Datenschutz

1. Verantwortliche Stelle / Kontaktmöglichkeiten

Nachfolgend informieren wir Sie über die von der Scalable Capital GmbH, Seitzstraße 8e, 80538 München, Deutschland („Scalable Capital”, „wir” oder „Verantwortliche”) durchgeführte Verarbeitung Ihrer personenbezogenen Daten im Zusammenhang mit der Verwendung unserer Webseite, unserer Web-Applikation und unserer Mobile-Applikation (die letztgenannten nachfolgend zusammenfassend als „App“ bezeichnet).

Für die Ausübung Ihrer Rechte und weitergehende Informationen wenden Sie sich bitte per E-Mail an service@scalable.capital bzw. postalisch an Scalable Capital GmbH, Seitzstraße 8e, 80538 München.

Unseren Datenschutzbeauftragten erreichen Sie unter: privacy@scalable.capital.

Weiterführende Informationen zu Scalable Capital finden Sie im Impressum.

2. Allgemeine Informationen zur Verarbeitung personenbezogener Daten

2.1. Allgemeine Informationen

Grundsätzlich entscheiden Sie, welche personenbezogenen Daten Sie uns zur Verfügung stellen. Im Rahmen der Geschäftsbeziehung müssen Sie uns jedoch solche personenbezogenen Daten bereitstellen, die für die Anbahnung, Durchführung oder Beendigung der Geschäftsbeziehung erforderlich sind und zu deren Erhebung und Verarbeitung wir auf Basis gesetzlicher Vorgaben, z.B. nach den geldwäscherechtlichen Vorschriften, verpflichtet sind. Ohne diese Daten können wir Ihnen unsere Dienstleistungen oder Funktionen nicht zur Verfügung stellen.

2.2 Zwecke und Rechtsgrundlagen

Wir verarbeiten Ihre personenbezogenen Daten grundsätzlich nur, sofern dies gem. Art. 6 DSGVO zulässig ist. Verarbeitungen umfassen z.B. die Erhebung, das Abfragen, die Verwendung, die Speicherung oder die Übermittlung personenbezogener Daten. Im Folgenden beschreiben wir die Zwecke und Rechtsgrundlagen unserer Verarbeitungen im Detail.

2.2.1 Einwilligung gem. Art. 6 Abs. 1 lit. a DSGVO

Verarbeitungen auf Grundlage Ihrer freiwillig erteilten Einwilligung gem. Art. 6 Abs. 1 lit. a DSGVO erfolgen zu jeweils definierten Zwecken. Ihre Einwilligung können Sie jederzeit mit Wirkung für die Zukunft widerrufen. Durch den Widerruf der Einwilligung wird die Rechtmäßigkeit der aufgrund der Einwilligung bis zum Widerruf erfolgten Verarbeitung nicht berührt.

2.2.2 Erfüllung vertraglicher Pflichten oder Maßnahmen im Rahmen der Vertragsanbahnung gem. Art. 6 Abs. 1 lit. b DSGVO

Wir verarbeiten personenbezogene Daten gem. Art. 6 Abs. 1 lit. b DSGVO im Rahmen der Vertragsanbahnung und -erfüllung. Dies umfasst vor allem Verarbeitungen, die in direktem Zusammenhang mit der Eröffnung und Bereitstellung Ihres Kontos bei uns stehen. Weitere Informationen zu den Umfängen und Zwecken der jeweiligen Verarbeitung in Abhängigkeit des jeweiligen Produkts können Sie den entsprechenden Vertragsunterlagen entnehmen.

2.2.3 Erfüllung gesetzlicher Vorgaben gem. Art. 6 Abs. 1 lit. c DSGVO

Als Finanzinstitut unterliegen wir zahlreichen gesetzlichen Vorgaben, die sich z.B. aus dem Geldwäschegesetz (GwG), dem Kreditwesengesetz (KWG), dem Wertpapierhandelsgesetz (WpHG) oder den Steuergesetzen sowie aus anderen bankaufsichtsrechtlichen Anforderungen (z.B. von Aufsichtsbehörden wie der Bundesanstalt für Finanzdienstleistungsaufsicht, der Deutschen Bundesbank oder der Europäischen Zentralbank) ergeben. Die Verarbeitungen personenbezogener Daten zur Erfüllung gesetzlicher Vorgaben umfassen z.B. die Identitäts- und Altersprüfung, die Erfüllung steuerrechtlicher Kontrollen und Meldepflichten, die Abwicklung von Kundenbeschwerden, die Betrugs und Geldwäscheprävention sowie die Bewertung und Steuerung von Risiken innerhalb des Instituts. Auf Anfrage von Behörden sind wir berechtigt, die von unseren Kundinnen und Kunden durchgeführten Transaktionen an diese Behörden zu melden.

2.2.4 Wahrung unserer berechtigten Interessen gem. Art. 6 Abs. 1 lit. f DSGVO

Soweit erforderlich, verarbeiten wir Ihre personenbezogenen Daten gem. Art. 6 Abs. 1 lit. f DSGVO zur Wahrung unserer berechtigten Interessen oder der berechtigten Interessen eines Dritten über die Erfüllung des Vertragsverhältnisses hinaus. Die Verarbeitungen erfolgen zum Beispiel zu folgenden Zwecken:

  • Durchführung und Optimierung von Verfahren zur Bedarfsanalyse und Kundensegmentierung,
  • Durchführung von Aktivitäten zu Direktmarketing oder Markt- und Meinungsforschung zu unseren Produkten und Services, soweit zulässig und soweit Sie der Nutzung Ihrer Daten diesbezüglich nicht widersprochen haben,
  • Geltendmachung und Durchsetzung rechtlicher Ansprüche und Verteidigung bei Rechtsstreitigkeiten,
  • Gewährleistung der IT-Sicherheit, des IT-Betriebs und der IT-Infrastruktur von Scalable Capital,
  • Prävention und Aufklärung von Straftaten,
  • Maßnahmen zur Geschäftssteuerung und Weiterentwicklung von Dienstleistungen und Produkten,
  • Gewährleistung der Ordnungsmäßigkeit und Sicherheit der Geschäftsabläufe,
  • Finanz- und Risikosteuerung inkl. der regelmäßigen Überprüfung interner Risikomodelle,
  • Bereitstellen Persönliche Analysen, Auswertungen und Statistiken (wie z.B. Jahresrückblick) oder
  • Datenaustausch mit Auskunfteien (z. B. Creditreform) zur Ermittlung von Bonitäts- bzw. Ausfallrisiken.

2.3 Verarbeitung personenbezogener Daten Dritter

Wir verarbeiten personenbezogene Daten von Personen, die in Kontakt mit uns stehen, aber keine Kundinnen und Kunden von uns sind. Hierzu zählen z.B. Bevollmächtigte, Erziehungsberechtigte, Zahlungsempfänger, gesetzliche Vertreter, Besucher unserer Webseite oder andere an einer Transaktion beteiligte Personen. Wir verarbeiten die Daten aufgrund unseres berechtigten Interesses, unsere Dienstleistungen für unsere Kundinnen und Kunden zu erbringen sowie um unseren gesetzlichen Verpflichtungen nachzukommen.

3. Verarbeitung Ihrer personenbezogenen Daten bei Nutzung unserer Webseite und unserer Apps

3.1. Hosting

Für das Hosting der Datenbank- und Webinhalte setzen wir Amazon Web Services EMEA SARL, 38 Avenue John F. Kennedy, L-1855 Luxemburg („AWS“), ein Tochterunternehmen der Amazon Web Services, Inc., P.O. Box 81226, Seattle, WA 98108-1226, USA, als Auftragsverarbeiter ein. Die Daten werden ausschließlich in einem deutschen Rechenzentrum in Frankfurt am Main gespeichert, das höchste Sicherheitsstandards erfüllt. Zusätzlich haben wir entsprechende EU-Standardvertragsklauseln nach Maßgabe des Durchführungsbeschlusses (EU) 2021/914 der Kommission vom 4. Juni 2021 mit Amazon Web Services, Inc. vereinbart. Diesen Durchführungsbeschluss (EU) 2021/914 können Sie einschließlich der verwendeten EU-Standardvertragsklauseln können Sie über den folgenden Link einsehen: https://eur-lex.europa.eu/legal-content/DE/TXT/?uri=CELEX%3A32021D0914. In Verbindung mit zusätzlichen technischen und organisatorischen Maßnahmen zur Sicherung eines angemessenen Schutzniveaus wird garantiert, dass die Datenschutzvorgaben der EU auch bei der Verarbeitung von Daten in den USA eingehalten werden können.

3.2. Nutzung unserer Webseite zu Informationszwecken

Bei Ihrem Besuch unserer Webseite verarbeiten wir Zugriffsdaten, die in sog. Logfiles gespeichert werden. Im dem Zuge werden die folgenden personenbezogenen Daten automatisiert verarbeitet:

  • IP-Adresse des anfragenden Devices
  • Typ des verwendeten Webbrowsers
  • Sprache des verwendeten Webbrowsers
  • Version des verwendeten Webbrowsers
  • Betriebssystem und dessen Version
  • Datum und Uhrzeit des Besuchs
  • Zeitzonendifferenz zur Greenwich Mean Time (GMT)
  • Zugriffsstatus/ http-Statuscode
  • Übertragene Datenmenge
  • Aufgerufene Webseite
  • Referrer
  • Webseiten, die vom System der Besucherin oder des Besuchers über unsere Webseite aufgerufen werden
  • Internet-Service-Provider der Besucherin oder des Besuchers

Die Verarbeitung dieser Daten erfolgt gem. Art. 6 Abs. 1 lit. f DSGVO aufgrund unseres berechtigten Interesses, Ihnen die Webseite ordnungsgemäß anzeigen zu können, sowie zur Abwehr von Angriffen und zum Zweck der Sicherheit unserer Systeme. Die Logfiles werden unverzüglich gelöscht oder anonymisiert, nachdem sie zur Erreichung der vorgenannten Zwecke nicht mehr erforderlich sind, spätestens jedoch nach 14 Tagen.

3.3. Einsatz von Cookies, Tracking Tools und Diensten Dritter auf unseren Webseiten und Apps

3.3.1 Allgemeine Informationen

Auf unserer Webseite setzen wir Cookies und ähnliche Technologien, wie z.B. Pixel, ein. Cookies sind kleine Textdateien, die auf Ihrem Endgerät gespeichert werden und gerätespezifische Informationen verarbeiten. Es gibt sitzungsbasierte und dauerhafte Cookies. Während sitzungsbasierte Cookies sofort nach Beendigung einer Browsersitzung gelöscht werden, ermöglichen dauerhafte Cookies eine längerfristige Speicherung der von Ihnen gewählten Einstellungen. Dauerhafte Cookies dienen dazu, Ihnen eine möglichst angenehme Nutzererfahrung zu bieten. In unseren Apps verwenden wir unseren eigenen Code und setzen zudem Software Development Kits („SDKs”) ein. Ein SDK wird von unseren Partnern bereitgestellt und beinhaltet Codeteile, die bestimmte Funktionen ausführen.

Die Speicherung und das Auslesen (sogenanntes „Tracking”) von Informationen z.B. durch das Setzen von Cookies oder die Einbindung von SDKs auf Endgeräten von Nutzenden ist auf Basis gesetzlicher Vorgaben nur mit der ausdrücklichen Einwilligung der Nutzenden zulässig (§ 25 Abs. 1 TDDDG i.V.m. Art. 6 Abs. 1 lit. a DSGVO). Sofern die Speicherung und das Auslesen für den Betrieb unserer Dienste unbedingt erforderlich ist, bedarf es gem. § 25 Abs. 2 TDDDG keiner Einwilligung. Die weitere Verarbeitung erfolgt jeweils nach Art. 6 Abs. 1 lit. f DSGVO für solche Zwecke, die den Schutz Ihrer Daten überwiegen oder in Ihrem Interesse sind, wie z.B. zur Betrugsprävention, Verbesserung der IT-Sicherheit sowie zur Verbesserung unserer digitalen Dienste. Sofern die Verarbeitung der nachfolgenden Dienste auf Ihrer Einwilligung basiert, können Sie diese jederzeit mit Wirkung für die Zukunft widerrufen und dies in den Datenschutzeinstellungen verwalten und anpassen.
Weitere allgemeine Informationen zu den eingesetzten Cookies, Tracking Technologien und SDKs entnehmen Sie bitte der Cookie-Richtlinie. Dort können Sie auch Ihre Einwilligungen und Einstellungen verwalten.

3.3.2 Anmeldung zum persönlichen Bereich

Um Ihnen eine sichere Nutzung unserer Dienstleistungen zu ermöglichen, setzen wir Auth0 Inc., 10800 NE 8th Street, Ste. 600, Bellevue, WA, 98004, USA („Auth0”) als Auftragsverarbeiter ein. Zu diesem Zweck verarbeitet Auth0 Ihre E-Mail-Adresse und Ihr Passwort zusammen mit Ihrer IP-Adresse, den von der IP-Adresse abgeleiteten Geolokalisierungsdaten, Zeitstempel und den Geräteinformationen gem. Art. 6 Abs. 1 lit. b DSGVO.

Um den Zugang zu Ihrem Konto noch besser vor kriminellen Aktivitäten und Zugriff Dritter zu schützen, ergreifen wir verschiedene Maßnahmen. Im Rahmen der Anmeldung analysieren wir die IP-Adresse, den Standort des anfragenden Gerätes sowie Metadaten des Zugriffs (z.B. Datum und Uhrzeit der Anfrage, Informationen über das Endgerät oder durchgeführte Aktion). Darüber hinaus nutzen wir die Funktionen von Auth0, um in regelmäßigen Abständen zu prüfen, ob Ihre Zugangsdaten Teil von veröffentlichten Sicherheitsverletzungen Dritter waren. Wir benachrichtigen Sie umgehend bei Verdachtsfällen oder, sofern Ihre Zugangsdaten Teil einer solchen Sicherheitsverletzung waren, um Sie bei der Änderung Ihrer Zugangsdaten zu unterstützen. In diesen Fällen verfügen wir über ein berechtigtes Interesse an der Verarbeitung der entsprechenden personenbezogenen Daten gem. Art. 6 Abs. 1 lit. f DSGVO.

Auth0 erhält zu keinem Zeitpunkt Zugriff auf weitere personenbezogenen Daten. Ihre Daten werden zu jedem Zeitpunkt verschlüsselt und ausschließlich innerhalb der Europäischen Union (EU) verarbeitet. In Einzelfällen kann eine vorübergehende Verarbeitung einzelner Daten in den USA jedoch nicht ausgeschlossen werden. Als zusätzliche Maßnahme haben wir entsprechende EU-Standardvertragsklauseln nach Maßgabe des Durchführungsbeschlusses (EU) 2021/914 der Kommission vom 4. Juni 2021 vereinbart. Diesen Durchführungsbeschluss (EU) 2021/914 einschließlich der verwendeten EU-Standardvertragsklauseln können Sie über den folgenden Link einsehen: https://eur-lex.europa.eu/legal-content/DE/TXT/?uri=CELEX%3A32021D0914.

3.3.3 Authentifizierungsmechanismen

Im Rahmen des Anmeldeverfahrens und zu Zwecken der Authentifizierung setzen wir die Futurae Technologies AG, Eichstrasse 23, 8045 Zürich, Schweiz („Futurae”) als Auftragsverarbeiter ein. Für die Aktivierung der Zwei-Faktor-Authentifizierung auf dem mobilen Gerät werden personenbezogene Daten, wie z.B. IP-Adresse, Gerätedaten, Browserinformationen sowie Ihre bei uns hinterlegte Telefonnummer von Futurae verarbeitet. Die Übermittlung der vorgenannten Daten in die Schweiz als Drittland erfolgt auf der Grundlage eines Angemessenheitsbeschlusses der Europäischen Kommission gem. Art. 45 DSGVO. Den betreffenden Angemessenheitsbeschluss können Sie unter folgendem Link abrufen: https://eur-lex.europa.eu/legal-content/DE/TXT/?uri=CELEX%3A32000D0518.

3.3.4 Consent Management Service

Auf unserer Webseite und in unseren Apps verwenden wir den Consent Management Service der Usercentrics GmbH, Sendlinger Straße 7, 80331 München, Deutschland („Usercentrics”), um Sie über Cookies, ähnliche Technologien und SDKs zu informieren, die von uns verwendet werden und um sicherzustellen, dass diese nur im Einklang mit geltendem Recht und falls erforderlich, nur mit Ihrer Einwilligung gesetzt bzw. aktiviert werden. Im Zusammenhang mit der Erfassung Ihrer Einwilligung verarbeiten wir Ihre IP-Adresse, Opt-in- und Opt-out-Daten, Referrer URL, User Agent, Benutzereinstellungen, Consent ID, Zeitpunkt der Einwilligung, Einwilligungstyp, Template-Version und Banner-Sprache. Ihre Einwilligung wird relativ zu einer Consent ID von Usercentrics gespeichert. Der Einsatz von Usercentrics ist notwendig, damit wir die gesetzlichen Anforderungen an das Setzen von Cookies und insbesondere die geltenden Anforderungen an die Dokumentation der Einwilligung erfüllen können. Die Verarbeitung der Daten erfolgt hierbei auf Grundlage von § 25 Abs. 2 Nr. 2 TDDDG i.V.m. Art. 6 Abs. 1 lit. c DSGVO.

Weitere Informationen zum Datenschutz beim Einsatz von Usercentrics finden Sie unter: https://usercentrics.com/de/datenschutzerklaerung/.

3.3.5 Komforteinstellungen (z.B. Spracheinstellungen)

Um Inhalte, wie z.B. Ihre Länder- und Spracheinstellungen, wunschgerecht anzeigen zu können, setzen wir sitzungsbasierte bzw. dauerhafte Cookies ein. Ihre Ländereinstellungen werden gelöscht, sobald Ihre Browsersitzung beendet ist. Ihre Spracheinstellungen werden für maximal ein Jahr gespeichert. Die Rechtsgrundlage für die Verarbeitung dieser Cookies ist § 25 Abs. 2 TDDDG i.V.m. Art. 6 Abs. 1 lit. f DSGVO.

3.3.6 Performance Monitoring

Wir setzen DataDog, Inc. 620 8th Avenue, 45th Floor, New York, NY 10018, USA („DataDog”) als Auftragsverarbeiter ein, um Informationen über die Performance unserer Webseite und über eventuell auftretende technische Störungen zu erheben. Zu diesem Zweck richtet DataDog einen Cookie für die Browsersitzung ein und erhebt Geolocation-, Geräte-, und Betriebssystemdaten der Nutzerin oder des Nutzers der Webseite und mobilen Anwendungen. Wir verarbeiten die vorstehenden Daten nach Maßgabe des § 25 Abs. 2 TDDDG i.V.m. Art. 6 Abs. 1 lit. f DSGVO, um die Sicherheit unserer Plattform für die Erbringung unserer Dienstleistungen zu gewährleisten und um ein mögliches Schadensrisiko zu minimieren. Ihre personenbezogenen Daten werden nach 15 Tagen gelöscht. Zu Analysezwecken erheben und verarbeiten wir zusätzliche Nutzungsdaten auf Grundlage Ihrer Einwilligung gem. § 25 Abs. 1 TDDDG i.V.m. Art. 6 Abs. 1 lit. a DSGVO, die Sie uns im Zuge Ihres Besuches unserer Webseite oder Apps erteilt haben.
Es wurden entsprechende EU-Standardvertragsklauseln nach Maßgabe des Durchführungsbeschlusses (EU) 2021/914 der Kommission vom 4. Juni 2021 als angemessene Garantie zur Datenverarbeitung in nicht europäischen Ländern abgeschlossen. Diesen Durchführungsbeschluss (EU) 20217914 einschließlich der verwendeten EU-Standardvertragsklauseln können Sie über den folgenden Link einsehen: https://eur-lex.europa.eu/legal-content/DE/TXT/?uri=CELEX%3A32021D0914.

3.3.7 Überwachung der Cybersicherheit

Wir setzen DataDog zudem ein, um Informationen zu Zwecken der Erkennung von Cybersicherheitsvorfällen oder etwaigen Cybersicherheitsstörungen zu verarbeiten, um auf diese reagieren zu können. Zu diesem Zweck verarbeiten wir Anmeldedaten, einschließlich E-Mail-Adresse, IP-Adresse, Geräteinformationen und Geolokalisierungsdaten, die aus der IP-Adresse der Nutzenden abgeleitet werden, wenn diese auf unsere Apps zugreift. Wir verarbeiten die vorgenannten Daten auf der Grundlage unseres berechtigten Interesses an der Gewährleistung und Aufrechterhaltung der IT-Sicherheit gem. Art. 6 Abs. 1 lit. f i.V.m. Art. 32 DSGVO. Ihre personenbezogenen Daten werden nach 15 Tagen gelöscht, sofern sie nicht für forensische Analysen und Untersuchungen benötigt werden.

3.3.8 Friendly Captcha (Bot/ Spam-Schutz)

Wir verwenden den Dienst „Friendly Captcha“ der Friendly Captcha GmbH, Am Anger 3-5, 82237 Wörthsee, um die Nutzung unserer Webseite und Apps durch automatisierte Programme und Skripte (sogenannte „Bots“) zu verhindern. Zu diesem Zweck wurde ein Programmcode von Friendly Captcha integriert, der dem jeweiligen Endgerät des Besuchers eine Rechenaufgabe stellt. Abhängig vom Ergebnis der Rechenaufgabe wird die entsprechende Anfrage, z.B. im Rahmen des Account-Logins oder der Newsletter-Anmeldung, bearbeitet oder abgelehnt. Durch Friendly Captcha werden keine Cookies auf dem Endgerät des Besuchers gesetzt oder ausgelesen. Erhobene IP-Adressen werden in gehashter (einwegverschlüsselter) Form verarbeitet.
Die Verarbeitung dieser Daten erfolgt gem. § 25 Abs. 2 TDDDG i.V.m. Art. 6 Abs. 1 lit. f DSGVO zur Gewährleistung der Sicherheit und Zuverlässigkeit der Webseite und Apps sowie um diese vor missbräuchlichen Zugriffen durch Bots zu schützen, d.h. Spamschutz und Angriffe (z.B. durch Massenanfragen). Sofern personenbezogene Daten gespeichert werden, werden diese Daten innerhalb von 30 Tagen gelöscht.
Weitere Informationen zum Datenschutz beim Einsatz von Friendly Captcha finden Sie unter: https://friendlycaptcha.com/legal/privacy-end-users/.

3.3.9 Benachrichtigungen/ Mitteilungen

Wir verwenden Push Notifications, um Sie z.B. über die erfolgreiche Ausführung von Wertpapieraufträgen, über das Erreichen von Preisalarmen oder den Erhalt Ihrer Einzahlung zu informieren. Zu diesem Zweck wird ein Device-Token von Apple oder eine Registration-ID von Google zugeteilt. Es handelt sich hierbei um verschlüsselte, anonymisierte Geräte-IDs. Der Zweck der Verwendung ist allein die Erbringung der Push-Services. Hierfür nutzen wir den „Simple Notification Service” von AWS sowie zusätzlich den Firebase Cloud Messaging Service von Google Ireland Limited, Gordon House, Barrow Street, Dublin 4, Irland für Geräte mit Android Betriebssystem. Die Verarbeitung dieser Daten erfolgt gem. § 25 Abs. 2 TDDDG i.V.m. Art. 6 Abs. 1 lit. f DSGVO, um Ihnen informative Push Notifications auf Ihrem Endgerät ausspielen zu können. Sie können diese Funktion in Ihren Geräteeinstellungen jederzeit aktivieren und deaktivieren.

3.3.10 Phrase over the Air

Mittels „Phrase over the Air” können wir Hinweis- und Informationstexte in unseren Apps automatisiert und in Echtzeit aktualisieren. Die Aktualisierungen werden an die Apps übertragen, ohne dass ein Update auf eine neue App-Version notwendig ist. In diesem Zusammenhang verarbeiten wir Geräte-Identifikationsdaten sowie die Version der installierten App. Die Verarbeitung dieser Daten erfolgt gem. § 25 Abs. 2 TDDDG i.V.m. Art. 6 Abs. 1 lit. f DSGVO, um Ihnen die Korrektheit und Aktualität der Informations- und Hinweistexte in Haftungsausschlüssen, FAQs oder Informationsboxen zu gewährleisten.

3.3.11 Google Firebase Crashlytics

Wir setzen „Google Firebase Crashlytics” ein, um die Stabilität der Apps zu gewährleisten und um Verbesserungen vorzunehmen. Dabei werden Informationen über das verwendete Gerät und die Nutzung unseren Apps wie z.B. User-ID, Modell des Geräts, Version des Betriebssystems, App Version, Zeitstempel der Meldung erhoben und verarbeitet. Hierbei werden sogenannte „Crash Reports“ generiert, die Informationen über Probleme und Crashes erhalten. Die Verarbeitung dieser Daten erfolgt gem. § 25 Abs. 2 TDDDG i.V.m. Art. 6 Abs. 1 lit. f DSGVO, um Ihnen funktionsfähige Apps bereitzustellen und um Stabilitätsprobleme zu beheben.

3.3.12 Google Firebase Remote Config

Der Service „Google Firebase Remote Config” ermöglicht uns, neue Features in unseren Apps freizuschalten und Inhalte zu konfigurieren, ohne dass die Apps erneut aus den jeweiligen App-Stores heruntergeladen werden müssen. In diesem Zusammenhang verarbeiten wir die Geräte-Identifikationsdaten, wie z.B. Version und Art des Betriebssystems oder das Gerätemodell. Die Verarbeitung dieser Daten erfolgt gem. § 25 Abs. 2 TDDDG i.V.m. Art. 6 Abs. 1 lit. f DSGVO, um einen stabilen und sicheren Betrieb unserer Apps zu gewährleisten.

3.3.13 Google Tag Manager

Wir setzen „Google Tag Manager” als Tag-Management-Plattform ein, die es uns ermöglicht, Tracking-Dienste und benutzerdefinierte Tracking-Tags auf Grundlage der erteilten Einwilligung zu verwalten und auszulösen. Die Verarbeitung dieser Daten erfolgt gem. § 25 Abs. 2 TDDDG i.V.m. Art. 6 Abs. 1 lit. f DSGVO.

3.3.14 Google Firebase Performance Monitoring

Wir setzen den Service „Google Firebase Performance Monitoring” ein, um Performance-Daten in unseren Apps zu sammeln und diese dann zu überprüfen sowie zu analysieren. Der Service unterstützt uns dabei, in Echtzeit nachvollziehen zu können, in welchen Fällen die Leistung unserer Apps verbessert werden kann. Die Erhebung und Verarbeitung dieser Daten erfolgt ausschließlich auf Grundlage Ihrer Einwilligung gem. § 25 Abs. 1 TDDDG i.V.m. Art. 6 Abs. 1 lit. a DSGVO, die Sie uns im Zuge Ihres Besuches unserer Webseite oder Apps erteilt haben.

3.3.15 Google Analytics

Wir verwenden „Google Analytics”, um die Nutzung unserer Webseite und Apps zu analysieren. Zu diesem Zweck werden im Browser Cookies gesetzt bzw. in unseren Apps der Service „Google Analytics for Firebase” verwendet, um Informationen über die Nutzung und Interaktionen mit unserer Webseite und Apps zu erheben, auszuwerten und um Berichte über die entsprechenden Aktivitäten zusammenzustellen. Wir verwenden diese Daten u.a. dazu, um nutzerorientierte Verbesserungen vorzunehmen. Die Datenverarbeitung basiert hierbei auf einer pseudonymen Identifikationsnummer. Zudem werden die folgenden Metadaten von IP-Adressen abgeleitet: Stadt einschließlich des abgeleiteten Breiten- und Längengrads der Stadt, Kontinent, Land, Region und Subkontinent. Bei aus der Europäischen Union (EU) stammenden Zugriffen werden IP-Adressdaten nur zur Ableitung von Standortdaten verwendet und danach sofort gelöscht. Sie werden nicht protokolliert, sind nicht zugänglich und werden auch nicht für weitere Anwendungsfälle genutzt. Die Erhebung und Verarbeitung dieser Daten erfolgt ausschließlich auf Grundlage Ihrer Einwilligung gem. § 25 Abs. 1 TDDDG i.V.m. Art. 6 Abs. 1 lit. a DSGVO, die Sie uns im Zuge Ihres Besuches unserer Webseite oder Apps erteilt haben.

3.3.16 Google Ads

AdsUm die Wirksamkeit unserer mittels „Google Ads” geschalteten Werbeanzeigen zu überprüfen, setzen wir das sogenannte Conversion-Tracking auf unserer Webseite ein. Wenn Sie auf eine von Google geschaltete Anzeige klicken, wird auf Ihrem Gerät ein Cookie für das Conversion-Tracking gesetzt. Diese Conversion-Cookies verlieren nach 30 Tagen ihre Gültigkeit und lassen keinen direkten Rückschluss auf eine individuelle Person zu. Solange das Cookie gültig ist, können wir nachvollziehen, ob eine Person auf eine über Google Ads geschaltete Anzeige geklickt hat, um auf unsere Webseite zu gelangen. Mittels der Conversion-Cookies können wir die Wirksamkeit unserer Werbemaßnahmen messen. Die Erhebung und Verarbeitung dieser Daten erfolgt ausschließlich auf Grundlage Ihrer Einwilligung gem. § 25 Abs. 1 TDDDG i.V.m. Art. 6 Abs. 1 lit. a DSGVO, die Sie uns im Zuge Ihres Besuches unserer Webseite oder Apps erteilt haben.

3.3.17 Google Maps

Der Einsatz von „Google Maps” erlaubt es uns, die Nutzenden bei Eingabe von Adressinformationen Vorschläge und Funktionen zum automatischen Ausfüllen des Formulars bereitzustellen und damit die Benutzerfreundlichkeit im Anmeldeprozess und bei Änderung persönlicher Informationen zu verbessern. Durch die Nutzung von Google Maps werden Ihre Standortdaten und IP Adresse an Google weitergeleitet.Die Erhebung und Verarbeitung dieser Daten erfolgt ausschließlich auf Grundlage Ihrer Einwilligung gem. § 25 Abs. 1 TDDDG i.V.m. Art. 6 Abs. 1 lit. a DSGVO, die Sie uns im Zuge Ihres Besuches unserer Webseite oder Apps erteilt haben.

3.3.18 Google Firebase A/B Testing

Der Service „Google Firebase A/B Testing” ermöglicht es uns, Änderungen an der Benutzeroberfläche unserer Apps, an Funktionen oder an Engagement-Kampagnen zu testen, bevor wir Änderungen vollständig zur Verfügung stellen. Die Erhebung und Verarbeitung dieser Daten erfolgt ausschließlich auf Grundlage Ihrer Einwilligung gem. § 25 Abs. 1 TDDDG i.V.m. Art. 6 Abs. 1 lit. a DSGVO, die Sie uns im Zuge Ihres Besuches unserer Webseite oder Apps erteilt haben.

3.3.19 YouTube

Auf unserer Webseite haben wir Videos über den Dienst „YouTube”, der von Google bereitgestellt wird, eingebunden. Nach dem Anklicken eines Videos werden Geräteinformationen, IP-Adresse sowie die Information, dass Sie sich das Video angesehen haben, an YouTube übermittelt. Sind Sie bei YouTube eingeloggt, wird diese Information auch Ihrem Benutzerkonto bei YouTube zugeordnet. Die Erhebung und Verarbeitung dieser Daten erfolgt ausschließlich auf Grundlage Ihrer Einwilligung gem. § 25 Abs. 1 TDDDG i.V.m. Art. 6 Abs. 1 lit. a DSGVO, die Sie uns im Zuge Ihres Besuches unserer Webseite oder Apps erteilt haben.
Näheres zur Verarbeitung Ihrer personenbezogenen Daten durch YouTube können Sie den Datenschutzinformationen von YouTube unter https://policies.google.com/privacy entnehmen. Eine allgemeine Widerspruchsmöglichkeit zur Verarbeitung Ihrer Daten durch Google finden Sie hier: https://tools.google.com/dlpage/gaoptout?hl=de.

3.3.20 Affiliate Partner (financeAds und Netslave)

Wir kooperieren mit der financeAds GmbH & Co. KG, Karlstraße 9, 90403 Nürnberg, der financeAds International GmbH, Hardenbergstr. 32, 10623 Berlin (beide einheitlich nachfolgend als „financeAds" bezeichnet) und der NetSlave GmbH, Simon-Dach-Str. 12, 10245 Berlin („NetSlave”), um durch Werbepartner neue Kundinnen und Kunden zu erreichen. FinanceAds und NetSlave sind Affiliate-Netzwerke, die es kommerziellen Betreibern von Webseiten ermöglichen, Werbung, die meist über Klick- oder Abschluss-Vergütung entlohnt wird, auf Webseiten Dritter (sogenannte „Affiliates”) einzublenden. Über das Affiliate-Netzwerk wird ein Werbemittel, wie z.B. ein Werbebanner oder ein Textlink, zur Verfügung gestellt, das von einem Affiliate auf eigenen Internetseiten eingebunden werden kann. Um die Effektivität der Werbemittel zu messen sowie um die Vergütung der Affiliates abzuwickeln, setzen wir das „Scalable Capital - Marketing” Cookie auf unseren Webseiten ein. Damit erheben wir, zu welchem Zeitpunkt von einem Endgerät ein bestimmtes Werbemittel angeklickt wurde, und verarbeiten zusätzliche Geräteinformationen. Darüber hinaus wird eine individuelle, für Affiliate-Partner jedoch nicht auf einzelne Nutzende beziehbare Ziffernfolge hinterlegt, mit der das Partnerprogramm eines Affiliates, der Publisher, der Zeitpunkt der Aktion der Nutzenden („Click” oder „View”) dokumentiert werden. Die Erhebung und Verarbeitung dieser Daten erfolgt ausschließlich auf Grundlage Ihrer Einwilligung gem. § 25 Abs. 1 TDDDG i.V.m. Art. 6 Abs. 1 lit. a DSGVO, die Sie uns im Zuge Ihres Besuches unserer Webseite oder Apps erteilt haben.

Weitere Informationen zum Datenschutz bei financeAds finden Sie unter: https://www.financeads.net/aboutus/datenschutz/ sowie bei NetSlave unter: https://www.netslave.de/datenschutz-2019.html.

3.3.21 Scalable Analytics und Custom Event Tracking

Innerhalb unserer Apps erheben wir sogenannte Event-Daten, um Interaktionen der Nutzenden mit unseren Apps und Angeboten analysieren zu können. Zu den Event-Daten zählen z.B. Klicks auf bestimmte Schaltflächen, Formularübermittlungen und/oder Scroll-Ereignisse. Die erhobenen Daten verarbeiten wir zu internen Analysezwecken. Diese können auch an Dritte, wie z.B. Google, weitergeleitet und dort verarbeitet werden. Wir verwenden diese Daten auch als Grundlage für Verbesserungen unserer Benutzeroberflächen, Dienste und Services sowie zur Optimierung unserer Marketingaktivitäten, interner Prozesse sowie im Rahmen des Risikomanagements, wie z.B. zur Betrugsprävention. Die Verarbeitung kann die Erstellung von Nutzerprofilen beinhalten. Die Erhebung und Verarbeitung dieser Daten erfolgt ausschließlich auf Grundlage Ihrer Einwilligung gem. § 25 Abs. 1 TDDDG i.V.m. Art. 6 Abs. 1 lit. a DSGVO, die Sie uns im Zuge Ihres Besuches unserer Webseite oder Apps erteilt haben.

3.3.22 Meta

Wir verwenden die Dienste „Meta Pixel” und „Meta Conversion API” der Meta Platforms Ireland Limited, 4 Grand Canal Square, Grand Canal Harbour, Dublin 2, Irland („Meta“) um unsere Marketingkampagnen zielgerichtet bei Meta und innerhalb der Dienste der mit Meta kooperierenden Partner (sogenanntes „Audience Network”, siehe: https://www.facebook.com/audiencenetwork/) zu platzieren. So können wir Marketingkampagnen an Personen richten, die bereits unsere Webseiten und Apps besucht haben oder bestimmte Merkmale aufweisen, wie z.B. Interesse an bestimmten Themen oder Produkten. Darüber hinaus können wir die Wirksamkeit unserer Marketingkampagnen ermitteln, indem wir bestimmte Aktionen (sogenannte “Events”) erfassen, die auf der Webseite oder innerhalb der App stattfinden. Hierzu zählen zum Beispiel die Registrierung, der Abschluss des Identifizierungsverfahrens, der Abschluss eines Kundenvertrags sowie die erste Transaktion (sogenannte „Conversions”). Die Erhebung und Verarbeitung dieser Daten erfolgt ausschließlich auf Grundlage Ihrer Einwilligung gem. § 25 Abs. 1 TDDDG i.V.m. Art. 6 Abs. 1 lit. a DSGVO, die Sie uns im Zuge Ihres Besuches unserer Webseite oder Apps erteilt haben.

Die Erhebung und Übermittlung von Event Daten (nicht jedoch die weitere Verarbeitung der Daten) erfolgt in gemeinsamer Verantwortung mit Meta. Hierfür wurde mit Meta eine spezielle Vereinbarung (abrufbar unter: https://www.facebook.com/legal/controller_addendum) geschlossen, in der u.a. die zu erfüllenden Sicherheitsmaßnahmen (abrufbar unter: https://www.facebook.com/legal/terms/data_security_terms) und die Verantwortung in der Übernahme der Erfüllung der Betroffenenrechte (d.h. Nutzende können z.B. Auskunftsersuchen oder Löschanfragen direkt an Meta richten) geregelt sind.
Die gemeinsame Verarbeitung erfolgt zu folgenden Zwecken:

  • Anzeige von Inhalten Werbeinformationen, die den mutmaßlichen Interessen der Nutzenden entsprechen;
  • Zustellung kommerzieller und transaktionsbezogener Nachrichten (z.B. Ansprache von Nutzenden via Facebook-Messenger);
  • Verbesserung der Anzeigenauslieferung und Personalisierung von Funktionen und Inhalten (z.B. Verbesserung der Erkennung, welche Inhalte oder Werbeinformationen mutmaßlich den Interessen der Nutzenden entsprechen).
Weitere Informationen können Sie unter https://www.facebook.com/legal/controller_addendum einsehen.

Sofern uns Meta Analysen und Berichte in aggregierter Form und ohne Angaben zu einzelnen Nutzenden bereitstellt, dann erfolgt diese Verarbeitung auf Grundlage unseres Auftragsverarbeitungsvertrags mit Meta. Weiterführende Informationen zu vereinbarten Datenverarbeitungen können Sie unter: https://www.facebook.com/legal/terms/dataprocessing sowie unter: https://www.facebook.com/legal/terms/data_security_terms einsehen.

3.3.23 LinkedIn Insight Tag

Wir setzen den „LinkedIn Insight Tag” der LinkedIn Corporation, 2029 Stierlin Court, Mountain View, CA 94043, USA der Plattform „LinkedIn” ein. Über den LinkedIn Insight Tag erhalten wir aggregierte und anonymisierte Auswertungen unserer Werbekampagnen auf LinkedIn und zusätzlich aggregierte und anonymisierte Informationen, wie Nutzende mit unseren Webseiten und Apps interagieren. Die Informationen nutzen wir, um die Effizienz unserer Marketingkampagnen nachvollziehen zu können, diese zu bewerten und entsprechende Inhalte in unseren Werbeanzeigen auf LinkedIn zu präsentieren. Mittels des LinkedIn Insight Tags werden Daten über die Besuche von Nutzenden auf unserer Webseite, einschließlich URL, Referrer, IP-Adresse, Geräte- und Browsereigenschaften, Zeitstempel und Seitenaufrufe erfasst. Die Erhebung und Verarbeitung dieser Daten erfolgt ausschließlich auf Grundlage Ihrer Einwilligung gem. § 25 Abs. 1 TDDDG i.V.m. Art. 6 Abs. 1 lit. a DSGVO, die Sie uns im Zuge Ihres Besuches unserer Webseite oder Apps erteilt haben.

Sie können der Erfassung der durch das Cookie erzeugten Daten und deren Verarbeitung durch LinkedIn unter folgenden Link widersprechen: https://www.linkedin.com/psettings/guest-controls/retargeting-opt-out.

Weitere Informationen können Sie der Datenschutzerklärung von LinkedIn entnehmen: https://www.linkedin.com/legal/privacy-policy.

3.3.24 Microsoft Advertising Remarketing

Auf unserer Webseite setzen wir „Microsoft Advertising Remarketing” von Microsoft Corporation, One Microsoft Way, Redmond, WA 98052-6399, USA („Microsoft“) ein. Sofern Sie über eine Microsoft Anzeige auf unsere Webseite gelangt sind, wird von Microsoft ein sogenannter „Conversion Cookie” auf dem Endgerät gesetzt, mit dem wir nachvollziehen können, dass eine Microsoft-Anzeige angeklickt wurde, die die Nutzenden auf unsere Webseite weitergeleitet hat, nachdem vorher eine bestimmte Zielseite („Conversion Site“) aufgerufen wurde. Microsoft erhebt, verarbeitet und verwendet über das Cookie Informationen, anhand derer unter Verwendung von Pseudonymen, Nutzungsprofile erstellt werden. Diese Nutzungsprofile dienen der Analyse des Besucherverhaltens und werden zur Ausspielung von Werbeanzeigen verwendet. Die Erhebung und Verarbeitung dieser Daten erfolgt ausschließlich auf Grundlage Ihrer Einwilligung gem. § 25 Abs. 1 TDDDG i.V.m. Art. 6 Abs. 1 lit. a DSGVO, die Sie uns im Zuge Ihres Besuches unserer Webseite oder Apps erteilt haben.
Nähere Informationen zum Datenschutz bei Microsoft finden Sie in den Datenschutzbestimmungen von Microsoft unter: https://privacy.microsoft.com/de-de/privacystatement.

3.3.25 TikTok

Wir setzen Tracking-Technologien der TikTok Technology Limited, 10 Earlsfort Terrace, Dublin D02 T380 Irland ein, um gezielte und personalisierte Werbung auf der Plattform „TikTok” anzuzeigen und um interessenbasierte Nutzerprofile zu erstellen. Wir verwenden die Daten, um die Wirksamkeit der Anzeigen zu messen sowie um die Leistung unserer Marketingkampagnen auf TikTok zu optimieren. Ferner messen wir Conversions von TikTok-Werbeanzeigen, um Werbeanzeigen zu optimieren, Zielgruppen für zukünftige Werbeanzeigen zu erstellen und Nutzende, die bereits ein Event auf unserer Webseite durchgeführt haben, erneut zu erreichen. Wir verarbeiten diese Daten vor allem, um sicherzustellen, dass der Inhalt unserer Werbeanzeigen für unsere Nutzenden relevant ist. Die Erhebung und Verarbeitung dieser Daten erfolgt ausschließlich auf Grundlage Ihrer Einwilligung gem. § 25 Abs. 1 TDDDG i.V.m. Art. 6 Abs. 1 lit. a DSGVO, die Sie uns im Zuge Ihres Besuches unserer Webseite oder Apps erteilt haben.

3.3.26 Reddit Advertising

Wir verwenden Tracking Technologien der Reddit Netherlands B.V., Euro Business Center, Keizersgracht 62, 1015CS, Amsterdam, Niederlande, um gezielte und personalisierte Werbung auf der Plattform „Reddit” anzuzeigen und um interessenbasierte Nutzerprofile zu erstellen. Ferner nutzen wir die Daten, um zukünftige Kampagnen und Werbeanzeigen auf der Plattform “Reddit” zu verbessern sowie um Event basierte Conversions von Werbeanzeigen von Reddit zu messen, um Anzeigen noch besser auf unsere Zielgruppen ausrichten zu können. Die Erhebung und Verarbeitung dieser Daten erfolgt ausschließlich auf Grundlage Ihrer Einwilligung gem. § 25 Abs. 1 TDDDG i.V.m. Art. 6 Abs. 1 lit. a DSGVO, die Sie uns im Zuge Ihres Besuches unserer Webseite oder Apps erteilt haben.

3.3.27 Adjust

Um den Erfolg unserer App-Marketing-Kampagnen messen zu können, zur eigenen Marktforschung sowie zur Optimierung unserer Apps setzen wir die Analysetechnologie „Adjust” der adjust GmbH, Saarbrücker Str. 37A, 10405 Berlin, Deutschland ein. Adjust verarbeitet Daten zur Interaktion mit unseren Werbemitteln, Installierungs- und Event-Daten (z.B. Start des Onboardings, Bestätigung der Onboarding E-Mail, Abschluss des Vertrags) im Rahmen der Nutzung unserer Apps und stellt diese als pseudonymisierte Auswertungen zur Verfügung. Hierzu werden die folgenden Daten von Ihnen verarbeitet: IT-Nutzungsdaten (z.B. Zeitstempel der Events, zugeordneter Klick Zeitstempel oder IP-Adresse), Geräteinformationen (z.B. Ihre IDFA oder Android ID, Version und Typ des Betriebssystems, Modellnummer und Ländercode des Endgeräts oder Internetdienstanbieter) sowie die Meta Anzeigen ID, Kampagnen ID und die Anzeigen Set ID. Die erfassten Informationen dienen der Durchführung und Optimierung unserer App-Werbekampagnen und werden zusätzlich an entsprechende Anbieter bzw. Werbepartner (z.B. Meta, TikTok oder Google) weitergeleitet. Die Erhebung und Verarbeitung dieser Daten erfolgt ausschließlich auf Grundlage Ihrer Einwilligung gem. § 25 Abs. 1 TDDDG i.V.m. Art. 6 Abs. 1 lit. a DSGVO, die Sie uns im Zuge Ihres Besuches unserer Webseite oder Apps erteilt haben.
Sie können der Erhebung, Auswertung und Nutzung Ihrer Daten auch direkt bei Adjust unter https://www.adjust.com/opt-out/ widersprechen.

4. Erbringung unserer Dienstleistungen

4.1 Registrierung / Erstellung Kundenprofil

Um unsere Dienstleistungen in Anspruch zu nehmen, müssen Sie sich zunächst registrieren, ein Kundenprofil anlegen und ein Verrechnungskonto und Depot eröffnen. Hierfür erheben wir Ihre privaten Kontakt- und Identifikationsdaten (z.B. Titel, Vor- und Nachname, Adresse, E-Mail-Adresse, Telefonnummer, Geburtsdatum, Geburtsort und Geburtsland sowie Staatsangehörigkeit), Steuerdaten (z.B. Steuernummer, steuerliche Ansässigkeit) sowie Referenzkontodaten (z.B. IBAN). Im Rahmen des Registrierungsprozesses legen Sie zudem ein Passwort für Ihren persönlichen Zugang zum Kundenbereich fest. Zusätzlich erheben wir – je nach den von Ihnen in Anspruch genommenen Dienstleistungen – Informationen über Ihre Kenntnisse und Erfahrungen in Bezug auf Geschäfte mit bestimmten Arten von Finanzinstrumenten oder Wertpapierdienstleistungen, Informationen über Ihre Anlageziele, einschließlich Ihrer Risikotoleranz und über Ihre finanziellen Verhältnisse, einschließlich Ihrer Fähigkeit, Verluste zu tragen. Wir verarbeiten diese Daten, um Ihnen eine geeignete Anlagestrategie empfehlen zu können oder um die Angemessenheit bestimmter Finanzinstrumente bewerten zu können. Ihre im Zuge des Registrierungsprozesses getätigten Eingaben speichern wir für maximal sechs Monate, um Ihnen die Wiederaufnahme Ihrer Registrierung zu ermöglichen. Die vorgenannte Verarbeitung erfolgt zur Erfüllung unserer gesetzlichen und vertraglichen Verpflichtungen gem. Art. 6 Abs. 1 lit. b und c DSGVO.
Sofern Sie für die Nutzung unserer Dienstleistungen ein Depot nicht bei uns, sondern bei der Baader Bank AG, Weihenstephaner Str. 4, 85716 Unterschleißheim eröffnet haben, verarbeitet diese Ihre Daten in eigener Verantwortung. Informationen zum Datenschutz bei der Baader Bank AG finden Sie unter https://www.baaderbank.de/Sonderseiten-426.

4.2 Identifizierungsverfahren

Im Rahmen der geldwäscherechtlichen Sorgfaltspflichten sind wir verpflichtet, bei der Begründung der Geschäftsbeziehung eine Identifizierung unserer Kundinnen und Kunden durchzuführen. Zu diesem Zweck verarbeiten wir die von Ihnen im Rahmen Ihrer Registrierung angegebenen privaten Kontakt- und Identifikationsdaten (z.B. Ihren Namen, Nationalität, Geburtsdatum und -ort, Adresse, E-Mail-Adresse und Telefonnummer). Die Identifizierung erfolgt mittels eines gültigen Ausweisdokuments. Ferner sind wir verpflichtet, die erforderlichen Angaben, eine Kopie des Ausweisdokuments sowie eine visuelle und akustische Aufzeichnung des erfolgten Identifizierungsverfahrens zu speichern. Die Rechtsgrundlage für die Verarbeitung ist Art. 6 Abs. 1 lit. b und c DSGVO, da wir zu einer Identifizierung nach dem Geldwäschegesetz verpflichtet sind und dies zur Durchführung des Vertrags erforderlich ist.

Zum Zweck der Identifizierung setzen wir die Deutsche Post AG, Charles-de-Gaulle-Straße 20, 53113 Bonn als Auftragsverarbeiter ein. Hierbei nutzen wir das POSTIDENT Verfahren, das neben der Identifizierung durch die Online-Ausweisfunktion („eID”) auch eine Identifizierung durch Videochat oder in einer Postfiliale ermöglicht. Nach Abschluss des Vorgangs übermittelt uns die Deutsche Post AG Ihre Identifizierungsdaten, eine Kopie des Ausweisdokuments sowie eine visuelle und akustische Aufzeichnung des erfolgten Identifikationsverfahrens, die ausschließlich zum Zweck der Erfüllung der gesetzlichen geldwäscherechtlichen Pflichten verarbeitet werden. Weitere Informationen zu der Datenverarbeitungen im Rahmen des POSTIDENT Verfahrens durch die Deutsche Post AG finden Sie hier: https://www.deutschepost.de/de/p/postident/postident-datenschutzhinweise.html.

Für Kundinnen und Kunden mit Wohnsitz in Spanien, Italien, in den Niederlanden und Frankreich erfolgt die Durchführung des Identifikationsverfahrens in der Regel durch Fourthline B.V., Tesselschadestraat 12, 1054 ET, Amsterdam, Niederlande („Fourthline”). Zur Einhaltung der aufsichtsrechtlichen Anforderungen ist es notwendig, die Allgemeinen Geschäftsbedingungen von Fourthline zu akzeptieren, die außer der Überprüfung Ihrer Identität keine weiteren Verpflichtungen für Sie beinhalten. Sobald Sie das Identifikationsverfahren abgeschlossen haben, übermittelt Fourthline die Ergebnisse der Identifikation an uns. Wir verarbeiten diese Daten zum Zweck der Einhaltung gesetzlicher und vertraglicher Anforderungen. Hinweise zum Datenschutz bei Fourthline finden Sie unter: https://fourthline.com/privacy-statement.

Wir behalten uns vor, Ihre persönlichen Kontakt- und Identifikationsdaten (wie z.B. Ihren Vor- und Nachnamen, Ihre Adresse sowie Ihr Geburtsdatum) an unseren Auftragsverarbeiter Fourthline in regelmäßigen Abständen zum Abgleich mit Sanktionslisten sowie zur Überprüfung, ob es sich bei unseren Kundinnen und Kunden um sogenannte politisch exponierte Personen („PEP”) handelt, weiterzuleiten. Wir verarbeiten diese Daten zum Zweck der Einhaltung gesetzlicher und regulatorischer Verpflichtungen gem. Art. 6 Abs. 1 lit. c DSGVO.

Wenn Sie sich für eine Identifizierung via Videochat entscheiden, ist der jeweilige Anbieter dazu verpflichtet, die Authentizität Ihres Ausweisdokuments (z.B. Personalausweis oder Reisepass) sicherzustellen. Zu Beginn einer solchen Video-Identifizierung wird Ihre ausdrückliche Einwilligung gem. Art. 6 Abs. 1 lit. a DSGVO über die Aufnahme der Fotos und die Aufzeichnung des Gesprächs eingeholt. Sie können Ihre Einwilligung Verarbeitung jederzeit widerrufen, indem Sie den Prozess der Video-Identifizierung abbrechen und eine alternative Methode zur Identifizierung nutzen.

4.3 Handel mit Wertpapieren und anderen Finanzinstrumenten, Vermögensverwaltung

Zur Erbringung unserer Dienstleistungen, insbesondere zur Abwicklung von Handelsaufträgen, verarbeiten wir Ihre personenbezogenen Daten und übermitteln diese gegebenenfalls an Dritte, wie z.B. Depotbanken, andere Institute oder vergleichbare Institutionen. Die Rechtsgrundlage für die Verarbeitung ist Art. 6 Abs. 1 lit. b und c DSGVO, da diese zur Erfüllung unserer vertraglichen und gesetzlichen Pflichten erforderlich ist.

4.4 Kreditangebot („Credit”)

Im Rahmen der Beantragung eines Wertpapierkredits als Teil unseres Kreditangebots sowie zur Festlegung des Kreditrahmens führen wir eine Kreditwürdigkeitsprüfung durch. Zu diesem Zweck verwenden wir ein internes Scoring und leiten Ihre Daten auch an Auskunfteien weiter. Weitere Informationen zum Scoring finden Sie im Abschnitt Automatisierte Entscheidungsfindung und zu Auskunfteien im Abschnitt Empfänger oder Kategorien von Empfängern von personenbezogenen Daten. Die Rechtsgrundlage für die Verarbeitungen ist Art. 6 Abs. 1 lit. b und f DSGVO, da diese zur Erfüllung unserer vertraglichen Pflichten sowie aufgrund unseres berechtigten Interesses die Bonitäts- bzw. Ausfallrisiken zu ermitteln, erforderlich sind.

4.5 Treuhandsammelkonto

Für die Zwecke der treuhänderischen Verwahrung von Kundengeldern kooperieren wir mit Treuhandbanken. Sie können auf Ihren Kontoauszügen überprüfen, bei welcher Treuhandbank Ihre Kundengelder verwahrt werden.
Zur Verwahrung von Kundengeldern übermitteln wir Ihre personenbezogenen Daten sowie Informationen über die Höhe von Guthaben bei der jeweiligen Treuhandbank. Wir übermitteln diese Daten an die jeweilige Treuhandbank zum Zwecke der Erfüllung der vertraglichen Pflichten gemäß Art. 6 Abs. 1 lit. b DSGVO, insbesondere zwecks Deckung von Guthaben durch die anwendbare Einlagensicherung. Die Treuhandbanken verarbeiten die Daten in eigener Verantwortung.

4.6 Erstellung von Steuerinformationen

Wir verarbeiten Ihre Finanztranskationsdaten und Steuerdaten (z.B. Ihre persönliche Steueridentifikationsnummer und steuerliche Ansässigkeit), um die Kapitalertragssteuer zu berechnen sowie um Ihnen relevante steuerbezogene Informationen zur Verfügung zu stellen. Für Kundinnen und Kunden mit einem Wohnsitz außerhalb Deutschlands wird die Steueraufstellung von der KPMG AG, Badenerstrasse 172, CH-8036 Zürich, Schweiz („KPMG") erstellt. Zu diesem Zweck übermitteln wir interne Identifikationsnummern und Finanztransaktionsdaten (z.B. Wertpapiernummer, Auftragsart und Ausführungszeitpunkt) an KPMG. Die Übermittlung der vorgenannten Daten in die Schweiz als Drittland erfolgt auf der Grundlage eines Angemessenheitsbeschlusses der Europäischen Kommission gem. Art. 45 DSGVO. Weitere Informationen finden Sie hier: https://eur-lex.europa.eu/legal-content/DE/TXT/?uri=CELEX%3A32000D0518.
Bitte beachten Sie, dass KPMG Ihre Daten in eigener Verantwortung bearbeitet. Weitere Informationen finden Sie in den Datenschutzhinweisen von KPMG unter: https://home.kpmg/ch/de/home/misc/privacy.html.

Als Rechtsgrundlage für die Verarbeitung der vorgenannten Daten dient Art. 6 Abs. 1 lit. b und c DSGVO, da diese zur Erfüllung vertraglicher und gesetzlicher Verpflichtungen erforderlich ist.

4.7 Risikomanagement, Prävention, Aufdeckung und Untersuchung von Straftaten

Die im Rahmen der Vertragsanbahnung erhobenen bzw. im Rahmen des Vertragsverhältnisses verarbeiteten personenbezogenen Daten verarbeiten wir zum Zweck der Betrugs- und Geldwäscheprävention sowie zum Zweck des Risikomanagements, um die uns potenziell entstehenden finanziellen Risiken zu identifizieren und zu bewerten. Im Laufe unserer Geschäftsbeziehung können wir zusätzliche Dokumente und Informationen über die Herkunft der Vermögenswerte, wie z.B. Einkommensnachweise, Steuererklärungen oder Kontoauszüge anderer Institute, von Ihnen anfordern. Bei akuten Verdachtsfällen erheben wir ggf. weitere Informationen aus öffentlich zugänglichen Quellen und berücksichtigen diese in der Entscheidungsfindung zur Sperrung oder Freigabe von verdächtigen Transaktionen.

Die Verarbeitung erfolgt jeweils aufgrund unseres berechtigten Interesses, Schäden von uns, Ihnen oder Dritten abzuwenden sowie die Bewertung und Steuerung von Risiken gem. Art. 6 Abs. 1 lit. f DSGVO, sowie zur Erfüllung der damit korrespondierenden gesetzlichen Verpflichtungen gem. Art. 6 Abs. 1 lit. c DSGVO. Diese Maßnahmen dienen zugleich auch Ihrem Schutz vor möglicherweise unberechtigten Verfügungen durch Dritte.

4.8 Erstellung von Statistiken und Auswertungen

Wir verarbeiten personenbezogene Daten, die wir im Rahmen der Vertragsanbahnung oder Vertragsbeziehung mit Ihnen erheben, sowie Nutzungsdaten unserer Produkte und Dienstleistungen aufgrund unseres berechtigten Interesses nach Art. 6 Abs. 1 lit. f DSGVO, um Ihnen persönliche Analysen, Auswertungen und Statistiken (wie z.B. den Jahresrückblick) zur Verfügung zu stellen, sowie zum Zweck der Bestandskundenanalyse.

Wir verarbeiten diese Daten zusätzlich, um anonyme statistische Datensätze zu erstellen. Diese Verarbeitung erfolgt auf Grundlage unseres berechtigten Interesses gem. Art 6 Abs. 1 lit. f DSGVO, Prognosen und Berichte zu erstellen und unsere Leistung sowie die Produktqualität zu bewerten und zu optimieren. Bei diesen anonymisierten Datensätzen handelt es sich nicht um personenbezogene Daten.

4.9 Kommunikation im Rahmen der Nutzung unserer Produkte und Dienstleistungen

Um Sie über die im Zusammenhang mit Ihrer Nutzung unserer Produkte und Dienstleistungen stehenden Prozesse zu informieren, verwenden wir E-Mails, SMS, Briefe und Push-Benachrichtigungen sowie weitere Kommunikationswege innerhalb unserer Apps zur Erfüllung unserer vertraglichen Verpflichtungen gem. Art. 6 Abs. 1 lit. b DSGVO. Zu diesem Zweck setzen wir die folgenden Auftragsverarbeiter ein: die Salesforce.com Germany GmbH, Erika-Mann-Str. 31-37, 80636 München für den Versand von E-Mails und Push-Benachrichtigungen, die Sipgate GmbH, Gladbacher Straße 74, 40219 Düsseldorf für den Versand von SMS und die Deutsche Post AG, Charles-de-Gaulle-Straße 20 in 53113 Bonn sowie die Deutsche Post E-POST Solutions GmbH, Vorgebirgsstraße 49, 53119 Bonn für den Versand von Briefen.

4.10 Allgemeine Aufbewahrungsfristen

Ihre personenbezogenen Daten werden für die Dauer der Geschäftsbeziehung gespeichert und verarbeitet. Wir löschen oder anonymisieren Ihre Daten nach vollständiger Beendigung und Abwicklung der Geschäftsbeziehung mit Ihnen, frühestens jedoch nach Ablauf der gesetzlichen, aufsichtsrechtlichen und/oder in sonstiger erforderlich Aufbewahrungsfristen und, sofern die Daten nicht mehr für die Geltendmachung, Ausübung und/oder Verteidigung von Rechtsansprüchen erforderlich sind.

Als reguliertes Unternehmen unterliegen wir verschiedenen gesetzlichen Aufzeichnungs- und Aufbewahrungspflichten, die sich vor allem aus dem Kreditwesengesetz (KWG), dem Wertpapierhandelsgesetz (WpHG), dem Geldwäschegesetz (GwG), dem Handelsgesetzbuch (HGB) und der Abgabenordnung (AO) ergeben. Diese gesetzlichen Aufzeichnungs- und Aufbewahrungspflichten verlangen von uns – je nach anwendbarer Vorschrift – eine Speicherung von mindestens fünf (5) Jahren bis zu zehn (10) Jahren. Diese Pflichten finden auch auf Vorgänge Anwendung, die der Vorbereitung oder Anbahnung einer Geschäftsbeziehung bzw. eines Vertragsschlusses dienen. Die Verarbeitung und Aufbewahrung der Daten erfolgt zur Erfüllung gesetzlicher Aufbewahrungspflichten gem. Art. 6 Abs. 1 lit. c DSGVO.

Darüber hinaus sind auch die zivilrechtlichen Verjährungsfristen für die Dauer der Aufbewahrung relevant. Diese Verjährungsfristen können nach den Vorschriften im Bürgerlichen Gesetzbuch (BGB) bis zu 30 Jahre betragen, wobei die regelmäßige Verjährungsfrist drei Jahre beträgt. Die jeweilige Rechtsgrundlage hierfür ist Art. 6 Abs. 1 lit. f DSGVO, da wir ein berechtigtes Interesse an der Erhaltung von Beweismitteln zur Sicherung eigener rechtlicher Ansprüche haben.

5. Vermögensverwaltung (ING, Oskar und Gerd Kommer Capital)

5.1. Datenverarbeitung im Rahmen der Kooperation mit ING

Im Rahmen unserer Kooperation mit der ING-DiBa AG, Theodor-Heuss-Allee 2, 60486 Frankfurt am Main, Deutschland („ING”) agiert die ING als Depotbank, während Scalable Capital Ihr Portfolio verwaltet. Für die Nutzung dieser Dienstleistungen ist es notwendig, ein Depot mit einem Verrechnungskonto bei der ING als mit uns kooperierende Depotbank zu eröffnen. Die Erhebung und Verarbeitung personenbezogener Daten zu Zwecken der Erfüllung der vertraglichen, gesetzlichen und regulatorischen Anforderungen erfolgt durch ING in eigener Verantwortung.
Wir verarbeiten Ihre personenbezogenen Daten, wie z.B. private Kontakt- und Identifikationsdaten, um die Depotverwaltung vorzunehmen, wie z.B. den Kauf und Verkauf von Wertpapieren anzuweisen, Ihnen regelmäßig Übersichten und Berichte bereitzustellen sowie, um Ihnen Ihrem Risikoprofil entsprechende Anlagestrategien vorzuschlagen. Die Verarbeitung erfolgt zur Erfüllung unserer vertraglichen und gesetzlichen Pflichten gem. Art. 6 Abs. 1 lit. b und c DSGVO.

Weitere Informationen zum Datenschutz bei der ING finden Sie unter: https://www.ing.de/datenschutz/.

5.2. Datenverarbeitung im Rahmen der Vermögensverwaltung „Oskar”

„Oskar” ist eine Marke der Oskar.de GmbH, Gartenstraße 67, 76135 Karlsruhe, unter der diese die Webseiten und Apps in eigener Verantwortung betreiben. Scalable Capital verwaltet Ihr Vermögen, während die Baader Bank AG, Weihenstephaner Str. 4, 85716 Unterschleißheim, die Depots mit den Verrechnungskonten führt. Für die Nutzung dieser Dienstleistungen ist es notwendig, ein Depot mit einem Verrechnungskonto bei der Baader Bank AG als mit uns kooperierende Depotbank zu eröffnen. Die Baader Bank AG verarbeitet Ihre Daten in eigener Verantwortung. Informationen zum Datenschutz bei der Baader Bank finden Sie unter: https://www.baaderbank.de/Sonderseiten-426.
Im Rahmen des Registrierungsprozesses erhebt Oskar Ihre privaten Kontakt- und Identifikationsdaten (z.B. Titel, Vor- und Nachname, Adresse, E-Mail-Adresse, Telefonnummer, Geburtsdatum, -ort und -land sowie Staatsangehörigkeit), Ihre Steuerdaten (z.B. Steuernummer oder steuerliche Ansässigkeit), die IBAN Ihres Referenzkontos, Ihre Angaben zu Ihren wirtschaftlichen Verhältnissen und sofern erforderlich, private Kontakt- und Identifikationsdaten Dritter, wie z.B. Kinder oder Enkel des Depotinhabers (z.B. Geburtsurkunden Minderjähriger oder Urkunden über Sorgeberechtigung) und leitet diese an uns weiter. Für die schriftliche Kommunikation nutzen wir die Service-Adresse service@oskar.de. Dieses E-Mail-Postfach wird uns von der Oskar.de GmbH im Rahmen unseres Auftragsverarbeiterverhältnisses zur Verfügung gestellt.

Wir verarbeiten Ihre Daten zum Zweck der Vertragserfüllung gem. Art. 6 Abs. 1 lit. b DSGVO, um Ihnen unsere Dienstleistung anzubieten, sowie zur Erfüllung unserer gesetzlichen Verpflichtungen gem. Art. 6 Abs. 1 lit. c DSGVO. Weitere Hinweise zum Datenschutz bei der Oskar.de GmbH finden Sie unter: https://www.oskar.de/datenschutz/. Bitte beachten Sie, dass die Vermögensverwaltung „Oskar” nur für Kundinnen und Kunden mit Wohnsitz in Deutschland angeboten wird.

5.3. Datenverarbeitung im Rahmen der Vermögensverwaltung „Gerd Kommer Capital”

Gerd Kommer Capital („GKC”) ist eine Marke unter der Scalable Capital eine Finanz­portfolio­verwaltung anbietet. Scalable Capital verwaltet Ihr Vermögen, während die Baader Bank AG, Weihenstephaner Str. 4, 85716 Unterschleißheim die Depots mit den Verrechnungskonten führt. Für die Nutzung dieser Dienstleistungen ist es notwendig, ein Depot sowie Verrechnungskonto bei der Baader Bank AG als mit uns kooperierende Depotbank zu eröffnen. Die Baader Bank AG verarbeitet Ihre Daten in eigener Verantwortung. Informationen zum Datenschutz bei der Baader Bank AG finden Sie unter: https://www.baaderbank.de/Sonderseiten-426.
Bei der Zusammenstellung und Verwaltung der Portfolios werden wir von der Gerd Kommer Invest GmbH, Sendlinger Straße 41, 80331 München beraten. Zu diesem Zweck tauschen wir Daten mit der Gerd Kommer Invest GmbH aus. Für die schriftliche Kommunikation verwenden wir die Service-Adresse service@gerd-kommer-capital.de. Dieses E-Mail-Postfach wird uns von der Gerd Kommer Invest GmbH im Rahmen unseres Auftragsverarbeiterverhältnisses zur Verfügung gestellt. Wir verarbeiten Ihre Daten zum Zweck der Vertragserfüllung gem. Art. 6 Abs. 1 lit. b DSGVO, um Ihnen unsere Dienstleistung anzubieten, sowie zur Erfüllung unserer gesetzlichen Verpflichtungen gem. Art. 6 Abs. 1 lit. c DSGVO.

Die für die Anmeldung sowie für den Login bei GKC verwendete Webseite https://www.app.gerd-kommer-capital.de wird technisch von uns bereitgestellt. Im Rahmen dieser Webseite setzen wir Marketing- und Statistik-Cookies ein. Sie haben die Möglichkeit, in die Nutzung der Cookies mittels des Consent Management Tools individuell einzuwilligen. Bei Einwilligung werden diese Daten unter anderem auch an die Gerd Kommer Invest GmbH übermittelt. Auf der Webseite verwenden wir Dienste der Google Ireland Limited, Gordon House, Barrow Street, Dublin 4, Irland. Weitere Informationen finden Sie in diesem Dokument im Abschnitt 3.3 Einsatz von Cookies, Tracking Tools und Diensten Dritter auf unseren Webseiten und Apps.

Im Rahmen des Vertragsabschlusses können Sie in den Erhalt des Newsletters von Gerd Kommer gem. Art. 6 Abs. 1 lit. a DSGVO einwilligen. Im Zuge Ihrer Einwilligung übermitteln wir die hinterlegte E-Mail-Adresse an die Gerd Kommer Invest GmbH. Weitere Hinweise zum Datenschutz bei der Gerd Kommer Invest GmbH finden sie unter: https://gerd-kommer.de/regulatorisches/#datenschutz. Bitte beachten Sie, dass die Vermögensverwaltung „GKC” nur für Kundinnen und Kunden mit Wohnsitz in Deutschland angeboten wird.

6. Kundenservice und -support

6.1. Allgemeine Informationen zur Bearbeitung von Kundenanfragen

Sie können uns über unsere Service Hotline, per Post, unser Webformular, den Chat sowie per E-Mail kontaktieren und eine Anfrage an uns richten. In diesem Zusammenhang verarbeiten wir die von Ihnen gemachten Angaben und Daten einschließlich personenbezogener Daten, wie z.B. Vorname, Nachname, E-Mail Adresse und Telefonnummer sowie ggf. den Zeitpunkt Ihrer Anfrage und die Dauer Ihres Anrufs in einem Ticket, um mit Ihnen Kontakt aufzunehmen und Ihre Anfrage zu bearbeiten. Bei der Nutzung des Chats werden das Chatprotokoll, Ihre Nutzungsdaten (z.B. Start- und Endzeitpunkt Anfrage, Dauer der Interaktion, IP-Adresse), Geräte-Identifikationsdaten (z.B. Art des Betriebssystems oder Gerätemodell) sowie Event-Daten gespeichert und ggf. Ihrem Account zugeordnet. Um eine effiziente Beantwortung Ihrer Anfragen und um ein hohes Service-Level zu gewährleisten, können Benutzereingaben während der aktuellen Anfrage (sogenannte „Session”) im Rahmen des Live-Chats durch unsere Mitarbeiter eingesehen werden. Die Verarbeitung erfolgt zur Erfüllung unserer vertraglichen Pflichten oder im Rahmen der Vertragsanbahnung und -durchführung gem. Art. 6 Abs. 1 lit. b DSGVO. Ferner verarbeiten wir die Informationen gem. Art. 6 Abs. 1 lit. f DSGVO, um unseren Kundenservice und -support stetig zu verbessern.

6.2 Informationen über involvierte Auftragsverarbeiter

Bei der Bearbeitung Ihrer Anfragen unterstützen uns die Sipgate GmbH, Gladbacher Straße 74, 40219 Düsseldorf, die Aircall.io, Inc., 11 Rue Saint-Georges, 75009 Paris, Frankreich, Teleperformance A.E., 330 Thisseos Avenue, 17675 Kallithea, Griechenland, TELUS International Services Limited, Point Village, East Wall Road, Dublin 1, Irland, sowie die Salesforce.com Germany GmbH, Erika-Mann-Str. 31-37, 80636 München, Deutschland als Auftragsverarbeiter. Zusätzlich haben wir entsprechende EU-Standardvertragsklauseln nach Maßgabe des Durchführungsbeschlusses (EU) 2021/914 der Kommission vom 4. Juni 2021 mit Salesforce, Inc., Salesforce Tower, 415 Mission Street, 3rd Floor, San Francisco, CA 94105 mit Sitz in den USA vereinbart. Diesen Durchführungsbeschluss (EU) 2021/914 einschließlich der verwendeten EU-Standardvertragsklauseln können Sie über den folgenden Link einsehen: https://eur-lex.europa.eu/legal-content/DE/TXT/?uri=CELEX%3A32021D0914.

6.3 Aufzeichnungen von Telefongesprächen, Analyse von Kundeninteraktionen und Zufriedenheitsumfragen

Wenn Sie uns telefonisch kontaktieren oder an telefonischen Zufriedenheitsumfragen teilnehmen, fragen wir Sie vor Beginn des Gesprächs nach Ihrer Einwilligung gem. Art. 6 Abs. 1 lit. a DSGVO zur Aufzeichnung des Gesprächs zum Zweck der Qualitätssicherung und zur Ableitung und Umsetzung von Maßnahmen zur Verbesserung unseres Kundenerlebnisses sowie unserer Produkte und Dienstleistungen. Sie können Ihre Einwilligung zur Aufzeichnung des Gesprächs jederzeit widerrufen, indem Sie den Agenten während des Gesprächs darüber informieren oder Ihren Widerruf nach Beendigung des Gesprächs über die im Abschnitt „Ihre Ansprechpartner” genannten Kontaktmöglichkeiten an uns richten. Nur wenn Sie uns Ihre ausdrückliche Zustimmung zur Aufzeichnung eines oder mehrerer Gespräche gegeben haben, zeichnen wir Ihr Gespräch auf und verknüpfen die Aufzeichnung mit dem bestehenden Verlauf früherer Gespräche. Gesprächsaufzeichnungen und Kundeninteraktionen werden zur Qualitätssicherung der Leistung der Agenten, zur Untersuchung und Klärung von Beschwerdefällen, zur Ermittlung des Schulungsbedarfs und zur Einhaltung der Qualitätsstandards für den Kundenerfolg sowie zur Verbesserung unseres Kundensupports und unserer Produkte und Dienstleistungen verwendet. Wir löschen Ihre Daten innerhalb von 30 Tagen, sofern der Löschung keine anderen Aufbewahrungspflichten entgegenstehen. Sofern Sie uns Ihre Einwilligung erteilt haben, versenden wir im Anschluss an Ihren Kontakt mit unserem Kundenservice einen Fragebogen, um die Qualität unseres Services zu analysieren und um Maßnahmen zur Verbesserung abzuleiten (gem. Art. 6 Abs. 1 lit. a DSGVO).

7. Marketingkommunikation, Marketingaktionen und Kundenzufriedenheitsumfragen

7.1 Marketing-E-Mails

Um Ihnen personalisierte Marketinginhalte von uns und unseren Partnern zusenden zu dürfen sowie zur Durchführung von Kundenbefragungen zur Verbesserung unserer Produkte und Dienstleistungen, bitten wir Sie im Rahmen Ihrer Kontoeröffnung oder Anmeldung zum Newsletter um Ihre Einwilligung. In diesem Zuge analysieren wir Ihr Nutzerverhalten (z.B. letzte Transaktionen, Teilnahme an Veranstaltungen und Webinaren) und verwenden diese Informationen, um Ihnen relevante und Ihren persönlichen Interessen entsprechende personalisierte Informationen bereitzustellen. Darüber hinaus haben wir in unserem Newsletter Pixel implementiert, um Ihre Interaktion mit unserem Newsletter und unseren Inhalten besser nachvollziehen zu können. Die Verarbeitung erfolgt auf Grundlage Ihrer Einwilligung gem. Art. 6 Abs. 1 lit. a DSGVO. Ihre Einwilligung können Sie jederzeit mit Wirkung für die Zukunft widerrufen. Hierzu klicken Sie einfach auf „Abmelden" am Ende einer Marketing-E-Mail oder kontaktieren uns unter den zuvor genannten Kontaktmöglichkeiten. Durch den Widerruf der Einwilligung wird die Rechtmäßigkeit der aufgrund der Einwilligung bis zum Widerruf erfolgten Verarbeitung nicht berührt.
Um sicherzustellen, dass sich niemand mit einer E-Mail-Adresse eines Dritten anmelden kann, verwenden wir das so genannte Double-Opt-In-Verfahren. Hierbei erhalten Sie nach der Anmeldung eine E-Mail, in der Sie gebeten werden, Ihre Anmeldung zu bestätigen. Die Bestätigung der Anmeldung zum Newsletter wird protokolliert, um den Anmeldevorgang entsprechend den gesetzlichen Vorgaben nachweisen zu können. Zu diesem Zweck verarbeiten wir die IP-Adresse, Datum und Uhrzeit des Zugriffs gem. Art. 6 Abs. 1 lit. f DSGVO.
Als Versanddienstleister unserer E-Mails setzen wir Salesforce als Auftragsverarbeiter ein. Da eine Verarbeitung in den USA nicht ausgeschlossen werden kann, haben wir entsprechende EU-Standardvertragsklauseln nach Maßgabe des Durchführungsbeschlusses (EU) 2021/914 der Kommission vom 4. Juni 2021 mit Salesforce, Inc., Salesforce Tower, 415 Mission Street, 3rd Floor, San Francisco, CA 94105 mit Sitz in den USA vereinbart. Diesen Durchführungsbeschluss (EU) 2021/914 einschließlich der verwendeten EU-Standardvertragsklauseln können Sie über den folgenden Link einsehen: https://eur-lex.europa.eu/legal-content/DE/TXT/?uri=CELEX%3A32021D0914.

7.2 Marketing Push-Benachrichtigungen

Um Ihnen Marketing-Inhalte von uns und mit uns verbundenen Partnern entsprechend Ihren persönlichen Interessen über Push-Benachrichtigungen bereitstellen zu dürfen, bitten wir Sie bei der Eröffnung Ihres Kontos um Ihre Einwilligung gem. Art. 6 Abs. 1 lit. a DSGVO. Ihre Daten werden erst dann für den Versand von Push-Benachrichtigungen verarbeitet, wenn Sie den Registrierungsprozess abgeschlossen, sich in der App angemeldet und das „System Opt-In" für Push-Benachrichtigungen auf dem Gerät aktiviert haben. Ihre Einwilligung zum Erhalt von Marketing-Push-Benachrichtigungen wird gerätebezogen verwaltet, wobei die Zustimmung auf jedem Gerät einzeln festgelegt wird. Sie können in Ihren Geräteeinstellungen diese Funktion jederzeit aktivieren oder deaktivieren. Durch den Widerruf der Einwilligung wird die Rechtmäßigkeit der aufgrund der Einwilligung bis zum Widerruf erfolgten Verarbeitung nicht berührt. Ihre Einwilligung für den Erhalt von Marketing-Push-Benachrichtigungen wird protokolliert, um diese entsprechend nachweisen zu können. Zu diesem Zweck verarbeiten wir die Geräte-ID, Datum und Uhrzeit der Registrierung des Gerätes gem. Art. 6 Abs. 1 lit. f DSGVO. Im Rahmen der Push-Benachrichtigungen, setzen wir Salesforce als Auftragsverarbeiter ein. Da eine Verarbeitung in den USA nicht ausgeschlossen werden kann, haben wir entsprechende EU-Standardvertragsklauseln nach Maßgabe des Durchführungsbeschlusses (EU) 2021/914 der Kommission vom 4. Juni 2021 mit Salesforce, Inc., Salesforce Tower, 415 Mission Street, 3rd Floor, San Francisco, CA 94105 mit Sitz in den USA vereinbart. Diesen Durchführungsbeschluss (EU) 2021/914 einschließlich der verwendeten EU-Standardvertragsklauseln können Sie über den folgenden Link einsehen: https://eur-lex.europa.eu/legal-content/DE/TXT/?uri=CELEX%3A32021D0914.

7.3 Marketing-Aktionen

Sofern Sie an einer unserer Marketingaktion oder an einem Gewinnspiel teilnehmen (es gelten die jeweiligen Teilnahmebedingungen), verarbeiten wir Ihre personenbezogenen Daten, wie z.B. Vor- und Nachname, E-Mail-Adresse oder User-ID, zur Durchführung der Marketingaktion bzw. des Gewinnspiels, insbesondere zur Gewinnbenachrichtigung gem. Art. 6 Abs. 1 lit. b DSGVO. In Abhängigkeit von der jeweiligen Aktion oder des jeweiligen Gewinnspiels verarbeiten wir zusätzlich die in den Teilnahmebedingungen aufgeführten Daten.
Wir löschen personenbezogene Daten, sobald die Aktion oder das Gewinnspiel beendet ist und die Daten nicht länger für die Erfüllung der eingangs genannten Zwecke erforderlich sind und sofern keine anderweitige Rechtsgrundlage (z.B. handels- und steuerrechtliche Aufbewahrungsfristen) vorliegt.

7.4 Teilnahme an Beta-Testphasen

Um einzelne neue Funktionen testen zu können, haben Sie die Möglichkeit, sich mittels eines für die entsprechende Funktion bereitgestellten Anmeldeformulars für die Teilnahme an der Testphase anzumelden. Hierzu erheben wir Ihre E-Mail-Adresse auf Grundlage Ihrer Einwilligung gem. Art. 6 Abs. 1 lit. a DSGVO, um Sie für die Funktion freizuschalten und Sie im Falle von Rückfragen per E-Mail zu kontaktieren. Wir löschen Ihre Eingaben spätestens nach Abschluss der Beta-Test Testphase oder wenn Sie Ihre Einwilligung widerrufen haben. Durch den Widerruf der Einwilligung wird die Rechtmäßigkeit der aufgrund der Einwilligung bis zum Widerruf erfolgten Verarbeitung nicht berührt. Ihren Widerruf nehmen wir unter den genannten Kontaktmöglichkeiten entgegen.

7.5 Informationen an MedienvertreterInnen

Sie können sich in unserer Kontaktdatenbank für den Empfang aktueller Pressemitteilungen registrieren. Hierzu teilen Sie uns Ihre E-Mail-Adresse, die Medienanstalt, für die Sie tätig sind, und Ihren Vor- und Nachnamen per E-Mail an presse@scalable.capital mit. Wir verarbeiten Ihre Daten ausschließlich, um Sie über die aktuellen Entwicklungen unseres Unternehmens zu informieren sowie um Ihnen Pressemitteilungen an Ihre hinterlegte E-Mail zu übermitteln. Die Verarbeitung erfolgt auf Grundlage Ihrer Einwilligung gem. Art. 6 Abs. 1 lit. a DSGVO. Sie können Ihre Einwilligung jederzeit per E-Mail an presse@scalable.capital oder über die auf unserer Newsroom Webseite unter: https://de.scalable.capital/newsroom genannten Kontaktmöglichkeiten widerrufen. Durch den Widerruf der Einwilligung wird die Rechtmäßigkeit der aufgrund der Einwilligung bis zum Widerruf erfolgten Verarbeitung nicht berührt.

8. Social Media

Auf unserer Webseite setzen wir keine Social-Media-Plugins ein. Sofern unsere Webseite Symbole von Social-Media-Anbietern enthalten (z.B. Facebook, X (vormals Twitter), LinkedIn, Instagram oder Youtube), nutzen wir diese lediglich zur passiven Verlinkung auf die Seiten der jeweiligen Anbieter.
Weitere Informationen können Sie unseren Datenschutzhinweisen zu unseren Social Media Auftritten entnehmen.

9. Empfänger oder Kategorien von Empfängern personenbezogener Daten

Um Ihnen unsere Produkte und Dienstleistungen anbieten zu können, erhalten diejenigen internen Stellen Zugriff auf Ihre Daten, die diese zur Erfüllung unserer vertraglichen und gesetzlichen Pflichten benötigen. Zudem übermitteln wir bestimmte Daten auch an andere mit Scalable Capital verbundene Unternehmen, insbesondere die Scalable GmbH, Seitzstraße 8e, 80538 München, sowie die Scalable Operations GmbH, Seitzstraße 8e, 80538 München. Auch externe Dritte, wie z.B. Auftragsverarbeiter sowie eigenständig Verantwortliche, können zu diesen Zwecken Daten erhalten, soweit sie sich zur Einhaltung unserer schriftlichen datenschutzrechtlichen Weisungen verpflichten.

Soweit Dritte personenbezogene Daten in unserem Auftrag erhalten und verarbeiten, haben wir mit diesen einen Auftragsverarbeitungsvertrag geschlossen und angemessene Garantien zur Wahrung des Schutzes personenbezogener Daten vereinbart. Zu diesen Empfängern gehören Unternehmen und Dienstleister, an die wir Teilbereiche unserer Finanzdienstleistungen auslagern, wie z.B. IT-Dienstleistungen (z.B. IT-Sicherheit, Cloud-Dienstleister), Textanalysedienste (einschließlich künstlicher Intelligenz), Kundenservice Outsourcing Dienstleister, Druck- und Versanddienstleistungen.

Nach dem zwischen Ihnen und Scalable Capital vereinbarten Kundenvertrag sind wir zur Verschwiegenheit über alle kundenbezogenen Tatsachen und Wertungen verpflichtet, von denen Scalable Capital Kenntnis erlangt. Informationen über Sie dürfen wir nur weitergeben, wenn gesetzliche Bestimmungen dies erlauben oder gebieten, Ihre Einwilligung vorliegt oder wir zur Erteilung einer Auskunft befugt sind. Unter diesen Voraussetzungen können Empfänger personenbezogener Daten folgende sein:

  • Öffentliche Stellen: Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin), Deutsche Bundesbank, Europäische Zentralbank (EZB) sowie andere Aufsichtsbehörden, wie die nationalen Aufsichtsbehörden der EU-Mitgliedstaaten, in denen wir tätig sind, Steuerbehörden sowie Justizbehörden und andere Behörden. Die Übermittlung von Daten erfolgt zur Erfüllung unserer rechtlichen Pflichten, wie z.B. zur Bekämpfung von Terrorismus und zur Verhinderung von Geldwäsche sowie zur Durchsetzung von Ansprüchen oder der Rechtsverteidigung von Forderungen;
  • Finanzinstitute oder vergleichbare Einrichtungen: je nach Vertrag z.B. Depotbanken, Treuhandbanken, Börsen, Dienstleister für Risikoprüfungen oder Clearingstellen wie die Clearstream Banking AG zur Abwicklung in- und ausländischer Wertpapiertransaktionen;
  • Auskunfteien: Im Rahmen der gesamten Geschäftsverbindung (bestehend aus einzelnen Geschäftsbeziehungen) sowie insbesondere im Rahmen des Antrags auf Abschluss eines Kreditvertrags nach den Besonderen Vertragsbedingungen: Credit übermitteln wir erhobene personenbezogene Daten an die Creditreform Boniversum GmbH, Hammfelddamm 13, 41460 Neuss. Weitere Informationen zur Verarbeitung Ihrer Daten bei Creditreform Boniversum GmbH finden Sie unter: http://www.boniversum.de/eu-dsgvo;
  • Forschungsinstitute: Austausch von Daten, sofern es gesetzlich erlaubt ist, mit Partnern wie Universitäten und anderen unabhängigen Forschungseinrichtungen, die diese für ihre Forschung und Innovation nutzen. Die Daten werden auf aggregierter Ebene ausgetauscht und die Forschungsergebnisse sind anonym. Die Forschungsinstitute wählen wir sorgfältig aus und unterliegen strengen Anforderungen.

10. Übermittlung von personenbezogenen Daten an Drittländer

Wir übermitteln personenbezogene Daten an Empfänger in Drittländern nur, sofern ein angemessenes Datenschutzniveau mittels folgender Mechanismen hergestellt und aufrechterhalten werden kann:

  • Dem Drittland wurde ein angemessenes Schutzniveau durch die Europäische Kommission bestätigt. Eine Übersicht über die Drittländer mit Angemessenheitsbeschluss der Europäischen Kommission finden Sie unter: https://commission.europa.eu/law/law-topic/data-protection/international-dimension-data-protection/adequacy-decisions_en.
  • Es wurden entsprechende EU-Standardvertragsklauseln nach Maßgabe des Durchführungsbeschlusses (EU) 2021/914 der Kommission vom 4. Juni 2021 für die Übermittlung personenbezogener Daten als angemessene Garantie zur Datenverarbeitung in nichteuropäischen Ländern abgeschlossen. Diesen Durchführungsbeschluss (EU) 2021/914 einschließlich der verwendeten EU-Standardvertragsklauseln können Sie über den folgenden Link einsehen: https://eur-lex.europa.eu/legal-content/DE/TXT/?uri=CELEX%3A32021D0914.
  • Es bestehen genehmigte verbindliche interne Datenschutzvorschriften („Binding Corporate Rules”).
  • Ihre Einwilligung zur Datenübermittlung wurde erteilt.

Über Einzelheiten werden wir Sie, sofern gesetzlich vorgegeben, gesondert informieren.

11. Automatisierte Entscheidungsfindung

In folgenden Fällen verarbeiten wir Ihre Daten teilweise automatisiert, um bestimmte persönliche Aspekte zu bewerten sowie um unsere gesetzlichen Verpflichtungen zu erfüllen. In den Fällen, in denen wir eine automatisierte Entscheidungsfindung gem. Art. 22 DSGVO einsetzen, informieren wir Sie gesondert darüber. Ferner haben Sie das Recht, eine persönliche Überprüfung der automatisierten Einzelentscheidung zu verlangen.

  • Wir verarbeiten Ihre Daten teilweise automatisiert zur Bekämpfung von Geldwäsche, Terrorismusfinanzierung und vermögensgefährdenden Straftaten aufgrund gesetzlicher und regulatorischer Vorgaben. Zu diesem Zweck werden auch Datenauswertungen u.a. von Transaktionsdaten vorgenommen. Diese Maßnahmen werden insbesondere zu Ihrem Schutz ergriffen.
  • Im Rahmen der Beurteilung Ihrer Kreditwürdigkeit setzen wir ein Scoring ein, um die Wahrscheinlichkeit zu berechnen, mit der unsere Kundinnen und Kunden ihren Zahlungsverpflichtungen vertragsgemäß nachkommen werden. Die ermittelten Scorewerte unterstützen uns bei der Entscheidungsfindung im Rahmen des Angebots bestimmter Produkte, bestimmter Zahlungsmethoden und fließen zudem in das laufende Risikomanagement mit ein.

12. Ihre Rechte

Recht auf Auskunft: Sie haben gem. Art. 15 DSGVO die Möglichkeit, über die zu Ihrer Person gespeicherten Daten, ihre Herkunft, Empfänger oder Kategorien von Empfängern, an welche die Daten weitergegeben werden, sowie den Zweck der Speicherung Auskunft zu verlangen (Art. 15 DSGVO).

Recht auf Berichtigung: Sie haben ein Recht auf Berichtigung und/oder Vervollständigung gegenüber dem Verantwortlichen, sofern die verarbeiteten personenbezogenen Daten, die Sie betreffen, unrichtig oder unvollständig sind (Art. 16 DSGVO).

Recht auf Löschung: Sie können von uns verlangen, dass die Sie betreffenden personenbezogenen Daten unverzüglich gelöscht werden. Allerdings besteht kein Recht auf Löschung, sofern gesetzliche, aufsichtsrechtliche oder sonstige hoheitliche Aufbewahrungspflichten einer Löschung entgegenstehen oder die Aufbewahrung der Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen dient (Art. 17 DSGVO).

Recht auf Einschränkung der Verarbeitung: Sie können unter gewissen Voraussetzungen (bestrittene Richtigkeit, unrechtmäßige Verarbeitung, Wegfall des Verarbeitungszwecks oder Einlegung eines Widerspruchs) die Einschränkung der Verarbeitung der Sie betreffenden personenbezogenen Daten verlangen (Art. 18 DSGVO).

Recht auf Datenübertragung: Sie haben das Recht, die Sie betreffenden personenbezogenen Daten, die Sie uns bereitgestellt haben, in einem strukturierten, gängigen und maschinenlesbaren Format zu erhalten (Art. 20 DSGVO).

Recht auf Widerspruch: Sie haben das Recht, aus Gründen, die sich aus Ihrer besonderen Situation ergeben, jederzeit gegen die Verarbeitung der Sie betreffenden personenbezogenen Daten, die aufgrund von Art. 6 Abs. 1 lit. e oder lit. f DSGVO verarbeitet werden, Widerspruch einzulegen. Wir verarbeiten Ihre Daten dann nicht mehr, es sei denn, es gibt zwingende schutzwürdige Gründe für die Verarbeitung, die die Interessen, Rechte und Freiheiten der betroffenen Person überwiegen, oder die Verarbeitung dient der Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen (Art. 21 DSGVO).

Recht auf Beschwerde bei einer Aufsichtsbehörde: Sie haben gem. Art. 77 DSGVO das Recht, sich bei einer Aufsichtsbehörde zu beschweren, wenn Sie der Ansicht sind, dass die Verarbeitung der personenbezogenen Daten nicht rechtmäßig erfolgt. Die Anschrift der für unser Unternehmen zuständigen Aufsichtsbehörde lautet: Bayerisches Landesamt für Datenschutzaufsicht (BayLDA), Postfach 1349, 91504 Ansbach, Deutschland, Telefon: +49 (0) 981 180093-0, E-Mail: poststelle@lda.bayern.de

Version: 12/2024