Datenverarbeitungsvereinbarung

Datum des Inkrafttretens: 09.04.2020

Letzte Aktualisierung: 14.12.2020

Diese Datenverarbeitungsvereinbarung ("DPA") ist Teil und unterliegt den Bestimmungen der zusätzlichen Nutzungsbedingungen von SumUp für E-Commerce-Services (die "Vereinbarung", die "zusätzlichen Bedingungen"), der Datenschutzrichtlinie und aller anderen anwendbaren SumUp-Geschäftsbedingungen (hier die "Bedingungen", die "Datenschutzrichtlinie"), die von Ihnen als Händler von SumUp ("Sie", "Datenverantwortlicher") und SumUp Limited, Block 8, Harcourt Centre, Charlotte Way, Dublin 2, Irland D02 K580 ("SumUp", "wir", "Datenverarbeiter"), Teil der SumUp S.A.R.L. Group Companies – SumUp Group vereinbart werden.

Jede Partei erklärt sich damit einverstanden und stellt sicher, dass die Bestimmungen dieses DPA auch auf ihre verbundenen Unternehmen, die an der Verarbeitung personenbezogener Daten für die in den Zusatzbedingungen definierten Dienstleistungen beteiligt sein können, uneingeschränkt anwendbar sind. Insbesondere stellt SumUp sicher, dass alle Unterverarbeiter bei der Verarbeitung Ihrer Kundendaten innerhalb der gleichen Bedingungen wie dieser DPA arbeiten.

Für die Zwecke der Verarbeitung personenbezogener Daten im Rahmen dieser Datenschutzbestimmungen verwendet SumUp als Unterverarbeiter eine Einheit, die Teil der SumUp Group ist - Shoplo spółka z ograniczoną odpowiedzialnością, mit Sitz in Warschau, Polen (00-189), Inflancka-Straße 4C, eingetragen im polnischen nationalen Gerichtsregister (KRS), Registernummer: 417586, NIP: 5213630420 ("Shoplo").

Um Ihnen die Dienste unter den Zusatzbedingungen zur Verfügung zu stellen, verarbeitet SumUp Daten von Kunden oder Besuchern Ihrer Website oder Ihrer Dienste ("Ihre Kunden", "Kunden"). Die Verarbeitung solcher Daten durch SumUp wird im Folgenden als "Verarbeitung" bezeichnet (wie dieser Begriff in der DSGVO definiert ist). Die folgende Datenverarbeitungsvereinbarung legt die Bedingungen einer solchen Verarbeitung durch SumUp fest.

  1. Definitionen.

    1. "Anwendbares Datenschutzrecht" bedeutet die Verordnung (EU) 2016/679 (die "Allgemeine Datenschutzverordnung", "DSGVO", die "Verordnung") sowie alle anderen geltenden Rechtsvorschriften, die die Verarbeitung personenbezogener Daten regeln, einschließlich der Datenschutzrichtlinie 2002/58/EG für elektronische Kommunikation.

    2. Die Begriffe "für die Verarbeitung Verantwortlicher", "betroffene Person", "personenbezogene Daten", "Vorgang", "Verarbeitung" und "Auftragsverarbeiter" haben die Bedeutungen, die diesen Begriffen in der DSGVO gegeben werden.

    3. "Inhalt" bezeichnet Ihren Inhalt und alle Inhalte, die SumUp von Ihren Kunden zur Verfügung gestellt werden, einschließlich, aber nicht beschränkt auf Text, Fotos, Bilder, Audio, Video, Code und alle anderen Materialien.

    4. "Daten Ihrer Kunden" sind die persönlichen Daten im Inhalt Ihrer Kunden, die von SumUp in Ihrem Namen als Teil der Dienstleistungen verarbeitet werden. Die Daten Ihrer Kunden enthalten keine persönlichen Daten, wenn diese Daten von SumUp kontrolliert werden.

      Alle Definitionen, die im vorliegenden DPA verwendet werden, aber in diesem Abschnitt nicht ausdrücklich definiert sind, haben die in den Zusatzbegriffen definierte Bedeutung. Wenn es in den Zusatzbegriffen oder den Begriffen keine spezifische Definition gibt, ist ihre Bedeutung diejenige, die in der DSGVO oder in den anderen anwendbaren Vorschriften angegeben ist, wenn sie nicht in der Verordnung definiert ist.

  2. Anwendbarkeit. Diese DPA gilt nur für die Daten Ihrer Kunden und nur, wenn die DSGVO anwendbar ist. Sie erklären sich damit einverstanden, dass SumUp nicht für persönliche Daten verantwortlich ist, die Sie über Dienste von Drittanbietern oder außerhalb der Dienste, einschließlich der Systeme anderer Cloud-Dienste von Drittanbietern, Offline- oder Vor-Ort-Speicherung verarbeitet haben.

  3. Details zur Datenverarbeitung.

    1. Gegenstand. Der Gegenstand der Datenverarbeitung im Rahmen dieses DPA sind die Daten Ihrer Kunden.

    2. Dauer. Zwischen Ihnen und uns wird die Dauer der Datenverarbeitung im Rahmen dieser DPA von Ihnen und für den ausgewählten Zeitraum festgelegt, für den Sie unsere Dienste nutzen möchten.

    3. Zweck. Der Zweck der Datenverarbeitung im Rahmen dieser DPA ist die Bereitstellung der von Ihnen initiierten Dienste.
      Art der Verarbeitung. Die Dienste wie in den Zusatzbedingungen beschrieben und wie von Ihnen von Zeit zu Zeit initiiert.

    4. Art der Verarbeitung. Die Dienste wie in den Zusatzbedingungen beschrieben und wie von Ihnen von Zeit zu Zeit initiiert.

    5. Art der personenbezogenen Daten. Die Daten Ihrer Kunden, die sich auf Sie, Ihre Kunden oder andere Personen beziehen, deren persönliche Daten in Inhalten enthalten sind, die als Teil der Dienste gemäß den gegebenen Anweisungen verarbeitet werden. Zu diesen Daten gehören unter anderem die Namen Ihrer Kunden, E-Mail-Adresse, Handy-/Telefonnummer, physische Adresse, Bankverbindung, Transaktionsverlauf und IP-Adresse. Besondere Kategorien personenbezogener Daten, darunter Daten, die sich auf strafrechtliche Verurteilungen und Straftaten beziehen, gelten nicht als im Rahmen der Dienste verarbeitet und sind von den Bestimmungen dieser DPA ausgenommen. Wenn solche Daten während der Nutzung unserer Dienste verarbeitet werden, geschieht dies ohne das Wissen von SumUp, und Sie sollten solche Informationen sofort löschen, nachdem Sie eine solche Verarbeitung identifiziert haben.

    6. Kategorien von betroffenen Personen. Sie, Ihre Kunden, die potenziellen Kunden Ihrer Kunden und alle anderen Personen, deren persönliche Daten im Inhalt enthalten sind.

  4. Rechte und Pflichten

    1. In dem Umfang, in dem die Daten Ihrer Kunden von SumUp in Ihrem Namen verarbeitet werden und diese Verarbeitung der allgemeinen Datenschutzverordnung (Verordnung (EU) 2016/679; die "DSGVO") unterliegt, erkennen Sie an und stimmen zu, dass Sie für die Zwecke der Bereitstellung der Dienstleistungen durch SumUp der für die Verarbeitung dieser persönlichen Daten Verantwortliche sind, und durch die Nutzung der Dienstleistungen von SumUp haben Sie SumUp angewiesen, die Daten Ihrer Kunden in Ihrem Namen gemäß dieser Datenschutzvereinbarung zu verarbeiten.

    2. Sie können die Annahme dieser DPA jederzeit widerrufen, aber dadurch wird SumUp nicht mehr in der Lage sein, Ihnen den Dienst zur Verfügung zu stellen.

    3. SumUp in seiner Eigenschaft als Verarbeiter persönlicher Daten:

      1. a.

        verarbeitet die Daten Ihrer Kunden nur für die in der DPA angegebenen Zwecke und in Übereinstimmung mit dem geltenden Recht und der Datenschutzvereinbarung;

      2. b.

        darf die Daten Ihrer Kunden nur in Übereinstimmung mit Ihrer dokumentierten Anweisung handeln und verarbeiten, es sei denn, es wird durch Gesetz, Gerichtsbeschluss oder gesetzgeberische Maßnahme verlangt, ohne eine solche Anweisung zu handeln. Ihre Anweisung zum Zeitpunkt des Abschlusses dieser DPA lautet, dass SumUp die Daten Ihrer Kunden nur zum Zweck der Erbringung der Dienstleistungen, wie in der Datenschutzvereinbarung und den Zusatzbedingungen beschrieben, verarbeiten darf. Vorbehaltlich der Bestimmungen dieser DPA und im gegenseitigen Einvernehmen beider Parteien können Sie zusätzliche schriftliche Anweisungen in Übereinstimmung mit den Bestimmungen dieser DPA erteilen;

      3. c.

        garantiert, dass die zur Verarbeitung personenbezogener Daten befugten Personen die Geheimhaltungspflicht übernommen haben oder gesetzlich zur Geheimhaltung verpflichtet sind;

      4. d.

        garantiert, dass der Zugang zu den persönlichen Daten auf einer Wissensbedarfsbasis in Bezug auf die Erbringung der Dienstleistungen im Rahmen der Zusatzbedingungen gewährt wird;

      5. e.

        ist dafür verantwortlich sicherzustellen, dass Mitarbeiter/Subunternehmer und/oder Vertreter, die die Daten Ihrer Kunden verarbeiten, die persönlichen Daten nur gemäß Ihren Anweisungen verarbeiten;

      6. f.

        wird Sie unverzüglich informieren, falls wir der Ansicht sind, dass einige Ihrer Anweisungen im Widerspruch zur anwendbaren Datenschutzgesetzgebung stehen;

      7. g.

        ist verpflichtet, die Daten Ihrer Kunden im Rahmen dieser DPA vor jeglicher Zerstörung, Änderung, Verlust und jeder anderen unbefugten Verarbeitung zu schützen. Zu diesem Zweck ergreift SumUp geeignete Sicherheitsmaßnahmen im Einklang mit dem geltenden Recht. Die technischen und organisatorischen Massnahmen, die SumUp anwendet, sind vom technischen Fortschritt abhängig. Es ist möglich, dass SumUp einige alternative angemessene Maßnahmen einführt. Es ist nicht möglich, das Niveau der definierten Sicherheitsmaßnahmen bei der Einführung solcher Alternativen zu senken. SumUp wird Sie bei Bedarf mit geeigneten technischen und organisatorischen Maßnahmen unterstützen und unter Berücksichtigung der Art der Behandlung und der Kategorie der SumUp zur Verfügung stehenden Informationen helfen, die Einhaltung Ihrer Verpflichtungen gemäß der anwendbaren Datenschutzgesetzgebung zu gewährleisten;

      8. h.

        auf Ihre angemessene Anfrage hin Zertifizierungen zur Verfügung stellt, die die Einhaltung der Verpflichtungen von SumUp gemäß dieser DPA und der anwendbaren Datenschutzgesetzgebung nachweisen; und/oder Informationen zur Verfügung stellt, die notwendig sind, um die Einhaltung der Verpflichtungen gemäß dieser DPA und der anwendbaren Datenschutzgesetzgebung nachzuweisen. Die von SumUp zur Verfügung zu stellenden Informationen beschränken sich unter Berücksichtigung der Art der Dienstleistungen und der SumUp zur Verfügung stehenden Informationen ausschließlich auf die Informationen, die notwendig sind, um Sie bei der Erfüllung Ihrer Verpflichtungen zu unterstützen, insbesondere im Hinblick auf Art. 32 und 36, DSGVO (Verpflichtungen in Bezug auf Datenschutzfolgenabschätzungen, vorherige Konsultation und Gewährleistung der Sicherung personenbezogener Daten);

      9. i.

        wird Sie innerhalb eines angemessenen Zeitrahmens durch geeignete Maßnahmen und, soweit dies nach vernünftigem Ermessen (unter Berücksichtigung der Art der Verarbeitung) möglich ist, bei der Einhaltung der Rechte der betroffenen Person und aller anderen relevanten Verpflichtungen gemäß den Datenschutzbestimmungen, einschließlich der DSGVO, unterstützen;

      10. j.

        benachrichtigt Sie, sofern dies nach geltendem Recht zulässig ist, bei Erhalt einer Anfrage oder Beschwerde von einer Person, deren persönliche Daten in Ihren Inhalten enthalten sind, oder einer verbindlichen Aufforderung einer Regierung, Strafverfolgungs-, Aufsichts- oder sonstigen Behörde in Bezug auf die Daten Ihrer Kunden, die wir in Ihrem Auftrag und auf Ihre Anweisungen hin verarbeiten.

    4. Sie in der Eigenschaft als Verantwortlicher für die personenbezogenen Daten:

      1. a.

        sammeln, verwenden und verarbeiten die persönlichen Daten im Inhalt in Übereinstimmung mit allen anwendbaren Datenschutzgesetzen;

      2. b.

        tragen die alleinige Verantwortung für die Richtigkeit, Qualität und rechtmäßige Verarbeitung der Daten Ihrer Kunden und der Mittel, mit denen sie beschafft wurden;

      3. c.

        gewährleisten das angemessene Sicherheitsniveau bei der Nutzung der Dienste und berücksichtigen dabei alle Risiken in Bezug auf die Daten Ihrer Kunden;

      4. d.

        erkennen an, dass jede Speicherung und/oder Übertragung, die Sie von den Daten Ihrer Kunden an einen Dritten oder eine Plattform, mit Ausnahme von SumUp, vornehmen, auf Ihr alleiniges Risiko und Ihre alleinige Verantwortung erfolgt;

      5. e.

        stellen sicher, dass Ihre Anweisungen bezüglich der Verarbeitung personenbezogener Daten allen Gesetzen, Vorschriften und Regeln entsprechen, die in Bezug auf die Daten Ihrer Kunden gelten. Sie stellen auch sicher, dass die Verarbeitung der Daten Ihrer Kunden gemäß Ihren Anweisungen nicht dazu führt, dass wir oder Sie gegen Gesetze, Regeln oder Vorschriften (einschließlich der DSGVO) verstoßen.

  5. Benachrichtigungen über Verstöße. Die Vertragspartei unterrichtet die andere Vertragspartei unverzüglich (spätestens jedoch innerhalb von 48 Stunden), nachdem sie von einer Verletzung der Bestimmungen über personenbezogene Daten im Zusammenhang mit personenbezogenen Daten, die im Rahmen dieser DPA verarbeitet werden, Kenntnis erlangt hat. SumUp wird Sie bei der Erfüllung Ihrer Meldepflichten gemäß Artikel 33 und 34 der DSGVO unterstützen und Ihnen die Informationen über den Verstoß zur Verfügung stellen, die wir Ihnen vernünftigerweise offen legen können, wobei die Art der Dienstleistungen, die uns zur Verfügung stehenden Informationen und alle Beschränkungen für die Offenlegung der Informationen, z. B. aus Gründen der Vertraulichkeit, berücksichtigt werden. Trotz des Vorstehenden gelten die Verpflichtungen von SumUp gemäß diesem Abschnitt nicht für Vorfälle, die von Ihnen, einer Aktivität auf Ihrem Konto und/oder Dienstleistungen Dritter verursacht wurden. SumUp ist verpflichtet, mit Ihnen zusammenzuarbeiten und Sie bei der Untersuchung, der Minimierung der negativen Folgen und der Behebung der Datenschutzverletzung sowie bei der Verhinderung künftiger ähnlicher Datenschutzverletzungen zu unterstützen.

    Die Benachrichtigung von SumUp über eine Verletzung des Schutzes personenbezogener Daten gilt nicht als Anerkennung eines Fehlers oder einer Haftung von SumUp in Bezug auf einen solchen Vorfall. Im Falle eines Verstoßes gegen personenbezogene Daten sind Sie verpflichtet, die nach geltendem Recht erforderlichen Maßnahmen im Zusammenhang mit den Daten Ihrer Kunden zu ergreifen.

  6. Unterverarbeiter. Hiermit erteilen Sie SumUp die allgemeine Genehmigung, Unterverarbeiter zu beauftragen, um die Dienstleistungen zu erbringen, ohne eine weitere schriftliche, spezifische Genehmigung einzuholen. SumUp wird mit jedem Unterauftragsverarbeiter eine Vereinbarung abschließen, die die Einhaltung von Bedingungen durch diesen Unterauftragsverarbeiter sicherstellt, die mindestens das gleiche Maß an Schutz und Sicherheit gewährleisten, wie es in dieser DPA festgelegt ist. Wenn Sie Einwände gegen einen Unterverarbeiter haben und Ihr Einwand angemessen ist und sich auf Datenschutzbelange bezieht, werden wir wirtschaftlich angemessene Anstrengungen unternehmen, um Ihnen ein Mittel zur Verfügung zu stellen, mit dem Sie die Verarbeitung der Daten Ihrer Kunden durch den Unterverarbeiter, gegen den Einwände erhoben wurden, vermeiden können. Wenn wir nicht in der Lage sind, solche vorgeschlagenen Änderungen innerhalb eines angemessenen Zeitraums zur Verfügung zu stellen, werden wir Sie benachrichtigen, und wenn Sie weiterhin Einwände gegen die Nutzung eines solchen Unterverarbeiters durch uns haben, können Sie Ihr Konto oder, falls möglich, die Teile der Dienste, die die Nutzung eines solchen Unterverarbeiters beinhalten, kündigen oder beenden.

  7. Übertragung von persönlichen Daten. Die Verarbeitung der Daten Ihrer Kunden findet auf dem Gebiet des Europäischen Wirtschaftsraums ("EWR") statt. Jede Übermittlung an ein Drittland außerhalb der EU/EWR und jede Verarbeitung in einem Drittland außerhalb der EU/EWR, das kein angemessenes Schutzniveau gemäß der Europäischen Kommission gewährleistet, erfolgt in Übereinstimmung mit den Standardvertragsklauseln (2010/87/EU) oder einem anderen geeigneten Mechanismus, der ein angemessenes Niveau der Sicherheit personenbezogener Daten gemäß den Anforderungen von Kapitel V der DSGVO garantiert.

  8. Prüfungen. Sie sind berechtigt, einmal im Jahr eine Überprüfung der Verpflichtungen von SumUp im Rahmen dieser DPA einzuleiten. Wenn nach geltendem Recht ein SumUp erforderlich ist, können Prüfungen einmal pro Jahr wiederholt werden. Beide Parteien entscheiden gemeinsam, ob eine dritte Partei die Prüfung durchführen soll. Sie können uns jedoch gestatten, die Sicherheitsüberprüfung durch eine neutrale Drittpartei unserer Wahl durchführen zu lassen, wenn es sich um eine Verarbeitungsumgebung handelt, in der die Daten mehrerer Verantwortlicher verarbeitet werden. Wenn der vorgeschlagene Umfang der Prüfung einem ISO- oder ähnlichen Zertifizierungsbericht folgt, der von einem qualifizierten externen Auditor innerhalb der letzten zwölf Monate durchgeführt wurde, und SumUp bestätigt, dass es keine wesentlichen Änderungen bei den untersuchten Maßnahmen gegeben hat, wird damit allen innerhalb dieses Zeitrahmens eingegangenen Anfragen entsprochen. Audits dürfen die regulären Geschäftsaktivitäten von SumUp nicht in unangemessener Weise beeinträchtigen. Sie sind für alle Kosten verantwortlich, die mit ihrem Antrag auf Prüfung verbunden sind.

  9. Haftung. Die Haftung jeder Partei im Rahmen dieser DPA unterliegt den Haftungsausschlüssen und -beschränkungen, die in den Zusatzbestimmungen und/oder Bedingungen festgelegt sind. Sie erklären sich damit einverstanden, dass alle behördlichen Strafen oder Ansprüche von Datensubjekten oder anderen Personen, die SumUp in Bezug auf die Daten Ihrer Kunden entstehen, die infolge oder in Verbindung mit Ihrer Nichteinhaltung Ihrer Verpflichtungen gemäß diesem Datenschutzgesetz oder dem anwendbaren Datenschutzgesetz entstehen, die maximale Gesamthaftung von SumUp Ihnen gegenüber gemäß den Zusatzbedingungen und/oder den Bedingungen in der gleichen Höhe reduzieren, wie die Strafe und/oder Haftung, die uns dadurch entsteht.

  10. Beendigung. Diese Datenschutzvereinbarung gilt so lange, wie Sie einen der Dienste von SumUp nutzen. Wenn SumUp jedoch gemäß den Bedingungen dieser DPA oder einer der Geschäftsbedingungen von SumUp verpflichtet ist, persönliche Daten Ihrer Kunden nach der Beendigung der Dienste aufzubewahren, bleibt diese DPA so lange in Kraft, wie SumUp diese persönlichen Daten aufbewahren muss.

    Nach Beendigung der Nutzung der Dienste und sofern SumUp nicht verpflichtet ist, die Daten Ihrer Kunden gemäß den Zusatzbedingungen von SumUp und/oder den Bedingungen von SumUp, einer Vereinbarung oder geltenden Gesetzen aufzubewahren, wird SumUp, einschließlich auf schriftliche Anfrage Ihrerseits, die Daten Ihrer Kunden so schnell wie vernünftigerweise praktikabel und gemäß den Bedingungen von SumUp und geltenden Gesetzen löschen.

  11. Verschiedenes.

    1. Im Falle eines Widerspruchs zwischen dieser DPA und den Zusatzbedingungen und/oder Bedingungen von SumUp gelten die Bestimmungen dieser DPA.

    2. Sie sind für alle Kosten und Ausgaben verantwortlich, die sich aus der Einhaltung Ihrer Anweisungen oder Anfragen gemäß den Zusatzbedingungen (einschließlich dieser DPA) durch SumUp ergeben und die außerhalb der Standardfunktionalität liegen, die SumUp allgemein über die Dienste zur Verfügung stellt.

    3. SumUp hat das Recht, jede der Bedingungen dieser DPA von Zeit zu Zeit zu ändern und/oder anzupassen. Änderungen an der Vereinbarung können von SumUp in einem separaten Anhang oder auf andere sichtbare Weise vorgenommen werden und werden entsprechend mitgeteilt.

    4. Fragen zu diesem DPA oder andere Anfragen zur Verarbeitung personenbezogener Daten sollten an uns unter dpo@sumup.com gerichtet werden. SumUp wird versuchen, alle Beschwerden bezüglich der Nutzung der Daten Ihrer Kunden in Übereinstimmung mit diesem DPA, den Bedingungen und den internen Richtlinien von SumUp zu lösen.

    5. Sollte eine der Bestimmungen des DPA als ungültig erachtet werden, so hat dies keine Auswirkungen auf die übrigen Bestimmungen. Die Parteien ersetzen unwirksame Bestimmungen durch eine gesetzliche Bestimmung, die dem Zweck der unwirksamen Bestimmung entspricht.

    6. Diese Vereinbarung unterliegt dem irischen Recht und wird gemäß diesem ausgelegt. Alle Streitigkeiten, die sich aus oder im Zusammenhang mit dieser Vereinbarung ergeben, werden endgültig vor die Gerichte Irlands gebracht und von diesen beigelegt, sofern dies nicht gegen das geltende EU-Recht verstößt.