Datenschutzerklärung der Schwyzer Kantonalbank
1. Allgemeine Anwendungsbedingungen
Die Grundlage für die vorliegende Datenschutzerklärung ist die schweizerische Datenschutzgesetzgebung. Wir teilen Ihnen nachfolgend mit, welche Personendaten wir wie und wofür erheben und bearbeiten und welche Rechte Ihnen in diesem Zusammenhang zukommen.
Die vorliegende Datenschutzerklärung gilt für die Datenbearbeitung der Schwyzer Kantonalbank (nachfolgend SZKB) für aktuelle und frühere Kunden, Interessenten sowie Besucher unserer Filialen oder der Webseite.
Welche Daten im Einzelnen, in welchem Umfang und für welche Zwecke bearbeitet werden, richtet sich insbesondere nach den von Ihnen nachgefragten bzw. bezogenen Dienstleistungen und den allfälligen vertraglichen Grundlagen. Allfällige vertragliche Grundlagen sind auf den entsprechenden Webseiten und/oder in den entsprechenden Apps verfügbar. Sollten die vorliegenden Bestimmungen oder allfällige vertraglichen Grundlagen für die einzelnen Dienstleistungen keine spezifische Regelung vorsehen, gelten im Übrigen die Allgemeinen Geschäftsbedingungen (AGB).
2. Zweck der Datenbearbeitung
Daten werden von der SZKB zur Abwicklung eigener Leistungen sowie für eigene oder gesetzlich vorgesehene Zwecke bearbeitet. Darunter wird insbesondere Folgendes verstanden:
- Prüfung bzw. Aufnahme einer möglichen Geschäftsbeziehung, Abschluss oder Durchführung eines Vertrags bzw. einer Geschäftsbeziehung. Der Zweck der Datenbearbeitung richtet sich nach der nachgefragten bzw. bezogenen Dienstleistung oder dem Produkt (z.B. Durchführung von Transaktionen, Bedarfsanalysen, Beratung oder Vermögensverwaltung).
- Erfüllung rechtlicher oder regulatorischer Pflichten der SZKB oder zur Wahrnehmung von Aufgaben im öffentlichen Interesse. Hierunter fallen unter anderem die Erfüllung der Anforderungen aus dem Bankengesetz (BankG), des Finanzmarktinfrastrukturgesetzes (FinfraG), des Geldwäschereigesetzes (GwG), des Kollektivanlagengesetzes (KAG), der Steuergesetze (inkl. Automatischer Informationsaustausch mit dem Ausland) sowie der Verordnungen und Rundschreiben der Eidgenössischen Finanzmarktaufsicht FINMA, der Richtlinien der Schweizerischen Bankiervereinigung und der Anforderungen der Schweizerischen Nationalbank.
- Wahrung berechtigter Interessen der SZKB oder von Dritten (z.B. Statistik, Planung, Produkteentwicklung, Geschäftsentscheide, Überwachung und Steuerung von Risiken, Beweissicherung, Marketing, Marktforschung oder Vorbereitung und Erbringung massgeschneiderter Dienstleistungen).
- Wahrung der Interessen und Sicherung der Ansprüche der SZKB bei Forderungen gegenüber der SZKB bzw. Bankkunden sowie Wahrung der Sicherheit der Kunden und Mitarbeitenden.
- Allfällige weitere Zwecke, über die Sie die SZKB zu gegebener Zeit in Kenntnis setzen wird.
3. Umgang mit Daten / Datensicherheit
Alle Systeme und Programme, welche von der SZKB angewendet und benutzt werden, sind sicherheitstechnisch auf dem neuesten Stand der Technik und werden durch geeignete technische und organisatorische Massnahmen gegen Verlust, Zerstörung, Zugriff, Veränderung oder Verbreitung der Daten durch nicht berechtigte Personen geschützt. Es werden angemessene Verschlüsselungsverfahren angewandt. Die Massnahmen für die Sicherheit werden ständig den aktuellen technischen Entwicklungen angepasst und regelmässig internen sowie externen Kontrollen unterzogen. Ferner findet eine regelmässige Sensibilisierung und Schulung aller Mitarbeitenden statt. Die vorgenannten Massnahmen zum Umgang mit Daten werden ebenfalls unseren Vertragspartnern überbunden.
Die Vorschriften über den Datenschutz werden von der SZKB eingehalten. Wir weisen jedoch darauf hin, dass, sofern ein Kommunikationskanal ohne Ende-zu-Ende Verschlüsselung (wie SMS, herkömmliche E-Mail, Push-Nachrichten) genutzt wird sowie bei der Nutzung der Webseite oder digitaler Leistungsangebote die Übermittlung ohne Ende-zu-Ende Verschlüsselung oder sogar unverschlüsselt erfolgen kann und die Daten unter Umständen von Dritten abgefangen oder eingesehen werden können. Ferner kann es bei der Nutzung von SMS, E-Mails, Push-Nachrichten und dergleichen oder der Webseite sowie von digitalen Leistungsangeboten zu einer grenzüberschreitenden Datenübermittlung kommen, auch wenn sich Absender und Empfänger in der Schweiz befinden. Der Kunde nimmt zur Kenntnis, dass in diesen Fällen Dritte auf eine mögliche Bankbeziehung schliessen können.
Die SZKB weist ausdrücklich auf die Gefahr von Malware (schädliche Software) und die Möglichkeit gezielter Hacker-Angriffe hin. Wir empfehlen die Verwendung aktueller Browser-Versionen sowie die Installation von laufend aktualisierten Anti-Malware-Software. Ausserdem sollte davon abgesehen werden, E-Mails unbekannter Herkunft zu öffnen und nicht erwartete Anhänge sollten grundsätzlich vernichtet werden.
4. Kategorien von Personendaten
Als Personendaten gelten alle Angaben, die sich auf eine bestimmte oder bestimmbare natürliche Person beziehen. Datenbearbeitung bedeutet jeder Umgang mit Personendaten, unabhängig von den angewandten Mitteln und Verfahren, insbesondere das Beschaffen, Speichern, Aufbewahren, Verwenden, Verändern, Veröffentlichen, Archivieren, Löschen oder Vernichten von Personendaten.
Die SZKB bearbeitet Ihre Personendaten nur soweit nötig und, abhängig von der von Ihnen bei der SZKB bezogenen Produkten oder Dienstleistung. Nachstehend werden die wichtigsten Personendaten oder Kategorien von Personendaten aufgezählt:
- Stamm- und Bestandesdaten (z.B. Name, Adresse, Geburtsdatum, Steuerwohnsitz, Staatsangehörigkeit, Vertragsnummer und -dauer, Kennnummern wie z.B. Kontonummer, Dokumente zur Feststellung der Kundenidentität, Informationen zum Konto, Depot, zu abgeschlossenen Geschäften oder über Dritte wie Lebenspartner, Bevollmächtigte und Berater, die von einer Datenbearbeitung mitbetroffen sind).
- Soweit relevant und gesetzlich zulässig, kann die Datenbearbeitung auch besonders schützenswerte Personendaten umfassen (z.B. Gesundheitsdaten, biometrische Daten oder Daten über verwaltungs- oder strafrechtliche Sanktionen).
- Informationen über die finanzielle Situation (z.B. Bonitätsdaten) oder Situation des Unternehmens.
- Angaben über Ausbildung und berufliche Situation.
- Technische Daten (z.B. IP-Adressen oder sonstige Daten, die z.B. beim Zugriff auf unsere Webseite anfallen).
- Nutzungsdaten von E-Banking und Mobile Banking.
- Transaktions- und Auftragsdaten.
- Unter Umständen Aufzeichnungen von Telefongesprächen (sofern für Schulungs- und Qualitätssicherungszwecke oder zu Beweiszwecken erforderlich oder zur Erfüllung gesetzlicher oder regulatorischer Vorgaben vorgesehen).
- Videoaufzeichnungen aus Sicherheitsgründen.
- Einzelheiten über Interaktionen (z.B. Schrift- oder E-Mail-Verkehr).
- Marketinginformationen (z.B. Angaben über Bedürfnisse, Wünsche, Präferenzen, Teilnahme an Veranstaltungen, Reaktion auf Marketingmitteilungen).
- Daten aus öffentlich zugänglichen Quellen (z.B. Schuldnerverzeichnisse, Grundbücher, Handelsregister, Presse, Internet usw.), die legitim verfügbar sind oder welche der SZKB von sonstigen Dritten (z. B. einer Kreditauskunftsstelle oder von Kooperationspartnern) berechtigterweise übermittelt werden.
Schliesslich werden von der SZKB Interessenten- oder Besucherdaten (z.B. Besucher in einer Filiale oder auf der Webseite) bearbeitet. Dazu gehören vor allem Stamm- und Bestandesdaten wie z.B. Name, Adresse, Geburtsdatum, Telefonnummer, technische Daten wie z.B. interne und externe Kennungen, IP-Adressen, Aufzeichnungen von Zugriffen oder Änderungen sowie Marketingdaten wie z.B. Bedürfnisse, Wünsche oder Präferenzen.
5. Herkunft der Personendaten
Die SZKB bearbeitet Personendaten folgender Herkunft:
- Personendaten, die der SZKB direkt mitgeteilt werden, z.B. im Rahmen der Eröffnung einer Geschäftsbeziehung, eines Beratungsgesprächs, für Produkte und Dienstleistungen oder auf der Webseite der SZKB.
- Personendaten, die aufgrund der Inanspruchnahme von Produkten und Dienstleistungen anfallen und durch die technische Infrastruktur oder durch arbeitsteilige Prozesse an die SZKB übermittelt werden, z.B. bei Webseiten, beim E- oder Mobile-Banking, bei Apps, im Zahlungsverkehr, im Wertschriftenhandel oder bei der Zusammenarbeit mit anderen Finanz- oder IT-Dienstleistern oder Marktplätzen und Börsen.
- Personendaten aus Drittquellen, sofern diese für die Erbringung unserer Dienstleistungen oder für Recherchen erforderlich sind und berechtigterweise übermittelt werden wie z.B. Grundbücher, Handelsregister, Behörden, Kreditauskunftsstelle oder allfälligen Sanktionslisten.
6. Mögliche Empfänger von Personendaten und Bekanntgabe ins Ausland
Innerhalb der SZKB haben diejenigen Stellen Zugriff auf Ihre Personendaten, welche diese zur Aufnahme, zum Abschluss oder zur Durchführung eines Vertrages bzw. einer Geschäftsbeziehung benötigen.
Grundsätzlich werden keine Daten über Sie an Dritte (z.B. Auftragsbearbeiter) weitergegeben, welche nicht der Vertragserfüllung dienen. Liegt jedoch ein rechtskräftiges und vollstreckbares Urteil, eine Verfügung oder eine gesetzliche Pflicht vor, müssen Personendaten an Behörden im In- und Ausland aufgrund von zivil-, verwaltungs- und strafrechtlichen Verfahren herausgegeben werden.
Auftragsbearbeiter sind Dritte, welche Personendaten im Auftrag und für die Zwecke der SZKB bearbeiten (z.B. IT-, Marketing,- Vertriebs- oder Kommunikationsdienstleister). Sofern dem Auftragsbearbeiter Personendaten bekannt gegeben werden, darf dieser die Daten nur so bearbeiten wie die SZKB dies selbst tun dürfte. Die SZKB wählt ihre Auftragsbearbeiter sorgfältig aus und verpflichtet sie vertraglich dazu, die Vertraulichkeit, das Bankkundengeheimnis sowie die Sicherheit der Personendaten zu gewährleisten.
Eine Übermittlung der Personendaten ins Ausland kann in folgenden Fällen grundsätzlich stattfinden, sofern:
- es zur Ausführung Ihrer Aufträge erforderlich ist (z. B. Zahlungs- und Wertpapieraufträge)
- dies gesetzlich vorgeschrieben ist (z. B. steuerrechtliche Meldepflichten oder Amts- und Rechtshilfe gegenüber ausländischen Behörden)
- aufgrund des Beizugs von Dienstleistern (Verarbeitung von Auftragsdaten) notwendig ist
- überwiegende Interessen der SZKB bestehen oder
- sofern notwendig, die Einwilligung des Kunden vorliegt
Die Bekanntgabe Ihrer Personendaten erfolgt gestützt auf einer genügenden gesetzlichen Grundlage und sollte die Gesetzgebung des betreffenden Landes keinen angemessenen Schutz gewährleisten, aufgrund hinreichender datenschutzrechtlicher Garantien (z.B. anerkannter Standardvertragsklauseln oder sonstigen Garantien).
Die Personendaten werden in der Schweiz und in EWR-Mitgliedsstaaten bearbeitet bzw. übermittelt. Sollten die Daten in einen anderen als die vorgenannten Staaten übermittelt werden, wird ein geeigneter Datenschutz gewährleistet und die SZKB informiert Sie, sofern notwendig, im konkreten Fall darüber.
7. Dauer der Aufbewahrung von Personendaten
Ihre Personendaten werden so lange gespeichert, als es zur Erfüllung der vertraglichen, gesetzlichen oder regulatorischen Pflichten oder zur Erfüllung interner Vorgaben notwendig ist. Die Personendaten werden für die Dauer der Geschäftsbeziehung bzw. Vertragsdauer und anschliessend für grundsätzlich 10 Jahre (je nach anwendbarer Rechtsgrundlage) aufbewahrt. Laufende oder zu erwartende rechtliche oder aufsichtsrechtliche Verfahren oder sonstige überwiegende Interessen können eine Speicherung der Daten über diese Zeitspanne hinaus zur Folge haben. Ist kein Grund mehr für die Aufbewahrung gegeben, werden diese - soweit technisch möglich - gelöscht bzw. anonymisiert.
8. Pflicht zur Bereitstellung von Personendaten
Um eine Geschäftsbeziehung mit Ihnen einzugehen und in der Folge den vertraglichen Verpflichtungen nachzukommen, ist die SZKB darauf angewiesen, dass Sie gewisse Personendaten zur Verfügung stellen. Ohne diese Daten können die von Ihnen gewünschten Dienstleistungen grundsätzlich nicht erbracht werden. Insbesondere sind wir aufgrund von geldwäschereirechtlichen Vorschriften verpflichtet, Sie vor dem Eingehen einer Geschäftsbeziehung anhand eines Ausweisdokuments zu identifizieren und dabei Angaben wie Name, Geburtsdatum, Staatsangehörigkeit, Adresse sowie Ausweisdaten zu bearbeiten. Sollten sich während der Geschäftsbeziehung Änderungen an diesen Daten ergeben, sind diese der SZKB umgehend mitzuteilen.
9. Automatisierte Einzelentscheidung im Einzelfall und Profiling sowie Einsatz von Künstlicher Intelligenz
Teilweise werden Personendaten automatisiert verarbeitet, um bestimmte persönliche Aspekte, die eine natürliche Person betreffen, zu bewerten (Profiling). Hierbei kann es sich beispielsweise um die Datenbearbeitung im Hinblick auf gesetzliche und regulatorische Vorgaben zur Bekämpfung von Geldwäscherei, Terrorismusfinanzierung und vermögensgefährdenden Straftaten handeln, in Hinblick auf Kreditentscheide oder um die Beratung bzw. das Angebot von Produkten und Informationen, welche auf Ihre individuelle Situation zugeschnitten sind und nach Beurteilung der SZKB für Sie von Interesse sein könnten. Eine vollautomatisierte Entscheidfindung hierzu findet derzeit nicht statt. Die SZKB behält sich jedoch vor, inskünftig Personendaten auch vollautomatisiert zu analysieren und zu bewerten, um wesentliche persönliche Aspekte des Kunden zu erkennen oder Entwicklungen vorherzusagen und Kundenprofile zu erstellen. Soweit gesetzlich vorgeschrieben, wird Sie die SZKB entsprechend darüber informieren und sicherstellen, dass - sofern gesetzlich vorgesehen - Sie Ihren Standpunkt darlegen können und eine natürliche Person die automatisierte Einzelentscheidung überprüft.
Ferner kann im Hinblick auf die Erfüllung gesetzlicher oder regulatorischer Verpflichtungen, insbesondere zur Erfüllung von Compliancevorgaben, Künstliche Intelligenz (KI) eingesetzt werden.
10. Ihre Rechte
Gestützt auf die schweizerische Datenschutzgesetzgebung kann jede betroffene Person Auskunft von der SZKB darüber verlangen, ob, und falls ja, welche Daten über sie bearbeitet werden und gespeichert sind.
Als betroffene Person können Sie verlangen, dass unrichtige Personendaten berichtigt, unvollständige Daten vervollständigt oder die Bearbeitung Ihrer Daten eingeschränkt wird. Sie können ferner Ihre Personendaten löschen lassen oder der Bearbeitung mit Wirkung für die Zukunft widersprechen. Schliesslich können Sie die Herausgabe Ihrer Personendaten oder die Übertragung an eine andere Verantwortliche verlangen.
Die SZKB kann die Ausübung solcher Rechte im rechtlich zulässigen Rahmen aufschieben, einschränken oder verweigern. Wir können Sie als betroffene Person auf allenfalls zu erfüllende Voraussetzungen für die Ausübung Ihrer Rechte hinweisen. Wir müssen eine betroffene Person, die ihre Rechte ausüben möchte, mit angemessenen Massnahmen identifizieren. Als betroffene Person sind Sie zur Mitwirkung verpflichtet.
Als betroffene Person haben Sie ein Beschwerderecht bei der zuständigen Datenschutzbehörde.
11. Zuständigkeit sowie Kontaktdaten für die Ausübung Ihrer Rechte
Für die Datenbearbeitung verantwortlich ist:
Schwyzer Kantonalbank
Postfach
6431 Schwyz
Ihre Fragen in Zusammenhang mit dem Datenschutz, insbesondere der Datenbearbeitung, können Sie schriftlich unter Beilage eines Identifikationsnachweises an folgende Adresse zu richten:
Schwyzer Kantonalbank
Datenschutzberater
Postfach
6431 Schwyz
oder per Mail an datenschutz@szkb.ch
12. Änderung der Datenschutzerklärung
Die SZKB behält sich vor, die Datenschutzerklärung bei Bedarf anzupassen. Es gilt die jeweils aktuelle, auf unserer Webseite publizierte Fassung.
Stand der Datenschutzerklärung August 2023