Dieses Instrument dient zur Erstellung von technischen Bewertungen und Analysen im Falle von Abstürzen und Malfunktionen der Apps. Konkret werden Berichte über Abstürze generiert, um diese mit einem Projekt zu verknüpfen und Benachrichtigungen an den Hersteller zu senden, entsprechende Auswertungen anzuzeigen und bei der Behebung von Fehlern zu helfen. Dadurch wird die technische Funktionalität der Apps verbessert. Hierbei werden verschiedene Informationen erhoben (z.B. Informationen zum Mobilgerät oder zum verwendeten Betriebssystem, Installations-UUIDs, um die Anzahl der von einem Absturz betroffenen Benutzer zu messen). In diesem Zusammenhang werden diese Informationen an Google - Firebase Crashlytics weitergegeben. Anbieter ist die Google Inc., Google Ireland Limited, mit Sitz in Gordon House, Barrow Street, Dublin 4. Mehr Informationen zum Umgang mit Nutzerdaten bei Google finden Sie in der entsprechenden Datenschutzerklärung: firebase.google.com/terms/crashlytics.
Verwendung von Google ML Kit für Firebase (Raiffeisen-App)
Hierbei handelt es sich um eine Bibliothek, welche verwendet wird, um Barcodes zu scannen (z.B. Bankerlagscheine/freccia oder PagoPA). Dies erfolgt lokal auf dem Gerät, wobei die erstellten Bilder nicht weitergeleitet werden.
Verwendung von Mapbox (Raiffeisen-App)
Mapbox ist ein open-source-Anbieter von benutzerdefinierten Online-Karten für Websites und App-Anwendungen. Genannter Anbieter stellt Kartenmaterial zur Verfügung, auf welches die Raiffeisen-App verweist und verlinkt, um bestimmte, vom Nutzer dediziert gewünschte Dienste, zu erfüllen. Über diesen Dienst können Bilder und Karten im Zusammenhang mit der Filialsuche bzw. ATM-Suche eingesehen werden. Hierbei werden Informationen wie z.B. die IP-Adresse oder der App Status abgefragt, wobei Raiffeisen keine Daten an Dritte weitergibt. Tatsächlich erfolgt die Datenweitergabe direkt vom Nutzer an Mapbox und jedenfalls freiwillig. Entsprechend wird auf die Informationen von Mapbox unter https://www.mapbox.com/legal/privacy bzw. www.mapbox.com/telemetry verwiesen.
Kontaktformulare/Feedback-Funktion (Raiffeisen-App)
Bei der Nutzung bestimmter Services (z.B. Kontaktformular bzw. Feedbackfunktion) werden auch andere personenbezogene Daten (beispielsweise Vorname, Nachname oder E-Mail-Adressen) erhoben. Dies erfolgt stets auf freiwilliger Basis und durch die Mitteilung seitens des Nutzers selbst. Die von Ihnen eingegebenen Daten werden ausschließlich für die Abwicklung der angefragten Dienstleistung verwendet. Ihre Angaben aus dem Feedbackformular werden zwecks Bearbeitung der Anfrage und für den Fall von Anschlussfragen bei uns gespeichert.
Geolokalisierung (Raiffeisen-App)
Im Zuge der Verwendung der Apps findet grundsätzlich keine Geolokalisierung des Benutzers statt.Die Raiffeisen-App bietet jedoch die Möglichkeit, die geografische Position des Nutzers festzustellen und ihm auf Wunsch die nächsten Filialen der Bank bzw. ATM-Schalter der Raiffeisenbanken anzuzeigen. Diese Funktion wir nur nach expliziter Autorisierung seitens des Benutzers aktiviert (Aktivierung der Ortung / Klick auf den entsprechenden Link/Menüpunkt in der App). Über das System wird dann die Position des Nutzers fortlaufend auf dem Display sichtbar sein wird. Es erfolgt keine Speicherung der Ortungsdaten. Der Nutzer kann jederzeit den Dienst unter den Einstellungen des eigenen Betriebssystems aktivieren oder deaktivieren.
Verwendung von Google – Firebase Cloud Messaging (Raiffeisen-ID)
Die App Raiffeisen-ID verwendet zwecks Versand von Push-Mitteilungen auf das Mobilgerät die Funktionen von Google - Firebase Cloud Messaging. Dieses Tool bestimmt mittels Abgleich der Installations-IDs jene Geräte an welche die Nachrichten gesendet werden sollen. Hierbei erfolgt eine Datenweitergabe, welche aber nicht personenbezogene Daten beinhaltet. Diese Informationen werden an Google – Firebase Cloud Messaging weitergegeben. Anbieter ist die Google Inc., Google Ireland Limited, mit Sitz in Gordon House, Barrow Street, Dublin 4. Mehr Informationen zum Umgang mit Nutzerdaten bei Google Analytics finden Sie in der unter firebase.google.com/terms.
Prüfung des Sicherheitszustandes des Smartphones mittels Software-Bibliothek von OneSpan (Raiffeisen-ID)
Im Zuge der Überprüfung des Sicherheitszustandes des Smartphones kommt eine Software- Bibliothek von OneSpan zum Einsatz. Diese Begutachtung erfolgt auch unter Berücksichtigung des Betriebssystems des Smartphones sowie der installierten Apps. Hierbei werden keine Detailinformationen oder Daten aus den Applikationen ausgelesen. Es findet keine Übertragung von Daten an Raiffeisen oder an Dritte statt. Die Bewertung des Sicherheitsstandards findet lokal statt, wobei lediglich das Ergebnis der Sicherheitsprüfung übertragen wird.