>> Alle Nutzungsbedingungen anzeigen

Ergänzung zum Datenschutzverantwortlichen für Direkte Kartenverarbeitungsprodukte

 

Fassung 1.0

Diese Ergänzung zum Datenschutzverantwortlichen (im Folgenden als "Ergänzung" bezeichnet) gilt für jedes Produkt, bei dem ein Unternehmen der PayPal-Gruppe (im Folgenden als "PayPal" bezeichnet) Ihnen, dem Händler (im Folgenden als "Händler" oder "Sie"/"Ihnen" bezeichnet) Braintree- und ähnliche Kartenzahlungs- und Gateway-Dienste bzw. Tools zur Betrugsprävention zur Verfügung stellt. Diese Ergänzung gilt nicht für E-Börsendienste von PayPal wie z.B. PayPal Express oder Zahlungen mit dem PayPal-Button. Diese Ergänzung ist Bestandteil der entsprechenden Nutzungsbedingungen zwischen dem Händler und PayPal, die die Bereitstellung der Zahlungsverarbeitungsdienstleistungen durch PayPal an Sie regeln (im Folgenden als "Nutzungsbedingungen" bezeichnet). Bei Widersprüchen zwischen den Bedingungen dieser Ergänzung und den Nutzungsbedingungen haben die Bedingungen dieser Ergänzung Vorrang. Großgeschriebene Begriffe, die in dieser Ergänzung verwendet, aber nicht definiert werden, haben die in den Nutzungsbedingungen festgelegte Bedeutung.

Diese Ergänzung tritt in Kraft ab (i) dem in den Nutzungsbedingungen genannten Zeitpunkt des Inkrafttretens oder (ii) dem Zeitpunkt des Inkrafttretens, der in der Mitteilung genannt ist, die Ihnen zusammen mit einer Änderung der Nutzungsbedingungen oder dieser Ergänzung ausgehändigt wird, je nachdem, welcher Zeitpunkt später eintritt. Wir können diese Ergänzung jederzeit durch Veröffentlichung einer überarbeiteten Fassung auf unserer Website abändern. Die überarbeitete Fassung ist ab dem Zeitpunkt ihrer Veröffentlichung gültig. Werden durch eine Änderung dieser Ergänzung Ihre Rechte gemindert oder Ihre Verantwortlichkeiten erhöht, teilen wir Ihnen dies im Voraus innerhalb der in den Nutzungsbedingungen festgelegten Frist mit, indem wir auf unserer Website unter "AGB-Aktualisierungen" eine Mitteilung veröffentlichen. Gegebenenfalls informieren wir Sie auch per E-Mail oder auf einem anderen Weg über die Änderung. Sind Sie mit irgendeiner Änderung der Ergänzung nicht einverstanden, so können Sie die Nutzungsbedingungen jederzeit kündigen.

Begriffsbestimmungen
Die nachstehenden Begriffe haben im Rahmen dieser Ergänzung folgende Bedeutungen:   

"Verantwortlicher" bezeichnet eine juristische Person, die die Zwecke und Mittel der Verarbeitung personenbezogener Daten festlegt. Wenn dieser Begriff (oder Begriffe, die sich auf ähnliche Funktionen beziehen) in Datenschutzbestimmungen definiert ist, hat "Verantwortlicher" die in den jeweils einschlägigen Datenschutzbestimmungen festgelegte Bedeutung.

"Kunde" bezeichnet Ihre Kunden, die die Zahlungsverarbeitungsdienste außerhalb der USA nutzen und im Sinne dieser Ergänzung betroffene Personen sind.

"Kundendaten" bezeichnet die personenbezogenen Daten, (i) die der Kunde dem Händler zur Verfügung stellt und die der Händler durch Nutzung der Zahlungsverarbeitungsdienste an PayPal weitergibt und (ii) die PayPal aufgrund der Nutzung der Zahlungsverarbeitungsdienste durch den Händler eventuell vom Gerät und dem Browser des Kunden erhebt. Personenbezogene Daten der US-Kunden des Händlers gehören nicht zu den Kundendaten im Sinne dieser Ergänzung.

"Datenschutzbestimmungen" bezeichnet alle einschlägigen Datenschutzgesetze, -verordnungen, -richtlinien, aufsichtsrechtlichen Anforderungen und Verhaltensregeln, die auf die Bereitstellung der Zahlungsverarbeitungsdienste anwendbar sind, einschließlich aller Änderungen derselben und sämtliche damit zusammenhängende Regelungen oder Rechtsinstrumente (wie z.B. die Datenschutz-Grundverordnung (EU) 2016/679 (DSGVO), das Australian Privacy Act 1988 (Commonwealth), das Personal Information Protection and Electronic Documents Act (Kanada), das Personal Data (Privacy) Ordinance (Kap.486) (Hongkong), das Allgemeine Brasilianische Datenschutzgesetz, das Federal Law no. 13,709/2018 und das Personal Data Protection Act 2012 (Singapur)).

"PayPal-Gruppe" bezeichnet PayPal, Inc. und alle Gesellschaften, die PayPal oder deren Rechtsnachfolger unmittelbar oder mittelbar zu irgendeinem Zeitpunkt halten oder beherrschen. Dazu gehören unter anderem PayPal (Europe) S.à r. l. et Cie, S.C.A., PayPal do Brasil Serviços de Pagamentos Ltda., PayPal Australia Pty Limited, PayPal Hong Kong Ktd., PayPal Canada Co. und PayPal Pte. Ltd.

"Personenbezogene Daten" bezeichnet sämtliche Informationen, die sich auf eine bestimmte oder bestimmbare natürliche Person ("betroffene Person") beziehen; unter "bestimmbare natürliche Person" versteht man eine Person, die unmittelbar oder mittelbar bestimmt werden kann, insbesondere durch Bezugnahme auf einen Identifikator wie beispielsweise einen Namen, eine Identifizierungsnummer, Standortdaten, eine Online-Kennung oder auf einen oder mehrere Faktoren, die sich speziell auf die physische, physiologische, genetische, geistige, wirtschaftliche, kulturelle oder soziale Identität dieser natürlichen Person beziehen.

 "Verarbeitung" oder Begriffe, die sich auf ähnliche Funktionen beziehen, haben im Rahmen dieser Ergänzung die in den einschlägigen Datenschutzbestimmungen festgelegte Bedeutung.

PayPal als Datenverantwortlicher

PayPal erfüllt die Anforderungen der Datenschutzbestimmungen, die für Verantwortliche in Bezug auf die Verwendung personenbezogener Daten im Rahmen dieser Aufstellung gelten (unter anderem auch dadurch, dass PayPal jederzeit alle geeigneten Sicherheitsmaßnahmen in Bezug auf die Verarbeitung personenbezogener Daten umsetzt und aufrechterhält) und nimmt in Bezug auf die personenbezogenen Daten wissentlich keine Handlungen vor bzw. lässt wissentlich keine Handlungen zu, durch die ein Händler eventuell die Datenschutzbestimmungen verletzen kann. PayPal darf personenbezogene Daten an Dritte, Unterauftragsverarbeiter oder Angehörige der PayPal-Gruppe nur zwecks Bereitstellung der Zahlungsverarbeitungsdienste weitergeben und muss mit derartigen Dritten und Unterauftragsverarbeitern schriftliche Vereinbarungen abschließen, die Bedingungen zum Schutz der Kundendaten beinhalten, wobei das Schutzniveau besagter Bedingungen nicht geringer sein darf als das Schutzniveau der in dieser Ergänzung festgelegten Bedingungen.

Verarbeitung personenbezogener Daten im Zusammenhang mit den Zahlungsverarbeitungsdiensten

Die Parteien erkennen an, dass der Händler und PayPal im Hinblick auf alle personenbezogenen Daten, die im Zusammenhang mit den Zahlungsverarbeitungsdiensten verarbeitet werden, jeweils unabhängige Verantwortliche sind. In diesem Sinne legt PayPal den Zweck und die Mittel zur Verarbeitung jener personenbezogenen Daten unabhängig fest und übt in Bezug auf jene personenbezogenen Daten keine gemeinsame Datenverantwortlichkeit mit dem Händler aus.

Die Parteien erkennen an, dass PayPal Kundendaten und Zahlungstransaktionsdaten nur für die folgenden begrenzten Zwecke verwenden, wiedergeben und verarbeiten darf:

  • insofern dies vernünftigerweise erforderlich ist, um gegenüber dem Händler und seinen Kunden die Zahlungsverarbeitungsdienste zu erbringen und zu verbessern, worunter auch der Einsatz von Tools zur Betrugsprävention fällt;
  • um betrügerische Zahlungstransaktionen zu überwachen, zu verhindern und aufzudecken und um zu vermeiden, dass dem Händler, PayPal oder Dritten ein Schaden entsteht;
  • um gesetzliche oder behördliche Anforderungen zur Verarbeitung und Speicherung von Zahlungsdaten zu erfüllen, denen PayPal unterliegt, darunter auch die einschlägigen Pflichten zur Geldwäschebekämpfung und Identitätsprüfung;
  • um die Produkte und Leistungen von PayPal zu analysieren, zu entwickeln und zu verbessern;
  • zur internen Verwendung, darunter unter anderem auch zur Datenanalytik und Datenmetrik;
  • zur Zusammenstellung und Offenlegung von Kundendaten und Zahlungstransaktionsdaten im Ganzen, bei denen Ihre individuellen personenbezogenen Daten oder personenbezogenen Daten als Nutzer nicht bestimmbar sind; darunter fällt auch die Berechnung Ihrer Durchschnittswerte pro Region oder Branche;
  • zur Einhaltung der jeweils geltenden rechtlichen Bestimmungen und zur Unterstützung der Rechtsvollzugsbehörden durch die Beantwortung von Anträgen auf Offenlegung von Informationen gemäß den gesetzlichen Bestimmungen;
  • für alle sonstigen vom Händler mitgeteilten Zwecke, soweit diese im Einklang mit den Datenschutzbestimmungen stehen.

Mitteilung des Händlers an die Kunden

Der Händler hat wirtschaftlich vertretbare Anstrengungen zu unternehmen, um (i) Kunden in seiner Datenschutzerklärung darüber zu informieren, dass PayPal im Rahmen der in dieser Ergänzung beschriebenen Verarbeitung von Kundendaten ein unabhängiger Verantwortlicher ist, und (ii) der Händler hat in seine Datenschutzerklärung einen Link zu der anwendbaren PayPal- oder Braintree-Datenschutzerklärung aufzunehmen.

Gegenseitige Unterstützung

Die Parteien verpflichten sich, miteinander zu kooperieren, sofern dies vernünftigerweise erforderlich ist, damit die andere Partei ihrer Verantwortung als unabhängiger Verantwortlicher gemäß den Datenschutzgesetzen angemessen nachkommen kann. Die Parteien vereinbaren, dass der Händler in dem Maße, in dem er einen Antrag auf die Erteilung einer Auskunft über personenbezogene Daten erhält oder ein Kunde eines ihm gemäß den Datenschutzbestimmungen zustehendes Recht ausüben möchte, einen solchen Antrag auf die Erteilung einer Auskunft des Kunden unmittelbar beantwortet. Der Händler hat den Kunden auch darüber zu informieren, dass der Kunde seine Rechte als betroffene Person im Zusammenhang mit den Zahlungsverarbeitungsdiensten von PayPal gemäß den Anweisungen in der Datenschutzerklärung ausüben kann, die für Braintree-Kunden unter www.braintreepayments.com und für PayPal-Kunden unter www.paypal.com einsehbar ist. Entscheidet PayPal im Falle eines sicherheitsrelevanten Ereignisses nach eigenem Ermessen, dass PayPal die betroffenen Kunden informieren muss, und verfügt PayPal nicht über die erforderlichen Kontaktinformationen zu einem betroffenen Kunden, um diesem eine entsprechende Mitteilung zu machen, so hat der Händler darüber hinaus alle wirtschaftlich angemessenen Anstrengungen zu dem begrenzten Zweck zu unternehmen, PayPal die Informationen über den Kunden zur Verfügung zu stellen, über die der Händler eventuell verfügt, damit PayPal die einschlägigen Mitteilungspflichten gegenüber den betroffenen Kunden gemäß den Datenschutzbestimmungen einhalten kann.

Grenzüberschreitende Datenübermittlungen

Die Parteien vereinbaren, dass PayPal personenbezogene Daten, die gemäß diesen Nutzungsbedingungen verarbeitet werden, in ein anderes Land als das Land, in dem diese erhoben wurden, übermitteln kann, und zwar in dem Maße, in dem dies zur Bereitstellung der Zahlungsverarbeitungsdienste erforderlich ist. Übermittelt PayPal personenbezogene Daten, die gemäß dieser Ergänzung geschützt sind, an einen Rechtsraum, für den die Regulierungsbehörde, die für das Land zuständig ist, in dem die Daten erhoben wurden, keine Angemessenheitsfeststellung getroffen hat, hat PayPal sicherzustellen, dass in Übereinstimmung mit den einschlägigen Datenschutzbestimmungen die entsprechenden Schutzvorkehrungen für die Übermittlung personenbezogener Daten getroffen wurden. Im Hinblick auf die Einhaltung der DSGVO setzen wir beispielsweise auf bindende Unternehmensregeln, die von den zuständigen Aufsichtsbehörden genehmigt wurden, sowie auf andere Datenübertragungsmechanismen für die Übermittlung personenbezogener Nutzerdaten an andere Unternehmen der PayPal-Gruppe.