Je nachdem, welche Produkte und Dienstleistungen die Bank gegebenenfalls für Sie erbringt, kann sie die nachfolgenden Kategorien von Personendaten bearbeiten. Dabei bearbeitet die Bank so wenige Personendaten wie nötig.

2.1.1 Ehemalige, bestehende sowie potenzielle Kunden (bzw. Interessenten)

Darunter versteht sie insbesondere Folgendes:

• Stamm- und Bestandesdaten wie z.B. Name, Adresse, Telefonnummer, E-Mail-Adresse, Geburtsdatum, Nationalität, Beruf, wirtschaftliche und familiäre Verhältnisse, finanzielle Ziele, Anlagewissen und -erfahrung, Vertragsnummer und -dauer, Identifikations- und Authentifikationsdaten z.B. Login für eBanking, Dokumente zur Feststellung der Kundenidentität wie z.B. ID oder Pass, Informationen zum Konto, Depot, Karten und Zahlungen, zu aktuellen oder abgeschlossenen Geschäften, Verträgen, Produkten, Dienstleistungen; Angaben über Dritte wie Lebenspartner, Familienmitglieder, Bevollmächtigte und Berater, die von einer Datenbearbeitung mitbetroffen sind.
• Steuerwohnsitz und allenfalls weitere steuerlich relevante Dokumente und Informationen.
• Transaktions- bzw. Auftrags- und Risikomanagementdaten wie z.B. Angaben über Begünstigte, Gegenparteien, Drittbanken bei Überweisungen oder Kartenzahlungen, gegebenenfalls Details zur Mandatserteilung, Angaben zu Ihrem Vermögen, Immobilien, Finanzierungen, Bonität, Anlageprodukten, Risiko- und Anlageprofil, Betrugsfälle, Anfragen, Beratungen, Gespräche, physische oder elektronische Korrespondenz.
• Besonders schützenswerte Personendaten wie z.B. biometrische Daten zwecks Stimmerkennung bei Telefonanrufen für die Identifikation des Anrufers
• Gegebenenfalls Aufzeichnungen über Telefonate zwischen Ihnen und der Bank oder Videoaufzeichnungen beim Aufenthalt in unseren Geschäftsräumen oder Nutzung unserer Bankomaten.
• Marketingdaten wie z.B. Bedürfnisse, Wünsche, Interessen, Präferenzen, Angaben über die Nutzung von Produkten, Dienstleistungen oder Kontakt- und Kommunikationskanälen.
• Technische Daten, wie z.B. interne und externe Kennungen, Geschäftsnummern, IP-Adressen, Aufzeichnungen von Zugriffen oder Änderungen.

2.1.2 Besucherdaten (d.h. Besucher insbesondere von Filialen oder Webseiten)

Darunter versteht sie insbesondere Folgendes:

• Stamm- und Bestandesdaten wie z.B. Name, Telefonnummer, E-Mail-Adresse, Adresse, Geburtsdatum, Personendaten mittels eines Formulars
• Gegebenenfalls Aufzeichnungen über Telefonate zwischen Ihnen und der Bank oder Videoaufzeichnungen beim Aufenthalt in unseren Geschäftsräumen oder Nutzung unserer Bankomaten.
• Technische Daten wie z.B. interne und externe Kennungen, IP-Adressen, Aufzeichnungen von Zugriffen oder Änderungen
• Marketingdaten wie z.B. Bedürfnisse, Wünsche, Präferenzen, Interaktionen.
• Daten, die uns aufgrund Ihres Besuchs unseren Webseiten übermittelt werden oder Sie uns bekanntgeben (z.B. via Formular).

2.1.3 Mitarbeiterdaten von Lieferanten

Darunter versteht sie insbesondere Folgendes:

• Stammdaten- und Bestandesdaten wie z.B. Name, Adresse, Funktion, Telefonnummer, E-Mail-Adresse, Geburtsdatum, Vertragsnummer und -dauer, Informationen zu laufenden oder abgeschlossenen Dienstleistungen, Produkten oder Projekten.
• Gegebenenfalls Aufzeichnungen über Telefonate zwischen Ihnen und der Bank oder Videoaufzeichnungen beim Aufenthalt in unseren Geschäftsräumen oder Nutzung unserer Bankomaten.
• Technische Daten wie z.B. interne und externe Kennungen, Geschäftsnummern, IP-Adressen, Aufzeichnungen von Zugriffen oder Änderungen.

Die Dauer der Speicherung von Personendaten bestimmt sich nach gesetzlichen Aufbewahrungspflichten bzw. dem Zweck der jeweiligen Datenbearbeitung.

In der Regel speichert die Bank Personendaten für die Dauer der Geschäftsbeziehung bzw. Vertragsdauer und anschliessend für weitere fünf, zehn oder mehr Jahre (je nach anwendbarer Rechtsgrundlage). Dies entspricht der Zeitspanne, innerhalb derer Rechtsansprüche gegen die Bank geltend gemacht werden können. Laufende oder zu erwartende rechtliche oder aufsichtsrechtliche Verfahren können eine Speicherung über diese Frist hinaus zur Folge haben.

Die Bank kann die unter Ziff. 2.1 beschriebenen Personendaten zur Abwicklung eigener Leistungen sowie für eigene oder gesetzlich vorgesehene Zwecke bearbeiten. Darunter versteht sie insbesondere Folgendes:

• Kundenaufnahmeverfahren, Prüfung, Abschluss, Durchführung, Abwicklung und Verwaltung von Geschäftsbeziehung und von Produkten sowie Dienstleistungen einer Universalbank (z.B. Kommunikation, Identitätsbestätigung, Antragsbewertung, Kreditentscheidungen, Finanzierungen, Finanzplanung, Zahlungen, Rechnungen, Konten, Karten, Anlage, Börse, Vorsorge, Gründung, Nachfolge und Versicherung, eFinance, Kundenservice, Kommunikation).
• Statistik, Planung oder Produkteentwicklung, Geschäftsentscheide (z.B. Ermittlung von Kennzahlen zur Nutzung von Dienstleistungen, Auslastungsziffern, Transaktionsanalysen; Entwicklung von Ideen für neue oder die Beurteilung oder Verbesserung und Überprüfung bestehender Produkte, Dienstleistungen, Verfahren, Technologien, Systeme und Renditen).
• Überwachung und Steuerung von Risiken, Geschäftsprüfung, Geschäftseröffnung, zeitgerechte Geschäftsabwicklung (z.B. Betrugsbekämpfung, Anlageprofile, Limiten, Markt-, Kredit- oder operationelle Risiken und System- sowie Produkt- und Mitarbeiterschulungen).
• Vermittlung von Produkten und Dienstleistungen Dritter wie z.B. Kredit- oder Debitkarten.
• Marketing, Marktforschung, Kundenbeziehungspflege, Kundenrückgewinnung, umfassende Betreuung, Beratung und Information über das Dienstleistungsangebot, Vorbereitung und Erbringung massgeschneiderter Dienstleistungen (z.B. Direktmarketing, Werbung im Print- und Online Bereich, Kunden-, Interessenten- oder Kulturanlässe, Wettbewerbe, Sponsoring, Gewinnspiele, Ermittlung der Kundenzufriedenheit, künftiger Kundenbedürfnisse oder -verhalten oder Beurteilung eines Kunden-, Markt- oder Produktpotentials).
• Gesetzliche oder regulatorische Prüfungs-, Auskunfts-, Informations- oder Meldepflichten an Gerichte, Behörden, Erfüllung behördlicher Anordnungen (z.B. Identitätsprüfung, automatischer Informationsaustausch mit ausländischen Steuerbehörden, Anordnungen der FINMA, Staatsanwaltschaften, im Zusammenhang mit Betrugs- sowie Geldwäschereiprävention und Terrorismusfinanzierung oder zur Aufzeichnung und Überwachung der Kommunikation).
• Wahrung der Interessen und Sicherung der Ansprüche der Bank im Falle von Forderungen gegenüber der Bank bzw. Bankkunden sowie Wahrung der Sicherheit der Kunden und Mitarbeitenden.
• Betrieb der Webseite (z.B. zur technischen Verwaltung und Weiterentwicklung der ZKB-Webseiten).
• Allfällige weitere Zwecke, über die Sie von der Bank in Kenntnis gesetzt werden.

Zur Erfüllung der Zwecke gemäss Ziff. 2.3 kann die Bank Personendaten folgender Herkunft erheben:

• Personendaten, die der Bank mitgeteilt werden, z.B. im Rahmen der Eröffnung einer Geschäftsbeziehung, eines Beratungsgesprächs, einer Kommunikation mit der Bank, für Produkte und Dienstleistungen oder auf Webseiten und Apps der Bank. Bitte geben Sie uns Personendaten Dritter ausserhalb einer gesetzlichen Pflicht nur bekannt, wenn Sie die betroffenen Drittpersonen vorgängig auf die vorliegende Datenschutzerklärung aufmerksam gemacht haben.
• Personendaten, die aufgrund der Inanspruchnahme von Produkten oder Dienstleistungen anfallen und durch die technische Infrastruktur oder durch arbeitsteilige Prozesse an die Bank übermittelt werden (z.B. bei Webseiten, beim eBanking, bei Apps, im Zahlungsverkehr, im Wertschriftenhandel oder bei der Zusammenarbeit mit anderen Finanz- oder IT-Dienstleistern oder Marktplätzen und Börsen).
• Personendaten aus Drittquellen z.B. von Korrespondenzbanken im Zahlungsverkehr oder der Zentralstelle für Kreditinformationen (ZEK), der Informationsstelle für Konsumkredit (IKO), Kreditauskunfteien, Bonitätsprüfern, Adresshändlern, Versicherungen, Behörden, anderen Gesellschaften des Konzerns der Bank oder Sanktionslisten der UNO, des SECO und der EU.
• Personendaten, die öffentlich zugänglich sind, z.B. im Internet, in den Medien, in öffentlichen Registern wie z.B. Grundbuch- oder Handelsregisterämtern.

Je nachdem, welche Produkte und Dienstleistungen die Bank gegebenenfalls für Sie erbringt bzw. zu welchem Zweck die Personendaten bearbeitet werden, beruht die Datenbearbeitung auf folgender Grundlage:

• Aufnahme, Abschluss oder Durchführung eines Vertrags bzw. einer Geschäftsbeziehung mit Ihnen oder für die Erfüllung der Pflichten der Bank aus einem solchen Vertrag bzw. Geschäftsbeziehung (inkl. erforderlicher vorvertraglicher Massnahmen) z.B. für Finanzierungen, Finanzplanung, Zahlungen, Rechnungen, Konten, Karten, Anlage, Börse, Vorsorge, Gründung, Nachfolge und Versicherung, eFinance, Kundenservice.
• Gegebenenfalls zur Wahrung berechtigter Interessen der Bank z.B. Statistik, Planung oder Produkteentwicklung, Geschäftsentscheide; Überwachung und Steuerung von Risiken, Geschäftsprüfung; Marketing, Marktforschung, Kundenbeziehungspflege, umfassende Betreuung, Beratung und Information über das Dienstleistungsangebot, Vorbereitung und Erbringung massgeschneiderter Dienstleistungen – soweit kein Widerspruch erfolgt ist; Wahrung der Interessen und Sicherung der Ansprüche der Bank, Kunden und Mitarbeitenden.
• Gegebenenfalls zur Erfüllung gesetzlicher oder regulatorischer Pflichten der Bank oder die Wahrnehmung von Aufgaben im öffentlichen Interesse z.B. aufgrund des schweizerischen Bankengesetzes, Kollektivanlagegesetzes, Geldwäschereigesetzes, Pfandbriefgesetzes, FINMA-Verordnungen und -Rundschreiben, Steuergesetze (vgl. auch Informationen rund um Steuerabkommen und den Informationsaustausch mit Behörden).
• Gegebenenfalls aufgrund Ihrer Einwilligung¹.

¹ Einwilligungen, welche aus sonstigen Gründen eingeholt werden, bspw. aufgrund der Bestimmungen zum Bankkundengeheimnis gemäss Bundesgesetz über die Banken und Sparkassen (BankG), werden vom vorliegenden Kapitel nicht berührt.

Wenn Personendaten, welche die Bank bearbeitet, zur Erfüllung rechtlicher oder aufsichtsrechtlicher Pflichten oder für die Aufnahme, Abschluss oder Durchführung eines Vertrags bzw. Geschäftsbeziehung mit Ihnen erforderlich sind, kann es sein, dass die Bank Sie nicht als Kunden aufnehmen oder kein Produkt oder Dienstleistungen für Sie erbringen kann, wenn die Bank diese Personendaten nicht bearbeiten kann. In diesem Fall werden wir Sie entsprechend informieren.

Die Bank behält sich vor, inskünftig Kundendaten (einschliesslich Daten mitbetroffener Dritter, vgl. Ziff. 2.1) auch automatisiert zu analysieren und zu bewerten, um wesentliche persönliche Merkmale des Kunden zu erkennen oder Entwicklungen vorherzusagen und Kundenprofile zu erstellen. Diese dienen insbesondere der Geschäftsprüfung und -Abwicklung (z.B. im Zusammenhang mit der Ermittlung einer Anlagestrategie, Risikoprofilen, Bonitätsprüfung, Geldwäscherei-, Missbrauchs- und Betrugsbekämpfung, IT-Sicherheit) und der individuellen Beratung und Bereitstellung von Angeboten und Informationen (z.B. Marketing, Produktentwicklung- und Verbesserung, damit Sie nur Angebote erhalten, die Ihren Interessen entsprechen), welche die Bank und ihre Konzerngesellschaften dem Kunden gegebenenfalls zur Verfügung stellen.

Kundenprofile können inskünftig auch zu automatisierten Einzelentscheidungen führen, z.B. automatisierte Bonitätsentscheidungen, um Aufträge des Kunden im eBanking automatisiert anzunehmen und auszuführen.

Die Bank stellt sicher, dass eine geeignete Ansprechperson verfügbar ist, wenn der Kunde sich zu einer automatisierten Einzelentscheidung äussern möchte und eine solche Äusserungsmöglichkeit gesetzlich vorgesehen ist.

2.8.1 Empfänger

Innerhalb der Bank erhalten nur diejenigen Stellen Zugriff auf Ihre Personendaten, welche diese zur Aufnahme, Abschluss oder Durchführung eines Vertrags bzw. Geschäftsbeziehung, aufgrund gesetzlicher oder regulatorischer Pflichten oder für die Wahrnehmung von Aufgaben im öffentlichen Interesse benötigen.

Die Bank gibt Kundendaten Dritten nur in folgenden Fällen bekannt – abhängig von der Art der bezogenen Produkte und Dienstleistungen:

• Zur Auftragsausführung, d.h. Inanspruchnahme von Produkten oder Dienstleistungen, z.B. an Zahlungsempfänger, Begünstigte, Kontenbevollmächtigte, Intermediäre sowie Korrespondenzbanken, Broker, Clearingstellen, weiterer an einer Transaktion beteiligten Parteien, Dienstleister (z.B. Swisscom), Börsen- oder Marktplätze, Meldungen von bestimmten Börsentransaktionen an internationale Transaktionsregister.
• Mit Einwilligung des Kunden an Konzerngesellschaften zum Zweck der umfassenden Kundenbetreuung und für Auslagerungen.
• Aufgrund gesetzlicher Verpflichtungen, gesetzlicher Rechtfertigungsgründe oder behördlicher Anordnungen, z.B. an Gerichte, Strafverfolgungs- oder Aufsichtsbehörden z.B. im Bereich des Finanzmarkt- oder Steuerrechts oder soweit erforderlich zur Wahrung berechtigter Interessen der Bank im In- und Ausland. Letzteres trifft insbesondere zu bei vom Kunden gegen die Bank angedrohten oder eingeleiteten rechtlichen Schritten oder öffentlichen Äusserungen, zur Sicherung der Ansprüche der Bank gegenüber dem Kunden oder Dritter, beim Inkasso von Forderungen der Bank gegen den Kunden und zur Wiederherstellung des Kundenkontakts nach Kontaktabbruch bei den zuständigen schweizerischen Behörden.

Unter Auftragsbearbeiter (Auftragsverarbeiter) werden Dritte verstanden, welche Personendaten im Auftrag und für die Zwecke der Bank bearbeiten, z.B. IT-, Marketing-, Marktforschungs-, Vertriebs-, oder Kommunikationsdienstleister, Logistikunternehmen, Druckdienstleister, Finanzdienstleister, Immobiliendienstleister, Ratingagenturen, Inkassounternehmen, Betrugsbekämpfungsstellen, Informations- und Cybersecuritydienstleister, Kreditauskunfteien oder Beratungsgesellschaften. Findet eine Bekanntgabe von Personendaten an einen solchen Auftragsbearbeiter statt, darf er die erhaltenen Personendaten nur so bearbeiten wie die Bank es selbst tut. Die Bank wählt ihre Auftragsbearbeiter sorgfältig aus und verpflichten sie vertraglich dazu, die Vertraulichkeit, das Bankkundengeheimnis in der Schweiz sowie die Sicherheit der Personendaten zu gewährleisten.

2.8.2 Ort der Bekanntgabe

Der Ort der Datenbekanntgabe hängt von der Art des in Anspruch genommenen Produkts oder Dienstleistung ab. Aufgrund unseres Geschäftsmodells als Universalbank gibt es dabei folgende Konstellationen:

• Die Bank handelt und verwahrt Effekten sowie Finanzinstrumente und/oder tätigt Treuhandanlagen und Fremdwährungsgeschäfte im Auftrag des Kunden. In diesem Zusammenhang kann es aufgrund ausländischen Rechts und vertraglicher Bestimmungen erforderlich sein, dass die Bank offenlegt, für wen sie tätig ist. Dies kann dazu führen, dass die Bank bestimmte Personen, Informationen und Dokumente gegenüber Behörden und Unternehmen im Ausland oder in der Schweiz offenlegen muss. Dabei ist zu beachten, dass Handel (je nach Börse oder Handelssystem), nachgelagerte Abwicklungsschritte und Verwahrung möglicherweise in Drittstaaten stattfinden. Die Offenlegungspflichten variieren von Land zu Land. Zudem können jederzeit neue Offenlegungspflichten entstehen oder bestehende angepasst werden. Weitere Informationen zum Ort der Bekanntgabe von Personendaten im Zusammenhang Effekten sowie Finanzinstrumente und/oder Treuhandanlagen und Fremdwährungsgeschäfte wurden Ihnen bereits im Zusammenhang mit den spezifischen Dienstleistungen und Produkten mitgeteilt (vgl. Allgemeine Geschäftsbedingungen und Bestimmungen zu unseren Produkten und Dienstleistungen sowie rechtliche Hinweise und Informationen rund um unser Handels- und Anlagegeschäft, insbesondere Offenlegung von Kundendaten im Zusammenhang mit Finanzmarkt und Fremdwährungsgeschäften, Aktionärsrechterichtlinie II, Ländervorgaben bei Auslandszahlungen, Markets in Financial Instruments Regulation (MiFIR) sowie die Wegleitungen der SBVg (Februar 2016 und Juni 2009).
  
• Im Zusammenhang mit der Verwaltung von Verträgen mit ihren Lieferanten kann die Bank auch Kontaktdaten wie z.B. Name, E-Mail-Adresse oder Telefonnummer ihrer Ansprechpersonen (Mitarbeitende von Lieferanten) bearbeiten. Diese Kontaktdaten werden in einem IT-System mit Serverstandort Deutschland bearbeitet.

2.8.3 Garantien

Werden Personendaten ausnahmsweise in Staaten bekanntgegeben, in denen kein angemessenes Datenschutzniveau vorherrscht (vgl. auch Art. 16 AGB sowie Informationen in Bezug auf die Geltung des schweizerischen Bankkundengeheimnisses und Datenschutzrechts; diese gelten sinngemäss auch für Besucher- und Mitarbeiterdaten von Lieferanten) verpflichtet die Bank den Empfänger durch den Abschluss anerkannter Standardvertragsklauseln zur Einhaltung eines angemessenen Datenschutzniveaus oder die Bank stützt sich auf eine gesetzliche Ausnahmebestimmung (z.B. den Abschluss oder Abwicklung eines Vertrags, die Wahrung überwiegender öffentlicher Interessen, die Durchsetzung von Rechtsansprüchen, Ihre Einwilligung).

Eine Kopie der Standardvertragsklauseln kann kostenlos bei uns bezogen werden.

Für die Bearbeitung von Personendaten verantwortlich:

Zürcher Kantonalbank
Sitz Zürich
Bahnhofstrasse 9
8001 Zürich

Zur Ausübung Ihrer Rechte gemäss Ziff. 3 können Sie sich an folgende Stelle wenden: 

Zürcher Kantonalbank
Data Office
Postfach
8010 Zürich

oder senden Sie uns eine Mitteilung per E-Mail an dsr@zkb.ch

Weitere Fragen im Zusammenhang mit Datenschutz können Sie an folgende Stellen richten:

Zürcher Kantonalbank
Datenschutzberater
Legal & Compliance
Postfach
8010 Zürich

oder senden Sie uns eine Mitteilung per E-Mail an datenschutz@zkb.ch

VGS Datenschutzpartner UG
Am Kaiserkai 69
20457 Hamburg
Deutschland

oder via E-Mail an info@datenschutzpartner.eu