Datenschutzhinweise zur comdirect photoTAN App

Datenschutzhinweise / Stand 12.03.2024

Wer ist für die Datenverarbeitung verantwortlich und an wen kann ich mich wenden?

Verantwortliche Stelle ist:

Commerzbank AG
Kaiserplatz, 60261 Frankfurt am Main
meinebank@commerzbank.com

Sie erreichen unseren betrieblichen Datenschutz­beauftragten unter:

comdirect – eine Marke der Commerzbank AG
Datenschutzbeauftragter
Pascalkehre 15
25451 Quickborn
datenschutz@comdirect.de

Allgemeine Grundsätze der Datenverarbeitung

Personenbezogene Daten sind alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen. Als identifizierbar wird eine natürliche Person zum Beispiel dann angesehen, wenn sie direkt oder indirekt, insbesondere mittels Zuordnung zu einer Kennung wie einem Namen, zu einer Kennnummer, zu Standortdaten, zu einer Online-Kennung identifiziert werden kann. Personenbezogene Daten sind beispielsweise Informationen wie Ihr Name, Ihr Alter, Ihre Anschrift, Ihre Telefonnummer, Ihr Geburtsdatum, Ihre E-Mail-Adresse, Ihre IP-Adresse oder auch Ihr Nutzerverhalten. Informationen, bei denen wir keinen (oder nur mit einem unverhältnismäßigen Aufwand einen) Bezug zu Ihrer Person herstellen können, zum Beispiel durch Anonymisierung der Informationen, sind keine personenbezogenen Daten.

Die Verarbeitung von personenbezogenen Daten (bspw. das Erheben, das Abfragen, die Verwendung, die Speicherung oder die Übermittlung) bedarf immer einer gesetzlichen Grundlage, die die Verarbeitung erlaubt oder diese anordnet oder Ihrer Einwilligung:

• Soweit wir für Verarbeitungsvorgänge personenbezogener Daten eine Einwilligung der betroffenen Person einholen, dient Art. 6 Abs. 1 lit. a EU-Datenschutzgrundverordnung (DSGVO) als Rechtsgrundlage.

• Bei der Verarbeitung von personenbezogenen Daten, die zur Erfüllung eines Vertrages, dessen Vertragspartei die betroffene Person ist, erforderlich ist, dient Art. 6 Abs. 1 lit. b DSGVO als Rechtsgrundlage. Dies gilt auch für Verarbeitungsvorgänge, die zur Durchführung vorvertraglicher Maßnahmen erforderlich sind.

• Soweit eine Verarbeitung personenbezogener Daten zur Erfüllung einer rechtlichen Verpflichtung erforderlich ist, der unser Unternehmen unterliegt, dient Art. 6 Abs. 1 lit. c DSGVO als Rechtsgrundlage.

• Für den Fall, dass lebenswichtige Interessen der betroffenen Person oder einer anderen natürlichen Person eine Verarbeitung personenbezogener Daten erforderlich machen, dient Art. 6 Abs. 1 lit. d DSGVO als Rechtsgrundlage.

• Ist die Verarbeitung zur Wahrung eines berechtigten Interesses unseres Unternehmens oder eines Dritten erforderlich und überwiegen die Interessen, Grundrechte und Grundfreiheiten des Betroffenen das erstgenannte Interesse nicht, so dient Art. 6 Abs. 1 lit. f DSGVO als Rechtsgrundlage für die Verarbeitung.

Die personenbezogenen Daten der betroffenen Person werden gelöscht oder gesperrt, sobald der Zweck der Speicherung entfällt. Eine Speicherung kann darüber hinaus erfolgen, wenn dies durch den europäischen oder nationalen Gesetzgeber in unionsrechtlichen Verordnungen, Gesetzen oder sonstigen Vorschriften, denen der Verantwortliche unterliegt, vorgesehen wurde. Eine Sperrung oder Löschung der Daten erfolgt auch dann, wenn eine durch die genannten Normen vorgeschriebene Speicherfrist abläuft, es sei denn, dass eine Erforderlichkeit zur weiteren Speicherung der Daten für einen Vertragsabschluss oder eine Vertragserfüllung besteht.

photoTAN App

Die „photoTAN App“ wird von der comdirect – eine Marke der Commerzbank AG, Pascalkehre 15, 25451 Quickborn zur Verfügung gestellt. Nutzen Sie diese App, werden von uns in dem nachfolgend beschriebenen Umfang personenbezogene Daten erhoben, verarbeitet und genutzt.

Personenbezogene Daten werden in unseren Apps nur im technisch notwendigen Umfang bzw. für Ihre bedienfreundliche Verwendung der photoTAN App verarbeitet. In keinem Fall werden die verarbeiteten Daten ohne Ihre Zustimmung an Dritte weitergegeben.

Welche Daten werden verarbeitet und zu welchem Zweck werden sie verwendet?

Die comdirect ermöglicht es Ihnen, photoTAN Apps auf mehreren Endgeräten zu nutzen. Zur Aktivierung des Services photoTAN Push benötigen Sie Ihre Zugangsnummer, persönliche Identifikationsnummer (PIN) und ein von Ihnen festgelegtes Passwort. Mit der Eingabe Ihrer Daten wird die App mit Ihren Konten verknüpft. Dies ist notwendig, damit Aufträge und Services zu Ihren Konten in der App angezeigt und freigegeben werden können.

Bei jeder Aktivierung einer photoTAN App auf einem Endgerät wird eine spezifische Geräte ID generiert. Diese setzt sich zusammen aus einer immer gleichen comdirect-Server-ID-Nummer, einer vom IT-System der comdirect für die spezifische Aktivierung vergebenen „AccountID“ und Zufallswerten. Die Geräte ID dient einerseits dazu, zur Gewährleistung der Integrität und Sicherheit der auf einem bestimmten Endgerät genutzten photoTAN App diese im TAN-Verwaltungssystem der comdirect eindeutig zu identifizieren. Andererseits wird Ihnen mit der spezifischen Geräte ID die Möglichkeit gegeben, verschiedene eigene Endgeräte mit photoTAN Apps selbst eindeutig zu erkennen und zu verwalten. Die Geräte ID ist für Sie in der App unter „dem Reiter „Einstellungen“ und im Persönlichen Bereich unter www.comdirect.de unter dem Reiter „Verwaltung“ Auswahl „PIN/TAN-Verwaltung“ und photoTAN einsehbar.

Außerdem erhalten wir die Information über den von Ihnen verwandten „Gerätetyp“, ob Sie ein Endgerät mit einem Android- oder einem iOS Betriebssystem aktiviert haben. Zweck der Erhebung dieser Information und Verarbeitung in dem IT-System der comdirect ist es, wie bei der Geräte ID auch, dass Sie in der App unter dem Reiter „Einstellungen“ und in der PIN/TAN-Verwaltung unter www.comdirect.de im Persönlichen Bereich in der Lage sind, gegebenenfalls die einzelnen Aktivierungen der photoTAN auf unterschiedlichen Endgeräten voneinander zu unterscheiden bzw. zu identifizieren. Außerdem prüft die App bei ihrer Installation auf dem Endgerät, ob sie sich in dem richtigen, vom Hersteller autorisierten Betriebssystem befindet. Ist dies nicht der Fall, ist eine Aktivierung der photoTAN App auf dem Endgerät nicht möglich und Sie werden über diesen Umstand durch Fehlermeldungen informiert.

Daneben können Sie Ihren Endgeräten unter www.comdirect.de im Persönlichen Bereich eigene Gerätenamen zuweisen, damit Sie im Falle mehrerer aktivierter Endgeräte diese selbst besser auseinanderhalten können. Diese Information wird von der comdirect verarbeitet, doch nicht für andere Zwecke genutzt. Die Eingabemöglichkeit stellt lediglich einen Service für Sie dar.

Ferner verarbeiten wir zur eindeutigen Identifizierung der Aktivierung der jeweiligen photoTAN App das Datum dieser und zeigen dieses Datum auch im Persönlichen Bereich unter www.comdirect.de unter dem Reiter „Verwaltung“ Auswahl „PIN/TAN-Verwaltung“ und photoTAN an.

Die IMEI bzw. die Android-Seriennummer wird von der photoTAN App nur auf Ihrem Endgerät zum Zwecke des Schutzes der photoTAN App verwendet. Anhand dieser eindeutigen gerätebezogenen Merkmale erkennt die photoTAN App das von Ihnen verwendete Endgerät eindeutig. Somit können Ihre Aktivierungsdaten nicht ungewollt oder böswillig kopiert und zur Aktivierung einer weiteren photoTAN App auf einem anderen Endgerät verwendet werden. Diese gerätebezogenen Daten werden aber zu keinem Zeitpunkt an die comdirect übertragen, sondern verbleiben auf dem Endgerät selbst.

photoTAN Scan-Funktion

Die App enthält eine Funktion, um die photoTAN Grafiken mit der Gerätekamera einlesen zu können. Dazu ist es notwendig, das Systemrecht für den Zugriff auf die Gerätekamera anzufordern. Eine Speicherung oder Übertragung der Bilddaten findet nicht statt.

photoTAN Push-Funktion

Die App enthält eine Funktion, mit der Aufträge zur Freigabe direkt vom Server der comdirect abgeholt werden können. Hierbei werden Daten des freizugebenden Auftrags mittels einer gesicherten Internetverbindung an die App übertragen und verarbeitet. Die Daten zur Überprüfung und Freigabe bzw. Ablehnung eines Auftrags werden nicht in der App gespeichert und liegen nur temporär vor. Nach wenigen Minuten verschwinden die Daten aus der App unabhängig davon, ob Sie den Auftrag freigegeben oder abgelehnt haben. Für diese Funktion benötigt die App das Recht auf Internetfunktionen zugreifen zu können. Prinzip bedingt meldet sich die App am comdirectbankserver mit der jeweils zum Zugriff gültigen Internet Adresse des Mobiletelefons (IP-Adresse). Diese IP Adresse wird außer in den gesetzlich vorgeschriebenen technischen Logdateien nicht weiter gespeichert oder verarbeitet.

Push Benachrichtigungen

Weiterhin ist es möglich, Push Nachrichten zu erhalten, wenn ein neuer Auftrag zur Freigabe vorliegt. Für diese Funktion benötigt die App das Recht, Push Nachrichten empfangen zu können. Dazu hinterlegt die photoTAN App ein von den jeweiligen Betriebsystembetreibern erzeugtes Push-Token auf dem Server der comdirect. Dieses Token hat selbst keinerlei Personenbezug, sondern identifiziert für den Push Server lediglich die photoTAN App Installation auf dem Gerät, auf dem diese installiert ist.

Push Benachrichtigungen werden nur dann versendet, wenn Sie zuvor Ihre Einwilligung dazu gegeben haben. Über die Einstellungen der App kann die Einwilligung zum Erhalt von Push Benachrichtigungen widerrufen werden. Dadurch wird das Push Token vom comdirect Server gelöscht. Durch Löschung der App auf dem Gerät wird das Token ebenfalls unbrauchbar, da dann keine Verbindung zu einer existierenden App mehr besteht.

Der Versand der Benachrichtigungen auf das jeweilige Endgerät erfolgt über den Server des jeweiligen Anbieters, also den Apple Push Notification Service und Google Firebase für iOS-Geräte, bzw. den Google Firebase Cloud Messaging Service für Android-Geräte. Zur sicheren Kommunikation mit dem Endgerät teilt comdirect Apple bzw. Google, entsprechend des durch das Gerät verwendeten Betriebssystems, hierzu die Device Token ID mit. Dies ist eine aus der Geräte-ID erzeugte, eindeutige Verbindungsnummer, die die Zuordnung der Nachricht zum Endgerät des Benutzers ermöglicht.

Wer bekommt meine Daten und wofür?

Innerhalb der comdirect erhalten nur diejenigen Stellen auf ihre Daten Zugriff, die diese zur Wahrung unserer berechtigten Interessen oder zur Erfüllung unserer vertraglichen und gesetzlichen Pflichten brauchen.

Wir geben Ihre persönlichen Daten nur an Dritte weiter, wenn:

• Sie hierzu Ihre ausdrückliche Einwilligung nach Art. 6 Abs. 1 S. 1 lit. a DSGVO erteilt haben

• dies gesetzlich zulässig und nach Art. 6 Abs. 1 S. 1 lit. b DSGVO zur Erfüllung eines Vertragsverhältnisses mit Ihnen erforderlich ist

• nach Art. 6 Abs. 1 S. 1 lit. c DSGVO für die Weitergabe eine gesetzliche Verpflichtung besteht Ihre personenbezogenen Daten an externe Stellen weiterzuleiten. Dies kommt insbesondere für folgende Empfänger in Betracht:

  • Öffentliche Stellen, Aufsichtsbehörden und -organe, wie z.B. Bankenaufsicht (BaFin, EZB oder Bundesbank)

  • Rechtsprechungs-/Strafverfolgungsbehörden, wie z.B. Polizei, Staatsanwaltschaften, Gerichte

Wenn es zur Aufklärung einer rechtswidrigen Nutzung unserer Webseite dient oder für die Rechtsverfolgung erforderlich ist, können personenbezogene Daten an die Strafverfolgungsbehörden sowie gegebenenfalls an geschädigte Dritte weitergeleitet werden. Dies geschieht jedoch nur dann, wenn konkrete Anhaltspunkte für ein gesetzwidriges beziehungsweise missbräuchliches Verhalten vorliegen. Eine Weitergabe kann auch dann stattfinden, wenn dies der Durchsetzung von Nutzungsbedingungen oder anderer Vereinbarungen dient. Wir sind zudem gesetzlich verpflichtet, auf Anfrage bestimmten öffentlichen Stellen Auskunft zu erteilen. Dies sind Strafverfolgungsbehörden, Behörden, die bußgeldbewährte Ordnungswidrigkeiten verfolgen und die Finanzbehörden.

• die Weitergabe nach Art. 6 Abs. 1 S. 1 lit. f DSGVO zur Wahrung berechtigter Unternehmensinteressen, sowie zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen erforderlich ist und kein Grund zur Annahme besteht, dass Sie ein überwiegendes schutzwürdiges Interesse an der Nichtweitergabe Ihrer Daten haben.

Gelegentlich sind wir für die Erbringung unseres Service auf vertraglich verbundene externe Dienstleister angewiesen, beispielsweise für das Hosting von Subdomains oder Service- und Wartungsdienstleistungen von auf unserer Webseite eingesetzter Software sowie um auf unserer Webseite angebotene Funktionalitäten anzubieten. In solchen Fällen werden Informationen an diese Unternehmen bzw. Einzelpersonen weitergegeben, um diesen die weitere Bearbeitung zu ermöglichen. Diese externen Dienstleister werden von uns sorgfältig ausgewählt und auf Einhaltung der vertraglichen Vorgaben überprüft. Externe Dienstleister dürfen die Daten ausschließlich zu den von uns vorgegebenen Zwecken und gemäß unseren Weisungen verarbeiten.

Ihre Datenschutzrechte als betroffene Person

Aus der DSGVO ergeben sich für Sie als Betroffener einer Verarbeitung personenbezogener Daten die folgenden Rechte:

• Gemäß Art. 15 DSGVO können Sie Auskunft über Ihre von uns verarbeiteten personenbezogenen Daten verlangen. Sie können insbesondere Auskunft über die Verarbeitungszwecke, die Kategorien der personenbezogenen Daten, die Empfänger oder Kategorien von Empfängern, gegenüber denen Ihre Daten offengelegt wurden oder werden, die geplante Speicherdauer, das Bestehen eines Rechts auf Berichtigung, Löschung, Einschränkung der Verarbeitung oder Widerspruch, das Bestehen eines Beschwerderechts, die Herkunft ihrer Daten, sofern diese nicht bei uns erhoben wurden, über eine Übermittlung in Drittländer oder an internationale Organisationen sowie über das Bestehen einer automatisierten Entscheidungsfindung einschließlich Profiling und ggf. aussagekräftige Informationen zu deren Einzelheiten verlangen.

• Gemäß Art. 16 DSGVO können Sie unverzüglich die Berichtigung unrichtiger oder die Vervollständigung Ihrer bei uns gespeicherten personenbezogenen Daten verlangen.

• Gemäß Art. 17 DSGVO können Sie die Löschung Ihrer bei uns gespeicherten personenbezogenen Daten unter den in Art 17 Abs. 1 lit. a) bis f) DSGVO verlangen, etwa wenn Ihre Daten für die Zwecke, für die sie erhoben oder auf sonstige Weise verarbeitet wurden, nicht mehr erforderlich sind, soweit die Verarbeitung nicht zur Ausübung des Rechts auf freie Meinungsäußerung und Information, zur Erfüllung einer rechtlichen Verpflichtung, aus Gründen des öffentlichen Interesses oder zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen erforderlich ist.

• Gemäß Art. 18 DSGVO können Sie die Einschränkung der Verarbeitung Ihrer personenbezogenen Daten verlangen, soweit die Richtigkeit der Daten von Ihnen bestritten wird, die Verarbeitung unrechtmäßig ist, wir die Daten nicht mehr benötigen und Sie deren Löschung ablehnen, weil Sie diese zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen benötigen. In einem solchen Fall werden die Daten für die Verarbeitung gesperrt. Das Recht aus Art. 18 DSGVO steht Ihnen auch zu, wenn Sie gemäß Art. 21 DSGVO Widerspruch gegen die Verarbeitung eingelegt haben.

• Gemäß Art. 20 DSGVO steht Ihnen zudem das Recht zu, sofern wir Ihre personenbezogenen Daten zur Erfüllung eines Vertrags mit Ihnen oder auf Grundlage Ihrer Einwilligung verarbeiten, Ihre personenbezogenen Daten in einem strukturierten, gängigen und maschinenlesbaren Format zu erhalten oder direkt an einen anderen Verantwortlichen zu übermitteln, sofern und soweit Sie uns die Daten zur Verfügung gestellt haben.

• Gemäß Art. 7 Abs. 3 DSGVO können Sie Ihre einmal erteilte Einwilligung jederzeit gegenüber uns widerrufen. Dies hat zur Folge, dass wir die auf dieser Einwilligung beruhende Datenverarbeitung für die Zukunft nicht mehr fortführen dürfen. Dies gilt auch für den Widerruf von Einwilligungserklärungen, die vor der Geltung der Datenschutzgrundverordnung, also vor dem 25. Mai 2018, uns gegenüber erteilt worden sind. Bitte beachten Sie, dass der Widerruf erst für die Zukunft wirkt. Verarbeitungen, die vor dem Widerruf erfolgt sind, sind davon nicht betroffen.

• Gemäß Art. 77 DSGVO steht Ihnen das Recht zu, jederzeit Beschwerde bei einer Aufsichtsbehörde einzulegen, insbesondere bei einer Aufsichtsbehörde in dem Mitgliedstaat Ihres Aufenthaltsorts, Ihres Arbeitsplatzes oder des Orts des mutmaßlichen Verstoßes, wenn Sie der Ansicht sind, dass die Verarbeitung der Sie betreffenden personenbezogenen Daten gegen datenschutzrechtliche Bestimmungen verstößt.

Sollten Sie Auskunft über die zu Ihrer Person gespeicherten Daten wünschen, Ihre sonstigen Rechte durchsetzen möchten oder Fragen zum Datenschutz bei uns haben, können Sie sich mit uns über die unter Ziff. 2 (Verantwortliche Stelle) genannte Kontaktmöglichkeit in Verbindung setzen.

Information über Ihr Widerspruchsrecht nach Artikel 21 DSGVO

1. Einzelfallbezogenes Widerspruchsrecht

Sie haben das Recht, aus Gründen, die sich aus Ihrer besonderen Situation ergeben, jederzeit gegen die Verarbeitung Sie betreffender personenbezogener Daten, die aufgrund von Artikel 6 Absatz 1 Buchstabe e DSGVO (Datenverarbeitung im öffentlichen Interesse) und Artikel 6 Absatz 1 Buchstabe f DSGVO (Datenverarbeitung auf der Grundlage einer Interessenabwägung) erfolgt, Widerspruch einzulegen; dies gilt auch für ein auf diese Bestimmung gestütztes Profiling im Sinne von Artikel 4 Nr. 4 DSGVO.

Legen Sie Widerspruch ein, werden wir Ihre personenbezogenen Daten nicht mehr verarbeiten, es sei denn, wir können zwingende schutzwürdige Gründe für die Verarbeitung nachweisen, die Ihre Interessen, Rechte und Freiheiten überwiegen, oder die Verarbeitung dient der Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen.

2. Widerspruchsrecht gegen eine Verarbeitung von Daten für Zwecke der Direktwerbung

In Einzelfällen verarbeiten wir Ihre personenbezogenen Daten, um Direktwerbung zu betreiben. Sie haben das Recht, jederzeit Widerspruch gegen die Verarbeitung Sie betreffender personenbezogener Daten zum Zwecke derartiger Werbung einzulegen; dies gilt auch für das Profiling, soweit es mit solcher Direktwerbung in Verbindung steht. Widersprechen Sie der Verarbeitung für Zwecke der Direktwerbung, so werden wir Ihre personenbezogenen Daten nicht mehr für diese Zwecke verarbeiten.

3. Empfänger eines Widerspruchs

Der Widerspruch kann formfrei mit dem Betreff „Widerspruch” unter Angabe Ihres Namens, Ihrer Adresse und Ihres Geburtsdatums erfolgen und sollte gerichtet werden an:

comdirect – eine Marke der Commerzbank AG
Pascalkehre 15
25451 Quickborn

Änderungen dieser Datenschutzhinweise

Wir halten diese Datenschutzhinweise immer auf dem neuesten Stand. Deshalb behalten wir uns vor, sie von Zeit zu Zeit zu ändern und Änderungen bei der Verarbeitung Ihrer Daten nachzupflegen. Die aktuelle Fassung der Datenschutzhinweise ist stets unter der Rubrik "Datenschutz" auf unserer Webseite abrufbar.