>> AGB anzeigen

 

PayPal-Nutzungsbedingungen des Unternehmens

 

Das Ziel der PayPal-Gruppe ist es, einheitliche, angemessene und globale Datenschutzstandards für den Umgang mit allen persönlichen Nutzerdaten in der gesamten PayPal-Gruppe anzuwenden.  Diese Nutzungsbedingungen des Unternehmens gelten für alle persönlichen Nutzerdaten, die von Gruppenmitgliedern weltweit verarbeitet werden.

Nutzer stellen ihre persönlichen Daten den Gruppenmitgliedern weltweit zur Verfügung, um die von der Gruppe angebotenen Dienste zu nutzen.  Die meisten persönlichen Daten sind erfasst und werden in den USA gespeichert.  Das globale Geschäft von PayPal erfordert, dass persönliche Daten von Nutzern an andere PayPal-Einrichtungen in den USA und weltweit weitergegeben werden, an denen PayPal derzeit präsent ist oder sein möchte.

Derzeit können Mitarbeiter in folgenden EWR-Ländern auf persönliche Daten der Nutzer zugreifen: Luxemburg, Belgien, Frankreich, Deutschland, Irland, Italien, Niederlande, Polen, Spanien, Schweden und Großbritannien.

Auch Mitarbeiter, die derzeit in folgenden Nicht-EU-Ländern ansässig sind, können auf persönliche Daten der Nutzer zugreifen: USA, Taiwan, Türkei, Britische Jungferninseln, Australien, Kanada, China, Hongkong, Indien, Indonesien, Israel, Japan, Republik Korea, Malaysia, Mauritius, Philippinen, Russland, Singapur, Schweiz, Argentinien, Brasilien und Mexiko.

PayPal verpflichtet sich, die Nutzerinformationen unabhängig davon, wo sich die personenbezogenen Daten befinden, angemessen zu schützen und die persönlichen Daten, die außerhalb des EWR übertragen werden, angemessen zu schützen.

Diese Länderliste kann sich ändern, wenn das Unternehmen expandiert.

 

1. Datenschutz, Führungsstruktur und Verantwortlichkeiten

Die Nutzungsbedingungen des Unternehmens werden durch eine Vereinbarung (die "IGA") zwischen PayPal (Europa) S.à r.l. & Cie, S.C.A. ("Führendes Gruppenmitglied") und anderen Unternehmen der PayPal-Gruppe rechtsverbindlich.  Die IGA verlangt von den Gruppenmitgliedern die Einhaltung dieser Nutzungsbedingungen des Unternehmens. Gruppenmitglieder fordern von ihren Mitarbeitern die Einhaltung dieser Nutzungsbedingungen des Unternehmens beim Umgang mit persönlichen Nutzerdaten.

Führungskräfte und Geschäftsleitung der PayPal-Gruppe sind verantwortlich für die Einhaltung der Nutzungsbedingungen des Unternehmens, einschließlich, um sicherzustellen, dass Mitarbeiter die Nutzungsbedingungen des Unternehmens kennen und einhalten.

Der Datenschutzleiter führt das Datenschutzprogramm von PayPal. Er/sie hat eine leitende Position bei PayPal Holdings, Inc. und berichtet direkt an den Chief Compliance-Beauftragten oder den höchsten ausführenden Angestellten, der die Compliance-Funktion bei PayPal leitet.  Der Datenschutzleiter überwacht das PayPal Global Privacy Compliance-Team und interagiert mit anderen internen Organisationen oder Teams, z.B. Geschäftsbetrieb, Informationssicherheit, Compliance, Risiko und interne Prüfung, um konsistente Kommunikationen, -praktiken und -richtlinien der Privatsphäre für die gesamte PayPal-Gruppe sicherzustellen. Das PayPal Global Privacy Compliance-Team entwickelt und koordiniert die Implementierung seiner Compliance-Strategie in der gesamten PayPal-Gruppe und überprüft die Einhaltung der Vorschriften.  Das PayPal Global Privacy Compliance-Team hat direkte und indirekte Vertreter in der gesamten PayPal-Gruppe, die unter anderem dazu beitragen, die Einhaltung der Nutzungsbedingungen des Unternehmens und der anwendbaren Datenschutzgesetze zu gewährleisten.

Der Leiter für Datenschutzbestimmungen beaufsichtigt das PayPal Global Privacy Legal-Team und berichtet direkt an den Hauptrechtsbeautragten oder den obersten ausführenden Angestellten, der die rechtliche Funktion bei PayPal leitet.  Der Leiter für Datenschutzbestimmungen definiert die Verpflichtungen des Unternehmens gemäß den geltenden Datenschutzgesetzen und den Nutzungsbedingungen des Unternehmens. Der Leiter für Datenschutzbestimmungen und das PayPal Global Privacy Legal-Team arbeiten eng mit dem Compliance-Datenschutzleiter und dem PayPal Global Compliance Privacy-Team zusammen und interagieren mit anderen internen Organisationen und Teams, z B. Recht, Geschäftsbetrieb, Informationssicherheit und setzen sich für die Bereitstellung von Rechtsberatung ein und interpretieren weltweit die rechtlichen und regulatorischen Auswirkungen auf die sich verändernden Datenschutzangelegenheiten der gesamten PayPal-Gruppe.

Das PayPal Global Privacy Compliance-Team und das PayPal Global Privacy Legal-Team bilden das PayPal Global Privacy-Team.

Der Europäische Datenschutzbeauftragte mit Sitz in Luxemburg wird von der Geschäftsführung von PayPal (Europe) S.à r.l. et Cie, S.C.A. ernannt. Der Europäische Datenschutzbeauftragte fungiert als Ansprechpartner für die EWR-Datenschutzbehörden und hat unter anderem folgende Aufgaben: Gruppenmitglieder und ihre Mitarbeiter, die personenbezogene Daten verarbeiten, über die Verpflichtung gemäß der Datenschutzgesetze zu informieren und zu beraten, um den Nutzungsbedingungen des Unternehmens zu entsprechen; mit PayPal Global Privacy-Team zur Einhaltung der Datenschutzgesetze und damit verbundenen Richtlinien der Gruppenmitglieder zusammenzuarbeiten; und den Gruppenmitgliedern wo nötig Rechtsberatung zur Verfügung zu stellen, im Hinblick auf die Abschätzung der Folgen des Datenschutzes und deren Umsetzung.

 

2. Grundlagen für die Verarbeitung von persönlichen Daten

Gruppenmitglieder beachten die folgenden Verarbeitungsprinzipien für persönliche Daten.

2.1 Zweck der Einschränkung

Die persönlichen Daten dürfen nur für bestimmte, ausdrückliche und rechtmäßige Zwecke verarbeitet werden.  Insbesondere können persönliche Daten zu folgenden Zwecken verarbeitet werden:

- Angebot und Erleichterung der Bereitstellung von Dienstleistungen auf Anfrage der Nutzer, einschließlich der Eröffnung eines Kontos;

- Verbesserung des Service und zur Entwicklung neuer Dienstleistungen;

- Klärung von Konflikten, Verwaltung von Rechtsstreitigkeiten, Behebung von Problemen und Bereitstellung von Kundenservice;

- Durchführung des Risikomanagements;

- Verarbeitung von Transaktionen und Sammelung von fälligen Gebühren;

- Überprüfung der Kreditwürdigkeit und Zahlungsfähigkeit;

- Messung des Interesses an und des Feedbacks und der Meinung des Nutzers über die Dienste, und informieren des Nutzers über Online- und Offlineangebote, Dienstleistungen und Updates;

- Anpassung an Kundenerfahrungen;

- Erkennung und Schutz von Fehlern, Betrug und anderen kriminellen Aktivitäten;

- Erfüllung der rechtlichen, vertraglichen oder regulatorischen Verpflichtungen der PayPal Gruppe;

- Durchsetzung der Bedingungen des Service und wie anderweitig für Nutzer zum Zeitpunkt der Erfassung und in den Service-Datenschutzgrundsätzen beschrieben;

- Schutz der Sicherheit, Integrität und Verfügbarkeit der Dienste und des Netzwerkes der PayPal-Gruppe; und

- Schutz der gesetzlichen Rechte und Interessen der PayPal-Gruppe, einschließlich, aber nicht beschränkt auf Ermittlung, Durchführung oder Verteidigung der Rechtsansprüche.

Die Verarbeitung persönlicher Nutzerdaten für andere Zwecke unterliegt der vorherigen Zustimmung des PayPal Global Privacy Legal-Teams.  Im Zweifelsfall beraten Gruppenmitglieder das PayPal Global Privacy Legal-Team.

Die persönlichen Daten dürfen nicht in einer Weise verarbeitet werden, die mit den oben genannten Zwecken nicht vereinbar ist, es sei denn, es gibt eine Rechtsgrundlage dafür nach dem anwendbaren Recht des Gruppenmitglieds im EWR-Raum, das für die Sammlung und/oder Übertragung der persönlichen Daten verantwortlich ist.   

2.2 Datenqualität und Verhältnismäßigkeit

Persönliche Daten sollten:

  • Genau und, soweit erforderlich, auf dem neuesten Stand sein;
  • Angemessen, relevant und nicht übermäßig in Bezug auf die Zwecke, für die es verarbeitet wird sein; und
  • Für nicht länger als notwendig gehalten werden, um die Zwecke zu erreichen, für die sie ursprünglich gesammelt oder weiterverarbeitet wurden.  

Persönliche Daten, die für die Zwecke, für die sie verarbeitet wurden, nicht mehr benötigt werden, werden gelöscht, vernichtet oder anonymisiert, es sei denn, es besteht ein Rechtsgrund für die weitere Verarbeitung oder Aufbewahrung nach geltendem Recht.

2.3 Rechtliche Gründe für die Verarbeitung

Die Gruppenmitglieder stellen sicher, dass persönliche Daten fair und rechtmäßig und insbesondere auf der Grundlage mindestens eines der folgenden rechtlichen Gründe verarbeitet werden:

  • Eindeutige Zustimmung des Nutzers;
  • Verarbeitung, die für die Erfüllung eines Vertrags erforderlich ist, an dem der Nutzer beteiligt ist, oder um auf Wunsch des Nutzers vor Abschluss eines Vertrags Schritte zu unternehmen;
  • Verarbeitung, die zur Erfüllung einer rechtlichen Verpflichtung für die Gruppenmitglieder erforderlich ist;
  • Erforderliche Verarbeitung, um die lebenswichtigen Interessen des Nutzers zu schützen;
  • Verarbeitung, die für die Durchführung einer Aufgabe, die im öffentlichen Interesse oder bei der Ausübung öffentlicher Gewalt im Auftrag von Gruppenmitgliedern oder einer dritten Partei, der die Daten offengelegt werden, ausgeführt wird, erforderlich ist; oder
  • Verarbeitung, die für den Zweck des berechtigten Interesses des Gruppenmitglieds oder Dritten oder Parteien, denen die Daten mitgeteilt werden, erforderlich ist, es sei denn, diese Interessen werden durch die Interessen der Grundrechte und Grundfreiheiten des Nutzers überlagert.

Als allgemeine Vorgehensweise sammeln Gruppenmitglieder keine Speicherung von vertraulichen persönlichen Daten der Nutzer.  Wo eine solche Sammlung erforderlich ist oder wo Nutzer selbst freiwillig solche Informationen geben, stellen die Gruppenmitglieder sicher, dass eine Verarbeitung von vertraulichen persönlichen Daten der Nutzer nur aufgrund mindestens einer der folgenden Gründe erfolgt:

  • Ausdrückliche Zustimmung des Nutzers;
  • Erforderliche Verarbeitung, um die lebenswichtigen Interessen des Nutzers oder einer anderen Person zu schützen, wenn der Nutzer physisch oder rechtlich nicht in der Lage ist, seine/ihre Zustimmung zu geben;
  • Verarbeitung bezieht sich auf persönliche Daten, die durch den Nutzer offensichtlich veröffentlicht werden; oder
  • Erforderliche Verarbeitung für die Einrichtung, Durchsetzung oder Verteidigung der Rechtsansprüche.

Wenn die Verarbeitung eine automatische Entscheidungsfindung beinhaltet ("Automatisierte Entscheidungen"), müssen die Gruppenmitglieder geeignete Maßnahmen zum Schutz der legitimen Interessen des Nutzers treffen, wie zum Beispiel die Möglichkeit, dass ein Kundenbetreuer die Entscheidung individuell überprüft und dem Nutzer erlaubt wird, seinen eigenen Standpunkt anzugeben. Kundenservice-Mitarbeiter werden die Angelegenheit an EU-Datenschutzbeauftragte stellen, für den Fall, dass der Nutzer weiterhin einer automatisierten Entscheidung widerspricht. Gegebenenfalls wird der Datenschutzleiter konsultiert und der Compliance-Datenschutzleiter informiert.  

2.4 Transparenz

Beim Sammeln von persönlichen Daten sollen Gruppenmitglieder informieren über:

  • Name und Adresse des Gruppenmitglieds, das für die ursprüngliche Erhebung und Verarbeitung verantwortlich ist;
  • Kategorien der betroffenen persönlichen Daten;
  • Beabsichtigte Zwecke der Verarbeitung;
  • Kategorien der Empfänger-Bearbeiter und Dritten der persönlichen Nutzerdaten;
  • Ob Fragen obligatorisch oder freiwillig sind, sowie über die möglichen Konsequenzen bei Nichtbeantwortung;
  • Existenz von Nutzerrechten; und
  • Im Falle von automatisierten Entscheidungen, die entsprechende Logik.

Gruppenmitglieder können die Informationen in einer Service-Datenschutzerklärung bereitstellen, auf die über einen Link zugegriffen werden kann und/oder an prominenter Stelle jeder Service-Website oder -Anwendung und während der Registrierung angezeigt werden kann.  Die Informationspflicht besteht nicht, wenn Nutzer die Information bereits kennen.  

Wenn sich die Bereitstellung von Information als unmöglich erweist oder mit unverhältnismäßigen Anstrengungen verbunden wäre, können die Gruppenmitglieder die Bereitstellung der Information unterlassen.  Dies wäre nur der Fall bei persönlichen Daten, die nicht durch den Nutzer selbst erfasst wurden. 

In Ausnahmefällen kann die Bereitstellung der Information verschoben oder weggelassen werden, z.B. im Rahmen der Untersuchungen ungerechtfertigten Verhaltens oder zur Einhaltung der geltenden Gesetze oder, wenn die Bereitstellung von Information die Integrität der Untersuchung gefährden könnte.

2.5 Vertraulichkeit und Sicherheit

Gruppenmitglieder verwenden physische, technische und organisatorische Sicherheitskontrollen, die der Menge und Vertraulichkeit der persönlichen Daten entsprechen, um unbefugte Verarbeitung zu verhindern, einschließlich, aber nicht beschränkt auf unbefugten Zugriff, Erwerb und Verwendung, Verlust, Zerstörung oder Beschädigung von persönlichen Daten. Gruppenmitglieder verwenden Verschlüsselung, Firewalls, Zugangsbeschränkungen, Vorschriften und andere Maßnahmen, um die Informationen des Nutzers vor unautorisiertem Zugriff zu schützen.  Der physische und logische Zugriff auf elektronische und gedruckte Dateien ist aufgrund von Arbeitsverantwortlichkeiten und geschäftlichen Anforderungen weiter eingeschränkt.

2.6 Entscheidungen und Rechte des Nutzers

Nutzer können auf die meisten persönlichen Daten, die sie betreffen, zugreifen und diese berichtigen, die von den Gruppenmitgliedern mithilfe des entsprechenden Online-Tools oder Self-Service-Prozesses über die Service-Website oder -Anwendung verwaltet werden.

In allen Fällen haben Nutzer das Recht, eine Anfrage für den Zugriff auf Daten einzureichen, um eine Kopie ihrer persönlichen Nutzerdaten zu sehen oder zu erhalten, die nicht über die Website oder Anwendung des Service zugänglich sind. Nutzer sollten sich an den Kundendienst wenden, indem sie den Anweisungen auf der Website oder App des Service befolgen. Gruppenmitglieder werden die Anträge in den vom geltenden Recht vorgeschriebenen Fristen erfüllen, es sei denn, das anwendbare Recht sieht eine Ausnahme von dieser Verpflichtung vor.  Nutzer können aufgefordert werden, ihre Identität nachzuweisen und können einer Servicegebühr unterliegen, wenn es das geltende Recht erlaubt.

Nutzer können auch eine Berichtigung der Daten beantragen, wenn sie unvollständig oder fehlerhaft sind. Gruppenmitglieder werden dieser Anforderung entsprechen und Nutzer informieren, sobald ihre Daten berichtigt worden sind. Gruppenmitglieder werden Dritte über die Berichtigung der Daten des Nutzers informieren, sofern sich dies nicht als unmöglich erweist oder einen unverhältnismäßigen Aufwand erfordert.

Aus zwingenden legitimen Gründen können Nutzer der Verarbeitung ihrer persönlichen Nutzerdaten widersprechen. Gruppenmitglieder werden diesen Anfragen nachkommen, es sei denn, die Speicherung persönlicher Daten durch das anwendbare Recht oder die Verteidigung der PayPal-Gruppe gegen gesetzliche Ansprüche ist erforderlich. Die Nutzer werden über das Ergebnis ihrer Anfrage und die von den Gruppenmitgliedern getroffenen Maßnahmen informiert.

Darüber hinaus können Nutzer beantragen, dass ihre Konten geschlossen werden, indem sie den Anweisungen folgen, die auf der Service-Website oder Anwendung angegeben ist. Gruppenmitglieder werden Informationen eines Nutzers aus einem Service entfernen oder anonymisieren, sobald dies aufgrund von Kontoaktivitäten möglich ist.  In einigen Fällen können Gruppenmitglieder die Schließung eines Kontos verzögern oder persönlicher Daten behalten, um den Fall zu untersuchen, wenn dies gesetzlich erforderlich ist. Gruppenmitglieder können auch Nutzerinformationen von geschlossenen Konten aufbewahren, um Betrug zu erkennen und zu verhindern, fällige Gebühren zu sammeln, Streitigkeiten beizulegen, Probleme zu beheben, bei Untersuchungen behilflich zu sein, Risiken zu verwalten, die Bedingungen eines Dienstes durchzusetzen, gesetzliche oder regulatorische Anforderungen zu erfüllen und andere Maßnahmen zu übernehmen, die ansonsten nach geltendem Recht zulässig sind. Die Daten werden so aufbewahrt, dass die Daten der betroffenen Personen nicht länger als für die Zwecke, für die sie erhoben wurden oder für die sie weiterverarbeitet werden, erforderlich sind, gelöscht werden, sobald der zugrunde liegende Grund für die Aufbewahrung der Daten bekannt ist oder gelöst wurde.

Mit Ausnahme von jenen Nutzern, die sich entschieden haben, bestimmte Mitteilungen nicht zu erhalten, können Gruppenmitglieder persönliche Daten verwenden, um die Kommunikation mit Nutzern basierend auf ihren Interessen gemäß geltendem Recht zu lenken.  Nutzer, die keine Werbung von der PayPal-Gruppe erhalten möchten, werden leicht zugängliche Mittel angeboten, um sich weiterer Werbung zu widersetzen, beispielsweise in ihren Kontoeinstellungen oder indem sie den Anweisungen in einer E-Mail oder einem Link in der Kommunikation folgen.

Nutzer können die oben genannten Rechte ausüben, indem sie den Kundendienst kontaktieren.  Wenn die Identität eines Nutzers schwer zu überprüfen ist, können die Gruppenmitglieder vom Nutzer einen zusätzlichen Identitätsnachweis verlangen.

2.7 Offenlegung personenbezogener Daten

Gruppenmitglieder dürfen persönliche Daten im normalen Geschäftsgang und im Geschäftsumfang mit anderen Gruppenmitgliedern weltweit für die in Abschnitt 2.1 genannten Zwecke teilen.

In Übereinstimmung mit den jeweils geltenden gesetzlichen Bestimmungen, Verträgen oder geltenden internationalen Übereinkünften dürfen Gruppenmitglieder personenbezogene Daten mit Strafverfolgungsbehörden und Behörden bei Bedarf mit einer demokratischen Gesellschaft teilen, um die nationale Sicherheit, Verteidigung, öffentliche Sicherheit, Prävention, Untersuchung, Erkennung und Verfolgung von Straftaten zu schützen, im besonderen gilt dies zur Einhaltung von Sanktionen gemäß internationalen und/oder nationalen Instrumenten, Anforderungen zur Steuermeldung und Anforderung zur Bekämpfung von Geldwäsche.

Gruppenmitglieder verkaufen oder vermieten persönliche Nutzerdaten nicht an Dritte für ihre eigenen Marketingzwecke ohne die eindeutige Einverständniserklärung des Nutzers. Gruppenmitglieder dürfen die Nutzerinformation gemäß den Anweisungen oder der Einwilligung des Nutzers an Dritte weitergeben (soweit dies nach geltendem Recht zulässig ist).

Bei der Übertragung persönlicher Daten an den Bearbeiter, unterliegt der Bearbeiter dem Datenschutz und der Informationssicherheits-Risikobewertung vor Beginn der Arbeit und vor der Übertragung persönlicher Daten.  Der Umfang der Bewertung hängt davon ab wie vertraulich die verarbeiteten persönlicher Daten sind. Bearbeiter, einschließlich Gruppenmitglieden, die als Bearbeiter intervenieren, müssen eine Vereinbarung mit relevanten Gruppenmitgliedern treffen, um eine angemessene Privatsphäre, Datenschutz und Informationssicherheitsmaßnahmen zu gewährleisten. Eine solche Vereinbarung enthält Klauseln, die eine angemessene Verwendung der persönlichen Daten und Sicherheitsmaßnahmen gewährleisten, die der Menge, der Art und der Vertraulichkeit der beteiligten persönlichen Daten entsprechen.  Die vertraglichen Garantien müssen mindestens folgende Punkte abdecken:

  • Anforderungen zur Einhaltung der Gesetze und zur Verarbeitung persönlicher Daten nur in Übereinstimmung mit den Bedingungen der Vereinbarung und nur auf Anweisung der betreffenden Gruppenmitglieder;
  • Angemessene technische und organisatorische Maßnahmen, die daran angepasst sind wie vertraulich die betroffenen persönlichen Daten sind;
  • Ein Recht auf Überprüfung der Einhaltung der vertraglichen Garantien seitens der Bearbeiter;
  • Benachrichtigungspflicht bei Sicherheitsverletzungen; und
  • Bestimmungen zur Sanierung bei Nichteinhaltung des Bearbeiters mit ihren gesetzlichen oder vertraglichen Pflichten.

Die Vereinbarungen müssen Bestimmungen enthalten, die sicherstellen, dass die Nichteinhaltung der Bedingungen der Vereinbarung dazu führt, dass die Vereinbarung unter anderen in der Vereinbarung genannten Abhilfemaßnahmen auszusetzen oder zu beenden ist.

Die Privatspäre, Datenschutz und Informationssicherheitsbewertung ist für die Bearbeiter, die bereits einer solchen Bewertung unterzogen wurden, nicht verpflichtend, es sei denn, die Verarbeitungstätigkeiten beinhalten Tätigkeiten mit hohem Risiko unter Berücksichtigung der Art und Menge der personenbezogenen Daten und der Art der betreffenden Verarbeitungstätigkeiten.

Ungeachtet des oben Genannten, wenn Gruppenmitglieder persönliche Daten von EEA an Dritte oder an Bearbeiter, die keine Gruppenmitglieder sind, übermitteln: (i) in Ländern, die kein angemessenes Schutzniveau bieten (im Sinne der Richtlinie 95/46 / EG), (ii) die nicht durch genehmigte verbindliche Unternehmensregeln abgedeckt sind, oder (iii) die keine anderen Vorkehrungen getroffen haben, die die Angemessenheitsanforderungen der EU erfüllen würden, stellt das Gruppenmitglied Folgendes sicher:

  • an Dritte, dass sie angemessene vertragliche Kontrollen, wie z. B. Mustervertragsklauseln, die von der Europäischen Kommission genehmigt wurden, durchführen, Schutzebenen entsprechend dieser Nutzungsbedingungen des Unternehmens bereitstellen oder alternativ dafür sorgen, dass die Übertragung (i) mit der unzweideutigen Zustimmung von den Nutzern, (ii) zum Abschluss oder zur Erfüllung eines mit den Nutzern geschlossenen Vertrags verpflichtet ist, (iii) aus wichtigen Gründen des öffentlichen Interesses erforderlich oder gesetzlich erforderlich ist oder (iv) zum Schutz der lebenswichtigen Interessen der Nutzer erforderlich ist;
  • Bearbeiter, die vertragliche Kontrollen durchführen müssen, wie z.B. Mustervertragsklauseln, die von der Europäischen Kommission genehmigt wurden, um ein Schutzniveau zu gewährleisten, das diesen Nutzungsbedingungen des Unternehmens entspricht.
     

3. Beschwerdeverfahren

Wenn Nutzer glauben, dass ihre persönlichen Daten gegen unternehmensinterne Nutzervorschriften verarbeitet wurden, können sie Bedenken an die Kunden-Service-Funktion des relevanten Gruppenmitglieds über die entsprechende Service-Website, E-Mail oder wie sonst in den Nutzungsbedingungen angegeben, melden.  Meistens finden Nutzer Antworten auf die häufigsten Fragen und Bedenken indem sie das Wort "Datenschutz" in den entsprechenden Service-Hilfe-Bereich eingeben. Von dort gelangen sie meistens zu bestimmten Datenschutzseiten oder zu den Richtlinien.  Der Abschnitt "Hilfe" dieser Dienstleistung ist der universelle Einstiegspunkt für alle Nutzerfragen in Bezug auf Datenschutz oder der Verarbeitung ihrer Nutzerdaten und bietet Nutzern die Möglichkeit, den Kunden-Support zu kontaktieren. 

Wenn Nutzer unsicher sind, welche Möglichkeit sie nutzen sollen, um Bedenken bezüglich Datenschutz zu melden, können sie eine E-Mail an den Europäischen Datenschutzbeauftragten senden: DPO@paypal.com.

Der Kunden-Support untersucht und versucht, die Bedenken von Kunden zu lösen. Mitarbeiter, die verantwortlich für die Zuordnung von Datenschutz sind, arbeiten eng mit dem PayPal Global Privacy-Team zusammen und antworten auf Nutzeranfragen in Übereinstimmung mit den Richtlinien, Verfahren und Instruktionen PayPals.  Wenn Kunden glauben, dass ihr Problem nicht ausreichend gelöst wurde, oder wenn sie keine Antwort erhalten, können sie bitten, ihre Anliegen an Europäische Datenschutzbeauftragte weiterzuleiten. Der Leiter für Datenschutzbestimmungen wird konsultiert und der Compliance-Datenschutzleiter wird benachrichtigt. Die Eskalationswege werden auf der Grundlage von Art und Umfang des Anliegens festgelegt und ohne Verzögerung an das zuständige Team weitergeleitet.  Eine Antwort auf die Beschwerde wird dem Nutzer innerhalb einer angemessenen Frist zur Verfügung gestellt werden, und in jedem Fall innerhalb von drei 3 Monaten nach dem Datum der Anfrage, außer unter ungewöhnlichen Umständen oder bei komplexen Fragen; in diesem Fall wird der Nutzer darüber informiert, dass die Antwort länger dauert als drei (3) Monate.

Der Mechanismus der Verarbeitung der Beschwerden hat keine Vorurteile gegenüber Rechte der Nutzer, um Beschwerden vor die zuständige Datenschutzbehörde oder Gerichte zu bringen.

 

4. Begünstigung und Haftung gegenüber Dritten

EWR-Nutzer, die einen Verstoß der Nutzungsbedingungen des Unternehmens außerhalb des EWR vermuten, haben Anspruch auf Durchsetzung der Nutzungsbedingungen des Unternehmens als Drittbegünstigte für die Abschnitte 2, 3, 4, 7 und 8 der Nutzungsbedingungen des Unternehmens, vor den Gerichten des betreffenden führenden Gruppenmitglieds oder vor den Gerichten, die als Datenexporteur agieren.  Diese Rechte der Strafverfolgungsbehörden gelten zusätzlich zu anderen von PayPal bereitgestellten Rechtsmitteln oder Rechten oder sind nach geltendem Gesetz verfügbar.

Obwohl dies nicht erforderlich ist, werden die EWR-Nutzer aufgefordert, ihre Bedenken zuerst direkt dem Gruppenmitglied und nicht den Datenschutzbehörden oder den Gerichten zu melden.  Dies ermöglicht eine effiziente und schnelle Reaktion von der PayPal-Gruppe und Verzögerungen von Datenschutzbehörden oder Gerichtsverfahren werden minimiert.

PayPal Europe S.à r.l. et Cie, S.C.A., luxemburgische Gesellschaft mit beschränkter Haftung übernimmt die Verantwortung und stimmt zu, die Einhaltung der Gruppenmitglieder zu den Nutzungsbedingungen zu überwachen.  Das führende Gruppenmitglied verpflichtet sich, (i) die erforderlichen Maßnahmen zu ergreifen, um eine von Gruppenmitgliedern außerhalb des EWR begangene Verletzung zu beheben; und (ii) die von der leitenden Datenschutzbehörde oder den luxemburgischen Gerichten gewährten Entschädigungen an EWR-Nutzer für Schäden zu bezahlen, die sich direkt aus der Verletzung der Benutzer-Unternehmensregeln durch Gruppenmitglieder außerhalb des EWR ergeben, sollte das betreffende Gruppenmitglied nicht in der Lage oder unwillig sein, die Entschädigung zu zahlen oder die Bestellung einzuhalten. 

Das führende Gruppenmitglied erkennt an und akzeptiert, dass es die Beweislast in Bezug auf einen angeblichen Verstoß gegen die Nutzer-Unternehmensregeln trägt.

Die federführende Gruppe (oder ein anderes Gruppenmitglied) ist nicht haftbar, wenn sie auf der Grundlage der verfügbaren Fakten und unter Berücksichtigung der Kommentare des Nutzers vernünftigerweise nachweist, dass das Nicht-EWR-Gruppenmitglied die Nutzer-Unternehmensregeln nicht verletzt hat oder nicht für die vom Nutzer verursachten Schäden haftet.

 

5. Schulung

Gruppenmitglieder stellen sicher, dass alle Mitarbeiter, die persönliche Daten verarbeiten, sowie diejenigen Mitarbeiter, die an der Entwicklung von Tools zur Erfassung oder Verarbeitung persönlicher Daten beteiligt sind, Datenschutz- und Informationssicherheitsschulungen erhalten, um Mitarbeiter über die Notwendigkeit zum Schutz und zur Sicherheit der persönlichen Daten im Einklang mit diesen Nutzer- Unternehmensregeln zu informieren. 

Mitarbeiter sind verpflichtet, eine Online-Schulung rund um den Verhaltens- und Ethikkodex des Unternehmens, mit einem Abschnitt über Datenschutz, einmal im Jahr abzuschließen.  Neue Mitarbeiter sind verpflichtet, die Online-Schulung zu Beginn ihrer Beschäftigung abzuschließen.

Neben dieser Online-Schulung, führen das PayPal Global Privacy-Team und die Europäischen Datenschutzbeauftragten Schulungseinheiten zu Datenschutz und Sicherheit durch, um Mitarbeiter zu informieren, wie wichtig es ist, personenbezogene Daten zu schützen und zu sichern. Diese Schulungen werden jährlich durchgeführt oder häufiger, wenn die Umstände dies erfordern.

Die Schulung, die die Mitarbeiter erhalten, muss an ihre Zugriffsrechte auf die persönlichen Daten angepasst werden. Zusätzliche Schulungen werden für Mitarbeiter mit einem höheren Zugangsrechten bereitgestellt. 

Gruppenmitglieder müssen Mitarbeiter informieren, dass Verstöße gegen die Nutzungsbedingungen des Unternehmens Disziplinarmaßnahmen und andere nach geltendem Gesetz erlaubte Aktionen nach sich ziehen können.  Eine Kopie der Nutzungsbedingungen des Unternehmens und andere relevante Datenschutz- und Sicherheitsrichtlinien und Verfahren werden für Mitarbeiter jederzeit im Intranet des Unternehmens zur Verfügung gestellt. Die Nutzungsbedingungen des Unternehmens sind auch im Verhaltens- und Ethikkodex des Unternehmens enthalten, den alle Mitarbeiter überprüfen und dem sie zustimmen müssen. 

 

6. Prüfungen und Überwachung

Zur Gewährleistung der Einhaltung der Nutzungsbedingungen des Unternehmens prüft das PayPal Global Privacy Compliance-Team laufend die Aktivitäten und Praktiken der Verarbeitung personenbezogener Daten. Diese Aktivitäten werden in Abstimmung mit dem Europäischen Datenschutzbeauftragten koordiniert.

Das interne Audit-Team ist ein unabhängiger und objektiver Berater des Managements und des Verwaltungsrats, der über den Prüfungsausschuss die Prüfungsfeststellungen dem Verwaltungsrat, der Datenschutzleitung und dem Europäischen Datenschutzbeauftragten übermittelt. 

Das interne Audit-Team kann regelmäßig eine Überprüfung der vom Global Privacy Team identifizierten Aktivitäten oder Praktiken vornehmen. Das interne Audit-Team, die Datenschutzleitung und der Europäische Datenschutzbeauftragte müssen erforderlichenfalls die Durchführung eines Aktionsplans zur Einhaltung der BCR verlangen. In dem Umfang, in dem interne Teams Angelegenheiten nicht angemessen beheben, kann die Gruppe unabhängige, externe Prüfer für die weitere Lösung bestellen.

Der Europäische Datenschutzbeauftragte, das PayPal Global Privacy Compliance-Team oder das interne Audit-Team und der externe Prüfer entwickeln detaillierte Prüfungs- und Zeitpläne basierend auf dem Risiko der Verarbeitung.

Ergebnisse der Datenschutzprüfung werden den zuständigen Datenschutzbehörden zur Verfügung gestellt.  PayPal behält sich das Recht vor, Teile der Prüfungsberichte zu redigieren, um die Vertraulichkeit firmeneigener oder anderer vertraulicher Unternehmensinformationen zu gewährleisten. 

 

7. Beziehung zwischen Nutzungsbedingungen des Unternehmens und nationalem Recht

Mit den unterschiedlichen gesetzlichen Anforderungen in Bezug auf den Datenschutz in der ganzen Welt stellen die Nutzungsbedingungen des Unternehmens ein konsistentes Set von Anforderungen dar, um eine angemessene Verarbeitung von persönlichen Nutzerdaten zu gewährleisten. Während die Nutzungsbedingungen des Unternehmens eine Grundvoraussetzung zur Einhaltung für die Gruppenmitglieder schaffen, halten sich die Gruppenmitglieder an die geltenden Gesetze, die einen strengeren Standard als die in diesen Unternehmensregeln festgelegten, auferlegen können.

Nichts in diesen Nutzungsbedingungen des Unternehmens beeinflusst die Verpflichtungen eines Gruppenmitglieds unter den anwendbaren Bankgesetzen, insbesondere in Bezug auf das Bankgeheimnis.   Wenn geltendes Recht mit diesen Nutzungsbedingungen des Unternehmens in Konflikt steht, da es ein Gruppenmitglied daran hindern könnte, seinen Verpflichtungen gemäß den Nutzungsbedingungen des Unternehmens nachzukommen, und erhebliche Auswirkungen auf die darin enthaltenen Garantien hat, muss das Gruppenmitglied den Europäischen Datenschutzbeauftragten unverzüglich benachrichtigen, außer wenn die Bereitstellung solcher Informationen von einer Strafverfolgungsbehörde oder einem Gesetz untersagt ist.  Der Europäische Datenschutzbeauftragte, die Datenschutzleitung und das führende Gruppenmitglied müssen die geeignete Vorgehensweise festlegen, und im Zweifelsfall die zuständige Datenschutzbehörde konsultieren.

 

8. Gegenseitige Unterstützung und Kooperation mit Datenschutzbehörden

Gruppenmitglieder werden zusammenarbeiten und einander helfen, Anfragen oder Beschwerden von Nutzern in Bezug auf diese Nutzungsbedingungen des Unternehmens zu bearbeiten.

Gruppenmitglieder werden sorgfältig und angemessen auf Anfragen von Datenschutzbehörden zu den Nutzungsbedingungen des Unternehmens reagieren.  Wenn ein Mitarbeiter eine solche Anfrage von einer Datenschutzbehörde erhält, sollte er dies unverzüglich dem Europäischen Datenschutzbeauftragten mitteilen.   

Die Gruppenmitglieder werden mit den Anfragen der zuständigen Datenschutzbehörden im EWR-Raum bezüglich der Einhaltung dieser Nutzungsbedingungen des Unternehmens zusammenarbeiten und deren Prüfungen akzeptieren und ihre Entscheidungen im Einklang mit dem geltenden Recht und den entsprechenden Verfahrensrechten respektieren.   

 

9. Änderungen des Inhalts dieser Nutzungsbedingungen des Unternehmens und Liste der gebundenen Mitglieder

PayPal behält sich das Recht vor, die Nutzungsbedingungen des Unternehmens nach Bedarf zu ändern. Dies geschieht zum Beispiel zur Einhaltung der Änderungen in geltenden Gesetzen, Regeln, Vorschriften, PayPal-Praktiken, Verfahren und Organisationsstrukturen oder Anforderungen, die durch relevante Datenschutzbehörden auferlegt wurden.

Das PayPal Global Privacy Legal-Team (unter der Führung der rechtlichen Datenschutzleitung) wird alle erforderlichen Änderungen an diesen Nutzungsbedingungen des Unternehmens vorschlagen. Das PayPal Global Privacy Compliance-Team von PayPal (unter der Führung des Compliance-Datenschutzleiters) und der Europäische Datenschutzbeauftragte müssen alle Änderungen an den Nutzungsbedingungen des Unternehmens genehmigen und alle Änderungen an den Nutzungsbedingungen des Unternehmens sowie Änderungen in der Liste der Gruppenmitglieder verfolgen. Die Gruppenmitglieder berichten den zuständigen Datenschutzbehörden Änderungen an den Nutzungsbedingungen des Unternehmens zur formellen Genehmigung und gemäß den geltenden Gesetzen.

Das führende Gruppenmitglied wird sich mit der leitenden Datenschutzbehörde über wesentliche Änderungen der Nutzungsbedingungen des Unternehmens beraten, die sich auf die Einhaltung der Datenschutzbestimmungen oder die Funktionsweise der Nutzungsbedingungen des Unternehmens auswirken würden.  Das führende Gruppenmitglied wird der leitenden Datenschutzbehörde mindestens einmal jährlich wesentliche Änderungen der Nutzungsbedingungen des Unternehmens und Änderungen der Liste der Gruppenmitglieder mitteilen.  Das PayPal Global Privacy-Team wird zusammenarbeiten, um den Europäischen Datenschutzbeauftragten zu unterstützen, der insbesondere die Antworten koordiniert und umgehend auf Kommentare, Vorschläge oder Einwände zu den von der leitenden Datenschutzbehörde im Auftrag von PayPal vorgenommenen Änderungen reagiert. Etwaige Kommentare, Vorschläge oder Einwände anderer Datenschutzbehörden werden dem Europäischen Datenschutzbeauftragten von der leitenden Datenschutzbehörde mitgeteilt, die im Auftrag der anderen Datenschutzbehörden handelt.  

Änderungen der Nutzungsbedingungen des Unternehmens gelten für alle Gruppenmitglieder zum Zeitpunkt des Inkrafttretens der Implementierung.  Gruppenmitglieder werden den Nutzern, gemäß den Präferenzen des Nutzers, wesentliche Änderungen an den Nutzungsbedingungen des Unternehmens entweder per Massen-E-Mail oder mit einer Nachricht auf der Website mit einer deutlichen Warnung im Voraus mitteilen. Die Gruppenmitglieder veröffentlichen die überarbeiteten Nutzungsbedingungen des Unternehmens auf ausgewählten externen Websites oder Anwendungen, auf die Nutzer zugreifen können.  Änderungen der Nutzungsbedingungen des Unternehmens treten innerhalb von zwei Monaten in Kraft, nachdem die Gruppenmitglieder die Nutzer benachrichtigt haben und die überarbeiteten Nutzungsbedingungen des Unternehmens veröffentlicht wurden.

 

10. Veröffentlichung

Die Nutzungsbedingungen des Unternehmens werden veröffentlicht und ein Link wird auf der Website oder in den Anwendungen des Dienstes zur Verfügung gestellt.  Nutzer dürfen eine Kopie von dem Europäischen Datenschutzbeauftragten verlangen, unter PayPal (Europe) S.à r.l et Cie, S.C.A., 22-24 Boulevard Royal, l-2449 Luxemburg oder per e-Mail an DPO@paypal.com.

 

11. Schlussbestimmungen

Datum des Inkrafttretens: 25. Mai 2018

Kontakt: Nutzer können Fragen oder Bedenken in Bezug auf die Nutzungsbedingungen des Unternehmens stellen:

An den Europäischen Datenschutzbeauftragten (DPO)

An PayPal (Europa) S.à r.l. et Cie, S.C.A., 22-24 Boulevard Royal, L-2449 Luxemburg

 

12. Definitionen

Gruppenmitglieder müssen die Nutzungsbedingungen des Unternehmens in einer Weise interpretieren, die am besten mit den grundlegenden Konzepten der Grundsätze der EU-Richtlinie 95/46/EG oder einer diese Gründsätze ersetzenden Richtlinie oder Verordnung übereinstimmt. 

Für den Zweck dieser Nutzungsbedingungen des Unternehmens gelten folgende Definitionen:

Vorstand bezeichnet den Vorstand des führenden Gruppenmitglieds.

Datenschutzbehörde bezeichnet die Behörde, die für die Überwachung und Durchsetzung der Anwendung der von den EWR-Mitgliedstaaten erlassenen nationalen Rechtsvorschriften in ihrem jeweiligen Hoheitsgebiet verantwortlich ist - gemäß der EU-Datenschutzrichtlinie (95/46/EG).

EWR bezeichnet den Europäischen Wirtschaftsraum, bestehend derzeit aus den EU-Mitgliedstaaten, Island, Liechtenstein und Norwegen.

Mitarbeiter bedeutet Mitarbeiter, Arbeitnehmer, Praktikant, Arbeitnehmer, Praktikant und sonstiges Personal oder Bedienstete, einschließlich Kontingent- oder Zeitarbeitnehmer, alternative Arbeitskräfte oder Auftragnehmer eines Gruppenmitglieds, unabhängig davon, ob es sich um eine Beschäftigung oder eine Teilzeitbeschäftigung handelt und unabhängig von der Art des Arbeitsvertrags oder Engagements.

Europäischer Datenschutzbeauftragter (DPO) bezeichnet den Mitarbeiter, der von der Geschäftsleitung des führenden Gruppenmitglieds ernannt wird und dieser Bericht erstattet und außerdem als Mitglied des PayPal Global Privacy Legal-Teams fungiert. Der Europäische DPO befindet sich in Luxemburg.

Gruppenmitglied bezieht sich auf die Gesamtheit der PayPal-Gruppe, die eine Kopie der IGA durchgeführt hat.

IGA bedeutet Intra-Group-Vereinbarung

Leitende Datenschutzbehörde bedeutet "Commission nationale pour la protection des données" ("CNPD") in Luxemburg.

Führendes Gruppenmitglied bezeichnet die PayPal (Europa) S. à r.l. & Cie, S.C.A., eine Gesellschaft mit beschränkter Haftung in Luxemburg.

PayPal Global Privacy-Team bezeichnet das koordinierte PayPal Global Privacy Compliance-Team und das PayPal Global Privacy Legal-Team.

PayPal Global Privacy Compliance-Team bezeichnet die Mitglieder der Compliance-Organisation, die sich mit der Compliance und dem Betrieb des PayPal-Datenschutzprogramms beschäftigt.

PayPal Global Privacy Legal-Team bezeichnet die Mitglieder der Rechtsabteilung, die sich auf Privatsphäre und Datenschutz spezialisiert haben.

PayPal-Gruppe bezeichnet die PayPal Holdings, Inc. ("PayPal") und jede direkte oder indirekte von PayPal kontrollierte Einrichtung, die Nutzerinformationen verarbeitet, wobei Kontrolle den Besitz von mehr als fünfzig Prozent (50 %) der Stimmrechte zur Wahl der Direktoren des Unternehmens bedeutet oder mehr als fünfzig Prozent (50 %) der Eigentumsanteile an der Gesellschaft.

Personenbezogene Daten bezeichnen alle Informationen in Bezug auf eine identifizierte oder identifizierbare natürliche Person; eine identifizierbare Person ist eine Person, die direkt oder indirekt identifiziert werden kann, insbesondere unter Bezugnahme auf eine Identifikationsnummer oder auf einen oder mehrere Faktoren, die für ihre physische, physiologische, mentale, wirtschaftliche, kulturelle oder soziale Identität spezifisch sind.

Verarbeitung bezeichnet jeden Arbeitsgang oder jede Gesamtheit von Arbeitsgängen, die mit personenbezogenen Daten ausgeführt werden, gleichgültig ob dies durch automatische Mittel geschieht, wie etwa Sammlung, Aufzeichnung, Organisation, Speicherung, Anpassung oder Änderung, Abruf, Konsultation, Nutzung, Weitergabe durch Übertragung, Verbreitung oder anderweitige Bereitstellung, Ausrichtung oder Kombination, Sperrung, Löschung oder Vernichtung.

Bearbeiter bezeichnet jede natürliche oder juristische Person, die personenbezogene Daten im Auftrag eines Gruppenmitglieds verarbeitet.

Vertrauliche persönliche Daten beziehen sich auf personenbezogene Daten, aus denen Rasse oder ethnische Herkunft, politische Meinung, religiöse Zugehörigkeit oder philosophische Überzeugung, Gewerkschaftsmitgliedschaft, Informationen in Bezug auf Straftaten oder Informationen über Gesundheit oder Sexualleben hervorgehen.

Service bezieht sich auf eine Website, Anwendung oder andere Produkte oder Dienstleistungen, die von einer PayPal-Gruppe für die Verwendung von einem Nutzer angeboten werden.

Dritter bezeichnet jede natürliche oder juristische Person, Behörde, Agentur oder jede andere Stelle außer dem Nutzer, dem Gruppenmitglied, dem Bearbeiter und den Personen, die unter der unmittelbaren Autorität des Gruppenmitglieds oder des Bearbeiters, wie Mitarbeiter, berechtigt sind, personenbezogene Daten zu verarbeiten.

Nutzer bedeutet ehemalige bestehende Kunden, Interessenten, Investoren, Geschäftspartner und Händler.

Persönliche Daten beziehen sich auf personenbezogene Daten in Bezug auf ihre Nutzer.