Datenschutz

Nachfolgend informieren wir Sie über die Tätigkeit der PSA Payment Services Austria GmbH ("PSA") und wie wir im Rahmen unserer Tätigkeit personenbezogene Daten verarbeiten.

1. Wer ist für die Datenverarbeitung verantwortlich und an wen können Sie sich wenden?

PSA wird grundsätzlich als Dienstleister für Ihre Bank tätig und führt für den österreichischen Finanzmarkt zwei wesentliche Funktionen durch:

  • den Betrieb eines ATM-Acquiring Systems ("Bankomat®system"), an das der Großteil aller Geldausgabeautomaten in Österreich angeschlossen ist und
  • den technischen Issuing Support für die Ausgabe von Debitkarten ("Bankomat®karten") durch die österreichischen Banken.

PSA nimmt dabei die Rolle des zentralen Dienstleisters für die österreichischen Banken ein, der die technischen Systeme zur Ausgabe der Karten, Bezahlmedien auf Mobiltelefonen (Bankomat®karte mobil) bzw zur Verarbeitung von Transaktionen zur Verfügung stellt.

Sollten Sie Fragen zur Verarbeitung personenbezogener Daten im Zusammenhang mit Ihrer Bankomat®karte haben, bitten wir Sie Ihre Bank zu kontaktieren.

PSA verarbeitet personenbezogene Daten als Dienstleister der österreichischen Banken im Rahmen des Issuing Supports für die Bankomat®karten sowie bei Bargeld-Behebungen an Geldausgabeautomaten im sogenannten PSA-ATM-Netzwerk. Darüber hinaus verarbeitet PSA personenbezogene Daten ihrer Arbeitnehmer und Geschäftspartner.

Für Fragen können Sie sich an den Datenschutzbeauftragten Herrn Mag. (FH) Roland Maly, MA (E-Mailadresse privacy(at)psa.at) oder per Post an PSA Payment Services Austria GmbH, zH Datenschutz, Rennweg 46-50, 1030 Wien wenden.

2. Welche Daten werden verarbeitet und aus welchen Quellen stammen diese Daten?

PSA verarbeitet jene personenbezogenen Daten im Auftrag Ihrer Bank, die wir im Rahmen der Geschäftsbeziehung zu Ihrer Bank erhalten haben. Bei Transaktionen mit einer Zahlungskarte (zB Bankomat®karte oder Kreditkarte) an Bankomaten® der PSA werden die personenbezogenen Daten direkt am Bankomaten® erhoben. ("Kartendaten")

Personenbezogene Daten im Rahmen eines Arbeitsverhältnisses werden direkt beim Mitarbeiter in der Phase unmittelbar vor und nach einem Dienstvertragsabschluss erhoben ("Personaldaten").

Daten von Geschäftspartner und deren Mitarbeiter werden im Rahmen der Vertragsanbahnung und -abwicklung erhoben.

Zu den personenbezogenen Kartendaten zählen bei Transaktionen an einem Bankomaten® (zB die Kartennummer - PAN), Transaktionsdaten (zB Betrag, Datum und Uhrzeit, Währung, Gerätenummer, etc.).

Ferner können Auftragsdaten (zB Zahlungsaufträge), Daten aus der Erfüllung der vertraglichen Verpflichtung ihrer Bank (zB Umsatzdaten im Zahlungsverkehr), Informationen über Ihren Finanzstatus (zB Kontostandsabfrage), Dokumentationsdaten (zB Zustimmung zu AGB), Registrierungsdaten, Legitimationsdaten (zB Geburtsdatum), Bild- und Tondaten (zB Video- oder Telefonaufzeichnungen), Informationen aus Ihrem elektronischen Verkehr gegenüber der Bank (zB Apps, Cookies), Daten aus der Nutzung diverser Funktionen in Ihrer von der Bank zur Verfügung gestellten Wallet (mobile Geldbörse), Bargeldbehebungen, Bezahlungen oder Cashback an sogenannten Point of Sale (POS) Terminals bei Händlern, von Online-Zahlungen, der Sperre Ihrer Zahlungskarte, Verarbeitungsergebnisse, die PSA oder ihre Dienstleister selbst generieren, sowie Daten zur Erfüllung gesetzlicher und regulatorischer Anforderungen bei Zahlungen mit Ihrer Bankomat®karte oder der Bankomat®karte mobil, verarbeitet werden.

Zu den personenbezogen Personaldaten zählen Angaben zur Person (zB Name, Anschrift, Geburtsdatum, Ausbildung) Arbeits- und Verrechnungsdaten (zB Personalnummer, Arbeitszeit, Bankverbindung) und innerbetriebliche Daten (zB Abteilung, Berechtigungen).

3. Für welche Zwecke und auf welcher Rechtsgrundlage werden die Daten verarbeitet?

PSA verarbeitet personenbezogene Daten

zur Erfüllung rechtlicher Verpflichtungen (Art 6 Abs 1 lit c DS-GVO)
Hierzu zählen sowohl gesetzliche als auch aufsichtsrechtliche Verpflichtungen, die PSA als Arbeitgeber (zB Pflicht zu Aufzeichnung der Arbeitszeit nach § 26 AZG) oder Zahlungsdienstleister zu befolgen hat (zB Meldungen an die österreichische Geldwäschemeldestelle in bestimmten Verdachtsfällen nach § 16 FM-GwG) Datenverarbeitung zum Zweck der Verhütung, Ermittlung oder Feststellung von Betrugsfällen nach § 86 ZaDiG 2018.

zur Wahrung berechtigter Interessen (Art 6 Abs 1 lit f DS-GVO) durch

  • Maßnahmen zur Betrugsprävention und -bekämpfung (zB Fraud Transaction Monitoring);
  • Videoüberwachungen zur Sammlung von Beweisen bei Straftaten oder zum Nachweis von Verfügungen und Einzahlungen (zB an Geldautomaten, im Eingangsbereich von Büro-/Serverräumen);
  • Telefonaufzeichnungen (zB bei Beschwerdefällen, Kartensperren);
  • Maßnahmen zur Anpassung der Sicherheit bei Kartenzahlungen;
  • Betriebsüberwachung zur Aufrechterhaltung des Zahlungsverkehrs in Österreich.


zur Erfüllung von vertraglichen Pflichten
(Art 6 Abs 1 lit b DS-GVO);

im Rahmen einer Einwilligung (Art 6 Abs 1 lit a DS-GVO) für die dort genannten Zwecke, wovon insbesondere Arbeitnehmer der PSA betroffen sind.

Eine erteilte Einwilligung kann jederzeit mit Wirkung für die Zukunft widerrufen werden. Widerrufserklärungen können unter Angabe der Kartennummer (PAN), bei Arbeitnehmern oder Geschäftspartnern unter Angabe des vollständigen Namens, an privacy(at)psa.at gerichtet werden. Wir weisen darauf hin, dass PSA als Dienstleister Widerrufserklärungen, welche die Datenverarbeitungen Ihrer Bank betreffen nicht bearbeiten darf und bittet Sie daher die Widerrufserklärung direkt an Ihre Bank zu richten.

4. Datenübermittlung

Innerhalb der PSA erhalten diejenigen Mitarbeiter Ihre Daten, die diese zur Erfüllung der vertraglichen, gesetzlichen und aufsichtsrechtlichen Pflichten sowie berechtigten Interessen benötigen (zB Bewerbungen werden an den Personalverantwortlichen der ausschreibenden Abteilung übermittelt).

Von PSA beauftragte Auftragsverarbeiter (dies sind insbesondere IT-Dienstleister, Lohnverrechner, etc) verarbeiten Ihre Daten, sofern sie diese zur Erfüllung ihrer jeweiligen Leistung benötigen. PSA verpflichtet ihre Dienstleister vertraglich dazu, die Vertraulichkeit und die Sicherheit der personenbezogenen Daten zu gewährleisten. Bei Vorliegen einer gesetzlichen oder aufsichtsrechtlichen Verpflichtung können öffentliche Stellen und Institutionen (zB Gerichte, Österreichische Finanzmarktaufsicht) Empfänger Ihrer personenbezogenen Daten sein.

PSA verarbeitet und übermittelt personenbezogene Daten zur Abwicklung von Zahlungsvorgängen und anderen von Ihnen gewünschten Vorgängen. Im Rahmen der Abwicklung dieser Vorgänge bzw internationaler Bezahltransaktionen können auch andere Kreditinstitute, Finanzinstitute, internationale Kartenorganisationen (wie VISA oder Mastercard) oder vergleichbare Einrichtungen Empfänger Ihrer personenbezogener Daten sein, wenn diese in die Durchführung des jeweiligen, von Ihnen gewünschten Vorgangs involviert sind. Gegebenenfalls werden personenbezogene Daten auch an Stellen, die die Prävention und/oder Aufklärung von Zahlungskartenbetrug verfolgen übermittelt, um Zahlungsvorgänge vor Betrug zu schützen und um die Sicherheit der Transaktion und des österreichischen Zahlungsverkehrs zu gewährleisten.

Wenn sie berechtigt sind Ihre Bankomat®karte weltweit zu nutzen, ist es möglicherweise erforderlich personenbezogene Daten an Empfänger in Ländern weiterzuleiten, in denen nicht dieselben Datenschutzbestimmungen wie in Österreich gelten. Wenn PSA Ihre personenbezogenen Daten in andere Länder übermittelt, wird sichergestellt, dass die Empfänger ein angemessenes Schutzniveau bieten.

Als österreichisches Zahlungsinstitut und Dienstleiter der österreichischen Banken sind wir zur Einhaltung des Zahlungsdienstegeheimnisses nach § 20 Abs 5 ZaDiG 2018 und des Bankgeheimnisses nach § 38 BWG verpflichtet. Dies inkludiert insbesondere die Verschwiegenheit über sämtliche kundenbezogenen Informationen und Tatsachen, die uns aufgrund unserer Tätigkeit als Zahlungsinstitut anvertraut oder zugänglich gemacht worden sind. Wir dürfen personenbezogene Daten daher nur weitergeben, wenn Sie uns hierzu vorab schriftlich und ausdrücklich vom Bankgeheimnis entbunden haben oder wir gesetzlich bzw aufsichtsrechtlich dazu verpflichtet oder ermächtigt sind.

5. Wie lange werden personenbezogene Daten gespeichert?

PSA verarbeitet Ihre personenbezogenen Daten, soweit erforderlich, für die Dauer der Nutzung Ihrer Bankomat®karte bzw des österreichischen Bankomat®systems. Darüber hinaus werden personenbezogene Daten solange von PSA verarbeitet, wie PSA nach gesetzlichen Aufbewahrungs- und Dokumentationspflichten, die sich ua aus dem Zahlungsdienstegesetz (ZaDiG), dem Unternehmensgesetzbuch (UGB), der Bundesabgabenordnung (BAO), dem Bankwesengesetz (BWG), und dem Finanzmarkt-Geldwäschegesetz (FM-GwG) oder bei Arbeitnehmern dem Arbeitszeitgesetzes (AZG), dem Angestelltengesetz (AngG) dazu verpflichtet ist. In besonderen Fällen (zB im Falle eines Rechtsstreits oder laufender Gewährleistungsverpflichtungen) werden Daten bis zum Ende der Verjährungsfrist oder dem Wegfall des Ereignisses aufbewahrt.

6. Welche Rechte stehen mir als Betroffener zu?

Wir möchten nochmals darauf hinweisen, dass Rechte und Fragen im Zusammenhang mit der Verarbeitung personenbezogener Daten Ihrer Bankomat®karte primär an Ihre Bank als Ihr Vertragspartner zu richten sind.

Sie haben jederzeit ein Recht auf Auskunft, Berichtigung, Löschung oder Einschränkung der Verarbeitung Ihrer gespeicherten Daten, ein Widerspruchsrecht gegen die Verarbeitung sowie ein Recht auf Datenübertragbarkeit nach den Voraussetzungen des Datenschutzrechts. Hierfür können Sie sich an die E-Mailadresse privacy(at)psa.at oder per Post an PSA Payment Services Austria GmbH, zH Datenschutz, Rennweg 46-50, 1030 Wien wenden. Beschwerden können Sie an die Österreichische Datenschutzbehörde, Wickenburggasse 8, 1080 Wien, richten.

7. Bin ich zur Bereitstellung von Daten verpflichtet?

Zur Durchführung von Bezahltransaktionen, Bargeldbehebungen, Abfragen an Bankomaten® oder der Abwicklung eines Vertragsverhältnisses ist es erforderlich personenbezogene Daten zu verarbeiten. Wenn Sie uns diese Daten nicht zur Verfügung stellen, wird die Durchführung einer Transaktion in der Regel nicht möglich sein. Klarstellend wollen wir festhalten, dass Sie nicht verpflichtet sind eine Einwilligung zur Datenverarbeitung, hinsichtlich nicht relevanter bzw gesetzlich und/oder regulatorisch nicht erforderlicher Daten zu erteilen.

8. Informationen zu automatisierter Entscheidungsfindung einschließlich Profiling

PSA verarbeitet keine personenbezogenen Daten in automatisierten Entscheidungsverfahren. Diese Datenschutzinformation kann ohne vorherige Ankündigung aktualisiert werden, um gesetzliche Änderungen oder Änderungen in den Prozessen der Verarbeitung personenbezogener Daten darzulegen. PSA wird Sie im Falle einer Änderung über einen Hinweis auf der Website informieren.

9. Hinweise zu weiterführenden Informationen

Mastercard stellt seine Dienstleistungen global zur Verfügung und muss personenbezogene Daten möglicherweise an andere Länder weiterleiten. Mastercard hat verbindliche unternehmensinternen Vorschriften (Binding Corporate Rules - “BCRs“) umgesetzt, die von den europäischen Datenschutzbehörden anerkannt wurden, um den weltweit verarbeiten personenbezogenen Daten ein angemessenes Schutzniveau zu bieten und betroffenen Personen hilft Ihre Rechte geltend zu machen. Eine Kopie der BCRs können Sie unter folgendem Link abrufen https://www.mastercard.de/content/dam/mccom/global/documents/mastercard-bcrs-february-2017.pdf

10. Hinweise zur Nutzung der Website von PSA (Web-Analyse) 

Unsere Websites benutzen Google Analytics, einen Webanalysedienst von Google Inc., 1600 Amphitheatre Parkway, Mountain View, CA 94043, USA („Google“). Google Analytics verwendet sog “Cookies”, Textdateien, die auf Ihrem Computer gespeichert werden und eine Analyse Ihrer Nutzung der Website ermöglichen. Wir verarbeiten Ihre Daten auf Grundlage unseres überwiegenden berechtigten Interesses, um auf kosteneffiziente Weise eine leicht zu verwendende Website-Zugriffsstatistik zu erstellen (Art 6 Abs 1 lit f Datenschutz-Grundverordnung).

Die durch das Cookie erzeugten Informationen über Ihre Nutzung unserer Websites (einschließlich Ihrer IP-Adresse und die URLs der aufgerufenen Webseiten) werden an Server von Google in den USA übertragen und dort gespeichert. Wir speichern keine Ihrer Daten, die in Zusammenhang mit Google Analytics erhoben werden.

Unsere Websites verwenden die von Google Analytics gebotene Möglichkeit der IP-Anonymisierung. Ihre IP-Adresse wird daher von Google gekürzt/anonymisiert, sobald Google Ihre IP-Adresse erhält. In unserem Auftrag wird Google diese Informationen verwenden, um Ihre Nutzung der Website auszuwerten, um Reports über die Websiteaktivitäten zusammenzustellen und um weitere mit der Websitenutzung und der Internetnutzung verbundene Dienstleistungen an uns zu erbringen. Die im Rahmen von Google Analytics von Ihrem Browser übermittelte IP-Adresse wird von Google nicht mit anderen Daten zusammengeführt.

Sie können die Speicherung der Cookies durch eine entsprechende Einstellung Ihrer Browser-Software verhindern. Wir weisen Sie jedoch darauf hin, dass Sie in diesem Fall unter Umständen nicht sämtliche Funktionen unserer Websites vollumfänglich nutzen können. Sie können darüber hinaus verhindern, dass Google Ihre Daten in Zusammenhang mit Google Analytics erhebt, indem Sie das unter folgenden Link verfügbare Browser-Plugin herunterladen und installieren: tools.google.com/dlpage/gaoptout.

Sie können die Erhebung Ihrer Daten durch Google Analytics auf unserer Websites auch verhindern, indem Sie auf untenstehenden Link klicken. Es wird ein Opt-Out-Cookie gesetzt, das die zukünftige Erfassung Ihrer Daten beim Besuch unserer Websites verhindert:

<a href=“javascript:gaOptout()“>Google Analytics deaktivieren</a> [Anm: der dazugehörige JavaScript-Code findet sich auf https://developers.google.com/analytics/devguides/collection/gajs/?hl=de#disable]

Nähere Informationen zu den Nutzungsbedingungen von Google sowie Google Datenschutzerklärung finden Sie unter http://www.google.com/analytics/terms/de.html bzw unter https://www.google.at/intl/at/policies/.“