Datenschutz
Datenschutzgrundsätze der ProCredit Gruppe
Das Betreiben von Bankgeschäften im digitalen Zeitalter eröffnet der ProCredit Gruppe und unserer Kundschaft bedeutende Chancen und Möglichkeiten, stellt uns aber gleichzeitig auch vor große Herausforderungen in Bezug auf Daten-, Informations- und Zahlungssicherheit. Die ProCredit Gruppe ist bestrebt, in digitales Banking zu investieren, um ihren Kund*innen eine breite Palette an innovativen Servicekanälen rund um benutzungsfreundliches Online-Banking anbieten zu können. Gleichzeitig bekennt sich die Gruppe zu ihrem langfristigen, kund*innenorientierten und verantwortungsbewussten Ansatz in Bezug auf das Betreiben von Bankgeschäften.
Deshalb legen wir großen Wert darauf, dass die Sicherheit der Daten unserer Kund*innen – sowohl in unseren Systemen als auch im täglichen Umgang unserer Mitarbeiter*innen mit diesen persönlichen Informationen – gewährleistet ist. Dies wird durch gruppenweite Richtlinien zu IT-Infrastruktur, Betriebskontinuität und Informationssicherheit, einschließlich Datensicherheit, sichergestellt. Diese Richtlinien befinden sich im Einklang mit EU- und deutschen Vorschriften sowie mit den branchenüblichen Best Practices. In diesem Sinne wenden wir die hohen Datenschutzstandards sowohl im Hinblick auf die Professionalität unserer Mitarbeiter*innen als auch auf die Integrität unserer IT-Systeme an. Der Schutz und die Sicherheit der persönlichen Daten unserer Kundschaft ist für die Gruppe von besonderer Bedeutung.
Der Umgang mit persönlichen und vertraulichen Informationen ist ein zentraler Bestandteil des ProCredit Verhaltenskodex, und alle unsere Mitarbeiter*innen erhalten regelmäßig Schulungen zum Thema Risiken und Maßnahmen zur Sicherstellung von Datensicherheit und Datenschutz.
Die ProCredit Gruppe verpflichtet sich zur Einhaltung der geltenden Datenschutzvorschriften. Sie respektiert die Privatsphäre ihrer Kund*innen und ihrer Mitarbeiter*innen. Unsere für die Gruppenaufsicht zuständige Aufsichtsbehörde, die Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin), legt ebenfalls großen Wert auf die Einhaltung der Datenschutzbestimmungen. Das Thema Datenschutz bildet einen Schwerpunkt unseres gruppenweit etablierten Compliance-Systems.
Datenschutz auf Gruppenebene
Die ProCredit Banken verarbeiten hauptsächlich die für das Betreiben von Bankgeschäften benötigten Kund*innendaten sowie Daten der eigenen Mitarbeiter*innen.
Alle ProCredit Tochtergesellschaften wenden die höchsten Standards der Informationssicherheit an. Die ProCredit „Group Information Security Policy“ enthält die folgenden allgemeinen Datenschutzgrundsätze, die von jeder ProCredit Institution befolgt werden müssen:
Grundsätze des Datenschutzes
Personenbezogene Daten müssen durch geeignete technische und organisatorische Maßnahmen geschützt und nach den folgenden weitreichenden Grundsätzen verarbeitet werden:
1) Verbot mit Erlaubnisvorbehalt. Die Erhebung, Verarbeitung und Nutzung personenbezogener Daten ist nur in Übereinstimmung mit den lokalen Datenschutzgesetzen zulässig. Um personenbezogene Daten erheben, verarbeiten und nutzen zu können, ist in der Regel eine gesetzliche Erlaubnis oder Verpflichtung oder die Einwilligung der betroffenen Person erforderlich.
2) Erhebung von Daten direkt von der*dem Betroffenen. Personenbezogene Daten werden direkt bei der*dem Betroffenen erhoben, es sei denn, es besteht eine gesetzliche Erlaubnis oder Verpflichtung, die Daten bei Dritten zu erheben oder wenn die Erhebung direkt bei der betroffenen Person unverhältnismäßig viel Zeit und Aufwand erfordern würde.
3) Datensparsamkeit und Datenvermeidung. Personenbezogene Daten sind so zu erheben, zu verarbeiten und zu nutzen, und die Informationssysteme sind so zu gestalten, dass möglichst wenig personenbezogene Daten erhoben, verarbeitet und genutzt werden. Insbesondere müssen personenbezogene Daten so weit wie möglich und im Rahmen des zumutbaren Aufwandes im Hinblick auf das gewünschte Schutzniveau pseudonymisiert bzw. anonymisiert werden. Personenbezogene Daten werden gelöscht, sobald ihre Speicherung nicht mehr erforderlich oder gesetzlich vorgeschrieben ist.
4) Transparenz. Der betroffenen Person muss ersichtlich sein, welche ihrer personenbezogenen Daten gespeichert, verarbeitet oder gelöscht wurden und von wem und warum sie auf diese Weise behandelt wurden.
5) Zweckbindung. Personenbezogene Daten dürfen nur für einen bestimmten Zweck erhoben und verwendet werden, der vor der Erhebung festgelegt und idealerweise dokumentiert wurde. Für die Verwendung personenbezogener Daten zu einem anderen Zweck muss eine gesetzliche Erlaubnis oder Verpflichtung oder die Zustimmung der Betroffenen vorliegen.
6) Notwendigkeit. Personenbezogene Daten dürfen nur erhoben, verarbeitet und genutzt werden, soweit dies zur Erfüllung einer bestimmten Aufgabe erforderlich ist.
7) Verpflichtung zum Datengeheimnis. Die Mitarbeiter*innen sind auf das Datengeheimnis zu verpflichten. Die mit der Datenverarbeitung beauftragten Personen dürfen personenbezogene Daten nicht unbefugt erheben, verarbeiten oder nutzen (Vertraulichkeit). Diese Personen müssen sich bei Aufnahme ihrer Tätigkeit zur Wahrung der Vertraulichkeit verpflichten. Diese Verpflichtung gilt auch nach Beendigung ihrer Tätigkeit.
Zusätzlich zu den gruppenweit geltenden Richtlinien und internationalen Best Practices sorgen alle ProCredit Banken für die Einhaltung der lokal geltenden Gesetze bezüglich des Datenschutzes und in Hinblick auf das Bankgeheimnis. Die Einhaltung der Gruppenrichtlinien wird regelmäßig überprüft, sowohl intern als auch extern durch renommierte Wirtschaftsprüfungsgesellschaften.
Die Quipu GmbH mit Sitz in Frankfurt am Main, Bundesrepublik Deutschland („Quipu“), ist Teil der ProCredit Gruppe und stellt maßgeschneiderte IT-Dienstleistungen zur Verfügung. Als IT-Dienstleister von ProCredit ist Quipu in der Lage, schnell auf IT-Herausforderungen zu reagieren und bietet den ProCredit Banken einheitliche Lösungen, die die Zentralisierung vieler Abläufe, aber auch die Vereinheitlichung und Anwendbarkeit von gruppenweiten Richtlinien und Standards im Hinblick auf die Informationssicherheit ermöglichen. Quipu unterstützt die Gruppe bei der Umsetzung hoher IT-Sicherheitsstandards einschließlich Infrastrukturstandards, Cyber Vulnerability Testing sowie Zugangs- und Sicherheitsmanagement. Alle Ereignisse und Beschwerden im Zusammenhang mit der IT-Sicherheit und dem Datenschutz werden streng überwacht, und ggf. werden erforderliche Schritte eingeleitet.
Das Quipu Processing Centre ist für die Abwickung von Kartenzahlungen für die Gruppe verantwortlich und ist gemäß den etablierten Standards für die Sicherheit von Kartenzahlungen, Qualitätsmanagement und IT-Servicemanagement zertifiziert (z.B.: ISO 20000, ISO 9001, PCI-DSS, PCI CPP). Es wird regelmäßig auf die Einhaltung dieser Standards, wie sie von Visa und MasterCard vorgeschrieben werden, überprüft. Im Jahr 2017 erhielt Quipu die ISO 27001-Zertifizierung für das Informationssicherheitsmanagement ihres Processing Centres und ihrer Cloud Services. Diese Zertifizierungen belegen, dass die Kartentransaktionen unserer Kund*innen mit einem Höchstmaß an Sicherheit ausgeführt werden.
Datenschutz auf ProCredit Holding-Ebene
Die ProCredit Holding (“PCH”) und ihre in der EU ansässigen Tochtergesellschaften haben die neuen strengen Anforderungen an den Schutz personenbezogener Daten durch die ab dem 25. Mai 2018 geltende Europäische Datenschutzgrundverordnung (“DSGVO”) umgesetzt.
PCH hat einen Datenschutzstandard erstellt, der für alle Datenverarbeitungsprozesse auf Holdingebene gilt. Er beschreibt die rechtlichen Rahmenbedingungen für die Datenverarbeitung im Hinblick auf rechtliche Grundlagen und zu beachtende Grundsätze. PCH hat eine Datenschutzbeauftragte ernannt, die die Einhaltung der geltenden Datenschutzbestimmungen überwacht. Das bei PCH eingerichtete „Data Breach Reporting Committee“ befasst sich mit allen Fällen von gemeldeten Datenschutzverstößen. PCH hält seine Mitarbeiter*innen über Datenschutzangelegenheiten unterrichtet und führt regelmäßig Schulungen durch, um eine erhöhte Aufmerksamkeit der Mitarbeiter *innen für die Bedeutung des Datenschutzes zu gewährleisten. Die Mitarbeiter*innen sind auf das Datengeheimnis verpflichtet.
Bei der Einbindung von externen Dienstleister*innen in die Datenverarbeitung stellt PCH sicher, dass die jeweiligen Auftragsverarbeitungsverträge im Einklang mit Artikel 28 der DS-GVO stehen.
PCH führt ein Verzeichnis von Verarbeitungstätigkeiten, das alle Datenverarbeitungsvorgänge enthält. Hierbei handelt es sich in der Hauptsache um die Verarbeitung von Personaldaten und in begrenztem Umfang sowie für streng aufsichtsrechtliche Zwecke auch die Verarbeitung von Kund*innendaten, die von den Tochtergesellschaften der Holding übermittelt werden.
PCH hat Verfahren zur unverzüglichen Bearbeitung von Ersuchen der betroffenen Personen um Auskunft, Berichtigung, Löschung und Sperrung von Daten sowie zur Meldung von Datenschutzverletzungen an die Aufsichtsbehörde und zur eventuellen Benachrichtigung der betroffenen Personen implementiert. PCH wird auf Anfragen der Aufsichtsbehörden umgehend reagieren.
PCH hat angemessene technische und organisatorische Maßnahmen getroffen, um die von ihr verwalteten personenbezogenen Daten vor unbefugter Verarbeitung zu schützen.
Bei Fragen oder Anregungen erreichen Sie die Datenschutzbeauftragte der PCH wie folgt:
per Email unter pch.datenschutz@procredit-group.com oder telefonisch unter 069 95 14 370.
Unsere Datenschutzerklärung finden Sie hier.
Datenschutzhinweis zu etracker
Der Anbieter dieser Website verwendet Dienste der etracker GmbH aus Hamburg, Deutschland (www.etracker.com) zur Analyse von Nutzungsdaten. etracker verwendet standardmäßig keine Cookies.
Die mit etracker erzeugten Daten werden im Auftrag des Anbieters dieser Website von etracker ausschließlich in Deutschland verarbeitet und gespeichert und unterliegen damit den strengen deutschen und europäischen Datenschutzgesetzen und -standards. etracker wurde diesbezüglich unabhängig geprüft, zertifiziert und mit dem Datenschutz-Gütesiegel ePrivacyseal ausgezeichnet.
Die Datenverarbeitung erfolgt auf Basis der gesetzlichen Bestimmungen des Art. 6 Abs.1 lit. f (berechtigtes Interesse) der Datenschutzgrundverordnung (DSGVO). Unser Anliegen im Sinne der DSGVO (berechtigtes Interesse) ist die Optimierung unseres Online-Angebotes und unseres Webauftritts. Da uns die Privatsphäre unserer Besucher*innen wichtig ist, werden die Daten, die möglicherweise einen Bezug zu einer einzelnen Person zulassen, wie die IP-Adresse, Anmelde- oder Gerätekennungen, frühestmöglich anonymisiert oder pseudonymisiert. Eine andere Verwendung, Zusammenführung mit anderen Daten oder eine Weitergabe an Dritte erfolgt nicht.
Sie können der vorbeschriebenen Datenverarbeitung jederzeit widersprechen.
Weitere Informationen zum Datenschutz bei etracker finden Sie hier.