Datenschutzerklärung für ING Business App
Weil wir Ihre persönlichen Daten respektieren und schützen
Wir informieren Sie, dass die ING-DiBa AG ein Tochterunternehmen der ING Bank N.V. ist. Die ING Bank N.V. ist ein europäisches Finanzinstitut, das den Datenschutzvorschriften der europäischen Datenschutz-Grundverordnung (Verordnung (EU) 2016/679) (DSGVO) unterliegt. Zur Einhaltung der DSGVO hat die ING Bank N.V. weltweite Datenschutzprinzipien über ihre Globalen Datenschutzrichtlinien (GDSR) eingeführt. Die GDSR sind weltweit für alle Unternehmen der ING Group, d.h. Tochtergesellschaften, Filialen, Vertretungen und Zweiggesellschaften bindend und wurden von den europäischen Datenschutzbehörden genehmigt. Daher hat die ING Group beschlossen, dass sämtliche ihrer globalen Unternehmen, Tochtergesellschaften, Filialen, Vertretungen und Zweiggesellschaften – unabhängig von ihrem Standort, ihren Zielmärkten oder -kunden – zusätzlich zu den europäischen und nationalen Datenschutzgesetzen und -vorschriften die GDSR einhalten müssen.
1. Unsere Datenschutzerklärung
Vorwort
Mit unserer ING Business App können Sie Ihr Online Banking so erledigen, wie Sie wollen – unterwegs oder zu Hause, auf dem Smartphone oder Tablet. Damit die App reibungslos läuft und Sie alle Funktionen nutzen können, verarbeitet die ING Business App personenbezogene Daten. Welche das sind und wie wir Ihre Daten schützen, erfahren Sie hier. Unsere allgemeine Datenschutzerklärung finden Sie auf https://www.ing.de/datenschutz/.
Wer sind wir?
Die ING-DiBa AG, im Folgenden „ING“ „wir“ oder „Bank“ genannt, ist ein deutsches Kreditinstitut mit Sitz in Frankfurt am Main. Als datenschutzrechtliche Verantwortliche ergreifen wir, die ING-DiBa AG Theodor-Heuss-Allee 2 60486 Frankfurt am Main alle gesetzlich erforderlichen Maßnahmen, um Ihre personenbezogenen Daten zu schützen. Bei Fragen zu dieser Datenschutzerklärung wenden Sie sich bitte an unseren Datenschutzbeauftragten:
ING-DiBa AG
Datenschutzbeauftragter
Theodor-Heuss-Allee 2
60486 Frankfurt am Main
E-Mail: datenschutz@ing.de
2. Für wen gilt diese Datenschutzerklärung?
Wir bei der ING sind uns dessen bewusst, wie wichtig Ihnen Ihre personenbezogenen Daten sind. Diese Datenschutzerklärung erklärt auf einfache und transparente Weise, welche personenbezogenen Daten wir erheben, erfassen, speichern, nutzen und verarbeiten sowie, wie wir das tun. Diese Datenschutzerklärung gilt für unsere Kunden, welche die ING Business App verwenden.
3. Welche personenbezogenen Daten erheben wir und wofür nutzen wir Ihre Daten?
Personenbezogene Daten sind alle Informationen, die uns etwas über Sie sagen oder die wir mit Ihnen in Verbindung bringen können. Dazu zählen unter anderem Ihr Name, Ihre Anschrift, Ihr Geburtsdatum, Ihre Kontonummer, IP-Adresse oder Informationen zu Zahlungen, die von einem Bankkonto aus erfolgen. Die Sicherheit Ihrer Daten hat für uns oberste Priorität. Im Sinne der zweiten Zahlungsdienstrichtlinie (EU) („PSD2“) ist eine sogenannte starke Kundenauthentifizierung vorgeschrieben, welche zum Beispiel bei der Anmeldung zur App oder bei Überweisungen zum Einsatz kommt. Hierbei müssen mindestens zwei der folgenden drei Merkmale eingesetzt werden: Wissen (bspw. ein Passwort oder eine PIN), Besitz (bspw. ein eindeutig authentifiziertes Smartphone) und Inhärenz (ein Merkmal, das dem Benutzer persönlich oder körperlich zu Eigen ist, bspw. ein Fingerabdruck). Zu diesem Zweck beachten Sie bitte folgende Informationen:
3.1 Installation der App
Um die App installieren zu können, müssen Sie zuvor mit einem Drittanbieter (Google Inc., Apple Inc, nach folgend als „Drittanbieter“ bezeichnet) eine Nutzungsvereinbarung über den Zugang zu einem Portal oder Online-Shop des jeweiligen Drittanbieters (Google Play Store, Apple App Store, nachfolgend als „Drittportal“ bezeichnet) abschließen. Die ING ist nicht Partei einer derartigen Vereinbarung und hat keinen Einfluss auf die Datenverarbeitung durch den Drittanbieter. Welche Daten auf welche Art und Weise der Drittanbieter im Rahmen der Registrierung zu dem Drittportal verarbeitet werden, können Sie der Datenschutzerklärung des Drittanbieters entnehmen.
3.2 Nutzung der App
Bei Nutzung der ING Business App erheben wir die nach folgend beschriebenen personenbezogenen Daten, um die komfortable Nutzung der Funktionen zu ermöglichen. Wenn Sie unsere mobile App nutzen möchten, erheben wir Daten, die für uns technisch erforderlich sind, um Ihnen die Funktionen unserer mobilen App anzubieten und die Stabilität und Sicherheit zu gewährleisten.
Folgende Informationen zu Ihren Endgeräten werden durch die App an die Bank übermittelt und dort gespeichert:
- Version der App
- Gerätemodell
- Das auf dem Gerät installierte Betriebssystem inkl. der Version
- Gerätename
- Zeitpunkt der Registrierung des Geräts
Die genannten Daten werden zum Zweck des Supports und zur Unterscheidung von verschiedenen Geräten in der Geräteverwaltung genutzt. Für das Messaging gelten ein paar Sorgfaltspflichten:
- Um zu vermeiden, dass Dritte Ihre Messages lesen, sollten Sie anderen keinen Zugriff auf Ihr Gerät geben.
- Grundsätzlich ist es immer möglich, dass Messages durch Schad-Software auf Ihrem mobilen Endgerät ausgelesen werden. Deshalb sind Sie zum sorgfältigen Umgang mit Ihrem Gerät verpflichtet – und dazu, die Sicherheitshinweise zum Internetbanking auf https://www.ing.de/hilfe/internetbanking/kundenservice/ zu beachten, insbesondere die empfohlenen Maßnahmen zum Schutz Ihrer Hard- und Software.
- Die erforderlichen Einstellungen auf Ihrem Smartphone oder Tablet machen Sie selbst.
Für die im Folgenden unter dieser Ziffer dargestellten Verarbeitungsvorgänge (einschließlich Übermittlungen an Dritte) ist Ihr kartenausgebendes Institut bzw. die jeweilige Akzeptanzstelle verantwortliche Stelle, soweit die ING in diesem Zusammenhang Daten verarbeitet, handelt sie dabei lediglich als technischer Dienstleister des entsprechenden Instituts.
Im Rahmen der App werden durch folgende Funktionen personenbezogene Daten verarbeitet:
a) Anmeldung in der App
Um die App zu registrieren, benötigen Sie Ihre E-Mailadresse und Ihr Passwort aus Ihrem Business Banking Home Zugang. Wenn Sie sich nun anmelden wollen, vergeben Sie eine selbstgewählte mobile PIN. Um die mobile PIN freizuschalten, müssen Sie dies durch Eingabe eines per SMS erhaltenen Einmalpassworts erledigen. Nach der Registrierung benötigen Sie für zukünftige Autorisierungen nur noch die mobile PIN bzw. das biometrische Merkmal. Je nach Gerät kann die Möglichkeit bestehen, sich mit einem biometrischen Merkmal anzumelden und/oder dadurch Transaktionen freizugeben. Wenn Sie sich für die Nutzung eines biometrischen Merkmals entscheiden, tritt dieses an die Stelle der mobile PIN. Die ING hat keinen Zugriff auf die biometrischen Merkmale. Die Erkennung und Verarbeitung übernimmt das lokal auf Ihrem mobilen Endgerät ausgeführte Betriebssystem (iOS bzw. Android). Die mobile PIN und das biometrische Merkmal werden somit nicht an unsere Server übermittelt und auch nicht durch die ING gespeichert.
b) Allgemeine Nutzung der Dienste
Sobald Sie über die App einen der Dienste nutzen oder den Versuch unternehmen, dies zu tun, stellt Ihr mobiles Endgerät eine Online-Verbindung zu dem Server der Dienstleister der Bank her. Die Übermittlung von Daten an den Server ist erforderlich, damit Sie Inhalte auf Ihrem mobilen Endgerät abrufen können. Die Bank führt das Erheben, das Erfassen, die Organisation, das Ordnen, die Speicherung, die Anpassung oder Veränderung, das Auslesen, das Abfragen, die Verwendung, die Offenlegung durch Übermittlung, die Verbreitung oder eine andere Form der Bereitstellung, den Abgleich oder die Verknüpfung, die Einschränkung, das Löschen oder die Vernichtung der personenbezogenen Daten der Nutzer grundsätzlich nur dann und nur in dem Umfang aus, wie es zur Erbringung der Dienste erforderlich ist.
Während Ihrer Nutzung der App verarbeiten die Servicedienstleister der Bank Daten (z.B. Kreditkartenumsatzanfragen, Kreditkartenumsätze, IP-Adresse, Beginn und Ende der Nutzung, aufgerufene Funktionen/Einstellungen), die für den bestimmungsgemäßen Zugang zu den Diensten und deren bestimmungsgemäße Nutzung erforderlich sind.
Ihnen können in der App ggf. bestimmte Informationen zu den von Ihnen durchgeführten Transaktionen zur Verfügung gestellt werden (insbesondere Bezahlbetrag und Bezahldatum), damit Sie einen Überblick über die bereits getätigten Transaktionen erhalten. Die entsprechenden Daten werden Ihnen von der ING zur Verfügung gestellt. Bitte beachten Sie hierbei: Diese Transaktionshistorie stellt keinen rechtsgültigen Kontoauszug dar. Rechtsverbindliche Buchungen und Rechnungsabschlüsse erfolgen nur nach Maßgabe der Allgemeinen Geschäftsbedingungen der ING.
c) Cookies
Technische und funktionale Cookies werden zwingend benötigt, damit bei Ihrem Besuch der Website alles gelingt. Darüber hinaus werden Marketing-Cookies verwendet, damit wir Sie auf der Seite wiedererkennen und den Erfolg unserer Kampagnen messen können, sowie Personalisierungs-Cookies, mit denen wir Sie auch außerhalb unserer Websites besser ansprechen können.
Weitere Informationen über Cookies erhalten Sie auch auf unserer Website unter https://www.ing.de/business/cookie-einstellungen/
d) Push-Mitteilungen/Benachrichtigungen
Mit unseren Push-Mitteilungen/Benachrichtigungen (kurz „Messaging“) können Sie sich jederzeit über Transaktionen auf Ihrem ING Geschäftskonto informieren lassen. Einmal eingerichtet, schicken wir Ihnen bei relevanten Ereignissen Push-Benachrichtigungen („Messages“) auf Ihr mobiles Endgerät. So sind Sie immer gut informiert, ohne sich einloggen zu müssen. Die Voraussetzungen für die Nutzung des Messagings sind:
- Eine Internetverbindung (mobiles Internet/WLAN)
- Zugangsdaten für das Business Banking Home
- Ein mobiles Endgerät mit aktueller ING Business App
Ob Sie Messages bekommen, können Sie in den Einstellungen Ihrer App selbst festlegen. Sofern Sie sich dazu entscheiden Push-Mitteilungen/ Benachrichtigungen zu erhalten, verarbeiten wir die dafür notwendigen Daten. Hierbei kann es sich u.a. um die Kundennummer, Partnernummer oder Kontonummer handeln.
Noch ein wichtiger Hinweis: Den Inhalt der Messages schützen wir mit einer TLS-Verschlüsselung, die dem aktuellen Industrie- und Sicherheitsstandard entspricht. Weil die Messages jedoch von Systemen großer Anbieter versendet werden, können wir nicht mit Sicherheit aus schließen, dass diese Kenntnis von einzelnen Messages bekommen. Wenn Sie damit nicht einverstanden sind, empfehlen wir Ihnen, den Dienst nicht zu verwenden. Nach vorherig erteilter Erlaubnis können Sie diese in den Einstellungen widerrufen.
e) App-Analyse
Um unsere mobile App für Sie regelmäßig zu verbessern und um Fehler zu beheben, setzen wir Analysedienste ein. Wir erklären Ihnen, welche Tools wir dafür verwenden.
Was ist Sentry und wofür nutzen wir es?
Wir setzen die Anwendung Sentry (www.sentry.io) zur Erstellung und Versendung von anonymen Fehlerberichten bei unplanmäßigem Verhalten der App, insbesondere bei Abstürzen, ein. Hierbei werden die Geräte ID, technische Daten über das Gerät und Zeitpunkt des App-Absturzes anonymisiert verarbeitet und gelöscht, sobald sie für die Bearbeitung nicht mehr benötigt werden. Die Daten werden keinesfalls an Dritte weitergegeben.
4. Auf welcher Rechtsgrundlage werden die Daten erhoben?
Soweit erforderlich, verarbeiten wir Ihre Daten über die eigentliche Erfüllung des Vertrages hinaus (Art. 6 Abs. 1 Satz 1 Buchstabe b) DSGVO) sowie zur Wahrung berechtigter Interessen von uns oder Dritten (Art. 6 Abs. 1 Satz 1 Buchstabe f) DSGVO), z.B. zur Geltendmachung rechtlicher Ansprüche und Verteidigung bei rechtlichen Streitigkeiten oder zur Gewährleistung der IT-Sicherheit und des IT-Betriebs der Bank. Auch wollen wir die Risikosteuerung in unserem Konzern sowie die Weiterentwicklung von Dienstleistungen und Produkten für Sie auch in Zukunft weiter verbessern. Darüber hinaus verarbeiten wir Ihre Daten, soweit Sie uns Ihre Einwilligung gem. Art. 6 Abs. 1 Satz 1 Buchstabe a) DSGVO erteilt haben.
5. Wie lange speichern wir Ihre Daten?
Wir speichern Ihre Daten nicht länger, als wir sie für die jeweiligen Verarbeitungszwecke benötigen. Sind die Daten für die Erfüllung vertraglicher oder gesetzlicher Pflichten nicht mehr erforderlich, werden diese regelmäßig gelöscht, es sei denn, deren – befristete – Aufbewahrung ist weiterhin notwendig. Gründe hierfür können z.B. folgende sein:
- Die Erfüllung gesetzlicher Aufbewahrungspflichten: Zu nennen sind insbesondere das Handelsgesetzbuch, die Abgabenordnung, das Kreditwesengesetz und das Geldwäschegesetz.
- Die dort vorgegebenen Fristen zur Aufbewahrung bzw. Dokumentation betragen bis zu zehn Jahre.
- Das Erhalten von Beweismitteln für rechtliche Auseinandersetzungen im Rahmen der gesetzlichen Verjährungsvorschriften: Zivilrechtliche Verjährungsfristen können bis zu 30 Jahre betragen, wobei die regelmäßige Verjährungsfrist drei Jahre beträgt.
Sobald Ihre personenbezogenen Daten nicht mehr für den Zweck benötigt werden, für den sie verarbeitet werden, löschen oder anonymisieren wir sie entsprechend den einschlägigen Gesetzen und Rechtsvorschriften.
6. Ihre Rechte
Wir wollen so schnell wie möglich auf alle Ihre Fragen antworten. Manchmal kann es aber trotzdem bis zu einem Monat dauern, ehe Sie eine Antwort von uns bekommen. Sollten wir länger als einen Monat für eine abschließende Klärung brauchen, sagen wir Ihnen selbstverständlich vorher Bescheid, wie lange es dauern wird. In einigen Fällen können oder dürfen wir keine Auskunft geben. Sofern dies gesetzlich zulässig ist, teilen wir Ihnen in diesem Fall immer zeitnah den Grund für die Verweigerung mit. Welche Rechte haben Sie als betroffene Person, wenn es um die Verarbeitung Ihrer Daten geht?
Ihr Recht auf Auskunft
Sie sind berechtigt, von uns eine Übersicht Ihrer von uns verarbeiteten personenbezogenen Daten zu verlangen. So können Sie z.B. eine Kopie der personenbezogenen Daten erhalten, die wir über Sie speichern.
Ihr Recht auf Berichtigung
Sollten Ihre Angaben nicht (mehr) zutreffend sein, können Sie eine Berichtigung verlangen. Sollten Ihre Daten unvollständig sein, können Sie eine Vervollständigung verlangen. Wenn wir Ihre Angaben an Dritte weitergegeben haben, informieren wir diese Dritten über Ihre Berichtigung – sofern dies gesetzlich vorgeschrieben ist.
Ihr Recht auf Löschung
Aus folgenden Gründen können Sie die unverzügliche Löschung Ihrer personenbezogenen Daten verlangen:
- Wenn Ihre personenbezogenen Daten für die Zwecke, für die sie erhoben wurden, nicht länger benötigt und keine gesetzlichen Aufbewahrungsfristen eingehalten werden müssen.
- Wenn Sie Ihre Einwilligung widerrufen
- Wenn Sie der Verarbeitung durch schlüssige Begründung widersprechen und es keine überwiegenden, schutzwürdigen Gründe für eine Verarbeitung gibt.
- Wenn Ihre personenbezogenen Daten unrechtmäßig verarbeitet wurden.
- Wenn Ihre personenbezogenen Daten gelöscht werden müssen, um gesetzlichen Anforderungen zu entsprechen.
Ihr Recht auf Einschränkung der Verarbeitung
Sie haben das Recht, aus einem der folgenden Gründe eine Einschränkung der Verarbeitung Ihrer personenbezogenen Daten zu verlangen:
- Wenn die Richtigkeit Ihrer personenbezogenen Daten von Ihnen bestritten wird und wir die Möglichkeit hatten, die Richtigkeit zu überprüfen
- Wenn die Verarbeitung nicht rechtmäßig erfolgt und Sie statt der Löschung eine Einschränkung der Nutzung verlangen
- Wenn wir Ihre Daten nicht mehr für die Zwecke der Verarbeitung benötigen, Sie diese jedoch zur Geltendmachung, Ausübung oder Verteidigung gegen Rechtsansprüche brauchen
- Wenn Sie Widerspruch eingelegt haben, solange noch nicht feststeht, ob Ihre Interessen überwiegen.
Ihr Recht auf Datenübertragbarkeit
Sie haben das Recht, eine Kopie der Sie betreffenden Daten, die Sie uns zur Verfügung gestellt haben, in einem strukturierten und allgemein gebräuchlichen übertragbaren Format zu erhalten und diese Daten an andere Organisationen weiterzuleiten. Sie haben auch das Recht, uns aufzufordern, diese personenbezogenen Daten direkt an andere von Ihnen genannte Organisationen weiterzuleiten. Wir übermitteln Ihre personenbezogenen Daten, soweit technisch möglich und nach einschlägigen nationalen Rechtsvorschriften zulässig.
Ihr Recht auf Widerspruch
Soweit wir Ihre Daten nur aufgrund von berechtigten Interessen oder im öffentlichen Interesse verarbeiten, haben Sie das Recht, der Verarbeitung Ihrer Daten bei Vorliegen einer besonderen Situation zu widersprechen. Wenn wir Ihre Daten für Direktmarketing- oder Werbeaktivitäten nutzen, können Sie der Verarbeitung ohne eine Begründung widersprechen. Sie können jedoch nicht von uns verlangen, Ihre personenbezogenen Daten zu löschen, wenn
- wir zu deren Speicherung weiterhin rechtlich verpflichtet sind;
- dies für die Erfüllung eines Vertrags mit Ihnen erforderlich ist. Bitte beachten Sie unseren gesonderten Hinweis im Abschnitt „Informationen über Ihr Widerspruchsrecht“.
Ihr Beschwerderecht
In einzelnen Fällen kann es passieren, dass Sie nicht zufrieden mit unserer Antwort auf Ihr Anliegen sind. Dann sind Sie berechtigt, beim Datenschutzbeauftragten der ING sowie bei der zuständigen Datenschutzaufsichtsbehörde Beschwerde einzureichen.
Einzelheiten zu Ihren Rechten ergeben sich aus den jeweiligen Regelungen der Datenschutz-Grundverord nung (Artikel 15 bis 22 DSGVO).
7. Wie wir Ihre personenbezogenen Daten schützen
Wir ergreifen geeignete technische und organisatorische Maßnahmen (Richtlinien und Verfahren, IT-Sicherheit usw.), um die Vertraulichkeit und Integrität Ihrer personenbezogenen Daten und ihrer Verarbeitung zu gewährleisten. Wir wenden unternehmensweit einen internen Rahmen an Richtlinien und Mindeststandards an, um Ihre personenbezogenen Daten zu schützen. Diese Richtlinien und Standards werden regelmäßig aktualisiert, um sie an die aktuellen Rechtsvorschriften und Marktentwicklungen anzupassen.
Zudem unterliegen ING-Mitarbeiterinnen und -Mitarbeiter der Schweigepflicht und dürfen Ihre personenbezogenen Daten nicht rechtswidrig oder unnötig offenlegen. Wenn Sie vermuten, dass Ihre personenbezogenen Daten in falsche Hände geraten sind, sollten Sie sich immer an die ING wenden, um uns beim dauerhaften Schutz Ihrer personenbezogenen Daten zu unterstützen.
8. Änderungen dieser Datenschutzerklärung
Wir können diese Datenschutzerklärung ändern, um Gesetzesänderungen zu entsprechen und/oder zu berücksichtigen, wie unser Unternehmen personenbezogene Daten verarbeitet. Wir ändern dann das Überarbeitungsdatum auf der ersten Seite entsprechend.
Informationen über Ihr Widerspruchsrecht
1. Einzelfallbezogenes Widerspruchsrecht
Sie haben das Recht, aus Gründen, die sich aus Ihrer besonderen Situation ergeben, gegen die Verarbeitung Ihrer personenbezogenen Daten Widerspruch einzulegen. Voraussetzung hierfür ist, dass die Datenverarbeitung im öffentlichen Interesse oder auf der Grundlage einer Interessenabwägung erfolgt. Dies gilt auch für ein Profiling. Im Falle eines zulässigen Widerspruchs werden wir Ihre personenbezogenen Daten nicht mehr verarbeiten. Es sei denn,
- wir können zwingende schutzwürdige Gründe für die Verarbeitung dieser Daten nachweisen, die Ihre Interessen, Rechte und Freiheiten überwiegen oder
- Ihre personenbezogenen Daten dienen der Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen.
2. Widerspruch gegen die Verarbeitung Ihrer Daten für unsere Direktwerbung.
In Einzelfällen nutzen wir Ihre personenbezogenen Daten für unsere Direktwerbung. Sie haben das Recht, jederzeit Widerspruch dagegen einzulegen; dies gilt auch für das Profiling, wenn es mit einer Direktwerbung in Verbindung steht. Im Falle eines Widerspruchs verarbeiten wir Ihre personenbezogenen Daten nicht mehr für diese Zwecke.
3. Kontakt
Der Widerspruch kann formfrei erfolgen und sollte möglichst gerichtet werden an:
ING-DiBa AG
Datenschutzbeauftragter
Theodor-Heuss-Allee 2
60486 Frankfurt am Main
E-Mail: datenschutz@ing.de