Datenschutz

1. Für Datenverarbeitungen im Zusammenhang mit Ihrer Debit-/Bankomat®Karte oder Kreditkarte ist PSA grundsätzlich Auftragsverarbeiter Ihrer Bank (mit Ausnahme von gelegentlichen Kartentransaktionen iSd Pkt. 3.4.).

PSA nimmt für österreichische Kreditinstitute die Rolle des zentralen Dienstleisters (Auftragsverarbeiters) ein, der die technischen Systeme zur Ausgabe der Karten, Bezahlmedien auf Mobiltelefonen (zB Bankomat®Karte mobil) bzw zur Verarbeitung von Transaktionen zur Verfügung stellt.

Sollten Sie Fragen zur Verarbeitung personenbezogener Daten im Zusammenhang mit Ihrer Debit-/Bankomat®Karte oder Kreditkarte haben – zB im Rahmen von Zahlungen mit Bankomat®Karten sowie bei Bargeldbehebungen – bitten wir Sie, sich an Ihre Bank zu wenden.
 

2. Wer ist für die Datenverarbeitung verantwortlich und an wen können Sie sich wenden?

Für die Verarbeitung Ihrer Daten verantwortlich ist die

PSA Payment Services Austria GmbH ("PSA")
Handelskai 92, Gate 2
1200 Wien

E-Mail: office@psa.at
https://www.psa.at/impressum

Für Fragen zum Datenschutz oder die Geltendmachung von Betroffenenrechten wenden Sie sich bitte an privacy@psa.at oder per Post an PSA Payment Services Austria GmbH, zH Datenschutz, Handelskai 92, Gate 2, 1200 Wien.
Unseren Datenschutzbeauftragten erreichen Sie unter der E-Mailadresse datenschutz(at)psa.at oder per Post unter PSA Payment Services Austria GmbH, Handelskai 92, Gate 2, 1200 Wien).
 

3. Welche Daten werden von PSA als Verantwortlicher zu welchem Zweck verarbeitet?

Es werden nur solche personenbezogenen Daten erhoben, die für die Durchführung und Abwicklung unserer Leistungen erforderlich sind oder die Sie uns freiwillig zur Verfügung gestellt haben. PSA verarbeitet als Verantwortlicher personenbezogene Daten von:

  1. Vertragspartnern sowie deren Mitarbeiter:innen im Rahmen der Vertragsanbahnung und –abwicklung oder der Entwicklung und laufenden Weiterentwicklung von Zahlungslösungen zum Zweck der Erfüllung der jeweiligen vertraglichen Verpflichtungen;
    • verarbeitete Daten: "Name", "Kontaktdaten", "Kund:innendaten", „Bonitätsauskünfte und WiEReG-Auszüge“
    • Rechtsgrundlage: Erfüllung vertraglicher Pflichten (Art 6 Abs 1 lit b DSGVO), berechtigte Interessen (Art 6 Abs 1 lit f DSGVO), nämlich die Aufrechterhaltung ortsunabhängiger Kommunikation und die Pflege geschäftlicher Kontakte sowie das wirtschaftliche Fortkommen der PSA.
       
  2. Teilnehmer:innen an von der PSA organisierten Veranstaltungen und damit verbundenen Aktivitäten zur Organisation dieser Veranstaltungen (Übermittlung personalisierter Einladungen und Korrespondenz mit den Teilnehmer:innen);
    • verarbeitete Daten: "Name", "Kontaktdaten", "zugehöriges Unternehmen"
    • Rechtsgrundlage: berechtigte Interessen (Art 6 Abs 1 lit f DSGVO), nämlich das Informations- und Veranstaltungsmanagement sowie die interne und externe Kommunikation in diesen Belangen effizient zu gestalten.
       
  3. im Rahmen der Videoüberwachung aufgenommenen Personen an von PSA als Verantwortlicher betriebenen Bankomaten® zur Sammlung von Beweisen bei Straftaten oder zum Nachweis von Verfügungen, wobei eine Auswertung der Videoüberwachung nur auf behördliche Anordnung im Anlassfall erfolgt;
    • verarbeitete Daten: "Rolle der Person", "Bilddaten", "Ort und Datum der Aufnahme"
    • Rechtsgrundlage: Erfüllung vertraglicher Pflichten (Art 6 Abs 1 lit b DSGVO), Erfüllung rechtlicher Verpflichtungen (Art 6 Abs 1 lit c DSGVO), berechtigte Interessen (Art 6 Abs 1 lit f DSGVO), nämlich das Interesse an der Prävention von Diebstahl, Einbruchsdiebstahl, Missbrauch unbarer Zahlungsmittel, Sachbeschädigung und der Beweissicherung zur Durchsetzung von Rechtsansprüchen und Erstattung polizeilicher Anzeigen.
       
  4. Karteninhaber:innen im Rahmen von gelegentlichen Kartentransaktionen im Zuge von Bargeldbehebungen an durch PSA betriebenen Bankomaten außerhalb eines Rahmenvertrags aufgrund Vertragserfüllung iSd ZaDiG 2018.
    • verarbeitete Daten: "Kartendaten", "Transaktionsdaten", "Gerätedaten";
    • Rechtsgrundlage: Erfüllung vertraglicher Verpflichtungen (Art 6 Abs 1 lit c DSGVO).
       
  5. Karteninhaber:innen im Rahmen von Einzelzahlungen im Zuge von Bargeldbehebungen innerhalb des österreichischen Bankomat®Systems  außerhalb eines Rahmenvertrages aufgrund gesetzlicher und aufsichtsrechtlicher Verpflichtungen zur Verhinderung von Geldwäsche und Terrorismusfinanzierung sowie für Meldungen an die Geldwäschemeldestelle des BKA in bestimmten Verdachtsfällen nach § 16 FM-GwG;
    • verarbeitete Daten: "Kartendaten", "Transaktionsdaten", "Gerätedaten"
    • Rechtsgrundlage: Erfüllung rechtlicher Verpflichtungen (Art 6 Abs 1 lit c DSGVO)), nämlich die Verhinderung von Geldwäsche und Terrorismusfinanzierung.
       
  6. im Rahmen der Videoüberwachung in den Büroräumlichkeiten der PSA aufgenommenen Personen zum Schutz des Eigentums der PSA und der bei PSA gespeicherten Daten Dritter;
    • verarbeitete Daten: "Rolle der Person", "Bilddaten", "Ort und Datum der Aufnahme"
    • Rechtsgrundlage: berechtigte Interessen (Art 6 Abs 1 lit f DSGVO), nämlich den Eigentumsschutz und den Schutz der bei PSA gespeicherten Daten sowie Geltendmachung und Durchsetzung zivilrechtlicher Ansprüche.
       
  7. im Rahmen des Betriebs der PSA-Websites zur Analyse des Nutzerverhaltens sowie zur Einbindung von Social Media Diensten (bspw. YouTube);
    • PSA verwendet auf ihrer Homepage Cookies. Je nach eingewilligtem Cookie unterscheiden sich die verarbeiteten personenbezogenen Daten. Cookies sind kleine Textdateien, die dazu dienen, die Nutzungshäufigkeit und die Anzahl der Nutzer/innen unserer Website zu ermitteln. Zudem haben Sie die Möglichkeit, über den Cookie-Banner, der sich beim erstmaligen Besuch der Website öffnet und jederzeit über einen Link in der Fußzeile wieder geöffnet werden kann, gesondert zu Art und Umfang der Verwendung von Cookies durch unsere Website zuzustimmen. Wir weisen darauf hin, dass diesfalls gewisse Cookies, die zur korrekten Anzeige der Website erforderlich sind (jedoch keine personenbezogenen Daten enthalten), als notwendige Cookies nicht optional sind. Darüber hinaus werden weitere Cookies – insbesondere zu Präferenzen, Statistiken und Marketing – nur mit Ihrer Einwilligung eingesetzt. Die getroffenen Einstellungen und ggf. erteilten Einwilligungen können jederzeit durch das erneute Aufrufen des Cookie-Banners bearbeitet oder widerrufen werden. Details zu diesen Cookies und die Möglichkeit, Ihre Cookie-Einstellungen zu ändern, finden Sie unter: https://www.psa.at/ 
    • Rechtsgrundlage: Einwilligung (Art 6 Abs 1 lit a DSGVO).
       
  8. Daten, die Sie uns über das Kontaktformular bekannt geben werden:
    • Vorname, Nachname, E-Mail-Adresse und weitere von Ihnen angegebene Daten; bei Geschäftskunden zusätzlich: Unternehmen und Telefonnummer
    • Rechtsgrundlage: Einwilligung (Art 6 Abs 1 lit a DSGVO) berechtigte Interessen (Art 6 Abs 1 lit f DSGVO)
       

4. Daten, die direkt bei den Betroffenen erhoben werden.

  1. Personenbezogene Daten von Vertragspartnern sowie deren Mitarbeiter:innen werden im Rahmen der Vertragsanbahnung und -abwicklung erhoben ("Name", "Kontaktdaten", "Kundendaten").
  2. Personenbezogene Daten von Veranstaltungsteilnehmer:innen werden im Rahmen der Teilnahme an den von der PSA organisierten Veranstaltungen über Mitteilung durch das jeweilige Unternehmen (zB Kreditinstitut), bei dem die Person beschäftigt ist, erhoben ("Name", "Kontaktdaten", "zugehöriges Unternehmen").
  3. Personenbezogene Daten im Rahmen der Videoüberwachung an von PSA als Verantwortlicher betriebenen Bankomaten®, werden direkt am Bankomaten® erhoben ("Rolle der Person", "Bilddaten", "Ort und Datum der Aufnahme").
  4. Personenbezogene Daten im Rahmen der Erfüllung gesetzlicher und aufsichtsrechtlicher Verpflichtungen werden direkt am Bankomaten® oder am Gerät erhoben ("Kartendaten", "Transaktionsdaten", "Gerätedaten").
  5. Personenbezogene Daten im Rahmen der Videoüberwachung in den Büroräumlichkeiten werden direkt in den Büroräumlichkeiten der PSA erhoben ("Rolle der Person", "Bilddaten", "Ort und Datum der Aufnahme").
  6. Personenbezogene Daten im Rahmen von gelegentlichen Kartentransaktionen durch Bargeldbehebungen an durch PSA betriebenen Bankomaten® außerhalb eines Rahmenvertrags werden direkt am Bankomaten® erhoben ("Kartendaten“, "Transaktionsdaten", "Gerätedaten").
  7. Personenbezogene Daten im Rahmen des Betriebs der PSA-Websiten werden während des Besuchs der Betroffenen auf den PSA-Websiten erhoben. Je nach eingewilligtem Cookie unterscheiden sich die verarbeiteten personenbezogenen Daten. Details zu diesen Cookies und die Möglichkeit, Ihre Cookie-Einstellungen zu ändern, finden Sie unter: https://www.psa.at/ 
     

5. Daten, die nicht direkt bei der betroffenen Person erhoben werden

Personenbezogene Daten von Vertragspartnern werden auch bei Dritten erhoben ("Bonitätsauskünfte und WiEReG-Auszüge").
 

6. Auftragsverarbeiter

Auftragsverarbeiter

Von PSA beauftragte Auftragsverarbeiter verarbeiten Ihre Daten, sofern sie diese zur Erfüllung ihrer jeweiligen Leistung benötigen. PSA verpflichtet ihre Auftragsverarbeiter vertraglich dazu, die Vertraulichkeit und die Sicherheit der personenbezogenen Daten zu gewährleisten. Derzeit bedient sich PSA folgendem Auftragsverarbeiter:

  • Antares NetlogiX Netzwerkberatung GmbH
  • World-Direct eBusiness solutions GmbH
  • iProspect GmbH
  • Merkle Germany GmbH
  • Hubspot Inc.
  • Worldline Schweiz AG
  • A1 Telekom Austria AG
  • CANCOM Austria GmbH (vormals K-Businesscom)

Zum Schutz Ihrer personenbezogenen Daten haben wir entsprechende technische und organisatorische Maßnahmen getroffen. Diese Maßnahmen umfassen insbesondere Vorkehrungen zum Schutz vor unbefugtem Zutritt, Zugang oder Zugriff auf Ihre personenbezogenen Daten sowie Eingabe-, Auftragsverarbeiter- und Verfügbarkeitskontrollen.

MS Teams

PSA bietet die Möglichkeit an, über „Microsoft Teams“ zu kommunizieren. Dabei handelt es sich um ein Videokonferenz-Tool, bereitgestellt von der Microsoft Ireland Operations Limited, One Microsoft Place, South County Business Park, Leopardstown Dublin 18, Ireland (kurz: Microsoft Ireland).

Bei der Verwendung von „Microsoft Teams“ kann es zu einer Übermittlung personenbezogener Daten in die USA kommen. Microsoft Ireland hat mit den konzerneigenen Subauftragsverarbeitern, die ihren Sitz in Drittländern haben, Standarddatenschutzklauseln abgeschlossen, um den Vorgaben der Art 46 ff DSGVO zu entsprechen.

Nähere Informationen zur Datenverarbeitung im Zusammenhang mit der Verwendung von „Microsoft Teams“ und dem zwischen uns und Microsoft vereinbarten Data Protection Addendum sind abrufbar unter:

https://www.microsoft.com/licensing/docs/view/Microsoft-Products-and-Services-Data-Protection-Addendum-DPA

Die Verwendung von „Microsoft Teams“ ist keine Voraussetzung, um mit PSA zu kommunizieren. Als Alternative bietet PSA persönliche Besprechungen und Telefonkonferenzen an. Sofern über „Microsoft Teams“ kommuniziert wird, wird Microsoft Ireland zum Auftragsverarbeiter. Die Datenverarbeitung erfolgt daher auf Grundlage der Erfüllung vertraglicher Pflichten (Art 6 Abs 1 lit b DSGVO).

Empfänger

Aufgrund gesetzlicher Verpflichtungen, die der Aufdeckung von Straftaten bzw. der Verhinderung von Geldwäsche und Terrorismusfinanzierung sowie der Betrugsbekämpfung dienen, werden Daten an folgende Empfänger ausgefolgt:

  • Strafverfolgungsbehörden/Gerichte

österreichische Geldwäschemeldestelle des BKA. Die Daten werden im Falle einer Einwilligung des Betroffenen an Social Media Dienste (bspw. YouTube) übermittelt.
 

7. Werden Daten in ein Drittland oder an eine internationale Organisation übermittelt?

PSA leitet Kartentransaktionsdaten iZm Pkt. 3.4 Daten an das Zahlungskartensystem (Kartenorganisationen) weiter, die sich ggf. außerhalb des Europäischen Wirtschaftsraums befindet, um die Transaktionen autorisieren und ausführen zu können.

a) MasterCard Europe SPRL

b) Visa Europe Services LLC

c) American Express Payment Services Ltd., Zweigniederlassung Frankfurt am Main

d) Diners Club International Ltd

e) JCB International Co

f) Union Pay International Co., Ltd., für die Zahlungsmarken „CUP” und „Union Pay”.
 

8. Klarstellung hinsichtlich Website-Analyse

PSA hat sich – um einen etwaigen diesbezüglichen Drittstaatentransfer personenbezogener Daten zu vermeiden – bewusst gegen den Einsatz von Google Analytics entschieden. Stattdessen setzt PSA auf eine Zusammenarbeit mit „Matomo“.
 

9. Wie lange werden personenbezogene Daten gespeichert?

  • iZm Vertragsabwicklung: 7 Jahre
  • iZm Veranstaltungen: 7 Jahre
  • iZm Videoüberwachung an Bankomaten: 90 Tage
  • iZm gesetzlichen Pflichten nach dem FM-GwG: 10 Jahre
  • iZm Videoüberwachung in den Büroräumlichkeiten: 72 Stunden
  • iZm dem Betrieb der Website: je nach Cookie unterschiedlich – Details zu diesen Cookies und die Möglichkeit, Ihre Cookie-Einstellungen zu ändern, finden Sie unter: https://www.psa.at/.
     

10. Welche Rechte stehen mir als Betroffene:r zu?

Wir möchten nochmals darauf hinweisen, dass Rechte und Fragen im Zusammenhang mit der Verarbeitung personenbezogener Daten Ihrer Debit-/Bankomat®Karte oder Kreditkarte primär an Ihre Bank als Ihren Vertragspartner und Verantwortlicher für die Datenverarbeitung zu richten sind.

Sie haben jederzeit ein Recht auf Auskunft, Berichtigung, Löschung oder Einschränkung der Verarbeitung Ihrer gespeicherten Daten, ein Widerspruchsrecht (sofern die Datenverarbeitung auf Grundlage eines öffentlichen Interesses oder zur Wahrung des berechtigten Interesses erfolgt) gegen die Verarbeitung sowie ein Recht auf Datenübertragbarkeit nach den Voraussetzungen des Datenschutzrechts.

Hierfür können Sie sich per E-Mail an privacy(at)psa.at oder per Post an PSA Payment Services Austria GmbH, zH Datenschutz, Handelskai 92, Gate 2, 1200 Wien wenden.

Sollte es trotz unserer Verpflichtung, Ihre Daten rechtmäßig zu verarbeiten, wider Erwarten zu einer Verletzung Ihres Rechtes auf rechtmäßige Verarbeitung Ihrer Daten kommen, setzen Sie sich bitte mit uns postalisch oder per E-Mail unter den vorgenannten Kontaktdaten in Verbindung, damit wir über Ihre Bedenken informiert werden und diese behandeln können.

Sie haben aber auch das Recht, eine Beschwerde bei der Österreichischen Datenschutzbehörde (Barichgasse 40-42, 1030 Wien) oder bei einer anderen Datenschutz-Aufsichtsbehörde in der Europäischen Union, insbesondere an Ihrem Aufenthaltsort oder an Ihrem Arbeitsort, zu erheben.
 

11. Bin ich zur Bereitstellung von Daten verpflichtet?

Sie sind gesetzlich nicht verpflichtet, uns Ihre Daten bereitzustellen. So Sie uns Ihre Daten nicht zur Verfügung stellen, können wir jedoch allenfalls unsere Leistungen für Sie nicht erbringen.

Sofern die Datenverarbeitung auf Ihrer Einwilligung beruht, können Sie diese jederzeit mit Wirkung für die Zukunft widerrufen. Für einen Widerruf können Sie sich an die E-Mailadresse (E-Mailadresse privacy@psa.at) oder per Post an PSA Payment Services Austria GmbH, zH Datenschutz, Handelskai 92, Gate 2, 1200 Wien wenden. Allenfalls können wir jedoch ohne Ihre Einwilligung unsere jeweilige Leistung nicht für Sie erbringen.
 

12. Informationen zu automatisierter Entscheidungsfindung einschließlich Profiling

PSA verarbeitet keine personenbezogenen Daten in automatisierten Entscheidungsverfahren. Ein Profiling findet nicht statt. 
 

13. Aktualisierung Datenschutzinformation

Aufgrund der rasanten Entwicklung der Technologie, der Gesetzgebung und der Rechtsprechung kann es notwendig sein, gelegentlich Änderungen an dieser Datenschutzinformation vorzunehmen. Bitte lesen Sie daher immer die jeweils aktuelle Version auf unserer Webseite.

Compliance

1. Verhaltenskodex

Der Verhaltenskodex der PSA steckt den ethisch-rechtlichen Rahmen ab, innerhalb dessen die PSA und ihre Mitarbeiter:innen handeln und erfolgreich sein wollen. Er enthält die grundlegenden Prinzipien und Regeln für das Verhalten innerhalb des Unternehmens und in Beziehung zu externen Partnern und der Öffentlichkeit.

Sie legen dar, wie wir unsere ethisch-rechtliche Verantwortung als Unternehmen wahrnehmen und sind Ausdruck der Unternehmenswerte:

  • Professionell
  • Sicher
  • Glaubwürdig
  • Innovativ
  • Respekt

Der Verhaltenskodex passt sich neuen oder geänderten gesetzlichen Rahmenbedingungen an. Er soll das Bewusstsein für Recht und Moral als integralen Bestandteil des unternehmerischen Handelns stärken.
 

2. Whistleblowing

Über das anonyme Hinweisgebersystem („Whistleblower-Plattform“) können Sie anonym Meldungen von folgenden Rechtsverstößen abgeben (vgl dazu § 3 HSchG, § 40 FM-GwG):

  • Finanzdienstleistungen, Finanzprodukte und Finanzmärkte sowie Verhinderung von Geldwäsche und Terrorismusfinanzierung
  • Betriebsinterne Verstöße gegen das Finanzmarkt-Geldwäschegesetz (FM-GwG)
  • Umweltschutz
  • Verbraucherschutz
  • Schutz der Privatsphäre und personenbezogener Daten sowie Sicherheit von Netz- und Informationssystemen
  • Unionsvorschriften über Wettbewerb und staatliche Beihilfen („Kartell-, Wettbewerbs- und Beihilfenrecht“)
  • Verhinderung und Ahndung von Straftaten nach §§ 302 bis 309 StGB („Korruption“)
  • Produktsicherheit und Produktkonformität
  • öffentliches Auftragswesen
  • Verkehrssicherheit
  • Strahlenschutz und kerntechnische Sicherheit
  • Lebensmittel- und Futtermittelsicherheit, Tiergesundheit und Tierschutz
  • öffentliche Gesundheit
  • Rechtsverletzungen zum Nachteil der finanziellen Interessen der Union
  • Verletzung von Binnenmarktvorschriften und von Körperschaftssteuervorschriften

Meldungen haben konkrete Angaben über den inkriminierten Sachverhalt zu enthalten und sollten der Wahrheit entsprechenden. Sollten Sie nicht sicher sein, ob der von Ihnen eingemeldete Sachverhalt der Wahrheit entspricht, bitten wir Sie, diesen als Vermutung zu kennzeichnen.

Anonyme Hinweisgeber haben Anspruch auf Schutz (§ 6 HSchG). Jeder Hinweis wird auf Stichhaltigkeit überprüft, außer der Hinweis fällt nicht in den Geltungsbereich des Gesetzes oder der Hinweis enthält keine Anhaltspunkte für Stichhaltigkeit. Offenkundig falsche Meldungen werden seitens PSA zurückgewiesen sowie rechtlich verfolgt.

Wenn Sie eine diesbezügliche Meldung abgeben möchten, gelangen Sie über den folgenden Link zum geschützten Meldekanal der PSA:
https://psa.hitguard.at/cmwb

Die diesbezügliche Datenschutzerklärung finden Sie unter Datenschutz - insbesondere unter den Punkten 3.6., 6. und 8.

Fragen und Antworten rund um das Thema Whistleblowing finden Sie hier: https://www.psa.at/datenschutz-compliance/faq-whistleblowing