Im Rahmen ihrer Tätigkeit verarbeitet die Credinvest Bank SA (nachstehend die "Bank") Daten natürlicher und juristischer Personen ("personenbezogene Daten"). Zu diesen personenbezogenen Daten gehören Informationen über (aktuelle und ehemalige) Kunden, potenzielle Kunden, Geschäftspartner und deren Mitarbeiter sowie alle anderen Personen, die mit der Bank in Kontakt stehen (nachstehend "Kunden/Gegenparteien" oder "betroffene Personen" genannt).
Für den Einsatz von Cookies und anderen Tracking-Technologien beachten Sie bitte auch die hier abrufbaren Informationen zur Cookie-Verwaltung.
Die Bank hält sich an das Bankgeheimnis und die Datenschutzgesetze und -vorschriften, um den Schutz und die Vertraulichkeit personenbezogener Daten zu gewährleisten. Dieses Dokument gibt einen Überblick darüber, wie die Bank mit den Rechten und persönlichen Daten von Kunden/Vertragspartnern umgeht.
Auf der Grundlage der angebotenen Produkte oder Dienstleistungen erhebt die Bank insbesondere die folgenden personenbezogenen Daten:
Die Bank kann solche Informationen auch durch Einsichtnahme in öffentliche Register, Regierungsbehörden oder andere Drittquellen, wie z. B. Vermögensüberprüfungsdienste, Kreditauskunfteien oder Betrugsbekämpfungsstellen, einholen. Soweit es für die Produkte und Dienstleistungen für Kunden/Gegenparteienrelevant ist, sammelt die Bank auch Informationen über weitere/mitbeteiligte Kreditkarten- oder Kontoinhaber, Geschäftspartner (einschließlich anderer Anteilseigner oder Begünstigter), Angehörige oder Familienmitglieder, Vertreter und Agenten.
Beim Zugriff auf die Website der Bank (www.credinvest.ch) werden die vom Browser übermittelten Daten gespeichert (u.a. Datum und Uhrzeit des Zugriffs, Name der abgerufenen Datei, übertragene Datenmenge, Zugriffsverhalten, Browsertyp, Sprache, Domain und IP-Adresse). Weitergehende Daten werden über die Website der Bank nur erfasst, wenn Sie diese Angaben freiwillig, etwa im Rahmen einer Registrierung oder Anfrage, machen.
Die Bank kann Cookies, Tracking-Technologien und andere Mittel (z. B. Web-Beacons, Pixel, GIFs, Tags, eindeutige Identifikatoren) verwenden, um die oben genannten Informationen über verschiedene Kanäle zu sammeln und zu verarbeiten, einschließlich E-Mails und der Geräte, die Kunden/Parteien zur Interaktion mit der Bank verwenden, um auf die Websites oder Plattformen, Produkte, Dienstleistungen und mobilen Anwendungen der Bank zuzugreifen. Zur Verwendung von Cookies und anderen Tracking-Technologien lesen Sie bitte auch die Cookie Management Policy, die Sie hier finden.
Die Bank bearbeitet die oben genannten Personendaten gemäss den Bestimmungen des Datenschutzgesetzes (DSG) und, im Falle von Personendaten von Kunden, die im Rahmen des freien Dienstleistungsverkehrs erworben wurden, gemäss der EU-Datenschutzgrundverordnung (EU GDPR).
Personenbezogene Daten von Kunden/Gegenparteienwerden immer für einen bestimmten Zweck und nur in dem Umfang verarbeitet, der zur Erreichung dieses Zwecks erforderlich ist. Die Hauptzwecke einer solchen Datenverarbeitung sind die folgenden:
Die Daten werden zur Erbringung von Bank- und Finanzdienstleistungen im Rahmen der Ausführung von mit Kunden/Gegenparteiengeschlossenen Verträgen oder zur Durchführung vorvertraglicher Maßnahmen im Vorgriff auf den Abschluss der genannten Verträge verarbeitet. Die Zwecke der Datenverarbeitung hängen in erster Linie vom jeweiligen Produkt (z. B. Bankkonto, Kredit, Wertpapiere oder Einlagen) ab und können Analysen betreffend Bedarf, Beratung, Vermögensverwaltung und -betreuung sowie die Durchführung von Transaktionen umfassen.
Die Bank unterliegt verschiedenen gesetzlichen Verpflichtungen (z.B. Schweizer Gesetze wie das Bankengesetz, das Kollektivanlagengesetz, das Geldwäschereigesetz, das Finanzdienstleistungsgesetz, das Pfandbriefgesetz, FINMA-Verordnungen und -Rundschreiben sowie steuerliche Vorschriften) und aufsichtsrechtlichen Vorschriften (z.B. der Schweizerischen Nationalbank oder der FINMA), die die Bearbeitung von Personendaten erfordern können. Weitere Zwecke der Datenbearbeitung sind z.B. die Bonitätsbeurteilung, die Identitäts- und Altersprüfung, die Betrugs- und Geldwäschereibekämpfung, die Erfüllung steuerrechtlicher Kontroll- und Meldepflichten sowie die Beurteilung und Steuerung von Risiken der Bank.
Soweit erforderlich, verarbeitet die Bank Daten über das für die wirksame Erfüllung ihrer vertraglichen Verpflichtungen unbedingt erforderliche Maß hinaus, um die berechtigten Interessen der Bank oder eines Dritten zu verfolgen, sofern diese die Interessen oder Grundrechte und -freiheiten der Kunden/Parteien nicht überwiegen. Neben den folgenden Beispielen erhält die Bank zum Zweck der Neukundengewinnung auch personenbezogene Daten aus öffentlich zugänglichen Quellen:
Verarbeitet die Bank personenbezogene Daten gemäß den Ziffern 2.1, 2.2 und 2.3, ist es nicht erforderlich, die vorherige ausdrückliche Zustimmung der betroffenen Personen zur Verarbeitung der Daten einzuholen
Hat die betroffene Person in die Verarbeitung personenbezogener Daten für bestimmte Zwecke eingewilligt (z. B. Analyse der Handelstätigkeit für Marketingzwecke), so beruht die Rechtmäßigkeit dieser Verarbeitung auf der Einwilligung. Die erteilte Einwilligung kann jederzeit widerrufen werden.
Innerhalb der Bank erhalten diejenigen Geschäftsbereiche Zugang zu den Daten, die diese zur Erfüllung vertraglicher, gesetzlicher und aufsichtsrechtlicher Verpflichtungen benötigen. Auch Dienstleister und Beauftragte (typischerweise Angestellte von Bank-, IT-, Logistik-, Druck-, Telekommunikations-, Inkasso-, Beratungs-, Vertriebs- und Marketingdienstleister), die von der Bank beauftragt werden können, dürfen zu diesen Zwecken Daten erhalten, sofern sie das Bankgeheimnis und die schriftlichen Anweisungen der Bank gemäß den geltenden Vorschriften einhalten. Was die Weitergabe von Daten an Empfänger außerhalb der Bank betrifft, so ist zunächst darauf hinzuweisen, dass die Mitarbeiter der Bank zur Verschwiegenheit über alle ihnen bekannt gewordenen Tatsachen und Wertungen über Kunden/Gegenparteien verpflichtet sind.
Unter bestimmten Bedingungen ist die Bank befugt, Informationen an Dritte weiterzugeben, z. B. an
Es wurden geeignete technische und organisatorische Maßnahmen getroffen, um einen unbefugten oder unrechtmäßigen Zugang zu personenbezogenen Daten von Kunden/Gegenparteien zu verhindern.
Daten dürfen nur dann ins Ausland übermittelt werden, wenn dies für die Ausführung von Kunden-/Gegenparteiaufträgen (z.B. Zahlungs- und Wertschriftenaufträge) notwendig ist, wenn dies gesetzlich vorgeschrieben ist (z.B. steuerrechtliche Meldepflichten) oder mit Zustimmung der Kunden/Gegenparteien. Setzt die Bank Dienstleister in einem Drittstaat ein, so sind diese verpflichtet, das in der Schweiz geltende Datenschutzniveau einzuhalten.
Die Bank bewahrt personenbezogene Daten nur so lange auf, wie es zur Erfüllung des Zwecks, für den sie erhoben wurden, oder zur Einhaltung gesetzlicher, aufsichtsrechtlicher oder interner Vorschriften erforderlich ist. Zu diesem Zweck werden spezifische Kriterien angewandt, um die angemessenen Zeiträume für die Aufbewahrung personenbezogener Daten auf der Grundlage des jeweiligen Zwecks zu bestimmen, wie z. B. eine ordnungsgemäße Buchführung, die Erleichterung der Beziehungen zu Kunden/Gegenparteien, die Verteidigung gegen rechtliche Schritte oder die Beantwortung von Anfragen der Aufsichtsbehörde. Im Allgemeinen bewahrt die Bank personenbezogene Daten für die Dauer der Geschäftsbeziehung oder des Vertrags plus weitere zehn Jahre auf, was dem Zeitraum entspricht, der für die Einreichung rechtlicher Schritte nach Beendigung der Geschäftsbeziehung oder des Vertrags gilt. Hängige oder angedrohte rechtliche oder aufsichtsrechtliche Verfahren können zu einer Aufbewahrung über diesen Zeitraum hinausführen.
Jede betroffene Person hat das Recht, über ihre Daten informiert zu werden, das Recht, sie berichtigen oder löschen zu lassen und ihre Verarbeitung einzuschränken und/oder ihr zu widersprechen sowie, soweit anwendbar, eine Übertragung dieser Daten zu erwirken. Soweit anwendbar, besteht auch das Recht, eine Beschwerde bei einer zuständigen Datenschutzaufsichtsbehörde einzureichen.
Eine betroffene Person kann jederzeit Ihre Einwilligung in die Verarbeitung der personenbezogenen Daten widerrufen. Dieser Widerruf gilt nur für die Zukunft, eine vor dem Widerruf erfolgte Verarbeitung bleibt davon unberührt.
Die Rechte der betroffenen Person auf Auskunft, Widerruf oder Widerspruch sind nicht absolut, da sie unter bestimmten Umständen nicht anwendbar sind oder Ausnahmen unterliegen können (z. B. zur Erfüllung rechtlicher Verpflichtungen). Die Bank wird den eingegangenen Anträgen gemäß den geltenden Datenschutzbestimmungen nachkommen. Macht eine betroffene Person von ihren Rechten Gebrauch, kann die Bank von ihr zunächst einen Identitätsnachweis verlangen. Die Bank kann auch um zusätzliche Informationen bitten, wenn eine Anfrage unklar ist. Ist die Bank nicht in der Lage, dem Ersuchen nachzukommen, wird sie eine Erklärung abgeben.
Zur Ausübung ihrer Rechte wird die betroffene Person gebeten, sich an die in Abschnitt 11 angegebenen Kontaktdaten zu wenden.
In bestimmten Fällen verarbeitet die Bank personenbezogene Daten für Zwecke der Direktwerbung. Die betroffene Person hat das Recht, jederzeit gegen die Verarbeitung personenbezogener Daten für diese Zwecke Widerspruch einzulegen; dies gilt auch für das Profiling, soweit es mit solcher Direktwerbung in Verbindung steht. Im Falle eines Widerspruchs gegen die Verarbeitung zu Zwecken der Direktwerbung werden die personenbezogenen Daten nicht mehr für diese Zwecke verarbeitet.
Um Einspruch zu erheben, wird die betroffene Person gebeten, die in Abschnitt 11 angegebenen Kontaktdaten zu verwenden.
Im Rahmen der Geschäftsbeziehung ist die betroffene Person verpflichtet, die für die Anbahnung und Abwicklung einer Geschäftsbeziehung und die Erfüllung der damit verbundenen vertraglichen Verpflichtungen erforderlichen oder die gesetzlich vorgeschriebenen personenbezogenen Daten bereitzustellen. Ohne diese Daten ist die Bank grundsätzlich nicht in der Lage, einen Vertrag mit ihren Kunden abzuschließen oder zu erfüllen. Insbesondere die Bestimmungen des Geldwäschegesetzes verpflichten die Bank, vor Aufnahme einer Geschäftsbeziehung die Identität zu überprüfen. Damit die Bank dieser gesetzlichen Verpflichtung nachkommen kann, sind die betroffenen Personen verpflichtet, die erforderlichen Auskünfte zu erteilen, die erforderlichen Unterlagen vorzulegen und der Bank Änderungen, die sich im Laufe der Geschäftsbeziehung ergeben, unverzüglich mitzuteilen. Fehlen die erforderlichen Angaben und Unterlagen, darf die Bank eine Geschäftsbeziehung nicht aufnehmen oder fortsetzen.
Die Bank entscheidet in der Regel nicht allein auf der Grundlage automatisierter Verfahren zur Aufnahme und Durchführung der Geschäftsbeziehung. Soweit die Bank im Einzelfall solche Verfahren einsetzt, wird sie den Kunden hierüber gesondert informieren, soweit dies gesetzlich vorgeschrieben ist. Unter bestimmten Voraussetzungen wird ein Widerspruchsrecht eingeräumt.
In einigen Fällen verarbeitet die Bank automatisch Daten von Kunden/Gegenparteien, um bestimmte persönliche Aspekte zu bewerten (Profiling). Beispiele:
Die Bank ergreift geeignete technische (z. B. Verschlüsselung, Pseudonymisierung, Protokollierung, Zugriffskontrolle oder Datensicherung) und organisatorische Maßnahmen (z. B. Anweisungen für unsere Mitarbeiter, Vertraulichkeitsvereinbarungen oder Überprüfungen), um die Sicherheit der erhobenen und verarbeiteten Informationen zu gewährleisten und sie vor unberechtigtem Zugriff, Missbrauch, Verlust, Verfälschung oder Zerstörung zu schützen. Der Zugang zu personenbezogenen Daten wird Kunden/Gegenparteien nur bei tatsächlichem Bedarf gewährt.
Allerdings lassen sich Sicherheitsrisiken in der Regel nicht völlig ausschließen: Ein gewisses Restrisiko ist meist unvermeidbar. Da insbesondere bei der Kommunikation per E-Mail, Instant Messaging oder ähnlichen Kommunikationsmitteln keine vollkommene Datensicherheit gewährleistet werden kann, empfiehlt die Bank, vertrauliche Informationen auf besonders sicheren Wegen zu versenden.
Verantwortlich für die Datenverarbeitung ist der Datenschutzbeauftragte (Data Protection Officer; DPO) der Bank, der unter folgenden Adressen zu erreichen ist:
Credinvest Bank SA
Via G. Cattori 14
6900 Lugano
Phone: +41 58 225 70 28
dpo@credinvest.ch