Datenschutzerklärung für die SocialCard

Als Herausgeber der SocialCard nehmen wir den Schutz Ihrer persönlichen Daten sehr ernst. Wir behandeln Ihre personenbezogenen Daten vertraulich und entsprechend den gesetzlichen Datenschutzvorschriften und insbesondere der EU-Datenschutz-Grundverordnung (DSGVO) und dem Bundesdatenschutzgesetz (BDSG) sowie dieser Datenschutzerklärung. Die vorliegende Datenschutzerklärung erläutert, welche Daten wir erheben und wofür wir sie nutzen. Sie erläutert auch, wie und zu welchem Zweck das geschieht. Wir weisen darauf hin, dass die Datenübertragung im Internet (z. B. bei der Kommunikation per E-Mail) Sicherheitslücken aufweisen kann. Ein lückenloser Schutz der Daten vor dem Zugriff durch Dritte ist nicht möglich.

Wer ist verantwortlich für die Verarbeitung?

secupay AG
Goethestraße 6
01896 Pulsnitz
E-Mail: [email protected]

gemeinsam mit der:

Paynetics AD
76, „James Bourchier“ Blvd,
1407 Sofia
E-Mail: [email protected]

Verantwortlicher.

Die secupay AG ist Herausgeberin der SocialCard und als von der Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) zugelassenes Zahlungsinstitut zuständig für die Prozesse, die zur Kartenerstellung und zur Beladung der Karten benötigt werden. Die secupay AG ist keine direkt von Visa beauftragte Ausgabestelle, sondern leitet die Daten der Kunden lediglich an die dafür berechtigten Stellen weiter und fungiert als Vermittler zwischen Nutzer und der lizenzierten Ausgabestelle (kartenausgebendes E-Geld-Institut).

Die Paynetics AD ist das kartenausgebende E-Geld-Institut und bietet registrierten Nutzern Debitkarten und Kreditkarten von Visa für die Nutzung zur Zahlung an elektronisch angebundenen Akzeptanzstellen.

Bei der Bestellung, Ausgabe und Ingebrauchnahme der SocialCard arbeiten die Parteien eng zusammen. Dies betrifft auch die Verarbeitung Ihrer persönlichen Daten. Die Parteien haben gemeinsam die Reihenfolge der Verarbeitung dieser Daten in den einzelnen Prozessabschnitten festgelegt. Sie sind daher innerhalb der nachfolgend beschriebenen Verarbeitungszwecken gemeinsam für den Schutz Ihrer personenbezogenen Daten verantwortlich.

Kontaktdaten des Datenschutzbeauftragten der secupay AG
Frau Dominika Juszczyk
IBS data protection services and consulting GmbH
Zirkusweg 1, Hamburg, Deutschland
E-Mail: [email protected]

Kontaktdaten des Datenschutzbeauftragten der Paynetics AD
Paynetics AD
76A James Bourchier, Sofia, Bulgarien
E-Mail: [email protected]

Wie erfassen wir Ihre Daten?

Ihre Daten werden erhoben, indem Sie uns diese mitteilen. Hierbei kann es sich um Daten handeln, die Sie im Registrierungsprozess der aufnehmenden Person der für die Verwaltung zuständigen Stelle übergeben oder die Sie in die App eingeben. Zusätzlich werden andere Daten automatisch beim Besuch der App durch unsere IT-Systeme erfasst. Dies sind vor allem technische Daten (z.B. App-Version, Betriebssystem oder Zeitstempel des App-Aufrufs). Die Erfassung dieser Daten erfolgt automatisch, sobald Sie die App starten. Im Rahmen der Anti-Geldwäsche-Maßnahmen sowie anderer gesetzlicher Pflichten können Ihre Daten auch bei Dritten (z.B. KYC-Provider) erhoben werden.

Wofür nutzen wir Ihre Daten?

Wir verarbeiten Ihre personenbezogenen Daten für folgende Zwecke:

Zur Erfüllung von vertraglichen Pflichten (Art. 6 Abs. 1 lit. b DSGVO)
Die Verarbeitung personenbezogener Daten erfolgt im Rahmen der Durchführung unseres Vertrags mit Ihnen als unserem Kunden oder zur Durchführung vorvertraglicher Maßnahmen, die auf Ihre Anfrage hin erfolgen. Insbesondere gilt dies für die Nutzung der SocialCard und deren Funktionen, inkl. Prozesse zur Kartenerstellung und zur Beladung der Karte, zum Anzeigen der durchgeführten Kartenzahlungen und des Kartensaldos sowie Bezahlen mit der SocialCard. Ferner werden ihre Daten zur Generierung einer persönlichen IBAN und zur technischen und physischen Verknüpfung der Karte mit den personenbezogenen Daten und der IBAN verarbeitet. Ebenso fällt hierunter die Kommunikation mit Ihnen. Wir verwenden Ihre persönlichen Informationen, um mit Ihnen z. B. per E-Mail bezüglich Ihrer Anliegen zu kommunizieren.

Relevante personenbezogene Daten können insbesondere sein:

  • Personendaten (Name, Geburtsdatum, Geburtsort, Staatsangehörigkeit und vergleichbare Daten)
  • Kontaktdaten (Adresse, E-Mail-Adresse, Telefonnummer und vergleichbare Daten)
  • Legitimationsdaten (Ausweis- und Meldedaten)
  • Debitkartendaten der SocialCard
  • Login-Daten (Nutzername/E-Mail und Passwort)

Im Rahmen der Interessenabwägung (Art. 6 Abs. 1 lit. f DSGVO)
Soweit erforderlich, verarbeiten wir Ihre Daten über die eigentliche Erfüllung des Vertrages hinaus zur Wahrung berechtigter Interessen von uns oder Dritten zum Beispiel:

  • Geltendmachung rechtlicher Ansprüche und Verteidigung bei rechtlichen Streitigkeiten
  • Gewährleistung der IT-Sicherheit und des IT-Betriebs
  • Verhinderung von Straftaten und Betrugserkennung
  • fehlerfreie Bereitstellung der Website und der secupay App
  • Crashanalysen.


Relevante personenbezogene Daten können insbesondere sein:

  • Personendaten (Name, Geburtsdatum, Geburtsort, Staatsangehörigkeit und vergleichbare Daten)
  • Kontaktdaten (Adresse, E-Mail-Adresse, Telefonnummer und vergleichbare Daten)
  • technische Daten (z.B. App-Version, Betriebssystem oder Zeitstempel des App-Aufrufs, Crash Logs, IP-Adresse, Gerätemodell, Referrer URL, Hostname des Mobilgeräts, Sprache und Region).

Aufgrund gesetzlicher Verpflichtungen (Art. 6 Abs. 1 lit. c DSGVO)
Zudem unterliegen wir als Zahlungs- bzw. E-Geldinstitut diversen rechtlichen Verpflichtungen, das heißt gesetzlichen Anforderungen (z. B. Zahlungsdiensteaufsichtsgesetz, Geldwäschegesetz, Steuergesetze) sowie bankaufsichtsrechtlichen Vorgaben (z. B. der BaFin). Zu den Zwecken der Verarbeitung gehören unter anderem die Identitäts- und Altersprüfung, Betrugs- und Geldwäscheprävention, die Erfüllung steuerrechtlicher Kontroll- und Meldepflichten sowie die Bewertung und Steuerung von Risiken im Unternehmen.
Relevante personenbezogene Daten können insbesondere sein:

  • Personendaten (Name, Geburtsdatum, Geburtsort, Staatsangehörigkeit und vergleichbare Daten)
  • Konto- und Kreditkartendaten
  • Sanktionslisten- / Geldwäschepräventionsdaten

Nutzung von Apple Pay
Wenn Sie Apple Pay aktivieren und nutzen, stimmen Sie zu, dass wir Mastercard bzw. VISA ermächtigen, Daten wie Vorname, Nachname, PAN und Ablaufdatum an Apple zur Zahlungsabwicklung zu übermitteln.
Diese Daten werden verschlüsselt an Apple übertragen. Apple entschlüsselt die Daten, ermittelt das Zahlungsnetzwerk der Karte und verschlüsselt die Daten wieder mit einem Schlüssel, der nur von vom Zahlungsnetzwerk entschlüsselt werden kann. Apple bewahrt anonymisierte Transaktionsdaten auf, darunter der ungefähre Kaufbetrag, der Name des App-Entwicklers und der App, das ungefähre Datum und die ungefähre Uhrzeit sowie die Angabe, ob die Transaktion erfolgreich abgeschlossen wurde.

Nutzung von Google Pay
Wenn Sie das Widget für Google Pay aktivieren und nutzen, stimmen Sie zu, dass wir Mastercard ermächtigen, Daten wie Name Anschrift, Telefonnummer, Umsatzdaten (z.B. Händlername, Standort, Betrag) an Google LLC zur Zahlungsabwicklung zu übermitteln.

Wer bekommt Ihre Daten?

Innerhalb des Unternehmens erhalten diejenigen Stellen Zugriff auf Ihre Daten, die diese zur Erfüllung unserer vertraglichen und gesetzlichen Pflichten brauchen. Auch von uns eingesetzte Dienstleister und Erfüllungsgehilfen können zu diesen Zwecken Daten erhalten, wenn diese das Bankgeheimnis und unsere schriftlichen datenschutzrechtlichen Weisungen wahren.

Wenn Sie Apple Pay oder Google Pay aktivieren, werden wir Mastercard bzw. VISA ermächtigen, Ihre Daten an Apple Inc. bzw. Google LLC zur Zahlungsabwicklung zu übermitteln.

Zur fehlerfreien Bereitstellung der secupay App sowie zur Durchführung von Crash-Analysen geben wir Ihre Daten an Google LLC (Google Firebase und Google CrashLytics) weiter.

Informationen über Sie dürfen wir nur weitergeben, wenn gesetzliche Bestimmungen dies gebieten, wir zur Erteilung einer Bankauskunft befugt sind und/oder von uns beauftragte Auftragsverarbeiter gleichgerichtet die Einhaltung des Bankgeheimnisses sowie die Vorgaben der DSGVO/des BDSG garantieren. Unter diesen Voraussetzungen können Empfänger personenbezogener Daten z. B. sein:

  • Gemeinsam Verantwortlicher (Paynetics AD)
  • Auftragsverarbeiter (Publk GmbH)
  • Verwalter der Socialcard (z.B. Behörde, Arbeitgeber)
  • Sonstige Dritte (z. B. Deutsche Bundesbank, BaFin, Europäische Bankenaufsichtsbehörde, Europäische Zentralbank, Finanzbehörden, Bundeszentralamt für Steuern) bei Vorliegen einer gesetzlichen oder behördlichen Verpflichtung.

Werden Daten in ein Drittland übermittelt?

Eine Datenübermittlung in Länder außerhalb der EU bzw. des EWR (sogenannte Drittstaaten) findet nur statt, soweit dies zur Ausführung Ihrer Aufträge (z.B. Zahlungsaufträge) oder zur fehlerfreien Bereitstellung der secupay App (Google Firebase/ CrashLytics) erforderlich ist.

Die Datenübermittlung erfolgt auf Basis eines Angemessenheitsbeschlusses oder auf Basis einer Ausnahme gemäß Art. 49 Abs.1 lit. b) DSGVO.

Fristen für die Speicherung

Zur Gewährleistung des Grundsatzes der Speicherbegrenzung gem. Art. 5 Abs. 1 lit. e DSGVO, speichern wir personenbezogene Daten in einer Form, die eine Identifizierung betroffener Personen nur solange ermöglicht, wie es für die jeweils rechtmäßigen Zwecke erforderlich ist.

Ihre Daten werden aufgrund von handels- oder steuerrechtlichen Vorschriften gem. § 147 AO, § 257 HGB für 10 Jahre ab dem Zustandekommen des Rechtsgeschäfts aufbewahrt. Das gilt auch im Falle eines Widerrufs des Rechtsgeschäfts. Eine weitergehende Speicherung erfolgt zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen, z.B. bei nicht abgeschlossenen Steuer, Prüf- oder Verwaltungsverfahren.

Personenbezogene Daten, die wir für die Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen verarbeiten, werden im Regelfall nach 3 Jahren (regelmäßige Verjährung gem. § 195 BGB) gelöscht; in bestimmten Fällen (z.B. Schadenersatzansprüche) beträgt die Verjährungsfrist 10 Jahre oder 30 Jahre ab Entstehung des Anspruchs gem. § 199 BGB, wobei die maximale Speicherdauer 30 Jahre ab dem Zeitpunkt des schädigenden Ereignisses ist.

Sofern eine Zahlung abgebrochen wurde, bevor das Rechtsgeschäft zustande kam, beträgt die Speicherfrist jedoch nur 6 Monate.

Welche Rechte haben Sie bezüglich Ihrer Daten?

Recht auf Auskunft

Gemäß Art. 15 DSGVO haben Sie das Recht, von uns eine Bestätigung darüber zu verlangen, ob Sie betreffende personenbezogene Daten verarbeitet werden. Ist dies der Fall, haben Sie das Recht auf Auskunft nach Art. 15 Abs. 1 DSGVO, einschließlich einer Kopie Ihrer Daten gem. Art. 15 Abs. 3 DSGVO, soweit die Rechte und Freiheiten anderer Personen nicht beeinträchtigt werden. Dies schließt Geschäftsgeheimnisse, Rechte am geistigen Eigentum oder Urheberrechte mit ein. Das Recht auf Auskunft kann gem. § 34 BDSG eingeschränkt bzw. abgelehnt werden. In diesem Fall teilen wir Ihnen die Gründe für die Ablehnung mit.

Recht auf Berichtigung

Gemäß Art. 16 DSGVO haben Sie das Recht, von uns unverzüglich die Berichtigung Sie betreffender unrichtiger personenbezogener Daten sowie je nach Zweck der Verarbeitung die Vervollständigung unvollständiger Daten zu verlangen. Soweit dies nicht unmöglich oder mit einem unverhältnismäßigen Aufwand verbunden ist, teilen wir allen Empfängern, denen wir Ihre personenbezogenen Daten offengelegt haben, die Berichtigung mit. Sie haben gem. Art. 19 S. 2 DSGVO das Recht über diese Empfänger unterrichtet zu werden.

Recht auf Löschung

Gemäß Art. 17 DSGVO haben Sie das Recht, von uns zu verlangen, dass Sie betreffende personenbezogene Daten unverzüglich gelöscht werden. Wir sind zur Löschung Ihrer Daten verpflichtet, sofern einer der Gründe gem. Art. 17 Abs. 1 DSGVO zutrifft. Haben wir Daten zu Ihrer Person öffentlich gemacht und besteht die Verpflichtung zur Löschung, treffen wir gem. Art. 17 Abs. 2 DSGVO angemessene Maßnahmen, um andere Verantwortliche zu unterrichten, falls Sie die Löschung aller Links zu diesen Daten oder von Kopien und Replikationen verlangt haben.

Soweit dies nicht unmöglich oder mit einem unverhältnismäßigen Aufwand verbunden ist, teilen wir allen Empfängern, denen wir Ihre personenbezogenen Daten offengelegt haben, die Löschung mit. Sie haben gem. Art. 19 S. 2 DSGVO das Recht über diese Empfänger unterrichtet zu werden.

Das Recht auf Löschung besteht gem. Art. 17 Abs. 3 DSGVO nicht, soweit die Verarbeitung Ihrer personenbezogenen Daten für dort genannte Gründe erforderlich ist. Dies gilt insbesondere, wenn die Speicherung Ihrer Daten aufgrund von gesetzlichen Aufbewahrungspflichten weiterhin vorgeschrieben ist (Art. 17 Abs. 3 lit. b DSGVO) oder Ihre Daten für die Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen benötigt werden (Art. 17 Abs. 3 lit. e DSGVO).

Das Recht auf Löschung besteht gem. § 35 Abs. 3 BDSG ebenfalls nicht, wenn die Speicherung Ihrer Daten aufgrund von satzungsmäßigen oder vertraglichen Aufbewahrungspflichten erforderlich ist. Zusätzlich kann das Recht auf Löschung auch nach § 35 Abs. 1 BDSG eingeschränkt sein. In diesem Fall wird die Verarbeitung Ihrer Daten gem. Art. 18 DSGVO eingeschränkt.

Recht auf Einschränkung der Verarbeitung

Gemäß Art. 18 DSGVO haben Sie das Recht, von uns die Einschränkung der Verarbeitung zu verlangen, wenn eine der dort genannten Voraussetzungen gegeben ist.

Wurde die Verarbeitung Ihrer Daten eingeschränkt, werden Ihre Daten gem. Art. 18 Abs. 2 DSGVO weiterhin gespeichert, aber nur dann auf andere Weise verarbeitet, wenn Sie diesbezüglich einwilligen oder dies zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen, zum Schutz der Rechte einer anderen natürlichen oder juristischen Person oder aus Gründen eines wichtigen öffentlichen Interesses der EU oder eines Mitgliedsstaats erfolgt.

Wenn Ihre Daten eingeschränkt wurden, erhalten Sie eine Benachrichtigung, bevor die Einschränkung aufgehoben wird. Soweit dies nicht unmöglich oder mit einem unverhältnismäßigen Aufwand verbunden ist, teilen wir allen Empfängern, denen wir Ihre personenbezogenen Daten offengelegt haben, die Einschränkung mit. Sie haben gem. Art. 19 S. 2 DSGVO das Recht über diese Empfänger unterrichtet zu werden.

Recht auf Datenübertragbarkeit

Gemäß Art. 20 DSGVO haben Sie das Recht, die Sie betreffenden personenbezogenen Daten, die Sie uns bereitgestellt haben, in einem strukturierten, gängigen und maschinenlesbaren Format zu erhalten, und Sie haben das Recht, diese Daten einem anderen Verantwortlichen ohne Behinderung durch uns, zu übermitteln, sofern die Verarbeitung auf Ihrer Einwilligung gem. Art. 6 Abs. 1 lit. a DSGVO oder einem Vertrag gem. Art. 6 Abs. 1 lit. b DSGVO basiert und die Rechte und Freiheiten anderer natürlicher Personen nicht beeinträchtigt werden.

Recht auf Widerspruch

Gemäß Art. 21 DSGVO haben Sie das Recht, aus Gründen, die sich aus Ihrer besonderen Situation ergeben, jederzeit gegen die Verarbeitung Ihrer personenbezogenen Daten Widerspruch einzulegen, sofern diese auf der Grundlage unseres berechtigten Interesses gem. Art. 6 Abs. 1 lit. f DSGVO erfolgt. Das Recht auf Widerspruch gem. Art. 21 Abs. 1 DSGVO gilt nicht, wenn wir nachweisen, dass wir schutzwürdige Gründe für die Verarbeitung haben, die Ihre Interessen, Rechte und Freiheiten überwiegen oder wenn die Verarbeitung zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen erforderlich ist. Sie haben unabhängig davon gem. Art. 21 Abs. 2 DSGVO jederzeit das Recht, der Verarbeitung Ihrer Daten zum Zweck der Direktwerbung einschließlich Profiling in Verbindung mit Direktwerbung zu widersprechen. In diesem Fall verarbeiten wir Ihre Daten nicht mehr den Zweck der Direktwerbung.

Automatisierte Entscheidungsfindung gem. Art. 22 DSGVO

Sie haben gem. Art. 22 Abs. 1 DSGVO das Recht, nicht einer ausschließlich auf einer automatisierten Verarbeitung – einschließlich Profiling – beruhenden Entscheidung unterworfen zu werden, wenn diese Ihnen gegenüber rechtliche Wirkung entfaltet oder Sie in ähnlicher Weise erheblich beeinträchtigt.

Recht auf Beschwerde gem. Art. 77 DSGVO

Unbeschadet anderer verwaltungsrechtlicher oder gerichtlicher Rechtsbehelfe haben Sie gem. Art. 77 DSGVO das Recht auf Beschwerde bei einer Aufsichtsbehörde, wenn Sie der Ansicht sind, dass die Verarbeitung Ihrer personenbezogenen Daten gegen die DSGVO verstößt. Sie können jede Aufsichtsbehörde kontaktieren, insbesondere in dem Mitgliedsstaat Ihres gewöhnlichen Aufenthaltsortes, Ihres Arbeitsplatzes oder des Orts des mutmaßlichen Verstoßes, einschließlich der für uns zuständigen Aufsichtsbehörde:

Sächsischer Datenschutzbeauftragter
Devrientstraße 5
01067 Dresden
Telefon: 0351/85471 101
Telefax: 0351/85471 109
Internet: www.datenschutz.sachsen.de
E-Mail: [email protected]

Kontaktformular

*Pflichtfeld

Bitte beachten Sie unsere Datenschutzhinweise
Einstellungen Cookies
suche-navigation
Wie können wir Ihnen helfen?
Die Darstellung der Website kann nicht in vollem Umfang abgebildet werden.

Um diese Seite vollumfänglich nutzen zu können, wechseln Sie Ihren Browser bitte zu Firefox, Edge oder Chrome.

Kontaktformular
*Pflichtfeld
Bitte beachten Sie unsere Datenschutzhinweise
Herzlichen Dank für Ihre Nachricht

Bei Fragen stehen wir Ihnen gerne telefonisch oder per E-Mail zur Verfügung.

Viele Grüße
Ihr secupay Team

E-Mail: [email protected] | Telefon: +49 (0) 35955 75 50 0
Montag - Freitag 9:00 bis 17:00 Uhr