Zum OnlineBanking

Datenschutzhinweise

Datenschutzhinweise VermögenPlus & MeinInvest

  • Die folgenden Hinweise erläutern die Einzelheiten der Verarbeitung personenbezogener Daten des Anlegers durch die VR-Bank Ismaning Hallbergmoos Neufahr eG, Bahnhofstr. 3, 85737 Ismaning („Bank“) und die Union Investment Privatfonds GmbH, Weißfrauenstraße 7, 60311 Frankfurt am Main („UIP“) im Zusammenhang mit der Nutzung der Vermögensverwaltung.

    Verantwortlich für die Verarbeitung

    Die Bank ermöglicht dem Anleger nach Maßgabe der zwischen ihr und dem Anleger geschlossenen Rahmenvereinbarung („Rahmenvereinbarung“) die Nutzung des Produkts. Für alle personenbezogenen Daten des Anlegers, die im Zusammenhang mit dem Abschluss, der Durchführung und Beendigung der Rahmenvereinbarung einschließlich der Nutzung der Produkt Webseite durch den Anleger anfallen, ist die Bank Verantwortliche im Sinne des Artikels 4 Nummer 7 EU Datenschutz-Grundverordnung („DS-GVO“).

    Die Bank hat ihre im Zusammenhang mit der Vermögensverwaltung dem Anleger gegenüber nach der Rahmenvereinbarung zu erbringenden Leistungen sowie die technische Bereitstellung der Infrastruktur für das Produkt an die UIP ausgelagert. Soweit die UIP in diesem Zusammenhang personenbezogene Daten des Anlegers verarbeitet, handelt sie als Verantwortliche im Sinne des Artikels 4 Nummer 7 DS-GVO.

    Für alle personenbezogenen Daten des Anlegers, die im Zusammenhang mit dem Depotvertrag und nach vorheriger Legitimationsprüfung durch die Union Investment Service Bank AG („USB“) verarbeitet werden, ist die USB Verantwortliche im Sinne des Artikels 4 Nummer 7 DS-GVO.  

    Datenverarbeitung durch die Bank

    Datenverarbeitung im Zusammenhang mit der Rahmenvereinbarung

    Umfang, Zweck und Rechtsgrundlage der Datenverarbeitung

    Die Bank erhebt vom Anleger die für den Abschluss und die Durchführung der Rahmenvereinbarung sowie etwaiger Einzelverträge erforderlichen Daten. Hierzu zählen insbesondere Stamm- und Vertragsdaten (z.B. Name, Vorname, Geschlecht, Geburtsort, Adress- und Kontaktdaten, Bankverbindung), Angaben zur Geldanlage (z.B. Einmalbetrag, Sparrate, Zielbetrag, Laufzeit, Angaben zur Risikoneigung des Anlegers) sowie Daten im Zusammenhang mit konkreten Aufträgen (z.B. Datum und Inhalt des Auftrags). Rechtsgrundlage für die Verarbeitung dieser Daten ist Artikel 6 Absatz 1 Satz 1 Buchstabe b DS-GVO.

    Empfänger von Daten

    Die Erbringung der aufgrund der Rahmenvereinbarung dem Anleger gegenüber geschuldeten Vermögensverwaltungsleistungen sowie die technische Bereitstellung der Infrastruktur des Produktes hat die Bank an die UIP ausgelagert. In diesem Zusammenhang übermittelt sie die oben beschriebenen Daten, soweit dies zur Erfüllung der Rahmenvereinbarung und von Einzelaufträgen erforderlich ist, an die UIP. Rechtsgrundlage für diese Weitergabe personenbezogener Daten ist Artikel 6 Absatz 1 Satz 1 Buchstabe b DS-GVO.

    Daneben arbeitet die Bank bei der Durchführung der Rahmenvereinbarung eng mit der USB zusammen, mit der der Anleger einen Depotvertrag geschlossen hat. Die Bank stellt der USB personenbezogene Daten der Anleger zum Zwecke der Abwicklung der von diesen erteilten Vermögensverwaltungsaufträgen zur Verfügung. Die in diesem Zusammenhang vorgenommene Weitergabe personenbezogener Daten erfolgt auf der Grundlage von Artikel 6 Absatz 1 Satz 1 Buchstabe b DS-GVO.

    Zudem bedient sich die Bank bei der Verarbeitung personenbezogener Daten der Unterstützung durch spezialisierte Dienstleister. Diese Dienstleister (zum Beispiel Post-, IT-, Call-Center-Dienstleister) werden sorgfältig ausgewählt und sind gesetzlich und vertraglich zu der Sicherstellung eines hohen Datenschutzniveaus verpflichtet.

    Im Übrigen gibt die Bank die personenbezogenen Daten an Dritte nur weiter, wenn eine ausdrückliche Einwilligung erteilt wurde oder eine gesetzliche Erlaubnis oder Verpflichtung (zum Beispiel zur Erteilung von Bankauskünften an die Finanzbehörden in bestimmten Fällen) zur Weitergabe besteht.

    Dauer der Verarbeitung

    Personenbezogene Daten werden von der Bank gelöscht, wenn sie für die Zwecke der Rahmenvereinbarung nicht mehr benötigt werden und gesetzliche Aufbewahrungsfristen abgelaufen sind. Daten über abgewickelte Transaktionen werden im Regelfall zehn Jahre nach Durchführung der Transaktion gelöscht; alle weiteren personenbezogenen Daten werden im Regelfall zehn Jahre nach Beendigung der Rahmenvereinbarung gelöscht.

    Datenverarbeitung im Zusammenhang mit der UnionDepot pushTAN-App

    Die UnionDepot pushTAN-App (nachfolgend: „pushTAN-App“) ermöglicht Anlegern die Autorisierung von Aufträgen (nachfolgend: „Transaktionen“).

    Für die Nutzung ist ein Download der pushTAN-App aus den App Stores der jeweiligen Betriebssystemhersteller erforderlich. Die Bereitstellung der pushTAN-App erfolgt dabei durch die dafür Verantwortliche VisualVest GmbH. Für alle personenbezogenen Daten, die im Zusammenhang mit der Freigabe von Transaktionen über die UnionDepot pushTAN-App verarbeitet werden, ist die Bank Verantwortliche im Sinne des Artikels 4 Nummer 7 DS-GVO.

    Geräteregistrierung / Einrichtung der pushTAN-App

    Umfang, Zweck und Rechtsgrundlage

    Um Transaktionen über die pushTAN-App autorisieren zu können, ist es erforderlich, dass der Anleger sein Gerät registriert. Zum Starten der Geräteregistrierung wird dem Anleger ein QR-Code im geschützten Bereich der Webseite angezeigt, welcher über die pushTAN-App ausgelesen werden kann. Alternativ kann der Anleger die Geräteregistrierung durch das Aufrufen eines Links starten.

    Im Rahmen der Geräteregistrierung werden dabei folgende Informationen von dem Gerät des Anlegers abgerufen bzw. auf diesem gespeichert:

    • ID des Gerätes des Anlegers („Device-ID“)
    • ID zum Versand von Push-Benachrichtigungen („Device-Token“)
    • Öffentliche Schlüssel zur sicheren Kommunikation zwischen dem Endgerät des Anlegers und der Bank
    • E-Mailadresse des Anlegers und Name der verknüpften Bank (ausschließlich lokal)
    • Signatur-Schlüssel (eine Freigabe ist nur durch Eingabe des Geräteschutzes möglich)

    Für die Generierung des Device-Tokens ist es zwingend erforderlich, dass der Anleger den Erhalt von Push-Benachrichtigungen aktiviert hat. Rechtsgrundlage für die Verarbeitung ist Artikel 6 Absatz 1 Satz 1 Buchstabe b DS-GVO.

    Dauer der Verarbeitung

    Personenbezogene Daten werden gelöscht, wenn sie für die Zwecke nicht mehr benötigt werden und gesetzliche Aufbewahrungsfristen abgelaufen sind. Im Rahmen der Geräteregistrierung erhobene Daten werden im Regelfall 12 Monaten nach der Deaktivierung des Geräts für die Autorisierung gelöscht.

    Freigabe von Transaktionen

    Umfang, Zweck und Rechtsgrundlage

    Für die Freigabe von Transaktionen über die pushTAN-App werden die folgenden Informationen verarbeitet:

    • ID des Gerätes des Anlegers („Device-ID“)
    • ID zum Versand von Push-Benachrichtigungen („Device-Token“)
    • Öffentliche Schlüssel zur sicheren Kommunikation zwischen dem Endgerät des Anlegers und der Bank
    • Signatur-Schlüssel (eine Freigabe ist nur durch Eingabe des Geräteschutzes möglich)
    • pushTAN mit einer Zusammenfassung der durchzuführenden Transaktion

    Rechtsgrundlage für die Verarbeitung personenbezogener Daten ist Artikel 6 Absatz 1 Satz 1 Buchstabe b DS-GVO.

    Empfänger von Daten

    Für die Freigabe von Transaktionen werden pushTANs an das Gerät des Anlegers übermittelt. Für die Übermittlung werden der Apple Push Notification Service (APNs) sowie Firebase Cloud Messaging (FCM) verwendet. Dabei werden der (unverschlüsselte) Device-Token des Anlegers sowie eine verschlüsselte Transaktionsnachricht übermittelt. Apple und Google haben keinen Zugriff auf Transaktionsdaten. Zusätzlich erhalten Apple und Google Gerätedaten des Anlegers.

    Rechtsgrundlage für diese Weitergabe personenbezogener Daten ist Artikel 6 Absatz 1 Satz 1 Buchstabe b DS-GVO.

    Dauer der Verarbeitung

    Personenbezogene Daten werden gelöscht, wenn sie für die Zwecke Ihrer Erhebung nicht mehr benötigt werden und gesetzliche Aufbewahrungsfristen abgelaufen sind. Daten über abgewickelte Transaktionen werden im Regelfall zehn Jahre nach Durchführung der Transaktion gelöscht.

    Datenverarbeitung durch die UIP

    Umfang, Zweck und Rechtsgrundlage der Datenverarbeitung

    Die UIP verarbeitet die von der Bank für den Abschluss und die Durchführung der Rahmenvereinbarung sowie etwaiger Einzelverträge erhobenen personenbezogenen Daten des Anlegers (insbesondere Stamm- und Vertragsdaten sowie Angaben zur Geldanlage), soweit ihr diese von der Bank zum Zwecke der Vermögensverwaltung und der technischen Bereitstellung der Infrastruktur für das Produkt zur Verfügung gestellt wurden und die Verarbeitung hierfür erforderlich ist. Die Rechtsgrundlage für die Verarbeitung dieser Daten ist Artikel 6 Absatz 1 Satz 1 Buchstabe b DS-GVO. Empfänger von Daten

    Die UIP arbeitet bei der Durchführung des Depotvertrags und der Rahmenvereinbarung eng mit der USB sowie der Bank zusammen und übermittelt an diese personenbezogene Daten des Anlegers, soweit dies für die Erfüllung der Verträge mit dem Anleger (z.B. Berechnung und Fakturierung der vom Anleger an die Bank zu zahlenden Serviceentgelte, Auskehr von Rabatten auf die Fondsverwaltung) erforderlich ist. Rechtsgrundlage für die Weitergabe dieser personenbezogenen Daten ist Artikel 6 Absatz 1 Satz 1 Buchstabe b DS-GVO. Zudem bedient sich die UIP bei der Verarbeitung personenbezogener Daten der Unterstützung durch spezialisierte Dienstleister. Diese Dienstleister (zum Beispiel Post-, IT-, Call-Center-Dienstleister) werden sorgfältig ausgewählt und sind gesetzlich und vertraglich zu der Sicherstellung eines hohen Datenschutzniveaus verpflichtet.

    Im Übrigen gibt die UIP die personenbezogenen Daten an Dritte nur weiter, wenn eine ausdrückliche Einwilligung erteilt wurde oder eine gesetzliche Erlaubnis oder Verpflichtung (zum Beispiel zur Erteilung von Bankauskünften an die Finanzbehörden in bestimmten Fällen) zur Weitergabe besteht.

    Dauer der Verarbeitung

    Personenbezogene Daten werden von der UIP gelöscht, wenn sie für die vorstehend genannten Zwecke nicht mehr benötigt werden und gesetzliche Aufbewahrungsfristen abgelaufen sind. Daten über abgewickelte Transaktionen werden im Regelfall zehn Jahre nach Durchführung der Transaktion gelöscht; alle weiteren personenbezogenen Daten werden im Regelfall zehn Jahre nach Beendigung der Rahmenvereinbarung mit der Bank und des Depotvertrags mit der USB gelöscht.

    Weitere Informationen zur Datenverarbeitung durch die Bank und UIP

    Auskunft, Löschung und Portierung

    Anleger, die eine detaillierte Auskunft zu den im Rahmen der Rahmenvereinbarung von der Bank oder UIP zu ihrer Person gespeicherten personenbezogenen Daten wünschen, können sich an diese wenden. Sie können außerdem die Daten, die sie der Bank oder UIP bereitgestellt haben, in einem strukturierten, gängigen und maschinenlesbaren Format erhalten oder verlangen, dass diese Daten einem Dritten übermittelt werden. Wenn die Anleger feststellen, dass zu ihrer Person gespeicherten Daten fehlerhaft oder unvollständig sind, können sie jederzeit die unverzügliche Berichtigung oder Vervollständigung dieser Daten verlangen. Unter den in Artikel 17 und 18 DS-GVO bezeichneten Voraussetzungen kann auch die Löschung oder Einschränkung der Verarbeitung personenbezogener Daten verlangt werden. Die Anleger haben außerdem das Recht, sich mit einer Beschwerde an die für die Aufsicht über die Bank oder UIP zuständigen Landesdatenschutzbeauftragten zu wenden

    Kontaktinformationen

    Kontaktdaten Bank:
    Bei Fragen können Anleger sich an die Bank unter info@vrbank-ihn.de wenden.

    Kontaktdaten UIP:
    Bei Fragen können Anleger sich an die UIP unter service@union-investment.de wenden.

    Im Übrigen stehen Anlegern die Datenschutzbeauftragen zur Verfügung:

    Bank:
    VR-Bank Ismaning Hallbergmoos Neufahrn eG
    Bahnhofstr. 3
    85767 Ismaning
    datenschutz@vrbank-ihn.de

    Union Investment Privatfonds GmbH:
    Weißfrauenstraße 7
    60311 Frankfurt am Main
    datenschutz@union-investment.de

Datenverarbeitung im Rahmen der Nutzung der Produkt Webseite

  • Soweit die Bank im Zusammenhang mit der Nutzung der Produkt Webseite durch den Anleger personenbezogene Daten verarbeitet, gelten die folgenden Ausführungen.

    Registrierungsdaten

    Umfang, Zweck und Rechtsgrundlage

    Um das Produkt nutzen zu können, muss sich der Anleger registrieren. Für die Registrierung sind bestimmte Angaben erforderlich (z.B. Benutzername, E-Mail-Adresse). Die Bank benötigt diese Angaben für die Einrichtung und Verwaltung des Zugangs des Anlegers zu der Produkt Webseite und zur Identifizierung berechtigter Anleger. Die Rechtsgrundlage für die Verarbeitung der vorstehend beschriebenen Daten ist Artikel 6 Absatz 1 Satz 1 Buchstabe b DS-GVO.

    Dauer der Verarbeitung

    Sofern der Depoteröffnungsprozess abgebrochen wird, wird das Benutzerkonto des Anlegers nach 90 Tagen gelöscht. Im Falle eines Produktabschlusses werden die Registrierungsdaten bis zur Kündigung der Geschäftsbeziehung gespeichert.

    Nutzungsdaten

    Umfang, Zweck und Rechtsgrundlage

    Bei der Nutzung der Produkt Webseite speichert die Bank automatisch bestimmte Angaben zu

    • dem verwendeten Endgerät (iPhone/iPad, Smartphone, Tablet-Computer, Desktop-PC). Dazu gehören Informationen über den Gerätetyp, eine Gerätekennung (z.B. IMEI, Android Device ID, Open-UUID), den verwendeten Browser, das verwendete Betriebssystem und bestimmte Einstellungen,
    • Domainnamen oder IP-Adresse,
    • Besuchte Unterseiten und genutzte Funktionen,
    • Datum und Zeit der Nutzung.

    Diese Nutzungsdaten werden verarbeitet, um das Produkt in technischer Hinsicht zugänglich zu machen (z.B. an das verwendete Endgerät anzupassen), Missbrauch zu erkennen und zu unterbinden. Rechtsgrundlage für die Verarbeitung personenbezogener Nutzungsdaten ist Artikel 6 Absatz 1 Satz 1 Buchstaben b und f DS-GVO.

    Dauer der Verarbeitung

    Nutzungsdaten werden für einen Zeitraum von 90 Tagen gespeichert. Im Übrigen werden die in diesem Abschnitt genannten Daten des Anlegers gelöscht, wenn deren Kenntnis für die beschriebenen Zwecke nicht mehr erforderlich ist, soweit nicht gesetzliche Bestimmungen eine längere Speicherung vorschreiben.

    Cookies, Local Storage und ähnliche Technologien

    Auf unserer Webseite verwenden wir Cookies und die Local-Storage-Technologie. Cookies sind kleine Textdateien, die auf dem Datenträger des Nutzers gespeichert werden und über den Browser bestimmte Einstellungen und Daten mit dem System der Bank austauschen. Ein Cookie enthält in der Regel den Namen der Domain, von der die Cookie-Daten gesendet wurden, sowie Informationen über das Alter des Cookies und ein alphanumerisches Identifizierungszeichen. Über den Local Storage werden Daten lokal im Cache des Browsers gespeichert. Dadurch können Daten auch nach dem Schließen des Browser-Fensters weiterhin ausgelesen werden.

    Der Einsatz der beschriebenen Technologien ist für die Nutzung der Webseite unbedingt erforderlich. Sie ermöglichen es, unser Angebot ansprechend zu gestalten und erleichtern die Nutzung, indem beispielsweise bestimmte Eingaben so gespeichert werden, dass sie nicht wiederholt eingegeben werden müssen. Die gespeicherten Informationen werden nicht verwendet, um den Anleger zu identifizieren, und werden nicht mit anderen personenbezogenen Daten zusammengeführt, die über den Anleger gespeichert sind. Die Rechtsgrundlage für die Verarbeitung personenbezogener Daten ist Artikel 6 Absatz 1 Satz 1 Buchstabe f DS-GVO.

Übersicht der eingesetzten Technologien

NameSpeicherdauerZweck

AUTH_SESSION_ID, AUTH_SESSION_ID_LEGACY, KC_RESTART, KC_START, KEYCLOAK_LOCALE, KEYCLOAK_IDENTITY, KEYCLOAK_IDENTITY_LEGACY, KEYCLOAK_LOCALE

Session

Cookies der Authentifizierungskomponente. Diese dienen unter anderem der Sprachauswahl und der eindeutigen Identifizierung eines Anlegers für den Zugriff auf den geschützten Bereich.

KEYCLOAK_SESSION, KEYCLOAK_SESSION_LEGACY

9 Stunden

Cookies der Authentifizierungskomponente. Diese dienen unter anderem der Sprachauswahl und der eindeutigen Identifizierung eines Anlegers für den Zugriff auf den geschützten Bereich.

questions

Bis zur Löschung im Browser

Local-Storage-Objekt für die Speicherung der Antworten zur Ermittlung einer Portfolioempfehlung.

investmentDraft

Bis zur Löschung im Browser

Local-Storage-Objekt für die Speicherung der geplanten Investition (Sparrate, gewähltes Portfolio).

vh-depot-index, vh-depot-data

Session

Session-Storage-Objekte zur Identifikation der aufzurufenden Depots.

Cookies und Local-Storage-Objekte werden auf dem Endgerät des Nutzers gespeichert und Nutzer haben die volle Kontrolle über die Verwendung von diesen. Durch eine Änderung der Einstellungen des Internet-Browsers können Nutzer die Übertragung von Cookies und die Speicherung von Local-Storage-Objekten deaktivieren oder einschränken. Bereits gespeicherte Cookies und Local-Storage-Objekte können jederzeit gelöscht werden. Dies kann auch automatisiert erfolgen. Werden Cookies / Local-Storage-Objekte für die Produkt-Webseite deaktiviert, können möglicherweise nicht mehr alle Funktionen der Webseite und der Plattform vollumfänglich genutzt werden.