finAPI die intelligente Banking API

Datenschutzinformation der finAPI GmbH für Kontoinformations- und Zahlungsauslösedienste
Stand: Juni 2021

1. Name und Kontaktdaten der verantwortlichen Stelle sowie Kontaktdaten des betrieblichen Datenschutzbeauftragten

finAPI GmbH (im Folgenden „finAPI“), Adams-Lehmann-Straße 44, D-80797 München (AG München, HRB 175250), E-Mail: kontakt@finapi.io.
Die bzw. der betriebliche Datenschutzbeauftragte der finAPI ist unter der o.g. Anschrift, zu Hd. Abteilung Datenschutz oder per E-Mail unter datenschutz@finapi.io erreichbar.

2. Datenverarbeitung durch die finAPI GmbH

2.1 Zwecke der Datenverarbeitung und berechtigte Interessen, die von der finAPI oder einem Dritten verfolgt werden

a) finAPI ist ein von der Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) beaufsichtigtes Zahlungsinstitut.
Mit dem Kontoinformationsdienst stellen wir einen Service zur Verfügung, der es Ihnen ermöglicht, Ihre Kontoinformationen abzurufen, gegebenenfalls abhängig vom gewünschten Dienst aufzubereiten (z.B. Datenkategorisierung wie Ermittlung von Einkommen, Mietkosten, Anzahl Rücklastschriften) und diese sodann Ihrem Anbieter (z.B. Onlinehändler, kreditgebende Bank, Finanzmanagementplattform, Anbieter von Kreditwürdigkeitsprüfungen) zur Verfügung zu stellen. Hierfür loggen Sie sich über unsere Weboberfläche in Ihr Online-Banking ein. finAPI ruft daraufhin Ihre Kontoinformationen bei Ihrer Bank ab und übermittelt diese dem von Ihnen ausgewählten Anbieter.

Mit dem Zahlungsauslösedienst ermöglichen wir es Ihnen, Zahlungsaufträge und Zahlungsvorgänge bei Ihrem Kontoanbieter auszulösen. Vor der Einreichung kann Ihr Verfügungsrahmen geprüft werden.

Zur Erbringung der Kontoinformations- und Zahlungsauslösedienste ist eine Verarbeitung Ihrer personenbezogenen Daten erforderlich. Zweck der Verarbeitung ist daher zunächst die Erfüllung unserer vertraglichen Verpflichtungen gegenüber Ihnen als Endnutzer bzw. Interessenten, sowie unseren Kunden (Ihrem Anbieter).

b) Als Zahlungsinstitut unterliegt finAPI besonderen aufsichtsrechtlichen Anforderungen und regulatorischen Pflichten wie der Verhütung, Ermittlung und Feststellung von Betrugsfällen oder der Verhinderung von Terrorismusfinanzierung. Wenn Sie Kontoinformations- und Zahlungsauslösedienste der finAPI nutzen, können Ihre personenbezogenen Daten auch zur Erfüllung solcher rechtlichen Verpflichtungen von uns verarbeitet werden. Auch die Gewährleistung der IT-Sicherheit und des IT-Betriebs machen es unter Umständen notwendig, dass Ihre personenbezogenen Daten verarbeitet werden. Darüber hinaus verarbeiten wir die abgerufenen Daten im gesetzlich zulässigen und jeweils erforderlichen Umfang zu internen Zwecken. Dies umfasst die Verarbeitung zur Qualitätssicherung (z. B. die Durchführung von Auswertungen und Analysen zu unseren Dienstleistungen), zur Verbesserung und Erweiterung unserer Services (wie das Anlernen der Kategorisierung von Kontoumsätzen) und damit einhergehenden Forschungs- und Entwicklungstätigkeiten der finAPI. Weiterhin verarbeiten wir Ihre personenbezogenen Daten gegebenenfalls für das eigene Forderungsmanagement oder auch zur Direktwerbung für eigene Dienstleistungen. Wenn Sie mit uns Kontakt aufnehmen, z.B. per E-Mail, verarbeiten wir die von Ihnen übertragenen Daten zum Zwecke der Bearbeitung der Anfrage sowie für mögliche Folgekorrespondenz. Wo dies möglich ist, anonymisieren oder pseudonymisieren wir Ihre Daten.

2.2 Rechtsgrundlagen für die Datenverarbeitung

Wir verarbeiten personenbezogene Daten auf Grundlage der einschlägigen Datenschutzgesetze, insbesondere der Bestimmungen der Datenschutz-Grundverordnung (DS-GVO) und des Bundesdatenschutzgesetzes (BDSG) sowie im Einklang mit den Vorschriften des Zahlungsdiensteaufsichtsgesetzes (ZAG). Personenbezogene Daten werden von uns auf Grundlage von Art. 6 Abs. 1 Buchstabe b) DS-GVO und § 59 Abs. 2 ZAG, zur Durchführung vorvertraglicher Maßnahmen, zur Erfüllung der vertraglichen Pflichten von finAPI gegenüber unseren Kunden (Ihrem Anbieter) und Ihnen als Endnutzer bzw. Interessenten verarbeitet. Details hierzu finden Sie in unserer Nutzungsvereinbarung, die für Ihre Nutzung unserer Kontoinformations- und Zahlungsauslösedienste gilt.
Darüber hinaus verarbeiten wir Ihre Daten im unbedingt notwendigen Umfang auf Grundlage von Art. 6 Abs. 1 Buchstabe c) DS-GVO zur Erfüllung rechtlicher, insbesondere aufsichtsrechtlicher Pflichten. Gemäß Art. 6 Abs. 1 Buchstabe f) DS-GVO können wir Ihre personenbezogenen Daten verarbeiten, soweit die Verarbeitung zur Wahrung der berechtigten Interessen von finAPI oder eines Dritten erforderlich ist und nicht die Interessen oder Grundrechte und Grundfreiheiten der betroffenen Person, die den Schutz personenbezogener Daten erfordern, überwiegen. Eine Verarbeitung personenbezogener Daten erfolgt nur, wenn dies nach Abwägung aller Interessen zulässig ist. Das berechtigte Interesse an der Verarbeitung ergibt sich insoweit aus den jeweiligen Zwecken gemäß Ziffer 2.1 und kann im Übrigen auch wirtschaftlicher Natur sein.

Die Ihrem Anbieter zur Verfügung zu stellenden Kontoinformationen können gegebenenfalls besondere Kategorien personenbezogener Daten (vgl. Art. 9 Abs. 1 DS-GVO) enthalten. Dabei kann es sich um Angaben über Ihre rassische und ethnische Herkunft, politische Meinungen, religiöse oder weltanschauliche Überzeugungen, Gewerkschaftszugehörigkeit, Gesundheitsdaten oder Daten zum Sexualleben oder der sexuellen Orientierung handeln. Beispielsweise könnten aus Verwendungszwecken oder Überweisungsempfängern entsprechende Rückschlüsse gezogen werden. Die Zulässigkeit der Verarbeitung dieser Daten zur Erbringung des Dienstes vereinbaren Sie mit Ihrem Anbieter.

Sie haben keine Verpflichtung, uns personenbezogene Daten bereitzustellen. Allerdings ist uns ohne Ihre Daten die Erfüllung des Vertragsverhältnisses und damit die Erbringung der vertraglich vereinbarten Leistungen nicht möglich.

2.3 Herkunft der Daten

Wir verarbeiten Ihre personenbezogenen Daten im Rahmen von Kontoinformations- bzw. Zahlungsauslösediensten. Die hierbei anfallenden personenbezogenen Daten stammen von den Kredit- und Finanzdienstleistungsinstituten, Kreditkartenunternehmen und anderen Finanzdatenanbietern, auf die ausschließlich mit Ihrer Zustimmung und nach einem entsprechenden Login durch Sie in Ihr Onlinebanking in unserer finAPI-Anwendung zugegriffen wird. Die Datenherkunft kann daher je nach genutztem Dienst unterschiedlich sein. Da der Kontozugriff stets Ihrer Zustimmung bedarf, sind Ihnen die für den Zugriff durch finAPI freigegebenen Konten und darin enthaltenen personenbezogenen Daten bekannt.

2.4 Kategorien personenbezogener Daten, die verarbeitet werden können

• Personendaten (z.B. Kontostammdaten, Name, Vorname, Geburtsdatum, Anschrift, Geschlecht)
• Kontaktdaten (z.B. Telefonnummern, Mobilfunknummern, E-Mail-Adressen)
• Aktuelle und historische Kontoinformationen (z.B. Kontostände, Umsätze, Zahlungsempfänger, Verfügungs- bzw. Disporahmen, Daueraufträge, Terminüberweisungen)
• Zugangsdaten bzw. Anmeldedaten zu Ihren Kontoanbietern (z.B. Benutzerkennungen, PIN bzw. Passwort) | Unsere Leistungen basieren auf Funktionalitäten Ihres Online-Bankings. Wir benötigen daher einen Zugriff auf Ihr Online-Konto. Hierzu werden die Ihrem Konto zugehörigen Online-Banking-Logindaten abgefragt und in einem verschlüsselten Verfahren über unsere Systeme an Ihre Bank übermittelt. Bei einigen Banken nutzen wir hierfür spezielle Standard-Schnittstellen Ihrer Bank (z.B. FinTS oder eine dedizierte Schnittstelle für Drittdienstleister). Bei anderen Banken erfolgt der Zugriff über die Benutzeroberfläche Ihres Online-Banking, so als würden Sie sich dort selbst einloggen. Die Zugangsdaten werden nur zur Herstellung der Verbindung zu Ihrem Online-Banking verwendet und bei finAPI nur gespeichert, wenn Sie der Speicherung aktiv zugestimmt haben. Die Übermittlung an uns und an Ihre Bank erfolgt über eine den Bankenstandards entsprechende verschlüsselte Verbindung.
• Mittels elektronischer Datenverarbeitung aufbereitete und zu verschiedenen Kategorien zusammengefasste Daten (z.B. Durchschnittseinkommen, Miete, Kreditverbindlichkeiten, Anzahl Rücklastschriften)
• Besondere personenbezogene Daten, wie in Ziffer 2.2 beschrieben.
• Protokolldaten (Logfiles) wie Datum und Uhrzeit des Zugriffs, IP-Adresse (sofern von Ihrer Bank gefordert), Browsertyp und –version, verwendetes Betriebssystem, abgerufene Seiten und Geschäftsvorfälle im Online-Banking.

2.5 Kategorien von Empfängern der personenbezogenen Daten

Empfänger zu den unter Ziffer 2.1 Buchstabe a) genannten Zwecken sind im europäischen Wirtschaftsraum und in der Schweiz sowie ggf. weiteren Drittländern (sofern zu diesen ein entsprechender Angemessenheitsbeschluss der Europäischen Kommission existiert oder Standardvertragsklauseln vereinbart wurden, die unter https://www.finapi.io/datenschutz-dsgvo/ eingesehen werden können) ansässige Kunden der finAPI (d.h. die von Ihnen gewählte Anbieter). Weitere Empfänger können für die unter Ziffer 2.1 Buchstabe b) genannten Zwecke externe Auftragnehmer von finAPI nach Art. 28 DS-GVO sowie externe und interne Stellen von finAPI sein. Ferner kann finAPI zu den unter Ziffer 2.1 Buchstabe b) genannten Zwecken Kundendaten im jeweils erforderlichen und gesetzlich zulässigen Umfang ggf. auch an Dritte (z.B. externe Dienstleister wie IT-Dienstleister, Betreiber von Endnutzer-Anwendungen auf Basis von finAPI Diensten, verbundene Unternehmen wie die SCHUFA Holding AG oder Geschäftspartner, sowie an kontoführende Institute weitergeben). Sensible Zugangsdaten, die einen Zugriff auf Kontoinformationen bei Ihren Kontoanbietern ermöglichen, werden von finAPI ausschließlich an das betreffende Kontoführende Institut, nicht jedoch an sonstige Dritte weitergegeben. finAPI unterliegt zudem den gesetzlichen Eingriffsbefugnissen staatlicher Stellen.

2.6 Dauer der Datenspeicherung

Wir speichern personenbezogene Daten nur für eine bestimmte Zeit. Maßgebliches Kriterium für die Festlegung dieser Zeit ist die Erforderlichkeit. Personenbezogene Daten werden daher so lange gespeichert und verarbeitet, wie es für die jeweiligen Zwecke erforderlich ist. Dabei ist zu beachten, dass die Geschäftsbeziehung zu Ihnen auf Dauer angelegt sein kann und finAPI mindestens bis zum Ende dieser Vertragsbeziehung Daten verarbeitet. Es können zudem handels-, steuerrechtliche und aufsichtsrechtliche Aufbewahrungs-, Dokumentations- und Auskunftspflichten gelten, an die finAPI gebunden ist. Solche Fristen betragen in der Regel bis zu zehn Jahre. Darüber hinaus kann eine Verarbeitung auch länger erforderlich sein, etwa zu Zwecken der Datenschutzkontrolle und Datensicherung sowie zur Rechtsverteidigung. Sind die Daten für die Zwecke der Verarbeitung nicht mehr erforderlich, werden sie gelöscht.

3. Betroffenenrechte

Sie haben gegenüber finAPI das Recht auf Auskunft nach Art. 15 DS-GVO, das Recht auf Berichtigung nach Art. 16 DS-GVO, das Recht auf Löschung nach Art. 17 DS-GVO, das Recht auf Einschränkung der Verarbeitung nach Art. 18 DS-GVO und das Recht der Datenübertragbarkeit nach Art. 20 DS-GVO. Zur Geltendmachung dieser Rechte können Sie sich jederzeit an finAPI wenden (Kontaktdaten siehe Ziffer 1). Darüber hinaus besteht die Möglichkeit, sich an eine Aufsichtsbehörde zu wenden. Die für die finAPI zuständige Aufsichtsbehörde ist das Bayerische Landesamt für Datenschutzaufsicht.
Ihre erteilten Einwilligungen können Sie jederzeit gegenüber finAPI widerrufen. Dies gilt auch für Einwilligungen, die bereits vor Inkrafttreten der DS-GVO erteilt wurden. Der Widerruf der Einwilligung berührt nicht die Rechtmäßigkeit der bis zum Widerruf verarbeiteten personenbezogenen Daten.

Wir sind verpflichtet Sie darauf hinzuweisen, dass Sie nach Art. 21 Abs. 1 DS-GVO der Datenverarbeitung auf Grundlage von Art. 6 Abs. 1 Buchstabe e) und f) DS-GVO aus Gründen, die sich aus Ihrer besonderen Situation ergeben, widersprechen können. Der Verwendung Ihrer personenbezogenen Daten für Werbezwecke können Sie nach Art. 21 Abs. 2 DS-GVO jederzeit insgesamt oder für einzelne Maßnahmen widersprechen. Der Widerspruch kann formfrei erfolgen und ist zu richten an finAPI GmbH, Adams-Lehmann-Straße 44, D-80797 München.

4. Profilbildung / Kategorisierung

Wenn Ihr gewählter Anbieter dies benötigt, können nach einem von Ihnen ausgelösten Kontozugriff über unsere Anwendung mittels automatisierter Datenverarbeitung Informationen aus Ihrem Online Banking – Konto aufbereitet (Kategorisierung) und an Ihren Anbieter übermittelt werden, die Rückschlüsse auf Ihre persönliche und wirtschaftliche Situation zulassen (z.B. Durchschnittseinkommen, Miete, Kreditverbindlichkeiten, Anzahl Rücklastschriften).

Wir treffen keine Entscheidung zu einem von Ihnen gegebenenfalls gewünschten Produktabschluss (z.B. Kreditvergabe). Dies obliegt allein Ihrem Anbieter. Über etwaige Profilbildungen, sowie automatisierte Entscheidungsfindungen bei Ihrem Anbieter wird dieser Sie informieren.