5.1 Verarbeitungszwecke und Rechtsgrundlagen
Ihre Daten verarbeiten wir zu folgenden Zwecken basierend auf den jeweils genannten Rechtsgrundlagen.
a) Zur Erfüllung vertraglicher Verpflichtungen gem. Art. 6 Abs. 1 Satz 1 lit. b DSGVO
Die Verarbeitung Ihrer personenbezogenen Daten erfolgt in erster Linie zur Erbringung unserer Dienstleistung Ihnen gegenüber bzw. zur Durchführung vorvertraglicher Maßnahmen. Welche Daten zu welchen Zwecken konkret verarbeitet werden, richtet sich nach dem jeweils von Ihnen bestellten Produkt bzw. nach unseren Ihnen gegenüber erbrachten Dienstleistungen. Weitere Einzelheiten entnehmen Sie bitte unseren Produktbeschreibungen bzw. Vertragsunterlagen.
b) Gemäß Ihrer Einwilligung, Art. 6 Abs. 1 Satz 1 lit. a DSGVO
Darüber hinaus verarbeiten wir Ihre Daten in Einzelfällen ausschließlich entsprechend Ihrer Einwilligung (ausdrücklich oder konkludent), beispielsweise zu Marketingzwecken oder zur Auswertung statistischer Daten. Soweit wir Ihre Daten ausschließlich einwilligungsbasiert verarbeiten, holen wir Ihre Einwilligung für jeden Verarbeitungszweck gesondert ein.
c) Aufgrund gesetzlicher Vorgaben, Art. 6 Abs. 1 Satz 1 lit. c DSGVO
Als Finanzdienstleister unterliegen wir ebenso wie die BAWAG Gruppe als Mutterkonzern strengen gesetzlichen Anforderungen in Bezug unter anderem auf das Geldwäschegesetz und das Kreditwesengesetz sowie weiteren steuer- und handelsrechtlichen Verpflichtungen. Ihre personenbezogenen Daten verarbeiten wir daher auch zur Erfüllung der aufsichtsrechtlichen Pflichten, insbesondere im Hinblick auf die Durchführung von Kreditwürdigkeits- und Identitätsprüfungen, Prüfungen zum Zwecke der Betrugs- und Geldwäscheprävention, zur Erfüllung steuerrechtlicher Kontroll- und Meldepflichten sowie für Zwecke des Risikocontrollings.
d) Zur Wahrung unserer berechtigten Interessen, Art. 6 Abs. 1 Satz 1 lit. f DSGVO
Sofern erforderlich, verarbeiten wir personenbezogene Daten auch zur Wahrung unserer berechtigten Interessen, so etwa im Falle von Streitigkeiten bei der Geltendmachung oder Durchsetzung eigener oder der Abwehr fremder Ansprüche oder im Rahmen von Bonitätsprüfungen, zur Durchführung von Werbe- oder Kundenbindungsmaßnahmen sowie zur Bereitstellung und Auswertung von Dienstleistungen einschließlich von Webportalen oder Webseiten. Im konkreten:
- Konsultation von und Datenaustausch mit Auskunfteien (zur Ermittlung von Bonitäts- bzw. Ausfallrisiken zum Gläubigerschutz und zur Risikominimierung)
- Maßnahmen zur Geschäftssteuerung und Weiterentwicklung von Dienstleistungen und Produkten (dient dem wirtschaftlichen Interesse der Health AG)
- Prüfung und Optimierung von Verfahren zur Bedarfsanalyse und direkter Kundenansprache; inklusive Kundensegmentierung und Berechnung von Abschlusswahrscheinlichkeiten (dient dem wirtschaftlichen Interesse der Health AG)
- im Rahmen der Rechtsverfolgung, um einen Schaden im wirtschaftlichen Interesse der Health AG abzuwenden bzw. so gering wie möglich zu halten
- Erstellen von anonymisierten Daten zu Testzwecken (in eingeschränkten Fällen kann es auch erforderlich sein, Echtdaten zu Testzwecken heranzuziehen), um die Datenrichtigkeit, Integrität und Vertraulichkeit der Daten für unsere Kunden und die Bank im Echtbetrieb zu gewährleisten. Dabei kann auch K.I. zum Einsatz kommen
- Maßnahmen zur Informationssicherheit und zum IT-Betrieb der Bank, um die Datenrichtigkeit, Integrität und Vertraulichkeit der Daten für unsere Kunden und die Health AG zu gewährleisten.
Kontaktaufnahme
Sie haben die Möglichkeit, auf mehreren Wegen mit uns in Kontakt zu treten. Per E-Mail bzw. per Kontaktformular, per Telefon oder per Post. Wenn Sie mit uns Kontakt aufnehmen, verwenden wir jene personenbezogenen Daten, die Sie uns in diesem Rahmen freiwillig zur Verfügung stellen allein zu dem Zweck, um mit Ihnen in Kontakt zu treten und Ihre Anfrage bearbeiten zu können. Rechtsgrundlage für diese Datenverarbeitung ist Art. 6 Abs. 1 lit. a, Art. 6 Abs. 1 lit. b, Art. 6 Abs. 1 lit. c DSGVO sowie Art. 6 Abs. 1 lit. f DSGVO. Die in diesem Zusammenhang anfallenden Daten löschen wir, nachdem die Speicherung nicht mehr erforderlich ist, oder schränken die Verarbeitung ein, falls gesetzliche Aufbewahrungspflichten bestehen (vgl. §§ 146 AO, 257 HGB).
Sofern Sie bereits in einem Geschäftsverhältnis mit uns stehen, haben wir grundsätzlich ein berechtigtes Interesse daran, Ihre Daten zu Marketingzwecken (z.B. Versand von Infopost) zu nutzen. Wir verarbeiten dazu die folgenden Daten auf Basis von Art. 6 Abs. 1 S. 1 lit. f DSGVO: Firma, Name, Vorname, postalische Anschrift.
Die genannten Daten können hierfür auch an Dritte (Werbetreibende) übermittelt werden. Wir sind außerdem dazu berechtigt, den genannten Daten weitere über Sie unter Einhaltung der gesetzlichen Vorgaben erhobene personenbezogene Daten zu eigenen Marketingzwecken sowie zu Marketingzwecken Dritter hinzu zu speichern. Ziel ist es, Ihnen allein an Ihren tatsächlichen oder vermeintlichen Bedürfnissen orientierte Werbung zukommen zu lassen und Sie entsprechend nicht mit unnützer Werbung zu belästigen.
Eine Übermittlung der hinzugespeicherten Daten an Dritte erfolgt nicht. Außerdem pseudonymisiert / anonymisiert der Verantwortliche über Sie erhobene personenbezogene Daten zum Zweck der Nutzung der pseudonymisierten / anonymisierten Daten für eigene Marketingzwecke sowie für Marketingzwecke Dritter (Werbetreibende). Die pseudonymisierten / anonymisierten Daten können auch dazu genutzt werden, um Sie individualisiert online zu bewerben, wobei die Aussteuerung der Werbung durch einen Dienstleister / Agentur erfolgen kann. Rechtsgrundlage für die Nutzung personenbezogener Daten zu Marketingzwecken ist Art. 6 Absatz 1 lit. f) DSGVO.
Hinweis auf das Widerspruchsrecht
Sie können der Nutzung Ihrer personenbezogenen Daten zu vorgenannten Werbezwecken jederzeit kostenfrei mit Wirkung für die Zukunft unter info@healthag.de widersprechen.
Soweit Sie Widerspruch einlegen werden Ihre Daten für die weitere werbliche Datenverarbeitung gesperrt. Wir weisen darauf hin, dass es in Ausnahmefällen auch noch nach Eingang Ihres Widerspruchs vorübergehend noch zu einem Versand von Werbematerial kommen kann. Dies ist technisch durch die nötige Vorlaufzeit im Rahmen der Selektion bedingt und bedeutet nicht, dass wir Ihren Widerspruch nicht umgesetzt haben.
5.2 Datenkategorien
Die Health AG verarbeitet zu den oben genannten Zwecken Stammdaten (Name, Anschrift, Geburtsdatum Rechtsform), Kontaktdaten (Emailadresse, Telefonnummer), Zahlungsverkehrs- und Rechnungsdaten, Daten aus Ankaufsvoranfragen, Bonitätsinformationen, die Kundenhistorie, ggf. Bilddaten, sowie die im Einzelnen anfallenden Daten bei Aufruf/Nutzung der Webseite einschließlich Protokolldaten.
5.3 Empfänger von Daten
Die Health AG übermittelt mit Ihrem Einverständnis bzw. aufgrund einer gesetzlichen Verpflichtung Daten an Auskunfteien wie die CRIF GmbH Victor-Gollancz-Straße 5, 76137 Karlsruhe, zur Identitäts- und Kreditwürdigkeitsprüfung, ggf. zur Erfüllung gesetzlicher Meldepflichten an die Aufsichtsbehörde (BaFin) sowie ggf. an Inkassounternehmen, Anwaltskanzleien oder Gerichte, sofern es zu einer nicht gütlich beizulegenden Streitigkeit zwischen Ihnen und uns kommen sollte. Darüber hinaus sind wir verpflichtet, zur Erfüllung aufsichtsrechtlicher Vorgaben in Bezug auf die Risikosteuerung und Bestimmung der Eigenkapitalanforderungen unseres Mutterkonzerns Daten an die BAWAG P.S.K. Bank für Arbeit und Wirtschaft und Österreichische Postsparkasse AG (BAWAG), A-1100, Wiedner Gürtel 11, Wien, zur dortigen Prüfung zu übermitteln. Die BAWAG kann in Einzelfällen verpflichtet sein, Stammdaten und Risikowerte an die dort zuständige Bankenaufsicht (FMA) zu übermitteln. Zu Einzelheiten der Datenverarbeitung durch die BAWAG P.S.K. siehe auch 200-0354 / 1.2017 (bawag.at).
Damit wir unsere Leistungen erbringen können, erhalten darüber hinaus verschiedene von uns beauftragte Dienstleister als Auftragsverarbeiter gem. Art. 28 DSGVO personenbezogene Daten, insbesondere im Rahmen der IT-Bereitstellung. Hierzu gehört ebenfalls die BAWAG P.S.K. Bank für Arbeit und Wirtschaft und Österreichische Postsparkasse Aktiengesellschaft, die teils direkt in unserem Auftrag tätig wird, teils als Konzernmutter Verträge mit den jeweiligen Endanbietern schließt. Unsere Auftragsverarbeiter und sämtliche ggfs. in deren Auftrag tätigen Endanbieter (Unterauftragsverarbeiter) sind vertraglich dazu verpflichtet, Ihre Daten vertraulich zu behandeln und nur im Rahmen der Leistungserbringung zu verarbeiten. Weitere (Unter-)Auftragsverarbeiter können nur mit Zustimmung der verantwortlichen Stelle beauftragt werden.
Abhängig vom Produkt oder der Dienstleistung, das/die Sie bei uns beziehen, werden Ihre Daten auch an weitere Dienstleister übermittelt, die ggfs. Daten in eigener Verantwortung verarbeiten. Dazu gehören insbesondere Übernachtungs- oder Gastronomieanbieter (z. B. im Rahmen von Seminarbuchungen oder bei Gewinnspielteilnahme); Lettershops oder sonstige Marketingpartner, sofern wir Ihnen Newsletter, Werbung oder Ähnliches zukommen lassen.
Eine Übermittlung Ihrer Daten in Drittstaaten (außerhalb der Europäischen Union bzw. des europäischen Wirtschaftsraums) erfolgt im Rahmen der Durchführung von Vertragsbeziehungen grundsätzlich nicht. Soweit im Rahmen der Nutzung oder des Aufrufs unserer Webseiten oder Applikationen Datenübermittlungen in Drittstaaten erfolgen, weisen wir jeweils gesondert darauf hin. Werden Auftragsverarbeiter in einem Drittstaat eingesetzt, sind diese zusätzlich zu schriftlichen Weisungen entweder nach einem Angemessenheitsbeschluss der EU, Binding Corporate Rules oder durch die Vereinbarung der EU-Standardvertragsklauseln zur Einhaltung des Datenschutzniveaus in Europa verpflichtet.
5.4 Speicherdauer
Ihre personenbezogenen Daten speichern wir regelhaft entsprechend den Aufbewahrungsfristen aus §§ 147 AO, 257 HGB für zehn/ acht / sechs Jahre, beginnend mit dem auf die Beendigung der Geschäftsbeziehung oder dem Ende des Vorgangs folgenden Kalenderjahr. In Einzelfällen – z. B. bei Rechtsstreitigkeiten mit anschließender Titulierung- kann eine Speicherung von Daten auch darüber hinaus erfolgen. Sofern Ihre Daten ausschließlich für besondere Zwecke (etwa Zwecke der Werbung oder des Marketings) gespeichert werden, kann eine Löschung der Daten auch früher erfolgen. Sofern Sie eine wirksam erteilte Einwilligung zur Datenverarbeitung widerrufen, werden Ihre personenbezogenen Daten grundsätzlich gesperrt und nach Ablauf der oben genannten handels-und steuerrechtlichen und/oder sonstiger gesetzlicher Aufbewahrungspflichten endgültig gelöscht. Im Falle einer Sperrung werden Ihre personenbezogenen Daten zu keinen anderen Zwecken als der Erfüllung gesetzlicher Pflichten und/oder- soweit erforderlich -zur Durchsetzung unserer Rechte und Ansprüche genutzt.
5.5 Bereitstellungspflicht
Die Bereitstellung Ihrer personenbezogenen Daten erfolgt zunächst ausschließlich auf freiwilliger Basis, kann jedoch für die Begründung, Durchführung oder Beendigung des Vertrages (z. B. aufgrund der nach dem Geldwäschegesetz erforderlichen Identitätsprüfung) notwendig sein.
5.6 Datenquellen
Datenquelle für Bonitätsinformationen sind Wirtschaftsauskunfteien, wobei aktuell die im Folgenden genannten Auskunfteien genutzt werden:
CRIF GmbH Victor-Gollancz-Straße 5, 76137 Karlsruhe
Creditreform Boniversum GmbH Hammfelddamm 13, 41460 Neuss
Weitere Informationen zur Datenverarbeitung bei den Auskunfteien sowie für die Geltendmachung etwaiger Ansprüche diesen gegenüber erhalten Sie auf den folgenden Seiten:
CRIF GmbH:
https://www.crif.de/datenschutz/https://www.crif.de/konsumenten/selbstauskunft/
Creditreform Boniversum GmbH: https://www.boniversum.de/eu-dsgvo/informationen-nach-eudsgvo-fuer-verbraucherhttps://www.boniversum.de/selbstauskunft/