Bei der Migration eines HBCI Benutzers zu finApi werden die Vertrags- und Datenschutzbestimmungen angezeigt und sind zu akzeptieren. Die Datenschutzbestimmungen enthalten u. a. den unten genannten Abschnitt. Hier bitte ich um Antwort von DATEV in welchem Umfang die Kontodaten von Seiten der finAPI genutzt werden. Die Kontodaten von uns als Unternehmen enthalten auch Daten unserer Kunden. Auf welcher Rechtsgrundlage kann hier eine Datenweitergabe an Dritte erfolgen? Allgemein wäre es interessant wie die Datenschutzbeziehungen zwischen Unternehmen / Steuerberater / DATEV / Drittfirmen aussehen und auf welcher Rechtsgrundlage diese stattfinden. Am Rande sei erwähnt: Mehrheits-Eigentümer der finApi ist die Schufa Holding AG. Auffällige Punkte in der Datenschutzerklärung: - "Darüber hinaus kann auch eine Verarbeitung zur Wahrung berechtigter Interessen von finAPI stattfinden, beispielsweise [...] zu Zwecken des Forderungsmanagements, [...] oder der Direktwerbung für eigene Dienstleistungen (z.B. Newsletter) [...]" ____________________________________________ Auszug aus "Datenschutzerklärung der finAPI GmbH für die Nutzung von finAPI-Diensten - Version 1.1 12.06.2018" - Abgerufen am 28.08.2019 11:17 Uhr unter https://p12090.finapi.io/agb?version=v1.3 II. Allgemeines zur Datenverarbeitung finAPI verarbeitet personenbezogene Daten im Einklang mit geltendem Recht, insbesondere der Verordnung (EU) 2016/679 des europäischen Parlaments und des Rates vom 27.04.2016 („Datenschutz-Grundverordnung“, DSGVO) und des Bundesdatenschutzgesetzes (BDSG). finAPI verwendet alle Kunden-, Endnutzer- bzw. Interessentendaten (nachfolgend „Kundendaten“) grundsätzlich nur zur Durchführung vorvertraglicher Maßnahmen, zur Erfüllung ihrer vertraglichen Pflichten gegenüber dem betroffenen Kunden, Endnutzer bzw. Interessenten (nachfolgend „Kunden“) wie in der Nutzungsvereinbarung für Endnutzer beschrieben, sowie zur Erfüllung sonstiger rechtlicher, insbesondere aufsichtsrechtlicher Pflichten (Art. 6 Abs. 1 lit. b), c) DSGVO). Darüber hinaus kann auch eine Verarbeitung zur Wahrung berechtigter Interessen von finAPI stattfinden, beispielsweise die Erstellung anonymisierter Auswertungen zur Verbesserung oder Erweiterung der Services für Kunden, zu Zwecken des Forderungsmanagements, der Rechtsverteidigung oder der Direktwerbung für eigene Dienstleistungen (z.B. Newsletter), soweit nicht überwiegende Interessen, Grundrechte oder Grundfreiheiten des Kunden entgegenstehen (Art. 6 Abs. 1 lit. f) DSGVO); insoweit steht dem Kunden ein Widerspruchsrecht zu. Grundsätzlich gibt finAPI keine Kundendaten an Dritte weiter. Zu den oben genannten Zwecken gibt finAPI ausnahmsweise Kundendaten an vertraglich zu Datenschutz und Datensicherheit verpflichtete Dritte (z.B. finAPI Mitarbeiter, externe Dienstleister wie z.B. IT-Dienstleister, Betreiber von Endnutzer-Anwendungen auf Basis von finAPI Diensten), sowie an Konto- und Depotführende Institute weiter. Die Weitergabe von Kundendaten ist jeweils auf das erforderliche Maß zur Zweckerfüllung beschränkt. Eine Verarbeitung von Kundendaten und/oder deren Weitergabe an Dritte zu anderen als den oben genannten Zwecken erfolgt nur auf Grundlage ordnungsgemäßer Einwilligung des Kunden (Art. 6 Abs. 1 lit. a) DSGVO). finAPI speichert und verarbeitet personenbezogene Kundendaten, solange es für die Erfüllung ihrer vertraglichen und gesetzlichen Pflichten erforderlich ist. Dabei ist zu beachten, dass die Geschäftsbeziehung zu den Kunden auf Dauer angelegt ist. Sobald der Kunde finAPI personenbezogene Daten mitgeteilt und finAPI auf dieser Grundlage ein Vertragsverhältnis (z.B. Vertrag über die Erbringung von finAPI KontoInformationsDiensten/ZahlungsAuslöseDiensten) mit ihm begründet und solche Dienstleistungen erbracht hat, bestehen handels-, steuerrechtliche und aufsichtsrechtliche Archivierungs-, Dokumentations- und Auskunftspflichten, an die finAPI gebunden ist und die auch Kundendaten umfassen. Solche Fristen betragen zwei bis zehn Jahre. Sind die Daten für die Erfüllung vertraglicher oder gesetzlicher Pflichten nicht mehr erforderlich, werden diese regelmäßig gelöscht, es sei denn, ihre (befristete) Weiterverarbeitung ist für die Erhaltung von Beweismitteln im Rahmen der Verjährungsfristen (bis zu 30 Jahre) erforderlich, soweit seitens finAPI für diese Speicherung über die gesetzlichen Aufbewahrungsfristen hinaus ein überwiegendes berechtigtes Interesse gemäß Art. 6 Abs. 1 lit. f) DSGVO besteht.
... Mehr anzeigen