Datenschutzerklärung

CembraPay AG

Datenschutzerklärung der CembraPay AG

1 Worum geht es in dieser Datenschutzerklärung?
Der Schutz Ihrer Personendaten sowie eine faire und transparente Datenbearbeitung sind uns wichtige Anliegen. Deshalb möchten wir Sie über unsere Datenbearbeitungen in Kenntnis setzen und Ihnen die Informationen zur Verfügung stellen, die Sie zur Wahrnehmung Ihrer Rechte benötigen.

Weiterführende Informationen finden Sie in den jeweils anwendbaren produkt- und dienstleistungsspezifischen Geschäftsbedingungen, auf unserer Website und ggf. in weiteren anwendbaren Datenschutzerklärungen.

2 Wer sind wir?
Verantwortlich für die Datenbearbeitung nach dieser Datenschutzerklärung ist das folgende Unternehmen («wir», «uns» oder «Cembra»):

CembraPay AG
Bändliweg 20
8048 Zürich
Schweiz

Für Ihre sämtlichen Fragen und Anliegen im Zusammenhang mit unserem Datenschutz steht Ihnen unser Datenschutzberater (Data Protection Officer) gerne zur Verfügung:

Cembra Money Bank AG Data
Protection Officer Bändliweg 20
8048 Zürich
Schweiz

3 Wann, für wen und wofür ist diese Datenschutzerklärung bestimmt?
Diese Datenschutzerklärung gilt für jede Bearbeitung von Personendaten im Zusammenhang mit allen unseren Geschäftstätigkeiten in all unseren Geschäftsbereichen. Sie ist sowohl auf die Bearbeitung von bei uns bereits vorhandenen als auch von zukünftigen Personendaten anwendbar.

4 Welche Personendaten bearbeiten wir zu welchen Zwecken, aus welchen Quellen und auf welchen Rechtsgrundlagen?
Die von uns bearbeiteten Personendaten stammen einerseits von Ihnen als bestehen- den oder zukünftigen Kunden und andererseits aus öffentlich zugänglichen Quellen (z. B. den Medien oder dem Internet), von Gruppengesellschaften der Cembra, von staatlichen Stellen (z.B. von Einwohnerkontrollbehörden, dem Grundbuchamt, dem Handelsregisteramt oder von Betreibungsämtern) und von Dritten (z. B. externen Bonitätsprüfern, der Zentralstelle für Kreditinformationen [ZEK] oder der Informationsstelle für Konsumkredit [IKO] und privaten Auskunfteien). .

Je nach Anlass und Zweck bearbeiten wir unterschiedliche Personendaten, z.B. Personalien (Name, Adresse und andere Kontaktdaten, Geburtstag und -ort sowie Staatsangehörigkeit), Legitimationsdaten (z. B. Ausweisdaten), Authentifikationsdaten (z.B. Unterschriftsproben, Verhaltens- und Bewegungsmuster)) und Endgerätedaten und -einstellungen (z.B. Angaben zum Gerätehersteller und -typ, Betriebssystem, Geräte-ID und IP-Adresse, Speicherung des Benutzernamens oder der Login-Schlüssel oder Nutzung anderer Login-Funktionen (z.B. Face- oder Touch-ID)). Darüber hinaus können dies auch Auftrags-, Transaktions- und Risikomanagementdaten (z. B. Zahlungsverkehrsdaten, Daten aus der Beratung und Daten aus der Abwicklung vertraglicher Beziehungen), Informationen über Ihre finanzielle Situation (z.B. Angaben zu Einkommen und Vermögen, Bonitätsdaten, Scoring-/Ratingdaten (siehe Erläuterung Ziffer 4b), Angaben über die Herkunft von Vermögenswerten, laufende oder abgeschlossene Kreditverträge), steuerrelevante Informationen (Angaben zum Steuerwohnsitz und allenfalls weitere steuerlich relevante Dokumente und Informationen) sowie Vertrags- und Dokumentationsdaten (z. B. Informationen zum Konto, Depot, abgeschlossenen Geschäften oder über Dritte wie Lebenspartner, Anzahl und Jahrgang der Kinder oder Bevollmächtigte, Beratungsprotokolle und Gesprächsprotokolle) sein.

Besonders schützenswerte Personendaten sind Daten, die einen besonderen Schutz geniessen (z.B. Angaben über die ethnische Herkunft, über die politische Meinung, über religiöse und weltanschauliche Überzeugungen, genetische und biometrische Daten, Gesundheitsdaten oder Angaben über strafrechtliche Verurteilungen). Sie werden nur mit Ihrer Einwilligung oder beruhend auf einer gesetzlichen Grundlage bearbeitet.

Beachten Sie bitte, dass Einwilligungen in die Bearbeitung nicht besonders schützenswerter Personendaten – sollten sie denn verlangt werden – i. d. R. aus anderen Gründen erfolgen, je nach Einzelfall, z. B. zur Einhaltung der Bestimmungen zum Bankgeheimnis. Solche Einwilligungen ändern nichts daran, dass wir uns bei der Bearbeitung nicht besonders schützenswerter Personendaten nicht auf eine Einwilligung, sondern auf die im Folgenden genannten Rechtsgrundlagen stützen.

Unter anderem bearbeiten wir Personendaten in den folgenden Situationen zu den folgenden Zwecken und auf den nachfolgend genannten Rechtsgrundlagen. Datenbearbeitungen können sich auch auf mehrere Rechtsgrundlagen stützen.

a. Zum Abschluss, zur Abwicklung und zur Durchsetzung von Verträgen
Die Bearbeitung von Personendaten erfolgt zur Erbringung von Bankgeschäften und Finanzdienstleistungen im Rahmen des Abschlusses, der Durchführung und der Durchsetzung unserer Verträge mit unseren Kunden oder zur Durchführung vorvertraglicher Massnahmen, die auf Ihre Anfrage hin erfolgen. Die Zwecke der Datenbearbeitung richten sich in erster Linie nach dem konkreten Produkt und können u. a. Kontoeröffnung, -führung und -saldierung, Bedarfsanalysen, Beratung und Betreuung sowie die Durchführung von Transaktionen umfassen. Die weiteren

Einzelheiten zum Zweck der Datenbearbeitung können Sie den jeweiligen Vertragsunterlagen, Geschäftsbedingungen und ggf. weiteren Ihnen zur Verfügung gestellten Unterlagen entnehmen.

Beachten Sie bitte, dass gewisse von uns beigezogenen Dienstleister (z.B. Intrum AG, LexisNexis GmbH) Personendaten zu spezifischen Dienstleistungen und Zwecken in eigener Verantwortung bearbeiten. Insofern sind auch deren Datenschutzerklärungen zu beachten;

b. Im Rahmen einer Interessenabwägung
Zudem bearbeiten wir Ihre Daten auch zur Wahrung unserer berechtigten Interessen, soweit Ihre eigenen Interessen unsere nicht überwiegen. Im Folgenden findet sich eine nicht abschliessende Aufzählung von Bearbeitungszwecken, die ein berechtigtes Interesse darstellen:
• Analyse, Überwachung und Steuerung des Kreditrisikos (Scoring);
• Betrugsprävention;
• Werbemassnahmen, Marktforschung, Marketingauswertungen, Vorbereitung und Anbieten massgeschneiderter Dienstleistungen (z. B. Direktmarketing, Werbung im Print- und Online-Bereich, Kunden-, Interessenten- oder Kulturanlässe, Sponsoring, Gewinnspiele, Ermittlung der Kundenzufriedenheit, Erhebung künftiger Kundenbedürfnisse oder -verhaltensweisen oder Beurteilung eines Kunden-, Markt- bzw. Produktpotenzials) für eigene Angebote sowie für Angebote von Gruppengesellschaften der Cembra und Kooperationspartnern sowie Zustellung dieser Angebote an Ihre Post-, E-Mail- oder Telefon-Adresse (z. B. via SMS), im eService oder in einer Mobile App, soweit Sie der Nutzung Ihrer Daten nicht widersprochen haben und entsprechende Dienste in Anspruch nehmen;
• Besuch von Websites, Verwendung von Portalen: Wenn Sie unsere Website besuchen oder eine Mobile App von uns installieren und verwenden, bearbeiten wir je nach Angebot und Funktionalität Informationen wie z. B. Log-Daten, bei Websites etwa Angaben über den Zeitpunkt des Zugriffs auf unsere Website, die Dauer des Besuchs und die aufgerufenen Seiten. Wir verwenden diese Daten aus Gründen der IT-Sicherheit, aber auch für die Verbesserung der Nutzerfreundlichkeit der Website und ihrer Funktionen und für die Personalisierung des Angebots. Für diese Zwecke verwenden wir auch Analyse-Dienste wie z.B. Google Analytics. Dabei werden detaillierte Angaben über die Verwendung der betreffenden Website erhoben. Zu diesen Zwecken können wir z.B. «Cookies» und vergleichbare Technologien verwenden. Cookies sind kleine Dateien, die auf Ihrem Endgerät gespeichert werden, wenn Sie unsere Website besuchen. Weitere Informationen finden Sie auf unserer Website unter Cookies (sowie Cookie Banner und Policy) und in den produktspezifischen Vertrags- und ggf. Datenschutzbestimmungen;
• Wahrung von Rechten, z. B. um Ansprüche gerichtlich, vor- oder aussergerichtlich und vor Behörden im In- und Ausland durchzusetzen oder uns gegen Ansprüche zu verteidigen. Dabei können wir Prozessaussichten von Dritten abklären lassen oder bei einer Behörde Unterlagen einreichen. Es kann auch sein, dass Behörden uns auffordern, Unterlagen offenzulegen, die Personendaten enthalten;
• Gewährleistung der IT-Sicherheit und des IT-Betriebes von Cembra;
• Verhinderung und Aufklärung von Straftaten;
• Kontaktanfragen Ihrerseits mit unserem Kundendienst;
• Telefongespräche können z. B. zu Qualitätskontrollen und Schulungszwecken aufgenommen werden; sie können in Einzelfällen der Beweissicherung dienen;
• Massnahmen zur Gebäude- und Anlagensicherheit (z.B. Zutrittskontrollen und Videoüberwachung);
• Unternehmenstransaktionen: Wir können Personendaten auch zur Vorbereitung und Abwicklung von Unternehmensübernahmen und -verkäufen und von Käufen oder Verkäufen von Vermögenswerten, wie z.B. Forderungen oder Immobilien und ähnlichen Transaktionen bearbeiten;
• Evaluation, Planung, Statistiken, Produktentwicklungen und Geschäftsentscheide (z. B. Verbesserung und Überprüfung bestehender Produkte, neue Produkte und Dienstleistungen, Verfahren, Technologien, Systeme, Renditen, Auslastungsziffern).

c. Aufgrund gesetzlicher Vorgaben oder im öffentlichen Interesse
Wir bearbeiten Ihre Personendaten zur Erfüllung unserer regulatorischen, aufsichtsrechtlichen und gesetzlichen Abklärungs-, Auskunfts- und Meldepflichten (z. B. im Fall von Editionsverfügungen oder von Anordnungen der Eidgenössischen Finanzmarktaufsicht [FINMA], im Rahmen des automatischen Informationsaustausches mit ausländischen Steuerbehörden oder im Zusammenhang mit der Bekämpfung der Geldwäscherei und der Terrorismusfinanzierung).

5 Haben Sie eine Pflicht, Personendaten bereitzustellen?
Sie sind i.d.R. nicht verpflichtet, uns Personendaten bereitzustellen. Allerdings sind wir nicht in der Lage, mit Ihnen einen Vertrag abzuschliessen, wenn Sie uns nicht diejenigen Personendaten bereitstellen, die für eine Geschäftsbeziehung und die Erfüllung vertraglicher Pflichten erforderlich sind oder die zu erheben wir gesetzlich verpflichtet sind (das betrifft z. B. zur Identifikation notwendige Angaben wie Name, Geburtsort, Geburtsdatum, Staatsangehörigkeit, Adresse und Ausweisdaten).

6 An wen geben wir Ihre Personendaten weiter?
Innerhalb von Cembra erhalten diejenigen Abteilungen, Mitarbeitenden und anderen Stellen Zugriff auf Ihre Personendaten, die sie für die Erfüllung ihrer Aufgaben benötigen. Wir können ferner einzelne oder ganze Geschäftsbereiche und Dienstleistungen an Gruppengesellschaften von Cembra und an Dritte im In- und Ausland auslagern, Forderungen und Rechte abtreten und Kooperationen mit Partnern eingehen. Dabei werden Ihre Personendaten – soweit erforderlich – an diese Empfänger weitergeleitet. Wir stellen durch die Auswahl der Auftragsbearbeiter und durch geeignete vertragliche Vereinbarungen sicher, dass der Datenschutz und das Bankgeheimnis während der Bearbeitung der Personendaten auch durch Dritte gewahrt werden.

Dabei geht es insbesondere um Dienstleistungen und Kooperationen in den folgenden Bereichen:
• IT-Dienstleistungen, z. B. Leistungen in den Bereichen Datenspeicherung (Hosting), Cloud-Dienste, Versand von Werbematerialien, Datenanalyse etc.;
• Kreditfähigkeitsprüfungen;
• Betrugsbekämpfung;
• Transaktionsautorisierung;
• Wirtschafts- und Adressauskünfte sowie Inkasso, z.B. wenn fällige Forderungen nicht bezahlt werden (wie z.B. Intrum, CRIF, Teledata);
• Beratungsdienstleistungen, z.B. Leistungen von Steuerberatern, Rechtsanwälten, Unternehmensberatern, Beratern im Bereich Personalgewinnung und -vermittlung;
• Administration von Vertragsverhältnissen inklusive Inkasso, z.B. Antrags- und Vertragsabwicklung, Rechnungsstellung und Abwicklung des Lastschriftverfahrens, Eintreibung von fälligen Forderungen;
• Dokumenten- und Kartenerstellung; und
• Compliance und Datenbewirtschaftung.

Die Weitergabe von Personendaten in weiteren Fällen ist möglich. Wir können Ihre Personendaten Dritten offenlegen, wenn es in unserem berechtigten Interesse liegt oder Sie uns dazu ermächtigt haben, und sind dazu verpflichtet, wenn dies gesetzlich vorgeschrieben ist (i.d.R. gegenüber Behörden).

7 Wann geben wir Personendaten ins Ausland weiter?
Wir können unsere Dienstleistungen ins Ausland auslagern (siehe vorangehende Ziffer). Auch bei der Ausführung von Verträgen oder Transaktionen können Personendaten ins Ausland übermittelt werden, z.B. bei der Ausführung von Zahlungsaufträgen oder bei der Zahlungsabwicklung. Die Empfänger Ihrer Personendaten können sich dabei jeweils auch im Ausland befinden – auch ausserhalb der Europäischen Union (EU) bzw. des Europäischen Wirtschaftsraums (EWR, dazu gehört z.B. das Fürstentum Liechtenstein). Die betreffenden Länder verfügen möglicherweise nicht über Gesetze, die Ihre Personendaten im gleichen Umfang wie in der Schweiz oder in der EU bzw. dem EWR schützen. Sollten wir Ihre Personendaten in einen solchen Drittstaat übermitteln, werden wir den Schutz Ihrer Personendaten in angemessener Weise sicherstellen. Ein Mittel dazu ist der Abschluss von Datenübermittlungsverträgen mit den Empfängern Ihrer Personendaten in Drittstaaten, die den erforderlichen Datenschutz sicherstellen. Dazu gehören Verträge, die von der Europäischen Kommission und dem Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten (EDÖB) genehmigt, ausgestellt oder anerkannt wurden, sogenannte Standardvertragsklauseln. Ebenso ist die Übermittlung an Empfänger zulässig (vgl. dazu auch das Trans-Atlantic Data Privacy Framework), die sich dazu verpflichtet haben, hohe Datenschutzstandards einzuhalten.

8 Findet ein Profiling statt und treffen wir automatisierte Entscheidungen?
Wir können Ihre Daten bearbeiten, um daraus Profile zu erstellen, z.B. für Analysen, Bewertungen und Entscheide. Solche Bearbeitungen dienen uns insbesondere für die Betrugsbekämpfung (z. B. bei Kreditkartenzahlungen) und für Risikomanagementzwecke. Wir verwenden Profile ferner, damit wir Ihnen individuelle Beratung und personalisierte Angebote zur Verfügung stellen können. Sie können der Bearbeitung Ihrer Daten zu Werbezwecken jederzeit widersprechen (vgl. Ziffer 11).

Wir können automatisierte Einzelfallentscheide für den Abschluss oder die Erfüllung einer Vertragsbeziehung treffen. Sollten diese Entscheide zu negativen Rechtsfolgen oder erheblichen Beeinträchtigungen führen, haben Sie das Recht zu verlangen, dass der Entscheid von einer natürlichen Person nochmals geprüft wird.

9 Wie schützen wir Ihre Personendaten?
Wir wenden angemessene technische und organisatorische Sicherheitsverfahren an, um die Sicherheit Ihrer Personendaten zu wahren, um sie z.B. gegen unberechtigte oder unrechtmässige Bearbeitungen und vor der Gefahr des Verlusts zu schützen und um einer unbeabsichtigten Veränderung, einer ungewollten Offenlegung oder einem unberechtigten Zugriff entgegenzuwirken.

10 Wie lange speichern wir Ihre Personendaten?
Wir speichern Ihre Personendaten, solange es für den Zweck, für den wir sie erhoben haben, erforderlich ist. Wir speichern Ihre Personendaten zudem auch länger, wenn wir einer gesetzlichen Aufbewahrungspflicht unterliegen. Für die meisten Dokumente gilt z. B. eine zehnjährige Aufbewahrungsfrist nach Beendigung des Vertrages oder Auflösung des Kontos. Wir speichern Personendaten ferner, wenn wir ein berechtigtes Interesse an der Speicherung haben, z.B. wenn Verjährungsfristen laufen, wenn wir Personendaten benötigen, um Ansprüche durchzusetzen oder abzuwehren sowie zu Archivierungszwecken. Sobald Ihre Personendaten für die oben genannten Zwecke nicht mehr erforderlich sind, werden sie gelöscht oder anonymisiert.

11 Welche Rechte haben Sie?

Jede betroffene Person hat bestimmte Rechte gemäss dem auf sie anwendbaren Datenschutzrecht, insbesondere die folgenden Rechte:
• das Recht auf Auskunft,
• das Recht auf Berichtigung,
• das Recht auf Löschung,
• das Recht auf Einschränkung der Bearbeitung,
• das Recht auf Widerspruch gegen die weitere Bearbeitung ihrer Personendaten sowie
• das Recht auf die Übertragung bestimmter Personendaten.

Darüber hinaus besteht ein Beschwerderecht bei einer zuständigen Datenschutzaufsichtsbehörde, d.h. in der Schweiz beim Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten (EDÖB).

Eine erteilte Einwilligung in die Bearbeitung von Personendaten können Sie jederzeit uns gegenüber widerrufen. Bitte beachten Sie, dass ein Widerruf erst für die Zukunft wirkt. Bearbeitungen, die vor dem Widerruf erfolgt sind, werden davon nicht betroffen. Gesetzliche Bearbeitungspflichten, z.B. die Aufbewahrungspflicht, werden von einem Widerruf nicht berührt.

Einwilligungen, welche aus sonstigen Gründen eingeholt werden, z. B. aufgrund der Bestimmungen zum Bankkundengeheimnis gemäss dem Bundesgesetz über die Banken und Sparkassen (BankG), werden davon nicht berührt.

Sie können zudem der weiteren Bearbeitung Ihrer Personendaten für die Zwecke der Direktwerbung jederzeit durch Mitteilung an uns widersprechen.

12 Aktualität und Änderung dieser Datenschutzerklärung
Diese Datenschutzerklärung hat den Stand Mai 2024.

Wir können diese Datenschutzerklärung jederzeit ohne Vorankündigung anpassen. Die jeweils aktuelle Datenschutzerklärung kann jederzeit auf der Website unter https://www.swissbilling.ch/de/datenschutzerklarung-twint abgerufen werden.
Bei Unklarheiten geht der deutsche Wortlaut dieser Datenschutzerklärung vor.