1.0 Einleitung
2.0 Wer ist für die Verarbeitung Ihrer personenbezogenen Daten verantwortlich?
3.0 Wie verwenden wir möglicherweise Ihre personenbezogenen Daten?
4.0 Sind Sie verpflichtet, Ihre personenbezogenen Daten zur Verfügung zu stellen?
5.0 Wie geben wir Ihre personenbezogenen Daten weiter (Empfänger)?
6.0 Wie bewahren wir Ihre personenbezogenen Daten innerhalb des Europäischen Wirtschaftsraums (EWR) auf?
7.0 Wie schützen und sichern wir Ihre personenbezogenen Daten?
8.0 Wie können Sie Ihre Rechte ausüben?
9.0 Änderungen
1.0 Einleitung
Diese Datenschutzerklärung (im Folgenden die „Erklärung“) gilt speziell für die Wero App und beschreibt, wie und in welchem Umfang Ihre personenbezogenen Daten von der EPI Company SE verarbeitet werden, wenn ein Nutzer der Wero App (im Folgenden „Nutzer“ oder „Sie“) die Wero App installiert, aktiviert und nutzt. Die Erklärung ergänzt die Allgemeinen Geschäftsbedingungen von Wero.
Wero App ist eine mobile E-Payment-App im Besitz und betrieben von der EPI Company SE (im Folgenden „EPI“, „wir“, „uns“, „unser“), einem in Belgien bei der zentralen Datenbank der Unternehmen unter der Nummer 0755.811.726 eingetragenen Unternehmen mit Sitz in: De Lignestraat 13, 1000 Brüssel, Belgien.
Da der Schutz personenbezogener Daten unser Hauptanliegen ist, verpflichten wir uns, personenbezogene Daten mit größtmöglicher Transparenz und in Übereinstimmung mit den geltenden europäischen und nationalen Datenschutzvorschriften (im Folgenden die „geltenden Vorschriften“) zu verarbeiten, insbesondere der Verordnung (EU) 2016/679 vom 27. April 2016 (im Folgenden die „DSGVO“) und dem belgischen Gesetz vom 30. Juli 2018 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten.
Diese Erklärung beschreibt, wie wir als Verantwortlicher mit Ihren personenbezogenen Daten in Übereinstimmung mit den geltenden Vorschriften umgehen, und erläutert, wie Sie Ihre Rechte gemäß diesen Vorschriften ausüben können. Um sicherzustellen, dass wir Ihre personenbezogenen Daten in Übereinstimmung mit den geltenden Vorschriften und dieser Erklärung verarbeiten, und um Ihre Fragen zur Verarbeitung Ihrer personenbezogenen Daten durch EPI zu beantworten, haben wir einen Datenschutzbeauftragten ernannt, der per E-Mail unter dpo@epicompany.eu kontaktiert werden kann.
Die in dieser Erklärung verwendeten Begriffe „personenbezogene Daten“, „Verarbeitung“, „Verantwortlicher“, „Auftragsverarbeiter“, „Empfänger“ und „betroffene Person“ entsprechen den in Artikel 4 der DSGVO definierten Begriffen.
2.0 Wer ist für die Verarbeitung Ihrer personenbezogenen Daten verantwortlich?
EPI ist im Rahmen dieser Erklärung für die Verarbeitung personenbezogener Daten verantwortlich. Diese Erklärung deckt speziell die Verarbeitung personenbezogener Daten durch EPI für den Betrieb der Wero App ab.
Diese Erklärung deckt Folgendes nicht ab:
- EPI und Wero Webseiten: Die Verarbeitung personenbezogener Daten für den Betrieb der EPI- und Wero-Webseiten wird durch separate Datenschutzerklärungen für jene Webseiten geregelt.
- Verarbeitung als Auftragsverarbeiter: EPI verarbeitet personenbezogene Daten für die Abwicklung von Zahlungstransaktionen und zwecks starker Kundenauthentifizierung im Namen und auf Anweisung Ihres zugelassenen kontoführenden Zahlungsdienstleisters (Account Servicing Payment Service Providers), kurz ASPSP (wie in den Allgemeinen Geschäftsbedingungen von Wero definiert). In diesem Zusammenhang fungiert der berechtigte ASPSP als separater Verantwortlicher und EPI als Auftragsverarbeiter. Einzelheiten zur Verarbeitung Ihrer personenbezogenen Daten in diesen Situationen finden Sie in den Datenschutzerklärungen des jeweiligen ASPSP‘s.
3.0 Wie verwenden wir möglicherweise Ihre personenbezogenen Daten?
Im Rahmen der von uns durchgeführten Verarbeitungsvorgänge verarbeiten wir die folgenden Kategorien personenbezogener Daten:
Zweck (und Rechtsgrundlage): Registrierung in der Wero App- und Bereitstellung (Vertragserfüllung – Art. 6.1.b DSGVO)
Kategorien der verarbeiteten Daten: Informationen über Ihre Zahlungsquelle (Name des Kontoinhabers, Art des Zahlungskontos, technische Kennung der Zahlungsquelle)
Annahme unserer Allgemeinen Geschäftsbedingungen mit dem Zeitpunkt der Annahme
Aufbewahrungszeitraum: Für die Vertragsdauer (die Wero AGB)
Zweck (und Rechtsgrundlage): Ausstellung und Bestätigung einer Zahlungsaufforderung (Vertragserfüllung – Art. 6.1.b DSGVO)
Kategorien der verarbeiteten Daten: Name des Kontoinhabers, Betrag, Status, Zeitstempel, Nachricht der P2P-Anfrage, technische Kennungen im Zusammenhang mit der Zahlungsquelle, der Wero App und der P2P-Anfrage
Aufbewahrungszeitraum: 13 Monate nach Ausführung der Transaktion
Zweck (und Rechtsgrundlage): Initiierung und Bestätigung einer P2P-Zahlung (Vertragserfüllung – Art. 6.1.b DSGVO)
Kategorien der verarbeiteten Daten: Name des Kontoinhabers, Betrag, Status, Zeitstempel, Nachricht der P2P-Zahlung, maskierte IBAN, technische Kennungen im Zusammenhang mit der Zahlungsquelle, der Wero App und der P2P-Zahlung
Aufbewahrungszeitraum: 13 Monate nach Ausführung der Transaktion
Zweck (und Rechtsgrundlage): Initiierung und Bestätigung einer kaufmännischen Transaktion (Vertragserfüllung – Art. 6.1.b DSGVO)
Kategorien der verarbeiteten Daten: Gesetzlicher Name des Akzeptanten (wie in den Allgemeinen Geschäftsbedingungen von Wero definiert[AOS1] ), Zeitstempel der Erstellung, Zeitstempel des Ablaufs, Transaktionsart und Transaktionsparameter, Geburtsdatum, Lieferadresse, maskierte IBAN
Aufbewahrungszeitraum: 13 Monate nach Ausführung der Transaktion
Zweck (und Rechtsgrundlage): Anzeige des Namens des Zahlungsempfängers (gekürzt) an den Zahler zur Verhinderung von Betrug und Fehlern (berechtigtes Interesse – Art. 6.1.f DSGVO)
Kategorien der verarbeiteten Daten: Vor- und Nachname
Aufbewahrungszeitraum: Vertragsdauer (die Wero AGB)
Zweck (und Rechtsgrundlage): Anzeige Ihrer Kontoinformationen (Vertragserfüllung – Art. 6.1.b DSGVO)
Kategorien der verarbeiteten Daten: Saldo- und Transaktionsverlauf Ihres Zahlungskontos
Aufbewahrungszeitraum: Vertragsdauer (die Wero AGB)
Zweck (und Rechtsgrundlage): Betrugsprävention und Scoring im Zusammenhang mit Transaktionen, einschließlich der Datenanonymisierung zur Verbesserung der Betrugs-Scoring-Engine (berechtigtes Interesse – Art. 6.1.f DSGVO)
Kategorien der verarbeiteten Daten: Informationen über Ihre Zahlungsquelle (Name des Kontoinhabers, technische Kennung der Zahlungsquelle,
Informationen über Sie (Vor- und Nachname, Geburtsdatum)
Transaktionsbezogene Daten (Betrag, Erstellungs- und Ablaufdatum der Zahlungsaufforderung bzw. des Zahlungsvorgangs)
Daten zu Ihrer Wero App (eindeutige Kennung und App-Name)
Daten zu Ihrem Mobilgerät (Modellname und Modellnummer, Bildschirmauflösung, Mobilfunkanbieter, Standort, Zeitzonenindikator, ID, Betriebssystem, Sprachauswahl, Uhrzeit, IP-Adresse, Client-IP-Adresse, User Agent, Client User Agent)
Betrugsdaten (Betrugsrisikobewertung, primärer Risikovektor für die Betrugsrisikobewertung)
Aufbewahrungszeitraum: Maximal vierundzwanzig (24) Monate ab dem Zeitpunkt der Erfassung. Maximal fünf (5) Jahre bei nachgewiesenem Betrug
Zweck (und Rechtsgrundlage): Bearbeitung von Anfragen, die Sie möglicherweise an unseren Nutzerservice richten, und um Sie über Änderungen an der Wero App oder andere mit der Wero verbundene Aspekte zu informieren (berechtigtes Interesse – Art. 6.1.f DSGVO)
Kategorien der verarbeiteten Daten: Der/die Name(n), (E-Mail-) Adressen und Telefonnummer(n), die in Ihren Nachrichten an uns erwähnt werden, der Inhalt jeder an uns gesendeten Nachricht, sowie alle anderen Informationen, die Sie uns auf unsere Anfrage hin zur Verfügung stellen, wie z. B. den Nachweis Ihrer Identität
Aufbewahrungszeitraum: Dauer, die benötigt wird, um Ihre Anfrage zu bearbeiten
Zweck (und Rechtsgrundlage): Verwaltung und Beilegung von Streitigkeiten über nicht autorisierte oder nicht ordnungsgemäß ausgeführte Transaktionen sowie die Bearbeitung sonstiger Ansprüche von Zahlungsdienstnutzern (PSUs) unter strikter Einhaltung von Artikel 101 der Zahlungsdiensterichtlinie 2 (PSD2) (gesetzliche Verpflichtung - Art. 6.1.c der DSGVO)
Kategorien der verarbeiteten Daten: Alle Daten, die zur Verwaltung der Meldungen, Beschwerden und Reklamationen erforderlich sind, einschließlich der Transaktionsdaten
Aufbewahrungszeitraum: Fünf (5) Jahre nach der Meldung, Beschwerde oder Forderung
Zweck (und Rechtsgrundlage): Verwaltung etwaiger Vorverfahren und Streitverfahren, um unsere Rechte zu verteidigen (berechtigtes Interesse – Art. 6.1.f DSGVO)
Kategorien der verarbeiteten Daten: Alle erforderlichen Daten im Zusammenhang mit dem Vorverfahren und der Streitigkeit
Aufbewahrungszeitraum: Dauer der Streitigkeit und darüber hinaus für die Dauer anwendbarer Verjährungs- und Sperrfristen
Zweck (und Rechtsgrundlage): Einhaltung unserer gesetzlichen Verpflichtungen, einschließlich Know your Customers (KYC), Bekämpfung von Geldwäsche und Terrorismusfinanzierung, Korruptionsbekämpfung und Wirtschaftssanktionen, andere für den Finanzsektor geltende Gesetze oder Vorschriften (gesetzliche Verpflichtung - Artikel 6.1.c der DSGVO)
Kategorien der verarbeiteten Daten: Von Ihrem berechtigten ASPSP bereitgestellte Informationen: externe ID, Name, Geburtsdatum, Geburtsort, Wohnort.
Aufbewahrungszeitraum: Wir erfassen möglicherweise zusätzliche Daten direkt von Ihnen, wenn dies gesetzlich vorgeschrieben ist.
Aufbewahrungsfrist gemäß den gesetzlichen und aufsichtsrechtlichen Verpflichtungen (10 Jahre für die Bekämpfung der Geldwäsche)
Zweck (und Rechtsgrundlage): Generierung anonymisierter und aggregierter Daten zum Betrieb und zur Verbesserung der Wero App (berechtigtes Interesse – Art. 6.1.f DSGVO)
Aufbewahrungszeitraum: Unbegrenzte Aufbewahrung
Zur Klarstellung: EPI erhebt oder verarbeitet keine Ihrer besonderen Kategorien personenbezogener Daten, wenn Sie sich dafür entscheiden, die Verwendung Ihrer biometrischen ID Ihres Mobilgeräts (z.B. Fingerabdruck oder Gesichtsscan) zur Authentifizierung Ihrer Zahlungen in der Wero App zu aktivieren.
4.0 Sind Sie verpflichtet, Ihre personenbezogenen Daten zur Verfügung zu stellen?
Wir benötigen einige Ihrer personenbezogenen Daten, um unseren gesetzlichen Verpflichtungen nachzukommen oder um unseren Vertrag (die AGB von Wero) mit Ihnen zu erfüllen. Wenn Sie uns Ihre personenbezogenen Daten nicht zur Verfügung stellen, können bestimmte Funktionen unserer App nicht genutzt werden. Sie können sich z. B. nicht registrieren, ohne uns die oben genannten Identitätsinformationen zur Verfügung zu stellen, oder wir können unseren Vertrag mit Ihnen möglicherweise nicht erfüllen.
5.0 Wie geben wir Ihre personenbezogenen Daten weiter (Empfänger)?
- Externe Dienstleister und Lieferanten, die Dienstleistungen in unserem Auftrag als Auftragsverarbeiter und nur in Übereinstimmung mit unseren dokumentierten Anweisungen erbringen, einschließlich unserer Dienstleister für Datenhosting und Betrugsbewertung;
Nur ordnungsgemäß autorisierte Mitarbeiter von EPI und seine verbundenen Unternehmen haben möglicherweise Zugang zu Ihren personenbezogenen Daten; und dies nur auf der Grundlage des Erforderlichkeitsprinzips („need to know“). Diese internen Empfänger unterliegen strengen Sicherheits- und Vertraulichkeitsverpflichtungen.
Darüber hinaus geben wir Ihre personenbezogenen Daten nur an die folgenden externen Empfänger weiter:
- Finanzinstitute, einschließlich Ihrer berechtigten ASPSP (wie in den Allgemeinen Geschäftsbedingungen von Wero definiert) und Händler, die an der Transaktion beteiligt sind, um Zahlungsvorgänge abzuwickeln und andere von Ihnen angeforderte Aktivitäten durchzuführen;
- Strafverfolgungsbehörden oder zuständige Verwaltungs- oder Justizbehörden, entweder um einer gesetzlichen, behördlichen, gerichtlichen oder administrativen Verpflichtung nachzukommen (z.B., um eine illegale Aktivität zu melden) oder im Rahmen von Rechtsstreitigkeiten, um uns vor einer Verletzung unserer Rechte zu schützen.
6.0 Wie bewahren wir Ihre personenbezogenen Daten innerhalb des Europäischen Wirtschaftsraums (EWR) auf?
EPI ist bestrebt, keine personenbezogenen Daten außerhalb des Europäischen Wirtschaftsraums (EWR) zu übermitteln. Wenn Sie dies jedoch verlangen oder im Rahmen einer Transaktion mit einer Person außerhalb des EWR (z.B. beim Senden oder Empfangen von Geldern), müssen wir Ihre Daten möglicherweise international übertragen.
Die gegebenenfalls stattfindende Übermittlung personenbezogener Daten außerhalb des EWR wird durch die geltenden Vorschriften geregelt und unterliegt strengen Bedingungen, um den Schutz personenbezogener Daten zu gewährleisten (insbesondere durch Verwendung der Standardvertragsklauseln der Europäischen Kommission, von denen eine Kopie durch Kontaktaufnahme mit unserem Datenschutzbeauftragten erhältlich ist).
7.0 Wie schützen und sichern wir Ihre personenbezogenen Daten?
Bei EPI hat die Sicherheit Ihrer personenbezogenen Daten für uns Priorität. Wir ergreifen verschiedene Maßnahmen, um sicherzustellen, dass Ihre Daten sicher und vertraulich bleiben. Wir schützen Ihre personenbezogenen Daten durch:
- Umfassende Sicherheitsmaßnahmen: Wir implementieren eine Reihe von technischen, administrativen und organisatorischen Maßnahmen, um unsere Informationssysteme und Ihre personenbezogenen Daten vor unbefugtem Zugriff, Änderung, Offenlegung oder Zerstörung zu schützen.
- Verschlüsselung: Wir verwenden fortschrittliche Verschlüsselungstechnologien, um Ihre personenbezogenen Daten zu schützen, insbesondere während der Übertragung, um unbefugten Zugriff zu verhindern.
- Vertraulichkeitsprotokolle: Unser Team wird zu bewährten Verfahren zur Wahrung der Vertraulichkeit und Sicherheit von Daten geschult und regelmäßig auf den neuesten Stand gebracht.
Wir sind bestrebt, auf diese Weise Ihre personenbezogenen Daten zu schützen und ihre Integrität jederzeit zu wahren.
8.0 Wie können Sie Ihre Rechte ausüben?
Als betroffene Person haben Sie verschiedene Rechte in Bezug auf Ihre personenbezogenen Daten, die wir als Verantwortlicher verarbeiten. Sie können diese Rechte jederzeit unter den in den geltenden Vorschriften festgelegten Bedingungen ausüben. Hier ist eine Zusammenfassung Ihrer wichtigsten Rechte:
- Auskunftsrecht: Sie können von EPI eine Bestätigung darüber verlangen, ob personenbezogene Daten die Sie betreffen, verarbeitet werden oder nicht. Wenn dies der Fall ist, können Sie Auskunft über Ihre personenbezogenen Daten verlangen;
- Recht auf Berichtigung: Wenn Ihre personenbezogenen Daten falsch, unvollständig oder nicht aktuell sind, können Sie EPI auffordern, sie zu korrigieren, zu aktualisieren oder zu vervollständigen;
- Recht auf Löschung: In den in Artikel 17 der DSGVO bestimmten Situationen können Sie EPI auffordern, Ihre personenbezogenen Daten zu löschen;
- Recht auf Einschränkung: In den in Artikel 18 der DSGVO bestimmten Situationen können Sie EPI auffordern, die Verarbeitung Ihrer personenbezogenen Daten auf bestimmte Zwecke zu beschränken und an verschiedenen Bedingungen zu knüpfen;
- Widerspruchsrecht: Erfolgt die Verarbeitung aufgrund eines berechtigten Interesses von EPI, können Sie dieser Verarbeitung widersprechen, es sei denn, wir haben zwingende schutzwürdige Gründe für die Fortsetzung der Verarbeitung.
- Recht auf Datenübertragbarkeit: Wenn die personenbezogenen Daten für die Erfüllung eines Vertrags mit Ihnen erforderlich sind oder auf der Grundlage Ihrer Einwilligung verarbeitet werden, können Sie EPI auffordern, Ihnen Ihre personenbezogenen Daten in einem strukturierten, gängigen und maschinenlesbaren Format mitzuteilen und/oder an einen anderen Verantwortlichen zu übermitteln;
- Widerruf Ihrer Einwilligung (falls zutreffend): Wenn Ihre personenbezogenen Daten auf der Grundlage Ihrer Einwilligung verarbeitet werden, können Sie diese Einwilligung jederzeit widerrufen;
- Recht auf Festlegung von Post-Mortem-Vorgehensweise: Sofern dies nach nationalem Recht zulässig ist, können Sie eine Vorgehensweise für den Umgang mit Ihren personenbezogenen Daten nach Ihrem Tod festlegen.
Sie können Ihre Rechte ausüben, indem Sie eine E-Mail an unseren Datenschutzbeauftragten unter folgender Adresse senden: dpo@epicompany.eu. Wir können Sie um einen Identitätsnachweis bitten, wenn Zweifel an Ihrer Identität bestehen.
Wenn Sie der Ansicht sind, dass Ihre Rechte verletzt wurden, haben Sie das Recht, eine Beschwerde bei einer Aufsichtsbehörde einzureichen. Die für uns zuständigen Aufsichtsbehörden sind insbesondere die belgische Datenschutzbehörde und, wenn Sie in der EU ansässig sind, die EU-Datenschutzbehörde in Ihrem Wohnsitzland, die Sie über die hier aufgeführten Kontaktmöglichkeiten finden: https://edpb.europa.eu/about-edpb/about-edpb/members_en.
Wir sind bestrebt, uns Ihres Anliegens anzunehmen und sicherzustellen, dass Ihre Rechte geschützt werden.
9.0 Änderungen
Diese Erklärung wird von Zeit zu Zeit aktualisiert, um regulatorische Änderungen und/oder
Technologie- und Serviceentwicklungen und Implementierung in der Wero App widerzuspiegeln. Alle Änderungen werden sofort nach Veröffentlichung der aktualisierten Erklärung auf unserer Website und in der Wero App wirksam. Wir empfehlen Ihnen, diese Erklärung regelmäßig zu überprüfen, um darüber auf dem Laufenden zu bleiben, wie wir Ihre Daten schützen.
Wenn wir wesentliche Änderungen an dieser Erklärung vornehmen, werden wir Sie vor dem Inkrafttreten der Änderungen per E-Mail oder durch Veröffentlichung einer Mitteilung auf unserer Website benachrichtigen. Sofern nach den geltenden Vorschriften keine Zustimmung erforderlich ist, stellt Ihre fortgesetzte Nutzung unserer Dienste nach der Veröffentlichung von Änderungen Ihre Zustimmung zu diesen Änderungen dar.
Letzte Aktualisierung: 17/09/2024