Datenschutzhinweise der MPF AG Ihr Recht nach Art. 12ff. DSGVO und § 32ff. BDSG Sie sollen wissen, welche Daten zu welchem Zweck wir über Sie erheben, verarbeiten und nutzen. Das ist Ihr gutes Recht laut EU-Datenschutzgrundverordnung (DSGVO) und Bundesdatenschutzgesetz (BDSG-2018). Deshalb erfahren Sie hier einige Einzelheiten, die Ihnen einen Überblick über die von Ihnen gespeicherten personenbezogenen Daten und die Datenschutzorganisation der MPF AG geben. Damit wollen wir Sie in die Lage versetzen, Ihr „Recht auf informationelle Selbstbestimmung“ wahrzunehmen. Ansprechpartner:innen Verantwortliche Stelle Michael Pintarelli Finanzdienstleistungen AG (MPF AG)Ohligsmühle 342103 WuppertalTel.: 0202 38905-0Fax: 0202 38905-55Internet: www.mpf-ag.deE-Mail: info@mpf-ag.de Datenschutzbeauftragte Christine MühlbergerMPF AGOhligsmühle 342103 WuppertalTel.: 0202 38905-19Fax: 0202 38905-56E-Mail: christine.muehlberger@mpf-ag.de Zuständige Aufsichtsbehörde den Datenschutz betreffend Landesbeauftragte für Datenschutz und Informationsfreiheit Nordrhein-WestfalenKavalleriestraße 2 – 440213 DüsseldorfTel.: 0211 38424-0Internet: www.ldi.nrw.deE-Mail: poststelle@ldi.nrw.de Abschnitt A: Allgemeine Aussagen 1. Datenherkunft und -kategorien Die MPF AG erhält personenbezogene Daten von Mandant:innen und anderen Geschäftspartner:innen im Zuge der Vertragsanbahnung und -erfüllung. Im Rahmen der Verwaltungstätigkeit erhalten wir außerdem Daten Ihrer ausgewählten Depotbanken. Ferner verarbeiten wir personenbezogene Daten aus öffentlich zugänglichen Quellen, z. B. Telefonbüchern, Internet. Mögliche Datenkategorien Namen/Kontaktdaten Personalausweisdaten Bankdaten Bonitätsdaten Vermögensdaten Rechnungsdaten Steuerdaten IP-Adresse Online-Registrierungsdaten IT-Nutzungsdaten Lebenslauf Qualifikationsdaten Versicherungsdaten Familienstand und -situation Interessen/Präferenzen Pläne und Ziele für die persönliche und berufliche Zukunft Unternehmens-Kontaktdaten 2. Verarbeitungszwecke Ihre personenbezogenen Daten verarbeiten wir entsprechend der DSGVO zweckgebunden und auf das notwendige Maß beschränkt. Denkbare Verarbeitungszwecke Vertragsanbahnung Vertragserfüllung allgemein Stammdatenpflege Bereitstellung von Online-Services Elektronische Kommunikation Oderabwicklung Zahlungsverkehr im Kundenauftrag Stärkung der Kundenbindung Versenden eines Newsletters Buchhaltung/Inkasso Verhinderung von Straftaten Erfüllung übergeordneter Rechtsvorschriften Wahrung von Rechtsansprüchen 3. Rechtsgrundlage der Verarbeitung Aufgrund der Bedingungen der DSGVO ist die Verarbeitung der personenbezogenen Daten durch die MPF AG rechtmäßig. Ohne bestimmte personenbezogene Daten können wir unsere Vertragsverpflichtung Ihnen gegenüber nicht erfüllen. Akzeptierte Rechtsgrundlagen Einwilligung Vertragsanbahnung Vertrag, vertragsähnliches Vertrauensverhältnis Rechtliche Verpflichtung, übergeordnete Rechtsvorschriften Interessenabwägung 4. Empfänger:innen von Daten Die Beschäftigten der MPF AG verarbeiten die entsprechenden personenbezogenen Daten zur Erfüllung der vertraglichen und gesetzlichen Pflichten. Dies geschieht innerhalb des Arbeitsverhältnisses – die Daten verlassen nicht unseren Einzugsbereich. Darüber hinaus erhalten Stellen außerhalb der MPF AG (Dritte) personenbezogene Daten aufgrund einer definierten Rechtsgrundlage. Diese Stellen erhalten nur diejenigen Daten, die sie für die jeweilige Aufgabe benötigen. Mögliche Kategorien von Daten-Empfängern Öffentliche Stellen (BaFin, Finanzbehörden, u. w.) Depotbank/kontoführendes Institut Steuerberater:innen/externe Buchhaltung Ausgelagerte Interne Revision IT-Dienstleister:innen Versanddienstleister:innen weitere, vertraglich gebundene Erfüllungsgehilf:innen 5. Übermittlung in Drittländer Personenbezogene Daten dürfen in ein Drittland übermittelt werden, sofern es für den entsprechenden Verarbeitungsvorgang eine Rechtsgrundlage gibt und nach EU-Kriterien ein angemessenes Schutzniveau besteht. Aktuell übermitteln wir aufgrund einer Vertragsgrundlage Daten an eine Depotbank in der Schweiz. Im Rahmen der Nutzung von marktüblicher Standard-Software (u. a. auch Firewall, Anti-Spam-Lösung für E-Mails) erfolgt eine Übermittlung technischer Daten, sogenannter Metadaten (z. B. IP-Adresse des E-Mailservers des Absenders, Dateinamen, URL) auch in Länder außerhalb des Geltungsbereichs der EU-Datenschutzgrundverordnung (z. B. USA). Dies geschieht auf Grundlage von Art. 46 Abs 2 c DSGVO (Standarddatenschutzklauseln). 6. Löschfristen Ihre personenbezogenen Daten verarbeiten (und speichern) wir zur Erfüllung unserer vertraglichen Pflichten, bzw. zu dem Zweck, zu dem Sie uns die Daten übergeben. Sobald der Verarbeitungszweck entfällt, werden diese Daten gelöscht oder gesperrt, z. B. wenn übergeordnete Rechtsvorschriften dies verlangen. Speicherdauer Im Allgemeinen bis zu 30 Jahre nach Jahresende, welches auf das Vertragsende folgt. Dies orientiert sich an den Fristen für Schadensersatzforderungen, die aus dem Bürgerlichen Gesetzbuch resultieren. In Einzelfällen ist die Speicherdauer wesentlich kürzer. Verkehrsdaten unserer Telefonanlage löschen wir beispielsweise regelmäßig nach 32 Tagen. 7. Ihre Rechte laut EU-Datenschutzgrundverordnung 1. (Vorab-) Information Diese lesen Sie in diesem Augenblick. 2. Auskunft Auf Anfrage bekommen Sie von uns eine Zusammenstellung der über Sie bei uns gespeicherten personenbezogenen Daten, über die Verarbeitungszwecke und ggf. Daten-Empfänger:innen. (Bei einer Auskunftsanfrage, die nicht schriftlich erfolgt bitten wir um Verständnis dafür, dass wir ggf. Nachweise von Ihnen verlangen die belegen, dass Sie die Person sind, für die Sie sich ausgeben.) 3. Berichtigung Sie haben ein Recht darauf, dass wir falsch erfasste Daten unverzüglich richtigstellen. 4. Löschung Wir löschen Ihre Daten, sobald deren Verarbeitung nicht mehr notwendig ist. Davon gibt es allerdings Ausnahmen, die zu Punkt 5 führen. 5. Einschränkung der Verarbeitung Ihre Daten werden von uns nicht mehr genutzt, wenn der Verarbeitungszweck wegfällt, wir sie aber aufgrund übergeordneter Rechtsvorschriften noch nicht löschen können. 6. Datenübertragbarkeit Auf Anfrage bekommen Sie Ihre Daten in geeigneter Form, um sie an einen Dritten zu übertragen. 7. Widerspruch Wenn Sie uns für bestimmte Verarbeitungszwecke (die über die Vertragserfüllung hinaus gehen) eine Einwilligung zur Verarbeitung Ihrer personenbezogenen Daten erteilt haben, können Sie diese jederzeit ohne Mitteilung von Gründen widerrufen. Ebenfalls können Sie der Verarbeitung Ihrer personenbezogenen Daten zu Vertragszwecken widersprechen. 8. Beschwerde Sollten Sie der Ansicht sein, dass die Verarbeitung Ihrer personenbezogenen Daten durch die MPF AG rechtswidrig ist, haben Sie das Recht, sich bei der Aufsichtsbehörde Ihres Wohnsitzes, Ihrer Arbeit oder der mutmaßlichen Datenschutzverletzung zu beschweren. Abschnitt B: Webseitenrelevante Informationen 1. Erfassung allgemeiner Informationen beim Besuch unserer Website Wenn Sie unsere Website betrachten, werden automatisch mittels eines Cookies allgemeine Informationen erfasst. Diese Informationen (Protokolldateien oder Server-Logfiles) beschreiben etwa die Art des Webbrowsers, das verwendete Betriebssystem, den Domainnamen Ihres Internet-Service-Providers und ähnliches. Diese Daten erhebt der Internetdienst, der unsere Website hostet. Sie sind technisch notwendig, um die Inhalte der Website korrekt darzustellen und werden grundsätzlich immer erhoben, wenn Sie sich im Internet bewegen. Sie werden insbesondere zu folgenden Zwecken verarbeitet: Sicherstellung eines problemlosen Verbindungsaufbaus der Website. Sicherstellung einer reibungslosen Nutzung unserer Website. Auswertung der Systemsicherheit und -stabilität. Laut des Internet-Host werden die Daten der Log-Dateien nach 7 Tagen anonymisiert und maximal 8 Wochen gespeichert. Anonyme Informationen dieser Art können von uns auch statistisch ausgewertet werden, um unseren Internetauftritt und die dahinterstehende Technik zu optimieren. Aufgrund unseres berechtigten Interesses ist diese Verarbeitung Ihrer personenbezogenen Daten statthaft. Wir verwenden Ihre Daten nicht, um Rückschlüsse auf Ihre Person zu ziehen. Empfänger:innen der Daten sind lediglich die MPF AG als verantwortliche Stelle und der Internet-Host. 2. Kund:innenportal Die MPF AG nutzt ein cloudbasiertes Vermögensmanagementsystem einschließlich eines elektronischen Kund:innenportals mit Dokumentencenter und Postbox. Die dafür erforderliche technische Plattform „amc.NG“ wird von der iComps GmbH als Auftragsverarbeiter bereitgestellt. Bei der Nutzer:innen-Registrierung, dem Login und innerhalb der Infrastruktur werden personenbezogene Daten der Mandantschaft der MPF AG verarbeitet. Die Notwendigkeit resultiert aus den Datenschutzgesetzen übergeordneten Rechtsvorschriften. Die Vorgaben aus Art. 28 DSGVO und § 62 BDSG (Auftragsverarbeitung) werden dabei eingehalten. 3. Verwendung von Webseiten-Analysediensten Tracking Tools wie Google Analytics, Matamo und andere verwenden wir nicht! 4. Borlabs Cookie Diese Website verwendet Borlabs Cookie, ein technisch notwendiges Cookie, um Ihre Cookie-Einwilligungen zu speichern. Borlabs Cookie verarbeitet keinerlei personenbezogenen Daten. Im Borlabs Cookie werden Ihre Einwilligungen gespeichert, die Sie beim Aufrufen der Website gegeben haben. Möchten Sie diese Einwilligungen widerrufen, löschen Sie einfach das Cookie in Ihrem Browser. Wenn Sie diese Website neu laden, werden Sie erneut nach Ihrer Cookie-Einwilligung gefragt. 5. Gerätebreiten-Erkennung Diese Internetseite ist in HTML5 mithilfe von WordPress, einem freien Content-Management-System, programmiert. WordPress ist das am weitesten verbreitete System zum Betrieb von Webseiten und bietet Ihnen den Vorteil eines responsive Designs. Mittels der verwendeten Computersprache haben wir mehrere Seiten gleichen Inhalts erstellt, wodurch Sie unser Angebot auf unterschiedlichen Geräten (Desktop-Computer, Tablet, Smartphone) betrachten können. Für die Gerätebreitenerkennung werden keine Cookies verwendet! Ihr Gerät übergibt lediglich technische Daten und Browserinformationen, woraus die Programmierung eine Prozentzahl für die Darstellung ableitet. Diese Informationen werden nicht mit personenbezogenen Informationen verknüpft und gespeichert, sondern bei jedem Besuch neu abgefragt. Ihr Gerät wird nicht wiedererkannt – es besteht also kein Grund zur Datenschutz-Sorge. 6. SSL-Verschlüsselung Um die Sicherheit Ihrer Daten bei der Übertragung zu schützen, verwenden wir dem aktuellen Stand der Technik entsprechende Verschlüsselungsverfahren (z. B. SSL) über HTTPS. Damit schützen wir auch die Daten, die unter Punkt 1 dieses Abschnitts beschrieben sind. 7. Newsletter Wenn Sie zugestimmt haben, senden wir Ihnen regelmäßig unseren Newsletter bzw. vergleichbare Informationen an die E-Mail-Adresse, die Sie uns dafür nennen. Abonnent:innen können auch über Umstände per E-Mail informiert werden, die für den Dienst oder die Registrierung relevant sind (beispielsweise Änderungen des Newsletterangebots oder technische Gegebenheiten). Für eine wirksame Registrierung fragen wir nach Ihrem Namen und einer gültigen E-Mail-Adresse. Um zu überprüfen, dass die Anmeldung tatsächlich von Ihnen erfolgt, setzen wir ein „Double-opt-in“-Verfahren ein. Hierzu protokollieren wir die Bestellung des Newsletters, den Versand unserer Bestätigungsmail und Ihre Antwort darauf. Weitere Daten erheben wir nicht. Die Daten werden ausschließlich für den Newsletterversand verwendet und nicht an Dritte weitergegeben. Wir nutzen Brevo als Dienstleister für die Versendung unserer Newsletter. Im Rahmen der Anmeldung zu diesem Service erklären Sie sich einverstanden, dass Ihre eingegebenen Daten an Brevo übermittelt werden. Brevo bietet Ihnen durch mehrere Maßnahmen ein Höchstmaß an Datenschutz und Datensicherheit: TÜV-Zertifizierung: Dienstleister mit geprüftem Datenschutz-ManagementPersönliche Angaben, Ihre Empfänger:innenlisten und alle anderen Daten, die Brevo speichert, werden über eine 256-Bit-SSL-Verschlüsselung sicher übertragen. So wird ein Zugriff Dritter nahezu unmöglich gemacht. Datenschutz-Grundverordnung (DSGVO) und Bundesdatenschutzgesetz (BDSG)Da die Server von Brevo in Deutschland befindlich sind, unterliegen sie den strengen Bestimmungen des Bundesdatenschutzgesetzes (BDSG) sowie der europaweit-gültigen Datenschutz-Grundverordnung (DSGVO). Hierdurch ist eine Weitergabe Ihrer Daten an Dritte ohne Ihr Einverständnis von vornherein ausgeschlossen. Rechtssichere Datenverarbeitungsverträge (Auftragsverarbeitung)Im Rahmen des BDSG sowie der DSGVO wird die externe Verarbeitung der Daten durch eine ausführliche Vereinbarung geregelt. Was wir nach dem Versand auswerten: Die erfolgreich zugestellten Newsletter. Die Öffnungsrate des Punkt! – Anonym, d. h. wir wissen nicht, welche Empfänger die E-Mail geöffnet haben. Die Abmeldungen vom Newsletter. Darüber führen wir eine Sperrliste mit Namen und E-Mail-Adresse, damit wir Sie nicht versehentlich wieder anschreiben. Die Klickrate, also die Gesamtzahl der Klicks, die auf enthaltene Links getätigt wurden. Auch diese Auswertung ist anonym. Ihre Einwilligung für den Bezug des Newsletters können Sie jederzeit widerrufen. In jedem Newsletter finden Sie einen entsprechenden Link. Außerdem können Sie uns Ihren Wunsch über die am Ende dieser Datenschutzhinweise angegebene Kontaktmöglichkeit mitteilen. 8. Elektronische Kommunikation Schicken Sie uns per E-Mail eine Nachricht, erteilen Sie uns zum Zwecke der Kontaktaufnahme Ihre freiwillige Einwilligung zur Verarbeitung Ihrer erforderlichen personenbezogenen Daten. Hierfür ist die Angabe einer gültigen E-Mail-Adresse erforderlich, die der Zuordnung Ihrer Anfrage und deren Beantwortung dient. Die von Ihnen gemachten Angaben werden zum Zwecke der Bearbeitung der Anfrage sowie für mögliche Anschlussfragen gespeichert. 9. Videokonferenzen Für Online-Meetings und Videokonferenzen verwenden wir Cisco Webex Meetings. Der Dienst wird bereitgestellt von Telekom Deutschland GmbH („Telekom“) in Kooperation mit Cisco International Ltd., United Kingdom („Cisco“) – Cisco Webex Conferencing & Collaboration. Wenn Sie diesen Dienst in Anspruch nehmen möchten, beachten Sie bitte hierzu unsere gesonderten Datenschutzhinweise: weiterlesen… 10. Eingebettete YouTube-Videos Auf einigen unserer Webseiten betten wir YouTube-Videos ein. Betreiber der entsprechenden Plug-Ins ist die YouTube, LLC, 901 Cherry Ave., San Bruno, CA 94066, USA. Wenn Sie eine Seite mit dem YouTube-Plug-In besuchen, wird eine Verbindung zu Servern von YouTube hergestellt. Dabei wird YouTube mitgeteilt, welche Seiten Sie besuchen. Wenn Sie in Ihrem YouTube-Account eingeloggt sind, kann YouTube Ihr Surfverhalten Ihnen persönlich zuordnen. Dies verhindern Sie, indem Sie sich vorher aus Ihrem YouTube-Account ausloggen. Wird ein YouTube-Video gestartet, setzt der Anbieter Cookies ein, die Hinweise über das Nutzerverhalten sammeln. Möchten Sie dies verhindern, so müssen Sie das Speichern von Cookies im Browser blockieren. Weitere Informationen zum Datenschutz bei „YouTube“ finden Sie in der Datenschutzerklärung des Anbieters unter: https://www.google.de/intl/de/policies/privacy/ 11. NinjaFirewall NinjaFirewall ist ein Plugin für das Content-Management-System WordPress und dient dem Schutz dieser Webseite. Das Plugin sichert z. B. Skripte in Installations- und Unterverzeichnissen. Um Angriffe und unberechtigte Zugriffe zu erkennen, speichert NinjaFirewall die anonymisierten IP-Adressen der Nutzer. Alle gesammelten Daten bleiben in der Serverumgebung MPF AG und gehen nicht an den hinter dem Plugin stehenden Anbieter NinTechNet Limited. Der Einsatz von NinjaFirewall erfolgt aufgrund Art. 6 Abs. 1 lit. f DSGVO. 12. Gültigkeit dieser Datenschutzhinweise Unsere Datenschutzhinweise sollen stets den aktuellen rechtlichen Anforderungen entsprechen und Änderungen unserer Leistungen widerspiegeln, z. B. bei der Einführung neuer Services. Für Ihren erneuten Besuch dieser Seite gelten deshalb jeweils die neuesten Datenschutzhinweise. Stand: 20. November 2023 13. Fragen zum Datenschutz Wenn Sie Fragen zum Datenschutz die MPF AG betreffend haben, kann Ihnen unsere Datenschutzbeauftragte helfen: Christine MühlbergerMPF AGOhligsmühle 342103 WuppertalTel.: 0202 38905-0Fax: 0202 38905-56E-Mail: christine.muehlberger@mpf-ag.de Die für Sie zuständige Aufsichtsbehörde den Datenschutz betreffend richtet sich nach dem Bundesland Ihres Wohnsitzes, Ihrer Arbeit oder einer mutmaßlichen Datenschutz-Verletzung. Eine Liste der Aufsichtsbehörden (für den nichtöffentlichen Bereich) mit Anschrift finden Sie unter: https://www.bfdi.bund.de/DE/Infothek/Anschriften_Links/anschriften_links-node.html