1. Wer ist für die Datenverarbeitung verantwortlich und an wen kann ich mich wenden?
Verantwortliche Stelle
Leasys S.p.A. Zweigstelle Deutschland Friedrich-Lutzmann-Ring 1
65428 Rüsselsheim am Main kontakt.de@leasys.com
Datenschutzbeauftragter Friedrich-Lutzmann-Ring 1 65428 Rüsselsheim am Main datenschutz.de@leasys.com
2. Welche Quellen nutzen und welche Daten verarbeiten wir?
Wir verarbeiten personenbezogene Daten, die wir im Rahmen unserer Geschäftsbeziehung von Ihnen erhalten. Zudem verarbeiten wir - soweit für die Erbringung unserer Dienstleistung erforderlich - personenbezogene Daten, die von anderen Unternehmen der nationalen und internationalen FCA Gruppe und deren Partner sowie den zusätzlichen Kooperationspartnern der FCA Bank Deutschland GmbH (z.B. Händler, Hersteller, Inkassobüros) oder von sonstigen Dritten (z.B. Schufa, Creditreform) zulässigerweise (z.B. zur Ausführung von Anträgen, zur Erfüllung von Verträgen oder aufgrund einer von Ihnen erteilten Einwilligung) erhalten haben. Zum anderen verarbeiten wir personenbezogene Daten, die wir aus öffentlich zugänglichen Quellen (Schuldnerverzeichnis, Grundbücher, Handels- und Vereinsregister, Presse, Medien) zulässigerweise gewonnen haben und verarbeiten dürfen.
Relevante personenbezogene Daten sind u.a. Personalien (Vorname, Name, Adresse und andere Kontaktdaten, Geburtstag und -ort und Staatsangehörigkeit), Legitimationsdaten (z.B. Ausweisdaten) und Authentifikationsdaten (z.B. Unterschriftsprobe). Darüber hinaus können dies auch Auftragsdaten (z.B. Vertrag), Daten aus der Erfüllung unserer vertraglichen Verpflichtungen (z.B. Umsatzdaten im Zahlungsverkehr),Produktdaten (z.B. Abonnement), Informationen über Ihre finanzielle Situation (z.B. Bonitätsdaten, Scoring/Ratingdaten, Herkunft von Vermögenswerten), Werbe- und Vertriebsdaten (inkl. Werbescores), Dokumentationsdaten (z.B. Selbstauskunft, Gesprächsnotizen) sowie andere mit den genannten Kategorien vergleichbare Daten sein.
Im Zusammenhang mit der Registrierung auf My-Leasys verarbeiten wir die von Ihnen während der Registrierung im Rahmen Ihrer Kundenbeziehung zu Leasys mitgeteilten Daten, insbesondere Vornamen, Nachnamen, Geburtsdatum, Email, Telefonnummer, Kundennummer und sonstige persönlichen Informationen, fahrzeugbezogene Daten wie beispielsweise Kennzeichen oder Unternehmensdaten wie beispielsweise Ust-Nummer, die Daten, die Sie bei der Registrierung über MyLEASYS eingeben müssen und Daten, die Sie uns freiwillig im Zusammenhang mit der Plattform zur Verfügung stellen.
3. Wofür verarbeiten wir Ihre Daten (Zweck der Verarbeitung) und auf welcher Rechtsgrundlage?
3.1. Zur Erfüllung von vertraglichen Pflichten (Art. 6 Abs. 1b DS-GVO)
Die Verarbeitung personenbezogener Daten erfolgt zur Anbahnung und Durchführung unserer Verträge oder der Erfüllung vertraglicher Leistungen gegenüber Ihnen und der Ausführung Ihrer Aufträge, sowie aller im Zusammenhang mit dem Betrieb und der Verwaltung des Unternehmens erforderlichen Tätigkeiten.
Die Zwecke der Datenverarbeitung richten sich in erster Linie nach dem konkreten Produkt (z.B. Miet- oder Leasingvertrag, Fahrzeug-Abonnement) und können unter anderem Bedarfsanalysen, Beratung, Verwaltung sowie die Durchführung von Transaktionen oder Leistungen umfassen.
Die weiteren Einzelheiten zu den Zwecken der Datenverarbeitung können Sie den jeweiligen Vertragsunterlagen und Geschäftsbedingungen entnehmen.
3.2. Im Rahmen der Interessensabwägung (Art. 6 Abs. 1f DS-GVO)
Soweit erforderlich verarbeiten wir Ihre Daten über die eigentliche Erfüllung des Vertrages hinaus zur Wahrung berechtigter Interessen von uns oder Dritten wie beispielweise in den folgenden Fällen:
Konsultation von und Datenaustausch mit Auskunfteien (z.B. SCHUFA) zur Ermittlung von Bonitäts- bzw. Ausfallrisiken; Die Übermittlung des Kilometerstandes über das an Bord des Fahrzeugs vorhandene Infomobilitäts- und Ferndiagnossystem für die Abrechnung Pay-per-Use;
Prüfung und Optimierung von Verfahren zur Bedarfsanalyse und direkter Kundenansprache;
Werbung oder Markt- und Meinungsforschung, soweit Sie der Nutzung Ihrer Daten nicht widersprochen haben; Geltendmachung rechtlicher Ansprüche und Verteidigung bei rechtlichen Streitigkeiten;
Gewährleistung der IT-Sicherheit und des IT-Betriebs; Verhinderung und Aufklärung von Straftaten;
Maßnahmen zur Gebäude- und Anlagensicherheit (z.B. Zutrittskontrollen); Maßnahmen zur Sicherstellung des Hausrechts;
Maßnahmen zur Geschäftsteuerung und Weiterentwicklung von Dienstleistungen und Produkten.
3.3. Aufgrund Ihrer Einwilligung (Art. 6 Abs. 1a DS-GVO)
Soweit Sie uns eine Einwilligung zur Verarbeitung von personenbezogenen Daten für bestimmte Zwecke (z.B. Weitergabe von Daten im Verbund/Konzern, Auswertung von Zahlungsverkehrsdaten, Marketing/personalisierte Werbung, Bedarfsanalysen) erteilt haben, ist die Rechtmäßigkeit dieser Verarbeitung auf Basis Ihrer Einwilligung gegeben. Eine erteilte Einwilligung kann jederzeit widerrufen werden. Dies gilt auch für den Widerruf von Einwilligungserklärungen, die vor der Geltung der DS-GVO, also vor dem 25.Mai 2018, uns gegenüber erteilt worden sind. Bitte beachten Sie, dass der Widerruf erst für die Zukunft wirkt. Verarbeitungen, die vor dem Widerruf erfolgt sind, sind davon nicht betroffen. Die Einwilligung ist freiwillig und es hat keinen Einfluss auf den Vertrag, wenn sie diese nicht erteilen oder widerrufen.
3.4. Aufgrund gesetzlicher Vorgaben (Art. 6 Abs. 1c DS-GVO) oder im öffentlichen Interesse (Art. 6 Abs. 1e DS-GVO)
Zudem unterliegen wir bestimmten gesetzlichen Anforderungen (z.B., Steuergesetze). Zu den Zwecken der Verarbeitung gehören unter anderem die Identitäts- und Altersprüfung sowie die Erfüllung steuerrechtlicher Kontroll- und Meldepflichten.
4. Wer bekommt meine Daten?
Innerhalb des Instituts erhalten diejenigen Stellen Zugriff auf Ihre Daten, die diese zur Erfüllung unserer vertraglichen und gesetzlichen Pflichten brauchen. Wenn die ordnungsgemäße Erfüllung des Vertrages es erfordert oder eine sonstige Rechtsgrundlage zur Weitergabe der Daten besteht (z.B. die Erfüllung rechtlicher Verpflichtungen oder ein berechtigtes Interesse) können die Daten im erforderlichen Umfang an Dritte weitergegeben werden. Dies sind insbesondere verbundene Unternehmen wie die Unternehmen der Leasys S.p.A.-Gruppe, die FCA Italy S.p.A. und die FCA Bank S.p.A. in Italien sowie die FCA Bank Deutschland GmbH in Heilbronn, Crédit Agricole, Konzernpartner, Dienstleister (z.B.in den Kategorien Tankkartenmanagement, Wartung- und Reparatur, Reifenservice, Mietwagen, Versicherungen, IT-Dienstleistungen, Logistik, Druckdienstleistungen, Telekommunikation, Inkasso und Recht, Beratung und Consulting sowie Vertrieb und Marketing) sowie der im Vertrag angegebenen Händler (bei dessen Ausscheiden auch ein anderer, zur Betreuung geeigneter Händler in der Nähe) sowie an sonstige, öffentliche Stellen und Institutionen (z.B. Finanzbehörden, Kfz, Zulassungsstellen) sowie Auskunfteien (z.B. SCHUFA und CRIF-Bürgel). Weitere Datenempfänger können diejenigen Stellen sein, für die Sie uns Ihre Einwilligung zur Datenübermittlung erteilt haben.
5. Werden Daten in ein Drittland oder an eine internationale Organisation übermittelt?
Eine Datenübermittlung in Drittstaaten (Staaten außerhalb des Europäischen Wirtschaftsraums - EWR) findet nicht statt.
6. Wie lange werden meine Daten gespeichert?
Ihre personenbezogenen Daten werden nur so lange verarbeitet, wie dies notwendig ist, also insbesondere für die Dauer unserer Geschäftsbeziehung, was beispielsweise auch die Anbahnung und die Abwicklung eines Vertrages umfasst. Dabei ist zu beachten, dass unsere Geschäftsbeziehung ein Dauerschuldverhältnis ist, welches auf mehrere Jahre ausgelegt ist.
Darüber hinaus unterliegen wir verschiedenen Aufbewahrungs- und Dokumentationspflichten, die sich unter anderem aus dem Handelsgesetzbuch (HGB) und der Abgabenordnung (AO) ergeben. Die dort vorgegebenen Fristen zur Aufbewahrung bzw. Dokumentation betragen zwei bis zehn Jahre.
Schließlich beurteilt sich die Speicherdauer auch nach den gesetzlichen Verjährungsfristen, die zum Beispiel nach den §§ 195 ff. BGB in der Regel drei Jahre, in gewissen Fällen aber auch bis zu dreißig Jahre betragen können.
7. Welche Datenschutzrechte habe ich?
Jede betroffene Person hat das Recht auf Auskunft nach Art. 15 DS-GVO, das Recht auf Berichtigung nach Art. 16 DS-GVO, das Recht auf Löschung nach Art. 17 DS-GVO, das Recht auf Einschränkung der Verarbeitung nach Art. 18 DS-GVO sowie das Recht auf Datenübertragbarkeit aus Art. 20 DS-GVO. Darüber hinaus besteht ein Beschwerderecht bei einer Datenschutzaufsichtsbehörde (Art. 77 DS-GVO i.v.m. § 19 BDSG).
8. Besteht eine Pflicht zur Bereitstellung von Daten?
Im Rahmen unserer Geschäftsbeziehung müssen Sie nur diejenigen personenbezogenen Daten bereitstellen, die für die Begründung, Durchführung und Beendigung einer Geschäftsbeziehung erforderlich sind oder zu deren Erhebung wir gesetzlich verpflichtet sind. Ohne diese Daten werden wir in der Regel den Abschluss des Vertrages oder die Ausführung des Antrages ablehnen müssen oder einen bestehenden Vertrag nicht mehr durchführen können und ggf. beenden müssen.
9. Inwieweit gibt es eine automatisierte Entscheidung im Einzelfall?
Zur Begründung und Durchführung der Geschäftsbeziehung nutzen wir grundsätzlich keine vollautomatisierte Entscheidungsfindung gemäß Art. 22 DS-GVO.
