Datenschutzhinweise für die Deka EasyID App

Unser Umgang mit Ihren Daten und Ihre Rechte

Informationen nach Art. 13, 14 und 21 der Datenschutz-Grundverordnung (DS-GVO)

Stand 11/20

Mit diesen Datenschutzhinweisen informieren wir, die DekaBank Deutsche Girozentrale, Große Gallusstraße 14, 60315 Frankfurt am Main, Sie, gemäß der Europäischen Datenschutz-Grundverordnung (DS-GVO) und des Bundesdatenschutzgesetzes (BDSG) über die Verarbeitung Ihrer personenbezogenen Daten durch uns sowie über die Ihnen zustehenden Rechte, wenn Sie unsere Deka EasyID App anwenden.

1. Wer ist für die Datenverarbeitung verantwortlich und an wen kann ich mich wenden?

Verantwortliche sind wir, die DekaBank Deutsche Girozentrale (Anstalt des öffentlichen Rechts), Große Gallusstraße 14, 60315 Frankfurt am Main, Telefon (069) 71 47 – 6 52, E-Mail: service@deka.de

Kontaktdaten des Datenschutzbeauftragten: Anschrift wie oben: c/o Datenschutzbeauftragter, E-Mail: datenschutz@deka.de.

2. Welche Quellen und Daten nutzen wir zu welchem Zweck?

Anmeldung/App-Profil

Sofern Sie sich in der Deka EasyID App für das passwortlose Anmeldeverfahren mittels QR-Code registriert haben und der Nutzung der Deka EasyID App (rechtliche Hinweise) zugestimmt haben, werden Ihre Registrierungsdaten (E-Mail-Adresse) dazu benutzt um

ein gültiges Benutzerkonto für eine der folgenden Anwendungen der DekaBank (Deka Easy Access, das eReporting der Deka Investment oder Deka User Portal) zu verifizieren und
eine Sicherheits-Verifizierung des Zugriffs auf Ihre E-Mail-Adresse zu bestätigen.

Folgende Daten werden dabei vom von uns beauftragten Dienstleister, IDEE GmbH, erhoben:

E-Mail-Adresse: Die E-Mail-Adresse wird nur zur Identifizierung des Benutzers verwendet. Es wird immer nur ein salted Hash der E-Mail-Adresse gespeichert.
Mobilgerätesprache: Diese Telefonsprache wird nur verwendet, um die richtige Sprache in der App einzustellen.
IP-Adresse und Betriebssystem: IP-Adresse und Telefon-Betriebssystem werden während der Benutzerauthentifizierung an den IDEE-Server übertragen, um verdächtige Aktivitäten auf dem Benutzerkonto zu erkennen und zu verhindern. Diese werden als Zugriffsprotokolle gespeichert.
Gerätename: Der Gerätename wird nur verwendet, um dem Benutzer zu helfen, seine registrierten Geräte zu erkennen.

Zugangsdaten

Sobald Sie sich in der Deka EasyID App registriert und mit Ihrer E-Mail-Adresse verifiziert haben, ist die App einsatzbereit. Die E-Mail-Adresse kann zudem für die Anmeldung an das Self-Service Portal der IDEE GmbH verwendet werden, wo Sie Zugriff auf Ihre Daten haben und das Mobilgerät und Konto verwaltet werden können.

Die App sammelt keine Gerätekennungen wie IMEI-, IMSI- oder MAC-Adresse.

3. Auf welcher Rechtsgrundlage verarbeiten wir Ihre Daten?

Wir verarbeiten die vorab genannten personenbezogenen Daten im Einklang mit den Bestimmungen der DS-GVO und des BDSG zur Erfüllung von vertraglichen Pflichten (Art. 6 Abs. 1 lit. b), DS-GVO)

Zur Erfüllung von vertraglichen Pflichten (Art. 6 Abs. 1 lit. b) DS-GVO)
Die Rechtsgrundlage für die Verarbeitung Ihrer personenbezogenen Daten bilden die mit Ihnen abgeschlossenen „Nutzungsbedingungen Deka EasyID App“.
Die Zwecke der Datenverarbeitung richten sich in erster Linie nach dem konkreten Service (siehe Punkt 2).
Im Rahmen der Interessenabwägung
Zur Sicherstellung der Funktionsfähigkeit unserer Dienste und zur Sicherstellung der Systemsicherheit, verarbeiten wir Ihre Daten über die eigentliche Erfüllung des Vertrages hinaus zur Wahrung berechtigter Interessen von uns oder Dritten.

4. Wer bekommt meine Daten?

Für den technischen Betrieb der Deka EasyID App können wir weisungsgebundene technische Dienstleister einsetzen. Dies ist insbesondere IDEE GmbH in München.

Innerhalb der DekaBank erhalten nur diejenigen Stellen Ihre Daten, wie es ohnehin für die Nutzeranlage der Anwendungen „das eReporting der Deka Investment“, „Deka Easy Access“ oder „Deka User Portal“ aktuell der Fall ist.

5. Welche Log-Files werden erfasst?

Als Teil der Zugriffskontrolle wird bei der Kommunikation mit dem IDEE-Server die Version und das Betriebssystem (OS) dieser Anwendung übertragen, sieben (7) Tage gespeichert und dann gelöscht. Im Falle eines identifizierten Angriffs müssen die Daten zu Sicherheitsuntersuchungszwecken länger gespeichert werden. Über die vorstehend genannten Fälle hinaus werden personenbezogene Daten nicht verarbeitet.

6. Welche Betriebssystem-Berechtigungen werden benötigt?

Die App benötigt die Erlaubnis, die Kamera des Telefons zu benutzen. Die Erlaubnis zur Verwendung der Telefonkamera wird vom Benutzer explizit erteilt und nur zum Scannen von QR-Codes am Ort der Authentifizierung verwendet. Die App sammelt keine Standortdaten.

7. Welche Cookies kommen zum Einsatz?

Cookies sind kleine Textdateien, die im Browser Ihres Endgeräts gespeichert und bei jedem Aufruf unserer Webseite an uns übertragen werden. Cookies werden ausschließlich beim Self-Service Portal der IDEE GmbH (https://oneclick.getidee.de) eingesetzt, um Sie als Nutzer zu erkennen (sog. notwendiger Cookie). Das Cookie wird automatisch gelöscht, wenn Sie das Web-Browser Fenster schließen oder sich aus der Anwendung ausloggen.

Nachfolgend finden Sie unsere Cookie-Informationen:

Cookie-Name	Nutzungszweck	Inhalt	Klasse	Lebebsdauer	Art
JSESSIONID	Die Session-ID (zu deutsch: Sitzungs-ID) des Anwendungs-Servers ist eine Identifikationsnummer, die serverseitig generiert wird, um User-Anfragen zu einer Sitzung zuzuordnen.	Session ID	Notwendiger Cookie	Session	First Party Cookie
XSRF-Token	Cross-Site Request Forgery (CSRF oder XSRF) ist eine Art böswillige Ausnutzung einer Website, bei der ein unschuldiger Endbenutzer von einem Angreifer dazu verleitet wird, eine Web-Anfrage zu stellen, die er nicht beabsichtigt hat. Das XSRF-Token-Cookie wird verwendet, um einen XSRF-Angriff auf unsere Selfservice-Seite zu verhindern.	Unique Session Value	Notwendiger Cookie	Session	First Party Cookie

8. Wie wird die Sicherheit der Daten gewährleistet?

Die gesamte Kommunikation zwischen der Anwendung und dem Server erfolgt über einen sicheren, authentifizierten Kanal unter Verwendung von Transport Layer Security (TLS).

Es wird nur TLS1.2 & TLS 1.3 unterstützt.
Wir verwenden nur Verschlüsselungs-Suites, die Perfect Forward Secrecy unterstützen.
Public Key Pinning: SSL-Pinning.
Wir verwenden eine vertrauenswürdige Zertifizierungsstelle (Entrust).
Es wird mindestens SHA-256 bei der Unterzeichnung von Zertifikaten verwendet.

9. Wie lange werden meine Daten gespeichert?

E-Mail-Adresse: Der gespeicherte salted Hash der E-Mail-Adresse wird bis zur Konto Deaktivierung bzw. Löschung (möglich über die Deka EasyID App oder das Self-Service Portal der IDEE GmbH (https://oneclick.getidee.de/self)) gespeichert.

IP-Adresse und Betriebssystem: Die IP-Adresse und Telefon-OS werden sieben Tage lang als Teil der Zugriffsprotokolle gespeichert und dann automatisch gelöscht, außer im Falle eines identifizierten Angriffs - dann müssen die Daten zu Sicherheitsuntersuchungszwecken länger gespeichert werden.

Gerätename und Mobilgerätesprache: Der Gerätename und die Telefonsprache werden automatisch gelöscht, wenn das Gerät oder das Benutzerkonto gelöscht wird.

10. Welche weiteren Datenschutzrechte habe ich?

Sie haben unter den jeweiligen gesetzlichen Voraussetzungen das Recht auf Auskunft nach Art. 15 DS-GVO und § 34 BDSG, das Recht auf Berichtigung nach Art. 16 DS-GVO, das Recht auf Löschung nach Art. 17 DS-GVO, das Recht auf Einschränkung der Verarbeitung nach Art. 18 DS-GVO, das Recht auf Widerspruch aus Art. 21 DS-GVO und § 35 BDSG sowie auf Datenübertragbarkeit aus Art. 20 DS-GVO. Außerdem haben Sie ein Beschwerderecht bei einer Datenschutzaufsichtsbehörde (Art. 77 DS-GVO i. V. m. § 19 BDSG).

Zur Begründung und Durchführung der Geschäftsbeziehung nutzen wir grundsätzlich keine automatisierte Entscheidungsfindung gemäß Art. 22 DS-GVO. Sollten wir dieses Verfahren in Einzelfällen einsetzen, werden wir Sie hierüber gesondert informieren, sofern dies gesetzlich vorgeschrieben ist.

11. Welche Widerspruchsrechte habe ich? (Art. 21 DS-GVO)

Sie haben das Recht, aus Gründen, die sich aus Ihrer besonderen Situation ergeben, jederzeit gegen die Verarbeitung Sie betreffender personenbezogener Daten, die aufgrund von Art. 6 Abs. 1 lit. f) DS-GVO (Datenverarbeitung auf der Grundlage einer Interessenabwägung Einwilligung) erfolgt, Widerspruch einzulegen.

Legen Sie Widerspruch ein, werden wir Ihre personenbezogenen Daten nicht mehr verarbeiten, es sei denn, wir können zwingende schutzwürdige Gründe für die Verarbeitung nachweisen, die Ihre Interessen, Rechte und Freiheiten überwiegen, oder die Verarbeitung dient der Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen (Art. 21 DS-GVO).