Datenschutzerklärung Kunden und Interessenten

Die Luzerner Kantonalbank AG, Pilatusstrasse 12, 6003 Luzern, ist für die Bearbeitung von Personendaten durch die LUKB verantwortlich. Ihre Fragen oder Auskunftsbegehren im Zusammenhang mit dem Datenschutz können Sie per Brief oder per E-Mail an den Datenschutzberater der LUKB richten:

Luzerner Kantonalbank AG
Rechtsdienst & Compliance
Datenschutzberater
Pilatusstrasse 12
6003 Luzern
datenschutz@lukb.ch

Einerseits bearbeiten wir Personendaten, die uns die Kunden oder Interessenten im Rahmen der (sich anbahnenden) Geschäftsbeziehung zur Verfügung stellen. Andererseits bearbeiten wir Personendaten, die wir aus öffentlich zugänglichen Quellen (z. B. Schuldnerverzeichnisse, Grundbücher, Handelsregister, Presse, Internet) zulässigerweise gewinnen oder die uns von sonstigen Dritten (z. B. von Drittbanken, einer Behörde oder Amtsstelle, einer Kreditauskunftei oder von Kooperationspartnern) berechtigt übermittelt werden, soweit diese für die Erbringung unserer Dienstleistungen erforderlich sind.

Wir bearbeiten insbesondere die folgenden Kategorien von Personendaten: Personalien (Name, Vorname, Geburtstag, Staatsangehörigkeit, Adresse und andere Kontaktdaten), Legitimationsdaten (z. B. Ausweisdaten), Bestandesdaten (z. B. Vertragsnummer oder Informationen zum Konto, Depot oder abgeschlossenen Geschäften) und Authentifikationsdaten (z. B. Unterschriftsprobe). Darüber hinaus können dies auch Auftragsdaten (z. B. Zahlungsauftragsdaten), Daten aus der Erfüllung vertraglicher Pflichten (z. B. Umsatzdaten im Zahlungsverkehr), Informationen über Ihre finanzielle Situation (z. B. Bonitätsdaten, Scoring-/Ratingdaten, Herkunft von Vermögenswerten), Werbe- und Vertriebsdaten (inkl. Werbescores), Dokumentationsdaten (z. B. Beratungsprotokoll) sowie andere mit den genannten Kategorien vergleichbare Daten sein.

Die LUKB kann zwecks Erbringung ihrer Dienstleistungen oder aufgrund gesetzlicher Pflichten besonders schützenswerte Personendaten bearbeiten (wie z. B. biometrische Daten zwecks Zugriff auf Applikationen oder Einrichtungen). Sie werden grundsätzlich nur dann erhoben und bearbeitet, wenn sie zwingend erforderlich sind.

Hinsichtlich der Bearbeitung von Daten beim Einsatz von digitalen Services, die teilweise auch Daten von Drittquellen einbinden (z. B. Marketingdaten, technische Daten, Daten von Kreditkartenanbietern), verweisen wir auf die Informationen zum Datenschutz der jeweiligen Dienstleistung bzw. Applikation (z. B. www.funders.ch, www.strukturierteprodukte.lukb.ch, Apps der LUKB oder andere Apps, wie bspw. Viseca One oder Twint).

Wir bearbeiten Personendaten im Einklang mit den massgeblichen Datenschutzbestimmungen (siehe unter anderem auch Art. 6 DSG und, sofern und soweit anwendbar, Art. 5 und 6 EU-DSGVO):

a.    Zur Erfüllung von vertraglichen Pflichten

Die Bearbeitung von Personendaten erfolgt in erster Linie, um im Rahmen der von uns als Universalbank angebotenen Dienstleistungen Verträge abzuschliessen und diese abzuwickeln. Der jeweilige Zweck richtet sich nach dem konkreten Produkt (z. B. Konto, Einlagen, Wertpapiere, Kredit) bzw. nach der konkreten Dienstleistung. Diese können unter anderem auch Bedarfsanalysen, Beratung, Vermögensverwaltung und -betreuung sowie die Durchführung von Transaktionen umfassen. Weitere Einzelheiten hierzu finden Sie auf unserer Homepage, in den Fact Sheets, Vertragsunterlagen und Geschäftsbedingungen.

b.    Aufgrund berechtigter Interessen

Soweit erforderlich bearbeiten wir Personendaten über die eigentliche Vertragserfüllung hinaus, um unsere berechtigten Interessen oder diejenigen Dritter zu wahren, zum Beispiel:

• Austausch mit Auskunftsstellen zur Ermittlung von Bonitäts- bzw. Kreditausfallrisiken (z. B. Betreibungsamt, Zentralstelle für Kreditinformation (ZEK) oder Informationsstelle für Konsumkredit (IKO)),
• Prüfung und Optimierung von Verfahren zur Bedarfsanalyse für die direkte Kundenansprache bzw. -akquisition,
• Werbung oder Markt- und Meinungsforschung, soweit der Nutzung der Daten nicht widersprochen wurde,
• Geltendmachung rechtlicher Ansprüche und Verteidigung bei rechtlichen Streitigkeiten,
• Gewährleistung der ICT-Sicherheit und des ICT-Betriebs der LUKB,
• Verhinderung und Aufklärung von Straftaten, Massnahmen zur Sicherstellung des Hausrechts inkl. Videoüberwachungen, Sammlung von Beweismitteln bei Überfällen und anderen Delikten oder zum Nachweis von Verfügungen und Einzahlungen (z. B. an Geldautomaten) sowie Massnahmen zur Gebäude- und Anlagensicherheit (z. B. Zutrittskontrollen),
• Massnahmen zur Geschäfts- und Risikosteuerung innerhalb der LUKB sowie die Weiterentwicklung von Dienstleistungen und Produkten.

Zudem erheben wir Personendaten aus öffentlich zugänglichen Quellen zum Zweck der Kundenakquisition. Für die Zwecke des Direktmarketings können von Dritten erhaltene Daten mit den von uns erhobenen Daten zusammengeführt werden.

c.    Aufgrund Ihrer Einwilligung

Im Weiteren können wir Personendaten für bestimmte Zwecke (z. B. Auswertung für Marketingzwecke oder Produktverbesserung) aufgrund Ihrer Einwilligung bearbeiten. Eine Einwilligung kann jederzeit widerrufen werden. Der Widerruf wirkt für die Zukunft und berührt die Rechtmässigkeit der bis zum Widerruf erfolgten Datenbearbeitung nicht. 

d.    Aufgrund gesetzlicher Vorgaben oder im öffentlichen Interesse

Als Bank unterliegen wir zahlreichen rechtlichen Verpflichtungen. Unter anderem sind dies gesetzliche, standesrechtliche und bankaufsichtsrechtliche Anforderungen bzw. Vorgaben (bspw. Schweizerisches Bankengesetz (BankG), Finanzmarktinfrastrukturgesetz (FinfraG), Kollektivanlagengesetz (KaG), Geldwäschereigesetz (GwG), Steuergesetze (inklusive Automatischer Informationsaustausch (AIAG)), Verordnungen und Rundschreiben der Eidgenössischen Finanzmarktaufsicht FINMA, Richtlinien der Schweizerischen Bankiervereinigung oder Anforderungen der Schweizerischen Nationalbank). Zu den Zwecken der Bearbeitung gehören unter anderem die Kreditwürdigkeitsprüfung, die Identitäts- und Altersprüfung, die Betrugs- und Geldwäschereiprävention, die Erfüllung steuerrechtlicher Kontroll- und Meldepflichten und die Bewertung und Steuerung von Risiken innerhalb der LUKB.

Um bestimmte persönliche Aspekte zu bewerten bearbeiten wir Personendaten teilweise automatisiert (Profiling), beispielsweise in den folgenden Fällen:

• Wir sind unter anderem zur Bekämpfung von Geldwäscherei, Terrorismusfinanzierung und vermögensgefährdender Straftaten verpflichtet. Hierfür werden Datenauswertungen vorgenommen (u. a. im Zahlungsverkehr). Diese Massnahmen dienen auch dem Schutz der Kunden.
• Im Rahmen der Beurteilung der Kreditfähigkeit eines Kunden nutzen wir das sogenannte «Scoring». Anhand verschiedener Daten (bspw. Einkommensverhältnisse, Ausgaben, bestehende Verbindlichkeiten, Beruf, Arbeitgeber, Beschäftigungsdauer, Erfahrungen aus der bisherigen Geschäftsbeziehung, vertragsgemässe Rückzahlung früherer Kredite oder Informationen von Kreditauskunftsstellen) wird unter Benutzung eines mathematisch statistisch anerkannten und bewährten Verfahrens berechnet, mit welcher Wahrscheinlichkeit ein Kunde seinen Zahlungsverpflichtungen vertragsgemäss nachkommen wird. Die Ergebnisse unterstützen uns mitunter bei der Entscheidfindung betreffend Produktabschlüsse und fliessen in das laufende Risikomanagement ein.
• Für die Bereitstellung individueller Angebote und Werbung, Markt- und Meinungsforschung, für eine auf Sie zugeschnittene Beratung sowie für die zielgerichtete Kommunikation.

Für den Abschluss und die Abwicklung einer Geschäftsbeziehung nutzen wir grundsätzlich keine automatisierte Entscheidfindung. Sollten wir ein solches Verfahren einsetzen, werden wir Sie hierüber gesondert informieren, sofern dies gesetzlich vorgeschrieben ist.

Innerhalb der LUKB haben diejenigen Personen Zugriff auf Personendaten, die diese zur Erfüllung unserer vertraglichen und gesetzlichen Pflichten benötigen. Zu diesen Personen gehören nebst den eigenen Mitarbeitern auch von uns eingesetzte Dienstleister und Erfüllungsgehilfen (insbesondere sog. Auftragsbearbeiter bzw. -verarbeiter). Es handelt sich hierbei insbesondere um Unternehmen in den Kategorien Bankdienstleistungen, Marketing, ICT-Dienstleistungen, Logistik, Druckdienstleistungen, Telekommunikation, Inkasso und Beratung. Ihr Beizug erfolgt im Einklang mit den banken- und datenschutzrechtlichen Bestimmungen. Sie werden unter anderem zur Wahrung des Bankkundengeheimnisses und der datenschutzrechtlichen Anforderungen verpflichtet. 

Die LUKB ist aufgrund gesetzlicher Bestimmungen und vertraglicher Vereinbarungen (siehe auch die Allgemeinen Geschäftsbedingungen in den Basisdokumenten) grundsätzlich verpflichtet, über alle kundenbezogenen Tatsachen und Wertungen, von denen sie Kenntnis erlangt, Verschwiegenheit zu wahren (Bankkundengeheimnis). Personendaten werden daher nur aufgrund einer rechtlichen (insbesondere gesetzlichen) Grundlage, der Einwilligung der betroffenen Person (z. B. um eine in Auftrag gegebene Finanztransaktion durchzuführen) oder einer Befugnis zur Erteilung einer Bankauskunft an Dritte weitergegeben. Unter diesen Voraussetzungen können Personendaten zum Beispiel folgenden Empfängern mitgeteilt werden:

• Amtsstellen bei Vorliegen einer gesetzlichen oder anderweitigen rechtlichen Grundlage bzw. Verpflichtung (z. B. Strafverfolgungsbehörden, Aufsichtsbehörden (insb. FINMA), Betreibungs- und Konkursämter, Erbschaftsbehörden, Kindes- und Erwachsenenschutzbehörden).
• Kredit- und Finanzdienstleistungsinstitute oder vergleichbare Einrichtungen, an die wir zur Durchführung der Geschäftsbeziehung Personendaten übermitteln (z. B. Korrespondenzbanken, Depotbanken, Broker, Börsen, Auskunftsstellen).
• Begünstigte, Kontobevollmächtigte und weitere an einer Transaktion Beteiligte, Abwicklungsstellen des Zahlungsverkehrs und des Wertschriftenhandels (mit internationalem Bezug).

Die Personen und Stellen, die gemäss Ziffer 5 Personendaten erhalten und bearbeiten, können sich auch im Ausland befinden. Eine Datenübermittlung an Stellen in Ländern ausserhalb der Schweiz findet statt, soweit 

• es zur Ausführung Ihrer Aufträge erforderlich ist (z. B. Zahlungs- und Wertpapieraufträge),
• es gesetzlich vorgeschrieben ist (z. B. steuerrechtliche Meldepflichten),
• es für das Führen von Verfahren im Ausland erforderlich ist,
• es aufgrund des Beizugs von Dienstleistern (Auftragsdatenbearbeitern) notwendig ist oder 
• eine andere rechtliche Grundlage besteht (z. B. die betroffene Person uns ihre Einwilligung erteilt hat).

Findet eine Datenübermittlung in einen Staat ohne angemessenes Datenschutzniveau statt, werden Massnahmen zum Schutz der Personendaten getroffen (z. B. Verschlüsselung, Pseudonymisierung oder vertragliche Verpflichtung zur Wahrung des Vertraulichkeit und der Einhaltung des anwendbaren Datenschutzes, z. B. unter Verwendung der Standardvertragsklauseln der EU).

Betreffend der Datenübermittlung im Rahmen vom internationalen Zahlungsverkehr und bei Investitionen in ausländische Wertschriften verweisen wir Sie zudem auf das entsprechende Informationsschreiben der Schweizerischen Bankiervereinigung (SBVg).

Wir bearbeiten und speichern Personendaten, solange es für die Erfüllung der Zwecke bzw. unserer vertraglichen und gesetzlichen Pflichten erforderlich ist. Dabei ist zu beachten, dass die Geschäftsbeziehung mit einem Kunden in der Regel ein auf mehrere Jahre angelegtes Dauerschuldverhältnis ist. Sind die Personendaten nicht mehr erforderlich, werden diese – soweit technisch möglich – regelmässig gelöscht, es sei denn, deren befristete Weiterbearbeitung ist für folgende Zwecke erforderlich:

• Erfüllung gesetzlicher und regulatorischer Aufbewahrungspflichten (insbesondere gemäss Schweizerischem Obligationenrecht (OR), Mehrwertsteuergesetz (MWSTG), Bundesgesetz über die direkte Bundessteuer (DBG), Bundesgesetz über die Harmonisierung der direkten Steuern der Kantone und Gemeinden (StHG), Bundesgesetz über die Stempelabgaben (StG), Geldwäschereigesetz (GwG) oder Verrechnungssteuergesetz (VStG)).
• Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen oder spezielle Aufbewahrungsvorschriften können zur Aufbewahrung für eine bestimmte oder unbestimmte Zeitperiode führen.

Die LUKB trifft zum Schutz Ihrer Daten vor Verlust, Missbrauch, unbefugtem Zugriff, Änderung und Weitergabe angemessene technische und organisatorische Sicherheitsmassnahmen. Zu diesen Massnahmen gehören namentlich der Erlass von Weisungen, die Durchführung von Schulungen und Kontrollen, die Verschlüsselung von Datenträgern und Übermittlungen, IT- und Netzwerksicherheitslösungen, Zugangskontrollen und -beschränkungen oder die periodische Datensicherung.

Im Weiteren vereinbart die LUKB mit ihren Lieferanten, sofern erforderlich, regelmässig eine Vereinbarung über die Auftragsdatenbearbeitung. Darin werden die Lieferanten unter anderem vertraglich gehalten, insbesondere die anwendbaren Vorschriften zum Datenschutz einzuhalten, Vertraulichkeit zu wahren sowie mit Blick auf die Datensicherheit hinreichende technische und organisatorische Massnahmen zu treffen. Auch müssen Lieferanten der LUKB unverzüglich mitteilen, wenn ihnen Verletzungen des Schutzes der relevanten Daten bzw. der Datensicherheit bekannt werden (Data Breach).

Die LUKB meldet eine Verletzung der Datensicherheit, die voraussichtlich zu einem hohen Risiko für die Persönlichkeit oder die Grundrechte der betroffenen Person führt, dem Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten so rasch wie möglich. Gegebenenfalls informiert sie im Rahmen der anwendbaren Vorschriften die betroffenen Personen, wenn es zu ihrem Schutz erforderlich ist oder die Eidgenössische Datenschutz- und Öffentlichkeitsbeauftragte es verlangt.

Sie müssen diejenigen Personendaten bereitstellen, welche für die Aufnahme und Erfüllung der Geschäftsbeziehung erforderlich sind. Ohne diese Daten werden wir in der Regel nicht in der Lage sein, den Vertrag mit Ihnen zu schliessen, die von Ihnen gewünschten Dienstleistungen zu erbringen oder Ihnen Produkte zur Verfügung zu stellen. Sodann können wir von Gesetzes wegen zur Erhebung von Personendaten verpflichtet sein. Insbesondere sind wir nach den geldwäschereirechtlichen Vorschriften verpflichtet, Sie vor der Begründung der Geschäftsbeziehung anhand eines Ausweisdokumentes zu identifizieren und dabei Angaben wie Namen, Geburtsort, Geburtsdatum, Staatsangehörigkeit, Adresse sowie Ausweisdaten zu erheben und festzuhalten. Damit wir dieser gesetzlichen Pflicht nachkommen können, haben Sie uns gemäss Geldwäschereigesetz die notwendigen Informationen und Unterlagen zur Verfügung zu stellen und uns im Laufe der Geschäftsbeziehung ergebende Änderungen unverzüglich anzuzeigen. Sollten Sie uns die erforderlichen Unterlagen und Informationen nicht zur Verfügung stellen, dürfen wir die Geschäftsbeziehung nicht aufnehmen oder fortsetzen.

Jede betroffene Person hat hinsichtlich der sie betreffenden Daten, im Rahmen des anwendbaren Datenschutzrechts und soweit darin vorgesehen, das Recht auf Auskunft, das Recht auf Berichtigung, das Recht auf Löschung, das Recht auf Einschränkung der Bearbeitung, das Recht auf Widerspruch gegen eine Datenbearbeitung (insbesondere gegen das Direktmarketing oder das Profiling für Direktwerbung) und - soweit anwendbar - das Recht auf Datenübertragbarkeit. 

Wir bitten Sie um Kenntnisnahme, dass wir in solchen Fällen unter Umständen nicht mehr in der Lage sein werden, Dienstleistungen zu erbringen und eine Geschäftsbeziehung zu unterhalten. 

Die LUKB behält sich vor, die gesetzlich vorgesehenen Einschränkungen geltend zu machen, etwa wenn sie zur Aufbewahrung oder Bearbeitung gewisser Daten verpflichtet ist, sie ein überwiegendes Interesse hat (soweit sie sich darauf berufen darf), sie zwingende schutzwürdige Gründe für die Bearbeitung nachweisen kann, die Ihre Interessen, Rechte und Freiheiten überwiegen, oder sie die Personendaten für die Geltendmachung, Ausübung oder Verteidigung von Ansprüchen benötigt. 

Um Ihre Rechte geltend zu machen, können Sie sich an die in Ziffer 1 genannte Stelle oder an Ihren Kundenberater wenden. Jede betroffene Person hat überdies gegebenenfalls das Recht, ihre Ansprüche gerichtlich durchzusetzen oder die zuständige Datenschutzbehörde aufzurufen. Die zuständige Datenschutzbehörde der Schweiz ist der Eidgenössische Datenschutz- und Öffentlichkeitsbeauftragte (www.edoeb.admin.ch).

Die jeweils aktuelle und gültige Version dieser Datenschutzerklärung ist auf der Homepage der LUKB unter «Rechtliches» publiziert. Die LUKB behält sich vor, diese Datenschutzerklärung jederzeit ohne Vorankündigung zu ändern.

Version: Stand 1. September 2023