Datenschutz

1. Für Datenverarbeitungen im Zusammenhang mit Ihrer Debit-/Bankomat®Karte oder Kreditkarte ist PSA Auftragsverarbeiter Ihrer Bank

PSA nimmt für österreichische Kreditinstitute die Rolle des zentralen Dienstleisters (Auftragsverarbeiters) ein, der die technischen Systeme zur Ausgabe der Karten, Bezahlmedien auf Mobiltelefonen (zB Bankomat®Karte mobil) bzw zur Verarbeitung von Transaktionen zur Verfügung stellt.

Sollten Sie Fragen zur Verarbeitung personenbezogener Daten im Zusammenhang mit Ihrer Debit-/Bankomat®Karte oder Kreditkarte haben – zB im Rahmen von Zahlungen mit Bankomat®Karten sowie bei Bargeldbehebungen – bitten wir Sie, sich an Ihre Bank zu wenden.
 

2. Wer ist für die Datenverarbeitung verantwortlich und an wen können Sie sich wenden?

Für die Verarbeitung Ihrer Daten verantwortlich ist die

PSA Payment Services Austria GmbH ("PSA")
Handelskai 92, Gate 2
1200 Wien

E-Mail: office@psa.at
https://www.psa.at/impressum

Für Fragen zum Datenschutz oder die Geltendmachung von Betroffenenrechten wenden Sie sich bitte an privacy@psa.at oder per Post an PSA Payment Services Austria GmbH, zH Datenschutz, Handelskai 92, Gate 2, 1200 Wien.

Unseren Datenschutzbeauftragten erreichen Sie unter der E-Mailadresse datenschutz@psa.at oder per Post unter PSA Payment Services Austria GmbH, Handelskai 92, Gate 2, 1200 Wien.
 

3. Welche Daten werden von PSA als Verantwortlicher zu welchem Zweck verarbeitet?

Es werden nur solche personenbezogenen Daten erhoben, die für die Durchführung und Abwicklung unserer Leistungen erforderlich sind oder die Sie uns freiwillig zur Verfügung gestellt haben. PSA verarbeitet als Verantwortlicher personenbezogene Daten von:

  1. Vertragspartnern sowie deren Mitarbeitern im Rahmen der Vertragsanbahnung und –abwicklung oder der Entwicklung und laufenden Weiterentwicklung von Zahlungslösungen zum Zweck der Erfüllung der jeweiligen vertraglichen Verpflichtungen;
    • verarbeitete Daten: "Name", "Kontaktdaten", "Kundendaten", "Bonitätsauskünfte und WiEREG-Auszüge"
    • Rechtsgrundlage: Erfüllung vertraglicher Pflichten (Art 6 Abs 1 lit b DSGVO), berechtigte Interessen (Art 6 Abs 1 lit f DSGVO), nämlich die Aufrechterhaltung ortsunabhängiger Kommunikation und die Pflege geschäftlicher Kontakte sowie das wirtschaftliche Fortkommen der PSA.
       
  2. Teilnehmern an von der PSA organisierten Veranstaltungen und damit verbundenen Aktivitäten zur Organisation dieser Veranstaltungen (Übermittlung personalisierter Einladungen und Korrespondenz mit den Teilnehmern);
    • verarbeitete Daten: "Name", "Kontaktdaten", "zugehöriges Unternehmen", "Fotos der Teilnehmer"
    • Rechtsgrundlage: berechtigte Interessen (Art 6 Abs 1 lit f DSGVO), nämlich das Informations- und Veranstaltungsmanagement sowie die interne und externe Kommunikation in diesen Belangen effizient zu gestalten; Einwilligung (Art 6 Abs 1 lit a DSGVO)
       
  3. im Rahmen der Videoüberwachung aufgenommenen Personen an von PSA als Verantwortlicher betriebenen Bankomaten® zur Sammlung von Beweisen bei Straftaten oder zum Nachweis von Verfügungen, wobei eine Auswertung der Videoüberwachung nur auf behördliche Anordnung im Anlassfall erfolgt;
    • verarbeitete Daten: "Rolle der Person", "Bilddaten", "Ort und Datum der Aufnahme"
    • Rechtsgrundlage: Erfüllung vertraglicher Pflichten (Art 6 Abs 1 lit b DSGVO), Erfüllung rechtlicher Verpflichtungen (Art 6 Abs 1 lit c DSGVO), berechtigte Interessen (Art 6 Abs 1 lit f DSGVO)], nämlich das Interesse an der Prävention von Diebstahl, Einbruchsdiebstahl, Missbrauch unbarer Zahlungsmittel, Sachbeschädigung und der Beweissicherung zur Durchsetzung von Rechtsansprüchen und Erstattung polizeilicher Anzeigen.
       
  4. Kartendaten im Rahmen gesetzlicher und aufsichtsrechtlicher Verpflichtungen zur Verhinderung von Geldwäsche und Terrorismusfinanzierung bzw. zur Betrugsprävention, für Meldungen an die österreichische Geldwäschemeldestelle des BKA in bestimmten Verdachtsfällen nach § 16 FM-GwG;
    • verarbeitete Daten: "Kartendaten", "Transaktionsdaten", "Gerätedaten"
    • Rechtsgrundlage: Erfüllung rechtlicher Verpflichtungen (Art 6 Abs 1 lit c DSGVO) und berechtigte Interessen (Art 6 Abs 1 lit f DSGVO), nämlich die Verhinderung von Geldwäsche und Terrorismusfinanzierung und Betrug.
       
  5. im Rahmen der Videoüberwachung in den Büroräumlichkeiten der PSA aufgenommenen Personen zum Schutz des Eigentums der PSA und der bei PSA gespeicherten Daten Dritter;
    • verarbeitete Daten: "Rolle der Person", "Bilddaten", "Ort und Datum der Aufnahme"
    • Rechtsgrundlage: berechtigte Interessen (Art 6 Abs 1 lit f DSGVO), nämlich den Eigentumsschutz und den Schutz der bei PSA gespeicherten Daten sowie Geltendmachung und Durchsetzung zivilrechtlicher Ansprüche.
       
  6. im Rahmen des Hinweisgebersystems personenbezogene Daten von möglichen Straftaten iSd HschG.

4. Daten, die direkt bei den Betroffenen erhoben werden.

  1. Personenbezogene Daten von Vertragspartnern sowie deren Mitarbeiter werden im Rahmen der Vertragsanbahnung und -abwicklung erhoben ("Name", "Kontaktdaten", "Kundendaten").
  2. Personenbezogene Daten von Veranstaltungsteilnehmern werden im Rahmen der Teilnahme an den von der PSA organisierten Veranstaltungen über Mitteilung durch das jeweilige Unternehmen (zB Kreditinstitut), bei dem die Person beschäftigt ist, erhoben ("Name", "Kontaktdaten", "zugehöriges Unternehmen", "Fotos der Teilnehmer").
  3. Personenbezogene Daten im Rahmen der Videoüberwachung an von PSA als Verantwortlicher betriebenen Bankomaten®, werden direkt am Bankomaten® erhoben ("Rolle der Person", "Bilddaten", "Ort und Datum der Aufnahme").
  4. Personenbezogene Daten im Rahmen der Erfüllung gesetzlicher und aufsichtsrechtlicher Verpflichtungen werden direkt am Bankomaten® oder am Gerät erhoben ("Kartendaten", "Transaktionsdaten", "Gerätedaten").
  5. Personenbezogene Daten im Rahmen der Videoüberwachung in den Büroräumlichkeiten werden direkt in den Büroräumlichkeiten der PSA erhoben ("Rolle der Person", "Bilddaten", "Ort und Datum der Aufnahme").
     

5. Daten, die nicht direkt bei der betroffenen Person erhoben werden

Personenbezogene Daten von Vertragspartnern werden auch bei Dritten erhoben ("Bonitätsauskünfte und WiEReG-Auszüge").

6. Auftragsverarbeiter

Auftragsverarbeiter

Von PSA beauftragte Auftragsverarbeiter verarbeiten Ihre Daten, sofern sie diese zur Erfüllung ihrer jeweiligen Leistung benötigen. PSA verpflichtet ihre Auftragsverarbeiter vertraglich dazu, die Vertraulichkeit und die Sicherheit der personenbezogenen Daten zu gewährleisten. Derzeit bedient sich PSA folgendem Auftragsverarbeiter:

  • Antares NetlogiX Netzwerkberatung GmbH
  • TogetherSecure GmbH

Zum Schutz Ihrer personenbezogenen Daten haben wir entsprechende technische und organisatorische Maßnahmen getroffen. Diese Maßnahmen umfassen insbesondere Vorkehrungen zum Schutz vor unbefugtem Zutritt, Zugang oder Zugriff auf Ihre personenbezogenen Daten, sowie Eingabe-, Auftragsverarbeiter- und Verfügbarkeitskontrollen.

MS Teams

PSA bietet die Möglichkeit an, über „Microsoft Teams“ zu kommunizieren. Dabei handelt es sich um ein Videokonferenz-Tool, bereitgestellt von der Microsoft Ireland Operations Limited, One Microsoft Place, South County Business Park, Leopardstown Dublin 18, Ireland (kurz: Microsoft Ireland).

Bei der Verwendung von „Microsoft Teams“ kann es zu einer Übermittlung personenbezogener Daten in die USA kommen. Microsoft Ireland hat mit den konzerneigenen Subauftragsverarbeitern, die ihren Sitz in Drittländern haben, Standarddatenschutzklauseln abgeschlossen, um den Vorgaben der Art 46 ff DSGVO zu entsprechen.

Nähere Informationen zur Datenverarbeitung im Zusammenhang mit der Verwendung von „Microsoft Teams“ und dem zwischen uns und Microsoft vereinbarten Data Protection Addendum sind abrufbar unter:

https://www.microsoft.com/licensing/docs/view/Microsoft-Products-and-Services-Data-Protection-Addendum-DPA

Die Verwendung von „Microsoft Teams“ ist keine Voraussetzung, um mit PSA zu kommunizieren. Als Alternative bietet PSA persönliche Besprechungen und Telefonkonferenzen an. Sofern über „Microsoft Teams“ kommuniziert wird, wird Microsoft Ireland zum Auftragsverarbeiter. Die Datenverarbeitung erfolgt daher auf Grundlage der Erfüllung vertraglicher Pflichten (Art 6 Abs 1 lit b DSGVO).

Empfänger

Aufgrund gesetzlicher Verpflichtungen, welche der Aufdeckung von Straftaten bzw. der Verhinderung von Geldwäsche und Terrorismusfinanzierung, Betrugsbekämpfung sowie Straftaten im Sinne des HschG dienen, gegebenenfalls werden Daten an folgende Empfänger ausgefolgt:

  • Strafverfolgungsbehörden/Gerichte
  • österreichische Geldwäschemeldestelle des BKA.
     

7. Klarstellung hinsichtlich Website-Analyse

PSA hat sich - um einen etwaigen Drittstaatentransfer personenbezogener Daten zu vermeiden - bewusst gegen den Einsatz von Google Analytics entschieden. Stattdessen setzt PSA auf eine Zusammenarbeit mit „Matomo“ und verhindert dabei die Verarbeitung personenbezogener Daten zur Gänze.

Bewerkstelligt wird dies dadurch, dass die letzten sechs Ziffern der IP-Adresse von Website-Besuchern nicht erfasst werden und somit kein Rückschluss auf die dahinterstehende Person möglich ist. Die Analysedaten ermöglichen lediglich Rückschlüsse dahingehend, von wo einzelne Website-Zugriffe erfolgt sind (aus welchem Bundesland).

8. Wie lange werden personenbezogene Daten gespeichert?

  • iZm Vertragsabwicklung: 7 Jahre
  • iZm Veranstaltungen: 7 Jahre
  • iZm Videoüberwachung an Bankomaten: 90 Tage
  • iZm gesetzlichen Pflichten nach dem FM-GwG: 10 Jahre
  • iZm Videoüberwachung in den Büroräumlichkeiten: 72 Stunden
  • iZm Hinweisgebersystems: fünf Jahre und darüber hinaus, jedenfalls solange die Durchführung bereits eingeleiteter verwaltungsbehördlicher oder gerichtlicher Verfahren oder eines Ermittlungsverfahrens nach der StPO erforderlich ist. Protokolldaten von tatsächlich durchgeführten Verarbeitungsvorgängen, wie insbesondere Änderungen, Abfragen und Übermittlungen dieser Verarbeitungsvorgänge sind von der verantwortlichen Person ab ihrer letztmaligen Verarbeitung oder Übermittlung bis drei Jahre nach Entfall der Aufbewahrungspflicht zu speichern.

9. Welche Rechte stehen mir als Betroffener zu?

Wir möchten nochmals darauf hinweisen, dass Rechte und Fragen im Zusammenhang mit der Verarbeitung personenbezogener Daten Ihrer Debit-/Bankomat®Karte oder Kreditkarte primär an Ihre Bank als Ihren Vertragspartner und Verantwortlicher für die Datenverarbeitung zu richten sind.

Sie haben jederzeit ein Recht auf Auskunft, Berichtigung, Löschung oder Einschränkung der Verarbeitung Ihrer gespeicherten Daten, ein Widerspruchsrecht (sofern die Datenverarbeitung auf Grundlage eines öffentlichen Interesses oder zur Wahrung des berechtigten Interesses erfolgt) gegen die Verarbeitung sowie ein Recht auf Datenübertragbarkeit nach den Voraussetzungen des Datenschutzrechts.

Hierfür können Sie sich per E-Mail an privacy@psa.at oder per Post an PSA Payment Services Austria GmbH, zH Datenschutz, Handelskai 92, Gate 2, 1200 Wien wenden.

Sollte es, trotz unserer Verpflichtung Ihre Daten rechtmäßig zu verarbeiten, wider Erwarten zu einer Verletzung Ihres Rechtes auf rechtmäßige Verarbeitung Ihrer Daten kommen, setzen Sie sich bitte mit uns postalisch oder per E-Mail unter den vorgenannten Kontaktdaten in Verbindung, damit wir über Ihre Bedenken erfahren und diese behandeln können.

Sie haben aber auch das Recht, eine Beschwerde bei der Österreichischen Datenschutzbehörde (Barichgasse 40-42, 1030 Wien) oder bei einer anderen Datenschutz-Aufsichtsbehörde in der Europäischen Union, insbesondere an Ihrem Aufenthaltsort oder an Ihrem Arbeitsort, zu erheben.
 

10. Bin ich zur Bereitstellung von Daten verpflichtet?

Sie sind gesetzlich nicht verpflichtet, uns Ihre Daten bereitzustellen. So Sie uns Ihre Daten nicht zur Verfügung stellen, können wir jedoch allenfalls unsere Leistungen für Sie nicht erbringen.

Sofern die Datenverarbeitung auf Ihrer Einwilligung beruht, können Sie diese jederzeit mit Wirkung für die Zukunft widerrufen. Für einen Widerruf können Sie sich an die E-Mailadresse (E-Mailadresse privacy@psa.at) oder per Post an PSA Payment Services Austria GmbH, zH Datenschutz, Handelskai 92, Gate 2, 1200 Wien wenden. Allenfalls können wir jedoch ohne Ihre Einwilligung unsere jeweilige Leistung nicht für Sie erbringen.
 

11. Informationen zu automatisierter Entscheidungsfindung einschließlich Profiling

PSA verarbeitet keine personenbezogenen Daten in automatisierten Entscheidungsverfahren. Ein Profiling findet nicht statt. 
 

12. Aktualisierung Datenschutzinformation

Aufgrund der rasanten Entwicklung der Technologie, der Gesetzgebung und der Rechtsprechung, kann es notwendig sein, gelegentlich Änderungen an dieser Datenschutzinformation vorzunehmen. Bitte lesen Sie daher immer die jeweils aktuelle Version auf unserer Webseite.

Compliance

1. Verhaltenskodex

Der Verhaltenskodex der PSA steckt den ethisch-rechtlichen Rahmen ab, innerhalb dessen die PSA und ihre Mitarbeiter:innen handeln und erfolgreich sein wollen. Er enthält die grundlegenden Prinzipien und Regeln für das Verhalten innerhalb des Unternehmens und in Beziehung zu externen Partnern und der Öffentlichkeit.

Sie legen dar, wie wir unsere ethisch-rechtliche Verantwortung als Unternehmen wahrnehmen und sind Ausdruck der Unternehmenswerte:

  • Professionell
  • Sicher
  • Glaubwürdig
  • Innovativ
  • Respekt

Der Verhaltenskodex passt sich neuen oder geänderten gesetzlichen Rahmenbedingungen an. Er soll das Bewusstsein für Recht und Moral als integralen Bestandteil des unternehmerischen Handelns stärken.
 

2. Whistleblowing

Über das anonyme Hinweisgebersystem („Whistleblower-Plattform“) können Sie anonym Meldungen von folgenden Rechtsverstößen abgeben (vgl dazu § 3 HSchG, § 40 FM-GwG):

  • Finanzdienstleistungen, Finanzprodukte und Finanzmärkte sowie Verhinderung von Geldwäsche und Terrorismusfinanzierung
  • Betriebsinterne Verstöße gegen das Finanzmarkt-Geldwäschegesetz (FM-GwG)
  • Umweltschutz
  • Verbraucherschutz
  • Schutz der Privatsphäre und personenbezogener Daten sowie Sicherheit von Netz- und Informationssystemen
  • Unionsvorschriften über Wettbewerb und staatliche Beihilfen („Kartell-, Wettbewerbs- und Beihilfenrecht“)
  • Verhinderung und Ahndung von Straftaten nach §§ 302 bis 309 StGB („Korruption“)
  • Produktsicherheit und Produktkonformität
  • öffentliches Auftragswesen
  • Verkehrssicherheit
  • Strahlenschutz und kerntechnische Sicherheit
  • Lebensmittel- und Futtermittelsicherheit, Tiergesundheit und Tierschutz
  • öffentliche Gesundheit
  • Rechtsverletzungen zum Nachteil der finanziellen Interessen der Union
  • Verletzung von Binnenmarktvorschriften und von Körperschaftssteuervorschriften

Meldungen haben konkrete Angaben über den inkriminierten Sachverhalt zu enthalten und sollten der Wahrheit entsprechenden. Sollten Sie nicht sicher sein, ob der von Ihnen eingemeldete Sachverhalt der Wahrheit entspricht, bitten wir Sie, diesen als Vermutung zu kennzeichnen.

Anonyme Hinweisgeber haben Anspruch auf Schutz (§ 6 HSchG). Jeder Hinweis wird auf Stichhaltigkeit überprüft, außer der Hinweis fällt nicht in den Geltungsbereich des Gesetzes oder der Hinweis enthält keine Anhaltspunkte für Stichhaltigkeit. Offenkundig falsche Meldungen werden seitens PSA zurückgewiesen sowie rechtlich verfolgt.

Wenn Sie eine diesbezügliche Meldung abgeben möchten, gelangen Sie über den folgenden Link zum geschützten Meldekanal der PSA:
https://psa.hitguard.at/cmwb

Die diesbezügliche Datenschutzerklärung finden Sie unter Datenschutz - insbesondere unter den Punkten 3.6., 6. und 8.