1. Allgemeines 

Auch im Bereich des Datenschutzes setzt die Zürcher Kantonalbank ("Bank") auf einen offenen, transparenten und kundenfreundlichen Umgang. Unter "Personendaten" versteht die Bank Angaben, die sich auf eine bestimmte oder bestimmbare Person beziehen. Unter "Bearbeiten" versteht die Bank jeden Umgang mit Personendaten, unabhängig von den angewandten Mitteln und Verfahren, insbesondere das Beschaffen, Aufbewahren, Verwenden, Umarbeiten, Bekanntgeben, Archivieren oder Vernichten von Personendaten.

Für bestimmte Datenbearbeitungen, z.B. bei von der Bank angebotenen Apps wie ZKB TWINT, für ZKB eBanking Mobile oder Social Media Auftritte der Bank, bestehen weitere Bestimmungen (wie z.B. Allgemeine Geschäftsbedingungen oder Nutzungsbedingungen). Diese sind auf den entsprechenden Webseiten oder in den entsprechenden Apps verfügbar.

1.1 Allgemeine Geschäftsbedingungen

Die Bestimmungen in den Art. 15 bis 17 der Allgemeinen Geschäftsbedingungen (AGB), Ausgabe Januar 2018, enthalten allgemeine Hinweise zum Datenschutz insbesondere im Zusammenhang mit der Vertragserfüllung.

1.2 Datensicherheit

Die Bank verpflichtet sich insbesondere durch das Bankkundengeheimnis und das Datenschutzrecht zum Schutz Ihrer Privatsphäre nach Massgabe der anwendbaren Gesetze. Zu diesem Zweck trifft die Bank eine Vielzahl an Vorkehrungen, wie die Umsetzung von technischen und organisatorischen Sicherheitsmassnahmen (z.B. Einsatz von Firewalls, persönlichen Passwörtern sowie Verschlüsselungs- und Authentifizierungstechnologien, Zugriffsbeschränkungen, Sensibilisierung und Schulung von Mitarbeitenden, Ernennung eines Datenschutzberaters). 

2 Bearbeitungsrahmen

2.1 Kategorien von Personendaten

Je nachdem, welche Produkte und Dienstleistungen die Bank gegebenenfalls für Sie erbringt, kann sie die nachfolgenden Kategorien von Personendaten bearbeiten. Dabei bearbeitet die Bank so wenige Personendaten als nötig.

Die Bank bearbeitet Kundendaten. Darunter versteht sie insbesondere Folgendes:

• Stamm- und Bestandesdaten wie z.B. Name, Adresse, Geburtsdatum, Vertragsnummer und -dauer, Dokumente zur Feststellung der Kundenidentität, Informationen zum Konto, Depot, zu abgeschlossenen Geschäften oder über Dritte wie Lebenspartner, Bevollmächtigte und Berater, die von einer Datenbearbeitung mitbetroffen sind.
• Steuerwohnsitz und allenfalls weitere steuerlich relevante Dokumente und Informationen.
• Transaktions- bzw. Auftrags- und Risikomanagementdaten wie z.B. Angaben über Begünstigte bei Überweisungen oder Kartenzahlungen, Begünstigtenbank, gegebenenfalls Details zur Mandatserteilung, Angaben zu Ihrem Vermögen, Anlageprodukten, Risiko- und Anlageprofil, Betrugsfälle.
• Gegebenenfalls Aufzeichnungen über Telefonate zwischen Ihnen und der Bank.
• Marketingdaten wie z.B. Bedürfnisse, Wünsche, Präferenzen.
• Technische Daten, wie z.B. interne und externe Kennungen, Geschäftsnummern, IP-Adressen, Aufzeichnungen von Zugriffen oder Änderungen. 

Die Bank bearbeitet Interessenten- oder Besucherdaten (d.h. Besucher insbesondere von Filialen oder Webseiten). Darunter versteht sie insbesondere Folgendes:

• Stamm- und Bestandesdaten wie z.B. Name, Adresse, Geburtsdatum.
  
• Technische Daten wie z.B. interne und externe Kennungen, IP-Adressen, Aufzeichnungen von Zugriffen oder Änderungen.
  
• Marketingdaten wie z.B. Bedürfnisse, Wünsche, Präferenzen.

Die Bank bearbeitet Lieferantendaten. Darunter versteht sie insbesondere Folgendes:

•  Stammdaten- und Bestandesdaten wie z.B. Name, Adresse, Geburtsdatum, Vertragsnummer und -dauer, Informationen zum Konto oder zu abgeschlossenen Geschäften.
• Technische Daten wie z.B. interne und externe Kennungen, Geschäftsnummern, IP-Adressen, Aufzeichnungen von Zugriffen oder Änderungen.

2.2 Herkunft

Zur Erfüllung der Zwecke gemäss Ziff. 2.4 kann die Bank Personendaten folgender Herkunft erheben:

• Personendaten, die der Bank mitgeteilt werden, z.B. im Rahmen der Eröffnung einer Geschäftsbeziehung, eines Beratungsgesprächs, für Produkte und Dienstleistungen oder auf Webseiten der Bank.
• Personendaten, die aufgrund der Inanspruchnahme von Produkten oder Dienstleistungen anfallen und durch die technische Infrastruktur oder durch arbeitsteilige Prozesse an die Bank übermittelt werden, z.B. bei Webseiten, beim eBanking, bei Apps, im Zahlungsverkehr, im Wertschriftenhandel oder bei der Zusammenarbeit mit anderen Finanz- oder IT-Dienstleistern oder Marktplätzen und Börsen.
• Personendaten aus Drittquellen, z.B. der Zentralstelle für Kreditinformationen (ZEK), der Informationsstelle für Konsumkredit (IKO), Behörden, anderen Gesellschaften des Konzerns der Bank oder Sanktionslisten der UNO, des SECO und der EU.

2.3 Dauer der Speicherung

Die Dauer der Speicherung von Personendaten bestimmt sich nach gesetzlichen Aufbewahrungspflichten bzw. dem Zweck der jeweiligen Datenbearbeitung.

In der Regel speichert die Bank Personendaten für die Dauer der Geschäftsbeziehung bzw. Vertragsdauer und anschliessend für weitere fünf, zehn oder mehr Jahre (je nach anwendbarer Rechtsgrundlage). Dies entspricht der Zeitspanne, innerhalb derer Rechtsansprüche gegen die Bank geltend gemacht werden können. Laufende oder zu erwartende rechtliche oder aufsichtsrechtliche Verfahren können eine Speicherung über diese Frist hinaus zur Folge haben.

2.4 Zwecke

Die Bank kann die unter Ziff. 2.1 beschriebenen Personendaten zur Abwicklung eigener Leistungen sowie für eigene oder gesetzlich vorgesehene Zwecke bearbeiten. Darunter versteht sie insbesondere Folgendes:

• Kundenaufnahmeverfahren, Durchführung, Abwicklung und Verwaltung von Geschäftsbeziehung und von Produkten sowie Dienstleistungen einer Universalbank (z.B. Identitätsbestätigung, Antragsbewertung, Kreditentscheidungen, Finanzierungen, Finanzplanung, Zahlungen, Rechnungen, Konten, Karten, Anlage, Börse, Vorsorge, Gründung, Nachfolge und Versicherung, eFinance, Kundenservice, Kommunikation).
• Statistik, Planung oder Produkteentwicklung, Geschäftsentscheide (z.B. Ermittlung von Kennzahlen zur Nutzung von Dienstleistungen, Auslastungsziffern, Transaktionsanalysen, Entwicklung von Ideen für neue oder die Beurteilung oder Verbesserung und Überprüfung bestehender Produkte, Dienstleistungen, Verfahren, Technologien, Systeme und Renditen).
• Überwachung und Steuerung von Risiken, Geschäftsprüfung, Geschäftseröffnung, zeitgerechte Geschäftsabwicklung (z.B. Betrugsbekämpfung, Anlageprofile, Limiten, Markt-, Kredit- oder operationelle Risiken und System- sowie Produktschulungen).
• Marketing, Marktforschung, umfassende Betreuung, Beratung und Information über das Dienstleistungsangebot, Vorbereitung und Erbringung massgeschneiderter Dienstleistungen (z.B. Direktmarketing, Werbung im Print- und Online Bereich, Kunden-, Interessenten- oder Kulturanlässe, Sponsoring, Gewinnspiele, Ermittlung der Kundenzufriedenheit, künftiger Kundenbedürfnisse oder -verhalten oder Beurteilung eines Kunden-, Markt- oder Produktpotentials).
• Gesetzliche oder regulatorische Auskunfts-, Informations- oder Meldepflichten an Gerichte, Behörden, Erfüllung behördlicher Anordnungen (z.B. automatischer Informationsaustausch mit ausländischen Steuerbehörden, Anordnungen der FINMA, Staatsanwaltschaften, im Zusammenhang mit Geldwäscherei und Terrorismusfinanzierung oder zur Aufzeichnung und Überwachung der Kommunikation).
• Wahrung der Interessen und Sicherung der Ansprüche der Bank im Falle von Forderungen gegenüber der Bank bzw. Bankkunden sowie Wahrung der Sicherheit der Kunden und Mitarbeitenden.
• Allfällige weitere Zwecke, über die Sie von der Bank in Kenntnis gesetzt werden. 

2.5 Grundlagen für die Bearbeitung von Personendaten

Je nachdem, welche Produkte und Dienstleistungen die Bank gegebenenfalls für Sie erbringt bzw. zu welchem Zweck die Personendaten bearbeitet werden, beruht die Datenbearbeitung auf folgender Grundlage:

• Aufnahme, Abschluss oder Durchführung eines Vertrags bzw. Geschäftsbeziehung mit Ihnen oder für die Erfüllung der Pflichten der Bank aus einem solchen Vertrag bzw. Geschäftsbeziehung.
• Gegebenenfalls zur Wahrung berechtigter Interessen der Bank z.B. Statistik, Planung oder Produkteentwicklung, Geschäftsentscheide; Überwachung und Steuerung von Risiken, Geschäftsprüfung; Marketing, Marktforschung, umfassende Betreuung, Beratung und Information über das Dienstleistungsangebot, Vorbereitung und Erbringung massgeschneiderter Dienstleistungen – soweit kein Widerspruch erfolgt ist; Wahrung der Interessen und Sicherung der Ansprüche der Bank, Kunden und Mitarbeitenden.
• Gegebenenfalls zur Erfüllung rechtlicher oder regulatorischer Pflichten der Bank oder die Wahrnehmung von Aufgaben im öffentlichen Interesse.
• Gegebenenfalls aufgrund Ihrer Einwilligung¹.

¹ Einwilligungen, welche aus sonstigen Gründen eingeholt werden, bspw. aufgrund der Bestimmungen zum Bankkundengeheimnis gemäss Bundesgesetz über die Banken und Sparkassen (BankG), werden vom vorliegenden Kapitel nicht berührt. 

2.6 Besteht für Sie eine Pflicht zur Bereitstellung von Personendaten?

Wenn Personendaten, welche die Bank bearbeitet, zur Erfüllung rechtlicher oder aufsichtsrechtlicher Pflichten oder für die Aufnahme, Abschluss oder Durchführung eines Vertrags bzw. Geschäftsbeziehung mit Ihnen erforderlich sind, kann es sein, dass die Bank Sie nicht als Kunden aufnehmen oder kein Produkt oder Dienstleistungen für Sie erbringen kann, wenn die Bank diese Personendaten nicht bearbeiten kann. In diesem Fall werden wir Sie entsprechend informieren.

2.7 Bestehen einer automatisierten Einzelentscheidung im Einzelfall einschliesslich Profiling

Die Bank behält sich vor, inskünftig Kundendaten (einschliesslich Daten mitbetroffener Dritter, vgl. Ziff. 2.1) auch automatisiert zu analysieren und zu bewerten, um wesentliche persönliche Merkmale des Kunden zu erkennen oder Entwicklungen vorherzusagen und Kundenprofile zu erstellen. Diese dienen insbesondere der Geschäftsprüfung und der individuellen Beratung und Bereitstellung von Angeboten und Informationen, welche die Bank und ihre Konzerngesellschaften dem Kunden gegebenenfalls zur Verfügung stellen.

Kundenprofile können inskünftig auch zu automatisierten Einzelentscheidungen führen, z.B. um Aufträge des Kunden im eBanking automatisiert anzunehmen und auszuführen.

Die Bank stellt sicher, dass eine geeignete Ansprechperson verfügbar ist, wenn der Kunde sich zu einer automatisierten Einzelentscheidung äussern möchte und eine solche Äusserungsmöglichkeit gesetzlich vorgesehen ist.

2.8 Kategorien vorgesehener Empfänger, Garantien und Auslandsbekanntgabe

Innerhalb der Bank erhalten nur diejenigen Stellen Zugriff auf Ihre Personendaten, welche diese zur Aufnahme, Abschluss oder Durchführung eines Vertrags bzw. Geschäftsbeziehung, aufgrund gesetzlicher oder regulatorischer Pflichten oder für die Wahrnehmung von Aufgaben im öffentlichen Interesse benötigen.

Die Bank gibt Kundendaten Dritten nur in folgenden Fällen bekannt – abhängig von der Art der bezogenen Produkte und Dienstleistungen:

• Zur Auftragsausführung, d.h. Inanspruchnahme von Produkten oder Dienstleistungen, z.B. an Zahlungsempfänger, Begünstigte, Kontenbevollmächtigte, Intermediäre sowie Korrespondenzbanken, weiterer an einer Transaktion beteiligten Parteien, Dienstleister (z.B. Swisscom), Börsen- oder Marktplätze, Meldungen von bestimmten Börsentransaktionen an internationale Transaktionsregister.
• Mit Einwilligung des Kunden an Konzerngesellschaften zum Zweck der umfassenden Kundenbetreuung und für Auslagerungen.
• Aufgrund gesetzlicher Verpflichtungen, gesetzlicher Rechtfertigungsgründe oder behördlicher Anordnungen, z.B. an Gerichte oder Aufsichtsbehörden im Bereich des Finanzmarkt- oder Steuerrechts oder soweit erforderlich zur Wahrung berechtigter Interessen der Bank im In- und Ausland. Letzteres trifft insbesondere zu bei vom Kunden gegen die Bank angedrohten oder eingeleiteten rechtlichen Schritten oder öffentlichen Äusserungen, zur Sicherung der Ansprüche der Bank gegenüber dem Kunden oder Dritter, beim Inkasso von Forderungen der Bank gegen den Kunden und zur Wiederherstellung des Kundenkontakts nach Kontaktabbruch bei den zuständigen schweizerischen Behörden.

Auftragsbearbeiter sind Dritte, welche Personendaten im Auftrag und für die Zwecke der Bank bearbeiten, z.B. IT-, Marketing- Vertriebs-, oder Kommunikationsdienstleister, Inkassounternehmen, Betrugsbekämpfungsstellen, Kreditauskunfteien oder Beratungsgesellschaften. Findet eine Bekanntgabe von Personendaten an einen solchen Auftragsbearbeiter statt, darf er die erhaltenen Personendaten nur so bearbeiten wie die Bank selber. Die Bank wählt ihre Auftragsbearbeiter sorgfältig aus und verpflichten sie vertraglich dazu, die Vertraulichkeit, das Bankkundengeheimnis in der Schweiz sowie die Sicherheit der Personendaten zu gewährleisten.

Je nachdem, welche Art von Produkt oder Dienstleistung in Anspruch genommen wird, müssen Personendaten u.U. auch Dritten (inkl. Auftragsbearbeitern) mit Sitz in Staaten bekanntgegeben werden, in denen kein angemessenes Datenschutzniveau vorherrscht (vgl. auch Art. 16 AGB in Bezug auf die Geltung des schweizerischen Bankkundengeheimnisses). Über kein angemessenes Datenschutzniveau verfügen z.B. die Vereinigten Staaten von Amerika. Bei einer Übermittlung in ein solches Land, verlangt die Bank, dass der Empfänger angemessene Massnahmen zum Schutz von Personendaten trifft (z.B. mittels der Vereinbarung von sog. EU Standardklauseln, anderer Vorkehrungen oder gestützt auf Rechtfertigungsgründe; eine Kopie der EU Standardklauseln kann kostenlos bei uns bezogen werden).

3 Rechte

Sie haben das Recht auf Auskunft, Berichtigung, Löschung, Einschränkung, Widerspruch sowie – soweit anwendbar – das Recht auf Datenübertragbarkeit. Darüber hinaus besteht ein Beschwerderecht bei einer zuständigen Datenschutzaufsichtsbehörde (vgl. Ziff. 5).

Auskunftsgesuche nimmt die Bank schriftlich, zusammen mit einer gut leserlichen Kopie eines gültigen amtlichen Ausweises (z.B. Pass, Identitätskarte, Führerausweis) unter folgender Adresse entgegen: Zürcher Kantonalbank, Datenschutzberater, Legal & Compliance, Postfach, 8010 Zürich.

Bei den Lösch- und Widerspruchsrechten handelt es sich nicht um uneingeschränkte Rechte. Je nach Einzelfall können übergeordnete Interessen eine weitere Bearbeitung erforderlich machen. Die Bank prüft jeden Einzelfall und teilt Ihnen das Ergebnis mit. Wenn Personendaten für Direktmarketing bearbeitet werden, erstreckt sich Ihr Recht auf Widerspruch auch auf Direktmarketing, einschliesslich Profiling für Marketingzwecke. Sie können gegen Direktmarketing jederzeit Widerspruch einlegen, indem Sie der Bank eine entsprechende Mitteilung zukommen lassen (vgl. Ziff. 5).

Eine gegebenenfalls erteilte Einwilligung in die Bearbeitung von Personendaten können Sie jederzeit gegenüber der Bank widerrufen. Bitte beachten Sie, dass der Widerruf erst für die Zukunft wirkt. Bearbeitungen die vor dem Widerruf erfolgt sind, sind davon nicht betroffen.

Falls die Bank Ihren Erwartungen im Hinblick auf die Bearbeitung von Personendaten nicht entspricht, Sie sich über Datenschutzpraktiken der Bank beschweren möchten oder Ihre Rechte ausüben wollen, teilen Sie dies bitte der Bank mit (vgl. Ziff. 5). Dies gibt der Bank u.a. die Möglichkeit, Ihr Anliegen zu prüfen und sich allenfalls zu verbessern. Um die Bank bei der Beantwortung Ihrer Anfrage zu unterstützen, werden Sie um eine entsprechende aussagekräftige Mitteilung gebeten. Die Bank wird Ihr Anliegen innert angemessener Zeit prüfen und beantworten.

4 Änderungen von Personendaten

Die Bank ist verpflichtet, die Personendaten sachlich richtig zu bearbeiten und auf dem neusten Stand zu halten. Teilen Sie bitte der Bank Änderungen der Personendaten auf dem üblicherweise verwendeten Kommunikationsweg mit.

5 Kontaktdaten und Ausübung Ihrer Rechte

Die Bank ist verantwortlich für die Bearbeitung von Personendaten:

Zürcher Kantonalbank
Sitz Zürich
Bahnhofstrasse 9
8001 Zürich

Allgemeine Fragen, Anregungen und Bemerkungen können Sie an Ihren Kundenberater richten.

Ihre Fragen im Zusammenhang mit Datenschutz können Sie an folgende Fachstelle richten: Zürcher Kantonalbank, Datenschutzberater, Legal & Compliance, Postfach, 8010 Zürich oder senden Sie uns eine Mitteilung per E-Mail an datenschutz@zkb.ch.

Wenn Sie mit der Reaktion der Bank nicht zufrieden sind, haben Sie das Recht, Beschwerde bei der Datenschutzbehörde in der Rechtsordnung, in der Sie leben oder arbeiten oder am Ort in dem Ihrer Ansicht nach ein Problem in Bezug auf die Personendaten aufgetreten ist, einzulegen.

6 Stand der Datenschutzerklärung

Die vorliegende Datenschutzerklärung wurde zuletzt im Mai 2018 aktualisiert. Sie legt allgemein die Bearbeitung von Personendaten durch die Bank dar. Die vorliegende Datenschutzerklärung ist kein Vertragsbestandteil zwischen der Bank und Ihnen. Die Bank behält sich vor, diese Datenschutzerklärung von Zeit zu Zeit anzupassen. Im Falle einer solchen Anpassung werden Sie auf angemessene Weise informiert, je nachdem, wie üblicherweise mit Ihnen kommuniziert wird, bspw. über die Webseite auf zkb.ch.

Jüngste Aktualisierung: Mai 2018