1. Einleitung - Anwendungsbereich

Mit diesen Datenschutzhinweisen (im Folgenden die „Datenschutzhinweise“) informiert Open Bank, S.A. (nachfolgend „Openbank“, „Zinia“, ihre eingetragene Marke, oder „wir“/„uns“) Sie (nachfolgend „Sie“ oder der „Kunde“) über die Verarbeitung Ihrer personenbezogenen Daten durch uns, wenn Sie ein Darlehen (allgemeiner Verbraucherdarlehensvertrag im Sinne von § 491 BGB; nachfolgend der „Dienst“) beantragen. Der Dienst wird unter der Marke Zinia angeboten. Diese Datenschutzhinweise gelten für alle Personen, deren Daten im Zusammenhang mit dem Dienst verarbeitet werden können, wie z. B. unsere Kunden, Vertreter, gesetzliche Vertreter (natürlicher oder juristischer Personen), Bürgen usw.

Die Datenschutzhinweise sollen Ihnen die erforderlichen Informationen gemäß der Verordnung (EU) 679/2016 vom 27. April 2016 (im Folgenden „DSGVO“) bereitstellen. Sie umfassen die Kategorien personenbezogener Daten (im Folgenden auch „Daten“), die wir im Rahmen des Dienstes verarbeiten, die Art und Weise, wie wir Ihre personenbezogenen Daten erhalten, die Zwecke der Verarbeitung, die zugrunde liegenden Rechtsgrundlagen, die Empfänger Ihrer Daten, die Dauer der Speicherung, Ihre gesetzlichen Rechte in Bezug auf Ihre personenbezogenen Daten sowie sonstige Datenschutzinformationen, die wir für erforderlich halten, um vollständige Transparenz zu gewährleisten.

Bitte betrachten Sie diese Datenschutzhinweise als Ergänzung zu den anderen Datenschutzhinweisen, die wir Ihnen im Laufe der vorvertraglichen oder vertraglichen Beziehung, die wir mit Ihnen haben, zur Verfügung stellen oder zusenden.

Bitte nehmen Sie sich einen Moment Zeit, um sie zu lesen und ihren Inhalt vollständig zu verstehen. Wenn Sie Fragen haben, können Sie sich unter den unten angegebenen Kontaktdaten an unseren Datenschutzbeauftragten wenden.

2. Wer ist der für die Verarbeitung Verantwortliche und wie kann der Datenschutzbeauftragte kontaktiert werden?

Der Verantwortliche im Sinne von Art. 4 Nr. 7 DSGVO für die Verarbeitung Ihrer personenbezogenen Daten ist:

Open Bank, S.A. (unter ihrer Marke "Zinia")

Plaza de Santa Bárbara 2,
28004, Madrid,
Spanien

Sie können sich auch an unsere deutsche Zweigniederlassung vor Ort wenden:

Open Bank, S.A., Zweigniederlassung Deutschland

An der Welle 5

Frankfurt am Main

Deutschland

Wenn Sie Fragen hinsichtlich der Verarbeitung Ihrer persönlichen Daten haben, können Sie sich an unseren Datenschutzbeauftragten unter der oben genannten Adresse oder per E-Mail an datenschutz.de@zinia.com wenden.

In bestimmten Fällen handeln sowohl das Geschäft, in dem Sie Ihren Kauf tätigen, oder der Vermittler, bei dem Sie Ihre Daten für das Darlehen eingeben, als auch Openbank jeweils als eigenständige Verantwortliche. Das bedeutet, dass jede Partei unabhängig die Zwecke und Mittel der Verarbeitung personenbezogener Daten bestimmt. In anderen Fällen (über die Sie entweder vom Geschäft, vom Vermittler oder von uns ausdrücklich informiert werden) handeln wir gemeinsam mit dem Geschäft oder gemeinsam mit dem Vermittler als gemeinsam Verantwortliche. Das bedeutet, dass wir die Zwecke und Mittel bestimmter Verarbeitungstätigkeiten gemeinsam festlegen. Alternativ können das Geschäft oder der Vermittler auch als unsere Auftragsverarbeiter tätig werden.

Ob wir als eigenständige Verantwortliche oder als gemeinsam Verantwortliche handeln, hängt von der Art der Verarbeitungstätigkeit und von der Ausgestaltung des Antragsprozesses für das Darlehen durch das jeweilige Geschäft oder den Vermittler ab. Für detaillierte Informationen hierzu, die über den Rahmen dieser Datenschutzhinweise hinausgehen, können Sie sich jederzeit an Openbank unter den in diesem Abschnitt 2 oder in Abschnitt 11 angegebenen Kontaktdaten wenden. Im Falle einer gemeinsamen Verantwortlichkeit haben Sie außerdem das Recht, Informationen über die wesentlichen Inhalte der Vereinbarung zur gemeinsamen Verantwortlichkeit zu erhalten. Bitte nutzen Sie hierfür ebenfalls die in den genannten Abschnitten angegebenen Kontaktdaten.

3. Welche Daten verarbeiten wir und wie kommen wir an diese Daten?

Während des Dienstes verarbeiten wir die folgenden Kategorien von personenbezogenen Daten:

• Kontakt- und Identifizierungsdaten: Anrede, Vor- und Nachname, Geburtsdatum, Familienstand, Staatsangehörigkeit, Wohnsitz-/Rechnungs- und Lieferadresse (einschließlich Straße, Hausnummer, Postleitzahl, Ort), Land, Angaben darüber, ob der Antragsteller seit mehr als drei Jahren an der aktuellen Adresse wohnt (einschließlich der vorherigen Adresse, wenn der Antragsteller seit weniger als drei Jahren an der aktuellen Adresse wohnt), E-Mail-Adresse, Mobiltelefonnummer.
• Informationen über Ihre finanzielle Situation: Anzahl der Kinder im Haushalt, Anzahl der Kinder, für die der Antragsteller Kindergeld zahlt, monatliche Wohnkosten, Einkommenssteuerpflicht in Deutschland, Steueridentifikationsnummer (Steuer-ID), IBAN, Beruf (seit wann) und Berufsgruppe, Firmenname des Arbeitgebers.
• Identifizierungsdaten: Steuer-ID/Nationale ID-Nummer, Vor- und Nachname, Adresse, Unterschrift/Fingerabdrücke, Bild/Stimme, elektronische Signatur, Sozialversicherungs-/Versicherungsnummer, Krankenversicherungskarte, Telefon, E-Mail-Adresse, IP-Adresse und biometrische Daten oder physische Merkmale.
• Informationen zu Ihren persönlichen Merkmalen: Familienstand, Muttersprache, körperliche Merkmale, familiäre Situation, Geburtsdatum, Geburtsort, Alter, Geschlecht und Staatsangehörigkeit.
• Akademische und berufliche Informationen: Ausbildung und Qualifikationen, Studienleistungen, Berufserfahrung und Mitgliedschaft in Berufsverbänden.
• Informationen zur Erwerbstätigkeit: Beruf, Position, nicht-finanzielle Gehaltsabrechnungsdaten und Mitarbeiterhistorie.
• Kommerzielle Informationen: Tätigkeiten und Unternehmen; Handelslizenzen; Abonnements von Veröffentlichungen und künstlerischen, literarischen oder wissenschaftlichen Werken.
• Wirtschafts-, Finanz- und Versicherungsinformationen: Einkommen und Einkünfte, Steuerabzüge, Investitionen und Vermögen, Informationen über Versicherungen, Hypotheken und aufgenommene Kredite, Bürgschaften, Bankinformationen, Subventionen und Vergünstigungen, Renten- und Ruhestandspläne, Kredithistorie, finanzielle Lohndaten und Kreditkarten.
• Informationen über Waren- und Dienstleistungstransaktionen: Ausgleichszahlungen oder Entschädigungen, Finanztransaktionen und erhaltene oder erbrachte Waren und Dienstleistungen.

Wir verarbeiten die Ihre personenbezogenen Daten, die wir unmittelbar von Ihnen erhalten haben (z. B. durch verschiedene Formulare für Informationsanfragen und/oder Produkt- /Dienstleistungsanträge).

Darüber hinaus verarbeiten wir Ihre Daten, die wir wie folgt erhalten:

(i) im Rahmen früherer Vertragsbeziehungen mit Ihnen

(ii) durch Ihre Interaktion mit unserer Website/App

(iii) aus Daten, die von Informationen abgeleitet werden, welche Sie uns zuvor zur Verfügung gestellt haben (z. B. bei der Erstellung von Profilen).

Wir werden auch personenbezogene Daten aus externen Quellen verarbeiten, darunter folgende: (i) das Geschäft, in der der Kauf getätigt werden soll oder wurde; (ii) unseren Dienstleistern (z. B. CRIF GmbH, SCHUFA Holding AG, Lexis Nexis Risk Solutions), (iii) Stellen der öffentlichen Verwaltung, (iv) öffentlich zugänglichen Quellen, (v) Inkassobüros, (vi) Drittunternehmen, denen Sie Ihre Einwilligung zur Übermittlung Ihrer Daten an die Openbank erteilt haben oder die Ihre Daten anderweitig rechtmäßig an die Openbank übermitteln, einschließlich u.a. Dienstleistern (z. B. Kontoaggregationsdienst), qualifizierter Vertrauensdiensteanbieter (qualifizierte elektronische Signatur),oder andere Unternehmen der Santander Group, bei denen Sie Kunde sind.

4. Wie verarbeiten wir personenbezogene Daten?

Je nach Art Ihrer Beziehung zu Openbank verarbeiten wir Ihre personenbezogenen Daten zu den nachfolgend genannten Zwecken, in dem angegebenen Umfang und basierend auf den folgenden rechtlichen Grundlagen.

4.1 Beantragung des Dienstes

4.1.1 Geschäft

Unser Dienst zielt darauf ab, dem Kunden eine finanzielle Lösung zu bieten, damit er in einem Geschäft, mit dem wir zusammenarbeiten („Geschäft“), Waren kaufen oder Dienstleistungen in Anspruch nehmen kann. Der Antrag des Kunden auf einen Kredit für den Kauf der ausgewählten Waren beginnt auf der Plattform/im Online-Shop des jeweiligen Geschäfts oder vor Ort, indem er den Check-out-Prozess startet.

Wenn Sie beabsichtigen, die gewünschten Waren vor Ort im Geschäft zu kaufen, können Sie entweder den assistierten Check-out oder den Self-Check-out nutzen. Wenn Sie sich für den assistierten Check-out entscheiden, wird Ihnen die jeweilige Filiale beim Check-out helfen. Ein Mitarbeiter der Filiale wird Sie durch den vom Dienstleister Payever GmbH zur Verfügung gestellten Antragsablauf führen und alle Informationen erheben, die das Geschäft als relevant für den Kauf und die Beantragung des Dienstes erachtet. Die Filiale gibt diese Informationen in den Antragsablauf ein und übermittelt sie an uns, um die Genehmigung des Dienstes zu ermöglichen. Das Geschäft gibt dann die relevanten Informationen in den Antragsablauf ein und teilt uns auf diese Weise die für die Genehmigung des Dienstes erforderlichen Informationen mit. Anschließend sammelt der Shop als unser Auftragsverarbeiter alle Informationen, die wir benötigen, um den Dienst zu genehmigen (siehe unten).

Einige Geschäfte bieten auch die Möglichkeit eines Self-Check-outs an. In diesem Fall geben Sie die erforderlichen Informationen selbst in den Antragsablauf ein, die dann direkt an uns übermittelt werden.

Das Gleiche gilt, wenn Sie Waren über den Online-Shop eines Geschäfts kaufen möchten. An der Kasse des Online-Shops werden Sie aufgefordert, die erforderlichen Informationen in den Antragsablauf einzugeben, die dann an uns übermittelt werden.

Während des Antragsverfahrens werden Sie in jedem Fall aufgefordert, einige Dokumente und Informationen, z. B. über Ihre finanzielle Situation, zur Verfügung zu stellen. Diese können Sie uns direkt oder über den von Tink AB ("Tink") bereitgestellten Kontoaggregationsdienst übermitteln, der als individueller Verantwortlicher fungiert.

Openbank wird die Ihre Daten verarbeiten, um den Antrag zu bewerten und dem Kunden sowie dem Geschäft eine Entscheidung über die Genehmigung des Antrags mitzuteilen. Zudem werden die notwendigen vorvertraglichen Schritte durchgeführt, die für die Erbringung des Dienstes erforderlich sind, einschließlich des Versands geeigneter Mitteilungen in Bezug auf den Antrag des Kunden

Verarbeitete Daten: Kontakt- und Identifizierungsdaten; Informationen über Ihre finanzielle Situation; Wirtschafts-, Finanz- und Versicherungsinformationen.

Die folgenden Informationen können Ihnen dabei helfen, die Interaktion beider Parteien zu verstehen:

• Informationen, die von der Filiale und Openbank - die als individuelle Verantwortliche handeln - gemeinsam genutzt werden: Vor- und Nachname, E-Mail-Adresse, Telefonnummer, Adresse, Preis der Ware.
• Informationen, die vom Geschäft (als Auftragsverarbeiter) an Openbank weitergegeben werden: Nationalität, Familienstand, Geburtsdatum, Geburtsname, Beruf, Arbeitgeber, Informationen zur Erwerbstätigkeit, Angaben zum Einkommen, Ausgaben und die während des Prozesses zur Verfügung gestellten Dokumente, Informationen von Tink. Bei einigen Vorgängen wird der Anbieter Payever diese Informationen in unserem Auftrag verarbeiten (als Auftragsverarbeiter).

Rechtsgrundlage für die Verarbeitungstätigkeit: Erfüllung vorvertraglicher Maßnahmen und Begründung eines Vertragsverhältnisses mit Ihnen, d.h. für die ordnungsgemäße Bearbeitung Ihrer Bewerbung, gemäß Art. 6 Abs. 1 lit. b DSGVO. Hinsichtlich der Kommunikation haben wir ein berechtigtes Interesse daran, Sie während des Bewerbungsverfahrens durch die Zusendung entsprechender Mitteilungen zu unterstützen, gem. Art. 6 Abs. 1 lit. f DSGVO.

4.1.2 Gesundheitsdienstleistungen

Da unser Dienst Ihnen als Kunde eine Finanzierungslösung für Gesundheitsleistungen (z. B. medizinische Behandlung, Operation) bieten soll, können Sie ein Darlehen für diese Gesundheitsleistungen entweder über die Plattform des Vermittlers oder mittels eines vom Vermittler bereitgestellten Antragsformulars beantragen.

Falls der Vermittler Ihnen ein schriftliches Antragsformular zur Verfügung stellt, tragen Sie Ihre Daten selbst in dieses Formular ein und senden es an den Vermittler, der Ihre Daten über eine gesicherte Schnittstelle an uns weiterleitet. Reichen Sie Ihren Antrag über die Plattform des Vermittlers ein, übermittelt der Vermittler Ihre personenbezogenen Daten ebenfalls über die gesicherte Schnittstelle (bereitgestellt von unserem Auftragsverarbeiter Payever GmbH – siehe Abschnitt 7) an uns. Die Übermittlung der Daten ist erforderlich zur Erfüllung des Darlehensvertrages (Art. 6 Abs. 1 lit. b DSGVO). Handelt es sich jedoch um besondere Kategorien personenbezogener Daten, wird der Vermittler Ihre ausdrückliche Einwilligung für die Übermittlung einholen (Art. 6 Abs. 1 lit. a, Art. 9 Abs. 2 lit. a DSGVO). Hierzu haben wir mit dem Vermittler eine Kooperationsvereinbarung abgeschlossen; in diesem Zusammenhang handeln wir jeweils als eigenständige Verantwortliche.

Wir verarbeiten Ihre personenbezogenen Daten zur Bearbeitung des Antrags sowie zur Durchführung der entsprechenden vorvertraglichen Maßnahmen, die für die Bereitstellung des Darlehens erforderlich sind, einschließlich der Versendung geeigneter Mitteilungen in Bezug auf Ihren Antrag. Nachdem Sie den Antrag eingereicht haben, handelt der Vermittler als unser Auftragsverarbeiter. Das bedeutet, dass der Vermittler Zugriff auf Ihre personenbezogenen Daten erhält, um Ihren Antrag in unserem Auftrag zu bearbeiten (z. B. Überprüfung auf Vollständigkeit der Angaben) und die entsprechende Kommunikation mit Ihnen durchzuführen (z. B. bei Rückfragen zu den gemachten Angaben). Für diese Verarbeitungstätigkeiten haben wir mit dem Vermittler zudem eine Vereinbarung zur Auftragsverarbeitung nach Art. 28 DSGVO abgeschlossen (siehe Abschnitt 7).

Im Verlauf des Antragsprozesses werden Sie – in jedem Fall – aufgefordert, bestimmte Unterlagen und Angaben bereitzustellen, z. B. zu Ihrer finanziellen Situation. Diese können Sie entweder direkt an uns übermitteln oder über den Kontoinformationsdienst Tink AB („Tink“), der hierbei als eigenständiger Verantwortlicher tätig ist.

Verarbeitete Daten: Kontakt- und Identifikationsdaten; Angaben zu Ihren persönlichen Merkmalen (insbesondere körperliche Merkmale); Informationen zu Ihrer finanziellen Situation; wirtschaftliche, finanzielle und versicherungsbezogene Daten.

4.1.3 Automatisierte Entscheidungsfindung

Für unsere Entscheidung über die Ablehnung oder Genehmigung Ihres Darlehens führen wir eine vollständig automatisierte Betrugs- und Bonitätsprüfung durch. Rechtsgrundlage für die Bonitätsprüfung ist Art. 6 Abs. 1 lit. b DSGVO (siehe hierzu auch die Abschnitte 4.2, 4.3 und 4.4). Im Rahmen der Bonitätsbewertung sind wir (Openbank) datenschutzrechtlich verantwortlich für die Bewertung des mit dem Darlehen verbundenen Risikos. Zu diesem Zweck werden die Auskunfteien CRIF GmbH, Victor-Gollancz-Str. 5, 76137 Karlsruhe, und SCHUFA Holding AG, Kormoranweg 5, 65201 Wiesbaden, herangezogen. Zudem werden automatisierte Entscheidungen im Rahmen der internen Bewertung getroffen, um unsere gesetzlichen Pflichten im Rahmen einer Kreditprüfung zu erfüllen (§ 505a BGB, § 18a KWG). Hierbei werden insbesondere Ihre Kontakt- und Identifikationsdaten sowie die von den Auskunfteien übermittelten Score-Werte verarbeitet (Einzelheiten hierzu finden Sie in den Datenschutzhinweisen der SCHUFA unter www.schufa.de/datenschutz und der CRIF GmbH unter www.crif.de/datenschutz/). Wir vergleichen diese Daten, um mittels Profiling die mit dem Darlehen verbundenen Risiken abzuleiten, wenden unsere internen Risikorichtlinien an und berücksichtigen zudem interne Informationen, die uns bereits über Sie vorliegen, z. B. Angaben zu Ihrem bisherigen Verhalten sowie zu Ihrer Kauf- und Zahlungshistorie. Auf Grundlage dieser Daten und der analytischen Merkmale unserer Risikomodelle ermitteln wir automatisiert die Wahrscheinlichkeit, ob der Abschluss des Darlehensvertrags ein Betrugsrisiko birgt (z. B. bei Anzeichen von betrügerischem Verhalten, widersprüchlichem Verhalten oder versuchtem Identitätsmissbrauch) und ob Sie in der Lage sind, die erworbenen Waren zu bezahlen bzw. das Darlehen zu tragen. Auf dieser Basis wird sodann über die Genehmigung oder Ablehnung Ihres Antrags entschieden. Wir haben verschiedene Kontrollmechanismen implementiert, um sicherzustellen, dass die automatisierten Entscheidungen angemessen erfolgen. Diese beinhalten laufende Tests und Überprüfungen der Entscheidungsmodelle sowie eine detaillierte Dokumentation abgelehnter Anträge und der dahinterstehenden Begründung. Sie haben das Recht, eine Erläuterung der getroffenen Entscheidung zu verlangen, Ihr Recht auszuüben, nicht ausschließlich einer automatisierten Entscheidung unterworfen zu sein – indem Sie die Einschaltung eines unserer Analysten beantragen – sowie Ihre Sichtweise darzulegen und die auf einem Profiling beruhende Entscheidung anzufechten. Zur Ausübung Ihrer Rechte können Sie die in Abschnitt 11 dieser Datenschutzhinweise angegebenen Kontaktwege nutzen. Weitere Informationen hierzu finden Sie in den Abschnitten 4.2, 4.3 und 4.4.

Ausführlichere Informationen zu den Tätigkeiten der SCHUFA entnehmen Sie bitte der SCHUFA-Information gemäß Art. 14 DSGVO und online unter www.schufa.de/datenschutz. Weitere detaillierte Informationen zu den Tätigkeiten der CRIF GmbH finden Sie online unter www.crif.de/datenschutz/.

4.2 Übermittlung von Daten an Auskunfteien

Wir übermitteln Ihre personenbezogenen Daten in den folgenden Fällen an die Auskunfteien SCHUFA Holding AG, Kormoranweg 5, 65201 Wiesbaden, Deutschland ("SCHUFA") und CRIF GmbH, Victor-Gollancz-Str. 5, 76137 Karlsruhe, Deutschland ("CRIF"):

a) Bonitätsprüfung:

Zweck der Verarbeitung: (i) Einholung einer Bonitätsauskunft über Sie in Form eines Bonitätsscores, (ii) Validierung der von Ihnen angegebenen Adressdaten und (iii) Betrugsprävention. Im Rahmen dieser Prüfung werden Ihre Adressdaten auch verwendet, um Informationen über bekannte Fälle von Betrug oder versuchtem Betrug durch Personen mit derselben Adresse zu erhalten (siehe unten unter b).

Verarbeitete Daten: Kontakt- und Identifizierungsdaten, insbesondere Ihr(e) Vorname(n), Nachname, Adresse(n), Geburtsdatum, IBAN, Telefon und E-Mail-Adresse.

Rechtsgrundlage für die Verarbeitung: unser berechtigtes Interesse, das Risiko von Zahlungsausfällen zu verringern, gemäß Art. 6 Abs. 1 lit. f DSGVO.

b) Meldung von Zahlungsausfällen an Auskunfteien:

Darüber hinaus übermitteln wir Ihre personenbezogenen Daten gelegentlich während des Vertragsverhältnisses an die SCHUFA und CRIF wie folgt:

Die SCHUFA: Openbank übermittelt die im Rahmen dieses Vertragsverhältnisses erhobenen personenbezogenen Daten über die Beantragung, Abwicklung und Beendigung dieser Geschäftsbeziehung sowie Informationen über vertragswidriges oder betrügerisches Verhalten an die SCHUFA Holding AG, Kormoranweg 5, 65201 Wiesbaden. Die Zulässigkeit dieser Datenübermittlung ergibt sich aus Artikel 6 Absatz 1 Buchstabe b und Artikel 6 Absatz 1 Buchstabe f der Datenschutzgrundverordnung (DSGVO). Eine Datenübermittlung auf der Grundlage von Artikel 6 Absatz 1 Buchstabe f) DSGVO ist nur zulässig, wenn sie zur Wahrung der berechtigten Interessen der Bank/Sparkasse oder Dritter erforderlich ist und die Interessen oder Grundrechte und Grundfreiheiten des Betroffenen, die den Schutz personenbezogener Daten erfordern, nicht überwiegen. Ein Datenaustausch mit der SCHUFA erfolgt auch zur Erfüllung gesetzlicher Pflichten bei der Durchführung von Kundenbonitätsprüfungen (§ 505 a BGB; § 18 a KWG). In diesem Zusammenhang entbindet der Kunde die Openbank auch vom Bankgeheimnis. Die SCHUFA verarbeitet die erhaltenen Daten und nutzt sie auch für Zwecke der Profilbildung (Scoring), um ihren Vertragspartnern im Europäischen Wirtschaftsraum, in der Schweiz und in einem anderen Drittland (sofern die Europäische Kommission dieses Land für geeignet erklärt hat) Informationen für die Bonitätsprüfung natürlicher Personen und andere Zwecke zur Verfügung zu stellen. Nähere Informationen zu den Aktivitäten der SCHUFA finden Sie in der SCHUFA-Information nach Art. 14 der Datenschutz-Grundverordnung sowie online unter www.schufa.de/datenschutz

CRIF: Im Rahmen dieses Vertragsverhältnisses übermitteln wir Informationen über Zahlungsausfälle an die CRIF GmbH, Victor-Gollancz-Str. 5, 76137 Karlsruhe, Deutschland. Die Rechtsgrundlage für diese Übermittlung ist Art. 6 Abs. 1 Satz 1 lit. b und lit. f der Datenschutz-Grundverordnung (DSGVO). Der Datenaustausch mit der CRIF GmbH dient außerdem der Erfüllung gesetzlicher Pflichten zur Durchführung von Bonitätsprüfungen (§§ 505a und 506 BGB). Die CRIF GmbH verarbeitet die erhaltenen Daten und nutzt sie auch zum Zwecke des Profilings (Scoring), um ihren Vertragspartnern im Europäischen Wirtschaftsraum und in der Schweiz sowie gegebenenfalls auch in anderen Drittländern unter anderem Informationen zur Beurteilung der Kreditwürdigkeit natürlicher Personen bereitzustellen. Eine Übermittlung personenbezogener Daten in Drittländer erfolgt in Übereinstimmung mit Art. 44 ff. DSGVO. Weitere Informationen zu den Tätigkeiten der CRIF GmbH finden Sie in deren Informationsblatt oder online unter www.crif.de/datenschutz

Wir weisen Sie darauf hin, dass Zahlungserfahrungsdaten, insbesondere über unbestrittene und nicht fristgerecht bezahlte Forderungen, sowie Adressdaten an die CRIF GmbH, Diefenbachgasse 35, 1150 Wien, zur rechtmäßigen Verarbeitung im Rahmen ihrer Gewerbeberechtigungen gemäß §§ 151 (Adressveröffentlichung), 152 (Auskunfteien) und 153 (automatisierte Datenverarbeitungsdienste und elektronische Datenverarbeitungstechnik) der Gewerbeordnung 1994 übermittelt werden. CRIF wird darüber hinaus für Identitäts- und Bonitätsprüfungen eingesetzt. Weitere Informationen finden Sie unter www.crif.at.

Zu dem erläuterten Zweck melden wir jeden Zahlungsverzug Ihrerseits während des Vertragsverhältnisses mit Openbank an die Auskunfteien SCHUFA und CRIF.

Verarbeitete Daten: Identifizierungsdaten und Informationen über Zahlungsausfälle oder offene Forderungen.

Rechtsgrundlage für die Verarbeitung: Unser berechtigtes Interesse an der Vermeidung und effektiven Überwachung von Zahlungsausfällen, die für uns nachteilig sind. Ebenso besteht ein berechtigtes Interesse seitens dritter Finanzinstitute, über solche Zahlungsausfälle bei der Bearbeitung neuer Finanzierungsanträge informiert zu werden, gemäß Art. 6 Abs. 1 lit. f DSGVO.

4.3 Bewertung der Zahlungsfähigkeit und Kreditwürdigkeit (automatisierte Entscheidungsfindung)

Bei der Beantragung des Dienstes werden wir Ihre Kreditwürdigkeit bewerten. Dies geschieht mittels automatisierter Entscheidungsfindung. Wir vergleichen und verarbeiten Ihre Antragsdaten anhand der Verhaltens- und Risikomodelle, die wir zur Bewertung des Ausfallrisikos haben, und erstellen ein Profil. Die Profilerstellung besteht aus einer automatisierten Analyse der Informationen, die Sie uns bei der Beantragung des Dienstes zur Verfügung gestellt haben, der Informationen, die aus den zum Zeitpunkt Beantragung des Dienstes erhaltenen Metadaten abgerufen werden, und Ihrer Kreditwürdigkeit durch Abfrage von Kreditdatenbanken wie SCHUFA und CRIF, um Fälle von Schulden und Zahlungsausfällen zu identifizieren (weitere Einzelheiten in Abschnitt 4.2.).

Wenn Sie bereits Kunde von Openbank sind, erfolgt eine automatische Analyse der Daten, die wir bereits verarbeiten, wie z. B. Kontostand, gekaufte Wertpapiere, Pläne, Fonds, Hypotheken, Karten, Einlagen (Einzahlungen/Rückzahlungen), Kredite (Betrag und Anzahl), Lastschriften, Umsätze bei Händlern und Kartentransaktionen (physisch/online), Gehaltsabrechnungen und Renten, Bargeld (Zu- und Abflüsse), Kartennutzung, Fälle und Zeitpunkte von Zahlungsausfällen gegenüber der Openbank. Wir überprüfen auch, ob Ihnen gegenüber offene Forderungen anderer Institutionen bestehen und/oder ob es diesen gegenüber zu Zahlungsausfällen gekommen ist, soweit sie von der SCHUFA und der CRIF gemeldet werden.

Zudem berücksichtigen wir die Informationen, die über Tink erhoben werden. Wenn bestimmte Kriterien erfüllt sind (z. B. die Höhe des Darlehens), müssen Sie sich bei dem Kontoinformationsdienstleister Tink registrieren. Tink bündelt die Finanzbewegungen der von Ihnen hinzugefügten Konten und stellt uns die Transaktionsdaten einschließlich Datum, Betrag, Empfänger und Kontostand zur Verfügung.

Tink verarbeitet Ihre Daten auf Grundlage Ihrer Einwilligung gemäß Art. 6 Abs. 1 lit. a DSGVO als Verantwortlicher und übermittelt diese im Rahmen unserer Kooperationsvereinbarung mit Tink an Openbank.

Weitere Informationen hierzu finden Sie in den Datenschutzbestimmungen von Tink unter https://tink.com/legal/notices/.

Die über Tink erhaltenen Daten (Daten zu einzelnen Transaktionen wie Betrag, Verwendungszweck, Datum, zugehöriges Konto sowie Eigentümerdaten der gültig eingebundenen Konten) werden kategorisiert, um uns bei der Beurteilung Ihrer Kreditwürdigkeit zu unterstützen.

Darüber hinaus haben Sie die Möglichkeit, die entsprechenden Unterlagen (z. B. Gehaltsabrechnungen oder Kontoauszüge) selbst hochzuladen.

Durch die Kombination aller genannten Informationsquellen und unter Nutzung unserer Verhaltens- und Risikomodelle können wir Ihr potenzielles Zahlungsverhalten ableiten. Dies geschieht, um sicherzustellen, dass Sie die aus dem beantragten Betrag und der Laufzeit resultierenden Raten tragen können und gleichzeitig genügend Mittel zur Deckung Ihrer grundlegenden Lebenshaltungskosten verbleiben. Auf dieser Grundlage bestimmen wir Ihr Ausfallrisiko im Zusammenhang mit dem Dienst. Bitte beachten Sie, dass es infolge dieser automatisierten Entscheidungsfindung, d. h. des Profilings, zu einer Genehmigung oder Ablehnung Ihres Antrags kommen kann. Wird Ihr Antrag abgelehnt, erhalten Sie eine entsprechende Information, insbesondere wenn die Entscheidung ausschließlich auf Angaben einer Auskunftei beruht.

Sie können Informationen über das Ergebnis einer solchen automatisierten Entscheidung anfordern, um eine Erläuterung der getroffenen Entscheidung zu erhalten. Openbank hat geeignete Maßnahmen ergriffen, um Ihre Rechte und Freiheiten zu wahren. Sie können beispielsweise Ihre Sichtweise darlegen, der Entscheidung widersprechen und eine menschliche Überprüfung (manuelle Nachprüfung) der getroffenen Entscheidung verlangen. Hierfür können Sie auch weitere Unterlagen einreichen, die Sie für erforderlich halten.

Bitte beachten Sie, dass die Bereitstellung des Dienstes eine fortlaufende Verwaltung und Überwachung umfasst. Daher kann es erforderlich sein, dass wir Ihre finanzielle Situation und Kreditwürdigkeit auch regelmäßig während der gesamten Vertragslaufzeit analysieren.

Rechtsgrundlage für die Verarbeitung: Die Prüfung Ihrer Zahlungsfähigkeit wie beschrieben ist für den Abschluss eines Vertrags mit Ihnen gemäß Art. 6 Abs. 1 lit b. DSGVO erforderlich.

4.4 Betrugsbekämpfung

Wir sind gesetzlich verpflichtet, Maßnahmen zur Betrugsprävention zu ergreifen und unsere Kunden vor potenziell betrügerischen Aktivitäten wie Identitätsdiebstahl oder Passwortdiebstahl zu schützen. Wir werden daher überprüfen, dass die Beantragung des Dienstes nicht Gegenstand betrügerischer Aktivitäten ist.

Zu diesem Zweck prüfen wir während der Antragsbearbeitung, ob es Anzeichen für betrügerische Aktivitäten gibt, indem wir die Dienste von spezialisierten Drittanbietern für die Betrugsbekämpfung nutzen. Im Rahmen einer automatisierten Entscheidungsfindung werten wir die in dem Antrag enthaltenen Daten und Informationen aus, um mögliche betrügerische Handlungen aufzudecken und zu verhindern. Wir führen auch verschiedene Prüfungen durch, wie z. B. die Überprüfung Ihrer Identität und die Aufdeckung möglicher Unstimmigkeiten in den angegebenen Informationen, bevor Sie einen Vertrag mit uns schließen.

Diese Verarbeitungstätigkeit ermöglicht es uns, potenziell betrügerische Aktivitäten wie den unbefugten Zugriff auf die persönlichen Daten unserer Kunden, einen möglichen Identitätsdiebstahl oder jede vergleichbare Situation, zu erkennen, um die Interessen unserer Kunden zu schützen.

Bitte beachten Sie, dass Ihre personenbezogenen Daten einer automatisierten Entscheidungsfindung unterzogen werden. Je nach Ergebnis der durchgeführten Betrugsanalyse werden wir entscheiden, ob ein Betrugsrisiko besteht und ob wir Ihren Antrag auf Nutzung des Dienstes (vorläufig) genehmigen können oder nicht. Wir gehen von einem Betrugsrisiko aus, wenn unsere Analyse zu folgendem Schluss kommt:

(i) dass Ihr Verhalten auf ein mögliches betrügerisches Verhalten hinweist

(ii) dass Ihr Verhalten im Vergleich zu einer früheren Nutzung unserer Dienste Anomalien aufweist

(iii) dass Sie versucht haben, Ihre wahre Identität zu verbergen

Wird ein Betrugsversuch oder eine verdächtige Aktivität festgestellt (z. B. wiederholte Vorgänge, Verwendung eines anderen als des üblichen Geräts oder ungewöhnliches Verhalten im Vergleich zu Ihrem zuvor erstellten Transaktionsprofil), können wir, sofern nicht ein öffentliches Interesse vorliegt, eine automatisierte Entscheidung treffen, über die wir Sie entsprechend informieren, die verfügbaren Informationen überprüfen und erforderlichenfalls zusätzliche Informationen anfordern. Als Vorsichtsmaßnahme und bis wir die entsprechenden Überprüfungen durchgeführt haben, wird jede Transaktion zurückgestellt.

Muss Ihr Antrag abgelehnt werden, so können Sie den Dienst nicht nutzen.

Wir verfügen über eine Reihe von Kontrollmechanismen, um sicherzustellen, dass unsere automatisierten Entscheidungen angemessen sind. Zu diesen Mechanismen gehören laufende Tests und Überprüfungen unserer Entscheidungsmodelle sowie eine ausführliche Dokumentation der abgelehnten Anträge und der ihnen zugrunde liegenden Gründe. Wenn Sie Zweifel an der Angemessenheit des Ergebnisses haben, können Sie sich mit uns in Verbindung setzen, und einer unserer Analysten wird überprüfen, ob der Prozess ordnungsgemäß durchgeführt wurde. Sie können auch gemäß den folgenden Anweisungen Einspruch erheben:

Sie haben das Recht, gegen jede automatisierte Entscheidung, die für Sie rechtliche Folgen hat, oder gegen Entscheidungen, die Sie auf andere Weise erheblich beeinträchtigen können, Widerspruch einzulegen. Sie können dies tun, indem Sie eine E-Mail an datenschutz.de@zinia.com senden. Nach Erhalt Ihres Antrags werden wir die getroffene Entscheidung unter Berücksichtigung aller zusätzlichen Informationen und Umstände, die Sie uns zur Verfügung stellen, überprüfen.

Verarbeitete Daten: Alle Verarbeitungen, einschließlich automatisierter Entscheidungen, basieren auf (i) Daten, die Sie uns direkt zur Verfügung gestellt haben, z. B. Daten zu Ihrem Standort und Ihren Verhaltensmustern, (ii) Daten von Betrugspräventionsinstrumenten und Dienstleistern, die wir nutzen und mit denen wir zusammenarbeiten, und (iii), falls zutreffend, auf intern erhobenen Daten der Openbank, um potenzielle Betrugsversuche zu erkennen und zu verhindern.

Rechtsgrundlage für die Verarbeitung: unser berechtigtes Interesse an der Durchführung von Betrugspräventionsmaßnahmen; Rechtsgrundlage ist Art. 6 Abs. 1 lit. f DSGVO.

Weitergabe von personenbezogenen Daten an Dritte:

Zur Durchführung dieser Verarbeitungstätigkeit werden wir Ihre personenbezogenen Daten im erforderlichen Umfang an Drittanbieter weitergeben, die uns dabei helfen, mögliche Betrugsversuche wie beschrieben aufzudecken und zu verhindern.

Weitergegebene Daten: Zu den Informationen, die wir mit diesen Dritten teilen, gehören einige der Anwendungsdaten, die Sie uns zur Verfügung stellen, wie z. B. Ihre E-Mail-Adresse, sowie Informationen, die sich auf Ihr Browsing beziehen, wie z. B. die IP-Adresse Ihres Geräts.

Wir nehmen die folgenden Dienstleister in Anspruch, die uns helfen, betrügerische Transaktionen zu erkennen und zu verhindern:

Emailage

Wir nutzen die von LexisNexis Risk Solutions (Europe) Limited bereitgestellten Dienste Emailage.

Weitergegebene Daten: Ihr Vor- und Nachname, Ihre E-Mail-Adresse und IP-Adresse werden an Lexis Nexis Risk Solutions übermittelt. Wir verarbeiten Ihre E-Mail-Adresse und IP-Adresse über den von Lexis Nexis Risk Solutions bereitgestellten Dienst, um einen Score zum Betrugsrisiko zu ermitteln. Zu diesem Zweck vergleicht und bewertet Emailage. die zur Verfügung gestellten Datenpunkte mit den zugehörigen Metadaten (E-Mail-Daten, IP-Geolokalisierungsdaten) und früheren Kundenanfragen und Betrugsindikatoren (Reputation der Adresse, Verhalten und Metadaten), die dem globalen Betrugsprävention-Netzwerk von Emailage hinzugefügt wurden. Der Betrugsrisiko-Score ist ein hilfreiches Tool, um betrügerisches Verhalten zu erkennen und Betrug zu verhindern.

Emailage agiert als individueller Verantwortlicher im Sinne von Art. 4 Nr. 7 DSGVO und verarbeitet die Daten für die in ihren Datenschutzhinweisen genannten Zwecke. Sie können Ihre Betroffenenrechte bei Emailage unter DPO@lexisnexisrisk.com ausüben.

Rechtsgrundlage für die Verarbeitungstätigkeit: Berechtigtes Interesse an der Verhinderung von Betrug sowohl bei Neukunden als auch bei Bestandskunden und der Vermeidung von betrugsbedingten Schäden für unsere Kunden, Art. 6 Abs. 1 lit. f DSGVO.

Threametrix

Wir nutzen den Dienst "Threatmetrix" von LexisNexis Risk Solutions (Europe) Limited, wobei LexisNexis Risk Solutions als unser Auftragsverarbeiter fungiert.

Threatmetrix unterstützt uns bei der Betrugsverhinderung. Zu diesem Zweck übertragen wir personenbezogene Daten an Threatmetrix, wo diese in pseudonymisierter Form gespeichert werden. Sie werden verwendet, um gerätebezogene Angriffe zu erkennen. ThreatMetrix erstellt eine pseudonyme Geräte-ID, die von ThreatMetrix verwendet wird, um auf der Grundlage der unten beschriebenen Verhaltensweisen und Daten eindeutige Merkmale für dieses Gerät zu bestimmen, das so genannte Device Fingerprinting. ThreatMetrix verarbeitet die folgenden personenbezogenen Daten für uns:

Geräte-Fingerprinting-Daten: IP-Adresse, Standortdaten, besuchte Webseiten sowie Beginn, Ende und Länge der besuchten Webseiten und andere Geräteinformationen (Sprach- und Ländereinstellungen, Bildschirminformationen, Farbtiefe und Informationen über installierte Browser, Plug-ins, Software und Versionen).

Transaktionsdaten: Anrede, Vorname, Familienname und Mädchenname, Geburtsdatum, E-Mail, Telefonnummer und Adresse (Straße, Hausnummer, Postleitzahl) und Höhe des beantragten Kredits.

Die vorgenannten Daten werden zur Verhinderung von Missbrauch und Betrug wie oben beschrieben gespeichert und verarbeitet.

Rechtsgrundlage für die Verarbeitung: berechtigtes Interesse an der Verhinderung von Betrug gemäß Art. 6 Abs. 1 lit. f DSGVO.

CRIF

Wir werden Ihre Daten zu Betrugspräventionszwecken auch an die CRIF weitergeben. Zu diesem Zweck übermitteln wir der CRIF Ihren Vornamen, Nachnamen, Ihr Geburtsdatum, Ihre E-Mail-Adresse, Ihre Telefonnummer und Ihre Adresse (einschließlich Straße, Hausnummer, Postleitzahl, Ort), Ihre IBAN und Ihre E-Mail-Adresse. Die CRIF wird diese Daten, mit denen in ihren Datenbanken vergleichen, um das Risiko eines Identitätsdiebstahls zu verhindern oder um zu prüfen, ob die Daten bereits in einem Betrugsfall verwendet wurden.

Verarbeitete Daten: Identifizierungsdaten, Informationen zu Ihren persönlichen Merkmalen, Informationen über Waren- und Dienstleistungstransaktionen, Informationen zur Erwerbstätigkeit, sowie Daten betreffend des Surfverhaltens im Internet und Information über das verwendete Gerät.

Rechtsgrundlage für die Verarbeitungstätigkeit: berechtigtes Interesse an der Verhinderung und Vermeidung von Betrug und an der Gewährleistung eines angemessenen Schutz vor Betrug für unsere Kunden gemäß Art. 6 Abs. 1 lit. f DSGVO.

4.5 Identifizierung des Kunden

Als Bank sind wir gesetzlich verpflichtet, bei bestimmten Transaktionen und Dienstleistungen die Identität unserer Kunden zu überprüfen, wie bei Beantragung des Dienstes.

Wir verarbeiten und analysieren wir die Informationen eines gültigen Ausweisdokuments (einschließlich des Bildes) zum Zwecke der Identitätsüberprüfung, soweit es zur Erfüllung des Vertrags mit Ihnen als Kunden, zur Erfüllung der Anforderungen der zuständigen Behörden und/oder zur Erfüllung unserer gesetzlichen Verpflichtungen erforderlich ist.

Verarbeitete Daten: Identifizierungsdaten und Informationen zu Ihren persönlichen Merkmalen.

Rechtsgrundlage für die Verarbeitungstätigkeit: unsere gesetzliche Verpflichtung zur Identifizierung unserer Kunden nach dem Geldwäschegesetz (GwG), gemäß Art. 6 Abs. 1 lit. c DSGVO.

Dazu bieten wir folgende Lösungen für die Kundenidentifizierung an: Videoidentifizierung, Konto-ID oder physische Identifizierung im Geschäft.

Je nach gewählter Identifizierungsmethode variieren die verarbeiteten personenbezogenen Daten wie folgt:

a) Identifizierung vor Ort im Geschäft

Wenn Sie die physische Identifizierung im Geschäft wählen, führt ein Mitarbeiter des jeweiligen Geschäfts die Verifizierung durch. Zu diesem Zweck verarbeitet der Mitarbeiter des Geschäfts die oben genannten Daten. Rechtsgrundlage ist in diesem Fall Art. 6 Abs. 1 lit. c DSGVO. Das Geschäft handelt hierbei als unser Auftragsverarbeiter im Sinne von Art. 4 Nr. 8 DSGVO.

b) Video-Identifizierung

Sie können sich ebenfalls per Videoanruf identifizieren. Das Video-Identifikationsverfahren wird in unserem Auftrag von der WebID Solutions GmbH ("WebID") als unserem Auftragsverarbeiter durchgeführt. Während eines Video-Telefonats mit einem Mitarbeiter von WebID wird die Identität des Kunden geprüft.

Verarbeitete Daten: Vorname, Nachname, Geburtsort, Geburtsdatum, Staatsangehörigkeit, vollständige Anschrift, Geschlecht, Mobiltelefonnummer, E-Mail-Adresse, Foto/Screenshot der Person und der Vorder- und Rückseite des Ausweisdokuments (einschließlich der biometrischen Daten und der Ausweisdaten wie Datum und Ort der Ausstellung, ausstellende Behörde usw.), die Ihnen übermittelte Transaktionsnummer (TAN).

Bitte beachten Sie, dass es eine Video- und Audioaufzeichnung des Videotelefonats geben wird.

Rechtsgrundlage für die Verarbeitungstätigkeit: Ihre Einwilligung gemäß Art. 6 Abs. 1 lit. a DSGVO.

c) Konto-ID

Wenn Sie sich für die Identifizierung mittels des Konto-ID-Verfahrens entscheiden, können Sie sich durch Einloggen in Ihr Online-Banking identifizieren. Das Konto-ID-Verfahren wird in unserem Auftrag von WebID als unserem Auftragsverarbeiter durchgeführt.

Die Identifizierung mittels des Konto-ID-Verfahrens erfolgt per Biometrie und umfasst den Abgleich Ihres Fotos (Sie werden zur Aufnahme eines Selbstporträts aufgefordert) mit dem Foto auf Ihrem Personalausweis. Wenn der Abgleich erfolgreich ist, werden Sie dazu aufgefordert, sich im Onlinebanking Ihrer Bank einzuloggen und eine Überweisung vorzunehmen.

Verarbeitete Daten: Vorname, Nachname, Geburtsort, Geburtsdatum, Staatsangehörigkeit, vollständige Anschrift, Geschlecht, Mobiltelefonnummer, E-Mail-Adresse, Foto/Screenshot der Person sowie Vorder- und Rückseite des Ausweisdokumentes, Daten des Ausweises (wie Datum und Ort der Ausstellung, ausstellende Behörde usw.).

Rechtsgrundlage für die Verarbeitungstätigkeit: Ihre Einwilligung gemäß Art. 6 Abs. 1 lit. a DSGVO.

d) Postident

Wenn Sie sich für POSTIDENT der Deutsche Post als Verarbeiter entscheiden, erhalten Sie Ihren POSTIDENT-Coupon über das POSTIDENT-Portal. Mit diesem Coupon können Sie in eine Postfiliale gehen. Der Postmitarbeiter nimmt die Angaben aus dem Coupon auf und überprüft das von Ihnen vorgelegte Ausweisdokument. Sobald Sie Ihre Ausweisdaten bestätigt haben, werden diese digital an uns übermittelt und von uns verarbeitet.

Verarbeitete Daten: Identifizierungsdaten.

Rechtsgrundlage für die Verarbeitung: unsere gesetzlichen Verpflichtungen gemäß Art. 6 Abs. 1 it. c DSGVO.

4.6 Elektronische Signatur

Um Ihnen die Möglichkeit zu bieten, den Vertrag mit einer qualifizierten elektronischen Signatur (im Folgenden „QES“) elektronisch unterzeichnen zu können, nutzen wir die Dienste von WebID. Über WebID können Sie den Vertrag über den Dienst elektronisch mittels QES signieren.

Verarbeitete Daten: Vor- und Nachname, Geschlecht, Geburtsdatum, Adresse (Straße, Hausnummer, Postleitzahl, Ort), E-Mail-Adresse, Staatsangehörigkeit, Angaben zu dem für die Identifizierung verwendeten Ausweisdokument (Ausstellungsdatum und Gültigkeitsdauer des zur Identifizierung verwendeten Ausweisdokuments, Art des Ausweisdokuments, Ausweisnummer, ausstellende Behörde, Land der Ausstellung), Telefonnummer, E-Mail-Adresse und Mobiltelefonnummer, und den Inhalt des zu unterzeichnenden Vertrags (Daten zu dem Kredit und Kontoverbindung).

Um den Dienst bereitstellen zu können, wird WebID Ihre Daten an weitere Dienstleister weitergeben, wie im Verlauf des Prozesses erläutert wird. Weitere Informationen sind den Datenschutzbestimmungen von WebID zu entnehmen: https://webid-solutions.com/de/datenschutz/

Rechtsgrundlage für die Verarbeitungstätigkeit: Erfüllung vorvertraglicher Maßnahmen und Begründung eines Vertragsverhältnisses mit Ihnen, Art. 6 Abs. 1 lit. b DSGVO.

4.7 Verwaltung der Vertragsbeziehung und Informationsaustausch mit dem Geschäft

Wir verarbeiten Ihre Daten zur Verwaltung unserer Beziehung mit Ihnen und zur Bereitstellung des Dienstes sowie jeglicher Unterstützung, die Sie in diesem Zusammenhang benötigen.

In diesem Rahmen können wir Ihre Daten insbesondere zu folgenden Zwecken verarbeiten: (i) Erfüllung der vertraglichen Verpflichtungen; (ii) Bearbeitung Ihrer Weisungen; (iii) Abwicklung der Rückzahlung des Darlehens (vollständig oder teilweise); (iv) sowie gegebenenfalls Beendigung der Geschäftsbeziehung.

Wenn Sie die Raten per Lastschrift bezahlen möchten, werden Sie aufgefordert, Ihre IBAN manuell einzugeben. Diese wird im Rahmen des oben beschriebenen Know-Your-Customer-(KYC)-Prozesses überprüft. Die weiteren Raten werden anschließend von diesem Konto abgebucht.

Da der Dienst mit Ihrem Kauf in einem bestimmten Geschäft verbunden ist, tauschen wir Informationen mit dem Geschäft in Bezug auf den Dienst und etwaige daraus resultierende Ansprüche aus. Akzeptiert das Geschäft beispielsweise die Rückgabe eines Produkts, das über den Dienst finanziert wurde, informiert uns das Geschäft hierüber, da Kauf und Dienst eng miteinander verbunden sind. Dadurch sind wir in der Lage, den Dienst entsprechend zu beenden.

Verarbeitete Daten: Kontakt- und Identifizierungsdaten; Informationen zur Erwerbstätigkeit; Wirtschafts-, Finanz- und Versicherungsinformationen; Informationen zu Ihren persönlichen Merkmalen.

Rechtsgrundlage für die Verarbeitungstätigkeit: (i) Ausführung und Erfüllung unserer vertraglichen Verpflichtungen, gemäß Art. 6 Abs. 1 lit. b DSGVO; und (ii) zur Erfüllung unserer rechtlichen Verpflichtungen, gemäß Art. 6 Abs. 1 lit. c DSGVO.

4.8 Forderungseinzug

Wir verarbeiten Ihre personenbezogenen Daten zum Zweck der Einziehung offener Forderungen. Diese Verarbeitung ist erforderlich, um etwaige Zahlungsausfälle zu beheben, Unannehmlichkeiten zu vermeiden und die Entstehung von Zinsen sowie zusätzlichen Kosten zu verhindern. Dazu können wir uns über die verschiedenen Kontaktmöglichkeiten (Post, Telefon, SMS, Instant Messaging, E-Mail, Web-Push, Pop-up oder jede andere jederzeit verfügbare elektronische oder Telematiksystemen) an Sie wenden.

Verarbeitete Daten: Kontakt- und Identifizierungsdaten, Wirtschafts-, Finanz- und Versicherungsinformationen, soweit erforderlich.

Rechtsgrundlage für die Verarbeitungstätigkeit: Erfüllung des Vertragsverhältnisses mit Ihnen, Rechtsgrundlage ist Art. 6 Abs. 1 lit. b DSGVO.

4.9 Berichte an Behörden und andere Unternehmen der Santander-Gruppe

Im Rahmen des Vertragsverhältnisses übermitteln wir Ihre personenbezogenen Daten an Behörden, amtliche Stellen bzw. Bankenüberwachungs- und -aufsichten und zuständige Finanzbehörden, soweit dies nach den geltenden Gesetzen für den Banken- und Finanzsektor, z. B. dem Geldwäschegesetz (GwG) und etwaigen Vorschriften zur Bekämpfung der Terrorismusfinanzierung und des Verbraucherschutzes (siehe unten), erforderlich ist.

Wir werden auch bestimmte Daten von Kunden an andere Unternehmen der Santander-Gruppe weitergeben, um (Finanz-)Kriminalität zu verhindern und um: (i) die internen Vorschriften der Santander-Gruppe einzuhalten, die entwickelt wurden, um unseren gesetzlichen Verpflichtungen im Bereich der Prävention von Finanzkriminalität nachzukommen; (i) sowie es den Unternehmen der Santander-Gruppe zu ermöglichen, ihren gesetzlichen Verpflichtungen nachzukommen, die sich aus den Vorschriften zur Bekämpfung von Geldwäsche und Terrorismusfinanzierung ergeben; und (iii) es den Unternehmen der Santander-Gruppe zu ermöglichen, etwaigen Meldepflichten gegenüber den Aufsichtsbehörden nachzukommen.

Verarbeitete Daten: Identifizierungsdaten, Informationen über den steuerlichen Wohnsitz und Informationen im Zusammenhang mit dem Vertragsverhältnis, Informationen zu Ihren persönlichen Merkmalen, Informationen zur Erwerbstätigkeit, Wirtschafts-, Finanz- und Versicherungsinformationen sowie Informationen über Waren- und Dienstleistungstransaktionen.

Rechtsgrundlage für die Verarbeitungstätigkeit: (i) unsere rechtlichen Verpflichtungen (wie oben beschrieben) gemäß Art. 6 Abs. 1 lit. c DSGVO; (ii) für die Weitergabe von Informationen an andere Unternehmen der Santander-Gruppe unser berechtigtes Interesse an der Bekämpfung von Finanzkriminalität, Art. 6 Abs. 1 lit. f DSGVO.

4.10 Beantwortung und Verwaltung Ihrer Informationsanfragen zu Produkten und/oder Dienstleistungen der Openbank

Sie können uns über unser Kontaktzentrum, unsere Website und/oder unsere App kontaktieren und Informationen über unsere anderen Produkte oder Dienstleistungen anfordern, wenn Sie daran interessiert sind, Informationen über unsere anderen Produkte oder Dienstleistungen zu erhalten oder Simulationen durchzuführen, um eines unserer (anderen) Produkte abzuschließen.

Verarbeitete Daten: Die von Ihnen angegebenen Daten werden von uns verarbeitet, um Ihre Anfrage zu bearbeiten, Ihnen die gewünschten Informationen zukommen zu lassen und Sie auf adäquatem Wege, auch elektronisch, zu kontaktieren.

Rechtsgrundlage für die Verarbeitung: Verarbeitung zum Zweck vorvertraglicher Maßnahmen, soweit Ihre Anfrage auf den Abschluss eines Vertrags abzielt, Art. 6 Abs. 1 lit. b DSGVO; in allen anderen Fällen unser berechtigtes Interesse, Ihre Anfrage ordnungsgemäß zu beantworten, Art. 6 Abs. 1 lit. f DSGVO.

4.11 Bekämpfung der Geldwäsche und der Finanzierung des Terrorismus

Wir sind gesetzlich verpflichtet, die personenbezogenen Daten des Kunden zur Erfüllung zu verarbeiten. Dies kann aus den anwendbaren Geldwäschevorschriften, wie dem Geldwäschegesetz (GwG) einschließlich der Vorschriften zur Verhinderung der Terrorismusfinanzierung folgen.

In diesem Kontext werden Ihre Daten unter anderem für folgende Tätigkeiten verarbeitet:

Meldung von Informationen an Dritte (wie im vorherigen Abschnitt erläutert).

Überwachung von PEP-Listen und anderen externen Datenbanken: Überwachung von politisch exponierten Personen (PEP) und anderen relevanten Datenbanken

Überprüfung Ihrer Identität: wie in Abschnitt 4.5 erläutert, sowie Anforderung weiterer Informationen und aktualisierter Daten. Openbank wird die Richtigkeit der Angaben überprüfen und diese entsprechend aktualisieren, sofern lediglich geringfügige Änderungen vorliegen.

Kontinuierliche Überwachung der Kundenbeziehungen: Dazu zählt die Verfolgung der Transaktionen; Überprüfung der Herkunft der Gelder; Überprüfung der Dokumente und Informationen, die über die Kunden des Instituts verfügbar sind, und Aufforderung zur Aktualisierung der für notwendig erachteten Dokumente usw.

Wenn der Kunde die aktualisierten Unterlagen nicht innerhalb einer angemessenen Frist vorlegt, werden die Daten verarbeitet, um die Nutzung der Produkte/Dienstleistungen des Kunden zu sperren (diese Sperre kann sowohl die bereits abgeschlossenen Produkte/Dienstleistungen als auch die Möglichkeit des Abschlusses neuer Produkte/Dienstleistungen bei Openbank betreffen) und/oder um die Geschäftsbeziehung mit dem Kunden zu beenden.

In Übereinstimmung mit den Vorschriften zur Verhinderung von Geldwäsche und Terrorismusfinanzierung analysieren wir jedes Verhalten und vorliegende Informationen dahingehend, ob es ungewöhnlich ist oder keinen legitimen wirtschaftlichen Zweck verfolgt, oder auf eine mögliche Straftat hinweist.

Verarbeitete Daten: Identifizierungsdaten, Informationen zur Erwerbstätigkeit, Wirtschafts-, Finanz- und Versicherungsinformationen sowie Daten über Waren- und Dienstleistungstransaktionen.

Rechtsgrundlage für die Verarbeitung: Einhaltung der geltenden Vorschriften zur Bekämpfung von Geldwäsche und Terrorismusfinanzierung, gemäß Art. 6 Abs. 1 lit. c DSGVO, soweit wir gesetzlich verpflichtet sind die Daten zu verarbeiten; in den übrigen Fällen unser berechtigtes Interesse an der Bekämpfung von Finanzkriminalität in der Santander-Gruppe, Art. 6 Abs. 1 lit. f DSGVO.

4.12 Entwicklung und Training von Risiko- und Verhaltensmodellen

Wir möchten die Bedürfnisse unserer Kunden in Bezug auf Finanz- und Bankprodukte sowie -dienstleistungen, die Kreditwürdigkeit und die Konsumgewohnheiten unserer aktiven Kunden besser verstehen. Aus diesem Grund anonymisieren wir Ihre personenbezogenen Daten, um sie für die Entwicklung und das Training von Algorithmen zu nutzen, die uns bei der Erstellung verschiedener Verhaltens- und Risikomodelle (nachfolgend die „Modelle“) unterstützen. Ihre personenbezogenen Daten werden von uns niemals für das Training der Modelle verwendet.

Wir können die Modelle einsetzen, um ein Profil unserer Kunden zu erstellen, und zwar zu unterschiedlichen Zwecken, wie etwa für zielgerichtete Marketingkommunikation, zur Bewertung von Risiko und Kreditwürdigkeit, zur Genehmigung von Anträgen auf unsere Produkte, zur Betrugsprävention sowie zur Verhinderung von Geldwäsche und Terrorismusfinanzierung, wie in den entsprechenden Abschnitten dieser Datenschutzhinweise beschrieben.

Bitte beachten Sie, dass wir über einen Kontrollmodell verfügen, das die Qualität der Informationen der Algorithmen gewährleistet, die für die Entwicklung unserer Verhaltens- und Risikomodelle verwendet werden.

Verarbeitete Daten: Wirtschafts-, Finanz- und Versicherungsinformationen; Informationen über Waren- und Dienstleistungstransaktionen, Informationen über die Zahlungsfähigkeit.

Wir werden die genannten anonymisierten Informationen aus internen und externen Quellen verarbeiten, wie z. B.: (i) Informationen, die Sie uns während der Vertragsbeziehung Verfügung gestellt haben; (ii) interne Informationen über Ihr Verhalten im Rahmen der mit uns durchgeführten Transaktionen (z. B. Zeitpunkt und Ort der Durchführung einer bestimmten Art von Transaktion); (iii) Informationen, die wir aus den genannten Bonitätsdatenbanken erhalten.

Rechtsgrundlage für die Verarbeitung: unser berechtigtes Interesse an der Erstellung und dem Angebot innovativer und effizienter Finanzprodukte und -dienstleistungen für unsere Kunden auf der Grundlage verschiedener von unseren Algorithmen erstellter Modelle sowie an der Analyse und Bewertung des Risikoniveaus und der Kreditwürdigkeit unserer Kunden, der Aufdeckung und Verhinderung möglicher Betrugsversuche und der Verhinderung von Geldwäsche und Terrorismusfinanzierung, Art. 6 Abs. 1 lit. f DSGVO.

4.13 Verfolgung unserer Nachrichten an Sie zu analytischen Zwecken

Um unsere Produkte und Dienstleistungen zu verbessern, überwachen wir, wie Sie mit den Nachrichten interagieren, die wir Ihnen zusenden. Wenn Sie beispielsweise eine E-Mail von Openbank erhalten, können wir feststellen, ob Sie diese geöffnet haben, und weitere mit der E-Mail verbundene Informationen einsehen. Wir verarbeiten diese Daten zu Analysezwecken, um (i) Ihr Interesse an unseren Nachrichten zu ermitteln, (ii) die Qualität der Nachrichten zu verbessern und (iii) zu verstehen, wie wir die Kundenerfahrung optimieren können. Verarbeitete Daten: Identifizierungsdaten und Metadaten, die mit der gesendeten Nachricht verbunden sind, wie z. B. der Zeitpunkt des Öffnens der E-Mail.

Rechtsgrundlage für die Verarbeitungstätigkeit: Ihre Einwilligung gemäß Art. 6 Abs. 1 lit. a DSGVO.

4.14 Aufzeichnung Ihrer Stimme und/oder Ihres Bildes und der mit Ihnen geführten elektronischen Gesprächen

Auf Grundlage Ihrer Einwilligung können wir während Telefonaten, die sich auf Ihre vertragliche Beziehung mit Openbank beziehen, Ihre Stimme und/oder Ihr Bild sowie elektronische Gespräche aufzeichnen. Über solche Aufzeichnungen werden Sie vorab und ausdrücklich informiert. Wir verarbeiten die Daten aus den Telefon- und/oder elektronischen Gesprächen zu folgenden Zwecken: (i) Durchführung einer internen Qualitätsprüfung des Services und (ii) Verwendung der Aufzeichnung als Nachweis der von Ihnen erteilten Weisungen und/oder der erbrachten Leistungen, soweit erforderlich, sowohl gerichtlich als auch außergerichtlich.

Verarbeitete Daten: Identifizierungsdaten, wirtschaftliche Wirtschafts-, Finanz- und Versicherungsinformationen, die zur Überprüfung der Qualität unserer Dienstleistungen erforderlich sind.

Rechtsgrundlage für die Verarbeitungstätigkeit: Ihre vorherige Einwilligung gemäß Art. 6 Abs. 1 lit. a DSGVO.

4.15 Versenden von Benachrichtigungen

Wir werden Ihre Daten verarbeiten, um Ihnen Benachrichtigungen per E-Mail, Web-Push, SMS, über die Zinia-Website und/oder -App oder die Website und/oder App von Openbank zu senden. Dies geschieht für die folgenden Zwecke: (i) um Sie über bestimmte Umstände zu informieren, die im Zusammenhang mit dem Dienst auftreten, und (ii) um Ihnen Benachrichtigungen zur Verhinderung von Finanzbetrug, Sicherheitswarnungen und/oder Kostenkontrolle zu senden, wenn Sie einen unserer Dienstes nutzen.

Sie können einige der Benachrichtigungen nach Ihren Wünschen verwalten und konfigurieren, indem Sie die Einstellungen unter „Benachrichtigungen“ im Hauptmenü der App oder in Ihrem Kundenbereich auf unserer Website aufrufen.

Verarbeitete Daten: Identifizierungsdaten; Informationen über Ihre finanzielle Situation; Wirtschafts-, Finanz- und Versicherungsinformationen; Informationen über Waren- und Dienstleistungstransaktionen.

Rechtsgrundlage für die Verarbeitung: ordnungsgemäße Erfüllung des Vertrags gemäß Art. 6 Abs. 1 lit. b DSGVO und in den übrigen Fällen unser berechtigtes Interesse, Ihnen Benachrichtigungen zu senden, deren Zweck die Verhinderung von Finanzbetrug sowie Sicherheitswarnungen gemäß Art. 6 Abs. 1 lit. f DSGVO.

4.16 Erhebungen und Marktstudien

Openbank verarbeitet Ihre personenbezogenen Daten, um Kundenzufriedenheitsumfragen per E-Mail, SMS, Telefon oder über andere Kommunikationskanäle durchzuführen, einschließlich Marktstudien oder interner Statistiken. Um die Konsumgewohnheiten und Präferenzen unserer Kunden besser zu verstehen, erstellen wir kommerzielle Berichte. Dies unterstützt uns bei der Entwicklung neuer Produkte, die für unsere Kunden von Interesse sein könnten. Wann immer möglich, anonymisieren wir Ihre personenbezogenen Daten für diese Umfragen und Marktstudien.

Beispielsweise verwenden wir die Net-Promoter-Score-(NPS)-Methodik, um festzustellen, ob unsere Kunden die Produkte von Openbank weiterempfehlen würden. Zu diesem Zweck können Ihre personenbezogenen Daten an den Dritten übermittelt werden, der die Umfrage durchführt.

Verarbeitete Daten: Identifizierungsdaten, Wirtschafts-, Finanz- und Versicherungsdaten sowie Browsing-Daten.

Rechtsgrundlage für die Verarbeitungstätigkeit: Ihre vorherige informierte Einwilligung gemäß Art. 6 Abs. 1 lit. a DSGVO

4.17 Beantwortung von Rechtsbeschwerden, Anforderungen der zuständigen Stellen und Wahrung der Rechtsansprüche im Namen der Openbank

Wir werden personenbezogene Daten verarbeiten, die erforderlich sind, um: (i) Sie oder dazu autorisierte Personen bei der Ausübung Ihrer Rechte zu unterstützen; (ii) Anfragen der zuständigen Behörden (sowohl gerichtlich als auch außergerichtlich) zu bearbeiten und zu beantworten, wie z. B. Auskunftsersuchen im Rahmen von gerichtlichen Ermittlungen; (iii) gerichtliche oder außergerichtliche Ansprüche, die von Openbank oder von Ihnen erhoben werden, geltend zu machen oder abzuwehren.

Verarbeitete Daten: Kontakt- und Identifizierungsdaten, Wirtschafts-, Finanz- und Versicherungsdaten sowie Daten, die erforderlich sind, um die eingereichte Beschwerde zu bearbeiten oder den Anforderungen der zuständigen Behörde nachzukommen.

Rechtsgrundlage für die Verarbeitungstätigkeit: (i) rechtliche Verpflichtung gemäß Art. 6 Abs. 1 lit. c DSGVO, soweit wir zur Auskunft gesetzlich verpflichtet sind; oder (ii) unser berechtigtes Interesse gemäß Art. 6 Abs. 1 lit. f DSGVO, auf rechtliche, verwaltungsrechtliche oder gerichtliche Ansprüche zu reagieren, diese zu bearbeiten und die rechtlichen Schritte einzuleiten sowie uns gegen etwaige Ansprüche zu verteidigen.

4.18 Adressierung Ihrer Informationsanfragen über soziale Medien

Wenn Sie unsere Social-Media-Kanäle wie Facebook, X oder Instagram nutzen, um Informationen anzufordern oder eine Anfrage zu stellen, verarbeiten wir Ihre personenbezogenen Daten mithilfe spezieller Tools zu folgenden Zwecken:

• um die Beantwortung Ihrer über soziale Medien gestellten Fragen zu rationalisieren und zu optimieren
• um Ihre Interaktionen (Kommentare oder Beiträge) mit uns zu analysieren, die Sie über verschiedene Social-Media-Kanäle übermitteln, um intern Verbesserungspotenzial in Bezug auf unser Unternehmen und unsere Produkte und Dienstleistungen zu ermitteln.

Bitte beachten Sie, dass bei der Nutzung unserer Social-Media-Kanäle Ihre personenbezogenen Daten auch gemäß den Bestimmungen der Datenschutzrichtlinie des jeweiligen sozialen Netzwerks verarbeitet werden.

Verarbeitete Daten: Ihre Identifizierungsdaten.

Rechtsgrundlage für die Verarbeitungstätigkeit: unser berechtigtes Interesse gemäß Art. 6 Abs. 1 lit. f DSGVO, Anfragen unserer Kunden, die über soziale Medien an uns herangetragen werden, schnell, einfach und ordnungsgemäß beantworten zu können sowie einen effizienten Betrieb und Produkte anzubieten, die den Erwartungen und Bedürfnissen unserer Kunden entsprechen.

4.19 Audits und Überprüfung der Einhaltung der Vorschriften

Wir werden Ihre Daten im Zusammenhang mit der Durchführung der intern durchgeführten Kontrollen zur Überprüfung der Einhaltung der Vorschriften sowie im Rahmen verschiedener Audits verarbeiten.

Verarbeitete Daten: alle Kategorien von personenbezogenen Daten, zu denen wir Zugang haben.

Rechtsgrundlage für die Verarbeitungstätigkeit: (i) rechtliche Verpflichtungen gemäß Art. 6 Abs. 1 lit. c DSGVO; oder (ii) im Übrigen unser berechtigtes Interesse an der Überprüfung der Angemessenheit unserer Prozesse, zur Einhaltung rechtlicher Verpflichtungen und interner Qualitätsstandards zur Identifizierung, Kontrolle und Minderung rechtlicher oder operativer Risiken, gemäß Art. 6 Abs. 1 lit. f DSGVO. Bitte beachten Sie, dass diese Informationen von Dritten, die den Audit-Dienst zu diesen Zwecken erbringen, eingesehen werden können.

4.20 Versenden von Marketingmitteilungen

Wir werden Ihre personenbezogenen Daten für Marketingzwecke, wie die Versendung von Marketingmitteilungen, in dem nachfolgend beschriebenen Umfang verarbeiten:

Unter Marketingmitteilungen verstehen wir Folgendes:

Marketingmitteilungen umfassen alle Formen der Kommunikation, die unmittelbar oder mittelbar dem Absatz von Waren und Dienstleistungen sowie der Förderung des Images von Openbank dienen, einschließlich Kundenzufriedenheits- und Marktumfragen.

Art der Marketingmitteilungen, die Sie erhalten werden:

Wir verarbeiten Ihre personenbezogenen Daten, um Ihnen die folgenden Marketingmitteilungen zusenden zu können:

a) Informationen zu Openbank-Produkten und -Dienstleistungen, einschließlich Openbank-Konten, -Karten, -Krediten, -Spar- und -Anlageprodukten.

b) Informationen zu Produkten und Dienstleistungen der anderen Unternehmen der Santander-Gruppe, die für Sie von Interesse sein könnten. Eine Liste dieser Unternehmen können Sie hier einsehen.

c) Angebote von unseren Partner zu ihren Produkten und Dienstleistungen. Dazu zählen:

i. Wenn Sie ein Openbank-Produkt nutzen, z. B. ein Konto, eine Karte oder einen Kredit usw., können Sie über Open Discounts Angebote und Rabatte auf Produkte und Dienstleistungen unserer Partner erhalten. Eine Liste der aktuellen Partner können Sie hier einsehen.. Diese Liste wird regelmäßig aktualisiert.

ii. Wenn Sie eine Zinia-Zahlungsmethode gewählt und die Zinia-Geschäftsbedingungen akzeptiert haben, können Sie Angebote und Rabatte auf Produkte und Dienstleistungen Dritter erhalten, wenn diese Zahlungsmethode verfügbar ist. Eine Liste dieser Drittanbieter können Sie hier einsehen. Diese Liste wird in regelmäßigen Abständen aktualisiert.

iii. Wenn Sie Kunde von Openbank sind oder eine Zinia-Zahlungsmethode gewählt und die Zinia-Bedingungen akzeptiert haben, können Sie auch Angebote von Dritten erhalten, mit denen die Openbank zusammenarbeitet, um Ihnen Produkte oder Dienstleistungen anzubieten, die für Sie von Interesse sein könnten, wie z. B. Versicherungen. Wenn Sie eine Dienstleistung in Anspruch genommen haben oder ein Produkt nutzen, das von der Openbank in Zusammenarbeit mit einem Dritten angeboten wird, können Sie außerdem Angebote dieser Dritten erhalten, die bei Abschluss oder Inanspruchnahme des entsprechenden Produkts oder der entsprechenden Dienstleistung erwähnt werden.

Ihre Daten werden nicht an diese Drittpartner weitergegeben, und alle Marketingmitteilungen werden von der Openbank in Übereinstimmung mit Ihrer entsprechenden Einwilligung versandt.

Darüber hinaus verarbeitet Openbank Ihre personenbezogenen Daten, um zu verstehen, wie Sie mit unserer Werbung interagieren, z. B. Öffnungs- und Klickraten usw., und wie erfolgreich sie sind (z. B., ob das Produkt letztendlich abgeschlossen wird). Infolgedessen werden unsere Marketingstrategien auf der Grundlage dieses Verhaltens optimiert, und zwar sowohl in kollektiver als auch in einigen Fällen in personalisierter Form.

Kommunikationskanäle, über die Sie Marketingmitteilungen erhalten werden:

Wir senden Marketingmitteilungen über die folgenden Kanäle:

-Post (Brief)

-Telefon (Anrufe und/oder SMS)

-App (Push-Nachrichten und Banner usw.)

-E-Mail

-Andere elektronische Kanäle

Personalisierung der Marketingmitteilungen

Wir personalisieren Werbe- und Marketingmitteilungen mittels Profiling. Zu diesem Zweck werden wir Daten aus internen und externen Quellen (z. B. Datenbanken zur Betrugsverhinderung und Auskunfteien wie die SCHUFA) verwenden, um Ihre wirtschaftlichen und persönlichen Merkmale, Interessen, Verhaltens- und Risikomuster zu analysieren. Unser dazu genutztes Profiling-Modell dient dazu, zu verstehen, welche Angebote, Rabatte, Produkte und Dienstleistungen für Sie von Interesse sind.

Das Profiling kann die Rabatte, Produkte oder Dienstleistungen beeinflussen, die Ihnen angeboten werden.

Daten, die von Openbank für den Versand von Werbe- und Marketingmitteilungen verarbeitet werden:

Wir verarbeiten die folgenden Kategorien von personenbezogenen Daten:

• Stammdaten (Name und Kontaktangaben);

• Angaben zu persönlichen Merkmalen, Interessen und Vorlieben: Geburtsdatum, Alter, Wohnort und - für steuerliche Zwecke - Angaben zur Familie, Geschlecht und Staatsangehörigkeit;

• Wirtschafts-, Finanz- und Versicherungsdaten, wie z. B. Ihre finanziellen Verhältnisse, Ihre Kreditwürdigkeit und Ihr Zahlungsverhalten; Einkommen, Investitionen und Vermögen, Bankinformationen, Subventionen und Vergünstigungen, Finanzdaten aus der Lohnbuchhaltung

• Informationen darüber, wie Sie mit unserer Werbung und unserem Marketing interagieren, z. B. das Öffnen einer E-Mail und Ihr Klickverhalten.

Im Allgemeinen erheben wir diese personenbezogenen Daten direkt von Ihnen. Wir erhalten jedoch auch Informationen über Sie aus den folgenden externen Quellen:

• Drittunternehmen, denen Sie Ihre Einwilligung zur Übermittlung Ihrer Daten an die Openbank erteilt haben oder die Ihre Daten anderweitig rechtmäßig an die Openbank übermitteln.

• Auskunfteien, wie SCHUFA und CRIF GmbH.

Die Rechtsgrundlage für die Zusendung von sämtlichen Marketingmitteilungen an Sie ist die folgende:

Ihre Einwilligung gemäß Art. 6 Abs. 1 lit. a DSGVO.

4.21 Zusendung von Informationen über Produkte und Dienstleistungen, die für Sie von Interesse sind, über soziale Medien

Wenn Sie unser Social-Media-Konten besuchen und mit ihm interagieren, verarbeiten wir Ihre personenbezogenen Daten für die folgenden Zwecke:

Um Ihnen zielgerichtete Werbung zu Produkten oder Dienstleistungen anzuzeigen, die denen ähneln, die Sie bereits genutzt haben und die für Sie von Interesse sein könnten. Zu diesem Zweck verwenden wir Tools, die von Social-Media-Unternehmen speziell für diesen Zweck entwickelt wurden (z. B. Facebook Custom Audiences). In den Datenschutzbestimmungen des jeweiligen Social-Media-Netzwerksfinden Sie weitere Auskunft darüber, wie Ihre Daten mit diesen Tools verarbeitet werden. In Bezug auf diese Verarbeitung sind wir entweder mit der jeweiligen Social Media Plattform gemeinsam oder getrennt für die Datenverarbeitung verantwortlich.

4.22 Verlosungen und Werbeaktionen

Unabhängig davon, ob Sie Kunde von Openbank sind oder nicht, verarbeiten wir Ihre Daten, wenn Sie an von Openbank veranstalteten Gewinnspielen oder Werbeaktionen teilnehmen. Dies dient dazu, Ihre Teilnahme zu verwalten. Dazu zählt: Überprüfung, dass Sie die Teilnahmebedingungen erfüllen, und gegebenenfalls Kommunikation mit Ihnen und Zusendung des Preises, falls Sie gewinnen).

Wenn Sie bei einem unserer Gewinnspiele oder Werbeaktionen gewinnen, verarbeiten wir Ihre Daten ebenfalls, um gesetzliche Verpflichtungen zu erfüllen, z. B. eventueller steuerlicher Abzug auf den Gewinn. In diesem Fall übermitteln wir Ihre Daten im erforderlichen Umfang an die zuständige Finanzbehörde.

Verarbeitete Daten: Identifizierungsdaten sowie Wirtschafts-, Finanz- und Versicherungsinformationen.

Rechtsgrundlage für diese Verarbeitungstätigkeit: (i) die Erfüllung unserer vertraglichen Verpflichtungen, die wir mit Ihnen eingegangen sind, gemäß Art. 6 Abs. 1 lit b DSGVO; (ii) und ggf. die Erfüllung unserer steuerrechtlichen Verpflichtungen im dargestellten Umfang gemäß Art. 6 Abs. 1 lit. c DSGVO.

4.23 Bewertungen und Beurteilungen unserer Produkte und Dienstleistungen

Unabhängig davon, ob Sie Kunde von Openbank sind oder nicht, verarbeiten wir Ihre Daten, wenn Sie eine Bewertung oder Rezension unserer Produkte und Dienstleistungen auf öffentlichen Websites oder über dafür vorgesehene Plattformen hinterlassen. Wenn Sie sich dabei identifizieren oder uns direkt Ihre persönlichen Daten mitteilen, nutzen wir diese Daten, um Ihnen zu antworten und Ihre Rückmeldung für zukünftige Verbesserungen zu berücksichtigen.

Verarbeitete Daten: Kontakt- und Identifizierungsdaten und die Daten, die Sie im Rahmen der Rezension oder Bewertung angeben.

Rechtsgrundlage für diese Verarbeitungstätigkeit: Unser berechtigtes Interesse, auf die Bewertungen zu reagieren und die Bewertungen zur Umsetzung der entsprechenden Änderungen zu verwenden, Art. 6 Abs. 1 lit. f DSGVO.

5. Verwendung von Cookies

Openbank verwendet Cookies und ähnliche Technologien, um sich unter anderem daran zu erinnern, wer Sie sind, wenn Sie sich in Ihrem privaten Bereich einloggen, oder um Inhalte auf der Grundlage Ihrer Surfgewohnheiten zu personalisieren, um sicherzustellen, dass sie für Sie von Interesse sind.

Wenn Sie die Website und/oder die App der Openbank aufrufen, informieren wir Sie über die Cookies oder ähnliche Technologien, die wir verwenden. Sie können den Umfang der Analyse-, Werbe- und Personalisierungs- sowie der Produktentwicklungs- und -verbesserungs-Cookies (und ähnlicher Technologien), denen Sie zustimmen möchten, in der jeweiligen Cookie-Management-Plattform konfigurieren.

Sie können Ihren Browser auch so einstellen, dass er die Verwendung von Cookies für bestimmte Fälle oder generell blockiert. Bereits gesetzte Cookies können Sie über Ihren Browser löschen. Bitte beachten Sie, dass die Funktionalität unserer Website eingeschränkt sein kann, wenn Sie bestimmte Cookies löschen oder nicht akzeptieren.

Weitere Einzelheiten zu den von uns verwendeten Cookies und zur Aktivierung bzw. Deaktivierung bestimmter Cookies entnehmen Sie bitte den folgenden Hinweisen:

Cookie-Richtlinie der Zinia-Website

Cookie-Richtlinie der Zinia App

6. Wie lange wird Openbank meine Daten speichern?

Wir verarbeiten Ihre personenbezogenen Daten so lange, wie es für den Zweck, für den sie verarbeitet werden, und für die Erfüllung unserer vertraglichen und gesetzlichen Verpflichtungen und die Ausübung unserer Rechte erforderlich ist. Nach Ablauf dieses Zeitraums werden wir Ihre personenbezogenen Daten vernichten oder anonymisieren.

Wir unterliegen verschiedenen Aufbewahrungs- und Dokumentationspflichten, die sich u.a. aus dem Handelsgesetzbuch (HGB), der Abgabenordnung (AO), dem Gesetz über das Kreditwesen (KWG), dem Geldwäschegesetz (GwG) und dem Wertpapierhandelsgesetz (WpHG) ergeben. Die in diesem Dokument festgelegten Aufbewahrungs- und Dokumentationsfristen betragen zwei bis zehn Jahre. Schließlich bemisst sich die Aufbewahrungsfrist auch nach den gesetzlichen Verjährungsfristen, die z.B. in den §§ 195 ff. des Bürgerlichen Gesetzbuches (BGB) die regelmäßige Verjährungsfrist drei Jahre beträgt.

Durch die Verwendung dieser Tools teilen wir die Nutzer in Zielgruppen anhand ihrer Interessen ein. . Wenn Sie also ein Social Media-Nutzer sind und als Teil der von uns ausgewählten Zielgruppe eingestuft werden, können Sie Werbung von Openbank sehen. Bitte beachten Sie, dass die Openbank in diesen Fällen nur eine Segmentierung der Zielgruppe vornimmt und keinen Zugriff auf die Endnutzer hat, die die Werbung erhalten.

Verarbeitete Daten: Identifizierungsdaten sowie Wirtschafts-, Finanz- und Versicherungsinformationen.

Rechtsgrundlage für diese Verarbeitungstätigkeit: Ihre Einwilligung gemäß Art. 6 Abs. 1 lit. a DSGVO.

7. Mit wem teilen wir Ihre persönlichen Daten?

Wir können Ihre personenbezogenen Daten an Dritte weitergeben, wenn wir Ihre Daten in dem oben beschriebenen Umfang verarbeiten:

• Geschäft. Im Zusammenhang mit der Beantragung und Nutzung des Dienstes tauschen wir Ihre personenbezogenen Daten mit dem jeweiligen Geschäft in dem in dieser Datenschutzhinweise beschriebenen Umfang aus. Dies umfasst die Übermittlung Ihrer personenbezogenen Daten vom Geschäft an uns, wenn dies für unseren Dienst notwendig ist, sowie die Übermittlung Ihrer Daten von uns an das Geschäft, um die Genehmigung des Dienstes zu bestätigen, damit das Geschäft Ihnen die gekauften Waren liefern kann. Der Datenaustausch beschränkt sich auf das für die Erbringung des Dienstes erforderliche Maß. Das Geschäft agiert sowohl als unser Auftragsverarbeiter (in Verbindung mit der Erfassung einiger Antragsdaten) als im Übrigen auch als individueller Verantwortlicher.
• Auskunfteien: SCHUFA und CRIF (wie in Abschnitt 4.2.)
• Inkassobüros (wie in Abschnitt 4.8. beschrieben)
• Anbieter von Betrugspräventionsdiensten: Lexis Nexis Risk Solutions und Crif (wie in Abschnitt 4.4.)
• Andere Unternehmen der Santander-Gruppe (wie in Abschnitt 4.9.1. beschrieben)
• Zuständige Behörden (wie in Abschnitt 4.9.1.)
• Anbieter von Identifizierungsdiensten: WebID Solutions GmbH, Deutsche Post (wie in Abschnitt 4.5. beschrieben)
• Qualifizierte Vertrauensdiensteanbieter (wie in Abschnitt 4.6. beschrieben)
• Openbank arbeitet mit externen Dienstleistern zusammen, die in unserem Auftrag Daten als Auftragsverarbeiter im Sinne von Art. 4 Nr. 8 DSGVO verarbeiten, wie die payever GmbH, Rödingsmarkt 20, 20459 Hamburg. Wir haben mit allen Auftragsverarbeitern Auftragsverarbeitungsverträge geschlossen, die den Anforderungen des Art. 28 DSGVO entsprechen. Wir haben unsere Auftragsverarbeiter verpflichtet, die notwendigen Anforderungen nach Art. 28 DSGVO einzuhalten, insbesondere unsere Weisungen zu befolgen. Konkret nimmt Openbank die Dienste von Drittanbietern in Anspruch, die in vielen verschiedenen Bereichen tätig sind, unter anderem in folgenden Bereichen: Logistikdienstleistungen, Rechtsberatung, Lieferantenzulassung, multidisziplinäre professionelle Dienstleistungsunternehmen, Hosting-Unternehmen, wartungsbezogene Unternehmen, technologische Dienstleister, Software-Dienstleister, Unternehmen für physische Sicherheit, Instant-Messaging-Dienstleister, Unternehmen für Infrastrukturmanagement und -wartung, Call-Center-Dienstleister und Kontrollunternehmen. Sie können die Drittanbieter hier einsehen oder sie per E-Mail an datenschutz.de@zinia.com anfordern.

8. Internationale Datenübertragungen

Wir werden Ihre Daten nur dann in Länder außerhalb der EU/des EWR (sogenannte Drittländer) übermitteln, wenn dies für die in dieser Datenschutzhinweise beschriebenen Zwecke erforderlich ist. Die Übermittlung kann daher Teil einiger der oben beschriebenen (Dienst-)Leistungen sein, die von Dritten erbracht werden.

Wir übermitteln Daten nur unter Einhaltung der geltenden Datenschutzgesetze, insbesondere der DSGVO und der Gewährleistung eines angemessenen Datenschutzniveaus, in ein Drittland. Dies bedeutet, dass Ihre Daten nur unter den Voraussetzungen der Art. 44 ff. DSGVO in ein Drittland übermittelt werden. Dies ist insbesondere der Fall, wenn die EU-Kommission entschieden hat, dass in dem betreffenden Drittland ein angemessenes Datenschutzniveau besteht (Art. 45 DSGVO), oder wenn angemessene Garantien für den Schutz Ihrer personenbezogenen Daten bestehen (vgl. Art. 46 DSGVO) oder wenn eine gesetzliche Ermächtigung vorliegt (vgl. Art. 49 DSGVO). Angemessene Garantien im Sinne des Art. 46 DS-GVO sind insbesondere die von der EU-Kommission veröffentlichten Standardvertragsklauseln. Alle internationalen Datenübermittlungen, die wir entweder direkt oder über einige unserer Lieferanten vornehmen, können Sie hier oder unter datenschutz.de@zinia.com einsehen oder der Tabelle unter diesem Link entnehmen.

9. Verpflichtung zur Bereitstellung personenbezogener Daten

Wenn Sie den Dienst nutzen möchten, werden wir Sie bitten, uns die für die Erbringung unserer Dienstleistungen erforderlichen Daten mitzuteilen. Bitte beachten Sie, dass die von uns in den einzelnen Formularen als "erforderlich" gekennzeichneten Daten erforderlich sind, um unsere Dienstleistungen korrekt zu erbringen. Ohne diese Daten können wir Ihnen den Dienst nicht anbieten. Sie sind jedoch nicht verpflichtet, uns Ihre Daten zu bereitzustellen, solange Sie keine vertragliche Beziehung mit uns eingehen. Sobald Sie den Dienst beantragt haben, müssen Sie uns möglicherweise im Laufe der Zeit weitere Informationen im oben genannten Umfang zur Verfügung stellen.

10. Inwieweit erfolgt eine automatisierte Entscheidungsfindung, einschließlich Profiling, gemäß Art. 22 DSGVO?

Eine automatisierte Entscheidungsfindung einschließlich Profiling gemäß Art. 22 DSGVO findet in dem Umfang statt, wie es in den verschiedenen Verarbeitungstätigkeiten in Ziffer 4 dieser Datenschutzhinweise beschrieben ist.

11. Welche Rechte haben Sie in Bezug auf die Verarbeitung Ihrer personenbezogenen Daten?

Sie haben die folgenden Rechte, die Sie jederzeit ausüben können:

• Recht auf Auskunft (Art. 15 DSGVO): Sie haben das Recht, eine Bestätigung darüber zu erhalten, ob wir Sie betreffende personenbezogene Daten verarbeiten, und, wenn dies der Fall ist, das Recht auf Auskunft zu diesen Daten gemäß Art. 15 DSGVO. Dazu gehört auch das Recht, eine Kopie Ihrer personenbezogenen Daten zu erhalten.
• Recht auf Berichtigung (Art. 16 DSGVO): Sie haben das Recht auf Berichtigung unrichtiger personenbezogener Daten, einschließlich des Rechts auf Vervollständigung unvollständiger personenbezogener Daten unter Berücksichtigung der Zwecke der Verarbeitung (auch durch eine ergänzende Erklärung).
• Recht auf Löschung (Art. 17 DSGVO): Sie haben das Recht, die Löschung Ihrer personenbezogenen Daten zu verlangen.
• Recht auf Einschränkung der Verarbeitung (Art. 18 DSGVO): Sie haben das Recht, die Einschränkung der Verarbeitung Ihrer personenbezogenen Daten zu verlangen.
• Recht auf Datenübertragbarkeit (Art. 20 DSGVO): Sie haben das Recht, Ihre personenbezogenen Daten in einem strukturierten, gängigen und maschinenlesbaren Format zu erhalten, sowie das Recht, diese Daten ungehindert einem anderen Verantwortlichen zu übermitteln, sofern die Verarbeitung auf einer Einwilligung oder einem Vertrag beruht und die Verarbeitung mithilfe automatisierter Verfahren erfolgt.
• Wenn personenbezogene Daten auf der Grundlage Ihrer Einwilligung verarbeitet werden, haben Sie das Recht, Ihre Einwilligung gemäß Art. 7 Abs. 3 DSGVO zu widerrufen. Bitte beachten Sie, dass sich Ihr Widerruf nur auf die künftige Verarbeitung auswirkt und die Rechtmäßigkeit der Verarbeitung aufgrund der Einwilligung vor dem Widerruf nicht beeinträchtigt.
• Sollten Sie der Ansicht sein, dass die Verarbeitung Ihrer personenbezogenen Daten unrechtmäßig ist, haben Sie das Recht, sich bei einer Aufsichtsbehörde gemäß Art. 77 DSGVO zu beschweren. Das Recht auf Beschwerde lässt andere verwaltungsrechtliche oder gerichtliche Rechtsbehelfe unberührt.
• Soweit die personenbezogenen Daten zur Wahrung unserer berechtigten Interessen gemäß Art. 6 Abs. 1 lit. f DSGVO verarbeitet werden, haben Sie ein Widerspruchsrecht gemäß Art. 21 DSGVO. Weitere Informationen zu Ihrem Widerspruchsrecht finden Sie in der untenstehenden Text-Box unter "Informationen zu Ihrem Widerspruchsrecht nach Art. 21 General Data Protection Regulation (DSGVO)".

Informationen zu Ihrem Widerspruchsrecht nach Art. 21 Datenschutzgrundverordnung (DSGVO)

Sie haben nach Art. 21 DSGVO das Recht, aus Gründen, die sich aus Ihrer besonderen Situation ergeben, jederzeit gegen die Verarbeitung Sie betreffender personenbezogener Daten, die auf Grund von Art. 6 Abs. 1 lit. e DSGVO (Datenverarbeitung im öffentlichen Interesse) und Art. 6 Abs. 1 S. 1 lit. f DSGVO (Datenverarbeitung auf der Grundlage einer Interessensabwägung) erfolgt, Widerspruch einzulegen; dies gilt auch für ein auf dieser Bestimmung beruhendes Profiling im Sinne von Art. 4 Nr. 4 DSGVO.

Legen Sie Widerspruch ein, werden wir Ihre personenbezogenen Daten nicht mehr verarbeiten, es sei denn, wir können zwingende schutzwürdige Gründe für die Verarbeitung nachweisen, die Ihre Interessen, Rechte und Freiheiten überwiegen, oder die Verarbeitung dient der Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen.

Sie haben außerdem das Recht, der Verarbeitung Sie betreffender personenbezogener Daten zum Zwecke der Werbung jederzeit zu widersprechen; dies gilt auch für das Profiling, soweit es mit solcher Werbung in Verbindung steht.

Sollten Sie sich entscheiden, der Verarbeitung zu Werbezwecken zu widersprechen, werden wir die Sie betreffenden personenbezogenen Daten nicht mehr zu diesen Zwecken verarbeiten.

Der Widerspruch kann ohne ein förmliches Verfahren erfolgen und sollte nach Möglichkeit an die unten oder in Ziffer 2 dieser Datenschutzhinweise genannten Stellen gerichtet werden.

Sie können die oben genannten Rechte auch über die folgenden Kanäle ausüben:

- Per E-Mail an: datenschutz.de@zinia.com

- Per Post an: Open Bank, S.A., Plaza de Santa Bárbara 2, 28004 Madrid (Spanien)

- Sie können sich auch per Post an unsere deutsche Niederlassung wenden: Open Bank S.A., Zweigniederlassung Deutschland, An der Welle 5, 60322 Frankfurt am Main.

- Über den Kundendienst: + 49 216 1621 0029

12. Einhaltung von Verhaltenskodizes

Die Openbank hält sich an den Verhaltenskodex für Datenschutz in der Werbung der Vereinigung für Selbstregulierung in der Werbung (im Folgenden "AUTOCONTROL"), die von der spanischen Datenschutzbehörde akkreditiert ist, und ist daher an deren außergerichtliches System zur Bearbeitung von Beschwerden in Bezug auf Datenschutz und Werbung gebunden, das den betroffenen Personen hier zur Verfügung steht. Bitte beachten Sie, dass die Sprache der Schlichtung Spanisch und in Ausnahmefällen Englisch ist.

13. Änderungen an dieser Datenschutzhinweise

Wir können diese Datenschutzhinweise von Zeit zu Zeit aktualisieren.

Die aktuelle Version der Datenschutzhinweise können Sie hier herunterladen.

Datum der letzten Aktualisierung: August 2025