Datenschutz

Datenschutzgrundsätze der ProCredit Gruppe

Das Betreiben von Bankgeschäften im digitalen Zeitalter eröffnet der ProCredit Gruppe und unserer Kundschaft bedeutende Chancen und Möglichkeiten, stellt uns aber gleichzeitig auch vor große Herausforderungen in Bezug auf Daten-, Informations- und Zahlungssicherheit. Die ProCredit Gruppe ist bestrebt, in digitales Banking zu investieren, um ihren Kund*innen eine breite Palette an innovativen Servicekanälen rund um benutzungsfreundliches Online-Banking anbieten zu können. Gleichzeitig bekennt sich die Gruppe zu ihrem langfristigen, kund*innenorientierten und verantwortungsbewussten Ansatz in Bezug auf das Betreiben von Bankgeschäften.

Deshalb legen wir großen Wert darauf, dass die Sicherheit der Daten unserer Kund*innen – sowohl in unseren Systemen als auch im täglichen Umgang unserer Mitarbeiter*innen mit diesen persönlichen Informationen – gewährleistet ist. Dies wird durch gruppenweite Richtlinien zu IT-Infrastruktur, Betriebskontinuität und Informationssicherheit, einschließlich Datensicherheit, sichergestellt. Diese Richtlinien befinden sich im Einklang mit EU- und deutschen Vorschriften sowie mit den branchenüblichen Best Practices. In diesem Sinne wenden wir die hohen Datenschutzstandards sowohl im Hinblick auf die Professionalität unserer Mitarbeiter*innen als auch auf die Integrität unserer IT-Systeme an. Der Schutz und die Sicherheit der persönlichen Daten unserer Kundschaft ist für die Gruppe von besonderer Bedeutung.

Der Umgang mit persönlichen und vertraulichen Informationen ist ein zentraler Bestandteil des ProCredit Verhaltenskodex, und alle unsere Mitarbeiter*innen erhalten regelmäßig Schulungen zum Thema Risiken und Maßnahmen zur Sicherstellung von Datensicherheit und Datenschutz.

Die ProCredit Gruppe verpflichtet sich zur Einhaltung der geltenden Datenschutzvorschriften. Sie respektiert die Privatsphäre ihrer Kund*innen und ihrer Mitarbeiter*innen. Unsere für die Gruppenaufsicht zuständige Aufsichtsbehörde, die Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin), legt ebenfalls großen Wert auf die Einhaltung der Datenschutzbestimmungen. Das Thema Datenschutz bildet einen Schwerpunkt unseres gruppenweit etablierten Compliance-Systems.

 

 

Datenschutz auf Gruppenebene

Die ProCredit Banken verarbeiten hauptsächlich die für das Betreiben von Bankgeschäften benötigten Kund*innendaten sowie Daten der eigenen Mitarbeiter*innen.

Alle ProCredit Tochtergesellschaften wenden die höchsten Standards der Informationssicherheit an. Die ProCredit „Group Information Security Policy“ enthält die folgenden allgemeinen Datenschutzgrundsätze, die von jeder ProCredit Institution befolgt werden müssen:

 

 

Grundsätze des Datenschutzes

Personenbezogene Daten müssen durch geeignete technische und organisatorische Maßnahmen geschützt und nach den folgenden weitreichenden Grundsätzen verarbeitet werden:

a) auf rechtmäßige Weise, nach Treu und Glauben und in einer für die betroffene Person nachvollziehbaren Weise („Rechtmäßigkeit, Verarbeitung nach Treu und Glauben, Transparenz“);

b) für festgelegte, eindeutige und legitime Zwecke erhoben werden und dürfen nicht in einer mit diesen Zwecken nicht zu vereinbarenden Weise weiterverarbeitet werden; eine Weiterverarbeitung für im öffentlichen Interesse liegende Archivzwecke, für wissenschaftliche oder historische Forschungszwecke oder für statistische Zwecke gilt nicht als unvereinbar mit den ursprünglichen Zwecken („Zweckbindung“);

c) dem Zweck angemessen und erheblich sowie auf das für die Zwecke der Verarbeitung notwendige Maß beschränkt sein („Datenminimierung“);

d) sachlich richtig und erforderlichenfalls auf dem neuesten Stand sein; es sind alle angemessenen Maßnahmen zu treffen, damit personenbezogene Daten, die im Hinblick auf die Zwecke ihrer Verarbeitung unrichtig sind, unverzüglich gelöscht oder berichtigt werden („Richtigkeit“);

e) in einer Form gespeichert werden, die die Identifizierung der betroffenen Personen nur so lange ermöglicht, wie es für die Zwecke, für die sie verarbeitet werden, erforderlich ist; personenbezogene Daten dürfen länger gespeichert werden, soweit die personenbezogenen Daten vorbehaltlich der Durchführung geeigneter technischer und organisatorischer Maßnahmen, die zum Schutz der Rechte und Freiheiten der betroffenen Person erforderlich sind, ausschließlich für im öffentlichen Interesse liegende Archivzwecke oder für wissenschaftliche und historische Forschungszwecke oder für statistische Zwecke verarbeitet werden („Speicherbegrenzung“);

f) in einer Weise verarbeitet werden, die eine angemessene Sicherheit der personenbezogenen Daten gewährleistet, einschließlich Schutz vor unbefugter oder unrechtmäßiger Verarbeitung und vor unbeabsichtigtem Verlust, unbeabsichtigter Zerstörung oder unbeabsichtigter Schädigung durch geeignete technische und organisatorische Maßnahmen („Integrität und Vertraulichkeit“).

Zusätzlich zu den gruppenweit geltenden Richtlinien und internationalen Best Practices sorgen alle ProCredit Banken für die Einhaltung der lokal geltenden Gesetze bezüglich des Datenschutzes und in Hinblick auf das Bankgeheimnis. Die Einhaltung der Gruppenrichtlinien wird regelmäßig überprüft, sowohl intern als auch extern durch renommierte Wirtschaftsprüfungsgesellschaften.
Die Quipu GmbH mit Sitz in Frankfurt am Main, Bundesrepublik Deutschland („Quipu“), ist Teil der ProCredit Gruppe und stellt maßgeschneiderte IT-Dienstleistungen zur Verfügung. Als IT-Dienstleister von ProCredit ist Quipu in der Lage, schnell auf IT-Herausforderungen zu reagieren und bietet den ProCredit Banken einheitliche Lösungen, die die Zentralisierung vieler Abläufe, aber auch die Vereinheitlichung und Anwendbarkeit von gruppenweiten Richtlinien und Standards im Hinblick auf die Informationssicherheit ermöglichen. Quipu unterstützt die Gruppe bei der Umsetzung hoher IT-Sicherheitsstandards einschließlich Infrastrukturstandards, Cyber Vulnerability Testing sowie Zugangs- und Sicherheitsmanagement. Alle Ereignisse und Beschwerden im Zusammenhang mit der IT-Sicherheit und dem Datenschutz werden streng überwacht, und ggf. werden erforderliche Schritte eingeleitet.
Das Quipu Processing Centre ist für die Abwickung von Kartenzahlungen für die Gruppe verantwortlich und ist gemäß den etablierten Standards für die Sicherheit von Kartenzahlungen, Qualitätsmanagement und IT-Servicemanagement zertifiziert (z.B.: ISO 20000, ISO 9001, PCI-DSS, PCI CPP). Es wird regelmäßig auf die Einhaltung dieser Standards, wie sie von Visa und MasterCard vorgeschrieben werden, überprüft. Im Jahr 2017 erhielt Quipu die ISO 27001-Zertifizierung für das Informationssicherheitsmanagement ihres Processing Centres und ihrer Cloud Services. Diese Zertifizierungen belegen, dass die Kartentransaktionen unserer Kund*innen mit einem Höchstmaß an Sicherheit ausgeführt werden.

 

 

Datenschutz auf ProCredit Holding-Ebene

Die ProCredit Holding (“PCH”) und ihre in der EU ansässigen Tochtergesellschaften haben die neuen strengen Anforderungen an den Schutz personenbezogener Daten durch die seit dem 25. Mai 2018 geltende Europäische Datenschutzgrundverordnung (“DSGVO”) umgesetzt.

PCH hat einen Datenschutzstandard erstellt, der für alle Datenverarbeitungsprozesse auf Holdingebene gilt. Er beschreibt die rechtlichen Rahmenbedingungen für die Datenverarbeitung im Hinblick auf rechtliche Grundlagen und zu beachtende Grundsätze. PCH hat eine Datenschutzbeauftragte ernannt, die die Einhaltung der geltenden Datenschutzbestimmungen überwacht. Das bei PCH eingerichtete „Data Breach Reporting Committee“ befasst sich mit allen Fällen von gemeldeten Datenschutzverstößen. PCH hält seine Mitarbeiter*innen über Datenschutzangelegenheiten unterrichtet und führt regelmäßig Schulungen durch, um eine erhöhte Aufmerksamkeit der Mitarbeiter *innen für die Bedeutung des Datenschutzes zu gewährleisten. Die Mitarbeiter*innen sind auf das Datengeheimnis verpflichtet.

Bei der Einbindung von externen Dienstleister*innen in die Datenverarbeitung stellt PCH sicher, dass die jeweiligen Auftragsverarbeitungsverträge im Einklang mit Artikel 28 der DS-GVO stehen.

PCH führt ein Verzeichnis von Verarbeitungstätigkeiten, das alle Datenverarbeitungsvorgänge enthält. Hierbei handelt es sich in der Hauptsache um die Verarbeitung von Personaldaten und in begrenztem Umfang sowie für streng aufsichtsrechtliche Zwecke auch die Verarbeitung von Kund*innendaten, die von den Tochtergesellschaften der Holding übermittelt werden.

PCH hat Verfahren zur unverzüglichen Bearbeitung von Ersuchen der betroffenen Personen um Auskunft, Berichtigung, Löschung und Sperrung von Daten sowie zur Meldung von Datenschutzverletzungen an die Aufsichtsbehörde und zur eventuellen Benachrichtigung der betroffenen Personen implementiert. PCH wird auf Anfragen der Aufsichtsbehörden umgehend reagieren.

PCH hat angemessene technische und organisatorische Maßnahmen getroffen, um die von ihr verwalteten personenbezogenen Daten vor unbefugter Verarbeitung zu schützen.

Bei Fragen oder Anregungen erreichen Sie die Datenschutzbeauftragte der PCH wie folgt:
per Email unter pch.datenschutz@procredit-group.com oder telefonisch unter 069 95 14 370.

Unsere Datenschutzerklärung finden Sie hier.

 

Der Anbieter dieser Website verwendet Dienste der etracker GmbH aus Hamburg, Deutschland (www.etracker.com) zur Analyse von Nutzungsdaten. etracker verwendet standardmäßig keine Cookies.

Die mit etracker erzeugten Daten werden im Auftrag des Anbieters dieser Website von etracker ausschließlich in Deutschland verarbeitet und gespeichert und unterliegen damit den strengen deutschen und europäischen Datenschutzgesetzen und -standards. etracker wurde diesbezüglich unabhängig geprüft, zertifiziert und mit dem Datenschutz-Gütesiegel ePrivacyseal ausgezeichnet.

Die Datenverarbeitung erfolgt auf Basis der gesetzlichen Bestimmungen des Art. 6 Abs.1 lit. f (berechtigtes Interesse) der Datenschutzgrundverordnung (DSGVO). Unser Anliegen im Sinne der DSGVO (berechtigtes Interesse) ist die Optimierung unseres Online-Angebotes und unseres Webauftritts. Da uns die Privatsphäre unserer Besucher*innen wichtig ist, werden die Daten, die möglicherweise einen Bezug zu einer einzelnen Person zulassen, wie die IP-Adresse, Anmelde- oder Gerätekennungen, frühestmöglich anonymisiert oder pseudonymisiert. Eine andere Verwendung, Zusammenführung mit anderen Daten oder eine Weitergabe an Dritte erfolgt nicht.

Sie können der vorbeschriebenen Datenverarbeitung jederzeit widersprechen.

Weitere Informationen zum Datenschutz bei etracker finden Sie hier.