Mit diesen Informationen geben wir Ihnen einen Überblick über die Verarbeitung Ihrer personenbezogenen Daten durch die Reisebank AG und informieren Sie über Ihre Rechte aus dem Datenschutzrecht. Welche Daten wir im Einzelnen verarbeiten und in welcher Weise diese genutzt werden, richtet sich maßgeblich nach den jeweils beantragten bzw. vereinbarten Dienstleistungen. Nachfolgen handelt es sich um Leistungen im Zusammenhang mit der Reisebank Mastercard.

1. Wer ist für die Datenverarbeitung verantwortlich und an wen kann ich mich werden?

Verantwortliche Stelle

Reisebank AG
Platz der Republik 6
60325 Frankfurt am Main
Servicenummer: 069 97 88 07 650

Datenschutzbeauftragter

Reisebank AG
Platz der Republik 6
60325 Frankfurt am Main
datenschutzbeauftragter@reisebank.de

2. Welche Quellen nutzen wir?

Wir verarbeiten personenbezogene Daten, die wir im Rahmen unserer Geschäftsbeziehung von Ihnen erhalten. Dies sind die Daten, die im Zusammenhang mit den Leistungen der Reisebank Mastercard erhoben werden.

3. Welche Daten nutzen wir?

Relevante personenbezogene Daten sind:

• Geschlecht
• Titel
• Vorname, Nachname
• Adresse: Straße, Hausnummer, Postleitzahl, Ort
• Kontaktdaten: Telefonnummer, Mobilfunknummer, E-Mail-Adresse
• Ausweisdaten: Ausweisart, Ausweisnummer, Ausstellungsdatum, Ausweisgül gkeit, Ausstellende Behörde, Staatsangehörigkeit, Geburtsdatum, Geburtsort, Geburtsland
• Mittelherkunft
• Mittelverwendung
• Produktnutzung
• Bankverbindung
• Transaktionsdetails: Umsatz, Händler, Transaktionsdatum
• Kartendetails: Verfalldatum, Sicherheitscode, Kartennummer

4. Wofür verarbeiten wir Ihre Daten (Zweck der Verarbeitung) und auf welcher Rechtsgrundlage?

Wir verarbeiten die vorab genannten personenbezogenen Daten im Einklang mit den Bestimmungen der EU-Datenschutz-Grundverordnung (DSGVO) und des Bundesdatenschutzgesetzes (BDSG). Vorliegend werden die Daten zum Zwecke der Erfüllung der Verpflichtungen der Reisebank im Zusammenhang mit den Leistungen der Reisebank Mastercard verarbeitet.

4.1. Zur Erfüllung vertraglicher Pflichten (Artikel 6 Abs.1 b DSGVO)

Die Verarbeitung personenbezogener Daten erfolgt zur Erbringung von Leistungen im Rahmen von Bankgeschäften und Finanzdienstleistungen im Zusammenhang mit der Durchführung unserer Verträge mit unseren Kunden oder zur Durchführung vorvertraglicher Maßnahmen, die auf Ihre Anfrage hin erfolgen.
Die Zwecke der Datenverarbeitung richten sich in erster Linie nach dem konkreten Produkt und können unter anderem Bedarfsanalysen, Beratung, Vermögensverwaltung und -betreuung sowie die Durchführung von Transaktionen umfassen. Die weiteren Einzelheiten zum Zweck der Datenverarbeitung können Sie den jeweiligen Vertragsunterlagen und Geschäftsbedingungen entnehmen. Die Rechtmäßigkeit der Verarbeitung dieser Daten ergibt sich aus Artikel 6 Abs.1 b DSGVO.

4.2. Zur Erfüllung einer rechtlichen Verp ichtung (Artikel 6 Abs.1 c DSGVO)

Zudem unterliegt die Reisebank AG diversen rechtlichen Verpflichtungen, das heißt gesetzlichen Anforderungen sowie bankaufsichtsrechtlichen Vorgaben der Bundesanstalt für Finanzdienstleistungsaufsicht.
Zu den Zwecken der Verarbeitung gehören unter anderem die Identitäts- und Altersprüfung, die Betrugs- und Geldwäscheprävention, die Erfüllung steuerrechtlicher Kontroll- und Meldepflichten sowie die Bewertung und Steuerung von Risiken bei der Reisebank AG und im Konzern.
Aufgrund der hohen Komplexität und Masse an individuellen Anforderungen im Rahmen der bankaufsichtsrechtlichen Vorgaben wenden Sie sich für weitere Informationen bitte mit einer Anfrage für die von Ihnen benötigten Informationen an unseren Datenschutzbeauftragten.

4.3. Im Rahmen der Interessenabwägung (Artikel 6 Abs. 1 f DSGVO)

Soweit erforderlich verarbeiten wir Ihre Daten über die eigentliche Erfüllung des Vertrages hinaus zur Wahrung berechtigter Interessen von uns oder Dritten. Beispiele:

Geltendmachung rechtlicher Ansprüche und Verteidigung bei rechtlichen Streitigkeiten,
Gewährleistung der IT-Sicherheit und des IT-Betriebs der Reisebank AG,
Verhinderung und Aufklärung von Straftaten,
Maßnahmen zur Geschäftssteuerung und Weiterentwicklung von Dienstleistungen und Produkten sowie Risikosteuerung im Konzern

5. Wer bekommt Ihre Daten?

Innerhalb der Reisebank AG erhalten diejenigen Stellen Zugriff auf Ihre Daten, die diese zur Erfüllung unserer vertraglichen und gesetzlichen Pflichten benötigen. Auch von uns eingesetzte Dienstleister und Erfüllungsgehilfen können zu diesen Zwecken Daten erhalten, wenn diese das Bankgeheimnis und unsere schriftlichen datenschutzrechtlichen Weisungen wahren. Dies sind in der Regel die Geschäftsbereiche:

• IT-Dienstleistungen,
• Logistk,
• Druckdienstleistungen,
• Telekommunikation,
• Inkasso
• sowie Vertrieb und Marketing

Weitere Empfänger personenbezogener Daten außerhalb der Reisebank AG können insbesondere sein:

Öffentliche Stellen und Institutionen (z. B. Deutsche Bundesbank, Bundesanstalt für Finanzdienstleistungsaufsicht, Europäische Bankenaufsichtsbehörde, Europäische Zentralbank, Finanzbehörden, Strafverfolgungsbehörden) bei Vorliegen einer gesetzlichen oder behördlichen Verpflichtung.

6. Werden Daten in ein Drittland oder an eine internationale Organisation übermittelt?

Eine Datenübermittlung in Länder außerhalb der EU bzw. des EWR (sogenannte Drittstaaten) findet nur statt, soweit dies zur Ausführung Ihrer Aufträge (z. B. Zahlungsaufträge) erforderlich, gesetzlich vorgeschrieben ist oder Sie uns Ihre Einwilligung erteilt haben. Über Einzelheiten werden wir Sie, sofern gesetzlich vorgegeben, gesondert informieren.

Zum Zwecke der Vertragserfüllung (weltweite Zahlung mit einer Mastercard Karte) sowie der Vermeidung, Ermi lung oder Feststellung von Kartenmissbrauch kann es erforderlich werden, auch Daten an Dienstleister innerhalb der EU/des EWR zu übermitteln. Die Daten werden im Rahmen der Abwicklung von Autorisierungen und Zahlungen sowie z. B. der Bearbeitung von Umsatzreklama onen (sogenannte Chargebacks) oder der Vermeidung, Ermittlung oder Feststellung von Kartenmissbrauch auch an die Kartenorganisation Mastercard mit Sitz in den USA übermittelt.

7. Wie lange werden Ihre Daten gespeichert?

Die Reisebank AG speichert Ihre personenbezogenen Daten, solange es für die Erfüllung unserer vertraglichen und gesetzlichen Pflichten erforderlich ist. Dabei ist zu beachten, dass unsere Geschäftsbeziehungen Dauerschuldverhältnisse sind, welche auf mehrere Jahre angelegt sind. Sind die Daten für die Erfüllung vertraglicher oder gesetzlicher Pflichten nicht mehr erforderlich, werden diese regelmäßig gelöscht, es sei denn, deren – befristete – Weiterverarbeitung ist erforderlich zu folgende Zwecken:

Erfüllung handels- und steuerrechtlicher Aufbewahrungspflichten: Zu nennen sind das Handelsgesetzbuch (HGB), die Abgabenordnung (AO), das Kreditwesengesetz (KWG), das Geldwäschegesetz (GwG) und das Wertpapierhandelsgesetz (WpHG). Die dort vorgegebenen Fristen zur Au ewahrung bzw. Dokumenta on betragen zwei bis zehn Jahre.
Erhaltung von Beweismitteln im Rahmen der gesetzlichen Verjährungsvorschriften. Nach den §§ 195ff. des Bürgerlichen Gesetzbuches (BGB) können diese Verjährungsfristen bis zu 30 Jahre betragen, wobei die regelmäßige Verjährungsfrist 3 Jahre beträgt.

8. Welche Datenschutzrechte haben Sie?

Sie haben das Recht, von uns jederzeit Auskunft zu verlangen über die zu Ihnen bei uns gespeicherten personenbezogenen Daten (Art. 15 DS-GVO). Dies betrifft auch die Empfänger oder Kategorien von Empfängern, an die diese Daten weitergegeben werden und den Zweck der Speicherung. Zudem haben Sie das Recht, unter den Voraussetzungen des Art. 16 DS-GVO die Berichtigung und/oder unter den Voraussetzungen des Art. 17 DS-GVO die Löschung und/oder unter den Voraussetzungen des Art. 18 DS-GVO die Einschränkung der Verarbeitung zu verlangen. Ferner können Sie unter den Voraussetzungen des Art. 20 DS-GVO jederzeit eine Datenübertragung verlangen. Personenbezogene Daten werden nur solange gespeichert, insofern dies zur jeweiligen Zweckerreichung, dies entspricht in der Regel der Vertragsdauer, erforderlich ist.

9. Inwieweit werden Ihre Daten für die Profilbildung (Scoring) genutzt?

Die Reisebank AG verarbeitet teilweise Ihre Daten automatisiert mit dem Ziel, bestimmte persönliche Aspekte zu bewerten. Wir setzen Profiling beispielsweise in folgenden Fällen ein:

Aufgrund gesetzlicher und regulatorischer Vorgaben sind wir zur Bekämpfung von Geldwäsche, Terrorismusfinanzierung und vermögensgefährdenden Straftaten verpflichtet. Dabei werden auch Datenauswertungen (u.a. im Zahlungsverkehr) vorgenommen. Diese Maßnahmen dienen zugleich auch Ihrem Schutz.
Um Sie zielgerichtet über Produkte informieren und beraten zu können, setzen wir Auswertungsinstrumente ein. Diese ermöglichen eine bedarfsgerechte Kommunikation und Werbung einschließlich Markt- und Meinungsforschung.

Sonderbedingungen und Verfahrensweise für die gesicherte Authentifizierung der Mastercard® Kartenzahlung im Internet

1. Mastercard Identity Check

1.1. Nach Ziffer 6. der Allgemeinen Geschäftsbedingungen für die Reisebank Mastercard (AGB) sind Sie verpflichtet, zur Vermeidung von Missbräuchen ein Verfahren zur starken Kundenauthentifizierung bei Internetzahlungen einzusetzen, sofern ein solches sicheres Bezahlverfahren für Internetzahlungen von der Kartenakzeptanzstelle (nachfolgend „Akzeptanzstelle“) unterstützt und dessen Nutzung durch die Reisebank gefordert wird.

1.2. Mastercard Identity Check ist solch ein sicheres Bezahlverfahren, das dazu dient sicherzustellen, dass ein Zahlungsauftrag bei einer Akzeptanzstelle, die an diesem Verfahren teilnimmt, auch tatsächlich von Ihnen autorisiert wurde und die Karte nicht zu Unrecht belastet wird. Hierzu erteilen Sie beim Bezahlvorgang gegenüber einem Dienstleister der Reisebank mittels Eingabe einer auf den Einzelumsatz bezogenen Transaktionsnummer (mTAN) oder alternativ durch Freigabe in einer durch die Reisebank bereitgestellten App der Akzeptanzstelle die Zustimmung zur Ausführung des Zahlungsvorgangs (Autorisierung, vgl. Ziffer 6 Abs. (2) der AGB). Die hierfür benötigte mTAN wird an ein zum SMS-Empfang geeignetes Endgerät (z. B. Mobiltelefon) übermittelt oder die Freigabe wird in einer auf Ihrem Endgerät installierten, durch die Reisebank bereitgestellten, App durchgeführt.

1.3. Diese Sonderbedingungen gelten ergänzend zu den Allgemeinen Geschäftsbedingungen für die Reisebank Mastercard (AGB). Im Falle eines Widerspruchs zu den AGB gehen diese den Sonderbedingungen vor.

1.4. Zur Nutzung des App-Verfahrens ist die Installation einer von der Reisebank bereitgestellten App auf Ihrem mobilen Endgerät (z. B. Smartphone) erforderlich. Die Nutzung des SMS-Verfahrens setzt die Erreichbarkeit per SMS voraus. Die Nutzung des App-Verfahrens setzt zusätzlich eine Internetverbindung des Endgerätes voraus. Beides gehört nicht zum Leistungsangebot der Reisebank. Beide Verfahren setzen weiter die Erreichbarkeit des Berechtigungsdienstes via Internet voraus. Der Berechtigungsdienst ist mit Ausnahme üblicher Wartungs- und Updatezeiten erreichbar.

2. Registrierung

2.1. Erforderliche Daten und technische Anforderungen

Um sich zur Teilnahme am sicheren Bezahlverfahren zu registrieren, benötigen Sie

• für das „SMS-Verfahren“ ein Endgerät (z. B. Mobiltelefon) mit der Möglichkeit des SMS-Empfangs (nachfolgend „Mobiltelefon“ genannt) oder
• für das „App-Verfahren“ ein Endgerät (z. B. Smartphone/Tablet) mit der Möglichkeit der Nutzung der durch die Bank bereitgestellten App,
• Ihre Kartennummer mit zugehörigem Webcode,
• einen von der Reisebank im Rahmen der Registrierung übermi elten Aktivierungscode.

2.2. SMS-Verfahren

Ein gesonderter Registrierungsprozess ist bei dem SMS-Verfahren nicht erforderlich. Sie legen bei Abschluss des Kreditkartenvertrags die Rufnummer Ihres Mobiltelefons fest, an das künftig die zur Autorisierung des Zahlungsauftrags erforderlichen TANs übermittelt werden sollen. Ein Kartenkauf ohne Angabe der Rufnummer des Mobiltelefons ist nicht möglich. Danach ist das SMS-Verfahren freigeschaltet.

2.3. App-Verfahren

Das App-Verfahren setzt voraus, dass Sie die von der Reisebank bereitgestellte App auf Ihrem Endgerät installieren und mit Ihrer Reisebank Mastercard (nachfolgend „Karte“) per Aktivierungscode verknüpfen. Die im Rahmen der Registrierung im Kundenbanking erzeugte Kennung (Customer-ID) ist bei der Registrierung in der App zusammen mit dem per SMS versandten Registrierungscode/smsTAN anzugeben. Danach ist das App-Verfahren freigeschaltet und Sie haben die Möglichkeit, Zahlungen innerhalb der App freizugeben.

2.4. Weitere Informationen

Die Reisebank wird Sie niemals per E-Mail oder Anruf zur Registrierung oder Bekanntgabe Ihrer Registrierungsdaten au ordern.

Die Reisebank behält sich das Recht vor, nicht beide vorgenannten Verfahren anzubieten oder sie durch ein anderes oder mehrere andere Verfahren zu ersetzen. Wir werden Sie hierüber vorab unterrichten.

3. Gesichertes Bezahlverfahren

3.1. SMS-Verfahren

Sobald das sichere Bezahlverfahren bei einer Transaktion von der Akzeptanzstelle gefordert wird, erhalten Sie eine SMS-Benachrichtigung mit Transaktionsdetails und pro Transaktion generierter TAN auf Ihr Endgerät zugestellt. Durch Eingabe der erhaltenen TAN im Kaufprozess wird der Zahlungsauftrag autorisiert.

3.2. App-Verfahren

Beim App-Verfahren werden die Transaktionsdetails direkt an eine besonders geschützte App auf Ihr Endgerät übermittelt. Sobald das sichere Bezahlverfahren bei einer Transaktion von der Akzeptanzstelle gefordert wird, erhalten Sie auf Ihrem Endgerät eine Benachrichtigung. Nach Eingabe der App-Geheimzahl (PIN) bzw. durch biometrische Freigabe (sofern vom Betriebssystem Ihres Endgeräts unterstützt) öffnet sich die App und die Transaktionsdetails werden angezeigt. Durch Freigabe in der App wird der Zahlungsauftrag autorisiert.

3.3. Die Nutzung des gesicherten Bezahlverfahrens für Internet-Zahlungen kann für bestimmte Transaktionen zur Risikoprävention von der Reisebank eingeschränkt sein.

4. Ihre Sorgfalts- und Mitwirkungspflichten

4.1. Sie haben dafür Sorge zu tragen, dass kein Dritter zur Durchführung von Internet-Zahlungen Zugang zu Ihrem für das Verfahren genutzten Endgerät erlangt. Die App ist gegen unberechtigten Zugriff – z. B. durch ein sicheres Passwort – zu schützen. Das Endgerät ist vor Verlust und Diebstahl zu sichern. Im Fall von Verlust oder Diebstahl des Endgerätes ist nach Möglichkeit die App per Fernzugriff zu löschen und die SIM-Karte des Endgerätes sperren zu lassen. Zugangsdaten zur App dürfen nicht auf dem Endgerät gespeichert werden. Die App darf nicht auf Endgeräten eingesetzt werden, deren Betriebssystem manipuliert wurde, z. B. durch sogenannte Jailbreaks oder Rooten oder sonstige nicht vom Hersteller des Endgeräts freigegebene Betriebssystemvarianten.

4.2. Das Endgerät, das zur Freigabe der Transaktion dient, sollte nicht gleichzeitig für die Internet-Zahlungen genutzt werden (physische Trennung der Kommunikationskanäle).

4.3. Sie haben die Übereinstimmung der von der Reisebank an Sie übermittelten Transaktionsdaten mit den von Ihnen für die Transaktion vorgesehenen Daten abzugleichen. Bei Unstimmigkeiten ist die Transaktion abzubrechen und die Reisebank zu informieren.

4.4. Sie haben die App nur aus offziellen App-Stores (Apple App Store oder Google Play Store) herunterzuladen und die für die App vorgesehenen Updates regelmäßig zu installieren.

5. Änderung der Mobilfunknummer

5.1. Sofern Sie Ihre für das Verfahren genutzte Mobilfunknummer ändern, müssen Sie diese in Ihrem Kundenbanking aktualisieren.

5.2. Ist kein Nachrichten-Versand an die bisher registrierte Kennung möglich (z. B. das Endgerät mit der hinterlegten Kennung wurde gestohlen), muss der Karteninhaber den Registrierungsprozess erneut durchlaufen.

6. Abmeldung vom Verfahren (nur bei Nutzung der App möglich)

6.1. Sie können sich von der Teilnahme am sicheren Bezahlverfahren abmelden, in dem Sie in den Einstellungen in der App Ihr Profil löschen.

6.2. Wenn Sie das Profil löschen, ist es Ihnen erst nach dem Anlegen eines neuen Profils in der App wieder möglich, Ihre Karte für Internetzahlungen bei am sicheren Bezahlverfahren teilnehmenden Akzeptanzstellen einzusetzen.

7. Datenerhebung und Datenverarbeitung, Einschaltung Dritter

7.1. Die Reisebank bedient sich zur Bewirkung der von ihr im Rahmen von Mastercard Identity Check zu erbringenden Leistungen und zur Einforderung der von Ihnen zu erbringenden Leistungen Dritter.

7.2. Hat ein beauftragter Dienstleister seinen Sitz in einem Land außerhalb der Europäischen Union oder des Europäischen Wirtschaftsraums (z. B. Schweiz oder USA) wird die Reisebank vor der Datenübermittlung für ein angemessenes Datenschutzniveau im Sinne der aktuellen gesetzlichen Anforderungen sorgen, es sei denn, dass bereits eine Angemessenheitsentscheidung der Europäischen Kommission zugunsten des Landes vorliegt, in dem dieser Dienstleister seinen Sitz hat. Die Schweiz gilt datenschutzrechtlich als sicherer Staat.

7.3. Ausschließlich zum Zweck der Abwicklung des sicheren Bezahlverfahrens werden Ihre personenbezogenen Daten im Rahmen der Registrierung und Daten zum Zahlungsvorgang (insb. Kartennummer, die hinterlegte Mobilfunknummer sowie ein Protokoll des authentizierten Zahlungsauftrags, der versendeten Nachrichten und die IP-Adresse und Geräte-/Browserdaten des aufrufenden Geräts, Daten zur Transaktion/Bestellung) an den jeweiligen Dienstleister weitergegeben und von diesem verarbeitet, um die Kundenauthentifizierung zu überprüfen und eine Risikoprüfung für die Transaktion durchzuführen. Spätestens mit Beendigung des Kartenvertrags werden die Registrierungsdaten gelöscht, sofern keine gesetzlichen Aufbewahrungspflichten entgegenstehen.

7.4. Nimmt eine Akzeptanzstelle an dem Verfahren teil, übernimmt der jeweilige Dienstleister Ihre Authentifizierung und teilt der Akzeptanzstelle mit, ob diese erfolgreich war. Weitere Daten werden nicht an die Akzeptanzstelle übermittelt. War die Authentifizierung nicht erfolgreich, wird der Zahlungsauftrag abgelehnt (vgl. Ziffer 7 der AGB).

Stand: 02/2023