Informationen zum Datenschutz für die E-Banking Apps
Informationen zum Datenschutz für die E-Banking Apps der Migros Bank
1 Allgemeines
Die Migros Bank AG («Migros Bank», «wir» oder «uns») bietet Ihnen mit den E-Banking und Mobile-Banking Apps für Smartphone, Tablet und Desktop (die «App») einen sicheren Zugriff auf unsere E-Banking Serviceleistungen über das Internet.
Die nachfolgenden Angaben dieser Datenschutzerklärung geben Ihnen eine Übersicht, welche Daten von der App zu welchen Zwecken bearbeitet werden.
Die Angaben ergänzen unsere allgemeinen Informationen zum Datenschutz bei der Migros Bank AG, die Sie jederzeit unter www.migrosbank.ch/grundlagen oder direkt bei uns beziehen können und welche auch für die Nutzung unserer App gelten.
2 Welche personenbezogenen Daten werden bearbeitet?
Solange die App nicht durch die Eingabe Ihrer E-Banking Vertragsnummer und eines Aktivierungscodes aktiviert wurde, ist die App ohne die Angabe von personenbezogenen Daten nutzbar.
Bei der Aktivierung der App werden folgende zusätzliche Merkmale abgefragt, welche zu Ihrer Identifikation sowie zur festen Bindung der App an das verwendete Gerät und Ihren E-Banking-Vertrag dienen:
- E-Banking Vertragsnummer
- einmaliger Aktivierungscode
- Passwort
Im Hintergrund werden automatisch weitere technische Merkmale erhoben:
- Eigenschaften des verwendeten Geräts (Gerätetyp und Hersteller, verwendetes Betriebssystem und Version, eindeutige Geräte-ID, IP-Adresse, Bildschirmgrösse, gewählte Sprache)
- App Version
Für die Verwendung der E-Banking Serviceleistungen nach der Aktivierung gelten die von Ihnen dafür akzeptierten «Bedingungen für die Benützung der E-Banking Serviceleistungen».
3 Wie werden Ihre Daten geschützt?
Um den Schutz Ihrer Daten zu gewährleisten, verwenden wir unter anderem folgende Sicherheitsmechanismen:
- auf Ihrem Gerät: Fehlerreports und sensitive Daten werden von der App lokal verschlüsselt abgelegt.
- bei der Übermittlung: Die Kommunikation der App erfolgt über gesicherte, verschlüsselte Verbindungen.
- bei uns: Wir schützen Ihre Daten mit technischen und organisatorischen Massnahmen gegen unerlaubte oder unrechtmässige Zugriffe, Veränderung oder Missbrauch.
Im Rahmen der elektronischen Kommunikation werden Ihre Daten über ein öffentliches Netz übertragen. Wir möchten Sie jedoch darauf hinweisen, dass auch bei einer verschlüsselten Datenübermittlung Sender und Empfänger einer Nachricht unverschlüsselt und somit einsehbar bleiben. Es kann daher nicht ausgeschlossen werden, dass Daten von Dritten eingesehen und so Kontaktaufnahmen mit der Migros Bank nachvollzogen werden können. Über ein öffentliches Netz gesendete Daten können zudem über ein Drittland geleitet werden, welches die Datenschutzanforderungen Ihres Wohnsitzlands nicht einhält, auch wenn sich Sender und Empfänger im gleichen Staat befinden.
4 Welche Systemrechte werden von der App verwendet?
Die App benötigt eine Reihe von Rechten, die deren Funktionalität und Sicherheit gewährleisten. Die Rechte unterscheiden sich je nach Plattform (Smartphone, Tablet, Desktop) und Betriebssystem (Android, iOS, Windows,
macOS).
Folgende Rechte können von der App angefordert werden:
- Zugriff auf die Kamera (nur Smartphone): Dieses Recht wird zum Einlesen von Einzahlungsscheinen und Barcodes benötigt. Die Bilddaten werden dafür weder gespeichert noch übermittelt.
- Zugriff auf Kamera und Mikrofon für die Videoidentifikation: Wenn Sie für die Kontoeröffnung die Option Videoidentifikation wählen, wird einmalig für die Dauer der Identifikation der Zugriff auf die Kamera und das Mikrofon benötigt, um mit uns zu kommunizieren sowie die nötigen Bildinformationen und Audiodaten zu übermitteln.
- Zugriff auf Speicher und Dateien (lesen, ändern, löschen): Damit die App eigene Daten lokal speichern und lesen kann, benötigt sie entsprechende Rechte.
- Zugriff auf das Internet: Der Zugang zum Internet wird benötigt, damit die App Daten mit den Servern der Migros Bank austauschen kann.
- Kontakte lesen (nur Smartphone): Dieses Recht wird ausschliesslich von der «MobilePay P2P» Funktion verwendet, um lokale Kontakte für Geldüberweisungen aus Ihrem Adressbuch auszuwählen.
- Konten suchen: Dieses Recht wird für das Generieren von Fehlerreports benötigt. Das Generieren von Fehlerreports ist standardmässig deaktiviert und kann durch Sie im Bedarfsfall manuell aktiviert werden.
- Über anderen Apps einblenden: Dies dient zur sicheren Anzeige von Transaktionsdaten.
- Ruhezustand deaktivieren (Tablet) bzw. Bildschirmsperre aussetzen (Smartphone), Vibrationsalarm steuern: Diese Rechte werden für das Signieren von Zahlungen benötigt.
- Zugriff auf Fingerabdrucksensor (nur Smartphone): Falls Ihr Gerät über einen Fingerabdrucksensor verfügt, können Sie diesen für die E-Banking Anmeldung verwenden.
Zusätzliche Rechte werden aus Sicherheitsgründen benötigt, um die App an ein einzelnes Gerät zu binden. So verwendet die App eine eindeutige Gerätekennung, um ein Kopieren zu verhindern (dies benötigt u.a. das Recht «Telefonstatus und Identität abrufen»).
Des Weiteren benutzt die App zum Selbstschutz Sicherheitsfunktionen, die beispielsweise erkennen, ob andere, möglicherweise schädliche Apps und Einstellungen (wie «Jailbreaks») aktiv sind, welche die Sicherheit Ihres E-Banking Zugangs gefährden könnten (u.a. wird das Recht «Aktive Apps abrufen» benötigt).
Falls Sie auf Ihrem Android Smartphone das «Mobile Widget» verwenden, benötigt diese Funktion die Rechte zum Erstellen und Bewirtschaften eines lokalen Kontos und den dazugehörenden Synchronisationseinstellungen.
Wenn Sie von der Migros Bank ein Ersatzgerät (Air+) erworben haben und dieses mit einem Smartphone oder Tablet verwenden wollen, werden zusätzlich die nötigen Bluetooth Berechtigungen zur Kopplung und Verwendung des Ersatzgeräts angefordert. Android benötigt für diesen Zweck Zugriff auf den ungefähren Standort.
Benötigen Sie bestimmte Funktionen der App nicht, können Sie ihr die Rechte dafür jederzeit entziehen (z.B. für die Kamera, Mikrofon, Kontakte, Bluetooth, Standort). Die Möglichkeiten dafür sind abhängig vom verwendeten Betriebssystem.
5 Log-Dateien
Um den sicheren und korrekten Betrieb zu gewährleisten und Fehleranalysen zu ermöglichen, werden Zugriffe der App auf unsere E-Banking Serviceleistungen in Log-Dateien auf unseren Servern protokolliert. Die Speicherung der Informationen erfolgt auf Grundlage unserer berechtigten Interessen.
6 Nutzungsanalyse
Wir verwenden die Software «Dynatrace APM» des Herstellers Dynatrace LLC, 1601 Trapelo Road, #116 Waltham, MA 02451, USA, auf Grund unserer berechtigten Interessen, die Nutzung der App zu analysieren, die Leistung zu optimieren und Fehler im Zusammenhang mit der App zu beheben. Auch können Fehlermeldungen und Stack-Traces bei Ab-stürzen zu uns übermittelt werden. Dabei ist es möglich, dass auch personenbezogene Daten erfasst werden.
Die von Dynatrace APM erhobenen Daten werden ausschliesslich bei uns lokal gespeichert und ausgewertet. Es erfolgt keine Weitergabe der Daten an externe Dienstleister oder an den Hersteller. Die Daten werden nach der Auswertung innerhalb von 90 Tagen automatisch gelöscht.
7 Externe Links
Einige Links in der App führen auf Webseiten ausserhalb der App (z.B. die Standortsuche). Es gelten dabei die Datenschutzerklärungen der aufgerufenen Webseiten.
8 SMS, Push- und E-Mail- Benachrichtigungen
Der Versand von SMS-, Push- und E-Mail-Benachrichtigungen aus dem E-Banking erfolgt unverschlüsselt, die Daten könnten von Drittpersonen abfangen und eingesehen werden. Die Migros Bank ist als Absenderin ersichtlich, entsprechend erlaubt dies Drittpersonen, Ihre Bankbeziehung zu uns zu erkennen. Das Bankkundengeheimnis ist bei der Aktivierung von SMS-, Push- und E-Mail-Benachrichtigungen nicht gewährleistet.
9 eBill
Für die Benutzung von «eBill» gelten die Datenschutzbestimmungen der Anbieterin SIX Paynet AG, Hardturmstrasse 201, 8021 Zürich, Schweiz. Diese können Sie über die Internet-Adresse Datenschutzerklärung von SIX (ebill.ch) einsehen.
Sobald Sie auf Rechnungsdetails des Rechnungsstellers zugreifen, verlassen Sie den sicheren Bereich der App. Dabei sind auch Rückschlüsse auf Ihre Bankverbindung möglich.
Wenn Sie sich via E-Mail über neue eBill-Rechnungen und -Avisierungen von Rechnungsstellern informieren lassen, geschieht dies in der Regel unverschlüsselt über ungeschützte Netze.
Daten können im Rahmen von eBill auch im Ausland bearbeitet werden. Zur Abwicklung der eBill-Dienstleistungen werden z. B. die Mitteilung von Rechnungsdetails, Statusmeldungen etc. in die Systeme der SIX Paynet AG eingeliefert und bearbeitet. Es ist möglich, dass auch die mit der Zahlungsabwicklung betrauten Finanzinstitute Einblick in gewisse Daten von Ihnen haben. Zudem kann die SIX Paynet AG gewisse Statusinformationen an den Rechnungssteller weiterleiten. Aus diesem Grund entbinden Sie mit der Nutzung von eBill die Migros Bank und die SIX Paynet AG namentlich für die Erbringung der eBill-Dienstleistungen sowie für die Erbringung von Supportleistungen von ihren Geheimhaltungspflichten und verzichten auf das Bankkundengeheimnis. Die Migros Bank darf Ihre Daten zudem aufgrund von gesetzlichen Pflichten offenlegen.
10 E-Pay
Die Aktivierung der E-Pay-ID im E-Banking ermöglicht es Ihnen, in zahlreichen Onlineshops zu Lasten Ihres Migros Bank Kontos zu bezahlen oder bei Bargeldbezugsstellen Geld zu beziehen. Bei Onlineshops und Bargeldbezugsstellen, die nicht zur Migros-Gruppe gehören, werden dabei folgende externe Zahlungsdienstleister verwendet:
Klarna GmbH, Theresienhöhe 12, 80339 München, Deutschland
Datenschutzerklärung: https://www.klarna.com/sofort/datenschutz/
SONECT AG, Dufourstrasse 47, 8008 Zürich
Datenschutzerklärung: https://sonect.net/app-privacy-policy-3/
Die Verwendung von «E-Pay» und die Bearbeitung Ihrer Daten durch die externen Zahlungsdienstleister erfolgen auf Basis Ihrer Einwilligung sowie zur vertraglichen Abwicklung Ihres Zahlungsauftrags. Es gelten die Datenschutzbestimmungen des jeweiligen, von Ihnen gewählten Zahlungsdienstleisters.
11 Videoidentifikation
Um eine Kundenbeziehung bzw. ein Konto bei der Migros Bank zu eröffnen, bieten wir Ihnen als Alternative zum Besuch einer unserer Niederlassungen die Möglichkeit, sich online mittels Videoidentifikation zu identifizieren und die benötigten Kontoeröffnungsdokumente elektronisch zu unterzeichnen.
Die Durchführung der Videoidentifikation erfolgt durch unsere Partnerin Intrum AG, Eschenstrasse 12, 8603 Schwerzenbach, Schweiz (nachfolgend «Intrum»), mit einer in der Schweiz betriebenen Software-Lösung der IDnow GmbH, Auenstrasse 100, 80469 München, Deutschland («IDnow»).
Wir sind gesetzlich dazu verpflichtet, Ihre Identität bei der Eröffnung einer Kundenbeziehung zu prüfen und dafür bestimmte Daten zu speichern. Dabei werden aus Beweisgründen über die Kamera Ihres Endgeräts Fotos von Ihrem Ausweisdokument und Ihrem Gesicht erstellt sowie eine Tonaufnahme über das Mikrofon aufgezeichnet. Das Ausweisdokument wird ausserdem während des Gesprächs von einer Mitarbeiterin oder einem Mitarbeiter von uns oder Intrum geprüft. Ihre angegebene Mobiltelefonnummer wird anhand einer an Ihr Mobiltelefon gesendeten SMS-Nachricht mit einem Validierungscode verifiziert.
Anschliessend werden Ihre Vertragsdokumente bzw. deren Hashwerte von Intrum an QuoVadis Trustlink Schweiz AG, Poststrasse 17, 9001 St. Gallen, Schweiz (nachfolgend «QuoVadis») übermittelt und online mit einer elektronischen Signatur (gemäss Bundesgesetz über die elektronische Signatur, ZertES) rechtsgültig digital unterschrieben.
Nach der Identifikation übermittelt Intrum sämtliche Daten an uns und löscht diese spätestens nach 90 Tagen von ihren Servern. QuoVadis speichert das Schlüsselmaterial für die Signaturerstellung für drei Jahre, Ihre Mobiltelefonnummer, Vor- und Nachnamen für weitere 11 Jahre.
Die Verarbeitung Ihrer Daten erfolgt auf der Grundlage Ihrer ausdrücklichen Einwilligung. Falls Sie Ihre Daten nicht online übermitteln und/oder Verträge in Papierform unterzeichnen möchten, besuchen Sie bitte für die Eröffnung der Kundenbeziehung mit uns eine unserer Niederlassungen.
12 Welche Daten werden an Dritte weitergegeben?
Die App übermittelt – mit Ausnahme der Videoidentifikation, E-Pay und eBill – keine persönlichen Daten an Drittparteien. Allfällige Abfragen, die wir für Sie bei externen Partnern tätigen (z.B. für Börsenkurse), erfolgen anonymisiert und lassen keinen Rückschluss auf Ihre Person zu.
Beim Herunterladen der App aus einem App-Store sowie bei der Nutzung der App können Geräte- oder Betriebssystemhersteller (z.B. Microsoft, Apple oder Google) möglicherweise personenbezogene Daten erhalten oder das Nutzungsverhalten auswerten. Eine Beziehung zwischen Ihnen und der Migros Bank kann so möglicherweise nachvollzogen werden. Dies lässt sich jedoch durch uns nicht beeinflussen oder verhindern.
13 Wie kann ich die Daten der App löschen?
Durch das ordnungsgemässe Deinstallieren der App werden sämtliche Daten, die von der App lokal auf Ihrem Gerät generiert wurden, gelöscht (macOS: über den Menüpunkt «E-Banking deinstallieren»). Aktivierte Geräte können Sie jederzeit in Ihrem E-Banking löschen.
14 Ihre Rechte
Soweit die jeweiligen Voraussetzungen erfüllt sind, haben Sie das Recht, von uns eine Kopie der Daten zu verlangen, die wir von Ihnen bearbeiten, und das Recht auf Berichtigung, auf Löschung, auf Einschränkung der Bearbeitung und auf Datenübertragbarkeit. Sie haben zudem das Recht, der Bearbeitung jederzeit zu widersprechen. Dies gilt besonders, wenn die Bearbeitung für Marketing- und Marktforschungszwecke erfolgt.
Sie können Ihre Rechte ausüben, indem Sie uns eine schriftliche Mitteilung zukommen lassen, zusammen mit einer Kopie eines gültigen amtlichen Ausweises.
Bei Fragen, Anliegen und Bemerkungen zum Datenschutz bei der Migros Bank AG können Sie sich an folgende Fachstelle richten:
Migros Bank AG
Compliance
Postfach
8010 Zürich
datenschutz@migrosbank.ch
Sie haben darüber hinaus das Recht, bei der für Sie zuständigen Aufsichtsbehörde gegen die Art und Weise der Bearbeitung Ihrer Daten eine Beschwerde einzureichen.
15 Änderungen an dieser Datenschutzerklärung
Wir können die vorliegenden Informationen von Zeit zu Zeit anpassen und ergänzen. Die jeweils aktuelle Version ist in elektronischer Form auf unserer Webseite unter www.migrosbank.ch/grundlagen abrufbar.
Version 1.4 vom 01.01.2020