Nutzungsbedingungen für Softwareanbindung via API
1. Geltungsbereich
Die «Nutzungsbedingungen für Softwareanbindung via API» werden auf den Dienstleistungen der Aargauischen Kantonalbank (nachstehend «Bank») angewendet, die in Abschnitt 2 «Leistungsangebot» aufgeführt sind.
Diese Nutzungsbedingungen regeln die Erbringung von Bankdienstleistungen, die ihre Grundlage in separaten Verträgen, Nutzungsbedingungen oder Allgemeinen Geschäftsbedingungen haben, und haben Vorrang vor abweichenden Regelungen in diesen Verträgen, Nutzungsbedingungen oder Allgemeinen Geschäftsbedingungen.
2. Leistungsangebot
Mittels der Softwareanbindung via API bietet die Bank eine Dienstleistung (nachstehend «Service») an, die es dem Kunden, der Kundin bzw. den durch ihn oder sie Legitimierten (nachfolgend als «Anwenderin, Anwender» bezeichnet) ermöglicht, die Bank zu beauftragen, Daten an einen externen Dienstleister (nachstehend «Drittdienstleister») zu übermitteln. Die Daten-Übermittlung erfolgt über eine gesicherte API-Schnittstelle («Application Programming Interface»), die von der Bank zur Verfügung gestellt wird. Nachdem der Service freigegeben ist, beantwortet die Bank Datenabfragen des durch die Anwenderin, den Anwender ausgewählten Drittdienstleisters und nimmt von ihm Aufträge entgegen. Diese Datenübermittlung erfolgt indirekt über die API-Schnittstelle der Plattform «bLink» (nachstehend «Plattform») der SIX BBS AG (SIX). Der Service dient dem Austausch von Daten und der Erbringung von Dienstleistungen («Use Cases»). Use Cases sind beispielsweise der Bezug von Daten (z. B. Kontoinformationen) oder die Übermittlung von Aufträgen (z. B. Zahlungsaufträge). Die von der Bank angebotenen Dienstleistungen innerhalb dieses Services sind auf der Website der Bank beschrieben.
Die Leistungspflicht der Bank besteht darin, Serviceaufrufe der Anwenderin, des Anwenders entgegenzunehmen und die im Serviceaufruf angeforderten Daten an die API-Schnittstelle zu übertragen. Bezweckt ein solcher Serviceaufruf eine Auftragserteilung an die Bank (z. B. ein Zahlungsauftrag), kann eine zusätzliche Freigabe durch die Anwenderin, den Anwender gegenüber der Bank erforderlich sein.
Die Bank behält sich das Recht vor, den Service jederzeit anzupassen, neue Use Cases einzuführen oder bestehende nicht mehr anzubieten.
3. Identifizierungsschlüssel (Token)
Sobald der Service mit den für das e-Banking der Bank gültigen Authentifizierungsmethoden aktiviert ist, wird von der Bank ein elektronischer Identifizierungsschlüssel, auch «Token» genannt, generiert. Dieser Token wird über die gesicherte Verbindung der API-Schnittstelle von der Bank an die Plattform übertragen. Die Plattform wiederum leitet den Token an den ausgewählten Drittdienstleister weiter. Dieser Drittdienstleister ist für die sichere Verwaltung und bestimmungsgemässe Verwendung des Tokens verantwortlich. Die Bank hat darauf keinen Einfluss und übernimmt weder Überwachungs- noch sonstige Verpflichtungen. Wenn ein Serviceaufruf von der Plattform oder dem Drittdienstleister mit einem gültigen Token versehen ist, beantwortet die Bank diesen Serviceaufruf ohne weitere Abklärungen.
4. Sorgfaltspflichten
Wenn die Anwenderin, der Anwender beabsichtigt, den Service eines von ihm oder ihr ausgewählten Drittdienstleisters zu beenden oder auf bestimmte Transaktionen zu beschränken, ist er oder sie verpflichtet, die gesicherte Verbindung der API-Schnittstelle zwischen der Software des Drittdienstleisters und der Bank zu deaktivieren oder einzuschränken. Solange der Token nicht gelöscht ist, bearbeitet die Bank die Serviceanfragen des Drittdienstleisters weiterhin.
Der Drittdienstleister überprüft die Legitimation der Anwenderin, des Anwenders basierend auf den eigenen Legitimationsmitteln, die nicht von der Bank ausgestellt worden sind. Die Anwenderin, der Anwender ist dafür verantwortlich, diese Legitimationsmittel gemäss den Vorgaben des Drittdienstleisters geheim zu halten und vor missbräuchlicher Verwendung durch Unbefugte zu schützen.
Die Anwenderin, der Anwender nimmt zur Kenntnis, dass durch die Aktivierung des Services alle Personen, die zur Nutzung des e-Bankings der Bank berechtigt sind, eine Softwareverbindung erstellen können.
Daneben gelten die allgemeinen Sorgfaltspflichten betreffend e-Banking-Dienstleistungen.
5. Zugelassene Drittdienstleister
Die Anwenderin, der Anwender kann lediglich Drittdienstleister auswählen, die sowohl von der Bank als auch von der Plattform zugelassen sind. Die Bank behält sich das Recht vor, nach eigenem Ermessen Drittdienstleister vom Service auszuschliessen. Die zugelassenen Drittdienstleister erbringen ihre Dienstleistungen eigenständig und ohne Beteiligung oder Kontrolle der Bank. Dies betrifft insbesondere die eigenständige Zugriffsverwaltung des Drittdienstleisters, die den Anwender, die Anwenderin berechtigt, Serviceaufrufe an die Bank zu senden.
6. Datenverwendung beim Plattformbetreiber und beim Drittdienstleister
Mit der Nutzung des Services ist die Anwenderin, der Anwender einverstanden, dass Informationen zu ihrer oder seiner Bankkundenbeziehung über den Service ausgetauscht werden und den von der Anwenderin, vom Anwender ausgewählten Drittdienstleister zur Kenntnis gelangen. Die Kundin, der Kunde verzichtet in diesem Zusammenhang auf das Bankkundengeheimnis.
6.1 Datenverwendung beim Plattformbetreiber
Der Plattformbetreiber kann Kundendaten für nachfolgende Zwecke verarbeiten und speichern: den Betrieb der Plattform, die Übermittlung von Anfragen zu Dienstleistungen und entsprechende Antworten, damit verbundene Aktivitäten, die Weiterentwicklung der elektronischen Datenübertragung sowie statistische Auswertungen, sofern diese keine Rückschlüsse auf die Anwenderin, den Anwender zulassen.
Die Bank hat keinerlei Kontrolle über die Verwendung der Daten durch den Plattformbetreiber. Kundendaten können zudem Gegenstand von Prüfhandlungen sein, die der Plattformbetreiber in Bezug auf die elektronische Datenübermittlung bei der Bank durchführt.
6.2 Datenverwendung beim Drittdienstleister
Die Übermittlung von der Plattform zum Drittdienstleister bzw. vom Drittdienstleister in die Systeme der Anwenderin, des Anwenders sowie die Datenverwendung beim Drittdienstleister selbst richten sich ausschliesslich nach den Verträgen des Drittdienstleisters, insbesondere nach dessen Datenschutzerklärung. Der Drittdienstleister ist für die Gewährleistung der Sicherheit und die Einhaltung des Datenschutzes in seinem Leistungsbereich verantwortlich. Die Bank hat keinerlei Einfluss auf oder Kontrolle über die Datenverwendung und die Sicherheitsmassnahmen des Drittdienstleisters. Daten können durch diesen im Ausland gespeichert werden. Sie unterliegen in diesem Fall nicht den Schutzvorschriften des schweizerischen Rechts, insbesondere nicht dem Bankkundengeheimnis. Der Drittdienstleister handelt ausschliesslich als von der Anwenderin, vom Anwender beigezogene Hilfsperson. Deshalb lehnt die Bank jegliche Prüf- oder Überwachungsflicht und jegliche sonstige Verantwortung für Leistungen oder Unterlassungen des Drittdienstleisters ab.
7. Sperrung des Zugangs der Dienstleistung
Um den Zugang zum Service zu sperren, kann die Anwenderin, der Anwender Kontakt mit der Bank aufnehmen.
Eine temporäre Sperrung des e-Banking-Zugangs der Anwenderin, des Anwenders (z. B. durch mehrmalige Falscheingabe des Passworts) führt nicht automatisch zu einer Sperrung des Zugangs zum Service. Es liegt auch nicht in der Verpflichtung der Bank, in derartigen Situationen den Zugang zum Service zu unterbinden.
8. Systemverfügbarkeit
Die Bank behält sich das Recht vor, den Zugang zum Service jederzeit ohne Angabe von Gründen einzuschränken, vollständig zu untersagen oder zu unterbrechen. Die Bank kann weder den jederzeit störungsfreien noch den ununterbrochenen Zugang zum Servicegewährleisten. Die Bank behält sich ebenfalls vor, vorübergehende Unterbrechungen des Services vorzunehmen, um Sicherheitsrisiken abzuwehren oder Wartungsarbeiten durchzuführen.
Aufgrund von Sperrungen, Unterbrüchen oder Verzögerungen können keine Ansprüche an die Bank gestellt werden.
9. Ausschluss von Gewährleistung und Haftung
Die Bank agiert in Bezug auf den vorliegenden Service gemäss den üblichen geschäftlichen Standards der Sorgfalt. Jegliche zusätzliche Gewährleistung und Haftung im Zusammenhang mit dem Service werden von der Bank ausgeschlossen.
Die Bank hat keinen Einfluss auf Datenübermittlungen von der API-Schnittstelle über die Plattform und den Drittdienstleister zur Anwenderin, zum Anwender sowie Datenübermittlungen von der Anwenderin, vom Anwender über die genannten Stellen zur API-Schnittstelle. Dies schliesst auch sämtliche Prozesse dieser Datenübermittlungen ein, auf welche die Bank keinen Einfluss hat, insbesondere das Verhalten des Plattformbetreibers sowie des von der Anwenderin, vom Anwender ausgewählten Drittdienstleisters im Zusammenhang mit diesen Datenübermittlungen.
Die Bank lehnt folglich jegliche Gewährleistung oder Haftung ab für Datenübermittlungen von der API-Schnittstelle über die Plattform und den Drittdienstleister zur, Anwenderin, zum Anwender sowie Datenübermittlungen von der Anwenderin, vom Anwender über die genannten Stellen zur API-Schnittstelle. Die Gewährleistung und Haftung werden dabei insbesondere ausgeschlossen für:
- die sichere Aufbewahrung und bestimmungsgemässe Verwendung des von der Bank ausgestellten Tokens und der vom Drittdienstleister ausgestellten Authentifizierungsmittel,
- die rechtmässige Datenverwendung beim Plattformbetreiber und beim Drittdienstleister,
- die Sicherheit der von der und an die API-Schnittstelle übermittelten Daten,
- die inhaltliche Zusammensetzung von Dienstleistungsanfragen und deren Übermittlung an die API-Schnittstelle,
- jegliche Handlungen und Unterlassungen von Plattformbetreiber und Drittdienstleister im Zusammenhang mit der elektronischen Datenübermittlung.
Die Anwenderin, der Anwender nimmt dies zustimmend zur Kenntnis. Im Übrigen gelten die Gewährleistungs- und Haftungsbestimmungen der «Bedingungen für das e-Banking» analog.
10. Änderungen der Nutzungsbedingungen
Die Bank behält sich jederzeit Änderungen dieser Nutzungsbedingungen vor. Eine Änderung wird der Anwenderin, dem Anwender auf geeignete Weise mitgeteilt und gilt ohne schriftlichen Widerspruch innert Monatsfrist seit Bekanntgabe als genehmigt.
11. Kontaktstellen
Die Hotline für Support und Sperrungen des Services ist auf der Website der Bank www.akb.ch/die-akb/kontakt ersichtlich. Das Kundenberatungscenter steht während den auf der Website aufgeführten Servicezeiten zur Verfügung.
Aktualisiert im September 2023