Rechtliche Hinweise

GoCardless und die DSGVO

1. Was ist die DSGVO?

Die Datenschutz-Grundverordnung (DSGVO) ist das europäische Datenschutzgesetz. Sie gilt in ganz Europa und wurde auch in britisches Recht umgesetzt, sodass sie auch nach dem Brexit weiterhin im Vereinigten Königreich gilt. Sie dient dazu, den Datenschutz in den EU-Mitgliedsländern und im Vereinigten Königreich zu standardisieren. Wir alle erzeugen personenbezogene Daten, wenn wir Dienste und Technologien verwenden. Die DSGVO gewährt EU-/EWR-Bürgern – den betroffenen Personen – Datenschutzrechte und erlegt den Organisationen, die ihre personenbezogenen Daten verarbeiten, unabhängig von ihrem Standort Pflichten auf. Darüber hinaus gibt sie den Bürgern des Vereinigten Königreichs und der EU Kontrolle über ihre personenbezogenen Daten und bietet ihnen Transparenz bei der Verwendung. Sie gewährleistet außerdem, dass die Organisationen, die personenbezogene Daten verarbeiten, diese angemessen behandeln.

2. Erfüllt GoCardless die Anforderungen der DSGVO?

Als die Datenschutz-Grundverordnung (DSGVO) in Kraft trat, nutzten wir die Gelegenheit, um unsere Verpflichtungen zum Datenschutz und der Datensicherheit auszuweiten. In den Jahren 2017 und 2018 führten wir eine umfassende Überprüfung unserer Richtlinien, Vereinbarungen, Prozesse, Produkte und Systeme durch und aktualisierten sie, um sie an die DSGVO anzupassen und dem Datenschutz weiterhin höchste Priorität einzuräumen. Da die Gesetzgebung zum Datenschutz sich ständig weiterentwickelt, aktualisieren wir kontinuierlich unsere Abläufe. Wir haben ein globales Datenschutzprogramm, mit dem wir sicherstellen, dass wir die hohen Anforderungen der Datenschutzgesetze überall erfüllen, wo wir tätig sind. Dazu gehören die Dokumentation von Verfahren, die Risikobewertung von Geschäftsprozessen mit Auswirkung auf den Datenschutz und die Umsetzung von branchenüblichen Best Practices, um die Privatsphäre der Menschen so wenig wie möglich zu beeinträchtigen. Wir sind zudem bestrebt, unseren Kunden dabei zu helfen, ihre gesetzlichen Verpflichtungen zu erfüllen. In unserem Blogbeitrag erfahren Sie mehr über unsere Maßnahmen.

3. Erfüllt GoCardless andere Datenschutzgesetze?

Wir sind in Ländern auf der ganzen Welt tätig, die alle eigenen Gesetze zum Schutz der Privatsphäre und zum Datenschutz haben. Wir kontrollieren kontinuierlich, dass wir alle Gesetze einhalten, die für unsere Geschäftstätigkeit gelten, z. B. das australische und das neuseeländische Datenschutzgesetz (Australian Privacy Act und New Zealand Privacy Act), PIPEDA in Kanada oder die US-amerikanischen Gesetze auf Bundesstaaten- und Landesebene. Unser globales Datenschutzprogramm basiert auf der Datenschutz-Grundverordnung (DSGVO), dem Goldstandard für Compliance. Bei Bedarf haben wir es an die unterschiedlichen Gesetze in anderen Ländern angepasst.

4. Ist GoCardless bei einer Datenschutzbehörde eingetragen?

GoCardless hat seinen Hauptsitz im Vereinigten Königreich und ist beim britischen Information Commissioner’s Office unter der Nummer ZA024862 eingetragen.

5. Die DSGVO verlangt effektive Sicherheitsvorkehrungen. Wie erfüllt GoCardless diese Anforderung?

Seit September 2016 ist GoCardless ISO 27001-zertifiziert und wird routinemäßig von einer unabhängigen externen Partei auditiert, um die Einhaltung der Zertifizierung zu gewährleisten. Um die Standards der ISO 27001 zu erfüllen, prüfen und verbessern wir kontinuierlich unsere Sicherheitsmanagementprogramme. Dazu zählen:

• eine formelle Herangehensweise an das Sicherheitsrisikomanagement, das im Rahmen unseres Enterprise Risk Management Programms überwacht wird

• ein Team speziell für technische Sicherheitsfragen einschließlich Produktsicherheit und Sicherheitsoperationen

• Obligatorische Sicherheitsschulung für alle Mitarbeiter

• Richtlinien für sichere Passwörter

• Sicherheitsverfahren bei der Produktentwicklung und Änderungskontrolle

• Protokolle zur Informationsklassifizierung und Dokumentenhandhabung

• Zugangskontrollen aufgrund spezifischer Anforderungen und regelmäßige Prüfungen dieser Kontrollen

• Protokolle für die Belastbarkeit des Rechenzentrums und Geschäftskontinuität

• Sicherheitsprotokolle für Datenbanken und Backups

• physische Sicherheit für unsere Büroräume

• Verschlüsselung und Schlüsselmanagement

• Formale Störfallreaktionsprotokolle

6. Welche personenbezogenen Daten verarbeitet GoCardless?

Als Datenverantwortlicher für personenbezogene Daten von Zahlern und Händlern, die die Dienste von GoCardless nutzen, erfüllen wir die gesetzliche Anforderung, genaue, vollständige und eindeutige Informationen zu den personenbezogenen Daten bereitzustellen, die wir verwenden. Die Datenschutzerklärung von GoCardless finden Sie hier. Weitere Informationen zu diesem Thema erhalten Sie außerdem in unserem Blog-Post.

7. Was machen Sie mit den Daten, die Sie erfassen?

Wir verarbeiten personenbezogene Daten, um unseren Händlern den GoCardless-Service zur Verfügung zu stellen. Darüber hinaus verwenden wir personenbezogene Daten, um den GoCardless-Service zu verbessern, Support zu bieten, Betrug und Geldwäsche zu verhindern usw. Wir stellen externen Parteien wie Werbeagenturen keine personenbezogenen Daten für ihre eigenen, nicht mit den GoCardless-Services verbundenen Zwecke zur Verfügung. Weitere Informationen dazu, wie GoCardless personenbezogenen Date nutzt, finden Sie in unserer Datenschutzerklärung.

8. Holen Sie eine ausdrückliche Zustimmung für die Daten ein, die Sie erfassen?

Kurz gesagt: nein! Die Gesetze zum Schutz der Privatsphäre und die Datenschutzgesetze verlangen nicht immer eine Zustimmung, und es wäre auch nicht angemessen, sie einzuholen. Ein Blick ins Gesetz kann Klarheit verschaffen. Die DSGVO verlangt von Unternehmen eine „Rechtsgrundlage“ für die Verarbeitung personenbezogener Daten. Wir müssen uns an die aufgelisteten Rechtsgrundlagen halten, um personenbezogene Daten zu unseren Zwecken zu verarbeiten. Unter Artikel 6 der DSGVO sind sechs Rechtsgrundlagen aufgeführt:(a) die betroffene Person willigt in der Verarbeitung ein (b) die Verarbeitung ist erforderlich, um einen Vertrag mit der betroffenen Person oder eine Transaktion in ihrem Auftrag auszuführen (c) die Verarbeitung ist erforderlich, um eine gesetzliche Verpflichtung zu erfüllen (d) die Verarbeitung ist erforderlich, um die wesentlichen Interessen einer Person zu schützen (z. B. um ein Leben zu retten) (e) die Verarbeitung ist für die Wahrnehmung einer Aufgabe erforderlich ist, die im öffentliche Interesse liegt oder in Ausübung öffentlicher Gewalt (üblicherweise für staatliche Aufsichtsbehörden) (f) die Verarbeitung ist erforderlich, um berechtigte Interessen zu wahren, sofern nicht die Interessen oder Rechte der betroffenen Person überwiegenWir erbringen unsere Leistungen unter Berufung auf drei dieser Grundlagen: (b) die Durchführung von Transaktionen – z. B. wenn wir eine Zahlung abwickeln, (c) zur Erfüllung einer gesetzlichen Verpflichtung – z. B. wenn wir eine AML-Prüfung durchführen, und (f) die Wahrung unseres berechtigten Interesses – zum Beispiel, wenn wir versuchen, Betrug zu verhindern. Eine Einwilligung wäre für keine dieser Aktivitäten angemessen. Wir können niemandem erlauben, nach der Einreichung einer Transaktion seine oder ihre Zustimmung zur Datenverarbeitung zu erteilen oder zu widerrufen oder sich der Betrugsprävention zu entziehen. All das hätte schwerwiegende Folgen für die Sicherheit und Rechtmäßigkeit unserer Dienste.Wenn keine andere Rechtsgrundlage anwendbar ist oder wenn wir gesetzlich dazu verpflichtet sind, bitten wir die betroffenen Personen um ihre Einwilligung. Zum Beispiel verpflichten uns Zahlungsvorschriften wie PSD2 dazu, die Einwilligung von Zahlern einzuholen, damit wir ihr Bankkonto über Open Banking authentifizieren können. Diesen Schritt haben wir in unsere Zahlungsseiten integriert.Weitere Informationen über die Rechtsgrundlagen zur Verarbeitung personenbezogener Daten finden Sie in unserer Datenschutzerklärung unter gocardless.com/privacy/details

9. Wo werden die erfassten Daten verarbeitet?

GoCardless vertraut auf eine Reihe von Komponentendiensten und Anbietern, um unseren Händlern Zahlungsverarbeitungsdienste zu bieten.Europäische Zahlungen werden hauptsächlich auf Servern abgewickelt, die sich im Europäischen Wirtschaftsraum (EWG) befinden. GoCardless beauftragt ausschließlich sorgfältig ausgewählte Anbieter mit bestimmten Aufgaben, für die Daten möglicherweise in ein Land außerhalb der EWG übertragen werden. In der globalen GoCardless Datenschutzrichtlinie finden Sie weitere Informationen über unsere wichtigsten Anbieter und ihre Standorte.Wenn personenbezogene Daten in diesen Diensten gespeichert werden, stellen wir sicher, dass sie nach EU-Standards geschützt werden, und wir verwenden eine DSGVO-konforme Übertragungsmethode. Wir führen eine Due-Diligence-Prüfung der Anbieter durch, bei der wir einen Mechanismus wie eine Angemessenheitsfeststellung der Europäischen Kommission oder verbindliche Unternehmensregeln fordern. Wenn es erforderlich ist, schließen wir die EU-Standardvertragsklauseln für die Datenübertragung ab.Wir verpflichten uns dazu im Abschnitt „Datenschutz“ in unseren Händlervereinbarungen.

10. Was unternimmt GoCardless angesichts der Schrems II Privacy Shield-Entscheidung, um internationale Transaktionen rechtmäßig zu halten?

Im Juli 2020 erklärte der Europäische Gerichtshof das Privacy-Shield-Abkommen ungültig. Es handelte sich dabei um ein Rechtsinstrument, das die Datenübertragung in die USA ermöglichte.Da GoCardless ein europäisches Unternehmen ist, hatten wir noch nie eine Privacy-Shield-Zertifizierung. Jedoch sind viele unserer Anbieter darauf angewiesen, um für uns Dienstleistungen aus den USA zu erbringen. Wir führen eine Liste dieser Anbieter und bestehen als Teil unserer Due-Diligence-Prüfung von Anbietern auf einen geeigneten Übertragungsmechanismus und auf zusätzliche Sicherheitsmaßnahmen.Wir wissen, dass die Regeln für Anbieter in der EU und im Vereinigten Königreich sich schnell ändern. Wir verfolgen die Hinweise unserer Datenschutzbehörden und der Europäischen Kommission genau. Wir haben Sicherheitsmaßnahmen umgesetzt, um sicherzustellen, dass unsere Anbieter weiterhin mit uns zusammenarbeiten können.

11. Wie lange bewahrt GoCardless personenbezogene Daten auf?

GoCardless pflegt ein formelles, DSGVO-konformes Datenaufbewahrungs- und Löschprogramm. Dazu gehören ein dokumentierter Datenaufbewahrungs- und Löschstandard mit einem definierten Aufbewahrungszeitraum für jede Datenkategorie, die wir haben. Folgende Kriterien gelten:

• die Beziehung, im Rahmen derer wir die Daten erhalten haben, und die Art des Datensubjekts,

• die Kategorie der Daten und

• der dokumentierte Zweck der Verarbeitung (einschließlich gesetzlicher und regulatorischer Anforderungen sowie der Regeln des jeweiligen Lastschriftschemas zur Aufbewahrung).

Wir wenden unsere Aufbewahrungsprotokolle im ganzen Unternehmen an und überwachen ihre Einhaltung. Die tatsächlichen Aufbewahrungszeiträume variieren. So müssen wir beispielsweise personenbezogene Daten von Einzelpersonen, für die wir Prüfungen zur Geldwäschebekämpfung durchführen (z. B. Geschäftsführer, die sich für unseren Service registrieren) für eine bestimmte Anzahl von Jahren im Rahmen der entsprechenden Geldwäschebekämpfungsgesetze in den Ländern aufbewahren, in denen wir tätig sind. Wir müssen die Daten von Zahlungstransaktionen aufbewahren, sodass wir Rücklastschriften/Schadensansprüche im Rahmen der Zahlungssysteme verarbeiten können, die unsere Dienste regeln (beispielsweise die britische Lastschrift).

12. Können Sie auf Datenanfragen von betroffenen Personen reagieren, die ihre Rechte ausüben möchten?

Wir können auf die Zugriffsanfragen von betroffenen Personen reagieren und versuchen, das Verfahren so einfach wie möglich zu gestalten. Wir haben ein Online-Portal, über das Sie Ihre Anfrage einreichen können.Wenn Sie der Meinung sind, dass die personenbezogenen Daten, die wir über eine Person gespeichert haben, falsch oder unvollständig sind, senden Sie uns bitte eine E-Mail an help@gocardless.com, notieren Sie das Wort „Datenschutz“ in der Betreffzeile und erläutern Sie Ihr Anliegen. Wir werden uns so bald wie möglich bei Ihnen melden.Weitere Informationen über die Verarbeitung personenbezogene Daten und Ihre Rechte finden Sie in unserer Datenschutzerklärung.

13. Ich bin ein Unternehmen, das GoCardless zum Einzug von Zahlungen verwendet. Wie kann ich sichergehen, dass ich die DSGVO erfülle?

Als Händler sind Sie ebenfalls Datenverantwortlicher für die persönlichen Daten Ihrer Kunden. Daher müssen Sie eine angemessene Grundlage für die Verarbeitung der persönlichen Daten des Kunden haben und bei Bedarf weitere Maßnahmen ergreifen, um das neue Gesetz zu erfüllen.Da GoCardless ein Datenverantwortlicher ist, sind wir direkt verantwortlich für die Einhaltung der Gesetze zur Verarbeitung personenbezogener Daten. Sie können dabei helfen, dass unsere Rolle im Rahmen der Dienste transparent ist, indem Sie unseren Namen und unsere Datenschutzerklärung auf Ihren Zahlungsseiten einfügen. In unserem Leitfaden für Zahlungsseiten finden Sie Informationen darüber, wie wir beide unsere Transparenzverpflichtungen erfüllen können.

14. Hat GoCardless einen eigenen DSGVO-Beauftragten, mit dem ich mich in Verbindung setzen kann?

GoCardless hat gemäß den gesetzlichen Vorschriften einen verantwortlichen Datenschutzbeauftragten ernannt. Sie können alle Fragen zu unseren Maßnahmen zum Schutz der Privatsphäre und Daten an den Datenschutzbeauftragen unter der E-Mail-Adresse help@gocardless.com mit dem Betreff „Datenschutz“ richten.

Unsere Position als Datenverantwortlicher

1. Warum ist GoCardless für die persönlichen Daten des Endkunden verantwortlich?

Datenschutzgesetze behandeln Unternehmen, die persönliche Daten verarbeiten, entweder als Datenverantwortliche oder Datenverarbeiter. Im Rahmen des Datenschutzgesetzes werden die meisten Unternehmen, die als Anbieter für andere Unternehmen fungieren, als Datenverarbeiter erachtet. Es gibt jedoch Ausnahmen, beispielsweise bei Unternehmen, die anderen Unternehmen Dienste in sehr regulierten Bereichen wie der Finanzbranche zur Verfügung stellen.Als Teil unserer Vorbereitungen auf die DSGVO haben wir eine umfassende Prüfung unserer Verarbeitungstätigkeiten durchgeführt und sind zu dem Schluss gekommen, dass wir als Datenverantwortlicher und nicht als Datenverarbeiter handeln müssen. Unsere Gründe für diese Entscheidung sind:

• Beratung durch unsere zuständige Regulierungsbehörde

  , die britische Datenschutzbehörde ICO

• Gerichtsentscheidungen, die diese Anforderungen auslegen

• Beratung durch die Artikel-29-Datenschutzgruppe

  , eine Beratergruppe zum EU-Datenschutzgesetz  

• Beratung durch unsere Rechtsanwälte zum Thema Datenschutz.

Wenn wir die persönlichen Daten von Einzelnen, die Ihre Dienste oder Waren über von GoCardless durchgeführten Zahlungen erwerben, erfassen und verarbeiten, unterliegen wir Anforderungen, Regeln, Gesetzen und Regulierungen, die wir einhalten müssen, sowie Prozessen, mit denen wir unsere Zahlungsdienste effektiver und effizienter machen und mit entsprechenden Protokollen zur Kontrolle von Betrug und anderen Risiken versehen (das Gesetz bezeichnet dies als „Zwecke und Mittel“). So bestimmen wir, wie lange wir die Daten von Endkunden aufbewahren, um die Anforderungen von Lastschriftschemata zu erfüllen.In unserem Blogbeitrag können Sie mehr über diese Position und die Auswirkungen erfahren, die das für unsere Händler und ihre Kunden hat.

2. Welche Auswirkungen hat das für mich als Händler, der GoCardless verwendet?

Die Position von GoCardless als Datenverantwortlicher ist ein Vorteil für unsere Händler. GoCardless übernimmt die direkte Verantwortung für gesetzliche Anforderungen in Bezug auf die Verarbeitung persönlicher Daten für unsere Zahlungsdienste. Ihre Endkunden haben eine direkte rechtliche Beziehung mit GoCardless, wenn es um unsere Nutzung ihrer persönlichen Daten geht. Das bedeutet, dass sie bestimmte Rechte direkt ausüben können.Damit wir unseren entsprechenden Verpflichtungen im Rahmen des Gesetzes nachkommen können, bitten wir Sie, beim Einzug oder an anderen verfügbaren Schnittstellen einen Link zu unserer Datenschutzerklärung zur Verfügung zu stellen.Wenn Sie Fragen zu dieser Anforderung haben, senden Sie uns bitte eine E-Mail an help@gocardless.com.

3. Welche Auswirkungen hat das für mich als Partner, der eine Integration mit GoCardless anbietet?

Als Partner sind Sie auch ein GoCardless-Händler und haben neben der Partnervereinbarung eine Vereinbarung über Zahlungsdienste oder eine Händlervereinbarung mit GoCardless abgeschlossen. Daher gilt Punkt 2 für Sie.Gemäß den Bedingungen der GoCardless-Partnervereinbarung über die Integration und der Vereinbarung über verknüpfte Händlerkonten, die GoCardless-Händler akzeptieren müssen, bevor sie mit dem System eine Verknüpfung herstellen, müssen Sie mit jedem Händler eine Vereinbarung mit den angemessenen Datenschutzbedingungen haben, der Ihre Dienste in Anspruch nimmt. Wenn ein Händler Ihre Integration aktiviert, stimmt er zu, dass wir alle persönlichen Daten seiner Kunden mit Ihnen in seiner Funktion als Datenverantwortlicher weitergeben dürfen, und Sie müssen diese Daten schützen und entsprechende Zusicherungen geben. Dies hat sich nicht aufgrund unseres Status als Datenverantwortlicher geändert – solche Vereinbarungen sollten bereits vorhanden sein!Unsere Händler müssen gewährleisten, dass unsere Datenschutzerklärung ihren Endkunden jederzeit zur Verfügung steht. Wenn Sie Zahlungsseiten zur Verfügung stellen, sollten Sie einen Link zu unserer Datenschutzerklärung einfügen. Unsere für die DSGVO aktualisierten Bedingungen legen diese Anforderung fest und geben GoCardless die Möglichkeit zu überprüfen, ob Sie unsere Datenschutzerklärung eingefügt haben.

4. Welche Auswirkungen hat das für mich, der/die einen Händler über GoCardless bezahlt?

GoCardless ist der Zahlungsanbieter für ein Unternehmen, an das Sie regelmäßig Zahlungen leisten. Wir sind eine von der FCA regulierte Organisation und möchten den besten Lastschrifteinzug bieten, den es gibt.Nach einer sorgfältigen Prüfung im Rahmen der Datenschutz-Grundverordnung haben wir unsere Position als Datenverantwortlicher für die Personen klargestellt, die Unternehmen über GoCardless bezahlen. Die Gründe für diese Klarstellung finden Sie in diesem Blog-Post. Zudem erläutern wir in unserer Datenschutzerklärung, wie, warum und wann wir Ihre personenbezogenen Daten verwenden.Die DSGVO legt strenge Regeln dafür fest, wofür wir Ihre Daten verwenden können, wie wir sie schützen müssen und was wir tun müssen, wenn etwas nicht funktioniert. Darüber hinaus müssen wir die Finanzdienstleistungsregulierung einhalten, die sich ebenfalls mit Daten und Sicherheit beschäftigt. Wir können Ihnen daher versichern, dass wir Ihre Daten respektvoll und gemäß dem Gesetz verwenden.Sollten Sie weitere Fragen haben, wenden Sie sich bitte an uns oder an das Unternehmen, das Sie über GoCardless bezahlen.

5. Wie erhalte ich ein Exemplar der Datenverarbeitungsvereinbarung?

Sie können die aktualisierten Datenschutzbedingungen, die für Ihre Vereinbarung mit uns gelten, online in unserer Händlervereinbarung im Abschnitt „Datenschutz“ prüfen.Dabei werden Sie feststellen, dass sie von der Liste der Bedingungen abweicht, die im DSGVO-Artikel 28 verlangt werden. Das liegt daran, dass unsere Vereinbarung unsere Funktion als Datenverantwortlichen umfasst. Artikel 28 gilt nur für Verträge mit Auftragsverarbeitern, da darunter vertraglich die Verpflichtungen festgelegt werden, die das Gesetz direkt den Datenverantwortlichen auferlegt.