1. Inhalt dieser Hinweise.

Diese Datenschutzhinweise gelten für Nutzer von DekaNet, d.h. Mitarbeiter der DekaBank, der Sparkassen und sonstiger Institute, die Zugriff auf DekaNet haben. Diese Datenschutzhinweise beziehen sich nicht auf das System „OSPlus“ der Sparkassen, welches über DekaNet aufgerufen werden kann. 
 

Nachfolgend erläutern wir Ihnen unseren Umgang mit Ihren personenbezogenen Daten, wenn Sie DekaNet nutzen. Zudem informieren wir Sie über Ihre Rechte nach der Datenschutz-Grundverordnung (DS-GVO).

2. Verantwortlicher und Datenschutzbeauftragter.

Verantwortlicher im Sinne der DS-GVO für die Verarbeitung Ihrer Daten im Rahmen von DekaNet ist:
 
DekaBank Deutsche Girozentrale
Große Gallusstraße 14
60315 Frankfurt am Main
Telefon (0 69) 71 47 – 652
E-Mail: service@deka.de  
 
Die Kontaktdaten des Datenschutzbeauftragten lauten:

DekaBank Deutsche Girozentrale
Datenschutzbeauftragter
Große Gallusstraße 14
60315 Frankfurt am Main
E-Mail: datenschutz@deka.de 

3. Nutzerkonto (Stammdaten).

Um DekaNet nutzen zu können, müssen Sie dort mit einem Nutzerkonto angelegt sein. Die Anlage des Nutzerkonto erfolgt durch den DekaNet-Administrator Ihres Arbeitgebers (Institut, DekaBank). Hierbei werden folgende Daten über Sie gespeichert („Stammdaten“): 

• Name
• Vermittlernummer
• Benutzerkennung
• Passwort
• Institut

Die Stammdaten werden für die Bereitstellung der Funktionen von DekaNet benötigt, insbesondere zur Authentifizierung und dem Rechtemanagement.
 

Ihre Stammdaten werden für die Dauer Ihres Nutzungskontos gespeichert sowie darüber hinaus, solange mit Ihrem Nutzungskonto noch weitere Daten verknüpft sind (z.B. Nutzeraktionen, siehe unten).
 

Anhand des Nutzungskontos kann auch eine Anmeldung (Single Sign On) in andere Anwendungen der Sparkassen-Finanzgruppe erfolgen, z.B. Onlinetraining, Webshop, Dialogshop. 

4. Nutzeraktionen.

Ihre Nutzeraktionen innerhalb von DekaNet werden grundsätzlich protokolliert. Folgende Protokolle werden geführt: 

• Transaktionskontrolle: Auftragsdaten für Kunden- und Depot-bezogene Transaktionen sowie für die Benutzerverwaltung
• Ereigniskontrolle: Anmeldungen, Abmeldungen und unberechtigte Zugriffversuche von Benutzern
• Anwendungsprotokollierung: Alle Benutzeraktionen, die in DekaNet in den Modulen Depot (Depotinformationen und Transaktionen), Kunde und Benutzerverwaltung sowie der Report-Administration (RAA) durchgeführt werden, sowie alle sicherheitsrelevanten Ereignisse (bspw. nicht erfolgreiche Anmeldung etc.). Bei der Protokollierung werden bei jeder Anmeldung an DekaNet die Benutzereigenschaften (Name, Benutzerkennung, Gruppenzugehörigkeit/Vertriebspartnernummer etc.) des sich anmeldenden Benutzers gespeichert.
• Systemprotokollierung: Protokollierung zur Nachvollziehbarkeit für Einführung, Betrieb, Überwachung und Wartung der Anwendung.

Neben der Aktion selbst, werden auch Benutzerdaten und Datum/Uhrzeit der Nutzeraktion erfasst.
 
Im Rahmen des Vier-Augen-Prinzips werden Daten zur Freigabe von besonders kontrollbedürftigen Geschäftsvorfällen (Depot- und Versandadresse weichen voneinander ab) gespeichert.
 
Protokolldaten werden zur Nachvollziehbarkeit von Nutzeraktionen, zur Fehlerbehebung, zur revisionssicheren Ausgestaltung von DekaNet und zur Sicherstellung der Datensicherheit und des Datenschutzes (z.B. Kontrolle des berechtigten Zugriffs) und zur Einhaltung gesetzlicher Nachweis- und Dokumentationspflichten genutzt. Standardmäßig werden keine personenbezogenen Berichte bzw. Auswertungen aus den Daten der Protokollierung erstellt.
 
Protokolldaten werden spätestens nach zehn Jahren gelöscht.

5. Logfiles des Webservers.

Bei jedem Seitenaufruf werden von unseren - wie auch von allen anderen - Webservern technische Daten erfasst. Wir ordnen diese jedoch keiner Person zu.
 
Wenn Sie eine einzelne Seite aufrufen, erfassen unsere Web-Server in einer Log-Datei standardmäßig die Adresse (URL) der abgerufenen Seite, Datum und Uhrzeit des Abrufs, etwaige Fehlermeldungen und ggf. das Betriebssystem und die Browser-Software Ihres Endgerätes sowie die Webseite, von der aus Sie uns besuchen. Wir speichern in unseren Logfiles auch die IP-Adresse Ihres Rechners.
 
Die Log-File-Daten werden von uns ausschließlich zur Sicherstellung der Funktionsfähigkeit unserer Dienste verwendet (z.B. Fehleranalyse, Gewährleistung der Systemsicherheit und Schutz vor Missbrauch) und nach 35 Tagen gelöscht oder so verkürzt, dass kein Personenbezug mehr herstellbar ist.
 
Soweit im Einzelfall Log-File-Daten als personenbezogene Daten zu qualifizieren sind, ist Rechtsgrundlage für die Verarbeitung der Log-File-Daten unser berechtigtes Interesse (Fehleranalyse, Gewährleistung der Systemsicherheit und Schutz vor Missbrauch). 

6. Einzelne Funktionen  von DekaNet.

Nachfolgend erläutern wir den Umgang mit Ihren Daten, wenn Sie einzelne Funktionen von DekaNet nutzen. 

6.1. Newsletter.

Um einen Newsletter zu bestellen, legen Sie bitte ein Nutzerkonto zur Abonnementverwaltung an (Neuanmeldung). Hierfür benötigen wir Ihre E-Mail-Adresse und ein selbstgewähltes Passwort. Daneben können Sie freiwillig weitere Profilangaben ergänzen wie Name und Vorname, damit wir Sie persönlich ansprechen können.
 
Mit der Erstellung eines Nutzerkontos erteilen Sie der DekaBank Deutsche Girozentrale eine Datenschutz-Einwilligung, Ihnen Informationen zu Produkten und Dienstleistungen im Finanzbereich zu den Themen des jeweils abonnierten Newsletters per E-Mail zukommen zu lassen. Sie können diese Einwilligung jederzeit mit Wirkung für die Zukunft widerrufen, indem Sie die einzelnen Newsletter in der Abonnementverwaltung abwählen oder Ihr Nutzerkonto zur Abonnementverwaltung vollständig löschen.
 
Nach der Neuanmeldung erhalten Sie eine E-Mail mit der Bitte auf einen Bestätigungslink zu klicken. Erst nach dieser Bestätigung erhalten Sie abonnierte Newsletter.
 
Rechtsgrundlage für die Verarbeitung ist Ihre Einwilligung. Wir löschen alle Ihre Daten, wenn Sie Ihr Nutzerkonto zur Abonnementverwaltung löschen.
 
6.2. Forum.
 
Wir bieten ein Forum, in dem Sie Fragen und Anmerkungen rund um die Nutzung von DekaNet stellen können. Hierbei werden Ihr Name, der Inhalt Ihres Beitrags sowie Datum und Uhrzeit erfasst. Die Foreninhalte sind für alle Nutzer von DekaNet sichtbar. Foreninhalte bleiben gespeichert, bis diese von Ihnen gelöscht werden. 
 
Rechtsgrundlage ist die Interessenabwägung. Unsere berechtigten Interessen bestehen in der Ermöglichung eines Austauschs mit und unter Mitgliedern von DekaNet zu Fragen rund um die Nutzung von DekaNet, die effiziente Lösung von Nutzungsproblemen und die Dokumentation von Fragen und Antworten des Services. 
 
Alternativ zur Nutzung des Forums können Sie sich auch direkt an die für Sie zuständige Support-Stelle von DekaNet wenden.
 
6.3. Anmeldung zu Veranstaltungen.
 
Wenn Sie sich für ein Online-Webinar anmelden, werden dabei Vorname, Nachname, Sparkasse, E-Mail-Adresse und Webinar-Thema und Termin erfasst (Webinar-Daten). Die Webinar-Daten nutzen wir zur Vorbereitung bzw. Durchführung des jeweiligen Webinars. Die Angaben werden zusammen mit Ihrem Nutzungs-Konto gelöscht. 
 
6.4. Webshop.
 
Die Datenschutzhinweise zu unserem Webshop finden Sie im Webshop unter den Shopinformationen (am Seitenende). Diese gelten ergänzend zu den vorliegenden Datenschutzhinweisen für DekaNet. 

7. Analyse des Webseitenbesuchs zu statistischen Zwecken.

Wenn Sie uns Ihre Einwilligung in die Datenverarbeitung für Statistik-Zwecke erteilen, nutzen wir den Analysedienst „Adobe Analytics“, um zu ermitteln, wie Besucher unsere Webseite nutzen. Die Erfassung des Nutzungsverhaltens erfolgt ohne unmittelbaren Bezug zu Ihrer Person (pseudonymisiert). Ihre IP-Adresse wird nur in verkürzter Form gespeichert.
 
Mit Ihrer Einwilligung in die Datenverarbeitung für Statistik-Zwecke, stimmen Sie auch der Übermittlung Ihrer Daten an Unternehmen (wie nachfolgend genannt) in unsicheren Drittländer zu. Einzelheiten zu Ihrer diesbezüglichen Einwilligung finden Sie in Ziffer 5.
 

Sie können hier Ihre Cookie- und Datenschutz-Einwilligungen jederzeit anpassen.

 
Wir nutzen – Ihre Einwilligung vorausgesetzt – Adobe Analytics, ein Webanalysedienst der Adobe Systems Software Ireland Limited, 4-6 Riverwalk Citywest Business Campus, Dublin 24, Irland („Adobe“).

 
Folgende Informationen erheben wir dabei:

• Welche einzelne Seiten Sie auf unserer Webseite aufrufen.
• Ihre Surf-Aktivitäten einschließlich der URLs der von Ihnen besuchten Webseiten unseres Unternehmens.
• Die URL der Seite mit dem Link, auf den Sie geklickt haben, um zu unserer Webseite zu gelangen.
• Informationen über Ihren Browser und Ihr Gerät wie Gerätetyp, Browsertyp, Werbekennung, Betriebssystem, Verbindungsgeschwindigkeit und Anzeigeeinstellungen.
• Ihre verkürzte IP-Adresse, mit deren Hilfe wir Ihren ungefähren Standort bestimmen können.

Werden Informationen über die Benutzung der Webseite an einen Server von Adobe übermittelt, dann ist durch unsere Einstellungen gewährleistet, dass die IP-Adresse vor der Geolokalisierung (grobe Standortbestimmung des zugreifenden Rechners) nur in gekürzter Form gespeichert wird.
 
Adobe nutzt die gesammelten Informationen weisungsgebunden in unserem Auftrag, um die Nutzung der Webseite durch die Nutzer auszuwerten und um Reports über die Webseitenaktivitäten zusammenzustellen. Wir nutzen die Auswertungen und Reports zur bedarfsgerechten Gestaltung unserer Webseite, z.B. um zu ermitteln, aus welchen Regionen uns besonders viele Nutzer besuchen, welche Inhalte besonders gefragt sind und welche Endgeräte Besucher verwenden.
 
Adobe kann seinerseits Subunternehmer einsetzen. Eine Liste von Subunternehmern von Adobe ist abrufbar unter www.adobe.com/ie/privacy/sub-processors.html. Subunternehmer von Adobe können ihren Sitz auch in einem Land außerhalb der EU oder dem EWR haben, insbesondere in den USA die Adobe Systems Incorporated, 345 Park Avenue, San Jose, CA95110, USA und die Adobe Systems India Private Limited, Level 2, Elegance Building, Campus 217, Mathura Road, Jasola District Complex, Jasola, New Delhi, Delhi, 110025 India. 
 
Rechtsgrundlage für die Verarbeitung ist Ihre Einwilligung. Die Speicherdauer der Daten beträgt 36 Monate.

8. Einwilligung in die Datenübermittlung in unsichere Drittstaaten.

Mit Ihrer Zustimmung zum Einsatz von Adobe Analytics erteilen Sie uns auch Ihre – jederzeit mit Wirkung für die Zukunft widerrufliche – Einwilligung, Ihre Daten an Unternehmen in nicht-EU Staaten zu übermitteln, für die es keinen Beschluss der EU-Kommission gibt, wonach das Land ein der EU angemessenes Schutzniveau für personenbezogene Daten aufweist (sog. „unsicheres Drittland“), wobei keine Maßnahmen getroffen wurden (z.B. vertragliche Vereinbarungen), um dieses Defizit auszugleichen. Die Unternehmen und Länder sind jeweils in Ziffer 7 genannt. 
 
Sie können hier Ihre Cookie- und Datenschutz-Einwilligungen anpassen. Zum Widerruf der Einwilligung in die Datenübermittlung in unsichere Drittstaaten bitte alle optionalen Häkchen entfernen.
 
Mit Ihrer Einwilligung stimmen Sie unter Hinnahme der nachfolgend genannten Risiken ausdrücklich zu, dass wir Ihre Daten an die genannten Unternehmen in unsicheren Drittstaaten, insbesondere die USA, übermitteln.
 
Die Verarbeitung erfolgt in diesen Ländern ohne, dass die in der EU verankerten Datenschutz-Grundsätze der Rechtmäßigkeit, Verarbeitung nach Treu und Glauben, Transparenz, Zweckbindung, Datenminimierung, Richtigkeit und Speicherbegrenzung, Integrität und der Vertraulichkeit beachtet werden müssen. Zudem sind Ihre nach EU-Recht garantierten Rechte auf Information, Auskunft, Berichtigung, Löschung, Einschränkung der Verarbeitung, Datenübertragbarkeit und Widerspruch in diesen Ländern womöglich nicht gewährleistet. 
 
Die Rechtsstaatlichkeit (z.B. der Grundsatz der Verhältnismäßigkeit), die Achtung der Menschenrechte und Grundfreiheiten (z.B. das Recht auf Schutz personenbezogener Daten) in dem betreffenden Land entsprechen ggf. nicht den EU Standards. Dies gilt etwa in Bezug auf Vorschriften zur öffentlichen Sicherheit, Verteidigung, nationalen Sicherheit und zum Strafrecht sowie den Zugang von Behörden zu personenbezogenen Daten sowie die Anwendung dieser Vorschriften. Auch ist unter Umständen kein ausreichender Schutz für die Weiterübermittlung personenbezogener Daten in andere unsichere Drittländer gegeben. Die verwaltungsrechtliche oder gerichtliche Durchsetzung Ihrer Rechte kann in unsicheren Drittländern im Vergleich zur EU eingeschränkt sein.
 
In unsicheren Drittstaaten gibt es zudem möglicherweise keine Datenschutz-Aufsichtsbehörden, die denjenigen der EU vergleichbar sind oder diese können nicht wirksam arbeiten. Behörden in unsicheren Drittstaaten haben womöglich keine ausreichenden Durchsetzungsbefugnisse und Unterstützungs- und Beratungsmöglichkeiten für Betroffene und die Aufsichtsbehörden arbeiten unter Umständen nicht mit denen der EU zusammen. 
 
Speziell in den USA können zudem staatliche Stellen leichter und umfassender Zugriff auf Daten nehmen, ohne dass es hierfür Beschränkungen der Verhältnismäßigkeit und Erforderlichkeit gibt, die denen der EU vergleichbar sind. Zudem können Sie die Einhaltung der Vorgaben für den Zugriff auf Daten durch staatliche Stellen ohne US-Staatsangehörigkeit nicht gerichtlich geltend machen. 

9. Ergänzende Hinweise.

9.1. Pflichtangaben.
 
Alle Felder mit Pflichtangaben sind auf unserer Webseite durch einen Stern („*“) gekennzeichnet. Ohne diese Angaben ist die Nutzung der entsprechenden Funktion nicht möglich.
 
9.2. Nutzungszwecke und Rechtsgrundlage.
 
Soweit nicht abweichend angegeben, nutzen wir Ihre Daten zur Bereitstellung der jeweiligen Funktionen von DekaNet. Soweit nicht anders angegeben ist Rechtsgrundlage für die Verarbeitung unser berechtigtes Interesse an der Bereitstellung der jeweiligen DekaNet Funktionen (Art. 6 Abs. 1 lit. f DSGVO) und im Falle von DekaBank-Mitarbeitern die Durchführung des Arbeitsvertrags (Art. 6 Abs. 1 lit. b DSGVO). 
 
Zudem nutzen wir Ihre Daten, sofern nicht anders angegeben, zur Dokumentation und Nachverfolgbarkeit von Transaktionen, insbesondere zur Erfüllung gesetzlicher Dokumentations- und Nachweispflichten, zum Nachweis der und zur Einhaltung gesetzlicher Bestimmungen und interner Richtlinien (z.B. zur Datensicherheit) sowie zur Nachweisbarkeit im Falle von rechtlichen Streitigkeiten z.B. mit Kunden. Rechtsgrundlage sind insofern die gesetzlichen Dokumentations- und Nachweispflichten (Art. 6 Abs. 1 lit. c DSGVO) bzw. unser Interesse an der Nachweisbarkeit unserer Gesetzestreue (Compliance) und unser Interesse an der Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen (Art. 6 Abs. 1 lit. f DSGVO).
 
9.3. Datenempfänger.
 
Ihre Daten erhalten innerhalb der DekaBank und dem Institut die jeweils zuständigen und berechtigten Stellen gemäß dem Rollen- und Berechtigungskonzept für DekaNet.  
 
Für den technischen Betrieb von DekaNet können wir weisungsgebundene technische Dienstleister innerhalb der EU einsetzen, z.B. für die Programmierung, Wartung und das Hosting sowie für den Newsletterversand. Aktuell ist dies insbesondere die Finanz Informatik Technologie Service GmbH & Co. KG in Haar/München. 
 
Eine Übermittlung in Länder außerhalb des Europäischen Wirtschaftsraums findet nur statt, sofern dies ausdrücklich angegeben ist.
 
9.4. Kriterien für die Speicherdauer.
 
Wir bemessen die Speicherdauer für Ihre Daten anhand der konkreten Zwecke, zu denen wir die Daten verwenden. Darüber hinaus unterliegen wir gesetzlichen Aufbewahrungs- und Dokumentationspflichten, die sich insbesondere aus dem Kreditwesengesetz (KWG), dem Geldwäschegesetz (GwG), Wertpapierhandelsgesetz (WpHG), dem Handelsgesetzbuch (HGB) und der Abgabenordnung (AO) ergeben. Schließlich beurteilt sich die Speicherdauer auch nach den gesetzlichen Verjährungsfristen, die z.B. nach den §§ 195 ff. des Bürgerlichen Gesetzbuchs (BGB) in der Regel drei Jahre betragen.

10. Begriffserläuterungen.

10.1. Begriffe.
 
Im Folgenden erläutern wir einige in diesen Datenschutzhinweisen verwendete rechtliche und technische Begriffe.
 
Personenbezogene Daten:
Personenbezogene Daten sind alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen.
 
Verarbeitung:
Eine Verarbeitung personenbezogener Daten ist jeder Vorgang im Zusammenhang mit personenbezogenen Daten, z.B. das Erheben über ein Online-Formular, die Speicherung auf unseren Servern oder die Verwendung zur Kontaktaufnahme.
 
Cookie:
Ein Cookie ist eine kleine Textdatei, die auf Ihrem Rechner gespeichert wird. Der Inhalt dieser Datei wird bei jedem Aufruf einer Webseite an den Server übertragen, der den Cookie gesetzt hat. Einzelheiten zu den auf unserer Webseite eingesetzten Cookies finden Sie hier
 
IP-Adresse:
Die IP-Adresse ist eine Nummer, die Ihr Internetanbieter Ihrem Endgerät vorübergehend oder auch dauerhaft zuweist. Mit einer vollständigen IP-Adresse ist es z.B. anhand von Zusatzinformationen Ihres Internetzugangsbetreibers im Einzelfall möglich, den Anschlussinhaber zu identifizieren.
 
Standarddatenschutzklauseln:
Standardklauseln der EU-Kommission, die wir mit Dienstleistern in nicht EWR-Ländern vereinbaren, um dort ein angemessenes Schutzniveau im Sinne der DS-GVO herzustellen. Der Text der Standarddatenschutzklauseln ist abrufbar unter https://eur-lex.europa.eu/legal-content/DE/TXT/HTML/?uri=CELEX:32010D0087 (Anhang).
 
10.2. Rechtsgrundlagen.
 
Die DS-GVO erlaubt eine Verarbeitung personenbezogener Daten nur, wenn eine Rechtsgrundlage besteht. Wir sind gesetzlich verpflichtet, Ihnen die Rechtsgrundlage für die Verarbeitung Ihrer Daten mitzuteilen.
 
Im Folgenden erläutern wir Ihnen die dabei verwendeten Begrifflichkeiten.
 

11. Ihre Rechte.

Die DS-GVO räumt Ihnen bestimmte Rechte in Bezug auf Ihre personenbezogenen Daten ein. Eine Erläuterung finden Sie hier.