Datenschutz

Einsatz von Technologien zur App-Analyse

Um unsere mobilen Applikationen regelmäßig zu verbessern und um Fehler zu beheben, setzen wir Analysedienste ein. Wir erklären hier, welche Tools wir dafür in unseren mobilen Applikationen verwenden. Die Verarbeitung dient ausschließlich dazu, unsere App-Inhalte und Funktionen für Nutzer*innen zu verbessern.

Absturzberichte senden

Google Firebase (Crashlytics)

Die DKB AG setzt den Dienst Crashlytics von Google Firebase ein, um eine Auswertung von Absturzursachen in der App zu ermöglichen. Der Dienst Crashlytics wird durch Google Ireland Limited, Gordon House, Barrow Street, Dublin 4, Ireland in unserem Auftrag und auf der Grundlage eines Auftragsverarbeitungsvertrages betrieben.

Der Dienst Crashlytics dient der Stabilität und Verbesserung der App. Dabei greift der Dienst bei Abstürzen auf Informationen über das verwendete Gerät der Nutzer*innen zu und sammelt zudem Informationen über die Nutzung der App (z. B. der Zeitstempel, wann die App gestartet wurde und wann der Absturz aufgetreten ist), die es ermöglichen, Probleme zu diagnostizieren und zu lösen. Hierfür verarbeitet Google in unserem Auftrag Instance-IDs und die Crashlytics-Installations-UUIDs von Endgeräten der Nutzer*innen. Instanz-IDs identifizieren einzelne Installationen der App. Da jede Instanz-ID für eine bestimmte App und ein bestimmtes Gerät eindeutig ist, können Firebase-Dienste auf bestimmte App-Instanzen verweisen. Wir erhalten als Auswertung eine Übersicht über die Anzahl der Abstürze in einem bestimmten Zeitraum.

Nähere Informationen zu den Nutzungsbedingungen und Datenschutz finden Sie unter den Firebase Nutzungsbedingungen.

Soweit personenbezogene Daten verarbeitet werden, beträgt die Speicherdauer 90 Tage.

Rechtsgrundlage für den Einsatz von Crashlytics ist eine Einwilligung, im Hinblick auf den Zugriff auf das Endgerät gemäß § 25 Abs. 1 S. 1 TTDSG sowie hinsichtlich der Verarbeitung der vorgenannten personenbezogenen Daten der Nutzer*innen gemäß Art. 6 Abs. 1 Buchst. a DSGVO. Die Einwilligung ist freiwillig und kann jederzeit mit Wirkung für die Zukunft widerrufen werden, d. h. die Rechtmäßigkeit der aufgrund der Einwilligung bis zum Widerruf erfolgten Verarbeitung wird nicht berührt. Nutzer*innen können ihre Einwilligung jederzeit widerrufen, indem sie in der App den Schalter „Absturzberichte senden“ in den Einstellungen der Nutzungsdaten deaktivieren.

App-Analyse

Google Analytics for Firebase

Die DKB AG setzt den nachfolgenden Dienst von Google Firebase ein, um das Nutzerverhalten in der App besser verstehen und optimieren zu können sowie eine bessere Nutzerführung zu ermöglichen. Der Dienst Google Analytics for Firebase wird durch Google Ireland Limited, Gordon House, Barrow Street, Dublin 4, Irland, in unserem Auftrag und auf der Grundlage eines Auftragsverarbeitungsvertrages betrieben.

Google Analytics for Firebase: Dieser Dienst greift auf das Endgerät der Nutzer*innen zu und erfasst Informationen über die Benutzung der App und wertet diese aus. Dazu verarbeitet Google in unserem Auftrag die Werbe-ID (Mobile Ad ID, Android ID, Firebase Installation ID, Analytics App Instance ID) und die Instance-ID von Endgeräten. Beispiele für die Datenerhebung sind u.a. die Anzahl der Nutzer und Sitzungen, Sitzungsdauer, Betriebssysteme und Gerätemodelle. In der Standardimplementierung von Google Analytics für Firebase werden die folgenden Datentypen erfasst und an uns übermittelt: Anzahl der Nutzer und Sitzungen, Sitzungsdauer, Betriebssysteme, Gerätemodelle, Region, erstmalige Starts, App-Ausführungen, App-Updates.

Nähere Informationen zu den Nutzungsbedingungen und Datenschutz finden Sie unter den Firebase Nutzungsbedingungen.

Soweit personenbezogene Daten verarbeitet werden, werden diese spätestens nach 14 Monaten nach Widerruf der Einwilligung gelöscht.

Rechtsgrundlage für den Einsatz des Dienstes Google Analytics for Firebase ist eine Einwilligung, im Hinblick auf den Zugriff auf das Endgerät gemäß § 25 Abs. 1 S. 1 TTDSG sowie hinsichtlich der Verarbeitung der vorgenannten personenbezogenen Daten der Nutzer*innen gemäß Art. 6 Abs. 1 Buchst. a DSGVO. Die Einwilligung ist freiwillig und kann jederzeit mit Wirkung für die Zukunft widerrufen werden, d. h. die Rechtmäßigkeit der aufgrund der Einwilligung bis zum Widerruf erfolgten Verarbeitung wird nicht berührt. Nutzer*innen können ihre Einwilligung jederzeit widerrufen, indem sie in der App den Schalter „Pseudonyme App-Analyse“ in den Einstellungen der Nutzungsdaten deaktivieren.

Technisch notwendige Technologien

Seal One

Die DKB AG setzt eine Software von Seal One ein, welche die lokalen Daten des Endgerätes (Sensordaten) der Nutzer*innen erhebt, um eine Betrugsrisikobewertung vornehmen zu können.

Diese Software unterstützt die DKB AG im Zusammenhang mit Zahlungsaufträgen u.a. Aufträgen der Nutzer*innen in der App bei der Prävention, Entdeckung und Bearbeitung von strafbaren Handlungen und ermöglicht der DKB AG die Erfüllung von gesetzlichen und aufsichtsrechtlichen Anforderungen im Hinblick auf ein angemessenes Risikomanagement sowie interne Sicherungsmaßnahmen. Hierfür greift die Software auf Gerätedaten im Endgerät der Nutzer*innen sowie die IP-Adresse zu.

Eine Übermittlung der erhobenen Daten an Dritte findet nicht statt.

Soweit durch die Software personenbezogene Daten verarbeitet werden, werden diese solange gespeichert, wie dies für den Zweck der Verarbeitung erforderlich ist und spätestens nach Ablauf von 10 Jahren gelöscht.

Rechtsgrundlage für den Einsatz der Software ist im Hinblick auf den Zugriff auf das Endgerät § 25 Abs. 2 S. 2 TTDSG. Der Dienst ist unbedingt erforderlich, um die gesetzlichen und aufsichtsrechtlichen Anforderungen an ein angemessenes Risikomanagement sowie interne Sicherungsmaßnahmen zu erfüllen. Die Verarbeitung der vorgenannten personenbezogenen Daten der Nutzer*innen erfolgt gemäß Art. 6 Abs. 1 Buchst. c DSGVO iVm § 25h Abs. 2 Satz 2 KWG zur Erfüllung der gesetzlichen Pflichten zum Vorhalten interner Sicherungsmaßnahmen.

Firebase Remote Config

Der Dienst Firebase Remote Config wird durch Google LLC, 1600 Amphitheatre Parkway, Mountain View, CA 94043, USA, betrieben.

Firebase Remote Config ermöglicht uns die Konfiguration von App-Einstellungen, damit die App auf den Endgeräten, auf denen sie installiert ist, verändert werden kann, ohne dass sie bei jeder Veränderung vollständig neu aus dem Google-Store installiert werden muss. Hierbei wird die Firebase-Installations-IDs lokal im Cache des Endgeräts gespeichert. Durch Firebase Remote Config werden keine personenbezogenen Daten verarbeitet.

Rechtsgrundlage für den Einsatz von Firebase Remote Config ist § 25 Abs. 2 S. 2 TTDSG. Der Dienst ist unbedingt erforderlich, um künftige Ausfälle und Störungen der App zu minimieren und somit eine sichere und stabile Funktion der App zu.

SAS ® 360

Wir setzen in unserer Banking App die Software SAS® 360 ein. Diese wird durch die SAS Institute GmbH, In der Neckarhelle 162, 69118 Heidelberg auf der Grundlage eines Auftragsverarbeitungsvertrags betrieben.

Die Software ermöglicht es unseren Kund*innen sowohl vom Gesetzgeber vorgeschriebene Pflichtkommunikation, interne Servicekommunikation (z.B. Benachrichtigung über Versand der VISA Folgekarte) oder Informationen zu passenden Produkten und Leistungen aus unserem DKB-Portfolio auszuspielen. Hierfür greift die Software auf das Endgerät der Kund*innen zu und erfasst die Device ID sowie die IP-Adresse nur in gekürzter Form. Zudem werden die E-Mail und das Klickverhalten der Kund*innen (Öffnungen und Klicks von Links, E-Mails bzw. Abmeldungen, interne Personennummer) gespeichert.

Über Subunternehmer der SAS Institute GmbH können ggfs. personenbezogene Daten der Kund*innen auch außerhalb der Europäischen Union/des Europäischen Wirtschaftsraumes verarbeitet werden. Für diesen Fall hat sich die SAS Institute GmbH uns gegenüber vertraglich verpflichtet, geeignete Garantien für die Übermittlung von personenbezogenen Daten außerhalb der Europäischen Union/des Europäischen Wirtschaftsraumes gemäß Art. 44 ff. DSGVO zu vereinbaren.

Es liegt kein datenschutzrechtlicher Angemessenheitsbeschluss seitens der Europäischen Kommission für die USA und eine Vielzahl weiterer Länder außerhalb der Europäischen Union/des Europäischen Wirtschaftsraumes vor. Es besteht für Kund*innen trotz der grundsätzlichen Weisungsgebundenheit des Anbieters als Teil unserer vertraglichen Regelung das Risiko, dass staatliche Stellen auf personenbezogene Daten zugreifen, ohne dass wir und/oder die Kund*innen davon erfahren. Die Zugriffsmöglichkeit der staatlichen Stellen ergibt sich vor allem aus Gesetzgebung zur Auslandsaufklärung, Spionageabwehr sowie Terrorismus- und Strafverfolgung.

Soweit durch die Software personenbezogene Daten der Kund*innen verarbeitet werden, werden diese spätestens nach Ablauf von 24 Monaten gelöscht.

Rechtsgrundlage für den Einsatz von SAS® 360 ist im Hinblick auf den Zugriff auf das Endgerät gemäß § 25 Abs. 2 Nr. 2 TTDSG. Der Dienst ist unbedingt erforderlich, um die gesetzlichen Anforderungen hinsichtlich bestehender Informationspflichten aus dem Vertrag mit den Kund*innen zu erfüllen und den Kund*innen die Vorteile und Einsatzmöglichkeiten ihrer Produkte aufzuzeigen. Die Verarbeitung der vorgenannten personenbezogenen Daten der Kund*innen erfolgt gemäß Art. 6 Abs. 1 Buchst. b zur Durchführung des Vertrages sowie gemäß Art. 6 Abs. 1 Buchst. f DSGVO. Wir verfolgen dabei unser berechtigtes Interesse an der interessensbasierten Angebots- und Produktempfehlung.