Die PSD2 Buhl Banking API (nachfolgend kurz „PBB-API“ genannt) ist ein Service der BUHL-DATA-SERVICE GmbH. Wir freuen uns über Ihr Interesse an der PBB-API und an unserem Unternehmen. Mit allen Daten, die Sie uns als Nutzer der PBB-API anvertrauen, gehen wir rechtmäßig und vertrauensvoll um.

1. Verantwortliche Stelle
   1. BUHL-DATA-SERVICE GmbH
      Am Siebertsweiher 3/5
      57290 Neunkirchen
      
      Telefonnummer: 02735/776-0
      Internetadresse: www.buhl.de
      E-Mail-Adresse: datenschutz-anfrage@buhl.de
      
      Handelsregister: Amtsgericht Siegen, HRB 3015
      Geschäftsführer: Moritz Buhl und Peter Glowick
      
      
   2. Kontaktdaten unseres Datenschutzbeauftragten
      
      Unseren Beauftragten für Datenschutz erreichen Sie
      – schriftlich unter: BUHL-DATA-SERVICE GmbH, Datenschutz, Am Siebertsweiher 3/5, 57290 Neunkirchen, oder
      – per E-Mail unter: datenschutz@buhl-data.com
      
      
      
   3. Zuständige Aufsichtsbehörden
      1. Datenschutzrechtlich
         
         Landesbeauftragte für Datenschutz und Informationsfreiheit Nordrhein-Westfalen
         Kavalleriestr. 2-4
         40213 Düsseldorf
         Telefon: 0211/38424-0
         Fax: 0211/38424-999
         E-Mail: poststelle@ldi.nrw.de
         
         
      2. Aufsichtsrechtlich
         
         Bundesanstalt für Finanzdienstleistungsaufsicht
         Graurheindorfer Straße 108, 53117 Bonn bzw.
         Marie-Curie-Str. 24–28, 60439 Frankfurt am Main
         Internetadresse: http://www.bafin.de
         E-Mail: poststelle@bafin.de
         Zahlungsinstitute-Register: BaFin ID 153789
         
         und
         
         Deutsche Bundesbank, Hauptverwaltung in Berlin und Brandenburg
         Leibnizstraße 10, 10625 Berlin
         Internetadresse: https://www.bundesbank.de/
         E-Mail: info@bundesbank.de
         
         
2. Unsere Grundsätze zum Datenschutz
   1. Wir gehen mit den uns übertragenen Daten vertrauensvoll und verantwortungsbewusst um und halten die geltenden Datenschutzgesetze ein
   2. Personenbezogene Daten erheben wir nur dann und nur in dem Umfang, wie Sie uns diese mit Ihrer Kenntnis selbst zur Verfügung stellen
   3. Wir verkaufen, verleihen oder verschenken Ihre personenbezogenen Daten nicht. Eine Weitergabe an Dritte erfolgt ohne Ihre Einwilligung nur, falls wir hierzu gesetzlich verpflichtet sind, z.B. bei Vorliegen eines entsprechenden Gerichtsbeschlusses.
   4. Wir verwenden Sicherheitstechnologien auf dem aktuellen Stand der Technik, um Ihre Daten vor Missbrauch zu schützen.
   5. Wir möchten Ihnen eine sichere, reibungslose, effiziente und persönliche Nutzer-Erfahrung bieten.
3. Geltungsbereich
   Diese Datenschutzbestimmungen gelten sowohl für die einmalige als auch für die dauerhafte Nutzung der PBB-API aus einer Fachanwendung, bei der die PBB-API eingebunden ist. Dies gilt sowohl für Fachanwendungen BUHL-DATA-SERVICE GmbH, als auch für Fachanwendungen unserer Kooperationspartner. Sie gelten ferner sowohl für die Nutzung der Kontoinformationsdienstleistungen (z.B. Abruf von Kontoumsätzen, Steuerbescheiden, Erträgnisaufstellungen und anderen Dokumenten Ihres kontoführenden Zahlungsdienstleisters) als auch für die Nutzung der Zahlungsauslösedienstleistungen (z.B. Überweisungen) der PBB-API. Über unseren Zahlungsauslösedienst der PBB-API können Sie Zahlungsaufträge bzgl. Zahlungskonten und anderen Konten (z.B. Tagesgeldkonten) bei Ihren kontoführenden Zahlungsdienstleistern auslösen, sofern Sie eine Fachanwendung der BUHL-DATA-SERVICE GmbH oder eines Kooperationspartners nutzen, bei der die PBB-API eingebunden ist. Soweit Sie unseren Zahlungsauslösedienst über eine entsprechende Fachanwendung nutzen, um Zahlungen zu empfangen, unterhalten wir die Geschäftsbeziehung ausschließlich zu Ihnen als Zahlungsempfänger, nicht auch zu Ihrem Zahler. Soweit auch Ihr Zahler auf diese Datenschutzerklärung hingewiesen wird, erfolgt dies ausschließlich zu Informationszwecken und nicht zur Begründung einer Geschäftsbeziehung.
4. Art und Umfang der Datenerhebung und -speicherung, Empfänger der Daten
   1. Datenübermittlung über die PBB-API
      1. Unsere Fachanwendungen
         1. Zur Nutzung der Kontoinformations- und Zahlungsauslösedienstleistungen der PBB-API in unseren Fachanwendungen ist es erforderlich, dass Sie uns den Zugang zu Ihren Zahlungskonten bzw. sonstigen Konten bei Ihren kontoführenden Zahlungsdienstleistern ermöglichen.
            1. Dazu müssen Sie beim Einrichten eines Bankkontaktes (d.h. bei Hinzufügen eines Bankkontos) in der jeweiligen Fachanwendung, bei der die PBB-API eingebunden ist, den vorliegenden Nutzungsbedingungen und der Datenschutzerklärung sowie der Speicherung der Online-Banking-Zugangsdaten (Online-Banking-Anmeldename bzw. Benutzerkennung/VR-Netkey/Alias), der abgerufenen Kontoinformationen und soweit Sie es wünschen oder die Fachanwendung dies erfordert: auch der Online-Banking-PIN (PIN) auf dem Server der PBB-API und der Übermittlung der abgerufenen Kontoinformationen an die Fachanwendung zustimmen.
            2. Diese Zustimmung erfolgt beim erstmaligen Einrichten eines Bankkontakts einmalig für jede künftige Nutzung der PBB-API für Kontoinformations- und Zahlungsauslösedienstleistungen innerhalb einer Fachanwendung.
            3. Zum Abruf der Kontoinformationen beim erstmaligen Einrichten eines Bankkontakts müssen Sie Ihre Online-Banking-Zugangsdaten und Ihre PIN an die PBB-API übergeben. Die PBB-API übermittelt die Online-Banking Zugangsdaten und die PIN an den Server der PBB-API. Server der PBB-API speichert die Online Banking Zugangsdaten und ggf. die PIN. Der Server der PBB-API übermittelt die Online-Banking Zugangsdaten und die PIN an das Rechenzentrum Ihres kontoführenden Zahlungsdienstleisters. Der Server der PBB-API ruft die Kontoinformationen vom Rechenzentrum Ihres kontoführenden Zahlungsdienstleisters ab. Der Server der PBB-API speichert dann die abgerufenen Kontoinformationen und übermittelt die abgerufenen Kontoinformationen an den Server der Fachanwendung. Die Fachanwendung verarbeitet die übermittelten Kontoinformationen weiter.
            4. Der Abruf der Kontoinformationen erfolgt nach Eingabe Ihrer PIN für den für diesen Fall regulatorisch vorgesehenen Zeitraum (derzeit 90 Tage). Nach Ablauf der 90 Tage ist eine erneute Authentifizierung mit PIN erforderlich, um die Umsätze für weitere 90 Tage automatisch abzurufen. Alternativ ist für die automatische Umsatzabfrage eine Speicherung der PIN auf den Servern der PBB-API möglich. In diesem Fall entfällt die erneute Authentifizierung nach 90 Tagen.
         2. Für die Nutzung der Zahlungsauslösedienstleistungen der PBB-API in unseren Fachanwendungen ist es darüber hinaus erforderlich, dass Sie die für die Auslösung des Zahlungsvorgangs bzw. Zahlungsauftrags erforderliche Transaktionsnummer (TAN) an die PBB-API übergeben. Dazu geben Sie zunächst die Überweisungsdaten (insb. Empfänger, Betrag, Verwendungszweck, IBAN, BIC) ein. Diese werden an den Server der PBB-API übermittelt. Die PBB-API zeigt Ihnen sodann eine Zusammenfassung der Überweisungsdaten an, die der Server der PBB-API erhalten hat. Anschließend müssen Sie der Übermittlung der Überweisungsdaten vom Server der PBB-API zustimmen. Dann erst werden die Überweisungsdaten vom Server der PBB-API an das Rechenzentrum des kontoführenden Zahlungsdienstleisters übermittelt. Schließlich übergeben Sie Ihre PIN und TAN an die PBB-API zur Übermittlung der Online-Banking Zugangsdaten, PIN und TAN (nachfolgend gemeinsam „Credentials“ oder jedes für sich „Credential“ genannt) über den Server der PBB-API an das Rechenzentrum des kontoführenden Zahlungsdienstleisters und autorisieren mit der TAN die Überweisung.
         3. Ihre Credentials werden an die PBB-API übergeben, von dort über eine sicher-verschlüsselte Verbindung an den Server der PBB-API übermittelt und von dort über eine sicher-verschlüsselte Verbindung an das Rechenzentrum Ihres kontoführenden Zahlungsdienstleisters übermittelt. Dazu nutzen wir die von der Deutschen Kreditwirtschaft bereitgestellten Schnittstellen (z.B. HBCI, FinTS) und andere sichere Verfahren (z.B. XS2A, Screenscraping).
         4. Der Server der Fachanwendung hat zu keinem Zeitpunkt Zugriff auf Ihre Credentials.
            
         5. Die Credentials dürfen Sie nur übergeben, wenn Sie zum Zugriff auf das betreffende Konto berechtigt sind (insb. als Kontoinhaber, mit Zustimmung weiterer Kontoinhaber oder als Bevollmächtigter des berechtigten Kontoinhabers). Mit ordnungsgemäßer Übergabe Ihrer Credentials gehen wir von einer entsprechenden Zugriffsberechtigung aus.
         6. Eine etwaige weitere Verarbeitung der übermittelten Daten in der Fachanwendung richtet sich allein nach der Datenschutzerklärung unserer Fachanwendung.
      2. Fachanwendungen Dritter
         1. Auch bei Nutzung der Kontoinformations- und Zahlungsauslösedienstleistungen der PBB-API in den Fachanwendungen Dritter werden Ihre Credentials an die PBB-API übergeben, von dort über eine sicher-verschlüsselte Verbindung an den Server der PBB-API übermittelt und von dort über eine sicher-verschlüsselte Verbindung an das Rechenzentrum Ihres kontoführenden Zahlungsdienstleisters übermittelt. Die vorstehenden Ausführungen zu unseren eigenen Fachanwendungen gelten für Fachanwendungen Dritter gleichermaßen. Der Server der Fachanwendung des Dritten hat zu keinem Zeitpunkt Zugriff auf Ihre Credentials.
         2. Zur Nutzung der Kontoinformations- und Zahlungsauslösedienstleistungen der PBB-API in den Fachanwendungen Dritter ist Ihre Einwilligung erforderlich, dass wir dem Anbieter der von Ihnen genutzten Fachanwendung die Informationen (z.B. Kontostand, Kontoumsätze, Bestätigung der Auslösung eines Zahlungsvorgangs, Steuerbescheiden, Erträgnisaufstellungen und anderen Dokumenten Ihres kontoführenden Zahlungsdienstleisters), die wir von Ihrem hinzugefügten Konto abrufen, speichern und übermitteln dürfen.
         3. Eine etwaige weitere Verarbeitung der übermittelten Kontoinformationen in der Fachanwendung richtet sich allein nach der Datenschutzerklärung der Fachanwendung des Dritten.
   2. Speicherung Ihrer Online-Banking Zugangsdaten, Ihrer PIN und Ihrer Kontoinformationen
      1. Zur Nutzung der PBB-API ist erforderlich, dass Ihre Online-Banking Zugangsdaten und die für Sie abgerufenen Kontoinformationen auf dem Server der PBB-API gespeichert werden. Wenn Sie bestimmte Fachanwendungen nutzen möchten oder in bestimmten Fachanwendungen Ihre Kontoinformationen automatisch abrufen lassen möchten (sog. automatische Umsatzabfrage), müssen Sie auch Ihre PIN auf dem Server der PBB-API speichern. Sie stimmen in Ihrer Fachanwendung zu, dass wir Ihre Online-Banking-Zugangsdaten, Ihre PIN und die für Sie abgerufenen Kontoinformationen auf dem Server der PBB-API speichern dürfen. Soweit der Zugang zu Ihrem Zahlungskonto eine starke Kundenauthentifizierung (z.B. der Eingabe einer TAN neben einer PIN) erfordert, ist die automatische Umsatzabfrage erst nach der starken Kundenauthentifizierung möglich.
      2. Sie haben jederzeit die Möglichkeit, die gespeicherte PIN auf dem Server der PBB-API wieder zu entfernen. Soweit die Möglichkeit zur Speicherung in Ihrer Fachanwendung optional angeboten wird, können Sie dies in der jeweiligen Fachanwendung einstellen (durch Deaktivierung der entsprechenden Option, bitte lesen dazu das jeweilige Benutzerhandbuch der Fachanwendung). Im Übrigen gilt für die Löschung Ihrer Online-Banking Zugangsdaten, Ihrer PIN und der für Sie abgerufenen Kontoinformationen der Abschnitt „Widerruf der Zustimmung zur Speicherung/Löschung“.
      3. Widerruf der Zustimmung zur Speicherung/Löschung
         Ihre Zustimmung zur Speicherung der Credentials – Online-Banking Zugangsdaten und PIN sowie der abgerufenen Kontoinformationen auf dem Server der PBB-API können Sie jederzeit widerrufen, indem Sie diese Daten löschen. Diese Löschung können Sie jederzeit durch Kündigung dieses Nutzungsvertrags vornehmen. Klicken Sie dazu auf den entsprechenden Button in Ihrer Fachanwendung (z.B. „Jetzt kündigen“).
   3. Speicherung der Daten, Grundsätzlich keine Weitergabe an sonstige Dritte
      Der Betrieb des Servers der PBB-API und damit auch die Speicherung Ihrer Daten erfolgt in einer eigens dafür geschaffenen Netzwerkzone in den Rechenzentren der BUHL-DATA-SERVICE GmbH. Es erfolgt – vorbehaltlich etwaiger gesetzlicher/behördlicher Pflichten – keine Weitergabe Ihrer Daten an Dritte.
   4. Dauer der Speicherung
      Wir speichern Ihre Daten nur, solange dies zur Erfüllung des vorgenannten Erhebungs- und Verarbeitungszwecks erforderlich ist.
   5. Widerruf Ihrer Einwilligung
      Sie können Ihre Einwilligung zur Verarbeitung und Speicherung Ihrer Daten jederzeit nach Maßgabe des Abschnitts „Widerruf der Zustimmung zur Speicherung/Löschung“ widerrufen.
5. Verwendung von Cookies
   1. 1. Cookies sind Textdateien, die Daten von besuchten Webseiten enthalten und von einem Browser auf dem Computer des Benutzers gespeichert werden.
      2. Zur Einrichtung von Paypalkonten verwenden wir das Integrated Signup-Verfahren, welches über den Aufruf einer Paypal-Redirectseite erfolgt, und die hierfür erforderlichen Cookies (PaypalRedirectAuthToken, PaypalRedirectUrl, PaypalRedirectRequestId, PaypalRedirectProcessId, PaypalRedirectLogLevel):
         1. Sie rufen dazu eine von uns bereitgestellte PBB-URL auf (hier werden die Cookies geschrieben).
         2. Auf dieser PBB-URL befindet sich ein Paypal-Login Button. Wenn Sie diesen bestätigen, werden Sie auf eine Anmeldeseite von Paypal weitergeleitet.
         3. Nach abgeschlossener Anmeldung werden Sie zurück auf die PBB-URL weitergeleitet (hier werden die Cookies ausgelesen).
      3. Die Verwendung dieser Cookies sind technisch zur Einrichtung von Paypalkonten notwendig.
      4. Die Rechtsgrundlage für die Verarbeitung personenbezogener Daten unter Verwendung technisch notweniger Cookies ist Art. 6 Abs. 1 lit. f DSGVO.
      5. Die vorgenannten Cookies werden direkt nach Auslesen wieder gelöscht.
6. Informationen bezüglich Transparenz und Ihrer Rechte
   1. Rechtsgrundlagen sowie Zweck der Verarbeitung Ihrer personenbezogenen Daten
      Zur Datenverarbeitung sind wir gemäß § 59 ZAG und Art.6 DSGVO berechtigt. Ihre Daten erheben und verarbeiten wir zu dem Zweck, Ihnen die Kontoinformations- und Zahlungsauslösedienstleistungen der PBB-API bereitstellen zu können.Die Rechtmäßigkeit der Verarbeitung Ihrer personenbezogenen Daten durch unser Unternehmen basiert im Wesentlichen auf der Erforderlichkeit zur Erfüllung eines Vertrags. Gleiches gilt für solche Verarbeitungsvorgänge die zur Durchführung vorvertraglicher Maßnahmen erforderlich sind, etwa in Fällen von Anfragen zu- unseren Produkten oder Leistungen.Unser Unternehmen unterliegt rechtlichen Verpflichtungen, durch welche eine Verarbeitung von personenbezogenen Daten erforderlich wird, wie beispielsweise zur Erfüllung steuerlicher Pflichten.
      Daneben berufen wir uns auf ausdrückliche Einwilligungen zu der Verarbeitung der sie betreffenden personenbezogenen Daten, welche sie uns durch freiwillige Erklärungen geben.Sofern eine Interessenabwägung ergibt, dass ihre Rechte zum Schutz der personenbezogenen Daten nicht überwiegen, kann eine Verarbeitung auch in unserem berechtigten Interesse erfolgen.
   2. Recht auf Auskunft, Berichtigung, Löschung, Einschränkung der Verarbeitung
      Sie können jederzeit kostenlos Auskunft über Ihre bei uns gespeicherten Daten und deren Verarbeitung einschließlich der Verarbeitungszwecke und die Empfänger der Daten oder die Berichtigung, Einschränkung der Verarbeitung, Sperrung und Löschung Ihrer gespeicherten Daten verlangen. Sofern einer Löschung gesetzliche, vertragliche oder handels- bzw. steuerrechtliche Aufbewahrungsfristen oder sonstige gesetzlich verankerte Gründe entgegenstehen, werden Ihre Daten nicht gelöscht, sondern mit einer Sperre versehen. Kontaktieren Sie dazu bitte unseren
      Beauftragten für Datenschutz– schriftlich unter: Buhl Data Service GmbH, Datenschutz, Am Siebertsweiher 3/5, 57290 Neunkirchen– per E-Mail unter: datenschutz@buhl-data.com– oder per Telefax unter: 02735 / 776-199.
   3. Recht auf Widerspruch gegen die Verarbeitung und Widerruf Ihrer Einwilligung
      an
      Sie haben das Recht, jederzeit gegen die Verarbeitung Sie betreffender personenbezogener Daten Widerspruch einzulegen bzw. Ihre datenschutzrechtliche Einwilligung zu widerrufen. Dies erfolgt nach Maßgabe des Abschnitts „Widerruf der Zustimmung zur Speicherung/Löschung“. Wir verarbeiten die personenbezogenen Daten im Falle des Widerspruchs bzw. Widerrufs nicht mehr, es sei denn, wir können zwingende Gründe für die Verarbeitung nachweisen, die ihren Interessen, Rechten und Freiheiten überwiegen, oder die Verarbeitung dient der Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen. Dieses Recht schließt ihr Recht auf Widerruf einer datenschutzrechtlichen Einwilligung ein, die sie uns für die Verarbeitung erteilt haben.
   4. Recht auf Datenübertragbarkeit
      Sie haben das Recht, die sie betreffenden personenbezogenen Daten, welche sie uns bereitgestellt haben und deren Verarbeitung auf einer Einwilligung oder einem Vertrag beruht und mithilfe automatisierter Verfahren erfolgt, in einem strukturierten, gängigen und maschinenlesbaren Format zu erhalten und zu übermitteln. Soweit dies technisch machbar ist und sofern hiervon nicht die Rechte und Freiheiten anderer Personen beeinträchtigt werden, können Sie erwirken, dass die personenbezogenen Daten direkt von uns an einen anderen Verantwortlichen übermittelt werden.
   5. Dauer der Speicherung der personenbezogenen Daten
      Die Löschung der Daten geschieht im Rahmen der gesetzlichen Aufbewahrungspflichten und -fristen unter Berücksichtigung der Zweckbindung. Die handelsrechtlichen oder steuerwirksamen Daten eines abgeschlossenen Geschäftsjahres werden den rechtlichen Vorschriften entsprechend nach zehn bzw. sechs Jahren gelöscht, soweit keine längeren Aufbewahrungsfristen vorgeschrieben oder aus berechtigten Gründen erforderlich sind. Kürzere Löschungsfristen werden auf besonderen Gebieten angewandt (z.B. bei längerer Inaktivität Ihrerseits). Sofern Daten hiervon nicht berührt sind, werden sie gelöscht, wenn die zuvor genannten Zwecke wegfallen.
   6. Recht auf Beschwerde bei der Aufsichtsbehörde
      Wenn sie der Ansicht sind, dass die Verarbeitung der sie betreffenden personenbezogenen Daten gegen geltendes Datenschutzrecht verstößt, können sie das Recht auf Beschwerde bei der Aufsichtsbehörde wahrnehmen.
   7. Notwendigkeit der Erfassung ihrer personenbezogenen Daten
      Wir klären Sie darüber auf, dass die Bereitstellung personenbezogener Daten zum Teil gesetzlich vorgeschrieben ist (z.B. Steuervorschriften) oder sich auch aus vertraglichen Regelungen (z.B. Angaben zum Vertragspartner) ergeben kann.Damit Sie die Kontoinformations- und Zahlungsauslösedienstleistungen der PBB-API nutzen können, müssen Sie Ihre Zustimmung nach Maßgabe des Abschnitts „Speicherung Ihrer Online-Banking Zugangsdaten, Ihrer PIN und Ihrer Kontoinformationen“ erteilen. Ohne diese Zustimmung ist eine Nutzung der PBB-API nicht möglich.
   8. Kein Profiling oder Bestehen einer automatisierten Entscheidungsfindung
      Wir nutzen ihre Daten nicht für eine automatische Entscheidungsfindung oder für ein Profiling.
7. Änderung der Datenschutzerklärung
   Wir behalten uns vor, jederzeit diese Hinweise zum Datenschutz unter Beachtung der datenschutzrechtlichen Vorgaben anzupassen.

Die vorliegenden Hinweise zum Datenschutz können Sie jederzeit hier abrufen.