Datenschutz

Datenschutzgrundsätze der ProCredit Gruppe

Das Betreiben von Bankgeschäften im digitalen Zeitalter eröffnet der ProCredit Gruppe und unseren Kunden bedeutende Chancen und Möglichkeiten, stellt uns aber gleichzeitig auch vor große Herausforderungen in Bezug auf Daten-, Informations- und Zahlungssicherheit. Die ProCredit Gruppe ist bestrebt, in digitales Banking zu investieren, um ihren Kunden eine breite Palette an innovativen Servicekanälen rund um benutzerfreundliches Online-Banking anbieten zu können. Gleichzeitig bekennt sich die Gruppe zu ihrem langfristigen, kundenorientierten und verantwortungsbewussten Ansatz in Bezug auf das Betreiben von Bankgeschäften.

Deshalb legen wir großen Wert darauf, dass die Sicherheit der Daten unserer Kunden – sowohl in unseren Systemen als auch im täglichen Umgang unserer Mitarbeiter mit diesen persönlichen Informationen – gewährleistet ist. Dies wird durch gruppenweite Richtlinien zu IT-Infrastruktur, Betriebskontinuität und Informationssicherheit, einschließlich Datensicherheit, sicher gestellt. Diese Richtlinien befinden sich im Einklang mit EU- und deutschen Vorschriften sowie mit den branchenüblichen Best Practices. In diesem Sinne wenden wir die hohen Datenschutzstandards sowohl im Hinblick auf die Professionalität unserer Mitarbeiter als auch auf die Integrität unserer IT-Systeme an. Der Schutz und die Sicherheit der persönlichen Daten unserer Kunden ist für die Gruppe von besonderer Bedeutung.

Der Umgang mit persönlichen und vertraulichen Informationen ist ein zentraler Bestandteil des ProCredit Verhaltenskodex, und alle unsere Mitarbeiter erhalten regelmäßig Schulungen zum Thema Risiken und Maßnahmen zur Sicherstellung von Datensicherheit und Datenschutz.

Die ProCredit Gruppe verpflichtet sich zur Einhaltung der geltenden Datenschutzvorschriften. Sie respektiert die Privatsphäre ihrer Kunden und ihrer Mitarbeiter. Unsere für die Gruppenaufsicht zuständige Aufsichtsbehörde, die Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin), legt ebenfalls großen Wert auf die Einhaltung der Datenschutzbestimmungen. Das Thema Datenschutz bildet einen Schwerpunkt unseres gruppenweit etablierten Compliance-Systems.

 

Datenschutz auf Gruppenebene

Die ProCredit Banken verarbeiten hauptsächlich die für das Betreiben von Bankgeschäften benötigten Kundendaten sowie Daten der eigenen Mitarbeiter.

Alle ProCredit Tochtergesellschaften wenden die höchsten Standards der Informationssicherheit an. Die ProCredit „Group Information Security Policy“ enthält die folgenden allgemeinen Datenschutzgrundsätze, die von jeder ProCredit Institution befolgt werden müssen:

 

Grundsätze des Datenschutzes

Personenbezogene Daten müssen durch geeignete technische und organisatorische Maßnahmen geschützt und nach den folgenden weitreichenden Grundsätzen verarbeitet werden:

1) Verbot mit Erlaubnisvorbehalt. Die Erhebung, Verarbeitung und Nutzung personenbezogener Daten ist nur in Übereinstimmung mit den lokalen Datenschutzgesetzen zulässig. Um personenbezogene Daten erheben, verarbeiten und nutzen zu können, ist in der Regel eine gesetzliche Erlaubnis oder Verpflichtung oder die Einwilligung der betroffenen Person erforderlich.

2) Erhebung von Daten direkt vom Betroffenen. Personenbezogene Daten werden direkt beim Betroffenen erhoben, es sei denn, es besteht eine gesetzliche Erlaubnis oder Verpflichtung, die Daten bei Dritten zu erheben oder wenn die Erhebung direkt beim Betroffenen unverhältnismäßig viel Zeit und Aufwand erfordern würde.

3) Datensparsamkeit und Datenvermeidung. Personenbezogene Daten sind so zu erheben, zu verarbeiten und zu nutzen, und die Informationssysteme sind so zu gestalten, dass möglichst wenig personenbezogene Daten erhoben, verarbeitet und genutzt werden. Insbesondere müssen personenbezogene Daten so weit wie möglich und im Rahmen des zumutbaren Aufwandes im Hinblick auf das gewünschte Schutzniveau pseudonymisiert bzw. anonymisiert werden. Personenbezogene Daten werden gelöscht, sobald ihre Speicherung nicht mehr erforderlich oder gesetzlich vorgeschrieben ist.

4) Transparenz. Dem Betroffenen muss ersichtlich sein, welche seiner personenbezogenen Daten gespeichert, verarbeitet oder gelöscht wurden und von wem und warum sie auf diese Weise behandelt wurden.

5) Zweckbindung. Personenbezogene Daten dürfen nur für einen bestimmten Zweck erhoben und verwendet werden, der vor der Erhebung festgelegt und idealerweise dokumentiert wurde. Für die Verwendung personenbezogener Daten zu einem anderen Zweck muss eine gesetzliche Erlaubnis oder Verpflichtung oder die Zustimmung der Betroffenen vorliegen.

6) Notwendigkeit. Personenbezogene Daten dürfen nur erhoben, verarbeitet und genutzt werden, soweit dies zur Erfüllung einer bestimmten Aufgabe erforderlich ist.

7) Verpflichtung zum Datengeheimnis. Die Mitarbeiter sind auf das Datengeheimnis zu verpflichten. Die mit der Datenverarbeitung beauftragten Personen dürfen personenbezogene Daten nicht unbefugt erheben, verarbeiten oder nutzen (Vertraulichkeit). Diese Personen müssen sich bei Aufnahme ihrer Tätigkeit zur Wahrung der Vertraulichkeit verpflichten. Diese Verpflichtung gilt auch nach Beendigung ihrer Tätigkeit.

Zusätzlich zu den gruppenweit geltenden Richtlinien und internationalen Best Practices sorgen alle ProCredit Banken für die Einhaltung der lokal geltenden Gesetze bezüglich Datenschutz und Bankgeheimnis. Die Einhaltung der Gruppenrichtlinien wird regelmäßig überprüft, sowohl intern als auch extern durch renommierte Wirtschaftsprüfungsgesellschaften.

Die Quipu GmbH mit Sitz in Frankfurt am Main, Bundesrepublik Deutschland („Quipu“), ist Teil der ProCredit Gruppe und stellt maßgeschneiderte IT-Dienstleistungen zur Verfügung. Als IT-Dienstleister von ProCredit ist Quipu in der Lage, schnell auf IT-Herausforderungen zu reagieren und bietet den ProCredit Banken einheitliche Lösungen, die die Zentralisierung vieler Abläufe, aber auch die Vereinheitlichung und Anwendbarkeit von gruppenweiten Richtlinien und Standards im Hinblick auf die Informationssicherheit ermöglichen. Quipu unterstützt die Gruppe bei der Umsetzung hoher IT-Sicherheitsstandards einschließlich Infrastrukturstandards, Cyber Vulnerability Testing sowie Zugangs- und Sicherheitsmanagement. Alle Ereignisse und Beschwerden im Zusammenhang mit der IT-Sicherheit und dem Datenschutz werden streng überwacht, und ggf. werden erforderliche Schritte eingeleitet.

Das Quipu Processing Centre ist für die Abwickung von Kartenzahlungen für die Gruppe verantwortlich und ist gemäß den etablierten Standards für die Sicherheit von Kartenzahlungen, Qualitätsmanagement und IT-Servicemanagement zertifiziert (z.B.: ISO 20000, ISO 9001, PCI-DSS, PCI CPP). Es wird regelmäßig auf die Einhaltung dieser Standards, wie sie von Visa und MasterCard vorgeschrieben werden, überprüft. Im Jahr 2017 erhielt Quipu die ISO 27001-Zertifizierung für das Informationssicherheitsmanagement ihres Processing Centres und ihrer Cloud Services. Diese Zertifizierungen belegen, dass die Kartentransaktionen unserer Kunden mit einem Höchstmaß an Sicherheit ausgeführt werden.

 

Datenschutz auf ProCredit Holding-Ebene

Die ProCredit Holding (“PCH”) und ihre in der EU ansässigen Tochtergesellschaften haben die neuen strengen Anforderungen an den Schutz personenbezogener Daten durch die ab dem 25. Mai 2018 geltende Europäische Datenschutzgrundverordnung (“DSGVO”) umgesetzt.

PCH hat einen Datenschutzstandard erstellt, der für alle Datenverarbeitungsprozesse auf Holdingebene gilt. Er beschreibt die rechtlichen Rahmenbedingungen für die Datenverarbeitung im Hinblick auf rechtliche Grundlagen und zu beachtende Grundsätze. PCH hat einen Datenschutzbeauftragten ernannt, der die Einhaltung der geltenden Datenschutzbestimmungen überwacht. Das bei PCH eingerichtete „Data Breach Reporting Committee“ befasst sich mit allen Fällen von gemeldeten Datenschutzverstößen. PCH hält seine Mitarbeiter über Datenschutzangelegenheiten unterrichtet und führt regelmäßig Schulungen durch, um eine erhöhte Aufmerksamkeit der Mitarbeiter für die Bedeutung des Datenschutzes zu gewährleisten. Die Mitarbeiter sind auf das Datengeheimnis verpflichtet.

Bei der Einbindung von externen Dienstleistern in die Datenverarbeitung stellt PCH sicher, dass die jeweiligen Auftragsverarbeitungsverträge im Einklang mit Artikel 28 der DS-GVO stehen.

PCH führt ein Verzeichnis von Verarbeitungstätigkeiten, das alle Datenverarbeitungsvorgänge enthält. Hierbei handelt es sich in der Hauptsache um die Verarbeitung von Personaldaten und in begrenztem Umfang sowie für streng aufsichtsrechtliche Zwecke auch die Verarbeitung von Kundendaten, die von den Tochtergesellschaften der Holding übermittelt werden.

PCH hat Verfahren zur unverzüglichen Bearbeitung von Ersuchen der betroffenen Personen um Auskunft, Berichtigung, Löschung und Sperrung von Daten sowie zur Meldung von Datenschutzverletzungen an die Aufsichtsbehörde und zur eventuellen Benachrichtigung der betroffenen Personen implementiert. PCH wird auf Anfragen der Aufsichtsbehörden umgehend reagieren.

PCH hat angemessene technische und organisatorische Maßnahmen getroffen, um die von ihr verwalteten personenbezogenen Daten vor unbefugter Verarbeitung zu schützen.

Bei Fragen oder Anregungen erreichen Sie den Datenschutzbeauftragten der PCH wie folgt:
per Email unter pch.datenschutz@procredit-group.com oder telefonisch unter 069 95 14 370.

Unsere Datenschutzerklärung finden Sie hier.

 

Datenschutzhinweis

Der Anbieter dieser Website verwendet Dienste der etracker GmbH aus Hamburg, Deutschland zur Analyse von Nutzungsdaten. Es werden dabei Cookies eingesetzt, die eine statistische Analyse der Nutzung dieser Website durch ihre Besucher sowie die Anzeige nutzungsbezogener Inhalte oder Werbung ermöglichen. Cookies sind kleine Textdateien, die vom Internet Browser auf dem Endgerät des Nutzers gespeichert werden. etracker Cookies enthalten keine Informationen, die eine Identifikation eines Nutzers ermöglichen.

Die mit etracker erzeugten Daten werden im Auftrag des Anbieters dieser Website von etracker ausschließlich in Deutschland verarbeitet und gespeichert und unterliegen damit den strengen deutschen und europäischen Datenschutzgesetzen und -standards. etracker wurde diesbezüglich unabhängig geprüft, zertifiziert und mit dem Datenschutz-Gütesiegel ePrivacyseal ausgezeichnet.

Die Datenverarbeitung erfolgt auf der Rechtsgrundlage des Art. 6 Abs .1 lit f (berechtigtes Interesse) der EU-Datenschutzgrundverordnung (EU-DSGVO). Unser berechtigtes Interesse besteht in der Optimierung unseres Online-Angebotes und unseres Webauftritts. Da uns die Privatsphäre unserer Besucher besonders wichtig ist, wird die IP-Adresse bei etracker frühestmöglich anonymisiert und Anmelde- oder Gerätekennungen bei etracker zu einem eindeutigen, aber nicht einer Person zugeordneten Schlüssel umgewandelt. Eine andere Verwendung, Zusammenführung mit anderen Daten oder eine Weitergabe an Dritte erfolgt durch etracker nicht.

Sie können der vorbeschriebenen Datenverarbeitung jederzeit widersprechen, soweit sie personenbezogen erfolgt. Ihr Widerspruch hat für Sie keine nachteiligen Folgen

Weitere Informationen zum Datenschutz bei etracker finden Sie hier.