>> Alle AGB anzeigen

PayPal-Bedingungen für Online-Kartenzahlungen

 

Veröffentlicht: 16. Juni 2020

 

Diese PayPal-Bedingungen für Online-Kartenzahlungen (die „Vereinbarung“) enthalten die Bedingungen eines Vertrages zwischen Ihnen (auch „Händler“ genannt) und PayPal (Europe) S.àr.l. et Cie, S.C.A („PayPal“ oder „wir“).

PayPal Europe ist als Kreditinstitut in Luxemburg zugelassen und wird von der luxemburgischen Aufsichtsbehörde Commission de Surveillance du Secteur Financier (CSSF) überwacht. Die CSSF hat ihren Sitz in L-1150 Luxemburg.

Über diese Vereinbarung

Diese Vereinbarung gilt für Sie, wenn Sie sich bei PayPal mit Wohnsitz in der Bundesrepublik Deutschland angemeldet haben. 

Durch die Integration bzw. Nutzung von Produkten oder Online-Kartenzahlungsdiensten binden Sie sich an die Bedingungen dieser Vereinbarung. Wenn Ihnen eines der in dieser Vereinbarung genannten Produkte, Online-Kartenzahlungsdienste oder Funktionalitäten (einschließlich Technologie) angeboten werden und Sie sich zu deren Nutzung entschließen, gelten die Bedingungen in dieser Vereinbarung in Bezug auf dieses Produkt, den Online-Kartenzahlungsdienst oder die Funktionalität.

Die Produkte:

  • Website Payments Pro ist eine Reihe von Funktionen, standardmäßig bestehend aus PayPal Express, Direktzahlungs-API, Virtual Terminal und Betrugsschutzfiltern als Standard. Zu den optionalen Zusatzleistungen zählen der Betrugsschutz, die erweiterten Betrugsschutzfilter und das Tool für Abonnementzahlungen;
  • Advanced Debit and Credit Card Payments ist eine Reihe von Funktionen, die aus der erweiterten API für Kredit- und Debitkartenzahlungen (Advanced Credit and Debit Card Payments API) als Standard und dem Betrugsschutz (Fraud Protection) als optionalem Zusatzdienst besteht.  Wir können Ihnen auch eine der folgenden Leistungen als optionale Zusatzleistungen anbieten:
    • alle Website Payments Pro-Funktionen,
    • das Vaultationswerkzeug, und
    • den Konto-Updater-Dienst.
  • Virtual Terminal – die virtuelle Terminalfunktion als eigenständiges Produkt.

 

Jedes der Produkte enthält einen oder mehrere Online-Kartenzahlungsdienste.  Die Online-Kartenzahlungsdienste sind:

  • Direktzahlungs-API – Funktionalität für die Durchführung von Kredit-und Debitkartentransaktionen, bei der die Kartendaten vom Karteninhaber online eingegeben werden.
  • Advanced Credit and Debit Card Payments API ist eine Funktionalität für die Durchführung von Kredit- und Debitkartentransaktionen, bei der die Kartendaten vom Karteninhaber online eingegeben werden, als Alternative zur Direktzahlungs-API.
  • Virtual Terminal  – Funktionalität, mit der Sie Kartenzahlungen empfangen können, wenn Sie die vom Karteninhaber übermittelten Kartendaten manuell eingeben.

Bestandteil dieser Vereinbarung sind die PayPal-Nutzungsbedingungen (hier: „Nutzungsbedingungen“), das Commercial Entity Agreement und die Datenschutzerklärung. Weitere Bestimmungen in Bezug auf die Anwendung dieser anderen Rechtsdokumente finden Sie unter Abschnitt 5.

Wir können diese Vereinbarung in Übereinstimmung mit dem in den Nutzungsbedingungen festgelegten Änderungsverfahren ändern, zurücknehmen und ergänzen. Wenn Sie mit einer Änderung nicht einverstanden sind, können Sie diese Vereinbarung gemäß Abschnitt 8 dieser Vereinbarung kündigen.

Bitte laden Sie diese Vereinbarung  herunter und speichern  Sie sie.

1. Einrichtung und Aktivierung Ihres Produkts

1.1. Erste Schritte:

Um Ihr Produkt zu erhalten und zu verwenden, müssen Sie die folgenden Schritte befolgen:

1.1.1. Schließen Sie die Online-Bewerbung und das Genehmigungsverfahren für Ihr Konto ab, eröffnen Sie ein PayPal-Geschäftskonto (falls Sie noch keines haben sollten) und folgen Sie den Anweisungen, um auf Ihr Produkt zuzugreifen und es zu verwenden.

1.1.2. Integrieren Sie Ihr Produkt in den Zahlungsprozess Ihrer Website, wenn es sich bei Ihrem Produkt um Website Payments Pro oder um Advanced Credit and Debit Card Payments handelt. Sie sind nicht verpflichtet, Ihr Produkt in den Zahlungsprozess Ihrer Website zu integrieren, wenn Sie ausschließlich Virtual Terminal nutzen. PayPal haftet nicht für Komplikationen, die durch die Integration Ihres Produkts in Ihre Website entstehen.

1.1.3. Aktivieren Sie Ihr Produkt, indem Sie es erstmals für die Zahlungsabwicklung einsetzen.

Wenn es sich bei Ihrem Produkt um Website Payments Pro oder Advanced Credit and Debit Card Payments handelt, können wir Ihnen erlauben, die Direktzahlungs-API oder die Advanced Credit and Debit Card Payments API zu integrieren und zu nutzen – als von PayPal gehostete Integration oder als selbst gehostete Integration.

Wir können beide Hosting-Varianten als Standardeinstellung für die Integration der Direktzahlungs-API bzw. der Advanced Credit and Debit Card Payments API im Zahlungsvorgang Ihrer Website festlegen.

1.2. Obligatorische Nutzung von PayPal Express

Wenn wir Ihnen PayPal Express als Teil Ihres Produktes anbieten und Sie sich für dieses Produkt entscheiden, müssen Sie PayPal Express als Teil Ihrer Website-Integration implementieren. Wenn Sie PayPal Express aktivieren, stimmen Sie zu, dass Ihre Website:

1.2.1.Enthält einen PayPal Express-Button, und zwar entweder, (A) bevor Sie die Versand-/Rechnungsadresse und andere Finanzdaten von Ihren Kunden anfordern, oder (B) auf derselben Seite, auf der Sie diese Daten abfragen, sofern Sie nur eine Seite für Ihren Checkout verwenden.

1.2.2. Bietet PayPal als Zahlungsmöglichkeit zusammen mit den anderen Zahlungsoptionen, die Sie für Paypal Express anbieten, an. Das PayPal Logo muss mit gleicher oder größerer Bedeutung als die Logos für andere Zahlungsoptionen dargestellt werden

1.2.3.Ihren Kunden die Möglichkeit bietet, im Rahmen des Checkouts ihre persönlichen Daten einschließlich E-Mail-Adresse, Versand- oder Rechnungsadresse und Finanzdaten nicht zu speichern.

1.3. Stornierung

Wir können den Zugriff auf bzw. die Verwendung von Produkten sowie diese Vereinbarung jederzeit vor dem Aktivierungsdatum durch eine Mitteilung an Sie beenden.

2. Gebühren

2.1 Zahlungsweise

Sie stimmen zu, die in dieser Vereinbarung angegebenen Gebühren bei Fälligwerden ohne Aufrechnung oder Abzug zu bezahlen. Sie gestatten uns, die Gebühren direkt von den Zahlungen abzuziehen, bevor diese Ihrem PayPal-Konto gutgeschrieben werden.

Sie stimmen zu, die in dieser Vereinbarung festgelegten Gebühren zu bezahlen, sofern in den Nutzungsbedingungen nichts anderes geregelt ist.

Die Gebühren werden in der Währung des Zahlungseingangs abgebucht.

2.2. Transaktionsgebühren für PayPal-Standardzahlungen

Die Gebühren für den Empfang von Inlandszahlungen (Verkauf) gemäß den Nutzungsbedingungen gelten für jede gewöhnliche PayPal-Inlandszahlung, die Sie empfangen. Diese Gebühr kann vorbehaltlich den Nutzungsbedingungen zur Standardgebühr oder zu individuellen Händlerkonditionen berechnet werden.

2.3 Transaktionsgebühren für den Erhalt von Kartenzahlungen

Die in den Nutzungsbedingungen angegebenen Gebühren für den Empfang von Zahlungen in Ihrem PayPal-Konto gelten für alle Zahlungen, die Sie von einer Karte mittels Online-Kartenzahlungsdiensten erhalten. Wenn Sie sich für die Gebührenstruktur Interchange Plus entschieden haben, werden Ihnen für empfangene Zahlungen die in den Nutzungsbedingungen genannten Gebühren berechnet. Zuzüglich wird das Interbankenentgelt (ca. 0,2 % bis 2,0 %) berechnet.

2.4. Festgebühr

Die Festgebühr richtet sich nach den Nutzungsbedingungen für das Land, in dem Ihr Konto bei PayPal registriert ist.

2.5. Zusätzliche Transaktionsgebühren

Die Gebühr für den Empfang von grenzüberschreitenden Zahlungen (Verkauf) richtet sich nach den Nutzungsbedingungen. Einzige Ausnahme sind Zahlungen, die von Karten mittels Online-Kartenzahlungsdiensten im Rahmen der Gebührenstruktur Interchange Plus empfangen werden.

2.6. Monatsberichte über Transaktionskosten

PayPal stellt monatlich Berichte über die entstandenen Transaktionskosten (einschl. Interbankenentgelt) für Kartenzahlungen zur Verfügung, die mit dem Produkt verarbeitet werden. Diese Berichte können in Ihrem PayPal-Konto heruntergeladen werden. In den Berichten werden PayPal-Standardzahlungen nicht berücksichtigt.

3. Wahl der Gebührenstrukturen Interchange Plus und Blended Pricing

Sie können die für Sie geltende Gebührenstruktur für den Erhalt von Kartenzahlungen über sämtliche Online-Kartenzahlungsdienste (einschl. Direktzahlungs-API, API für Advanced Credit and Debit Card Payments und/oder Virtual Terminal) anhand der Methoden oder Verfahren auswählen, die PayPal Ihnen zur Auswahl stellt. Wenn Sie keine Wahl treffen, wird Ihre bisherige Gebührenstruktur beibehalten.

Sie können Ihre Gebührenstruktur ausschließlich für zukünftige Transaktionen, nicht aber für bereits abgeschlossene Transaktionen auswählen. Das bedeutet, dass im Falle einer Belastung im Rahmen der Gebührenstruktur Interchange Plus die jeweilige Interchange-Plus-Gebührenstruktur sowohl für unsere Online-Kartenzahlungsdienste als auch für PayPal Here gilt.

Das Interbankenentgelt wird von Visa und MasterCard festgelegt. Es variiert zwischen 0,2 % und 2,0 % und unterscheidet sich je nach Kreditkartentyp (z. B. nach Kategorien und Marken). PayPal berechnet Ihnen die Interbankengebühr stets in der von Visa und MasterCard festgelegten und vom Erwerber mitgeteilten Höhe . Die Interbankengebühr kann gelegentlich geändert werden. Weitere Informationen zu den Interbankengebühren finden Sie auf der Website von MasterCard und Visa sowie in unserer vereinfachten Übersicht.

Wenn Sie sich für die Gebührenstruktur Interchange Plus entschieden haben, stimmen Sie zu, dass PayPal Gelder auf dem Reservekonto Ihres PayPal-Kontos zurückhalten kann, wenn PayPal eine Kartenzahlung an Sie erhält, bevor das Geld in den Zahlungseingang Ihres Kontos übermittelt wird.  Sie beauftragen PayPal hiermit, diese Gelder erst an dem Werktag auf Ihr Zahlungskonto zu übertragen, an dem PayPal die Auskunft über das für die Kartenzahlung geltende Interbankenentgelt erhält. Solange die Gelder auf Ihrem Reservekonto liegen, erscheint die Transaktion bei Ihnen als „ausstehend“. Der Erlös aus der Kartenzahlung in Ihrem Reservekonto steht Ihnen erst dann zur Verfügung, wenn PayPal Auskünfte über das anwendbare Interbankenentgelt seines Zahlungsabwicklers erhalten hat (dies kann bereits an dem auf den Tag der Kartenzahlung durch den Karteninhaber folgenden Werktag der Fall sein).

4. Informationssicherheit und Datenschutz

4.1. Einhaltung der Datensicherheit

Sie (als „Händler“) stimmen zu, das nachstehende Datenschutzverzeichnis 1 zu befolgen, das Bestandteil dieser Vereinbarung ist.

4.2. Befolgung von PCI DSS

Sie stimmen außerdem zu, den PCI Data Security Standard (PCI DSS) einzuhalten. Sie sind verpflichtet, alle Kartendaten zu schützen, die gemäß PCI DSS in Ihren Besitz geraten und Ihre Website und anderen Systeme gemäß PCI DSS zu erstellen, zu pflegen und zu betreiben.  Sie müssen sicherstellen, dass Ihre Mitarbeiter ausreichend geschult sind, sodass sie mit PCI DSS vertraut sind und dessen Anforderungen erfüllen können. PayPal haftet nicht für Kosten, die Ihnen durch die Einhaltung des PCI DSS entstehen. Weitere Informationen zum PCI DSS finden Sie auf der Website des PCI Security Standards Council unter: https://www.pcisecuritystandards.org/pci_security/.

4.3. PCI DSS-Befolgung durch PayPal

PayPal garantiert, dass PayPal und Ihr Produkt das PCI DSS befolgen.  Die Befolgung des Standards durch PayPal und Ihr Produkt sind jedoch nicht ausreichend, um die Einhaltung des PCI DSS durch Sie und Ihre Systeme sowie Prozesse zu gewährleisten.

4.4. 3D Secure

Die Anforderungen der Europäischen Zentralbank und der für PayPal zuständigen Bankenaufsicht erfordern unter bestimmten Umständen die Nutzung von 3D Secure. Die Kartenverbände können außerdem 3D Secure verlangen, um übermäßige Kartentransaktionen zu reduzieren, die vom Karteninhaber nicht genehmigt wurden.  PayPal kann von Ihnen verlangen, dass Sie 3D Secure für alle oder nur für bestimmte Kartentransaktionen implementieren.  Sie erklären sich damit einverstanden, auf Aufforderung 3D Secure einzuführen, sofern der jeweilige Kartenaussteller 3D Secure für diese Karte unterstützt.

4.5. Preis und Währung

Es ist Ihnen untersagt, Zahlungsvorgänge durchzuführen, wenn der Betrag das Ergebnis einer dynamischen Währungsumrechnung ist. Das bedeutet, dass Sie Artikel nicht in einer Währung auflisten und dann die Bezahlung in einer anderen Währung akzeptieren dürfen. Wenn Sie Zahlungen in mehreren Währungen akzeptieren, müssen Sie den Preis für jede Währung gesondert ausweisen.

4.6. Einhaltung der Datenschutzbestimmungen

Sie (als „Händler“) stimmen zu, das nachstehende Datenschutzverzeichnis 2 zu befolgen, das Bestandteil dieser Vereinbarung ist. Die Datenschutzbestimmungen haben Vorrang vor allen anderen Datenschutzbestimmungen in dieser Vereinbarung.

5. Anwendbarkeit anderer Rechtsdokumente

5.1. AGB

Diese Vereinbarung, die Nutzungsbedingungen, die Commercial Entity Agreements und die Datenschutzerklärung finden Sie in den AGB, indem Sie unten auf einer PayPal-Website auf den entsprechenden Link klicken.

5.2. Nutzungsbedingungen

Die Nutzungsbedingungen sind Bestandteil dieser Vereinbarung. Soweit dies möglich ist, sind die Vereinbarung und die Nutzungsbedingungen als einheitliches Ganzes auszulegen. Im Falle von Widersprüchen besitzt diese Vereinbarung Vorrang vor den Nutzungsbedingungen. Dies gilt jedoch nicht in Bezug auf die Verwendung bestimmter Produkte oder einzelner Online-Kartenzahlungsdienste im Rahmen von PayPal Complete Payments wie in den Nutzungsbedingungen festgelegt.

Großgeschriebene Begriffe, die nicht in dieser Vereinbarung definiert werden, werden in den Nutzungsbedingungen definiert. Die in den Nutzungsbedingungen definierten Begriffe „Dienste“ und „Vereinbarung“ beinhalten die Produkte und die vorliegende Vereinbarung.

Die Nutzungsbedingungen enthalten wichtige Bestimmungen, die:

5.2.1. es PayPal gestatten, eine Reserve zu bilden, um Ihre Zahlungspflicht bezüglich (Kreditkarten-)Rückbuchungen und Gebühren zu gewährleisten,

5.2.2. Sie verpflichten, die PayPal-Nutzungsbedingungen zu befolgen, wenn Sie PayPal verwenden,

5.2.3. der Datenschutzerklärung von PayPal, die unsere Verwendung und Weitergabe Ihrer Daten und der von gemeinsamen Kunden regelt, Rechtskraft verleihen, und

5.2.4. es PayPal gestatten, eine Zahlung oder Ihr PayPal-Konto unter den in den Nutzungsbedingungen aufgeführten Umständen einzuschränken.

Sie haften für Kreditkartenrückbuchung, Rückbuchungen und andere ungültige Zahlungen gemäß den Nutzungsbedingungen. Dies gilt unabhängig davon, wie Sie Ihr Produkt einschließlich Betrugsfilter und anderer Präventionstools (sofern vorhanden) verwenden und konfigurieren. Diese Tools können nützlich sein, um Betrugsversuche zu erkennen und Zahlungsausfälle zu vermeiden. Sie schmälern jedoch in keiner Weise Ihre gemäß den Nutzungsbedingungen bestehende Verantwortung und Haftung für Kreditkartenrückbuchungen, Rückbuchungen und Zahlungen, die aus anderen Gründen ungültig sind.

5.3. Commercial Entity Agreement

Wenn Sie sich dieser Vereinbarung unterwerfen, stimmen Sie auch den Commercial Entity Agreements zu. Dabei handelt es sich um direkte Vereinbarungen mit den übernehmenden Instituten, den Bankpartnern von  PayPal, die es Ihnen ermöglichen, Kartenzahlungen und kartenfinanzierte PayPal-Zahlungen zu erhalten.

5.4. Datenschutzerklärung

Sie erklären, dass Sie die PayPal-Datenschutzerklärung gelesen haben und ihr zustimmen. Die Datenschutzerklärung gibt an, welche Informationen wir über Sie und Ihr Online-Geschäft sammeln.  Sie erklären sich insbesondere damit einverstanden, dass PayPal von einem Drittanbieter Ihre Kredithistorie und Finanzdaten über Ihre Fähigkeit einholen kann, Ihren Verpflichtungen aus diesen Bedingungen nachzukommen. In der PayPal-Datenschutzerklärung werden die an diesem Austausch bonitätsrelevanter Informationen beteiligten Unternehmen aufgelistet. PayPal überprüft laufend Ihre Bonität und weitere Risikofaktoren Ihres Kontos (Rückbuchungen und Kreditkartenrückbuchungen, Kundenbeschwerden, Reklamationen usw.). Wir können des Weiteren Ihre Website und die Produkte überprüfen, die dort zum Verkauf angeboten werden. Die Speicherung, Nutzung und Weitergabe sämtlicher Daten, die PayPal zu Ihrer Person vorliegen, richtet sich nach der PayPal-Datenschutzerklärung.

5.5. Zusatzbedingungen für die Annahme von American Express-Karten

Wenn wir Ihnen gestatten, Zahlungen mittels American Express-Kreditkarten anzunehmen, ist dieser Abschnitt 5.5 anwendbar.

5.5.1. Gewerbliche Marketingkommunikation

American Express kann die im Rahmen Ihrer Anmeldung empfangenen Daten für Kreditkartenwerbung und Verwaltungszwecke verwenden und/oder kontrollieren.  Wenn Sie diese Bestimmungen akzeptieren, erklären Sie sich damit einverstanden, gewerbliche Marketingkommunikation von American Express zu erhalten. Ihre Zustimmung können Sie durch eine einfache Mitteilung an uns widerrufen. Unsere Kontaktdaten finden Sie auf der Seite <Hilfe und Kontakt >, die Sie über Ihre Nutzungsbedingungen und auf den meisten PayPal-Websites erreichen.  Wenn Sie sich gegen den Empfang gewerblicher Marketingkommunikation entscheiden, erhalten Sie trotzdem wichtige Mitteilungen von American Express zu Transaktionen und Ihrem Vertragsverhältnis.

5.5.2. Direkte Kartenannahme

Sie akzeptieren, dass American Express Sie bei Erreichen bestimmter monatlicher und/oder jährlicher, von American Express für den jeweiligen Zeitraum festgelegter Umsatzzahlen auffordern kann, ein direktes Vertragsverhältnis mit American Express einzugehen. In diesem Fall legt American Express die Preise für American Express-Transaktionen fest. Sie zahlen die Gebühren für American Express-Transaktionen dann direkt an American Express.

5.5.3. Prüfrechte

American Express kann Sie jederzeit einer Prüfung unterziehen, um die Einhaltung seiner Regeln zu kontrollieren.

5.5.4. Einreichungs- und Abgleichsrecht

Sie berechtigen PayPal, Transaktionen an American Express zu übermitteln, Abgleiche von American Express entgegenzunehmen und Transaktions- sowie Händlerdaten an American Express weiterzugeben, um Analysen und Berichte zu erstellen und andere legitime Geschäftszwecke zu erfüllen. Hierzu zählen unter anderem die gewerbliche Marketingkommunikation und wichtige Mitteilungen zu Transaktionen und zur Vertragsbeziehung. Der Händler kann die Annahme von American Express jederzeit durch eine einfache Mitteilung beenden.

5.5.5. Drittbegünstigte

American Express gilt im Rahmen dieser Vereinbarung als Drittbegünstigter für die Akzeptanz von Kreditkarten von American Express. Als solcher hat American Express das Recht, die Bedingungen dieser Vereinbarung im Hinblick auf die Akzeptanz von American Express direkt gegenüber Ihnen geltend zu machen. Sie akzeptieren, dass American Express nicht für die seitens PayPal Ihnen gegenüber bestehenden vertraglichen Verpflichtungen haftet.

5.5.6. Kartenvorlage, unbeaufsichtigte Terminals und Zahlungskioske

Sie dürfen American Express-Kreditkarten nicht für Zahlungen im Rahmen dieser Vereinbarung akzeptieren, wenn die Karte (i) am physischen Kauf- bzw. Transaktionsort vorgelegt wird, (ii) unbeaufsichtigt verwendet wird (z. B. in kundenaktivierten Terminals) oder (iii) an einem Zahlungskiosk vorgelegt wird. Darüber hinaus ist es Ihnen untersagt, Kunden von American Express, die sich an den physischen Standort begeben, Computer oder Onlineschnittstellen zur Verfügung zu stellen, über die die Karteninhaber auf ihr PayPal-Konto zugreifen können.

6. Geistiges Eigentum und Ausweiscodes

6.1. Lizenz

PayPal gewährt Ihnen hiermit eine nicht exklusive, nicht übertragbare, widerrufliche, nicht unterlizenzierbare, beschränkte Lizenz zur (a) Verwendung Ihres Produkts gemäß den auf der PayPal-Website bereitgestellten Dokumenten und um (b) die von PayPal bereitgestellten Dokumente für Ihr Produkt zu verwenden und sie für die interne Verwendung nur in Ihrem Geschäft zu reproduzieren. Das an Sie lizenzierte Produkt unterliegt Änderungen und wird zusammen mit dem gesamten PayPal-System ständig weiterentwickelt (siehe Abschnitt 9.1). Sie sind verpflichtet, die Implementierungs- und Nutzungsbedingungen zu erfüllen, die Sie in sämtlichen PayPal-Dokumenten und -Anweisungen finden, die das Produkt zum jeweiligen Zeitpunkt begleiten (insbesondere die von uns aufgestellten Implementierungs- und Nutzungsbedingungen, die wir Ihnen zur Einhaltung der geltenden Gesetze und Vorschriften zum Kreditkartensystem auferlegen).

6.2. Ausweiscodes

PayPal schickt Ihnen bestimmte Identifikationscodes, die nur für Sie gelten. Mit diesen Codes identifizieren Sie sich und authentifizieren Ihre Nachrichten und Anweisungen an uns sowie Ihre Einstellungen in den PayPal-Softwareschnittstellen.  Die Verwendung der Codes ist erforderlich, damit das PayPal-System die von Ihnen (bzw. Ihrer Website) übermittelten Anweisungen verarbeiten kann.  Sie sind verpflichtet, die Codes zu schützen und Sie vor der Weitergabe an Parteien zu schützen, die Sie nicht befugt haben, sich in Ihrem Namen mit PayPal auseinanderzusetzen.  Sie erklären sich damit einverstanden, die von PayPal zu gegebener Zeit aufgestellten angemessenen Sicherheitsvorkehrungen zu befolgen, um die Sicherheit der Berechtigungscodes zu schützen. Wenn Sie die Sicherheit der Codes nicht wie verlangt schützen, sind Sie verpflichtet, PayPal so schnell wie möglich darüber in Kenntnis zu setzen, damit PayPal die Codes stornieren und erneut ausstellen kann. PayPal kann die Codes auch stornieren und erneut ausstellen, wenn es Grund zu der Annahme hat, dass ihre Sicherheit beeinträchtigt wurde und Sie entsprechend benachrichtigt werden, sofern eine solche Benachrichtigung vernünftigerweise übermittelt werden kann.

6.3. Informationen und Materialien zum Eigentum an der PayPal-Website Payments Pro sowie an Advanced Credit and Debit Card Payments

Im Rahmen Ihres Zugangs zu und Ihrer Nutzung von PayPal Website Payments Pro und/oder Advanced Credit and Debit Card Payments werden Ihnen bestimmte Informationen und Materialien (die „Pro-Materialien“) für die Verwendung mit den Produkten zur Verfügung gestellt. Alle geistigen Eigentumsrechte, die an den Pro-Materialien bestehen, bleiben alleiniges Eigentum von PayPal bzw. des jeweiligen übernehmenden Instituts. Sie verpflichten sich, die Pro-Materialien weder ganz noch teilweise an Personen zu übergeben, zu übertragen, abzutreten, zu verkaufen oder weiterzuverkaufen.

6.4. PayPal Hosted Integrations und Ihr geistiges Eigentum

Sie erteilen PayPal hiermit eine entgeltfreie, weltweite, nicht exklusive Lizenz zur Verwendung Ihrer Namen, Bilder, Logos, Marken, Dienstleistungsmarken und/oder Handelsnamen und der Ihrer Partner („Ihre Marken“), die Sie PayPal bei der Verwendung der Produkte ausschließlich zu dem Zweck zur Verfügung stellen, Ihnen die Nutzung der Produkte (und insbesondere die Anpassung Ihres gehosteten Produkts) zu ermöglichen. Das Eigentum an Ihren Marken und der gesamte Goodwill, der sich aus der vertraglichen Nutzung ergibt, verbleiben bei Ihnen. Sie versichern, dass Sie befugt sind, PayPal das Nutzungsrecht an Ihren Marken zu gewähren. Im Falle von Ansprüchen und Schäden, die PayPal durch die Nutzung Ihrer Marken im Zusammenhang mit den Produkten entstehen, sind Sie gegenüber PayPal laufend schadenersatzpflichtig.

7. Nutzungsbedingungen für bestimmte Funktionen

7.1. Betrugsschutz (Fraud Protection)

Die Fristen in Anhang 3 gelten für die Anwendung des Betrugsschutzes.

7.2. Vaultationswerkzeug

Wenn Sie das Vaultationswerkzeug verwenden, unternehmen Sie vor der Erfassung der Kartendaten Ihrer Kunden Folgendes:

7.2.1. Sie informieren Ihre Kunden über Folgendes:

7.2.1.1. Die gesammelten Informationen werden gespeichert und können von Ihnen für zukünftige Zahlungen des Kunden abgerufen werden, einschließlich unter Umständen Zahlungen von "nicht anwesenden Käufern";

7.2.1.2. Der Kunde kann die Informationen aktualisieren; und

7.2.1.3. Der Kunde kann die Einwilligung widerrufen.

7.2.2. Sie erhalten die Zustimmung Ihrer Kunden, um diese Informationen auf der oben ausgeführten Grundlage zu erfassen und zu verwenden;

7.2.3. Stellen Sie sicher, dass Ihre Kunden, wenn sie die oben genannte Zustimmung geben und sich für die Funktion entscheiden, dies durch eine bewusste und und aufgezeichnete Aktion vornehmen, z. .B. durch Klicken auf einen optionalen Button oder Aktivieren eines standardmäßig unmarkierten Feldes.

7.3. Der Konto-Updater-Dienst

7.3.1 Beschreibung. Vorbehaltlich der Bestimmungen in diesem Abschnitt 7.3 kann PayPal Ihnen den Konto-Updater-Dienst zur Verfügung stellen, für den PayPal die entsprechenden Kartendaten berechtigter Karten an eine oder mehrere Quellen Dritter sendet und die für PayPal verfügbaren Informationen verwendet, um die entsprechenden Kartendaten zu überprüfen und zu aktualisieren. Nach diesen Überprüfungen werden die zutreffenden aktualisierten Kartendaten Ihrer Kunden, falls vorhanden, von PayPal auf Ihre Anweisung und in Ihrem Namen verarbeitet und gespeichert, damit Sie Abonnementzahlungen, wiederkehrende Zahlungen oder andere berechtigte Transaktionen mit den Produkten der Kunden von PayPal mit den entsprechenden aktualisierten Kartendaten akzeptieren können. Wenn Ihnen der Konto-Updater-Dienst zur Verfügung gestellt wird, übermittelt Paypal Ihnen entweder eine E-Mail Benachrichtigung, dass der Konto-Updater-Dienst auf Ihrem/Ihren Konto/Konten aktiviert wurde, oder PayPal gestattet Ihnen, den Konto-Updater-Service über Ihre PayPal-Kontoeinstellungen auf Ihrem/Ihren Konto/Konten zu aktivieren. Sie können die Nutzung des Konto-Updater-Dienstes jederzeit einstellen, indem Sie PayPal eine schriftliche Nachricht Ihrer Entscheidung zukommen lassen, oder aber in anderer Form, wie von PayPal entsprechend vorgegeben.

 

7.3.2 Zulässige Verwendung. Sie erkennen an und stimmen zu, dass der Konto-Updater-Dienst ausschließlich zum Zweck der Aktualisierung der anwendbaren Kartendaten bereitgestellt wird, damit Sie Transaktionen mit den Produkten akzeptieren können. Sie dürfen den Konto-Updater-Dienst nicht für andere Zwecke nutzen, einschließlich, jedoch ohne darauf beschränkt zu sein, der Nutzung eines Teils der Konto-Updater-Dienst-Daten im Zusammenhang mit der Entwicklung eines beliebigen anderen Dienstes oder Produkts.

 

7.3.3 Ihre Verpflichtungen. Sie müssen die geltenden gesetzlichen Vorschriften und die Regeln des Kartensystems im Zusammenhang mit der Nutzung des Konto-Updater-Dienstes in vollem Umfang einhalten. Darüber hinaus stellen Sie Ihren Kunden, deren Karte(n) für den Konto-Updater-Dienst geeignet ist bzw. sind, alle Informationen zur Verfügung, die nach geltendem Recht erforderlich sind, um Ihnen die Möglichkeit zu geben, den Konto-Updater-Dienst zu nutzen, um die Kundenkarte(n) zu aktualisieren. Das Vorstehende umfasst, ohne darauf beschränkt zu sein, die unverzügliche Einbeziehung einer beliebigen Sprache, die nach geltendem Recht oder den Regeln des Kartensystems erforderlich ist, in Ihre allgemeinen Nutzungsbedingungen, Datenschutzrichtlinien und/oder sonstigen kundenbezogenen Unterlagen. Sie müssen außerdem angemessene Offenlegungen bereitstellen, um den Kunden zu verdeutlichen, dass sie, sofern sie keine Aktualisierung der Kreditkartendaten wünschen, dazu aufgefordert werden können, die Karte, die von PayPal gespeichert wird, zu entfernen und/oder die Abonnementzahlungs- oder Abbuchungsvereinbarung mit Ihnen zu kündigen.

 

7.3.4 Vertraulichkeit. Sie erklären sich hiermit einverstanden, dass Sie alle Informationen und Kartendaten, die durch den Konto-Updater-Dienst bereitgestellt werden, sofern vorhanden, streng vertraulich behandeln. Sie dürfen derartige Informationen oder Kreditkartendaten nicht an Dritte weitergeben und Sie dürfen solche Informationen oder Kreditkartendaten nur für ausdrücklich gestattete Verwendungszwecke nutzen.

 

7.3.5. Schadloshaltung. Sie stellen PayPal von allen Verlusten frei, die sich aus einem Verstoß gegen Ihre Verpflichtungen aus diesem Abschnitt für die Nutzung des Konto-Updater-Dienstes ergeben.

 

7.3.6 Genauigkeit der Informationen. Sie erkennen an, dass der Konto-Updater-Dienst nur in dem Umfang korrekt sein kann, in dem eine kartenausstellende Bank und ein Kunde teilnehmen und dass viele kartenausstellende Banken und Kunden unter Umständen nicht teilnehmen. Sie erkennen an und stimmen zu, dass der Konto-Updater-Dienst auf Informationen, Kartendaten und Diensten, die PayPal von Dritten zur Verfügung gestellt wurden, basieren kann.

        

7.3.7 Kündigung. PayPal kann den Konto-Updater-Dienst jederzeit nach einer entsprechenden Kündigung per E-Mail an Sie kündigen.

8. Kündigung und Aussetzung

8.1. Kündigung Ihrerseits

Sie können diesen Vertrag kündigen, indem Sie dies dem PayPal-Kundenservice 30 Tage im Voraus anzeigen. Dabei können Sie entweder

8.1.1.ausschließlich diese Vereinbarung kündigen(in diesem Fall bestätigt der PayPal-Kundenservice die Kündigung per E-Mail.Daraufhin können Sie Ihre Produkte nicht mehr verwenden und müssen auch keine entsprechenden Zahlungen mehr leisten. Ihr PayPal-Konto bleibt jedoch offen und seine Nutzungsbedingungen sind weiterhin wirksam) oder

8.1.2.das PayPal-Konto schließen, das Sie mit Ihren Produkten verwenden (weitere Informationen finden Sie in den Nutzungsbedingungen).Mit dieser Option treten Sie von den Nutzungsbedingungen zurück. Daraufhin können Sie Ihre Produkte nicht mehr verwenden und müssen auch nichts mehr bezahlen. Anschließend wird das Abschlussverfahren für Ihr PayPal-Konto eingeleitet.Ihr PayPal-Konto bleibt offen und die Nutzungsbedingungen bleiben so lange wirksam, bis die Schließung des PayPal-Kontos in Kraft tritt. Dabei gelten die in den Nutzungsbedingungen enthaltenen Bestimmungen zur Schließung Ihres PayPal-Kontos.

Wenn Sie nur Advanced Credit and Debit Card Payments verwenden, können Sie den PayPal-Kundendienst, wie in den Abschnitten 8.1.1.und 8.1.2. oben dargelegt, zur fristlosen Kündigung dieser Vereinbarung oder zur sofortigen Schließung des PayPal-Kontos, das Sie mit den Advanced Credit and Debit Card Payments nutzen, auffordern.

Sie können die Nutzung von Advanced Credit and Debit Card Payments jederzeit einstellen, indem Sie dem PayPal-Kundendienst von Ihrer Absicht, nur Advanced Credit and Debit Card Payments nicht länger zu nutzen, in Kenntnis setzen.Der PayPal-Kundendienst bestätigt Ihnen die Einstellung dann per E-Mail.So können Sie die Nutzung von Advanced Credit and Debit Card Payments einstellen und müssen für zukünftige Transaktionen nichts mehr bezahlen. Ihr PayPal-Konto bleibt jedoch geöffnet und diese Vereinbarung und die Nutzungsbedingungen bleiben in Kraft.Sie können die Nutzung von Advanced Credit and Debit Card Payments gemäß den Bedingungen in dieser Vereinbarung, wie ergänzt, jederzeit wieder aufnehmen.

Sie können Ihre Zustimmung zu Kartenzahlungen mit American Express über das Produkt jederzeit zurückziehen, wenn Sie dies dem PayPal-Kundenservice im Voraus ankündigen. 

Weitere Informationen finden Sie auf unserer Seite „Hilfe und Kontakt“, die Sie über Ihre Nutzungsbedingungen und die meisten PayPal-Webseiten erreichen. Dort erfahren Sie auch, wie Sie uns erreichen können, um die oben beschriebenen Schritte zu veranlassen.

8.2. Kündigung durch PayPal

PayPal kann diese Vereinbarung und beliebige produktspezifische Vereinbarungsbestandteile auf den folgenden Wegen kündigen:

8.2.1. Sie erhalten eine schriftliche Ankündigung per E-Mail an Ihre registrierte und mit Ihrem Konto verknüpfte E-Mail-Adresse unter Nennung der Absicht, diese Vereinbarung oder einen bestimmten Teil davon zu kündigen.Sofern in der Kündigung nichts anderes angegeben wird, hat die Kündigung dieser Vereinbarung keinen Einfluss auf Ihre Nutzungsbedingungen und auch Ihr PayPal-Konto bleibt geöffnet.

8.2.2. Kündigung der Benutzervereinbarung, die für das PayPal-Konto gilt, das mit Ihrem Produkt verwendet wird.Ihr PayPal-Konto bleibt offen und die Nutzungsbedingungen bleiben so lange wirksam, bis die Schließung des PayPal-Kontos in Kraft tritt. Dabei gelten die in den Nutzungsbedingungen enthaltenen Bestimmungen zur Schließung Ihres PayPal-Kontos.

8.3. Anlassbezogene Kündigung

PayPal kann diesen Vertrag fristlos kündigen, wenn:

8.3.1. Sie gegen diese Vereinbarung oder gegen den Nutzungsvertrag verstoßen,

8.3.2. Sie Ihren Verpflichtungen nicht bis zum Fälligwerden nachkommen,

8.3.3. Sie Ihre Schulden nicht begleichen (im Sinne von Insolvency Act 1986 Abs. 123), zahlungsunfähig werden oder Insolvenz anmelden,

8.3.4. Gegen Sie oder Ihr Vermögen Pfändungen, Beschlagnahmungen, Zwangsvollstreckungen oder vergleichbare Maßnahmen eingeleitet oder durchgesetzt werden oder Ihnen ein Pfändungs- oder Überweisungsbeschluss zugestellt wird,

8.3.5. Sie Gegenstand eines Antrags, einer Anordnung oder eines Beschlusses über die Liquidation, Zwangsverwaltung, Insolvenz oder Auflösung aller oder eines wesentlichen Teils Ihres Unternehmens werden, außer wenn ein zahlungsfähiger Unternehmenszusammenschluss oder eine Reorganisation zu vorab von PayPal gebilligten Bedingungen vorgeschlagen wird,

8.3.6. Sie aufgrund der Ernennung eines Verwalters, Geschäftsführers, Treuhänders, Konkursverwalters oder etwas Ähnlichem die uneingeschränkte Kontrolle über alle oder einen Teil Ihrer Vermögenswerte verlieren,

8.3.7. Sie eine einvernehmliche Regelung oder einen Vergleich mit Gläubigern (oder einer bestimmten Gläubigergruppe) eingehen oder vorschlagen,

8.3.8. Sich eine wesentliche, nachteilige Veränderung in Ihrem Unternehmen, Ihrem Geschäftsbetrieb oder Ihrer Finanzlage ergibt oder

8.3.9. Sie bei der Beantragung Ihres Produkts oder im Umgang mit uns falsche Angaben machen.

8.4. Wirksamkeit der Kündigung.

Wenn diese Vereinbarung oder ein Teil davon gekündigt wird, müssen Sie die Verwendung der beendeten Produkte unverzüglich einstellen. PayPal kann Sie nach der Kündigung an der weiteren Nutzung hindern. Wenn Sie ein Produkt nach der Kündigung weiterhin verwenden, bleibt diese Vereinbarung für die Verwendung dieses Produkts so lange in Kraft, bis Sie die Produktverwendung endgültig einstellen. Die folgenden Abschnitte in dieser Vereinbarung bleiben auch nach einer Kündigung dieser Vereinbarung in Kraft: Abschnitt 2., 4,1., 8,2., 8,4. Die Kündigung dieser Vereinbarung oder eines Teil davon hat keinerlei Auswirkungen auf die bis zur Kündigung aufgelaufenen Rechte, Rechtsmittel und Verpflichtungen der Parteien. Sie haben keinen Anspruch auf Rückerstattung monatlicher Gebühren, die sich auf Zeiträume vor der Kündigung beziehen.

8.5. Vertragsbruch und Aussetzung

Wenn Sie gegen diese Vereinbarung, die Nutzungsbedingungen oder eine gemäß PCI DSS aufgestellte Sicherheitsvorkehrung verstoßen, kann PayPal Ihre Produktverwendung mit sofortiger Wirkung aussetzen (Ihr Produkt wird also vorübergehend unbrauchbar gemacht). PayPal kann Sie gegebenenfalls zur Umsetzung von Maßnahmen auffordern, um die Vertragsbrüchigkeit zu beenden und die Produktaussetzung rückgängig zu machen. Kein Teil dieser Vereinbarung hindert PayPal jedoch an der Wahrnehmung anderer Rechtsmittel gegen den jeweiligen Vertragsbruch. Wenn PayPal Grund zu der Annahme hat, dass Sie gegen diese Vereinbarung oder den PCI DSS verstoßen, kann es Ihre Nutzung des Produkts so lange aussetzen, bis weitere Untersuchungen abgeschlossen werden.

Wenn PayPal Ihren Zugang zu oder die Nutzung von PayPal Website Payments Pro oder von Advanced Credit and Debit Card Payments aussetzt, werden Sie entsprechend in Kenntnis gesetzt. Dabei werden Ihnen die Gründe für die Unterbrechung erläutert. Gegebenenfalls erhalten Sie konkrete Anweisungen, wie Sie die Vertragsbrüchigkeit und die Nutzungsunterbrechung beenden können.Setzt PayPal Ihren Zugang, die Nutzung von PayPal Website Payments Pro oder von Advanced Credit and Debit Card Payments aus, wird dies erst zurückgenommen, wenn sich PayPal versichert hat, dass Sie nicht mehr vertragsbrüchig sind.

9. Verschiedenes

9.1. Zukunft der Produkte

PayPal behält sich absolute Entscheidungsfreiheit hinsichtlich (a) der künftigen Ausrichtung und der Entwicklung der Produkte, (b) Produktverbesserungen und deren Zeitpunkt und (c) der Beseitigung von Mängeln und der Einführung neuer Funktionen vor. PayPal begrüßt das Feedback seiner Nutzer bei der Planung der Produkte, ist aber nicht verpflichtet, dementsprechend zu handeln. Wenn Sie uns Feedback geben, verzichten Sie damit auf das geistige Eigentum an Ihrem Feedback.

9.2. Gewährleistungsausschluss

Ihr Produkt und alle zugehörigen Unterlagen werden Ihnen wie besehen zur Verfügung gestellt.

PayPal gibt von Gesetzes wegen oder anderweitig weder ausdrückliche noch stillschweigende Garantien ab hinsichtlich:

  • Ihres Produkts,
  • der lizenzierten Software,
  • der vorgelegten Benutzerdokumentation.

Von PayPal im Rahmen dieser Vereinbarung oder anderweitig für Ihr Produkt angebotene Leistungen enthalten keinerlei Garantie seitens PayPal.

PayPal erwächst keinerlei Verpflichtung oder Haftung aus der Erbringung von:

  • technischer Beratung,
  • Programmierungsberatung,
  • sonstiger Beratung oder Dienstleistung

in Verbindung mit einem Produkt, einer lizenzierten Software oder vorgelegten Nutzerdokumenten.  Dies schließt unter anderem Dienstleistungen mit ein, die Sie bei der Individualisierung Ihres Produkts unterstützen.

PayPal empfiehlt Ihnen, die Produktimplementierung sorgfältig zu prüfen, da PayPal nicht für Schäden haftet, die durch darin enthaltene Mängel entstehen.

Wenn PayPal Ihr Produkt hostet (wir die Software für Sie also als Webservice ausführen), übernimmt es keinerlei Garantie für den dauerhaften, ununterbrochenen und sicheren Zugriff auf Ihr gehostetes Produkt.

PayPal haftet nicht für Verzögerungen oder Ausfälle beim Hosting Ihres Produkts.

Sie akzeptieren, dass die Verfügbarkeit Ihres Produkts gelegentlichen Einschränkungen unterliegen kann, um Reparaturen, Wartungsarbeiten und die Einführung neuer Einrichtungen oder Dienste zu ermöglichen.

In einigen Ländern ist der Ausschluss stillschweigender Zusicherungen nicht zulässig, weshalb der oben genannte Haftungsausschluss für Sie möglicherweise nicht gilt.

9.3. Schadensersatz

Sie erklären sich damit einverstanden, PayPal zu entschädigen und es von jeglichen direkten Verlusten, Schäden und Haftungen sowie von jeglichen Ansprüchen, Forderungen und Kosten (einschließlich angemessener Anwaltskosten), die gegenüber Dritten (einschließlich gemeinsamer Kunden) anfallen und sich aus Ihrer Verletzung dieser Vereinbarung, der Nutzungsbedingungen und der darin durch Bezugnahme aufgenommenen Unterlagen (einschließlich der Nutzungsrichtlinie) oder durch Gesetzesverstöße ergeben, uneingeschränkt freizustellen.

9.4. Abtretung, Änderung und Verzicht

Sie können diesen Vertrag nur mit vorheriger schriftliche Zustimmung durch PayPal an Dritte abtreten. PayPal kann diesen Vertrag ohne Ihre Zustimmung durch eine einfache Mitteilung an Sie an Dritte abtreten, erneuern oder anderweitig übertragen. Vertragsänderungen und der Verzicht auf vertragliche Rechte erfordern die Schriftform und die Zustimmung beider Parteien.

9.5. Englisches Recht und Gerichtsstand

Diese Vereinbarung unterliegt den Gesetzen von England und Wales. Beide Parteien unterwerfen sich der nicht ausschließlichen Gerichtsbarkeit der Gerichte von England und Wales.

10. Definitionen

Begriffe, die in diesem Abschnitt nicht aufgeführt sind, werden in den Nutzungsbedingungen definiert.

3D Secure“ bezeichnet ein Sicherheitsverfahren, mit dem eine kartenausgebende Bank den Karteninhaber, der eine Kartentransaktion genehmigt hat, zum Zeitpunkt der Bezahlung authentifizieren kann. 3D Secure wird je nach Kreditkartenvereinigung, deren Logo auf der Karte erscheint, auch unter anderen Markenzeichen geführt; andere Markenzeichen für 3D Secure sind unter anderem „Verified by Visa“ und „MasterCard SecureCode“.

Account Updater Service“ oder „Konto-Updater-Dienst“ bezeichnet eine Funktionalität, die in Abschnitt 7.3 näher definiert ist.

Übernehmendes Institut“  bezeichnet ein Finanzinstitut oder eine Bank, die Ihnen und PayPal Dienstleistungen anbietet, damit Sie (a) die Zahlung von Karteninhabern akzeptieren können und b) Wertgutschriften aus Kartengeschäften erhalten.

Aktivierungsdatum“ ist das Datum, an dem Sie alle der oben in Abschnitt 1 aufgeführten „Ersten Schritte“ abgeschlossen haben.

Advanced Credit and Debit Card Payments“ oder „Erweiterte Kredit- und Debitkartenzahlungen“ bezeichnet ein im Abschnitt „Über diese Vereinbarung“ näher definiertes Produkt.

API zu Advanced Credit and Debit Card Payments“, auch „API zu Erweiterten Kredit- und Debitkartenzahlungen“, bezeichnet einen Dienst für Online-Kartenzahlungen, der im Abschnitt „Über diese Vereinbarung“ näher definiert wird.

Erweiterte Betrugsschutzfilter“ sind eine von PayPal bereitgestellte Technologie, mit der Sie (a) Kartenzahlungen anhand von Kriterien wie die Rechnungsadresse des Karteninhabers (Adressverifizierungssystem oder AVS), die CVV2-Daten der Karte und Datenbanken mit verdächtigen Adressen, Identifikatoren und Mustern überprüfen können. Weitere Informationen finden Sie auf der PayPal-Website und in der Produktdokumentation. Die erweiterten Betrugsschutzfilter bieten ein höheres Maß an Transaktionsscreening. Transaktionen können damit auf Grundlage der individuellen Filterkonfiguration automatisch markiert, überprüft und abgelehnt werden.

AVS-Daten“ sind Informationen, die durch das Adressverifizierungssystem der Kartenverbände ausgegeben werden, das die Adressdaten vorgeblicher Karteninhaber mit den Adressdaten vergleicht, die für die Karte beim Kreditkartenanbieter vorliegen.

Kartenverband“ bezeichnet ein Unternehmen oder einen Zusammenschluss aus Finanzinstituten, das/der Vorschriften zur Regelung von Kartentransaktionen aufstellt, an denen die Karte mit der Marke des Unternehmens bzw. des Zusammenschlusses beteiligt ist. Beispiele dafür sind Visa USA, Visa Europe und die übrigen Visa-Regionen, MasterCard International Incorporated, American Express Company und ähnliche Organisationen.

Kartendaten“ sind alle für eine Kartentransaktion relevanten persönlichen und finanziellen Daten und die auf der Karte selbst (schriftlich oder digital) erfassten Informationen sowie der Namen und die Anschrift des Karteninhabers und allen weiteren Daten, die für die Verarbeitung von Kartentransaktionen erforderlich sind.

Kartentransaktionen“ sind Zahlungen mit Kredit- oder Debitkarte, American Express Card oder einer anderen Zahlungsquelle unter Verwendung eines greifbaren, im Besitz des Zahlers befindlichen Datenträgers. Die Produkte unterstützen nur bestimmte Arten von Kartentransaktionen. Weitere Informationen hierzu finden Sie auf der PayPal-Website.

Kritische Systeme“ bezeichnet die Informationstechnik (Hard- und Software), die Sie für den Betrieb Ihrer Produkte und zum Schutz Ihrer Produkte und Online-Verkaufsstellen vor Eindringungsversuchen und Störungen nutzen und mit denen Sie Zahlungsdaten und personenbezogene Daten einschließlich etwaiger Kartendaten speichern, die Ihnen zu gemeinsamen Kunden vorliegen.

CVV2-Daten“ bezeichnet die dreistellige Nummer, die rechts neben der Kartennummer unter der Unterschrift auf der Rückseite der Karte abgedruckt ist. (Bei American Express ist der Code vierstellig und nicht aufgeprägt und findet sich oberhalb der Kartennummer auf der Vorderseite der American Express Card.) Die CVV2-Daten sind eindeutig mit einer bestimmten Karte verknüpft.

Datenschutzverletzung“ ist eine Verletzung oder eine Fehlfunktion eines Computersystems, in dem die Kreditkartendaten gespeichert sind und bei der (a) alle oder ein Teil der Kartendaten im System aufgedeckt, verändert oder zerstört werden oder (b) nach Ansicht eines qualifizierten Sachverständigen für Informationssicherheit ein erhebliches Risiko besteht, dass alle oder ein Teil der Kartendaten im System aufgedeckt, verändert oder zerstört werden. Kreditkartendaten werden aufgedeckt, indem die gewöhnlichen Zugangskontrollen des Systems unerlaubt umgangen werden oder die Daten gegenüber nicht berechtigten Personen offengelegt werden.

Direct Payments API“, auch „Direktzahlungs-API“, bezeichnet einen Dienst für Online-Kartenzahlungen, der im Abschnitt „Über diese Vereinbarung“ näher definiert wird.

"PayPal Express bezeichnet eine Funktion zur Beschleunigung der Online-Kaufabwicklung im Einzelhandel unter Verwendung der von PayPal bereitgestellten Informationen.Nähere Angaben zu PayPal Express finden Sie auf der Website von PayPal sowie in den Unterlagen, die PayPal für PayPal Website Payments Pro und Advanced Credit and Debit Card Payments bereitstellt.

Fraud Protection“ oder „Betrugsschutz“ ist eine von PayPal bereitgestellte Technologie, mit der Sie (a) Kartenzahlungen anhand von Kriterien wie die Rechnungsadresse des Karteninhabers (Adressverifizierungssystem oder AVS), die CVV2-Daten der Karte und Datenbanken mit verdächtigen Adressen, Identifikatoren und Mustern überprüfen können. Die Technologie wird in der Advanced Credit and Debit Card Payments API als Alternative zu den erweiterten Betrugsschutzfiltern angeboten.

Datenschutz-Grundverordnung“ bezeichnet die Verordnung (EU) 2016/679 (Datenschutz-Grundverordnung) bzw. deren Nachfolgebestimmungen sowie alle übrigen Gesetze zum Datenschutz für Bürger und Einwohner desjenigen Mitgliedstaats des Europäischen Wirtschaftsraums, in dem Sie wohnhaft sind bzw. Ihr Unternehmen ansässig ist.

Hosting-Option“ bezeichnet (i) eine von PayPal gehostete Integration und (ii) eine selbstgehostete Integration.

Monatsgebühr“ ist eine monatlich zu zahlende Gebühr gemäß Abschnitt 2 oben.

Online Card Payment Services“, auch „Online-Kartenzahlungsdienste“, ist eine von PayPal online bereitgestellte Funktion, mit der Händler Zahlungen direkt von der Karte des Zahlers empfangen können (ohne dass das Geld über das PayPal-Konto des Zahlers abgewickelt wird) und für die die Karte auf der Website bzw. in der Verkaufsstelle nicht vorgelegt werden muss.Online-Kartenzahlungsdienste sind ein integraler Bestandteil der Produkte. Die Online-Kartenzahlungsdienste werden im Abschnitt „Über diese Vereinbarung“ aufgelistet und näher definiert.

Von PayPal-gehostete Integration“ bedeutet, dass die Direct Payments API (API für Direktzahlungen) und die Advanced Credit and Debit Card Payments API (API für Erweiterte Kredit- und Debitkartenzahlungen (Advanced Credit and Debit Card Payments) von PayPal, wie in Abschnitt 1 beschrieben, in den Zahlungsprozess Ihrer Website integriert sind. Die Funktionalität wird dabei (einschließlich des Karteneingabefelds) komplett über PayPal-Server (und nicht über Ihre Website) betrieben.

PayPal-Website“ bezeichnet die PayPal-Website für das Land, in dem Sie ansässig sind. Im Falle Großbritanniens ist die PayPal-Website derzeit unter http://www.PayPal.co.uk erreichbar. Angaben zu den PayPal-Websites anderer Länder finden Sie über einen Link von jeder PayPal-Website aus.

PCI DSS“ ist ein Datenschutzstandard für die Zahlungskartenbranche, der Vorgaben der Kartenverbände enthält, um die Datensicherheit bei Kartentransaktionen zu gewährleisten. Der PCI DSS ist online unter https://www.pcisecuritystandards.org/abrufbar.

Produkt“ oder „Ihr Produkt“ bezeichnet das Ihnen nach der Annahme dieser Vereinbarung zugänglich gemachte und von Ihnen verwendete Produkt. Die Produkte werden im Abschnitt „Über diese Vereinbarung“ aufgelistet und näher definiert.

Qualifizierter Sicherheitsgutachter“ hat die im PCI DSS angegebene Bedeutung.

Abonnementzahlungen“ bezeichnet eine von PayPal bereitgestellte Technologie zur Einrichtung von Zahlungen, die in bestimmten Abständen mit Zustimmung des Zahlers wiederkehren. Weitere Informationen finden Sie auf der PayPal-Website und in der Produktdokumentation.

Selbstgehostete Integration“ bedeutet, dass die API für Direktzahlungen oder die Advanced Credit and Debit Card Payments API von PayPal gemäß Abschnitt 1 in den Zahlungsprozess Ihrer Website integriert ist. Die Funktionalität wird dabei (einschließlich des Karteneingabefelds) zumindest teilweise über Ihre Website betrieben.

Gemeinsamer Kunde“ bezeichnet eine Person, die ein PayPal-Konto besitzt und außerdem Ihr Kunde ist.

Gewöhnliche PayPal-Zahlungen“ sind alle Zahlungen, die Sie von einem anderen PayPal-Konto, ohne beteiligtes PayPal-Konto oder über lokale Zahlungsquellen erhalten.

Nutzungsbedingungen“ bezeichnet den im Rahmen des Online-Anmeldeverfahrens zur Eröffnung eines PayPal-Kontos geschlossenen Vertrag. Die aktuellen Nutzungsbedingungen sind auf fast jeder Seite der PayPal-Website über einen Link in der Fußzeile zu finden. Sie enthalten bestimmte Richtlinien und insbesondere die Nutzungsrichtlinie, die auch auf der PayPal-Website aufgeführt ist.

„Das Vaultationswerkzeug“ bezeichnet eine API-basierte Technologie, die von PayPal bereitgestellt wird, um Sie in die Lage zu versetzen, Kartendaten für Zahlungen, die in bestimmten Intervallen oder mit bestimmten Häufigkeiten wiederkehren, vom Zahlungsleistenden zu speichern und wieder abzurufen. Weitere Informationen finden Sie auf der PayPal-Website und in der Produktdokumentation.

Virtual Terminal“  ist eine von PayPal bereitgestellte Funktion, mit der Sie Kartenzahlungen empfangen können, indem Sie die vom Karteninhaber übermittelten Kartendaten manuell eingeben. Virtual Terminal ist ein Online-Kartenzahlungsdienst und außerdem ein eigenständiges Produkt, das im Abschnitt „Über diese Vereinbarung“ näher beschrieben wird.

Website Payments Pro“ bezeichnet ein im Abschnitt „Über diese Vereinbarung“ näher beschriebenes Produkt.

Anhang 1
Datenschutzvorschriften

Mit Website Payments Pro, Advanced Credit and Debit Card Payments und Virtual Terminal können Sie Online-Zahlungen direkt von Debit- und Kreditkarten akzeptieren. Hierbei handelt es sich um Zahlungsinstrumente, deren Sicherheit von der Kontrolle der Offenlegung von Kartendaten abhängt.Eine Person mit ausreichenden Kartendaten kann eine Kartenzahlung senden oder empfangen, mit der das Konto des Karteninhabers belastet wird, ohne dass die Genehmigung des Karteninhabers für die Zahlung erforderlich ist.Um zu verhindern, dass die Kartendaten Ihrer gemeinsamen Kunden missbraucht werden, müssen Sie die Kartendaten jederzeit geheim halten.Die Allgemeine Datenschutzverordnung schreibt außerdem vor, dass Sie die persönlichen Daten eines gemeinsamen Kunden schützen müssen.

PayPal empfiehlt Ihnen dringend, die Dienste eines kompetenten Sachverständigen für Informationssicherheit in Anspruch zu nehmen, der Sie bei der Sicherung Ihrer Website und anderer Verkaufsstellen berät und unterstützt.

Grundsätze der Datensicherheit

1.    Gestaltung und Entwicklung

Gestalten und entwickeln Sie Ihre kritischen Systeme und alle zahlungsbezogenen Prozesse so, dass Sie vor Eingriffen und Störungen durch unberechtigte Personen geschützt sind.   Alle Nutzer Ihrer Systeme müssen sich in den kritischen Systemen authentifizieren. In den Systemen müssen die Zugangs- und sonstigen Berechtigungen der Nutzer eingeschränkt werden.  Stellen Sie Ihre Organisationsstruktur zudem so auf, dass wichtige Aufgaben voneinander getrennt und Kontrollpunkte in Ihrem Betrieb aufgestellt werden. Legen Sie nicht zu viele unkontrollierte Befugnisse über Ihre Systeme und Ihren Betrieb in die Hände einer einzigen Person.  Verleihen Sie Ihren Nutzern niemals mehr als die für ihre jeweilige Rolle unbedingt erforderlichen Befugnisse über Ihre Systeme und Prozesse.

2.    Schutz vor Eindringungsversuchen

Teilen Sie Ihre Abläufe in zwei Kategorien auf: (1) Funktionen, die für alle Nutzer verfügbar sind, inklusive Nutzern außerhalb Ihres Unternehmens, und (2) Funktionen, die nur vertrauenswürdigen Personen in Ihrem Unternehmen zur Verfügung stehen.  Installieren Sie eine Firewall, um nicht vertrauenswürdige Nutzer daran zu hindern, interne Funktionen Ihrer kritischen Systeme zu verwenden.  Verwenden Sie für Ihre Webserver und andere von außen zugängliche Bestandteile Ihrer kritischen Systeme eine ausgereifte und sorgfältig erprobte Technologie und stellen Sie extern nur die Funktionen zur Verfügung, die für gemeinsame Kunden und andere externe Nutzer erforderlich sind.  Befreien Sie Ihre von außen zugänglichen Server von allen überflüssigen Funktionen, um Sie zu schützen, und verringern Sie so ihre Anfälligkeit gegenüber externen Angriffen.

3.    Zugangskontrollen

In Ihren kritischen Systeme muss der Zugriff auf Kartendaten und alle anderen persönlichen und relevanten Daten auf vertrauenswürdige Personen in Ihrem Unternehmen beschränkt werden. Niemand sollte einen weitergehenden Zugriff auf diese Daten haben als für den jeweiligen Aufgabenbereich erforderlich.  In Ihren Systemen müssen alle Zugriffe, Nutzungen, Änderungen und Löschungen von Kartendaten und anderen persönlichen und relevanten Daten verfolgt und protokolliert werden, um einen Prüfpfad für alle derartigen Tätigkeiten zu gewährleisten.  Sie sind zudem verpflichtet, den Zugriff auf Ihre kritischen Systeme und die Ressourcen, von denen diese abhängen – wie z. B. Netzwerke, Firewalls und Datenbanken – einzuschränken.

4.    Datenminimierung

Grundsätzlich gilt: Erfassen und speichern Sie nur die Kartendaten und sonstigen sensiblen Daten, die Sie benötigen.  Die Verwahrung von Kartendaten und personenbezogenen Daten bringt ein Haftungsrisiko mit sich. Dieses können Sie verringern, indem Sie möglichst wenig Daten speichern.  Wenn Sie Kartendaten speichern, prüfen Sie zunächst den tatsächlichen Bedarf:  PayPal ist verpflichtet, Zahlungen zu erstatten, für die die Zustimmung des Zahlers fehlt. Genehmigt der Nutzer eine weitere Zahlung, teilt er Ihnen in der Regel auch seine aktuellen Kartendaten mit, so dass Sie diese nicht für die zukünftige Verwendung speichern müssen.  Kartendaten, die nicht bei Ihnen gespeichert werden, können bei Datenschutzverletzungen auch nicht gestohlen werden.

5.    Änderungen und Tests

Ändern Sie kritische Systeme nur in Notfällen. Planen, erproben und dokumentieren Sie Änderungen immer im Voraus, sofern es sich nicht um routinemäßige Änderungen handelt (z.B. Hinzufügen eines Nutzers, Ändern eines Passworts, Aktualisierung des Warenbestands und Preisanpassungen).  Bei umfangreicheren Systemänderungen und solchen, die sich auf die Sicherheit und Verfügbarkeit Ihrer kritischen Systeme auswirken können, sollten die geplanten Änderungen hochrangigen Führungskräften zur Bewilligung vorgelegt werden. Diese dürfen nicht mit den Planern der jeweiligen Änderungen identisch sein.  Führen Sie geplante Änderungen an Ihren Produktionssystemen erst dann durch, wenn sie außerhalb der Produktionsumgebung sorgfältig getestet wurden.  Führen Sie derartige Tests unter der Aufsicht Ihres Risikomanagements oder anderer Personen in Ihrem Unternehmen durch, die entsprechend befugt sind.

6.    Prüfungen (Audits)

Sie sind verpflichtet, den Betrieb und die Sicherheit Ihrer kritischen Systeme mindestens einmal jährlich zu überprüfen.  Diese Systemprüfung muss von Finanz-Audits getrennt erfolgen.  Beauftragen Sie vertrauenswürdige, unabhängige Experten mit der Prüfung Ihrer kritischen Systeme. Falls Sie eigene Mitarbeiter als Prüfer einsetzen, sorgen Sie für deren Unabhängigkeit, indem Sie sie vor Vergeltungsmaßnahmen schützen und sie nicht parallel mit der Verwaltung, dem Betrieb, der Veränderung oder der Erprobung Ihrer kritischen Systeme betrauen.

7.    Outsourcing und organisatorische Kontrolle

Stellen Sie sicher, dass alle Personen, die Zugang zu Ihren kritischen Systemen haben oder Ihre kritischen Systeme gestalten, entwickeln, betreiben, pflegen, ändern, testen oder überprüfen, diese Vereinbarung und den PCI DSS befolgen.  Sie sind dafür verantwortlich, die Einhaltung der Vorschriften sicherzustellen, auch wenn diese Personen nicht direkt bei Ihnen angestellt sind.

Vorgehensweise bei Datenschutzverletzungen

8.    Datenschutzverletzungen

Wenn es zu einer Datenschutzverletzungen kommt, verpflichten Sie sich zur Umsetzung der folgenden Maßnahmen:

a.    Ergreifen Sie alle gebotenen Maßnahmen, um die Datenschutzverletzung zu stoppen und ihre Folgen zu begrenzen, sobald Sie Kenntnis von der Datenschutzverletzung erlangen.

b    Informieren Sie PayPal so schnell wie möglich, nachdem Sie die Datenschutzverletzung entdeckt haben. Wenden Sie sich dazu an Ihren Account Manager (sofern Ihnen einer zugewiesen wurde) oder kontaktieren Sie unseren Kundenservice (dessen Kontaktdaten finden Sie unter„Kontakt“ ).Wenn (a) und eine Benachrichtigung von PayPal nicht gleichzeitig möglich sind, erledigen Sie zuerst (a) und benachrichtigen Sie anschließend PayPal.

c.    Benachrichtigen Sie alle gemeinsamen Kunden, deren Kartendaten offengelegt wurden bzw. offengelegt werden könnten. So können die Kunden Maßnahmen ergreifen, um einen Missbrauch ihrer Kartendaten zu verhindern. Sie verpflichten sich ferner, diese Benachrichtigung unmittelbar nach Abschluss von (a) und (b) durchzuführen und PayPal unmittelbar danach zu benachrichtigen und dabei eine Liste der von Ihnen benachrichtigten gemeinsamen Kunden vorzulegen. Wenn Sie diesen Schritt nicht zeitnah nach der Datenschutzverletzung durchführen, kann PayPal die gemeinsamen Kunden eigenständig über die Datenschutzverletzung informieren und sie dazu anhand Ihrer PayPal-Kontounterlagen zu Kartenzahlungen identifizieren.

d.    Auf Aufforderung von PayPal beauftragen Sie einen von PayPal zugelassenen externen Rechnungsprüfer mit der Sicherheitsprüfung Ihrer kritischen Systeme und der Berichterstattung. Sie verpflichten sich, Aufforderungen durch PayPal, wie in diesem Abschnitt dargelegt, auf eigene Kosten nachzukommen. Sie sind verpflichtet, PayPal eine Abschrift des Prüfgutachtens vorzulegen. PayPal kann diese Abschriften an die Finanzinstitute (einschließlich übernehmender Institute) und Kartenverbände, die an der Verarbeitung von Kartentransaktionen für PayPal beteiligt sind, weitergeben. Wenn Sie die Sicherheitsprüfung nicht innerhalb von zehn Werktagen nach dahingehender Aufforderung durch PayPal einleiten, kann PayPal eine solche Prüfung auf Ihre Kosten selbst durchführen bzw. in Auftrag geben. Siehe auch „Anhang 1“ zu Prüfungen (Audits).

E.    Arbeiten Sie mit PayPal zusammen und befolgen Sie alle angemessenen Anweisungen von PayPal, um die Folgen der Datenschutzverletzung zu vermeiden oder zu mildern, um Ihre kritischen Systeme dahingehend zu verbessern, dass sie den Anforderungen dieser Vereinbarung entsprechen, und um zukünftige Datenschutzverletzungen zu verhindern. PayPal verlangt jedoch nicht, dass Sie mehr tun, als diese Vereinbarung erfordert, es sei denn, die zusätzlichen Maßnahmen sind angesichts des Risikos für gemeinsame Kunden und der Best Practices des Online-Einzelhandels angemessen.

f.      Nehmen Sie den normalen Betrieb Ihrer kritischen Systeme erst wieder auf, nachdem Sie sich versichert haben, wie es zu der Datenschutzverletzung gekommen ist und Sie alle angemessenen Schritte unternommen haben, um die Schwachstellen zu beseitigen, die die Datenschutzverletzung ermöglicht haben oder weitere Datenverletzungen ermöglichen könnten.

g.    Melden Sie die Datenschutzverletzung den zuständigen Strafverfolgungsbehörden, beteiligen Sie sich an etwaigen Ermittlungen und kooperieren Sie, wenn die Behörden Sie dazu auffordern, um die Täter zu identifizieren und festzusetzen.

h.    Verzichten Sie auf die Verwendung von Kartendaten, die im Rahmen einer Datenschutzverletzung aufgedeckt oder manipuliert wurden.Nichts in diesem Abschnitt hindert Sie daran, die Kartendaten erneut von gemeinsamen Kunden, die von der Datenschutzverletzung betroffen sind, anzufordern und zu verwenden, sobald die Schwachstellen in Ihren kritischen Systemen gemäß (f) oben behoben wurden.

Datenschutz

9.    Die Datenschutzbestimmungen finden Sie in der Auflistung 2.

10.                  Vorsätzlich freigelassen.

Kartendaten und PCI DSS

11.                  Aufbewahrung von Kartendaten

Ohne die ausdrückliche Zustimmung des Karteninhabers zu Empfang und Speicherung dürfen Sie Kartendaten weder entgegennehmen noch zurückverfolgen, überwachen oder speichern.  Sie sind verpflichtet, alle empfangenen Kartendaten innerhalb von 24 Stunden nach Erhalt einer Berechtigungsentscheidung des für diese Kartendaten zuständigen Emittenten vollständig und sicher zu vernichten.

Wenn Sie mit Zustimmung des Karteninhabers Kartendaten für einen kurzen Zeitraum speichern, so dürfen Sie dies nur in dem Umfang tun, in dem die Kartendaten für die Verarbeitung von Zahlungsvorgängen mit Zustimmung des Karteninhabers erforderlich sind. Sie dürfen die gespeicherten Kreditkartendaten niemals an Dritte weitergeben oder offenlegen. Dies gilt auch im Falle eines Verkaufs Ihres Unternehmens. Darüber hinaus dürfen Sie ungeachtet etwaiger gegenteiliger Aussagen die Prüf- und Identifikationsdaten, die auf dem Unterschriftenstreifen auf der Rückseite der Karte aufgedruckt sind (d. h. die CVV2-Daten), unter keinen Umständen speichern oder weitergeben. Dies gilt selbst dann, wenn eine entsprechende Zustimmung des Karteninhabers vorliegt.

12.                  Kartendaten, die Sie nicht speichern dürfen

Sie erklären, dass Sie ungeachtet des unmittelbar vorangegangenen Abschnitts keine persönlichen Identifikationsnummern (PIN), CVV2-Daten oder AVS-Daten speichern werden, die dem Magnetstreifen oder einem anderen digitalen Speicher der Karte eines Karteninhabers entnommen werden (sofern diese Daten nicht auch auf der Vorderseite der Karte eingeprägt oder aufgedruckt sind). Die Kartenverbände können Sie mit Bußgeldern belegen, wenn Sie gegen diesen Abschnitt verstoßen, der die Regeln der Kartenverbände widerspiegelt.  „Speichern“ bezeichnet in diesem Abschnitt die Aufbewahrung in digitaler, elektronischer, papierbasierter oder anderweitiger Form, nicht aber die vorübergehende Erfassung und Verwahrung von Daten während der laufenden Verarbeitung (allerdings nicht darüber hinaus).

13.                  Nutzung der Kartendaten durch den Händler

Sie verpflichten sich, Kartendaten ausschließlich für die Erlangung einer Zulassung des Kartenanbieters, die Durchführung und Abrechnung der Kartentransaktion, für die Ihnen die Kartendaten mitgeteilt wurden, sowie die Beilegung von Kreditkartenrückbuchungen und Buchungsstreitigkeiten oder ähnliche Probleme im Zusammenhang mit Kartentransaktionen zu nutzen und weiterzugeben.  PayPal ist laut Bankengesetz verpflichtet, Zahlungen zurückzuzahlen, für die keine Zustimmung des Zahlers vorliegt. Ihre Nutzung von Kartendaten zur Durchführung von Kartentransaktionen erfordert somit die Zustimmung des Karteninhabers, um nicht zur Rückbuchung zu führen.

14.                  Sichere Speicherung und Entsorgung der Kartendaten

Sie verpflichten sich:

a.    angemessene Kontrollen einzurichten und aufrechtzuerhalten, um den Zugriff auf alle Datensätze, die Kartendaten enthalten, einzuschränken,

b.    Bankdaten und Informationen, die im Zusammenhang mit Kartentransaktionen erlangt wurden, nicht an Dritte zu verkaufen oder offenzulegen,

c.    Kartendaten nicht auf Papier oder auf tragbaren digitalen Speichergeräten wie USB-Speichern oder tragbaren Festplatten zu speichern,

d.    elektronisch erfasste Unterschriften von Karteninhabern außer auf ausdrückliche Aufforderung durch PayPal nicht zu vervielfältigen und

e.    die Kartendaten zu vernichten, indem Sie das jeweilige Speichermedium zerstören oder die Kartendaten vollständig und unumkehrbar unkenntlich machen.

Wenn Sie Ihr Unternehmen veräußern, dürfen Sie die Kartendaten und alle sonstigen Informationen, die Ihnen zu Kartengeschäften vorliegen, gemäß den Regeln des Kartenverbandes als Vermögenswert des Unternehmens nicht mit übertragen. In derartigen Fällen verpflichten Sie sich, die Kartendaten und alle Transaktionsdaten auf dahingehende Aufforderung an PayPal zu übermitteln.  Fordert PayPal diese Daten nicht an, müssen Sie sie im Falle einer Unternehmensveräußerung vernichten.

15.                  PCI DSS-Audit

Sie verpflichten sich, auf Aufforderung durch PayPal einem qualifizierten Sicherheitsprüfer die Kontrolle Ihrer Systeme, Kontrollen und Einrichtungen und die Erstellung eines Berichts an PayPal und die jeweiligen Verbände zu gestatten.  Sie erklären sich damit einverstanden, an dieser Prüfung umfassend mitzuwirken und dem Sicherheitsprüfer alle Informationen und Zugriffsrechte auf Ihre Systeme zu gewähren, die dieser für die Sicherheitsprüfung benötigt.  Sie stimmen zu, die angemessenen Kosten derartiger Prüfungen zu tragen.  Wenn Sie trotz dahingehender Aufforderung durch PayPal keine Sicherheitsprüfung einleiten, kann PayPal diese auf Kosten des Händlers eigenständig einleiten. Alternativ kann PayPal Ihre Verwendung Ihres Produkts unverzüglich aussetzen.  Sie erhalten eine Abschrift des Prüfberichts. PayPal muss ebenfalls eine solche Abschrift erhalten und diese an alle übernehmenden Institute bzw. Kartenvereinigungen übermitteln, die den Bericht anfordern.

Anhang 2

DATENSCHUTZ

Diese Datenschutzbestimmungen sind nur in dem Maße anwendbar, in dem PayPal als Auftragsverarbeiter oder Unterauftragsverarbeiter für den Händler auftritt. Begriffe, die nicht in diesem Anhang 2 definiert werden, haben die in den Nutzungsbedingungen angegebene Bedeutung.

1. DEFINITIONEN UND AUSLEGUNG

1.1. Die folgenden Begriffe haben in diesem Anhang 2 die jeweils angegebene Bedeutung:

Kartendaten“ wird in Abschnitt 2.15 dieses Anhangs 2 definiert.

Kunde“ bezeichnet einen Kunden aus der Europäischen Union, der die Dienste von PayPal nutzt und für die Zwecke von Anhang 2 als betroffene Person gilt.

Kundendaten“ bezeichnet die personenbezogenen Daten, die der Kunde dem Händler zur Verfügung stellt und die dieser über die PayPal-Dienste an PayPal weitergibt.

Datenverantwortlicher“ (auch „Verantwortlicher“), „Datenauftragsverarbeiter“ (auch „Auftragsverarbeiter“) und „betroffene Person“ haben die Bedeutung, die diesen Begriffen in den Datenschutzgesetzen gegeben wird.

Datenschutzgesetze“  bezeichnet die Datenschutz-Grundverordnung (EU) 2016/679 (DSGVO) sowie alle zugehörigen Vorschriften und Rechtsinstrumente und sonstigen Datenschutzgesetze, Verordnungen, regulatorischen Vorschriften und Verhaltenskodizes der EU-Mitgliedstaaten, die für die Erbringung der PayPal-Dienstleistungen von PayPal gelten.

Datenempfänger“ hat die in Abschnitt 2.15 dieses Anghangs 2 angegebene Bedeutung.

PayPal Group“ bezeichnet PayPal und alle Unternehmen, die PayPal bzw. dessen Rechtsnachfolger zum jeweiligen Zeitpunkt unmittelbar oder mittelbar besitzt oder kontrolliert.

Personenbezogene Daten“ hat die in den Datenschutzgesetzen angegebene Bedeutung.

Verarbeitung“ hat die in den Datenschutzgesetzen angegebene Bedeutung; die Begriffe „verarbeiten“, „verarbeitet“ und „in Verarbeitung“ sind entsprechend auszulegen.

Unterauftragsverarbeiter" ist jeder Auftragsverarbeiter, der von PayPal und/oder seinen Tochtergesellschaften mit der Verarbeitung personenbezogener Daten betraut wird.

1.2. Planen

Dieser Anhang 2 umfasst (i) die Abschnitte 1 bis 2, die den Hauptteil von Anhang 2 bilden; (ii) Anlage 1; (iii) Anlage 2 und (iv) Anlage 3 (mit dessen Anhängen).

2. VERARBEITUNG PERSONENBEZOGENER DATEN IM ZUSAMMENHANG MIT DEN DIENSTEN

2.1. Händlerdatenkontrolleur

Im Hinblick auf Kundendaten, die von PayPal im Zusammenhang mit dieser Vereinbarung verarbeitet werden, tritt der Händler als Datenverantwortlicher und PayPal als Auftragsverarbeiter auf. PayPal ist allein verantwortlich dafür, den Zweck und die Art und Weise zu bestimmen, für den bzw. auf die die personenbezogenen Daten von PayPal verarbeitet werden oder zu verarbeiten sind.

2.2. Schriftliche Anweisungen des Händlers

PayPal verarbeitet Kundendaten ausschließlich im Auftrag und gemäß den schriftlichen Anweisungen des Händlers. Die Parteien vereinbaren, dass Anhang 2 die alleinige und vollständige Anweisung des Händlers an PayPal in Bezug auf Kundendaten ist. Weitergehende Anweisungen, die zusätzlich zu diesem Anhang erteilt werden (sofern zutreffend), bedürfen einer vorherigen schriftlichen Vereinbarung zwischen PayPal und dem Händler einschließlich eines Übereinkommens über Zusatzgebühren, die der Händler PayPal für die Umsetzung derartiger weitergehender Anweisungen schuldet. Der Händler trägt dafür Sorge, dass seine Anweisungen allen anwendbaren Gesetzen und insbesondere den Datenschutzgesetze genügen und die Verarbeitung der Kundendaten gemäß den Anweisungen des Händlers nicht dazu führt, dass PayPal gegen Datenschutzgesetze verstößt. Die Bestimmungen dieses Abschnitts 2.2. unterliegen den in Abschnitts 2.14. enthaltenen Sicherheitsbestimmungen. Der Händler weist hiermit PayPal an, Kundendaten folgendermaßen zu verarbeiten:

a. soweit dies für die Erbringung der PayPal-Dienstleistungen für den Händler und dessen Kunden vernünftigerweise notwendig ist,

b. nach der Anonymisierung der Kundendaten diese nicht mehr identifizierbaren personenbezogenen Daten unmittelbar oder mittelbar für sämtliche Zwecke zu verwenden.

2.3. Mitwirkung durch PayPal

Mit Blick auf die von PayPal vertragsgemäß zu verarbeitenden Kundendaten arbeitet PayPal mit dem Händler im vernünftigerweise erforderlichen Ausmaß zusammen, um den Händler in die Lage zu versetzen, seiner laut Datenschutzgesetzen bestehenden Verantwortung nachzukommen. Hierzu zählen auf Geheiß des Händlers insbesondere die folgenden Mitwirkungsarten:

a. Unterstützung des Händlers bei der Erstellung von Datenschutzfolgenabschätzungen in dem gemäß den Datenschutzgesetzen dem Händler auferlegten Umfang;

b. Erfüllung verbindlicher Aufforderungen zuständiger Datenschutzstellen betreffend die Offenlegung von Kundendaten im gesetzlich vorgeschriebenen Ausmaß.

2.4. Umfang und Daten der Kundendaten, die von PayPal verarbeitet werden

Zweck der Verarbeitung von Kundendaten durch PayPal ist die Erbringung der PayPal-Dienstleistungen gemäß den Nutzungsbedingungen. PayPal verarbeitet Kundendaten in Übereinstimmung mit der vorgegebenen Dauer, Zwecksetzung, Art und Kategorie der betroffenen Personen gemäß Anlage 2 (Verarbeitung von Kundendaten).

2.5. Einhaltung geltender Gesetze

Die Parteien erfüllen stets die geltenden Datenschutzgesetze.

2.6. Korrektur, Sperrung und Löschung

Kann der Händler bei der Nutzung der PayPal-Dienste Kundendaten nicht wie gemäß den Datenschutzgesetzen vorgesehen korrigieren, ändern, sperren oder löschen, so kommt PayPal allen wirtschaftlich vertretbaren Forderungen des Händlers nach, derartige Handlungen vorzunehmen, soweit PayPal hierzu gesetzlich befugt ist. Soweit gesetzlich zulässig, trägt der Händler alle Kosten, die durch eine derartige Unterstützung seitens PayPal entstehen.

2.7. Anträge betroffener Personen

PayPal weist den Händler in dem gesetzlich zulässigen Umfang unverzüglich auf Anträge von Kunden hin, in denen diese den Zugriff auf oder die Berichtigung, Änderung oder Löschung von personenbezogenen Daten verlangen. Der Händler ist für die Beantwortung aller derartigen Anträge zuständig. PayPal leistet gegenüber dem Händler im gesetzlich zulässigen Ausmaß wirtschaftlich angemessene Unterstützung und Mitwirkung in Bezug auf derartige Kundenanträge. Der Händler trägt die durch die Mitwirkung seitens PayPal entstehenden Kosten.

2.8. Fortbildung

PayPal verpflichtet sich, seine Mitarbeiter zu gegebener Zeit und je nach Bedarf zu den sich aus Anhang 2 ergebenden Pflichten PayPals fortzubilden. So soll sichergestellt werden, dass sich das Personal von PayPal seiner Verpflichtungen bewusst ist und diesen nachkommt.

2.9. Zugangsbeschränkungen

PayPal hat dafür Sorge zu tragen, dass der Zugriff seiner Mitarbeiter auf Kundendaten auf diejenigen Personen beschränkt ist, die PayPal-Dienste gemäß den Nutzungsbedingungen erbringen.

2.10. Teilverarbeiter

Der Händler ermächtigt das Engagement der Mitglieder der PayPal-Gruppe als Unterverarbeiter im Zusammenhang mit der Erbringung der PayPal-Dienste. Darüber hinaus ermächtigt der Händler das Engagement von anderen Dritten als Unterprozessoren im Zusammenhang mit der Erbringung der PayPal-Dienste. Bei Beauftragung eines Unterauftragsverarbeiters schließt PayPal mit diesem einen Vertrag, der Bestimmungen zum Schutz von Kundendaten enthält, die mindestens genauso streng sind wie die in Anhang 2 enthaltenen. PayPal legt dem Händler eine aktuelle Liste der Unterauftragsverarbeiter für die jeweilige PayPal-Dienste mit Angaben zu deren Identität vor.

2.11. Prüfungen und Zertifizierungen

Auf Verlangen des Händlers, vorbehaltlich der Geheimhaltungspflichten, die in den Bedingungen festgelegt sind, stellt PayPal dem Händler (oder dem unabhängigen Händler, der kein Konkurrent von PayPal oder eines Mitglieds von PayPal oder der PayPal-Gruppe ist) Gruppeninformationen über die Einhaltung der Verpflichtungen in diesem Zeitplan 2 in Form der Zertifizierung durch den Drittanbieter und Prüfungen (falls vorhanden) zur Verfügung, die in den auf unserer Website genannten Datenschutzbedingungen festgelegt sind. Der Händler kann PayPal gemäß der Vereinbarung kontaktieren, um eine Prüfung der für den Schutz personenbezogener Daten relevanten Verfahren vor Ort anzufordern. Der Händler erstattet PayPal alle für solche Vor-Ort-Prüfungen aufgewendeten Zahlungen an PayPal zu den damals geltenden beruflichen PayPal-Dienstleistungskonditionen zurück, die dem Händler auf Anfrage zur Verfügung gestellt werden. Vor dem Beginn einer solchen Prüfung vor Ort stimmen der Händler und PayPal dem Umfang, dem Ablauf und der Dauer der Prüfung zusätzlich zu der Erstattungsfrist zu, für die der Händler verantwortlich ist. Alle Erstattungssätze sind unter Berücksichtigung der von PayPal aufgewendeten Ressourcen angemessen. Der Händler wird PayPal unverzüglich über Informationen bezüglich etwaiger Nichteinhaltung informieren, die im Rahmen einer Prüfung entdeckt wurden.

2,12.Sicherheit

PayPal verpflichtet sich, geeignete technische und organisatorische Maßnahmen wie in Anlage 1 zu diesem Anhang 2 beschrieben umzusetzen, um die Kundendaten zu schützen und vor unbefugter oder gesetzwidriger Verarbeitung und unbeabsichtigtem Verlust, Zerstörung und Beschädigung im Rahmen der Erbringung der PayPal-Dienste zu bewahren. Da PayPal seine Dienste für alle Händler einheitlich über eine gehostete, webbasierte Anwendung bereitstellt, beziehen sich alle geeigneten und zum jeweiligen Zeitpunkt aufgestellten technischen und organisatorischen Maßnahmen auf den gesamten PayPal-Kundenstamm, der über ein bestimmtes Rechenzentrum gehostet wird und denselben Dienst abonniert. Der Händler bestätigt, dass die technischen und organisatorischen Maßnahmen dem jeweiligen technischen Entwicklungsstand unterliegen. In diesem Zusammenhang ist PayPal ausdrücklich dazu berechtigt, geeignete Alternativmaßnahmen umzusetzen, sofern dabei das Sicherheitsniveau der Maßnahmen bei der Erbringung der PayPal-Dienste aufrechterhalten wird.

2.13. Anzeige von Sicherheitsvorfällen

Erlangt PayPal von einem Sicherheitsvorfall im Zusammenhang mit der Verarbeitung von Kundendaten Kenntnis, so ist PayPal gemäß Datenschutzgesetzen verpflichtet: (a) den Händler unverzüglich über den Sicherheitsvorfall zu informieren, (b) unverzüglich geeignete Maßnahmen zur Schadensbegrenzung und zur Sicherung der Kundendaten zu ergreifen, (c) soweit möglich angemessene Informationen zum Vorfall und zu den Maßnahmen zur Eindämmung der potenziellen Risiken vorzulegen und (d) den Händler auf den von PayPal zu bestimmenden Wegen zu informieren, wobei eine Benachrichtigung per E-Mail ausreichend ist. Der Händler trägt die alleinige Verantwortung für die Richtigkeit seiner Kontaktdaten.

2.14. Löschung

Nach Beendigung oder Ablauf der Vereinbarung ist PayPal verpflichtet, alle Kundendaten, die im Auftrag des Händlers verarbeitet wurden, zu löschen oder an den Händler zurückzusenden. PayPal löscht die vorhandenen Kopien dieser Kundendaten, außer wenn diese zur Einhaltung der gesetzlichen Vorschriften aufzubewahren sind.

2.15. Datenübertragbarkeit

Nach Beendigung oder Ablauf dieser Vereinbarung teilt PayPal auf schriftlichen Antrag des Händlers der neuen Händlerbank bzw. dem neuen Zahlungsdienstleister des Händlers („Datempfänger“) alle verfügbaren Kreditkarteninformationen und personenbezogenen Daten der Händlerkunden mit („Karteninformationen“). Dafür legt der Händler PayPal alle gewünschten Informationen und insbesondere einen Nachweis darüber vor, dass der Datenempfänger den verbandsspezifischen PCI-DSS-Anforderungen und PCI Stufe 1 genügt. PayPal verpflichtet sich, die Kartendaten an den Datenempfänger weiterzugeben, sofern die folgenden Bedingungen erfüllt sind: (a) der Händler legt PayPal einen Nachweis vor, dass der Datenempfänger den verbandsspezifischen PCI-DSS-Anforderungen und PCI Stufe 1 genügt. Dazu legt er PayPal ein Zertifikat oder einen Bericht eines zugelassenen Anbieters über die Einhaltung der verbandsspezifischen PCI-DSS-Anforderungen sowie alle weiteren von PayPal angemessenerweise angeforderten Angaben vor. (b) Die Übermittlung der Kartendaten entspricht der jeweils aktuellsten Fassung der verbandsspezifischen PCI-DSS-Anforderungen und (c) die Übermittlung der Kartendaten ist gemäß den geltenden Verbandsregeln und den anwendbaren Gesetzen, Regeln und Bestimmungen (einschließlich Datenschutzgesetzen) zulässig.

3. EU-STANDARDVERTRAGSKLAUSELN

3.1. Anwendung

Die Standardvertragsklauseln der EU werden in Anhang 3 („Standardvertragsklauseln der EU“) aufgeführt. Die Standardvertragsklauseln der EU gelten nur für Kundendaten, die von Händlern aus dem Europäischen Wirtschaftsraum (EWR) oder der Schweiz in ein Land außerhalb des EWR übertragen werden, das laut Europäischer Kommission keinen ausreichenden Schutz für personenbezogene Daten (gemäß DSGVO) bietet und in dem PayPal Kundendaten speichert und verarbeitet.

3.2. Anweisungen

Dieser Anhang 2 und die Vereinbarung stellen die vollständigen und abschließenden Anweisungen an den Datenimporteur über die Verarbeitung von Kundendaten dar. Ergänzende und alternative Anweisungen erfordern eine gesonderte Vereinbarung. Im Sinne von Klausel 5 (a) der Standardvertragsklauseln der EU erteilt der Datenexporteur folgende Anweisungen: (a) Kundendaten müssen gemäß Vereinbarung verarbeitet werden und (b) es müssen Kundendaten verarbeitet werden, die von Händlern während der Vertragslaufzeit im Rahmen der Dienstnutzung generiert werden. Diese Anweisungen beinhalten auch die Dauer, den Gegenstand, den Umfang und den Zweck der Verarbeitung.

3.3. Prüfungen und Zertifizierungen

Die Parteien kommen darin überein, dass die in Ziffer 5(f), Ziffer 11 und Ziffer 12(2) der EU-Standardvertragsklauseln beschriebenen Kontrollen folgendermaßen erfüllt werden: die Bestimmungen nach Anhang 2 Abs. 2.11 gelten für den Datenimporteur in derselben Weise wie für PayPal.

3.4. Nachweis der Löschung

Die Parteien vereinbaren, dass die in Ziffer 12(1) beschriebene Bescheinigung über die Löschung personenbezogener Daten vom Datenimporteur erst auf Verlangen des Datenexporteurs an diesen zu übermitteln ist.

3.5. Haftung

Die Parteien vereinbaren, dass alle zwischen ihnen gemäß Anhang 2 und Standardvertragsklauseln der EU bestehenden Haftungsverhältnisse (die mit Blick auf den Datenimporteur mit denen von PayPal bis zum Erreichen der laut Vereinbarung vorgesehenen Gesamthaftungsgrenze zusammengerechnet werden) den Bedingungen der Vereinbarung unterliegen (einschließlich Haftungsbeschränkung), wobei die Haftungsgrenze nicht auf Haftungsverhältnisse anwendbar ist, die dem Datenimporteur laut Bestimmungen der Standardvertragsklausel der EU über die Rechte Dritter gegenüber Datensubjekten entstehen.

3.6. Ausschluss von Rechten Dritter

Vorbehaltlich Abschnitt 4.6 werden PayPal Rechte Dritter in Bezug auf Verpflichtungen eingeräumt, die gemäß Anhang 2 ausdrücklich den Datenimporteur oder PayPal begünstigen. Den Datensubjekten werden Rechte Dritter gemäß den Standardvertragsklauseln der EU gewährt. Alle sonstigen Rechte Dritter sind ausgeschlossen.

Händler
 

Unterzeichnet für (Händlername einfügen)…………………………………
Unterschrift……………………………………………
Name des Unterzeichners……………………………………. Position des Unterzeichners……………………………………
Datum………………………………………………..

PayPal
im Namen von PayPal (Europe) S.á.r.l. et Cie, S.C.A.
Unterschrift…………………………………………….
Name des Unterzeichners……………………………………..Position des Unterzeichners……………………………………. Datum…………………………………………………

ANLAGE 1
 

Technische und organisatorische Maßnahmen

Folgende technische und organisatorische Maßnahmen werden umgesetzt:

1.    Maßnahmen zur Verhinderung einer unbefugten Nutzung der für die Datenverarbeitung eingesetzten Einrichtungen,

2.    Maßnahmen, die verhindern, dass Datenträger von unbefugten Personen gelesen, vervielfältigt, geändert oder bewegt werden,

3.    Maßnahmen zur Verhinderung der unbefugten Eingabe von Daten in das Informationssystem sowie der unerlaubten Kenntnisnahme, Änderung und Löschung der aufgezeichneten Daten,

4.    Maßnahmen, die verhindern, dass die Datenverarbeitungssysteme von unbefugten Personen mittels Datenübertragungseinrichtungen genutzt werden,

5.    Maßnahmen, mit denen sichergestellt wird, dass befugte Personen bei der Nutzung automatisierter Datenverarbeitungssysteme nur auf Daten in ihrem Zuständigkeitsbereich zugreifen können,

6.    Maßnahmen, die die Überprüfung und Erfassung der Identität Dritter gewährleisten, an die die Daten mittels Datenübertragungseinrichtungen übermittelt werden,

7.    Maßnahmen, mit denen sichergestellt wird, dass die Identität von Personen, die Zugang zum Informationssystem haben, sowie die in das System eingegebenen Daten jederzeit und von jeder befugten Person nachträglich überprüft und erfasst werden können,

8.    Maßnahmen, die verhindern, dass Daten unerlaubt gelesen, vervielfältigt, geändert oder gelöscht werden, wenn sie weitergegeben oder Datenträger bewegt werden,

9.    Maßnahmen zur Absicherung der Daten durch die Erstellung von Sicherungskopien.

ANLAGE 2
 

Verarbeitung von Kundendaten

Kategorien von betroffenen Personen

Kundendaten“ bezeichnet die personenbezogenen Daten, die der Kunde dem Händler zur Verfügung stellt und die dieser über die PayPal-Dienste an PayPal weitergibt.

Gegenstand der Verarbeitung

Die von PayPal erbrachte Zahlungsabwicklung ermöglicht dem Händler die Annahme von Kreditkarten, Debitkarten und anderen Zahlungsquellen der Kunden auf Websites und Mobilanwendungen.

Art und Zweck der Verarbeitung

PayPal verarbeitet Kundendaten, die vom Händler an PayPal gesendet werden, um die Zahlungsquelle des Kunden für Zahlungen für Waren oder Dienstleistungen an den Händler zu überprüfen.

Art der personenbezogenen Daten

Kundendaten: Der Händler teil PayPal die Art der Kundendaten mit, die PayPal laut vorliegender Vereinbarung verarbeitet. Sollte es zu Änderungen an der Art der Kundendaten kommen, die PayPal verarbeitet, weist der Händler PayPal unverzüglich auf diese hin. PayPal verarbeitet die folgenden vom Händler jeweils übermittelten Kundendaten:

 

Payment Pro

Virtual Terminal

Erweiterte Kredit- und Debitkartenzahlungen (Advanced Credit and Debit Card Payments)

Payments Pro Payflow

Payments Advanced

HSS

Vollständiger Name

X

X

X

X

X

X

Lieferadresse

X

X

X

X

X

X

Rechnungsadresse

X

X

X

X

X

X

E-Mail-Adresse

X

X

X

X

X

X

Telefonnummer

X

X

X

X

X

X

Faxnummer

 

 

 

X

 

 

Ausweisnummer

 

 

 

X

 

 

Bankverbindung und Bankleitzahl

 

 

 

X

 

 

Karte oder Zahlungsinstrument (optional)

X

X

X

X

X

X

Primäre Kontonummer der Karte (Pan)

X

X

X

X

X

X

CVV-Nummer

X

X

X

X

X

X

Ablaufdatum der Karte

X

X

X

X

X

X

Unternehmenssteuernummer

 

 

X

X

 

 

IP-Adresse

X

 

X

X

 

 

  

Besondere Datenkategorien (falls zutreffend)

Die Übermittlung besonderer Datenkategorien ist nicht vorgesehen.

Dauer der Verarbeitung

Die Vertragslaufzeit.

ANLAGE 3
 

STANDARDVERTRAGSKLAUSELN DER EU

Export personenbezogener Daten vom Datenverantwortlichen an den Auftragsverarbeiter (aus EWR-Ländern)

Im Sinne von Artikel 26 Absatz 2 der Richtlinie 95/46/EG über die Übermittlung personenbezogener Daten an Verarbeiter, die in Drittländern ansässig sind und kein angemessenes Datenschutzniveau gewährleisten


Firma des Datenexporteurs: ………………………………………..
Anschrift: …………………………………………….
Tel.: .......................................................
Fax: ........................................................
E-Mail: .....................................................
Weitere Angaben zur Identifizierung der Organisation: …………………………… (Datenexporteur)
 

Und
 

Firma des Datenimporteurs: Paypal, Inc
Anschrift: 2211 North First Street, San Jose, CA 95131
Weitere Angaben zur Identifizierung der Organisation: …………………………… (Datenimporteur)
 

Jeweils eine „Partei“, zusammengenommen die „Parteien“,
 

VEREINBAREN die folgenden Vertragsbestimmungen (die „Bestimmungen“) zur Gewährleistung angemessener Sicherheitsvorkehrungen für den Schutz der Privatsphäre und der Grundrechte und Freiheiten natürlicher Personen bei der Übermittlung personenbezogener Daten durch den Datenexporteur an den Datenimporteur gemäß Anhang 1.


Klausel 1

Definitionen

Im Sinne dieser Klausel haben die folgenden Begriffe die jeweils angegebene Bedeutung:

  • (a) Die Begriffe „personenbezogene Daten“, „besondere Datenkategorien“, „Verarbeitung/verarbeiten“, „Datenverantwortlicher“, „Auftragsverarbeiter“, „betroffene Person“ und „Aufsichtsbehörde“ haben die in der Richtlinie 95/46/EG des Europäischen Parlaments und des Rates vom 24. Oktober 1995 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr angegebene Bedeutung.
  • (b) „Datenexporteur“ ist der Datenverantwortliche, der die personenbezogenen Daten übermittelt.
  • (c) „Datenimporteur“ ist der Auftragsverarbeiter, der vom Datenexporteur personenbezogene Daten empfängt, diese in dessen Auftrag und gemäß den Bestimmungen verarbeitet und keinem System eines Drittlandes unterliegt, das einen angemessenen Schutz im Sinne von Artikel 25 Absatz 1 der Richtlinie 95/46/EG gewährleistet.
  • (D) „Unterauftragsverarbeiter“ ist ein Auftragsverarbeiter, der vom Datenimporteur oder von einem anderen Unterauftragsverarbeiter des Datenimporteurs beauftragt wird und dem Empfang personenbezogener Daten des Datenimporteurs oder eines anderen Unterauftragsverarbeiters des Datenimporteurs zustimmt, die ausschließlich für die Verarbeitung im Namen des Datenexporteurs gemäß dessen Anweisungen, den Bestimmungen und dem jeweiligen Untervertrag gedacht sind.
  • (e) „Anwendbares Datenschutzrecht“ ist die Gesetzgebung zum Schutz der Grundrechte und Freiheiten natürlicher Personen und insbesondere ihres Rechts auf Privatsphäre in Bezug auf die Verarbeitung personenbezogener Daten, die für Datenexporteure in demjenigen Mitgliedsstaat gilt, in dem der Datenexporteur ansässig ist.
  • (f) „Technische und organisatorische Sicherheitsmaßnahmen“ sind Maßnahmen zum Schutz personenbezogener Daten vor zufälliger und rechtswidriger Zerstörung, versehentlichem Verlust, Änderung, unbefugter Offenlegung und Zugriff, insbesondere wenn die Verarbeitung die Übermittlung von Daten über ein Netzwerk beinhaltet, sowie vor allen anderen rechtswidrigen Formen der Verarbeitung.

Klausel 2

Einzelbestimmungen zur Datenübertragung

Einzelheiten zur Datenübermittlung und insbesondere zu den besonderen Kategorien personenbezogener Daten finden sich in Anhang 1, der einen wesentlichen Bestandteil dieser Bestimmungen bildet.

Klausel 3
Drittbegünstigte

1.    Betroffene Personen können diese Klausel, Klausel 4(b) bis (i), Klausel 5(a) bis (e) und (g) bis (j), Klausel 6(1) und (2), Klausel 7, Klausel 8(2) und die Klauseln 9 bis 12 als Drittbegünstigte gegenüber dem Datenexporteur geltend machen.

2.   Betroffene können gegenüber dem Datenimporteur diese Klausel, Klausel 5(a) bis (e) und (g), Klausel 6, Klausel 7, Klausel 8(2) und die Klauseln 9 bis 12 geltend machen. Wenn der Datenexporteur faktisch oder rechtlich nicht mehr besteht, übernimmt ein Rechtsnachfolger durch Vertrag oder Kraft Gesetzes sämtliche Rechte und Pflichten des Datenexporteurs. So kann der Betroffene die angegebenen Klauseln gegenüber diesem durchsetzen.

3.    Betroffene können diese Klausel, Klausel 5 (a) bis (e) und (g), Klausel 6, Klausel 7, Klausel 8(2) und die Klauseln 9 bis 12 gegenüber dem Unterauftragsverarbeiter durchsetzen, wenn sowohl der Datenexporteur als auch der Datenimporteur faktisch oder rechtlich nicht mehr bestehen oder zahlungsunfähig sind; übernimmt ein Rechtsnachfolger durch Vertrag oder Kraft Gesetzes sämtliche Rechte und Pflichten des Datenexporteurs, so kann der Betroffene die angegebenen Klauseln gegenüber diesem durchsetzen.Eine solche Haftpflicht des Unterauftragsverarbeiters ist auf dessen Verarbeitungstätigkeiten nach den Klauseln beschränkt.

4.    Die Parteien erheben keine Einwände dagegen, dass die betroffene Person, sofern sie dies ausdrücklich wünscht und das nationale Recht dies zulässt, durch eine Vereinigung oder sonstige Einrichtung vertreten wird.

Klausel 4

Pflichten des Datenexporteurs

Der Datenexporteur versichert:

  • (a) dass die Verarbeitung der personenbezogenen Daten und deren Übertragung in Übereinstimmung mit den einschlägigen Bestimmungen des anwendbaren Datenschutzrechts erfolgt (und gegebenenfalls den zuständigen Datenschutzbehörden des Mitgliedstaates mitgeteilt wird, in dem der Datenexporteur ansässig ist) und nicht gegen die Rechtsvorschriften dieses Staates verstößt,
  • (b) dass er den Datenimporteur angewiesen hat, während der gesamten Dauer der Verarbeitung personenbezogener Daten die übertragenen personenbezogenen Daten ausschließlich im Auftrag des Datenexporteurs und in Übereinstimmung mit dem geltenden Datenschutzgesetz und diesen Bestimmungen zu verarbeiten,
  • (c) dass der Datenimporteur in Bezug auf die technischen und organisatorischen Sicherheitsmaßnahmen, die in Anhang 2 dieses Vertrages festgelegt sind, ausreichende Garantien bietet,
  • (d) dass nach Prüfung der Anforderungen des anwendbaren Datenschutzrechts die Sicherheitsmaßnahmen geeignet sind, um personenbezogene Daten vor zufälliger oder rechtswidriger Zerstörung, Verlust, Änderung, unbefugter Offenlegung und Zugriff – insbesondere wenn die Verarbeitung die Übermittlung von Daten über ein Netzwerk beinhaltet – und alle übrigen rechtswidrigen Verarbeitungsformen zu schützen und diese Maßnahmen ein Sicherheitsniveau gewährleisten, das den Risiken der Verarbeitung und der Art der zu verarbeitenden Daten unter Berücksichtigung des aktuellen Stands der Technik und der Umsetzungskosten entspricht,
  • (e) dass er die Einhaltung der Sicherheitsmaßnahmen sicherstellt,
  • (f) dass die betroffenen Personen im Falle einer Übertragung besonderer Datenkategorien im Vorfeld oder schnellstmöglich im Anschluss an die Übertragung darüber informiert werden, dass ihre Daten möglicherweise in ein Drittland übermittelt werden, das keinen angemessenen Schutz im Sinne der Richtlinie 95/46/EG vorsieht,
  • (g) vom Datenimporteur oder Unterauftragsverarbeitern gemäß Klausel 5(b) und Klausel 8(3) erhaltene Benachrichtigungen an die Datenschutzbehörde weiterzuleiten, wenn sich der Datenexporteur zur Fortführung der Übertragung oder zur Aufhebung von deren Aussetzung entschließt,
  • (h) den Betroffenen auf Wunsch eine Abschrift der Bestimmungen mit Ausnahme von Anhang 2, eine Übersicht über die Sicherheitsmaßnahmen und eine Abschrift aller Verträge über Unterverarbeitungsdienstleistungen vorzulegen, die im Einklang mit den Bestimmungen geschlossen werden, außer wenn Bestimmungen bzw. Verträge geschäftliche Informationen enthalten (ist dies der Fall, können diese geschäftlichen Informationen im Vorfeld gestrichen werden),
  • (i) dass im Falle einer Unterauftragsverarbeitung die Verarbeitung gemäß Klausel 11 durch einen Unterauftragsverarbeiter erfolgt, der mindestens dasselbe Schutzniveau für die personenbezogenen Daten und die Rechte der Betroffenen bietet, das der Datenimporteur gemäß den Bestimmungen gewährleistet, und
  • (j) dass die Einhaltung von Klausel 4(a) bis (i) gewährleistet wird.

Klausel 5
 

Pflichten des Datenimporteurs
 

Der Datenimporteur versichert:

  • (a) dass die Verarbeitung personenbezogener Daten ausschließlich im Auftrag des Datenexporteurs und gemäß dessen Anweisungen und den Bestimmungen erfolgt (ist dies aus jedweden Gründen nicht möglich, so weist er den Datenexporteur unverzüglich auf diesen Umstand hin. In diesem Fall ist der Datenexporteur berechtigt, die Datenübertragung auszusetzen und/oder den Vertrag zu kündigen),
  • (b) dass kein Grund zu der Annahme besteht, dass die für den Datenimporteur geltenden Rechtsvorschriften diesen daran hindern, die Anweisungen des Datenexporteurs und seine vertraglichen Pflichten zu erfüllen, und er im Falle einer Änderung der Rechtsvorschriften, die geeignet ist, sich nachteilig auf die gemäß Bestimmungen übernommenen Garantien und Verpflichtungen auszuwirken, dem Datenexporteur diese Änderung unverzüglich nach seiner Kenntnisnahme anzeigt (in diesem Fall ist der Datenexporteur berechtigt, die Datenübertragung auszusetzen und/oder den Vertrag zu kündigen),
  • (c) dass die technischen und organisatorischen Sicherheitsmaßnahmen gemäß Anhang 2 vor der Verarbeitung der übermittelten personenbezogenen Daten umgesetzt werden,
  • (d) den Datenexporteur umgehend in Kenntnis zu setzen über:

o (i) jedweden rechtsverbindlichen Antrag auf Offenlegung personenbezogener Daten durch Strafverfolgungsbehörden, sofern dies nicht etwa durch strafrechtliche Verbote zur Wahrung des Untersuchungsgeheimnisses in Strafsachen untersagt ist,
o (ii) versehentliche und unbefugten Zugriffe und
o (iii) alle direkt von den betroffenen Personen empfangenen Anfragen, ohne diese zunächst zu beantworten, sofern er nicht ausdrücklich dazu befugt ist,

  • (e) alle Anfragen des Datenexporteurs im Zusammenhang mit der Verarbeitung der übermittelten personenbezogenen Daten durch den Datenexporteur unverzüglich und ordnungsgemäß zu bearbeiten und die Ratschläge der Kontrollstelle im Hinblick auf die Verarbeitung der übermittelten Daten zu befolgen,
  • (f) auf Verlangen des Datenexporteurs seine für die Verarbeitung erforderlichen Datenverarbeitungseinrichtungen zur Prüfung der unter die Klauseln fallenden Verarbeitungstätigkeiten zur Verfügung zu stellen (die Prüfung kann vom Datenexporteur oder einem vom Datenexporteur ggf. in Absprache mit der Kontrollstelle ausgewählten Prüfgremium durchgeführt werden, dessen Mitglieder unabhängig sind, über die erforderlichen Qualifikationen verfügen und zur Vertraulichkeit verpflichtet sind),
  • (g) den Betroffenen auf Wunsch eine Abschrift der Bestimmungen mit Ausnahme von Anhang 2 und eine Abschrift aller Verträge über Unterverarbeitungsdienstleistungen vorzulegen, die im Einklang mit dem Bestimmungen geschlossen werden, außer wenn Bestimmungen bzw. Verträge geschäftliche Informationen enthalten (ist dies der Fall, können diese geschäftlichen Informationen im Vorfeld gestrichen werden),
  • (h) dass er im Falle einer Unterverarbeitung den Datenexporteur bereits informiert und dessen vorherige schriftliche Zustimmung eingeholt hat,
  • (i) dass bei der Vergabe eines Verarbeitungsauftrags an einen Unterauftragsverarbeiter die Verarbeitung gemäß Klausel 11 erfolgt,
  • (j) dem Datenexporteur unverzüglich eine Abschrift aller Verträge über die Unterverarbeitung zuzustellen.

Klausel 6

Haftung

1.    Die Parteien vereinbaren, dass jede betroffene Person, die durch eine Verletzung der in Klausel 3 oder 11 genannten Pflichten durch eine Partei oder den Unterauftragsverarbeiter Schaden erlitten hat, berechtigt ist, vom Datenexporteur Schadenersatz für den erlittenen Schaden zu erlangen.

2.  Ist die betroffene Person nicht in der Lage, gemäß Absatz 1 gegenüber dem Datenexporteur wegen Verstoßes des Datenimporteurs oder seines Unterauftragsverarbeiters gegen in den Klauseln 3 und 11 genannte Pflichten Schadenersatzansprüche geltend zu machen, weil das Unternehmen des Datenexporteurs faktisch oder rechtlich nicht mehr besteht oder zahlungsunfähig ist, ist der Datenimporteur damit einverstanden, dass die betroffene Person Ansprüche gegenüber ihm statt gegenüber dem Datenexporteur geltend macht, es sei denn, ein Rechtsnachfolger hat durch Vertrag oder kraft Gesetzes sämtliche rechtliche Pflichten des Datenexporteurs übernommen; in diesem Fall kann die betroffene Person ihre Ansprüche gegenüber dem Rechtsnachfolger geltend machen.Der Datenimporteur kann sich seiner Haftung nicht entziehen, indem er sich auf die Verantwortung des Unterauftragsverarbeiters für einen Verstoß beruft.

Ist die betroffene Person nicht in der Lage, gemäß den Absätzen 1 und 2 gegenüber dem Datenexporteur oder dem Datenimporteur wegen Verstoßes des Unterauftragsverarbeiters gegen in den Klauseln 3 und 11 aufgeführte Pflichten Ansprüche geltend zu machen, weil sowohl das Unternehmen des Datenexporteurs als auch das des Datenimporteurs faktisch oder rechtlich nicht mehr besteht oder zahlungsunfähig ist, ist der Unterauftragsverarbeiter damit einverstanden, dass die betroffene Person im Zusammenhang mit seinen Datenverarbeitungstätigkeiten aufgrund der Klauseln gegenüber ihm statt gegenüber dem Datenexporteur oder dem Datenimporteur einen Anspruch geltend machen kann, es sei denn, ein Rechtsnachfolger hat durch Vertrag oder kraft Gesetzes sämtliche rechtlichen Pflichten des Datenexporteurs oder des Datenimporteurs übernommen; in diesem Fall kann die betroffene Person ihre Ansprüche gegenüber dem Rechtsnachfolger geltend machen. Eine solche Haftung des Unterauftragsverarbeiters ist auf dessen Verarbeitungstätigkeiten nach diesen Klauseln beschränkt.

Klausel 7

Schlichtungsverfahren und Gerichtsstand

      1. Für den Fall, dass eine betroffene Person gegenüber dem Datenimporteur Rechte als Drittbegünstigte und/oder Schadenersatzansprüche aufgrund der Vertragsklauseln geltend macht, erklärt sich der Datenimporteur bereit, die Entscheidung der betroffenen Person zu akzeptieren, und zwar entweder:

o (a) die Angelegenheit in einem Schlichtungsverfahren durch eine unabhängige Person oder gegebenenfalls durch die Kontrollstelle beizulegen oder
o (b) die Gerichte des Mitgliedstaats, in dem der Datenexporteur niedergelassen ist, mit dem Streitfall zu betrauen.

      2. Die Parteien vereinbaren, dass die Entscheidung der betroffenen Person nicht die materiellen Rechte oder Verfahrensrechte dieser Person, nach anderen Bestimmungen des nationalen oder internationalen Rechts Rechtsbehelfe einzulegen, berührt.

Ziffer 8

Zusammenarbeit mit Kontrollstelle

1..    Der Datenexporteur erklärt sich bereit, eine Kopie dieses Vertrags bei der Kontrollstelle zu hinterlegen, wenn diese es verlangt oder das anwendbare Datenschutzrecht es so vorsieht.

2.    Die Parteien vereinbaren, dass die Kontrollstelle befugt ist, den Datenimporteur und etwaige Unterauftragsverarbeiter im gleichen Maße und unter denselben Bedingungen einer Prüfung zu unterziehen, unter denen die Kontrollstelle gemäß dem anwendbaren Datenschutzrecht auch den Datenexporteur prüfen müsste.

3.    Der Datenimporteur setzt den Datenexporteur unverzüglich über Rechtsvorschriften in Kenntnis, die für ihn oder etwaige Unterauftragsverarbeiter gelten und eine Prüfung des Datenimporteurs oder von Unterauftragsverarbeitern gemäß Absatz 2 verhindern. In diesem Fall ist der Datenexporteur berechtigt, die in Klausel 5 (b) vorgesehenen Maßnahmen zu ergreifen.

Klausel 9

Anwendbares Recht

Für diese Klauseln gilt das Recht des Mitgliedstaats, in dem der Datenexporteur niedergelassen ist.

Klausel 10

Änderung des Vertrags
 

Die Parteien verpflichten sich, die Klauseln nicht zu verändern. Es steht den Parteien allerdings frei, erforderlichenfalls weitere, geschäftsbezogene Klauseln aufzunehmen, sofern diese nicht im Widerspruch zu der Klausel stehen.

Klausel 11

Vergabe eines Unterauftrags

1.    Der Datenimporteur darf ohne die vorherige schriftliche Einwilligung des Datenexporteurs keinen nach den Klauseln auszuführenden Verarbeitungsauftrag dieses Datenexporteurs an einen Unterauftragnehmer vergeben. Vergibt der Datenimporteur mit Einwilligung des Datenexporteurs Unteraufträge, die den Pflichten der Klauseln unterliegen, ist dies nur auf dem Wege einer schriftlichen Vereinbarung mit dem Unterauftragsverarbeiter möglich, die diesem die gleichen Pflichten auferlegt, die auch der Datenimporteur nach den Klauseln erfüllen muss. Sollte der Unterauftragsverarbeiter seinen Datenschutzpflichten nach der schriftlichen Vereinbarung nicht nachkommen, bleibt der Datenimporteur gegenüber dem Datenexporteur für die Erfüllung der Pflichten des Unterauftragsverarbeiters nach der Vereinbarung uneingeschränkt verantwortlich.

2.    Die vorherige schriftliche Vereinbarung zwischen dem Datenimporteur und dem Unterauftragsverarbeiter muss gemäß Klausel 3 auch eine Drittbegünstigtenklausel für Fälle enthalten, in denen die betroffene Person nicht in der Lage ist, einen Schadenersatzanspruch gemäß Klausel 6 Absatz 1 gegenüber dem Datenexporteur oder dem Datenimporteur geltend zu machen, weil diese faktisch oder rechtlich nicht mehr bestehen oder zahlungsunfähig sind und kein Rechtsnachfolger durch Vertrag oder kraft Gesetzes sämtliche rechtlichen Pflichten des Datenexporteurs oder des Datenimporteurs übernommen hat. Eine solche Haftpflicht des Unterauftragsverarbeiters ist auf dessen Verarbeitungstätigkeiten nach den Klauseln beschränkt.

3.    Für Datenschutzbestimmungen im Zusammenhang mit der Vergabe von Unteraufträgen über die Datenverarbeitung gemäß Absatz 1 gilt das Recht des Mitgliedstaats, in dem der Datenexporteur niedergelassen ist.

4.    Der Datenexporteur führt ein mindestens einmal jährlich zu aktualisierendes Verzeichnis der mit Unterauftragsverarbeitern nach den Klauseln geschlossenen Vereinbarungen, die vom Datenimporteur nach Klausel 5 (j) übermittelt wurden. Das Verzeichnis wird der Kontrollstelle des Datenexporteurs bereitgestellt.

Klausel 12

Pflichten nach Beendigung der Datenverarbeitungsdienste

1.    Die Parteien vereinbaren, dass der Datenimporteur und der Unterauftragsverarbeiter bei Beendigung der Datenverarbeitungsdienste je nach Wunsch des Datenexporteurs alle übermittelten personenbezogenen Daten und deren Kopien an den Datenexporteur zurückschicken oder alle personenbezogenen Daten zerstören und dem Datenexporteur bescheinigen, dass dies erfolgt ist, sofern die Gesetzgebung, der der Datenimporteur unterliegt, diesem die Rückübermittlung oder Zerstörung sämtlicher oder Teile der übermittelten personenbezogenen Daten nicht untersagt. In diesem Fall garantiert der Datenimporteur, dass er die Vertraulichkeit der übermittelten personenbezogenen Daten gewährleistet und diese Daten nicht mehr aktiv weiterverarbeitet.

2.    Der Datenimporteur und der Unterauftragsverarbeiter garantieren, dass sie auf Verlangen des Datenexporteurs und/oder der Kontrollstelle ihre Datenverarbeitungseinrichtungen zur Prüfung der in Absatz 1 genannten Maßnahmen zur Verfügung stellen.


Für den Datenexporteur:
Name (ausgeschrieben): …………………………………………….
Position: ....................................................
Anschrift: ....................................................
Gegebenenfalls weitere Angaben, die den Vertrag verbindlich machen:
Unterschrift: …………………………………………….(Stempel der Organisation)

Für den Datenimporteur (Paypal, Inc):
Name (ausgeschrieben): …………………………………………….
Position: ....................................................
Anschrift: 2211 North First Street, San Jose, CA 95131, USA
Unterschrift.................................................... (Stempel der Organisation)


ANHANG 1 ZU DEN STANDARDVERTRAGSKLAUSELN DER EU

Dieser Anhang ist Bestandteil der Klauseln und muss von den Parteien ausgefüllt und unterzeichnet werden.

Die Mitgliedstaaten können entsprechend den nationalen Verfahren Zusatzangaben, die in diesem Anhang enthalten sein müssen, ergänzen.

Datenexporteur

Der Datenexporteur ist: Händler

Ein Unternehmen, das die Dienste des Datenimporteurs in Bezug auf seine Kunden nutzt.

Datenimporteur

Der Datenimporteur ist: PayPal, Inc

Ein Zahlungsdienstleister, der mit Braintree Services ein Zahlungs-Gateway anbietet, damit der Händler Finanzinstituten und anderen Zahlungsdienstleistern Kreditkartendaten und andere Kundendaten mitteilen kann, damit diese die Kundenzahlungen verarbeiten können.

Betroffene Personen

Die übermittelten personenbezogenen Daten betreffen folgende Kategorien betroffener Personen:

Kunden des Datenexporteurs

Datenkategorien

Die übermittelten personenbezogenen Daten gehören zu folgenden Datenkategorien:

Kundenname, Rechnungsbetrag, Kartennummer, CSV, Postleitzahl, Ländercode, Anschrift, E-Mail-Adresse, Faxnummer, Telefonnummer, Website, Ablaufdatum, Versandangaben, Steuerstatus

Besondere Datenkategorien (falls zutreffend)

Die übermittelten personenbezogenen Daten betreffen die folgenden besonderen Datenkategorien (bitte genau angeben):
Nicht zutreffend, außer wenn der Händler den Dienst so konfiguriert, dass diese Daten erfasst werden.

Verarbeitung

Die übermittelten personenbezogenen Daten werden folgenden grundlegenden Verarbeitungsmaßnahmen unterzogen:

Empfang und Speicherung personenbezogener Daten im Rahmen der Leistungserbringung während der Vertragslaufzeit.
 



ANHANG 2 ZU DEN STANDARDVERTRAGSKLAUSELN DER EU
 

Dieser Anhang ist Bestandteil der Klauseln.
 

Beschreibung der technischen oder organisatorischen Sicherheitsmaßnahmen, die der Datenimporteur gemäß Klausel 4 (d) und Klausel 5 (c) eingeführt hat (oder Dokument/Rechtsvorschrift beigefügt):
 

Die technischen und organisatorischen Maßnahmen finden sich in Anhang 1 dieses Änderungsantrags.

Anhang 3

Nutzungsbedingungen für den Betrugsschutz

1.    So funktioniert der Betrugsschutz

Der Betrugsschutz ist ein Tool, mit dem Sie potenziell betrügerische Transaktionen überprüfen können, die Sie anhand der im Betrugsschutz vorgenommenen Einstellungen auswählen. Im Tool können Sie Filterregeln festlegen, mit denen Sie uns anweisen, welche Vorgänge das Tool auf Grundlage abstrakter Kriterien ablehnen soll.

Wir können Ihnen Vorschläge und Empfehlungen zu den Filtern und Einstellungen im Betrugsschutz unterbreiten, die für Ihr Geschäft geeignet sind. Dabei wird Ihr bisheriger Transaktionsverlauf berücksichtigt.

Die Einstellung der Filtervorschriften nehmen Sie dann selbst vor. Bitte beachten Sie: Wenn Sie zu strenge Filterregeln festlegen, geht unter Umständen Ihr Umsatzvolumen zurück. Wir empfehlen Ihnen, Ihre Filterregeln und -einstellungen laufend zu überprüfen.

2.    Haftungsausschluss und Haftungsbeschränkung

Wir übernehmen keinerlei Garantie, dass das Betrugsinstrument frei von Fehlern ist und alle potenziell betrügerischen Transaktionen erkennt.

Wir haften im gesetzlich zulässigen Ausmaß nicht für Verluste (z. B. Gewinneinbußen) und Schäden, die sich aus oder in Verbindung mit der Verwendung des Betrugsschutzes ergeben.

Es gelten die Abschnitte „Andere rechtliche Bestimmungen – Freistellung und Haftungsbeschränkung – Haftungsbeschränkung“ und „Andere rechtliche Bestimmungen – Freistellung und Haftungsbeschränkung – Gewährleistungsausschluss“, „Über Ihr Konto – Schließung Ihres PayPal-Kontos“, „Andere rechtliche Bestimmungen – Freistellung und Haftungsbeschränkung – Freistellung von PayPal“ der Nutzungsbedingungen.

3.    Datenschutz

Die Nutzung des Betrugsschutzes ist ausschließlich zur Bekämpfung des Betrugsrisikos und für keine anderen Zwecke gestattet.

Sie dürfen den Betrugsschutz nicht mit anderen Personen teilen. Ebenso wenig dürfen Sie die im Betrugsinstrument enthaltenen Kategorien oder die Ergebnisse aus der Verwendung des Betrugstools offenlegen.

Verschiedenes

Ungeachtet Ihrer Einstellungen im Betrugstool behalten wir uns das Recht vor, Transaktionen gemäß den Nutzungsbedingungen abzulehnen oder auszusetzen.

Diese Bedingungen ergänzen die Nutzungsbedingungen, die die Dienstnutzung im Allgemeinen regeln. Die Beschreibung unserer Dienste laut Nutzungsbedingungen und diesen Bedingungen umfasst auch unseren Betrugsschutz.

Wir können diese Bedingungen in Übereinstimmung mit dem in den Nutzungsbedingungen festgelegten Änderungsverfahren ändern, zurücknehmen und ergänzen. Wenn Sie mit einer Änderung nicht einverstanden sind, können Sie diese Nutzungsbedingungen kündigen.

Sie können von diesen Bedingungen jederzeit zurücktreten, indem Sie den Betrugsschutz aus Ihrer Integration entfernen und weitere integrationsbezogene Schritte befolgen, die wir Ihnen gegebenenfalls mitteilen. So können Sie die Verwendung des Betrugsschutzes einstellen. Ansonsten bleibt Ihr Konto geöffnet und die Nutzungsbedingungen (sowie alle anderen einschlägigen Vereinbarungen über die Erbringung von Dienstleistungen in Ihrem Auftrag) bleiben bestehen. 

Diese Bedingungen bleiben auch nach einer Kündigung in dem von uns für notwendig erachteten Umfang und Zeitraum in Kraft, um: (i) uns mit Fragen zu befassen, die sich aus der Nutzung des Betrugsschutzes vor der Kündigung ergeben, und/oder (ii) die geltenden Gesetze und Vorschriften einzuhalten.