SPK-0251 - öffentliches Verfahrensregister - Sparkasse Gera

Öffentliches Verfahrensregister der Sparkasse Gera-Greiz
gemäß § 4e Bundesdatenschutzgesetz (BDSG)
1. Verantwortliche Stelle
Sparkasse Gera-Greiz
2.1 Vorstand
Markus Morbach (Vorstandsvorsitzender)
2.2 Leiter der Datenverarbeitung
Steffen Höntsch
3. Anschrift der verantwortlichen Stelle
Schloßstraße 11
07545 Gera
4. Zweckbestimmung der Datenerhebung,
-verarbeitung oder -nutzung
Hauptzweck ist das Betreiben von Bankgeschäften und das Erbringen von
Finanzdienstleistungen i. S. d. Kreditwesengesetzes. Dazu gehören vor allem das Führen
von Konten (Girokonten, Sparkonten, Depots u. a.), das Gewähren von Krediten/
Darlehen, die Übernahme von Bürgschaften, das Erbringen von Wertpapierdienstleistungen sowie das Vermitteln von Produkten und Dienstleistungen des
Sparkassenfinanzverbundes, z. B. der Landesbausparkasse oder der
SV SparkassenVersicherung. In diesem Zusammenhang werden gemäß § 25c
Kreditwesengesetz personenbezogene Daten verarbeitet, um der Geldwäsche, der
Terrorismusfinanzierung und sonstigen strafbaren Handlungen, die das Vermögen der
Sparkasse gefährden können, entgegenzuwirken.
Nebenzwecke sind die Personal- und Lieferantenverwaltung, die Interessentenbetreuung sowie die Vermietung von Wohn- und Geschäftsräumen.
Die punktuelle Videoüberwachung öffentlich zugänglicher Räume dient dem
Wahrnehmen des Hausrechts durch die Sparkasse. Daneben werden – auch zur
vorbeugenden Kriminalitätsbekämpfung - Beweismittel bei Banküberfällen,
Geiselnahmen, Betrugsfällen oder zum Nachweis von Verfügungen am Geldautomaten
gesammelt.
*SPK-0251* SPK-0251-OE510-10/16
Seite 1 von 3
Soweit zur Erfüllung der unter 4. genannten Zwecke erforderlich, werden zu folgenden
Personengruppen personenbezogene Daten erhoben, verarbeitet und genutzt:
• Kunden und Interessenten (im Wesentlichen Adress- und andere
Kommunikationsdaten, Legitimationsdaten, Vertragsdaten, Kontodaten,
Zahlungsverkehrsdaten, Einkommens- und Vermögensdaten, Steuerdaten sowie
sonstige Daten, soweit sie für die ordnungsgemäße Anbahnung, Durchführung und
Abwicklung von Verträgen erforderlich sind)
• Mitarbeiter und Bewerber (im Wesentlichen Adress- und andere
Kommunikationsdaten, Vertragsdaten, Abrechnungsdaten sowie weitere Daten, die
für die ordnungsgemäße Personalverwaltung und -steuerung erforderlich sind)
• Geschäftspartner/Lieferanten (im Wesentlichen Adress- und andere
Kommunikationsdaten, Vertragsdaten, Abrechnungs- und Leistungsdaten sowie
Daten zu Kontaktpersonen)
• Mieter (im Wesentlichen Adress- und Vertragsdaten)
5. Personengruppen und Datenkategorien
6. Empfänger oder Kategorien von Empfängern,
denen die Daten mitgeteilt werden können
•
Allgemein: Bilddaten, sofern bereitgestellte Automaten genutzt oder
videoüberwachte öffentlich zugängliche Räume betreten werden
•
•
interne Stellen, die an der Erfüllung der unter 4. genannten Zwecke beteiligt sind
öffentliche Stellen (Finanzämter, Sozialversicherungsträger, Gerichte,
Aufsichtsbehörden u. a.) bei Vorliegen vorrangiger Rechtsvorschriften (z. B. § 24c
Kreditwesengesetz, § 93b Abgabenordnung)
externe Dienstleister (im Wesentlichen Auftragsdatenverarbeiter, die die Sparkasse
unter Einhaltung des § 11 BDSG zur Erfüllung ihrer vertraglichen und gesetzlichen
Pflichten mit dem Verarbeiten und Speichern der Daten, der Abwicklung des
Zahlungsverkehrs, der Abwicklung der Kontoservicearbeiten, der Abwicklung der
Wertpapiergeschäfte und Depotverwaltungsarbeiten, der Abwicklung von Teilen des
Kreditgeschäfts sowie der Durchführung von Dienst- und Serviceleistungen im
Zusammenhang mit der IT beauftragt hat)
Verbundpartner, denen die Sparkasse Kunden oder Interessenten für deren
Dienstleistungsangebot vermittelt
•
•
7. Regelfristen für die Löschung der Daten
Die Daten werden nach Ablauf der gesetzlich (z. B. § 257 Handelsgesetzbuch, § 147
Abgabenordnung), aufsichtsrechtlich oder vertraglich festgelegten
Aufbewahrungsfristen routinemäßig gelöscht. Sollte für die Aufbewahrung der Daten
keine explizite Frist vorgesehen sein, so werden die Daten nach Erfüllung oder Wegfall
des Zweckes, für den sie erhoben wurden, gelöscht.
*SPK-0251* SPK-0251-OE510-10/16
Seite 2 von 3
8. Geplante Datenübermittlung in Drittstaaten
Die Sparkasse Gera-Greiz übermittelt grundsätzlich keine personenbezogenen Daten in
Drittstaaten.
Ausnahme: Meldung bestimmter Ertrags- und/oder Kundendaten in die USA
Aufgrund internationaler Abkommen ist die Sparkasse in bestimmten Fällen verpflichtet,
Ertrags- und/oder Kundendaten aus dem Wertpapiergeschäft in die USA zu melden.
Bei "US-Personen" (d. h. alle dem US-amerikanischen Einkommenssteuergesetz
unterliegenden Personen), sogenannten "transparenten Rechtsgebilden" (d. h. alle
Personenmehrheiten, die nicht selbst Steuersubjekt sind) sowie sämtlichen Treuhandund Anderdepots erfolgen individuelle Einzelmeldungen mit Angaben zum Namen, zu
Anschrift, Erträgen (Zinsen und Dividenden) und ggf. Kapitalrückflüssen aus betroffenen
Wertpapieren. Empfänger ist die US-amerikanische Bundessteuerbehörde ("Internal
Revenue Service" - IRS). Die Depotinhaber erhalten jeweils eine Durchschrift dieser
Meldung. Die Erträge aller sonstigen Depotinhaber werden dagegen ausschließlich in
anonymisierten Sammelmeldungen übermittelt.
Darüber hinaus werden jährlich ab 2015 auf der Grundlage einer Verordnung
elektronische Berichte an das Bundeszentralamt für Steuern zur Weiterleitung an die
US-amerikanische Steuerbehörde ("Internal Revenue Service" - IRS) erstattet. Betroffen
hiervon sind ebenfalls US-steuerpflichtige Personen mit den jeweiligen Kundenund/oder Ertragsdaten.
Ausnahme: Internationaler Überweisungsverkehr
Bei Überweisungen ins Ausland und bei gesondert beauftragten Eilüberweisungen
werden die in der Überweisung enthaltenen Daten über den einzigen weltweit tätigen
Zahlungsnachrichtendienst Society for Worldwide Interbank Financial
Telecommunication (SWIFT) mit Sitz in Belgien an das Kreditinstitut des Begünstigten
weitergeleitet. Aus Gründen der Systemsicherheit speichert SWIFT die
Transaktionsdaten vorübergehend in seinen Rechenzentren in den Niederlanden und
den USA. US-Behörden können zum Zwecke der Bekämpfung des internationalen
Terrorismus auf Überweisungsdaten im Rechenzentrum von SWIFT in den USA zugreifen
und diese für eine Dauer von bis zu 5 Jahren zu speichern. Davon ausgenommen sind
Überweisungen innerhalb des SEPA-Raumes.
*SPK-0251* SPK-0251-OE510-10/16
Seite 3 von 3