
Datenschutzerklärung
1. Wer ist für die Datenverarbeitung zuständig und an wen können Sie sich diesbezüglich wenden?
2. Welche Quellen und Daten nutzt die Bank?
3. Wofür verarbeitet die Bank personenbezogene Daten (Zweck der Verarbeitung) und auf welcher Rechtsgrundlage?
4. Wer erhält personenbezogene Daten?
5. Werden Daten in ein Drittland oder an eine internationale Organisation übermittelt?
6. Wie lange werden personenbezogene Daten gespeichert?
7. Welche Datenschutzrechte haben Sie?
8. Wie wird die Sicherheit personenbezogener Daten gewährt?
9. Besteht eine Pflicht zur Bereitstellung von Daten?
10. Findet «Profiling» oder «automatisierte Entscheidfindung» statt?
11. Änderungen dieser Datenschutzerklärung
Information über Ihr Widerspruchsrecht nach Artikel 21 der EU-Datenschutz-Grundverordnung (DSGVO)
1. Einzelfallbezogenes Widerspruchsrecht
2. Widerspruchsrecht gegen eine Verarbeitung von Daten für Zwecke der Direktwerbung
In dieser Datenschutzerklärung möchte die Bank darlegen, wie sie personenbezogene Daten der folgenden Personen erhebt, verarbeitet und schützt: (i) potenzielle Kunden, (ii) Personen, die ein Konto bei der Bank besitzen oder im Begriff sind ein Konto zu beantragen («Kunden») und (iii) natürliche oder juristische Personen, deren Daten der Bank durch den Kunden übermittelt werden oder die der Bank im Zusammenhang mit Dienstleistungen, welche die Bank dem Kunden erbringt, anderweitig zur Kenntnis gelangen («Verbundene Individuen»). Als solche Verbundenen Individuen kommen beispielsweise (und ohne Anspruch auf Vollständigkeit) in Betracht: (i) jeder Verwaltungsrat, leitende Angestellte, Zeichnungsberechtigte oder Angestellte einer Gesellschaft, (ii) ein Trustee, Settlor oder Protektor eines Trusts, (iii) jeder an den Vermögenswerten des Kunden wirtschaftlich Berechtigte, (iv) eine Person mit der Möglichkeit, beherrschenden Einfluss zu nehmen, (v) ein Zahlungsempfänger eines bestimmten Zahlungsvorgangs, (vi) (ein) Repräsentant(en) oder Beauftragte(r) eines Kunden, (vii) ein Mitschuldner eines Darlehens (z. B. Bürge eines Kredits), oder (viii) jede andere natürliche oder juristische Person, die zum Kunden in einer Beziehung steht, welche für die Geschäftsbeziehung zwischen dem Kunden und der Bank relevant ist. Des Weiteren soll diese Datenschutzerklärung Kunden, Verbundene Individuen und potenzielle Kunden über ihre Rechte informieren, die ihnen in Bezug auf personenbezogene Daten, welche die Bank erhebt und verarbeitet, zustehen. Bitte nehmen Sie zur Kenntnis: welche personenbezogenen Daten verarbeitet werden und wie sie verwendet werden, hängt weitgehend davon ab, welche Produkte und Dienstleistungen im Einzelnen beantragt werden oder hinsichtlich welcher Produkte und Dienstleistungen man sich im Einzelfall einigt.
Wo immer die Bank in dieser Datenschutzerklärung «Sie» oder «Ihr» verwendet, ist dies als Referenz auf einen potenziellen Kunden, einen Kunden oder allfällige Verbundene Individuen im zuvor definierten Sinne zu verstehen.
Soweit die Bank separate oder weitergehende Informationen darüber zur Verfügung stellt, wie sie personenbezogene Daten des Kunden oder der Verbundenen Individuen für ein besonderes Produkt oder eine besondere Dienstleistung verwendet, sind diese ebenfalls mit einzubeziehen. Ausserdem gelangt diese Datenschutzerklärung auch dann weiterhin zur Anwendung, wenn Vereinbarungen zwischen der Bank und dem Kunden hinsichtlich Bank- und anderer Produkte sowie Dienstleistungen entfallen.
Bitte machen Sie sich mit dieser Datenschutzerklärung vertraut und leiten Sie sie auch an alle Verbundenen Individuen weiter, bevor der Bank personenbezogene Daten solch Verbundener Individuen zur Verfügung gestellt werden.
1. Wer ist für die Datenverarbeitung zuständig und an wen können Sie sich diesbezüglich wenden?
Als Verantwortlicher im Zusammenhang mit der Datenverarbeitung gilt resp. als Datenschutzbeauftragter der Bank (nach Massgabe der DSGVO) kann kontaktiert werden:
bank zweiplus ag
Data Protection Officer
Buckhauserstrasse 22
Postfach
CH-8048 Zürich
dataprotection@bankzweiplus.ch
Als Vertreter der Bank (nach Massgabe des Artikels 27 DSGVO) fungiert Banque J. Safra Sarasin (Luxembourg) SA, 17–21, Boulevard Joseph II, L-1840 Luxembourg.
2. Welche Quellen und Daten nutzt die Bank?
Die personenbezogenen Daten, welche die Bank über Kunden, Verbundene Individuen oder potenzielle Kunden erhebt oder über die sie verfügt, stammen aus verschiedenen Quellen. Dies beinhaltet personenbezogene Daten, welche mit einer potenziellen oder existierenden Geschäftsbeziehung zur Bank im Zusammenhang stehen oder mit dem Bezug oder der Beantragung eines Produkts oder einer Dienstleistung der Bank durch einen Kunden, ein Verbundenes Individuum oder einen potenziellen Kunden verbunden sind.
Gewisse personenbezogene Daten stammen direkt vom Kunden, dem Verbundenen Individuum oder dem potenziellen Kunden. Andere werden möglicherweise von unabhängigen Vermögensverwaltern, anderen Beratern, einem Vermittler oder von Dritten zur Verfügung gestellt. Personenbezogene Daten können auch von anderen Einheiten der J. Safra Sarasin Gruppe1 stammen oder durch die Bank im Rahmen der legalen Konsultation öffentlich zugänglicher Informationsquellen resp. durch Kombination verschiedener Informationen erlangt werden.
Bei den erhobenen personenbezogenen Daten kann es sich insbesondere um die folgenden Informationen handeln:
a) Informationen, die ein Kunde, ein Verbundenes Individuum oder ein potenzieller Kunde der Bank übermittelt, wie etwa:
- Personalien (z. B. Name, Adresse und andere Kontaktdaten wie Geburtsdatum, Geburtsort und Nationalität);
- Informationen betreffend einen Kunden, ein Verbundenes Individuum oder einen potenziellen Kunden, welche der Bank anlässlich des Ausfüllens von Formularen oder im Rahmen der Kommunikation mit der Bank erhältlich gemacht werden, sei dies im persönlichen Kontakt, am Telefon, via E-Mail, via elektronische Medien oder anderweitig;
- Informationen zur Identität eines Kunden, eines Verbundenen Individuums oder eines potenziellen Kunden (z. B. in Pässen enthaltene Informationen, zu denen auch ein Foto gehört) oder zu Authentifikationszwecken (z. B. Unterschriftsmuster).
b) Informationen über einen Kunden, ein Verbundenes Individuum oder einen potenziellen Kunden, welche die Bank erhebt oder generiert:
- Daten aus der Kundenbeziehung (z. B. gehaltene Produkte und erbrachte Dienstleistungen), Daten im Zusammenhang mit Wertpapier- und Zahlungsverkehrstransaktionen sowie andere finanzbezogene Informationen;
- Informationen zur Bonität eines Kunden, eines Verbundenen Individuums oder eines potenziellen Kunden, wie kreditrelevante Informationen (z. B. Informationen bezüglich der Kreditwürdigkeit eines Kunden oder die individuelle Kreditantragshistorie);
- Informationen, welche die Bank erhebt oder generiert, um ihren Verpflichtungen aus regulatorischen Vorgaben in Bezug auf die Bekämpfung der Geldwäscherei nachzukommen (z. B. Informationen betreffend die Herkunft von Vermögenswerten und die wirtschaftliche Berechtigung);
- Informationen, welche die Bank zu Zwecken der Risikosteuerung erhebt oder generiert, wie Daten, die der Wahrung der Sorgfaltspflicht dienen (einschliesslich der Ergebnisse periodischer Überprüfungen), Risikoprofile von Kunden, Daten zur Eignungs- und Angemessenheitsprüfung, der Kundenqualifizierung dienende Daten (z. B. hinsichtlich der Einstufung als qualifizierter Anleger), Hinweise aufgrund automatisierter Prüfverfahren (Transaktionsüberwachung und Namensabgleiche), Steuerdaten oder Informationen über Beschwerden;
- Geografische Informationen;
- Informationen, die in relevanten Kundendossiers und Kundendokumentationen enthalten sind oder anderen vergleichbaren Informationsquellen entstammen;
- Werbe- und Verkaufsinformationen (z. B. Newsletter, zugegangene Dokumente, Einladungen zu und Teilnahme an Events und Spezialaktivitäten, persönliche Präferenzen und Interessen, Einverständnis- oder Ausstiegserklärungen);
- Informationen, die in «Cookies» und ähnlichen Technologien auf Websites, Applikationen für Mobiltelefone und in E-Mails zur Erkennung der betroffenen Personen, zur Erinnerung an Präferenzen einer betroffenen Person und dazu verwendet werden, um einer betroffenen Person Inhalte zur Kenntnis zu bringen, von denen die Bank glaubt, diese könnten für die betroffene Person von Interesse sein.
c) Informationen über einen Kunden, ein Verbundenes Individuum oder einen potenziellen Kunden, welche die Bank anderweitig erhebt, wie:
- Kommunikationsinformationen (z. B. Informationen, die in E-Mails, Chat-Nachrichten oder anderen digitalen Kommunikationsmedien enthalten sind);
- Informationen aus öffentlich zugänglichen Informationsquellen und kombinierte Informationen aus externen Quellen (z. B. Unternehmens- und Mediensendungen, Informationen, welche im sozialen Austausch zwischen Individuen, Organisationen, potenziellen Kunden und anderen Interessenten durch Gesellschaften gesammelt werden, welche Informationen zusammenstellen).
Nur in Einzelfällen erhebt die Bank besondere Kategorien personenbezogener Daten im Sinne des Artikels 9 DSGVO wie biometrische Daten, Informationen über politische Einstellungen oder Zugehörigkeiten, Gesundheitsinformationen, rassische oder ethnische Herkunft, religiöse oder weltanschauliche Überzeugungen oder Informationen über strafrechtliche Verurteilungen oder Straftaten über einen Kunden, ein Verbundenes Individuum oder einen potenziellen Kunden («besondere Kategorien personenbezogener Daten»).
Die Bank kann allenfalls auch weitere personenbezogene Daten erheben und verarbeiten und wird Sie darüber entsprechend informieren.
3. Wofür verarbeitet die Bank personenbezogene Daten (Zweck der Verarbeitung) und auf welcher Rechtsgrundlage?
Die Bank verarbeitet personenbezogene Daten von Kunden, Verbundenen Individuen und potenziellen Kunden zu verschiedenen Zwecken, im Einklang mit den Bestimmungen der europäischen DSGVO und dem schweizerischen DSG. Solche personenbezogene Daten werden dabei von der Bank nur insoweit verwendet, als dafür eine legitime Rechtsgrundlage besteht. Als recht- und zweckmässig gilt eine Verarbeitung insbesondere dann, wenn sie erfolgt:
a) zur Erfüllung vertraglicher Pflichten (Artikel 6 Absatz 1 b) DSGVO)
Die Verarbeitung personenbezogener Daten erfolgt, um Banktransaktionen durchzuführen und Finanzdienstleistungen gemäss den Verträgen mit den Bankkunden und deren Verbundenen Individuen zu erbringen, oder im Rahmen von Schritten zur Einleitung eines Vertragsabschlusses (z. B. bei potenziellen Kunden).
Die Zwecke der Datenverarbeitung richten sich in erster Linie nach dem konkreten Produkt (z. B. Bankkonto, Kredit, Wertpapiere, Einlagen, Zahlungen) und können unter anderem Bedarfsanalysen, Beratung, Vermögensverwaltung und andere Finanzdienstleistungen oder begleitende Leistungen sowie die Durchführung von Transaktionen beinhalten. Weitere Einzelheiten zu den Zwecken der Datenverarbeitung können auch in der jeweiligen Vertrags- und Produktinformation enthalten sein.
b) im Rahmen der Interessenabwägung bzw. zur Wahrung der berechtigten Interessen (Artikel 6 Absatz 1 f) DSGVO)
Soweit erforderlich, verarbeitet die Bank personenbezogene Daten über die eigentliche Erfüllung des Vertrages hinaus, zum Zwecke der Wahrung berechtigter Interessen der Bank oder Dritter (unter Einschluss der Einheiten der J. Safra Sarasin Gruppe). Zum Beispiel:
- Prüfung und Optimierung von Verfahren zur Bedarfsanalyse zwecks direkter Kundenansprache;
- Verfolgung des Austauschs der Bank mit Kunden, Verbundenen Individuen und potenziellen Kunden (persönlich, per Telefon, E-Mail oder via ein anderes Kommunikationsmittel);
- Geltendmachung rechtlicher Ansprüche und Interessenwahrung bei rechtlichen Streitigkeiten;
- Austausch mit Rechtsberatern und Drittintermediären;
- Überwachung, Steuerung und Durchsetzung bankinterner operationeller Anforderungen im Zusammenhang mit Risiken und Krediten, der System- oder Produktentwicklung sowie im Rahmen von Planung, Versicherung, Revision und verwaltungsbedingten Zwecken;
- Konsultation und Austausch von Daten mit Auskunftsstellen (z. B. Betreibungsregistern) zum Zwecke der Ermittlung der Kreditwürdigkeit, der Feststellung von Bonitäts- oder Ausfallrisiken im Kreditgeschäft und der Bestimmung der Anforderungen für ein pfändungsgeschütztes Konto oder ein Konto für die Abwicklung von Zahlungen bzw. Geldbezügen;
- Gewährleistung der IT-Sicherheit und des IT-Betriebs der Bank;
- Verhinderung und Aufklärung von Straftaten;
- Videoüberwachungen zur Wahrung des Hausrechts, zur Sammlung von Beweismitteln bei Überfällen und Betrugsdelikten, oder zum Nachweis von Verfügungen und Einzahlungen (z. B. an Geldautomaten);
- Massnahmen zur Gebäude- und Anlagensicherheit (z. B. Zutrittskontrollen);
- Massnahmen zur Sicherstellung des Hausrechts und Ausschluss von Unbefugten;
- Massnahmen zur Geschäftssteuerung und Weiterentwicklung von Dienstleistungen und Produkten;
- Risikokontrolle in der J. Safra Sarasin Gruppe;
- Werbung oder Markt- und Meinungsforschung, soweit Kunden, Verbundene Individuen und potenzielle Kunden der Nutzung ihrer personenbezogenen Daten nicht widersprochen haben;
- Erkenntnisgewinnung aus Informationen mittels Datenanalyse und zu statistischen Zwecken;
- Einhaltung anwendbarer schweizerischer und anderer gesetzlicher und regulatorischer Anforderungen.
c) aufgrund Ihrer Einwilligung (Artikel 6 Absatz 1 a) DSGVO)
Soweit Sie der Bank eine Einwilligung zur Verarbeitung personenbezogener Daten für bestimmte Zwecke (z. B. Analyse von Transaktionsaktivitäten für Werbezwecke) erteilt haben, beruht die Rechtmässigkeit dieser Verarbeitung auf Ihrer Einwilligung. Eine erteilte Einwilligung kann jederzeit widerrufen werden. Das gilt auch für den Widerruf von Einwilligungserklärungen, welche der Bank vor Inkrafttreten der DSGVO erteilt wurden, d. h. vor dem 25. Mai 2018. Bitte beachten Sie, dass ein Widerruf der Einwilligung die Rechtmässigkeit der Verarbeitung von Daten bis zum Widerruf nicht berührt. Wir weisen Sie allerdings darauf hin, dass es der Bank trotzdem gestattet sein kann, Ihre personenbezogenen Daten zu verarbeiten, soweit sie dafür andere legitime Gründe anführen kann.
d) aufgrund gesetzlicher Vorgaben (Artikel 6 Absatz 1 c) DSGVO) oder im öffentlichen Interesse (Artikel 6 Absatz 1 e) DSGVO)
Zudem unterliegt die Bank diversen rechtlichen Verpflichtungen, d. h. gesetzlichen Anforderungen (z. B. Bankgesetz, Kollektivanlagegesetz, Geldwäschereigesetz, Pfandbriefgesetz, Verordnungen und Zirkulare von Regulatoren und Steuergesetze) sowie bankregulatorischen Vorgaben. Zu den Verarbeitungszwecken zählen unter anderem auch die Kreditwürdigkeitsprüfung, Identitäts- und Altersprüfung, Massnahmen zur Betrugs- und Geldwäschereiprävention, die Erfüllung von Kontroll- und Meldepflichten aus Fiskal- und anderen Gesetzen und die Bewertung und Steuerung von Risiken in der Bank und der J. Safra Sarasin Gruppe (unter Einschluss der Zwecke konsolidierter Aufsicht).
e) bei der Verarbeitung besonderer Kategorien personenbezogener Daten (Artikel 9 Absatz 2 DSGVO)
Besondere Kategorien personenbezogener Daten können von der Bank verarbeitet werden, wenn dies erforderlich ist für die Geltendmachung, die Ausübung oder die Verteidigung von Rechtsansprüchen der Bank oder wenn diese offensichtlich allgemein zugänglich sind (Artikel 9 Absatz 2 e) und f) DSGVO). Andernfalls verarbeitet die Bank besondere Kategorien personenbezogener Daten nur mit Ihrer ausdrücklichen Einwilligung (Artikel 9 Absatz 2 a) DSGVO).
Die Bank kann allenfalls weitere personenbezogene Daten für andere Zwecke erheben und verarbeiten und wird Sie darüber entsprechend informieren.
4. Wer erhält personenbezogene Daten?
Innerhalb der Bank erhalten diejenigen Stellen Zugriff auf personenbezogene Daten von Kunden, Verbundenen Individuen und potenziellen Kunden, welche diese zur Erfüllung der vertraglichen und gesetzlichen Pflichten der Bank, oder im Rahmen dessen, was in dieser Datenschutzerklärung weiter beschrieben wird, benötigen. Auch von der Bank eingesetzte Dienstleister und Erfüllungsgehilfen können zu diesen Zwecken Daten erhalten, wenn sie das Bankkundengeheimnis wahren. Dabei handelt es sich vornehmlich um Unternehmen in den Kategorien Bankdienstleistungen, IT-Dienstleistungen, Logistik, Druckdienstleistungen, Telekommunikation, Inkasso, Beratung und Consulting sowie Vertrieb und Marketing.
Im Hinblick auf die Datenweitergabe an andere Empfänger ausserhalb der Bank ist zunächst zu beachten, dass die Bank, als Bankinstitut, grundsätzlich zur Verschwiegenheit hinsichtlich aller kundenbezogenen Tatsachen und Wertungen verpflichtet ist, von welchen die Bank Kenntnis erlangt (Bankkundengeheimnis) oder von denen sie weiss. Die Bank darf Informationen über Sie nur weitergeben, wenn gesetzliche Bestimmungen dies gebieten, wenn Sie eingewilligt haben (z. B. um eine vom Kunden oder den Verbundenen Individuen der Bank in Auftrag gegebene Finanztransaktion durchzuführen) und/oder wo die Bank zur Erteilung von Informationen befugt ist. Unter diesen Voraussetzungen kommen als Empfänger personenbezogener Daten z. B. in Betracht:
- Öffentliche Stellen und Institutionen (z. B. Schweizerische Nationalbank, Eidgenössische Finanzmarktaufsicht, andere Finanzbehörden, Steuerbehörden, Strafverfolgungsbehörden, Gerichte), soweit eine gesetzliche oder behördliche Verpflichtung besteht;
- Andere Kredit- und Finanzdienstleistungsinstitute oder vergleichbare Einrichtungen und Datenverarbeiter, an welche die Bank personenbezogene Daten zur Durchführung der Geschäftsbeziehung mit der betroffenen Person übermittelt (je nach Vertrag z. B. Gegenparteien im Markt, Korrespondenzbanken, Einzahlungsstellen, Depotbanken, Clearingstellen, Clearing- und Abrechnungssysteme, Broker, Börsen, Auskunftstellen, Dienstleister, Gesellschaften, deren Wertschriften die betroffene Person hält, Anbieter von Kredit- und Debitkartenverarbeitungen);
- Andere Unternehmen innerhalb der J. Safra Sarasin Gruppe, zur Risikosteuerung, aufgrund gesetzlicher oder behördlicher Verpflichtung oder zum Zweck des Outsourcings von Datenverarbeitungsaktivitäten innerhalb der J. Safra Sarasin Gruppe, vornehmlich in den Kategorien Bankdienstleistungen, IT-Dienstleistungen, Logistik, Druckdienstleistungen, Telekommunikation, Beratung sowie Verkauf und Werbung;
- Inhaber von Gemeinschaftskonten, Trustees, Begünstigte, Vollmachtinhaber oder Willensvollstrecker;
- Jeder unabhängige Vermögensverwalter, der für Sie Vermögensverwaltungs- oder Beratungsdienstleistungen erbringt, sowie jeder andere Finanzintermediär oder Geschäftsvermittler, der Sie der Bank vermittelt oder für Sie mit der Bank Geschäfte tätigt;
- Revisoren oder Streitschlichtungsstellen.
Weitere Empfänger personenbezogener Daten können diejenigen Stellen sein, hinsichtlich welcher Sie Ihre Einwilligung zur Datenübermittlung erteilt haben bzw. die Bank vom Bankkundengeheimnis durch Erklärung oder Einwilligung entbunden haben.
5. Werden Daten in ein Drittland oder an eine internationale Organisation übermittelt?
Unter bestimmten Umständen können personenbezogene Daten an Stellen ausserhalb der Schweiz transferiert und dort gespeichert werden. Das schliesst solche Stellen mit ein, die nicht über dasselbe Schutzniveau hinsichtlich personenbezogener Daten verfügen wie die Schweiz. Die Bank wird dies stets in einer Art und Weise tun, die im Einklang mit den Datenschutzbestimmungen steht. Die Bank muss unter Umständen Ihre Informationen beispielsweise so transferieren:
- Um den Vertrag mit Ihnen zu erfüllen (z. B. aufgrund der Art von Produkt oder Dienstleistung, die verwendet wird, und um eine rechtliche Pflicht zu erfüllen);
- Soweit dies unter der anwendbaren Datenschutzgesetzgebung durchsetzbar ist, um das öffentliche Interesse zu schützen;
- Aufgrund der rechtmässigen Geschäftsinteressen der Bank (z. B. im Zusammenhang mit einem Outsourcing-Projekt).
Transfers personenbezogener Daten an Empfänger in Ländern ausserhalb der Schweiz, des EWR und der EU (sogenannte Drittländer) werden stattfinden, wo
- Dies für die Ausführung von Instruktionen oder die Durchführung von Verträgen notwendig ist (z. B. Zahlungen oder Instruktionen für Wertpapiere);
- Dies von Gesetzes wegen erforderlich ist (z. B. Meldepflichten unter der Fiskalgesetzgebung);
- Dies im Zusammenhang mit der Auftragsdatenverarbeitung steht; oder
- Sie Ihre Einwilligung erteilt haben.
Wo Ihre personenbezogenen Daten an Dritte in Ländern offengelegt werden sollen, in denen kein angemessenes Datenschutzniveau besteht, stellt die Bank – dort, wo dies notwendig erscheint – sicher, dass sie angemessene Massnahmen trifft (z. B. vertragliche Regelungen – wie die Vereinbarung der EU-Standardvertragsklauseln / vgl. Artikel 46 Absatz 2 c) der DSGVO – oder andere Vorkehrungen oder Rechtfertigungsmassnahmen), um zu gewährleisten, dass personenbezogene Daten weiterhin angemessen geschützt bleiben.
Weitere Details hinsichtlich des Schutzes, der Ihren Informationen zukommt, wenn sie aus der Schweiz heraustransferiert werden, können Sie erlangen, indem Sie die Bank mittels der Angaben kontaktieren, die in Ziffer 1 oben aufgeführt sind.
6. Wie lange werden personenbezogene Daten gespeichert?
Die Bank verarbeitet und speichert personenbezogene Daten von Kunden, Verbundenen Individuen und potenziellen Kunden, solange es für die Erfüllung der vertraglichen und gesetzlichen Pflichten der Bank erforderlich ist. Dabei ist zu beachten, dass es sich bei der Geschäftsbeziehung mit der Bank um ein fortlaufendes Dauerschuldverhältnis handelt, welches auf Jahre angelegt ist.
Sind die personenbezogenen Daten für die Erfüllung vertraglicher oder gesetzlicher Pflichten nicht mehr erforderlich, werden diese regelmässig gelöscht, es sei denn, deren – grundsätzlich befristete – Weiterverarbeitung ist erforderlich zu folgenden Zwecken:
- Erfüllung handels- und steuerrechtlicher Aufbewahrungsfristen: Solche finden sich zum Beispiel im schweizerischen Obligationenrecht (OR) und seiner dazugehörigen Verordnungen, im Bundesgesetz über die Mehrwertsteuer (MWSTG), im Bundesgesetz über die direkte Bundessteuer (DBG), im Bundesgesetz über die Harmonisierung der direkten Steuern der Kantone und Gemeinden (StHG), im Bundesgesetz über die Stempelabgaben (StG), im Verrechnungssteuergesetz (VStG) und in den Richtlinien über die Behandlung kontakt- und nachrichtenloser Vermögenswerte bei Schweizer Banken (Narilo-Richtlinien) der Schweizerischen Bankiervereinigung.
- Sicherung von Beweisen im Zusammenhang mit der Einhaltung von Verjährungsvorschriften.
- Erfüllung spezieller Aufbewahrungsvorschriften wie «Legal Holds», d. h. Prozessen, die von der Bank etabliert werden, um alle Arten relevanter Informationen sicherzustellen, wo mit einem Rechtsstreit objektiv zu rechnen oder ein solcher bereits rechtshängig ist. In solchen Fällen kann die Bank gezwungen sein, die Informationen auf unbestimmte Zeit aufzubewahren.
Unter der anwendbaren Datenschutzgesetzgebung können Ihnen folgende Rechte zukommen: das Recht auf Auskunft (wie es in Artikel 8 DSG und Artikel 15 DSGVO definiert wird), das Recht auf Berichtigung (wie es in Artikel 5 DSG und Artikel 16 DSGVO definiert wird), das Recht auf Löschung (wie es in Artikel 5 DSG und Artikel 17 DSGVO definiert wird), das Recht auf Einschränkung der Verarbeitung (wie es in Artikel 12, 13, 15 DSG und in Artikel 18 DSGVO definiert wird), das Recht auf Widerspruch (wie es in Artikel 4 DSG und Artikel 21 DSGVO definiert wird) sowie – soweit anwendbar – das Recht auf Datenübertragbarkeit (wie es in Artikel 20 DSGVO definiert wird). Das Recht auf Auskunft und jenes auf Löschung sind gewissen Beschränkungen (Artikel 9, 10 und 13 DSG und, insbesondere, Artikel 23 DSGVO) unterworfen. Darüber hinaus besteht, soweit auf eine Person anwendbar, auch ein Beschwerderecht bei einer zuständigen Datenschutzaufsichtsbehörde (Artikel 77 DSGVO).
Wo die Bank personenbezogene Daten basierend auf einer von Ihnen gewährten Zustimmung verarbeitet, können Sie Ihre Zustimmung, die Sie speziell für eine solche Verarbeitung personenbezogener Daten erteilt haben, jederzeit widerrufen. Dies gilt auch für den Widerruf von Einwilligungserklärungen, die vor Inkrafttreten der DSGVO, d. h. vor dem 25. Mai 2018, erteilt wurden. Bitte beachten Sie, dass der Widerruf erst für die Zukunft wirkt. Jegliche Verarbeitung, die vor dem Widerruf erfolgt ist, ist davon nicht betroffen. Bitte nehmen Sie jedoch zur Kenntnis, dass die Bank dennoch weiterhin berechtigt sein kann, Ihre personenbezogenen Daten zu verarbeiten, nämlich dort, wo sie einen anderen, rechtmässigen Grund hat, dies zu tun.
Die Bank etabliert interne technische und organisatorische Massnahmen, um personenbezogene Daten von Kunden, Verbundenen Individuen und potenziellen Kunden zu sichern und zu schützen. Solche Massnahmen können in Form der Verschlüsselung, der Anonymisierung und der Zugriffsbeschränkung sowie in physischen Sicherheitsmassnahmen bestehen. Die Bank verpflichtet ihre Angestellten und alle Drittparteien, die Arbeiten für die Bank ausführen, angemessene Compliance-Standards einzuhalten, was die Verpflichtung zum Schutz jeglicher Informationen und zur Anwendung angemessener Vorkehrungen im Umgang mit personenbezogenen Daten oder anlässlich des Transfers solcher Daten einschliesst.
Im Rahmen einer Geschäftsbeziehung mit der Bank muss ein Kunde, ein Verbundenes Individuum oder ein potenzieller Kunde all jene personenbezogenen Daten zur Verfügung stellen, die für die Aufnahme und Durchführung solch einer Geschäftsbeziehung und der Erfüllung der damit verbundenen vertraglichen Pflichten erforderlich sind oder zu deren Erhebung die Bank gesetzlich verpflichtet ist. In der Regel wird die Bank ohne Erhebung und Verarbeitung personenbezogener Daten nicht in der Lage sein, einen Vertrag zu schliessen oder – daraus folgend – eine Instruktion zu akzeptieren und auszuführen.
Betroffene Personen sind dafür verantwortlich, sicherzustellen, dass die der Bank zur Verfügung gestellten Informationen zutreffend und aktuell sind.
Die Bank ist, insbesondere unter geldwäschereirechtlichen Vorschriften, verpflichtet, vor der Aufnahmeder Geschäftsbeziehung eine betroffene Person anhand ihres Ausweisdokuments (z. B. Identitätskarte) zu identifizieren und zu diesem Zweck Name, Geburtsort, Geburtsdatum, Staatszugehörigkeit, Anschrift sowie andere Daten zu erheben und festzuhalten. Damit die Bank dieser gesetzlichen Verpflichtung nachkommen kann, hat eine betroffene Person der Bank die nach dem Geldwäschereigesetz notwendigen Informationen und Unterlagen zur Verfügung zu stellen und sich im Laufe der Geschäftsbeziehung ergebende Änderungen unverzüglich anzuzeigen. Sollte eine betroffene Person der Bank die notwendigen Informationen und Unterlagen nicht zur Verfügung stellen, darf die Bank die gewünschte Geschäftsbeziehung weder aufnehmen noch fortsetzen.
Wenn Sie der Bank eine Information zur Verfügung stellen, die eine Person betrifft, die in einer Verbindung mit Ihrem Konto steht (wie Verbundene Individuen), sind Sie verpflichtet, solche Personen darüber zu informieren, welche personenbezogenen Daten Sie der Bank zugänglich gemacht haben, und Sie haben sicherzustellen, dass diese Personen über die Inhalte dieser Datenschutzerklärung informiert sind.
10. Findet «Profiling» oder «automatisierte Entscheidfindung» statt?
In bestimmten Fällen verarbeitet die Bank personenbezogene Daten von Kunden, Verbundenen Individuen oder potenziellen Kunden automatisch, mit dem Ziel, gewisse persönliche Aspekte zu bewerten (Profiling). Die Bank nutzt das Profiling zum Beispiel in folgenden Fällen:
- Aufgrund gesetzlicher und regulatorischer Vorgaben ist die Bank zur Bekämpfung der Geldwäscherei, der Terrorismusfinanzierung, von Betrug und von vermögensgefährdenden Straftaten verpflichtet. Dabei werden ebenfalls Datenauswertungen (unter Einschluss von Zahlungstransaktionen) vorgenommen. Diese Massnahmen dienen zugleich auch Ihrem Schutz.
- Um Sie zielgerichtet über Produkte informieren und beraten zu können, kann die Bank Auswertungsinstrumente einsetzen. Diese ermöglichen eine bedarfsgerechte Kommunikation und Werbung, einschliesslich der Markt- und Meinungsforschung.
Die Bank behält sich ihr Recht vor, personenbezogene Daten inskünftig in automatisierter Weise weiter zu analysieren und zu bewerten, um bedeutende persönliche und charakteristische Merkmale im Zusammenhang mit Ihnen zu identifizieren, um Entwicklungen vorherzusagen sowie um Kundenprofile zu erstellen. Diese können insbesondere für geschäftsverbundene Prüfungen, die individuelle Steuerung, die Beratung, Finanzdienstleistungen und die Zurverfügungstellung von Angeboten und Informationen genutzt werden, welche die Bank Ihnen allenfalls zugänglich machen möchte.
Wenn die Bank Ihnen Dienstleistungen erbringt, kann sie Entscheidungen unter Einbezug automatisierter Hilfsmittel treffen. Soweit dies vom Gesetz gefordert wird, stellt die Bank sicher, dass eine passende Kontaktperson erreichbar ist, wenn Sie sich zu einer individuellen, mit hilfe automatisierter Hilfsmittel gefällten Entscheidung zu äussern wünschen. Diesfalls bitten wir Sie, Ihre Anfrage an die in Ziffer 1 oben aufgeführte Adresse zu richten.
Sie können von der Bank eine Kopie dieser Datenschutzerklärung verlangen, indem Sie sich an den in der Ziffer 1 oben aufgeführten Kontakt wenden. Die Bank kann diese Datenschutzerklärung von Zeit zu Zeit abändern oder aktualisieren, indem sie ihren Kunden eine überarbeitete Version zustellt oder diese auf der Website der Bank unter www.bankzweiplus.ch/datenschutz zugänglich macht.
Information über Ihr Widerspruchsrecht nach Artikel 21 der EU-Datenschutz-Grundverordnung (DSGVO)
1. Einzelfallbezogenes Widerspruchsrecht
Soweit die DSGVO auf Sie zur Anwendung gelangt, haben Sie das Recht, aus Gründen, die sich aus Ihrer besonderen Situation ergeben, jederzeit gegen die Verarbeitung Sie betreffender personenbezogener Daten, die aufgrund von Artikel 6 Absatz 1 Buchstabe e) DSGVO (Verarbeitung im öffentlichen Interesse) und Artikel 6 Absatz 1 Buchstabe f) DSGVO (Verarbeitung zwecks Wahrung berechtigter Interessen) erfolgt, Widerspruch zu erheben; dies gilt auch für ein auf diese Bestimmungen gestütztes Profiling im Sinne von Artikel 4 Absatz 4 DSGVO.
Legen Sie Widerspruch ein, wird die Bank Ihre personenbezogenen Daten nicht mehr verarbeiten, es sei denn, die Bank kann zwingende schutzwürdige Gründe für die Verarbeitung anführen, die Ihre Interessen, Rechte und Freiheiten übersteuern, oder die Verarbeitung dient der Geltendmachung, Ausübung oder Wahrung von Rechtsansprüchen. Bitte nehmen Sie zur Kenntnis, dass die Bank in solchen Fällen auch nicht in der Lage sein wird, Dienstleistungen zu erbringen und eine Geschäftsbeziehung mit Ihnen zu unterhalten.
2. Widerspruchsrecht gegen eine Verarbeitung von Daten für Zwecke der Direktwerbung
In Einzelfällen verarbeitet die Bank Ihre personenbezogenen Daten, um Direktwerbung zu betreiben. Sie haben das Recht, jederzeit Widerspruch gegen die Verarbeitung Sie betreffender personenbezogener Daten zum Zwecke derartiger Werbung einzulegen; dies gilt auch für das Profiling, soweit es mit solcher Direktwerbung in Verbindung steht.
Widersprechen Sie der Verarbeitung für Zwecke der Direktwerbung, so wird die Bank Ihre personenbezogenen Daten nicht mehr für diese Zwecke verarbeiten.
Der Widerspruch kann formfrei erfolgen. Er sollte möglichst schriftlich vorgenommen und an folgende Adresse gerichtet werden:
bank zweiplus ag
Data Protection Officer
Buckhauserstrasse 22
Postfach
CH-8048 Zürich
dataprotection@bankzweiplus.ch
1 Der Begriff erfasst Einheiten der J. Safra Sarasin Holding AG Gruppe in der Schweiz und im Ausland.