Informationen zum Datenschutz nach Art 13 und 14 DSGVO

Die nachstehenden Informationen geben Ihnen einen Überblick über die Verarbeitung Ihrer personenbezogenen Daten durch die Hypo Tirol Bank AG und Ihre diesbezüglichen Rechte. Der Inhalt und Umfang der Datenverarbeitung richtet sich maßgeblich nach den von Ihnen in Anspruch genommenen Produkten und Dienstleistungen.

INFO

1. Wer ist für die Datenverarbeitung verantwortlich und an wen kann ich mich wenden? 
Verantwortlich für die Datenverarbeitung ist die  

Hypo Tirol Bank AG  
(bzw im Falle eines Leasinggeschäfts die Hypo Tirol Leasing GmbH) 
Meraner Straße 8 
6020 Innsbruck 

 
Tel.: +43 (0) 50700 – 0 
E-Mail: service@hypotirol.com  
Die Datenschutzbeauftragte der Hypo Tirol Bank AG sowie aller konzernverbundenen Unternehmen ist  
Frau Mag. Rafaela Hosp, Hypo Tirol Bank AG, Meraner Straße 8,  
Tel.: +43 (0) 50700 – 2101, E-Mail: datenschutz@hypotirol.com 

2.    Welche Daten werden verarbeitet und aus welchen Quellen stammen diese Daten? 
Wir verarbeiten die personenbezogenen Daten, die wir im Rahmen der Geschäftsbeziehung von Ihnen erhalten. Zudem verarbeiten wir Daten, die wir von anderen verbundenen Unternehmen der Hypo Tirol Bank AG  sowie von Auskunfteien (zB CRIF GmbH), Schuldnerverzeichnissen (zB KSV1870 Holding AG) und aus öffentlich zugänglichen Quellen (z.B. Firmenbuch, Vereinsregister, Grundbuch, Medien) zulässigerweise erhalten haben und verarbeiten dürfen. 


Relevante personenbezogene Daten können in diesem Zusammenhang sein: Personalien (z.B. Vor- und Nachname, Geburtstag und -ort, Staatsangehörigkeit, etc.) sowie Kontaktdaten (z.B. Anschrift, E-Mail, Telefonnummer), Legitimationsdaten (z.B. Ausweisdaten) und Authentifikationsdaten (z.B. Unterschriftsprobe). Darüber hinaus können darunter auch Auftragsdaten (z.B. Zahlungsaufträge), Daten aus der Erfüllung unserer vertraglichen Verpflichtung (z.B. Umsatzdaten im Zahlungsverkehr), Informationen über Ihren Finanzstatus (z.B. Bonitätsdaten, Scoring- bzw Ratingdaten, etc.), Werbe- und Vertriebsdaten, Dokumentationsdaten (z.B. Beratungsprotokolle), Registerdaten, Bild- und Tondaten (z.B. Video- oder Telefonaufzeichnungen), Informationen aus Ihrem elektronischen Verkehr gegenüber der Bank (z.B. Apps, Cookies, etc.), Verarbeitungsergebnisse, die die Bank selbst generiert sowie Daten zur Erfüllung gesetzlicher und regulatorischer Anforderungen. 
 

3.    Wofür verarbeiten wir Ihre Daten (Zweck der Verarbeitung) und auf welcher Rechtsgrundlage? 
Wir verarbeiten Ihre personenbezogenen Daten im Einklang mit den Bestimmungen der EU-Datenschutz-Grundverordnung (DSGVO) sowie des österreichischen Datenschutzgesetzes. 
 

A. Zur Erfüllung von (vor)vertraglichen Pflichten  [Art 6 Abs 1 lit b DSGVO] 
Die Verarbeitung personenbezogener Daten (Art 4 Z 2 DSGVO) erfolgt zur Erbringung und Vermittlung von Bankgeschäften, Finanzdienstleistungen sowie Versicherungs-, Leasing- und Immobiliengeschäften, insbesondere zur Durchführung unserer Verträge mit Ihnen und der Ausführung Ihrer Aufträge sowie aller mit dem Betrieb und der Verwaltung eines Kredit- und Finanzdienstleistungsinstituts erforderlichen Tätigkeiten.  

Die Zwecke der Datenverarbeitung richten sich in erster Linie nach dem konkreten Produkt (z.B. Konto, Kredit, Bausparen, Wertpapiere, Einlagen, Vermittlung) und können unter anderem Bedarfsanalysen, Beratung, Vermögensverwaltung und -betreuung sowie die Durchführung von Transaktionen umfassen.  
Die konkreten Einzelheiten zum Zweck der Datenverarbeitung können Sie den jeweiligen Vertragsunterlagen und Geschäftsbedingungen entnehmen. 

B. Zur Erfüllung rechtlicher Verpflichtungen  [Art 6 Abs 1 lit c DSGVO] 
Eine Verarbeitung personenbezogener Daten kann zum Zweck der Erfüllung unterschiedlicher gesetzlicher Verpflichtungen (z.B. aus dem Bankwesengesetz, Finanzmarkt-Geldwäschegesetz, Wertpapieraufsichtsgesetz, Börsengesetz, etc.) sowie aufsichtsrechtlicher Vorgaben (z.B. der Europäischen Zentralbank, der Europäischen Bankenaufsicht, der Österreichischen Finanzmarktaufsicht, der Österreichischen Nationalbank etc.), welchen die Hypo Tirol Bank AG als österreichisches Kreditinstitut unterliegt, erforderlich sein. Beispiele für solche Fälle sind:  

  • Meldungen an die Geldwäschemeldestelle in bestimmten Verdachtsfällen (§ 16 FM-GwG);  
  • Auskunftserteilung an die FMA nach der Marktmissbrauchsverordnung, dem WAG 2018 und dem BörseG 2018, z.B. um die Einhaltung der Bestimmungen zur Verhinderung von Marktmanipulationen oder des Missbrauchs von Insiderinformationen zu überwachen;  
  • Auskunftserteilung an Finanzstrafbehörden im Rahmen eines Finanzstrafverfahrens wegen eines vorsätzlichen Finanzvergehens;  
  • Auskunftserteilung an Strafverfolgungsbehörden gemäß den einschlägigen Bestimmungen der Strafprozessordnung; 
  • Auskunftserteilung an Abgabenbehörden des Bundes gemäß § 8 des Kontenregister- und Konteneinschaugesetzes 

C. Im Rahmen Ihrer Einwilligung  [Art 6 Abs 1 lit a DSGVO] 
Wenn Sie uns eine Einwilligung zur Verarbeitung Ihrer personenbezogenen Daten erteilt haben, erfolgt eine Verarbeitung nur gemäß den in der Zustimmungserklärung festgelegten Zwecken und im darin vereinbarten Umfang. Eine erteilte Einwilligung kann jederzeit mit Wirkung für die Zukunft widerrufen werden (z.B. können Sie der Verarbeitung Ihrer personenbezogenen Daten für Marketing- und Werbezwecke widersprechen, wenn Sie mit einer diesbezüglichen Verarbeitung künftig nicht mehr einverstanden sind). 

D. Zur Wahrung berechtigter Interessen  [Art 6 Abs 1 lit f DSGVO] 
Soweit erforderlich, kann im Rahmen von Interessenabwägungen zugunsten der Hypo Tirol Bank AG oder eines Dritten eine 
Datenverarbeitung über die eigentliche Erfüllung des Vertrags hinaus zur Wahrung berechtigter Interessen von uns oder Dritten erfolgen. In den folgenden Fällen erfolgt eine Datenverarbeitung zur Wahrung berechtigter Interessen: 

  • Konsultation von und Datenaustausch mit Auskunfteien (z.B. österreichischer Kreditschutzverband 1870) zur Ermittlung von Bonitäts- bzw Ausfallrisiken;  
  • Prüfung und Optimierung von Verfahren zur Bedarfsanalyse und direkter Kundenansprache;  
  • Werbung oder Markt- und Meinungsforschung, soweit Sie der Nutzung Ihrer Daten nicht nach Art 21 DSGVO widersprochen haben;  
  • Videoüberwachungen zur Sammlung von Beweisen bei Straftaten oder zum Nachweis von Verfügungen und Ein- bzw Auszahlungen (z.B. an Geldautomaten); diese dienen insbesondere dem Schutz der KundInnen und MitarbeiterInnen;  
  • Telefonaufzeichnungen (z.B. bei Beschwerdefällen);  
  • Maßnahmen zur Geschäftssteuerung und Weiterentwicklung von Dienstleistungen und Produkten;  
  • Maßnahmen zum Schutz von MitarbeiterInnen und KundInnen sowie Eigentum der Bank;  
  • Maßnahmen zur Betrugsprävention und -bekämpfung (Fraud Transaction Monitoring);  
  • Im Rahmen der Rechtsverfolgung (Geltendmachung rechtlicher Ansprüche und Verteidigung bei rechtlichen Streitigkeiten); 
  • Gewährleistung der EDV/IT-Sicherheit und des EDV/IT-Betriebs der Bank; 
  • Maßnahmen zur Gebäude- und Anlagensicherheit; 
  • Maßnahmen zur Geschäfts- und Risikosteuerung und Weiterentwicklung von Dienstleistungen und Produkten.

4. Wer bekommt meine Daten? 
Innerhalb der Hypo Tirol Bank AG erhalten diejenigen Stellen bzw MitarbeiterInnen Ihre Daten, die diese zur Erfüllung der vertraglichen, gesetzlichen und aufsichtsrechtlichen Pflichten sowie der berechtigten Interessen benötigen.  


Im Hinblick auf eine Datenweitergabe an konzernverbundene Unternehmen und sonstige Dritte möchten wir darauf hinweisen, dass die Hypo Tirol Bank AG als österreichisches Kreditinstitut zur Einhaltung des Datengeheimnisses gemäß § 6 DSG sowie des Bankgeheimnisses gemäß § 38 BWG und daher zur Verschwiegenheit über sämtliche personenbezogenen Informationen und Tatsachen verpflichtet ist, die uns aufgrund der Geschäftsbeziehung anvertraut oder zugänglich gemacht worden sind. 


Wir werden Ihre personenbezogenen Daten daher nur weitergeben, wenn Sie uns hierzu vorab schriftlich und ausdrücklich vom Daten- und Bankgeheimnis entbunden und uns insofern Ihre Zustimmung zur Datenübermittlung an konzernverbundene Unternehmen und sonstige Dritte gegeben haben oder wir gesetzlich bzw aufsichtsrechtlich dazu verpflichtet oder ermächtigt sind und/oder die Datenübermittlung zur Erfüllung unserer vertraglichen Verpflichtungen erforderlich ist.  
Dementsprechend könnten bei Vorliegen einer gesetzlichen oder aufsichtsrechtlichen Verpflichtung öffentliche Stellen und Institutionen (z.B. Europäische Bankenaufsichtsbehörde, Europäische Zentralbank, österreichische Finanzmarktaufsicht, Österreichische Nationalbank, Finanzbehörden, etc.) Empfänger Ihrer personenbezogenen Daten sein.  


Darüber hinaus erhalten von uns beauftragte Auftragsverarbeiter (insbesondere EDV/IT-Dienstleister) Ihre Daten, sofern diese die Daten zur Erfüllung ihrer jeweiligen Leistung benötigen. Sämtliche Auftragsverarbeiter sind vertraglich entsprechend dazu verpflichtet, Ihre Daten vertraulich zu behandeln und nur im Rahmen der 
Leistungserbringung zu verarbeiten.  


Empfänger personenbezogener Daten können außerdem auch konzernverbundene Unternehmen sowie andere Kredit- und Finanzinstitute oder vergleichbare Einrichtungen sein, an die wir zur Durchführung der Geschäftsbeziehung mit Ihnen Daten übermitteln (je nach Vertrag können dies z.B. Korrespondenzbanken, Börsen, Depotbanken, Auskunfteien, etc. sein). 
 

5.    Werden meine Daten in ein Drittland oder an eine internationale Organisation übermittelt? 
Eine Datenübermittlung in Länder außerhalb der EU bzw des EWR (sogenannte Drittländer) findet nur statt, soweit dies zur Ausführung Ihrer Aufträge (z.B. Zahlungs- und Wertpapieraufträge) erforderlich, oder gesetzlich vorgeschrieben ist (z.B. steuerrechtliche Meldepflichten), Sie uns eine diesbezügliche Einwilligung erteilt haben oder im Rahmen einer Auftragsdatenverarbeitung. Werden Dienstleister im Drittland eingesetzt, sind diese zusätzlich zu schriftlichen Weisungen durch die Vereinbarung der EU-Standardvertragsklauseln zur Einhaltung des Datenschutzniveaus in Europa verpflichtet. 

6.    Wie lange werden meine Daten gespeichert? 
Wir verarbeiten und speichern Ihre personenbezogenen Daten solange es für die Erfüllung unserer vertraglichen und gesetzlichen Pflichten erforderlich ist, dh regelmäßig für die Dauer der gesamten Geschäftsbeziehung (von der Anbahnung, Abwicklung bis zur Beendigung eines Vertrags) sowie darüber hinaus gemäß den gesetzlichen Aufbewahrungs- und Dokumentationspflichten, die sich u.a. aus dem Unternehmensgesetzbuch (UGB), der Bundesabgabenordnung (BAO), dem Bankwesengesetz (BWG), dem Finanzmarkt-Geldwäschegesetz (FMGwG) und dem Wertpapieraufsichtsgesetz (WAG) ergeben.  
Zudem sind bei der Speicherdauer stets die gesetzlichen Verjährungsfristen, die im Allgemeinen 3 Jahre, aber in bestimmten Fällen auch bis zu 30 Jahre betragen können, zu berücksichtigen. 
 

7.    Welche Datenschutzrechte stehen mir zu? 
Sie haben jederzeit ein Recht auf Auskunft [Art 15 DSGVO], Berichtigung [Art 16 DSGVO], Löschung [Art 17 DSGVO] oder Einschränkung der Verarbeitung [Art 18 DSGVO] Ihrer gespeicherten personenbezogenen Daten, ein Recht auf Datenübertragbarkeit [Art 20 DSGVO] sowie das Recht auf Beschwerde bei einer Aufsichtsbehörde [Art 77 DSGVO].  

Außerdem haben Sie gemäß Art 21 DSGVO das Recht auf Widerspruch gegen die Datenverarbeitung, wenn diese auf Grundlage Ihrer Einwilligung oder zur Wahrung berechtigter Interessen erfolgt und keine zwingenden schutzwürdigen Interessen des Verantwortlichen an der Verarbeitung vorliegen oder die Verarbeitung zu Zwecken der Direktwerbung (zB Versand eines Newsletters) erfolgt.  

Bitte wenden Sie sich zur Geltendmachung dieser Rechte an unsere(n) Datenschutzbeauftragte(n) (siehe Punkt 1. dieses Dokuments). Allfällige Beschwerden können Sie an die österreichische Datenschutzbehörde, Wickenburggasse 8, 1080 Wien, richten (www.dsb.gv.at). 
 

8.    Bin ich verpflichtet, Daten bereitzustellen? 
Im Rahmen der Geschäftsbeziehung müssen Sie uns diejenigen personenbezogenen Daten bereitstellen, die für die Aufnahme und Durchführung der Geschäftsbeziehung erforderlich sind und zu deren Erhebung wir gesetzlich verpflichtet sind. So sind wir etwa insbesondere nach den geldwäscherechtlichen Vorschriften verpflichtet, Sie vor der Begründung der Geschäftsbeziehung beispielsweise anhand eines geeigneten amtlichen Legitimationsdokuments (z.B. Reisepass) zu identifizieren und damit Ihren Namen, Geburtsort, Geburtsdatum, Staatsangehörigkeit sowie Ihre Wohnanschrift zu erheben und zu speichern.  
Wenn Sie uns diese Daten nicht zur Verfügung stellen, werden wir den Abschluss des Vertrags oder die Ausführung des Auftrags in der Regel ablehnen müssen oder einen bestehenden Vertrag nicht mehr durchführen können und folglich beenden müssen. Sie sind jedoch nicht verpflichtet, hinsichtlich jener Daten, die für die Vertragserfüllung nicht relevant bzw gesetzlich und/oder regulatorisch nicht erforderlich sind, eine Einwilligung zur Datenverarbeitung zu erteilen, zB zu Marketingzwecken. 

9.    Gibt es eine automatisierte Entscheidungsfindung oder Profiling? 
Wir nutzen keine automatisierten Entscheidungsfindungen im Sinne des Art. 22 DSGVO zur Herbeiführung einer Entscheidung über die Begründung und Durchführung der Geschäftsbeziehung.  

Bei einer Kreditvergabe wird eine Bonitätsprüfung (Kredit-Scoring) durchgeführt. Dabei wird mit Hilfe statistischer Vergleichsgruppen das Ausfallsrisiko von Kreditsuchenden bewertet. Der errechnete Score-Wert soll eine Prognose ermöglichen, mit welcher Wahrscheinlichkeit ein beantragter Kredit voraussichtlich zurückgezahlt wird. Zur Berechnung dieses Score-Wertes werden Ihre Stammdaten (z.B. Familienstand, Zahl der Kinder, Dauer der Beschäftigung, Arbeitgeber, etc.), Angaben zu den allgemeinen finanziellen Verhältnissen (z.B. Einkommen, Vermögen, monatliche Ausgaben, Höhe der Verbindlichkeiten, Sicherheiten, etc.) und zum Zahlungsverhalten (z.B. ordnungsgemäße Kreditrückzahlungen, Mahnungen, Daten von Kreditauskunfteien) herangezogen. Ist das Ausfallsrisiko zu hoch, kommt es zu einer Ablehnung des Kreditantrags, gegebenenfalls zu einer Eintragung in der beim KSV 1870 geführten KleinKreditevidenz sowie zur Aufnahme eines internen Warnhinweises.  

10.    Informationen zur Datenverarbeitung nach dem Finanzmarkt-Geldwäschegesetz (FM-GWG) 
Die Hypo Tirol Bank AG ist durch das Finanzmarkt-Geldwäschegesetz (FMGwG) im Rahmen ihrer Sorgfaltspflichten zur Verhinderung von Geldwäscherei und Terrorismusfinanzierung dazu verpflichtet, von Personen bei Begründung der Geschäftsbeziehung oder anlässlich einer gelegentlichen Transaktion bestimmte Dokumente und Informationen einzuholen und aufzubewahren.  

Die Hypo Tirol Bank AG hat gemäß FM-GwG u.a. die Identität von Kunden, wirtschaftlichen Eigentümern von Kunden oder allfälligen Treugebern des Kunden festzustellen, den vom Kunden verfolgten Zweck zu prüfen und die vom Kunden angestrebte Art der Geschäftsbeziehung zu bewerten, Informationen über die Herkunft der eingesetzten Mittel einzuholen, sowie die Geschäftsbeziehung und die in ihrem Rahmen durchgeführten Transaktionen kontinuierlich zu überwachen. Die Hypo Tirol Bank AG hat insbesondere Kopien der erhaltenen Dokumente und Informationen, die für die Erfüllung der beschriebenen Sorgfaltspflichten erforderlich sind und die Transaktionsbelege und -aufzeichnungen, die für die Ermittlung und Durchführung von Transaktionen erforderlich sind, einzuholen und aufzubewahren. 

Das FM-GwG räumt der Hypo Tirol Bank AG die gesetzliche Ermächtigung iSd DSGVO zur Verwendung der genannten Daten der Kunden im Rahmen der Ausübung der Sorgfaltspflichten zur Verhinderung von Geldwäscherei und Terrorismusfinanzierung ein. Die Datenverarbeitungen im Rahmen der beschriebenen Sorgfaltspflichten beruhen auf einer gesetzlichen Verpflichtung der Bank und dienen dem öffentlichen Interesse. Ein Widerspruch des Kunden gegen diese Datenverarbeitungen darf daher von der Bank nicht beachtet werden. 

Die Hypo Tirol Bank AG hat alle personenbezogenen Daten, die sie ausschließlich auf der Grundlage des FM-GwG für die Zwecke der Verhinderung von Geldwäscherei und Terrorismusfinanzierung verarbeitet bzw gespeichert hat, nach Ablauf einer Aufbewahrungsfrist von 5 Jahren zu löschen, es sei denn, Vorschriften anderer Bundesgesetze erfordern oder berechtigen zu einer längeren Aufbewahrungsfrist oder die Finanzmarktaufsicht hat längere Aufbewahrungsfristen durch Verordnung festgelegt. 

Personenbezogene Daten, die von der Hypo Tirol Bank AG ausschließlich auf der Grundlage des FM-GwG für die Zwecke der Verhinderung von Geldwäscherei und Terrorismusfinanzierung verarbeitet werden, dürfen nicht in einer Weise weiterverarbeitet werden, die mit diesen Zwecken unvereinbar ist. Diese personenbezogenen Daten dürfen nicht für andere Zwecke, wie beispielsweise für kommerzielle Zwecke, verarbeitet werden. 

11. Informationen zur Datenverarbeitung in Zusammenhang mit dem KSV 1870  (Kleinkreditevidenz und Warnliste) 
Die „Kleinkreditevidenz“ und die „Warnliste“ sind bei der KSV 1870 Holding AG (KSV 1870) zu Zwecken des Gläubigerschutzes und der Risikominimierung im Wege eines Informationsverbundsystems eingerichtet. 

  • Im Falle einer Kredit- oder Leasinggewährung über € 300,00 oder im Fall der Ablehnung eines Antrags auf Einräumung eines € 7.000,00 übersteigenden Kredites wegen mangelnder Bonität werden von der Hypo Tirol Bank AG bzw gegebenenfalls von deren konzernverbundenen Unternehmen nachstehende Daten an die beim KSV 1870 geführte „Kleinkreditevidenz“ (Konsumentenkreditevidenz) übermittelt, aus der diese Daten auf Anfrage an die teilnehmenden Banken, Versicherungen und Leasinggesellschaften (mit Sitz im EWR) weiter übermittelt werden, wenn diese eine Rechtspflicht zur korrekten Beurteilung des Kreditrisikos trifft: Name (inkl. früherer Namen), Anschrift und Geburtsdatum des Kreditnehmers und gegebenenfalls des Mitschuldners oder des Bürgen, Kleinkreditevidenznummer, Daten zum Kredit/Leasinggeber, Daten zum Kredit/Leasinggeschäft (Kontonummer, Art, Betrag, Laufzeit, Ratenbeginn, -höhe, Aufstockung, Datum der Gewährung /Ablehnung, Sperrvermerke, sowie (nur bei erfolgter Gewährung) Grund der Erledigung (Beendigung) des Vertragsverhältnisses und allenfalls Angaben über Schritte im Zusammenhang mit der Fälligstellung und der Rechtsverfolgung. 
  • Im Fall, dass sich ein Kunde oder gegebenenfalls ein Mitschuldner oder Bürge vertragswidrig verhält (unerlaubte Kontoüberziehung, Nichtbegleichung von Konto- oder Kreditforderungen) werden von der Hypo Tirol Bank AG bzw gegebenenfalls von deren konzernverbundenen Unternehmen nachstehende Daten an die dem KSV 1870 geführte „Warnliste“ übermittelt, aus der die teilnehmenden Banken, Versicherungen und Leasinggesellschaften (mit Sitz im EWR) einen Warnhinweis auf vertragswidriges Verhalten von Kunden und gegebenenfalls Mitschuldner oder Bürgen entnehmen können: Name, Anschrift und Geburtsdatum des Kreditnehmers und gegebenenfalls des Mitschuldners oder des Bürgen, Geschäftsfallnummer, Kontonummer, Art und Höhe der Verbindlichkeit, Bestreitungsvermerk, Daten zur Tilgung (Abschluss Tilgungsvereinbarung, Zeitpunkt Tilgung, vollständige Tilgung). 

Betroffene Personen können ihre Datenschutzrechte (zB ihr Recht auf Auskunft über die über sie in der Kleinkreditevidenz oder Warnliste allfällig gespeicherte Daten) direkt beim KSV 1870 geltend machen (www.ksv.at). Allfällige Beschwerden können an die österreichische Datenschutzbehörde gerichtet werden (www.dsb.gv.at). 

12. Informationen zur Datenverarbeitung nach dem Gemeinsamer-Meldestandard-Gesetz 
Personen- und kontobezogene Daten von Kunden der Hypo Tirol Bank AG werden im Falle eines Wohnsitzes / einer Ansässigkeit im Ausland aufgrund der gesetzlichen Bestimmungen des Bundesgesetzes zur Umsetzung des gemeinsamen Meldestandards unter gewissen Voraussetzungen an die entsprechende(n) Steuerbehörde(n) gemeldet und gegebenenfalls an die Steuerbehörde(n) des Wohnsitz- / Ansässigkeitsstaats weitergeleitet (automatischer 
Informationsaustausch). 

Nähere Informationen zum automatischen Informationsaustausch sind auf unserer Homepage unter https://www.hypotirol.com/crs abrufbar. 

Stand: März 2020