2. Bearbeitungsrahmen
2.1 Kategorien von Personendaten
Je nachdem, welche Produkte und Dienstleistungen die Bank gegebenenfalls für Sie erbringt, kann sie die nachfolgenden Kategorien von Personendaten bearbeiten. Dabei bearbeitet die Bank so wenige Personendaten als nötig.
Die Bank bearbeitet Kundendaten. Darunter versteht sie insbesondere Folgendes:
- Stamm- und Bestandesdaten wie z.B. Name, Adresse, Geburtsdatum, Vertragsnummer und -dauer, Dokumente zur Feststellung der Kundenidentität, Informationen zum Konto, Depot, zu abgeschlossenen Geschäften oder über Dritte wie Lebenspartner, Bevollmächtigte und Berater, die von einer Datenbearbeitung mitbetroffen sind.
- Steuerwohnsitz und allenfalls weitere steuerlich relevante Dokumente und Informationen.
- Transaktions- bzw. Auftrags- und Risikomanagementdaten wie z.B. Angaben über Begünstigte bei Überweisungen oder Kartenzahlungen, Begünstigtenbank, gegebenenfalls Details zur Mandatserteilung, Angaben zu Ihrem Vermögen, Anlageprodukten, Risiko- und Anlageprofil, Betrugsfälle.
- Gegebenenfalls Aufzeichnungen über Telefonate zwischen Ihnen und der Bank.
- Marketingdaten wie z.B. Bedürfnisse, Wünsche, Präferenzen.
- Technische Daten, wie z.B. interne und externe Kennungen, Geschäftsnummern, IP-Adressen, Aufzeichnungen von Zugriffen oder Änderungen.
Die Bank bearbeitet Interessenten- oder Besucherdaten (d.h. Besucher insbesondere von Filialen oder Webseiten). Darunter versteht sie insbesondere Folgendes:
- Stamm- und Bestandesdaten wie z.B. Name, Adresse, Geburtsdatum.
- Technische Daten wie z.B. interne und externe Kennungen, IP-Adressen, Aufzeichnungen von Zugriffen oder Änderungen.
- Marketingdaten wie z.B. Bedürfnisse, Wünsche, Präferenzen.
Die Bank bearbeitet Lieferantendaten. Darunter versteht sie insbesondere Folgendes:
- Stammdaten- und Bestandesdaten wie z.B. Name, Adresse, Geburtsdatum, Vertragsnummer und -dauer, Informationen zum Konto oder zu abgeschlossenen Geschäften.
- Technische Daten wie z.B. interne und externe Kennungen, Geschäftsnummern, IP-Adressen, Aufzeichnungen von Zugriffen oder Änderungen.
2.2 Herkunft
Zur Erfüllung der Zwecke gemäss Ziff. 2.4 kann die Bank Personendaten folgender Herkunft erheben:
- Personendaten, die der Bank mitgeteilt werden, z.B. im Rahmen der Eröffnung einer Geschäftsbeziehung, eines Beratungsgesprächs, für Produkte und Dienstleistungen oder auf Webseiten der Bank.
- Personendaten, die aufgrund der Inanspruchnahme von Produkten oder Dienstleistungen anfallen und durch die technische Infrastruktur oder durch arbeitsteilige Prozesse an die Bank übermittelt werden, z.B. bei Webseiten, beim eBanking, bei Apps, im Zahlungsverkehr, im Wertschriftenhandel oder bei der Zusammenarbeit mit anderen Finanz- oder IT-Dienstleistern oder Marktplätzen und Börsen.
- Personendaten aus Drittquellen, z.B. der Zentralstelle für Kreditinformationen (ZEK), der Informationsstelle für Konsumkredit (IKO), Behörden, anderen Gesellschaften des Konzerns der Bank oder Sanktionslisten der UNO, des SECO und der EU.
2.3 Dauer der Speicherung
Die Dauer der Speicherung von Personendaten bestimmt sich nach gesetzlichen Aufbewahrungspflichten bzw. dem Zweck der jeweiligen Datenbearbeitung.
In der Regel speichert die Bank Personendaten für die Dauer der Geschäftsbeziehung bzw. Vertragsdauer und anschliessend für weitere fünf, zehn oder mehr Jahre (je nach anwendbarer Rechtsgrundlage). Dies entspricht der Zeitspanne, innerhalb derer Rechtsansprüche gegen die Bank geltend gemacht werden können. Laufende oder zu erwartende rechtliche oder aufsichtsrechtliche Verfahren können eine Speicherung über diese Frist hinaus zur Folge haben.
2.4 Zwecke
Die Bank kann die unter Ziff. 2.1 beschriebenen Personendaten zur Abwicklung eigener Leistungen sowie für eigene oder gesetzlich vorgesehene Zwecke bearbeiten. Darunter versteht sie insbesondere Folgendes:
- Kundenaufnahmeverfahren, Durchführung, Abwicklung und Verwaltung von Geschäftsbeziehung und von Produkten sowie Dienstleistungen einer Universalbank (z.B. Identitätsbestätigung, Antragsbewertung, Kreditentscheidungen, Finanzierungen, Finanzplanung, Zahlungen, Rechnungen, Konten, Karten, Anlage, Börse, Vorsorge, Gründung, Nachfolge und Versicherung, eFinance, Kundenservice, Kommunikation).
- Statistik, Planung oder Produkteentwicklung, Geschäftsentscheide (z.B. Ermittlung von Kennzahlen zur Nutzung von Dienstleistungen, Auslastungsziffern, Transaktionsanalysen, Entwicklung von Ideen für neue oder die Beurteilung oder Verbesserung und Überprüfung bestehender Produkte, Dienstleistungen, Verfahren, Technologien, Systeme und Renditen).
- Überwachung und Steuerung von Risiken, Geschäftsprüfung, Geschäftseröffnung, zeitgerechte Geschäftsabwicklung (z.B. Betrugsbekämpfung, Anlageprofile, Limiten, Markt-, Kredit- oder operationelle Risiken und System- sowie Produktschulungen).
- Marketing, Marktforschung, umfassende Betreuung, Beratung und Information über das Dienstleistungsangebot, Vorbereitung und Erbringung massgeschneiderter Dienstleistungen (z.B. Direktmarketing, Werbung im Print- und Online Bereich, Kunden-, Interessenten- oder Kulturanlässe, Sponsoring, Gewinnspiele, Ermittlung der Kundenzufriedenheit, künftiger Kundenbedürfnisse oder -verhalten oder Beurteilung eines Kunden-, Markt- oder Produktpotentials).
- Gesetzliche oder regulatorische Auskunfts-, Informations- oder Meldepflichten an Gerichte, Behörden, Erfüllung behördlicher Anordnungen (z.B. automatischer Informationsaustausch mit ausländischen Steuerbehörden, Anordnungen der FINMA, Staatsanwaltschaften, im Zusammenhang mit Geldwäscherei und Terrorismusfinanzierung oder zur Aufzeichnung und Überwachung der Kommunikation).
- Wahrung der Interessen und Sicherung der Ansprüche der Bank im Falle von Forderungen gegenüber der Bank bzw. Bankkunden sowie Wahrung der Sicherheit der Kunden und Mitarbeitenden.
- Allfällige weitere Zwecke, über die Sie von der Bank in Kenntnis gesetzt werden.
2.5 Grundlagen für die Bearbeitung von Personendaten
Je nachdem, welche Produkte und Dienstleistungen die Bank gegebenenfalls für Sie erbringt bzw. zu welchem Zweck die Personendaten bearbeitet werden, beruht die Datenbearbeitung auf folgender Grundlage:
- Aufnahme, Abschluss oder Durchführung eines Vertrags bzw. Geschäftsbeziehung mit Ihnen oder für die Erfüllung der Pflichten der Bank aus einem solchen Vertrag bzw. Geschäftsbeziehung.
- Gegebenenfalls zur Wahrung berechtigter Interessen der Bank z.B. Statistik, Planung oder Produkteentwicklung, Geschäftsentscheide; Überwachung und Steuerung von Risiken, Geschäftsprüfung; Marketing, Marktforschung, umfassende Betreuung, Beratung und Information über das Dienstleistungsangebot, Vorbereitung und Erbringung massgeschneiderter Dienstleistungen – soweit kein Widerspruch erfolgt ist; Wahrung der Interessen und Sicherung der Ansprüche der Bank, Kunden und Mitarbeitenden.
- Gegebenenfalls zur Erfüllung rechtlicher oder regulatorischer Pflichten der Bank oder die Wahrnehmung von Aufgaben im öffentlichen Interesse.
- Gegebenenfalls aufgrund Ihrer Einwilligung1.
1 Einwilligungen, welche aus sonstigen Gründen eingeholt werden, bspw. aufgrund der Bestimmungen zum Bankkundengeheimnis gemäss Bundesgesetz über die Banken und Sparkassen (BankG), werden vom vorliegenden Kapitel nicht berührt.
2.6 Besteht für Sie eine Pflicht zur Bereitstellung von Personendaten?
Wenn Personendaten, welche die Bank bearbeitet, zur Erfüllung rechtlicher oder aufsichtsrechtlicher Pflichten oder für die Aufnahme, Abschluss oder Durchführung eines Vertrags bzw. Geschäftsbeziehung mit Ihnen erforderlich sind, kann es sein, dass die Bank Sie nicht als Kunden aufnehmen oder kein Produkt oder Dienstleistungen für Sie erbringen kann, wenn die Bank diese Personendaten nicht bearbeiten kann. In diesem Fall werden wir Sie entsprechend informieren.
2.7 Bestehen einer automatisierten Einzelentscheidung im Einzelfall einschliesslich Profiling
Die Bank behält sich vor, inskünftig Kundendaten (einschliesslich Daten mitbetroffener Dritter, vgl. Ziff. 2.1) auch automatisiert zu analysieren und zu bewerten, um wesentliche persönliche Merkmale des Kunden zu erkennen oder Entwicklungen vorherzusagen und Kundenprofile zu erstellen. Diese dienen insbesondere der Geschäftsprüfung und der individuellen Beratung und Bereitstellung von Angeboten und Informationen, welche die Bank und ihre Konzerngesellschaften dem Kunden gegebenenfalls zur Verfügung stellen.
Kundenprofile können inskünftig auch zu automatisierten Einzelentscheidungen führen, z.B. automatisierte Bonitätsentscheidungen, um Aufträge des Kunden im eBanking automatisiert anzunehmen und auszuführen.
Die Bank stellt sicher, dass eine geeignete Ansprechperson verfügbar ist, wenn der Kunde sich zu einer automatisierten Einzelentscheidung äussern möchte und eine solche Äusserungsmöglichkeit gesetzlich vorgesehen ist.
2.8 Kategorien vorgesehener Empfänger, Garantien und Auslandsbekanntgabe
Innerhalb der Bank erhalten nur diejenigen Stellen Zugriff auf Ihre Personendaten, welche diese zur Aufnahme, Abschluss oder Durchführung eines Vertrags bzw. Geschäftsbeziehung, aufgrund gesetzlicher oder regulatorischer Pflichten oder für die Wahrnehmung von Aufgaben im öffentlichen Interesse benötigen.
Die Bank gibt Kundendaten Dritten nur in folgenden Fällen bekannt – abhängig von der Art der bezogenen Produkte und Dienstleistungen:
- Zur Auftragsausführung, d.h. Inanspruchnahme von Produkten oder Dienstleistungen, z.B. an Zahlungsempfänger, Begünstigte, Kontenbevollmächtigte, Intermediäre sowie Korrespondenzbanken, weiterer an einer Transaktion beteiligten Parteien, Dienstleister (z.B. Swisscom), Börsen- oder Marktplätze, Meldungen von bestimmten Börsentransaktionen an internationale Transaktionsregister.
- Mit Einwilligung des Kunden an Konzerngesellschaften zum Zweck der umfassenden Kundenbetreuung und für Auslagerungen.
- Aufgrund gesetzlicher Verpflichtungen, gesetzlicher Rechtfertigungsgründe oder behördlicher Anordnungen, z.B. an Gerichte oder Aufsichtsbehörden z.B. im Bereich des Finanzmarkt- oder Steuerrechts oder soweit erforderlich zur Wahrung berechtigter Interessen der Bank im In- und Ausland. Letzteres trifft insbesondere zu bei vom Kunden gegen die Bank angedrohten oder eingeleiteten rechtlichen Schritten oder öffentlichen Äusserungen, zur Sicherung der Ansprüche der Bank gegenüber dem Kunden oder Dritter, beim Inkasso von Forderungen der Bank gegen den Kunden und zur Wiederherstellung des Kundenkontakts nach Kontaktabbruch bei den zuständigen schweizerischen Behörden.
Unter Auftragsbearbeiter (Auftragsverarbeiter) werden Dritte verstanden, welche Personendaten im Auftrag und für die Zwecke der Bank bearbeiten, z.B. IT-, Marketing- Vertriebs-, oder Kommunikationsdienstleister, Inkassounternehmen, Betrugsbekämpfungsstellen, Kreditauskunfteien oder Beratungsgesellschaften. Findet eine Bekanntgabe von Personendaten an einen solchen Auftragsbearbeiter statt, darf er die erhaltenen Personendaten nur so bearbeiten wie die Bank selber. Die Bank wählt ihre Auftragsbearbeiter sorgfältig aus und verpflichten sie vertraglich dazu, die Vertraulichkeit, das Bankkundengeheimnis in der Schweiz sowie die Sicherheit der Personendaten zu gewährleisten.
Je nachdem, welche Art von Produkt oder Dienstleistung in Anspruch genommen wird, müssen Personendaten u.U. auch Dritten (inkl. Auftragsbearbeitern) mit Sitz in Staaten bekanntgegeben werden, in denen kein angemessenes Datenschutzniveau vorherrscht (vgl. auch Art. 16 AGB sowie Informationen in Bezug auf die Geltung des schweizerischen Bankkundengeheimnisses und Datenschutzrechts; diese gelten sinngemäss auch für Interessenten-, Besucher- und Lieferantendaten). Über kein angemessenes Datenschutzniveau verfügen z.B. die Vereinigten Staaten von Amerika. Bei einer Übermittlung in ein solches Land, verlangt die Bank, dass der Empfänger angemessene Massnahmen zum Schutz von Personendaten trifft (z.B. mittels der Vereinbarung von sog. EU-Standardklauseln, anderer Vorkehrungen oder gestützt auf Rechtfertigungsgründe; eine Kopie der EU-Standardklauseln kann kostenlos bei uns bezogen werden).