Personenbezogene Daten

1.1 Informationen, die wir von Ihnen einholen

Personenbezogene Daten werden in erster Linie direkt von Ihnen erhoben, beispielsweise wenn Sie mit uns einen Vertrag abschließen, unsere Dienstleistungen und Produkte nutzen oder uns zu einem anderen Thema über einen unserer Kommunikationskanäle kontaktieren. Als Neukunde fragen wir Sie beispielsweise nach Identifikations- und Kontaktinformationen wie Name, Adresse, Steuer-ID, E-Mail-Adresse und Telefonnummer. Wenn Sie einen Kredit oder eine Kreditkarte beantragen, bitten wir Sie um zusätzliche Informationen zu Ihren finanziellen und persönlichen Verhältnissen, wie z. B. Schulden, Angaben zu Einnahmen und Ausgaben sowie familiären Verhältnissen, um beurteilen zu können, ob wir Ihnen das Produkt oder die Dienstleistung anbieten können, an dem/der Sie interessiert sind.

Bei der Anmeldung auf unserer Website/in der App und bei der Unterzeichnung einer Vereinbarung werden Daten verarbeitet. Bei der Nutzung der Website werden IP-Adressen verarbeitet, siehe weiter unten in unserem Informationstext zu Cookies.

Für die Nordax Bank zeichnen wir zu Ihrer und unserer Sicherheit alle eingehenden und ausgehenden Anrufe auf. Für Bank Norwegian zeichnen wir eingehende Anrufe auf, es sei denn, Sie haben sich dafür entschieden, den Anruf nicht aufzuzeichnen. Für Speicherfristen siehe Abschnitt 4.

1.2 Informationen aus anderen Quellen

Wir sammeln auch Informationen aus anderen Quellen als direkt von Ihnen. Wenn Sie über einen Kreditvermittler einen Kredit oder eine Kreditkarte beantragen, erfassen wir die Informationen, die Sie dem Vermittler zur Verfügung gestellt haben, um Ihren Antrag zu bearbeiten. Wir sammeln auch Informationen von Kreditauskunfteien und anderen externen Registern, zum Beispiel dem zentralen Schuldnerverzeichnis, der SCHUFA Holding AG (SCHUFA) und Creditreform Boniversum GmbH (Boniversum), um sicherzustellen, dass Ihre Informationen korrekt sind, und um Informationen über Ihre bestehende und frühere Kreditwürdigkeit zu erhalten. Sofern Sie eingewilligt haben, werden auch Kontoinformationen und Transaktionshistorie von Ihrer Hausbank über einen von Ihnen zugelassenen Kontoinformationsdienstleister erfasst.

Namen und Adressdaten werden laufend über einen Abgleich mit der SCHUFA aktualisiert.

Im Zusammenhang mit der Durchführung von Zahlungstransaktionen erheben wir Informationen von Absendern, Zahlungsanbietern und Händlern.

Im Rahmen unserer Arbeit zur Bekämpfung von Geldwäsche und Terrorismusfinanzierung erheben wir möglicherweise personenbezogene Daten von anderen Banken, Behörden, Sanktionslisten (bereitgestellt von internationalen Organisationen wie der EU und den Vereinten Nationen sowie nationalen Organisationen wie dem OFAC – Office of Foreign Asset Control) und anderen kommerziellen Informationsdiensten, die beispielsweise Informationen über Personen in einer politisch exponierten Position bereitstellen.

Hier können Sie sehen, zu welchen Zwecken wir Ihre personenbezogenen Daten verarbeiten und auf welche Rechtsgrundlage wir die Verarbeitung stützen.

2.1 Weitere Informationen zu den von uns verwendeten Rechtsgrundlagen

Wir stützen unsere Verarbeitung personenbezogener Daten im Wesentlichen auf folgende Rechtsgrundlagen:

• Erfüllung von Vereinbarungen/Verträgen – wenn die Verarbeitung für den Abschluss oder die Erfüllung eines Vertrags mit Ihnen gemäß Artikel 6 Abs. 1 lit. b) DSGVO erforderlich ist.
• Gesetzliche Verpflichtung – wenn die Verarbeitung erforderlich ist, damit NOBA eine rechtliche Verpflichtung erfüllen kann, gemäß Artikel 6 Abs. 1 lit. c) DSGVO.
• Intressenabwägung – wenn die Verarbeitung zur Erfüllung eines berechtigten Interesses erforderlich ist und NOBA gemäß Artikel 6 Abs. 1 lit. f) DSGVO zu dem Schluss gekommen ist, dass unser Interesse an der Verarbeitung der Daten Ihr Interesse an der Nichtverarbeitung der Daten überwiegt. Sie haben jederzeit das Recht, einer Behandlung auf der Grundlage einer Interessenabwägung zu widersprechen, und Sie können sich auch an uns wenden, um weitere Informationen über die vorgenommene Beurteilung zu erhalten. Die Kontaktdaten finden Sie in Abschnitt 8.

In einigen Fällen ist Ihre Einwilligung gemäß Artikel 6 Abs. 1 lit. a) DSGVO die Rechtsgrundlage für die Verarbeitung personenbezogener Daten. Eine Einwilligung zur Verarbeitung personenbezogener Daten holen wir beispielsweise für den Einsatz bestimmter Cookies und für verhaltensbasiertes Marketing ein, das nicht auf einer Interessenabwägung beruhen kann.

Sie haben das Recht, Ihre Einwilligung jederzeit zu widerrufen. Wir haben dann kein Recht mehr, die Daten aufgrund der Einwilligung zu verarbeiten. Für Cookies ändern Sie Ihre Einstellungen selbst in Ihrem Browser und für einige unserer Dienste können Sie Ihre Marketingeinstellungen ändern, indem Sie sich über unsere Website/App anmelden. Sofern Sie Ihre Einwilligung ansonsten widerrufen möchten, finden Sie unsere Kontaktdaten unter Ziffer 8.

2.2 Zweck und Rechtsgrundlage

Hier wird beschrieben, zu welchen Zwecken wir personenbezogene Daten verarbeiten. Unter jedem Zweck erscheint eine Gesamtbeschreibung der Verarbeitung und der Rechtsgrundlage, auf die wir die Verarbeitung stützen. Eine detailliertere Beschreibung der verschiedenen genannten Kategorien personenbezogener Daten finden Sie in Abschnitt 1.3.

Die Verarbeitung Ihrer personenbezogenen Daten kann im Rahmen des Bankgeheimnisses durch Unternehmen unserer Gruppe zu den oben genannten Zwecken sowie durch Unternehmen erfolgen, mit denen die Gruppe bei der Erbringung ihrer Dienstleistungen zusammenarbeitet, beispielsweise Signicat (electronicID), andere Banken, Kreditmarktunternehmen, Kreditvermittler, Inkassounternehmen, Marketing- und Analyseunternehmen, Druckereien und Versicherungsunternehmen. Eine Weitergabe kann auch an andere an einem Zahlungsvorgang beteiligte Parteien erfolgen, sofern dies zur sicheren Durchführung des Zahlungsvorgangs erforderlich ist oder externe Käufer von Forderungen. Informationen zu Ihren Krediten und Kreditkarten werden an die SCHUFA weitergegeben. Die Nichterfüllung von Verpflichtungen kann unter den entsprechenden Voraussetzungen der SCHUFA als sogenannter Negativ-Eintrag gemeldet werden. Personenbezogene Daten können gemäß den gesetzlichen Verpflichtungen der Bank auch an relevante Behörden weitergegeben werden, beispielsweise an die schwedische Steuerbehörde, Polizeibehörde, Strafverfolgungsbehörde, Finanzaufsichtsbehörde und andere schwedische Behörden oder Behörden in anderen EU-/EWR-Ländern.

Ihre personenbezogenen Daten werden nur so lange gespeichert, wie es für die Zwecke, für die die Bank die Daten verarbeitet (siehe oben Ziffer 2.2), erforderlich ist. Das bedeutet u.a., dass die für die Vertragsbeziehung zwischen Ihnen und der Bank wichtigen personenbezogenen Daten für die Dauer des Bestehens einer Vertragsbeziehung, beispielsweise eines Girokontos, einer Kreditkarte, eines ausgezahlten Kredits oder eines Lieferantenvertrags, und danach maximal für die Dauer von 10 Jahren gespeichert werden unter Berücksichtigung der Verjährungsfristen.

Personenbezogene Daten, die zur Erfüllung der Anforderungen des Geldwäschegesetzes verarbeitet werden, werden in der Regel für 5 Jahre nach Beendigung der Kundenbeziehung gespeichert, in einigen Fällen kann die Frist jedoch auf bis zu 10 Jahre verlängert werden. Sofern zwischen Ihnen und der Bank keine Geschäftsbeziehung zustande gekommen ist, wird der Zeitpunkt stattdessen ab dem Zeitpunkt gezählt, an dem die Handlung oder Transaktion durchgeführt wurde, die die Anforderungen des Geldwäschegesetzes auslöste.

Personenbezogene Daten, die verarbeitet werden, um den Vorschriften der Rechnungslegungsgesetzgebung nachzukommen, werden gemäß der schwedischen Gesetzgebung 7 Jahre lang und in einigen Fällen gemäß der norwegischen Gesetzgebung, die für unsere Niederlassung gilt, 10 Jahre lang gespeichert.

Wenn Sie mit uns keinen Vertrag abschließen, beispielsweise wenn Sie einen von Ihnen beantragten Kredit nicht erhalten, werden bei Bank Norwegian die von uns im Zusammenhang mit der Bewerbung erfassten personenbezogenen Daten für die Dauer von 12 Monaten ab dem Tag, an dem Sie eine Benachrichtigung von uns erhalten haben, gespeichert.

Bei der Nordax Bank werden aufgezeichnete Telefongespräche in der Regel nach 7 Tagen gelöscht. In einigen Fällen können Anrufe jedoch länger gespeichert werden, wenn dies zur Dokumentation einer Vereinbarung (5 Jahre) oder für Schulungen und Qualitätssicherung sowie zur Bearbeitung von Beschwerden oder anderen Recherchemaßnahmen erforderlich ist (3). Monate).

Bei Bank Norwegian werden aufgezeichnete Telefongespräche nach 30 Tagen gelöscht.

Beim Profiling handelt es sich um die automatische Verarbeitung personenbezogener Daten bestehender oder potenzieller Kunden, die dazu dient, bestimmte persönliche Merkmale der Kunden zu beurteilen, beispielsweise ihre finanzielle Situation, persönliche Vorlieben, Interessen und ihren Wohnort zu analysieren oder vorherzusagen. Profiling wird von uns beispielsweise für Markt- und Kundenanalysen, Systementwicklung, Marketing, für automatisierte Entscheidungen (siehe unten) und bei der Transaktionsüberwachung zur Betrugsprävention eingesetzt.

Bei der Beantragung eines Privatkredits, einer Kreditkarte oder bei der Verlängerung eines bestehenden Kredits nutzen wir eine automatisierte Entscheidungsfindung, zu der auch ein Profiling gehört, das erhebliche Auswirkungen auf den Kunden in Form einer Ablehnung eines Kreditantrags haben kann. Die automatisierten Entscheidungen basieren auf den Finanzinformationen, die der Kunde in seinem Antrag angibt, Informationen, die wir von Kreditauskunfteien und anderen externen Registern sammeln (siehe oben unter 1.2) sowie allen internen Informationen über den Kunden (z. B. Zahlungshistorie oder frühere Ablehnungen). Die von uns erfassten Informationen werden automatisch anhand unserer internen Modelle und Mindestanforderungen an Liquidität und Solvenz bewertet. Dies bestimmt, ob dem Antrag stattgegeben wird und gegebenenfalls die Höhe des Kredits. Wir sind verpflichtet, die Kreditwürdigkeit von Personen zu beurteilen, die bei uns einen Kredit beantragen, und die automatisierte Entscheidungsfindung ist notwendig, damit Verträge objektiv und effizient abgeschlossen werden können.

In Fällen, in denen eine Kreditentscheidung ausschließlich auf einer automatisierten Verarbeitung beruhte, hat der Kunde jederzeit das Recht, die Entscheidung von einem unserer Sachbearbeiter überprüfen zu lassen. Wenn Sie Fragen zu unserer automatisierten Entscheidungsfindung haben, können Sie uns kontaktieren, siehe Kontaktdaten in Abschnitt 8.

Der sichere Umgang mit Ihren persönlichen Daten ist für unser Unternehmen von zentraler Bedeutung. Wir setzen angemessene technische, organisatorische und administrative Sicherheitsmaßnahmen ein, um Ihre personenbezogenen Daten unter Anderem vor Verlust und unbefugter Zugriff zu schützen. Zugriff auf die Daten haben bei uns nur die Personen, die personenbezogene Daten verarbeiten müssen. In Fällen, in denen wir personenbezogene Daten an Kooperationspartner oder Lieferanten übermitteln müssen, stellen wir durch Vereinbarungen und Kontrollen sicher, dass auch bei der Gegenpartei ein angemessenes Schutzniveau gewährleistet ist.

Eine Übermittlung personenbezogener Daten in Länder außerhalb der EU bzw. des EWR (sog. Drittländer) erfolgt nur, wenn dies erforderlich ist und nur dann, wenn sichergestellt ist, dass die Übermittlung im Einklang mit den für Drittlandübermittlungen geltenden Regeln erfolgt. Bei Einsatz eines Dienstleisters in einem Drittland, z.B. Im Zusammenhang mit der technischen Unterstützung ist der Lieferant verpflichtet, zusätzlich zu den Verpflichtungen, die sich aus unseren schriftlichen Anweisungen ergeben, den europäischen Standard für den Datenschutz einzuhalten, beispielsweise durch die Unterzeichnung der Standardvertragsklauseln der Europäischen Kommission und ggf. zu übernehmen ergänzende Schutzmaßnahmen. Eine Übermittlung in ein Drittland kann auch darauf beruhen, dass die EU-Kommission eine Entscheidung getroffen hat, dass das Land über ein angemessenes Schutzniveau für personenbezogene Daten verfügt (Angemessenheitsbeschluss).

Informationen zu den Ländern, für die die EU-Kommission Angemessenheitsentscheidungen getroffen hat, finden Sie hier: Angemessenheitsentscheidungen | Europäische Kommission (europa.eu)

Die Standardvertragsklauseln der Europäischen Kommission finden Sie hier: Standardvertragsklauseln (SCC) | Europäische Kommission (europa.eu)

Sie können sich an dpo@nordax.se oder dpo@banknorwegian.de wenden, um weitere Informationen über Übertragungen in Drittländer und unsere Sicherheitsvorkehrungen für solche Übertragungen zu erhalten.

Hier wird beschrieben, welche Rechte Sie nach der DSGVO haben und wie Sie diese wahrnehmen, wenn Sie eines der Rechte nutzen möchten.

• Auskunftsrecht – Sie haben das Recht zu erfahren, welche personenbezogenen Daten wir über Sie verarbeiten und können eine Kopie davon (sog. Registerauszug) anfordern.
• Recht auf Berichtigung – Sie haben das Recht, unrichtige personenbezogene Daten berichtigen zu lassen.
• Recht auf Löschung – Sie haben unter bestimmten Bedingungen das Recht, Ihre personenbezogenen Daten löschen zu lassen.
• Recht auf Einschränkung – Sie haben das Recht zu verlangen, dass wir die Verarbeitung Ihrer personenbezogenen Daten in bestimmten Fällen einschränken, z. Dabei prüfen wir, ob die Daten berichtigt oder gelöscht werden müssen.
• Widerspruchsrecht – in Fällen, in denen wir unsere Verarbeitung auf unser berechtigtes Interesse, basierend auf einer Interessenabwägung, stützen, haben Sie das Recht, der Verarbeitung personenbezogener Daten zu widersprechen. Wir werden dann eine neue Interessenabwägung vornehmen.
• Recht auf Datenübertragbarkeit – Sie haben unter bestimmten Bedingungen das Recht, Ihre personenbezogenen Daten in einem maschinenlesbaren Format zu erhalten und die Daten an einen anderen Verantwortlichen für personenbezogene Daten zu übertragen.

Eine Löschung oder Einschränkung der Verarbeitung Ihrer Daten ist nicht immer möglich, etwa wenn wir die Daten zur Abwicklung Ihrer Verträge oder zur Erfüllung gesetzlicher Vorgaben benötigen. In manchen Fällen können wir auch keine Informationen im Zusammenhang mit einem Registerauszug weitergeben, z.B. Informationen, die eine andere Person betreffen, Geschäftsgeheimnisse oder wenn die Informationen gesetzlich nicht offengelegt werden dürfen. Wir werden Ihre Anfrage im Einzelfall prüfen.

Um Ihre Rechte auszuüben, können Sie sich jederzeit über die in Abschnitt 8 genannten Kontaktdaten an uns wenden. Für unsere verschiedenen Marken verfügen wir außerdem über spezifische Prozesse, die Sie wie unten beschrieben nutzen können. Ihr Registerauszug umfasst alle von uns verarbeiteten Daten, unabhängig von der Marke, es sei denn, aus Ihrer Anfrage geht eindeutig hervor, dass Sie die Informationen für eine bestimmte Marke wünschen.

Nordax Bank:

Wenn Sie einen Registerauszug anfordern möchten, d.h. sich darüber informieren möchten, welche personenbezogenen Daten wir über Sie verarbeiten oder, wenn Sie eines Ihrer anderen Rechte aus der DSGVO nutzen möchten oder dem direkten Marketing widersprechen möchten, kontaktieren Sie uns bitte unter +46 8-508 808 00 oder DPOrequest@nordax.se.

Bank Norwegian:

Sie können Ihre Einstellungen für die Werbung der Bank Norwegian in der App ändern. Wenn Sie eines Ihrer anderen Rechte ausüben möchten, kontaktieren Sie unseren Kundenservice unter 0800 7 238470 oder senden Sie eine E-Mail an dpo@banknorwegian.de.

Wenn Sie eines Ihrer Rechte ausüben möchten, sehen Sie sich oben in Abschnitt 7 die spezifischen Prozesse für unsere verschiedenen Marken an. Sie können uns auch jederzeit unter den unten angegebenen Kontaktdaten erreichen und sich gerne an uns wenden, wenn Sie Fragen zu Verarbeitung Ihrer personenbezogenen Daten durch uns haben.

NOBA Bank Group AB (publ)

Adresse Nordax Bank: NOBA Bank Group AB (publ) Box 23124, 104 35 Stockholm, Sweden

Adresse Bank Norwegian: Postboks 110, 1325 Lysaker, Norwegen

Tel. Nordax Bank: +46 8-508 808 00

Tel. Bank Norwegian: 0800 7 238470

E-post Datenschutz Nordax Bank: DPOrequest@nordax.se, dpo@nordax.se

E-post Datenschutz Bank Norwegian: dpo@banknorwegian.de

Wenn Sie eine Meinung oder Beschwerde dazu haben, wie wir Ihre personenbezogenen Daten verarbeiten, können Sie sich gerne an unseren Datenschutzbeauftragten unter dpo@nordax.se oder dpo@banknorwegian.de oder über die anderen oben genannten Kontaktdaten wenden. Sie haben auch das Recht, eine Beschwerde bei der schwedischen Datenschutzbehörde, www.imy.se, einzureichen oder beim für Ihr Bundesland zuständigen Datenschutzbeauftragten, zu finden unter Bundesdatenschutzbeauftragte | Kontakt zu den Landesbehörden (bfdi.bund.de)