4. Datenquellen
Die Bank verarbeitet vor allem solche Daten, die sie unmittelbar von der betroffenen Person aufgrund der Geschäftsbeziehung erhält und hierfür erforderlich sind. Daneben werden die erforderlichen Daten auch von Unternehmen der Signal Iduna Gruppe und Tochtergesellschaften der Bank, dem Bundeszentralamt für Steuern, der Deutschen Post, anderen Kreditinstituten und Sparkassen, dem Bankenverband, externen Vermögensverwaltern, Vermittlern, Inkassobüros, Immobilienbewertern, der Kreditanstalt für Wiederaufbau, Angehörigen (Verwandtschaft) sowie aus öffentlich zugänglichen Quellen, insbesondere Melderegister, Schuldnerverzeichnisse, Grundbücher, Handelsregister, Schufa, gewonnen.
5. Verarbeitungszweck und Rechtsgrundlagen
Die Datenverarbeitung erfolgt stets im Einklang mit den Bestimmungen des Datenschutzrechts, um zuvorderst die vertraglichen und gesetzlichen Verpflichtungen bei der Erbringung der jeweiligen Finanzdienstleistungen und sonstigen Bankgeschäfte zu erfüllen. Die Bank beachtet dabei insbesondere den Grundsatz der Datensparsamkeit, sodass grundsätzlich nur die für das betreffende Bankgeschäft konkret erforderlichen Daten verarbeitet werden. Dies umfasst auch Bedarfsanalysen und Produktoptimierungen im Rahmen der Geschäftsbeziehung.
a) Wenn die betroffene Person eine Einwilligung zur Verarbeitung personenbezogener Daten für bestimmte Zwecke erteilt (z.B. Weitergabe von Daten innerhalb des Konzerns, Newsletter Abonnement), folgt die Rechtmäßigkeit der Verarbeitung aus Art. 6 Abs. 1 S. 1 a) DS-GVO. Die Einwilligung kann jederzeit mit Wirkung für die Zukunft widerrufen werden. Dies gilt auch für Einwilligungen, die vor Geltung der DS-GVO, also vor dem 25. Mai 2018, der Bank erteilt wurden. Der Widerruf der Einwilligung berührt jedoch nicht die Rechtmäßigkeit der bis zum Widerruf verarbeiteten Daten oder die weitere Verarbeitung, die auf einer anderen Rechtsgrundlage beruht.
b) Zur Erfüllung von vertraglichen Pflichten und zur Durchführung vorvertraglicher Maßnahmen, die auf Anfrage der betroffenen Person erfolgen, gemäß Art. 6 Abs. 1 S. 1 b) DS-GVO werden folgende Daten beispielsweise wie folgt benötigt:
– Legitimations- und Kontaktangaben, um mit der betroffenen Person in Kontakt zu treten;
– Auftrags- und Umsatzdaten, um die Kontoführung zu vollziehen;
– Finanzielle Situation, um zu prüfen, ob und welches Produkt oder welche Dienstleistung angeboten werden kann (u.a. bei Kreditantrag oder Kauf von Finanzinstrumenten);
– sonstige soziodemographische Merkmale, um Bedarfsanalysen durchführen zu können;
– Steuerdaten, um im Rahmen des Steuerabzugs die geschuldete Steuer an das Finanzamt zu entrichten.
c) Die Datenverarbeitung beruht oftmals auf einer gesetzlichen oder aufsichtsrechtlichen Verpflichtung im Sinne von Art. 6 Abs. 1 S. 1 c) DS-GVO. Hierzu zählen beispielsweise die gesetzlichen Anforderungen des Geldwäschegesetzes, der Abgabenordnung, des Kreditwesengesetzes und Wertpapierhandelsgesetzes sowie die bankaufsichtsrechtlichen Anforderungen der Bundesanstalt für Finanzdienstleistungen, der Europäischen Bankenaufsicht, der Deutschen Bundesbank und der Europäischen Zentralbank. Die Bank benötigt die Daten insoweit unter anderem für die Kreditwürdigkeitsprüfung, die Identitäts- und Altersprüfung, die steuerrechtlichen Kontroll- und Meldepflichten, die Betrugs- und Geldwäscheprävention sowie die Bewertung und Steuerung von Risiken.
d) Manche Verarbeitungssachverhalte erfolgen gemäß Art. 6 Abs. 1 S. 1 e) DS-GVO aufgrund der Wahrnehmung von Aufgaben, die im öffentlichen Interesse liegen. Hierzu zählen insbesondere die steuerrechtlichen Kontroll- und Meldepflichten sowie die Bekämpfung der Geldwäsche und der Finanzierung von Terrorismus.
e) Soweit es aus Sicht der Bank erforderlich ist, verarbeitet sie die personenbezogenen Daten gemäß Art. 6 Abs. 1 S. 1 f) DS-GVO auch über die eigentliche Erfüllung der vertraglichen Verpflichtungen hinaus zur Wahrung ihrer berechtigten Interessen oder der Interessen Dritter. Dies erfolgt jedoch nur dann, wenn diese Interessen nach Abwägung mit den widerstreitenden Interessen der betroffenen Person überwiegen. In der Regel handelt die Bank aufgrund eigener wirtschaftlicher Interessen.
f) Für den Ausnahmefall der Verarbeitung von personenbezogenen Daten besonderer Kategorien erfolgt dies gemäß Art. 9 Abs. 2 a), f), g) DS-GVO. Die religiöse Zugehörigkeit wird grundsätzlich nur aus Gründen des erheblichen öffentlichen Interesses wie die Erfüllung der einkommenssteuerrechtlichen Pflicht zum Kirchensteuerabzug verarbeitet. Sprachaufzeichnungen erfolgen soweit diese von Gesetzes wegen vorgeschrieben sind und damit der Möglichkeit zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen dienen sollen. Videoaufzeichnungen dienen der Abwehr und Verfolgung etwaiger strafbarer Handlungen. Die Verarbeitung des Status als politisch exponierte Person ist zur Bekämpfung von Geldwäsche ein erhebliches öffentliches Interesse und insoweit im Geldwäschegesetz vorgeschrieben.