Support
Deutsch English (AU) English (GB) Español Français

Does this article answer your request?

Thank you, your ticket has been marked as resolved!

If you have any further questions, please reply via your recent email from us or alternatively submit a new request to our Support team here.

Dismiss

Sorry we couldn't solve your issue here! Your original request has been received and we'll get back to you as soon as possible.

Dismiss

Beiträge in diesem Abschnitt

GoCardless und die DSGVO

Inhalt:

  1. Was ist die DSGVO?
  2. Welchen Sinn hat die DSGVO?
  3. Wann tritt die Verordnung in Kraft?
  4. Erfüllt GoCardless die Anforderungen der DSGVO?
  5. Wird GoCardless unabhängig auditiert oder ist GoCardless ISO27001-zertifiziert?
  6. Welche persönlichen Daten verarbeitet GoCardless?
  7. Was machen Sie mit den Daten, die GoCardless sammelt?
  8. Wo werden die gesammelten Daten verarbeitet?
  9. Wie lange bewahrt GoCardless persönliche Daten auf?
  10. Kann GoCardless dem Datensubjekt die vom Datensubjekt gesammelten Daten zur Verfügung stellen?
  11. Kann GoCardless die gesammelten persönlichen Daten ändern, wenn die Daten falsch oder unvollständig sind?
  12. Mein Unternehmen nutzt GoCardless zur Einziehung von Zahlungen. Muss ich bei meinen Kunden neue Maßnahmen einführen, bevor die DSGVO in Kraft tritt?
  13. Hat GoCardless einen eigenen DSGVO-Beauftragten, mit dem ich mich bei weiteren Fragen in Verbindung setzen kann?

Unsere Position als Datenverantwortlicher:

  1. Warum ist GoCardless für die persönlichen Daten des Endkunden verantwortlich?
  2. Welche Auswirkungen hat das auf mein Unternehmen? Wie betrifft mich das als Händler?
  3. Welche Auswirkungen hat es auf meine Endkunden, wenn GoCardless als Datenverantwortlicher fungiert?
  4. Ändert GoCardless' neue Position des Datenverantwortlichen irgendetwas daran, wo meine Daten verarbeitet werden (siehe Frage 8)?
  5. Hat die Tatsache, dass GoCardless als Datenverantwortlicher fungiert, Auswirkungen darauf, wie Sie meine Daten als GC-Händler behandeln?
  6. Ich bin ein Partner – welche Auswirkungen hat das auf mich?
  7. Welche Auswirkungen hat es für mich als Endkunden/jemanden, der einen Händler über GoCardless bezahlt?

 

 

1. Was ist die DSGVO?

Die Datenschutz-Grundverordnung (DSGVO) ist das neue europäische Datenschutzgesetz. Sie ersetzt die EU-Datenschutzrichtlinie 1995, gilt in ganz Europa und tritt am 25. Mai 2018 in Kraft. Am selben Tag tritt das britische Datenschutzgesetz 2018 in Kraft und implementiert die DSGVO in Großbritannien.

Diese Gesetze erweitern die Datenschutzrechte der Datensubjekte (EU/EWR-Bürger) und erlegen Organisationen, die persönliche Daten dieser Datensubjekte verarbeiten (Datenverantwortliche und -verarbeiter) unabhängig vom Standort dieser Organisationen weitreichendere Pflichten auf.

 

2. Welchen Sinn hat die DSGVO?

Die DSGVO und das britische Datenschutzgesetz 2018 bieten eine Reihe von standardisierten Datenschutzgesetzen in den verschiedenen EU-Mitgliedsländern (und Großbritannien nach dem Brexit), die EU- und britischen Bürgern mehr Kontrolle über ihre persönlichen Daten geben. Beispielsweise wird eine bessere Transparenz bei der Nutzung der Daten geschaffen und es wird gewährleistet, dass die Organisationen, denen Sie Ihre Daten anvertrauen, sorgsam mit den Daten umgehen. Die Verordnung tritt in einer Zeit in Kraft, in der jeder Einzelne bei der Nutzung weiterer Dienste und Technologien mehr und mehr Daten generiert.

 

3. Wann tritt die Verordnung in Kraft?

25. Mai 2018.

 

4. Erfüllt GoCardless die Anforderungen der DSGVO?

Aus Anlass des Inkrafttretens der Datenschutz-Grundverordnung (DSGVO) im Mai 2018 bekennen wir uns gerne zu einem noch intensiveren Datenschutz. Aus diesem Grund nehmen wir Änderungen an Richtlinien, Verfahren, Produkten und Systemen vor, sodass wir die DSGVO auf jeden Fall einhalten werden. Datenschutz hat bei GoCardless selbstverständlich auch weiterhin oberste Priorität. Darüber hinaus verpflichten wir uns, unsere Kunden bei der Einhaltung der DSGVO zu unterstützen. In unserem Blog erfahren Sie mehr über die Maßnahmen zur Vorbereitung auf die DSGVO.

 

5. Wird GoCardless unbhängig auditiert oder ist GoCardless ISO27001-zertifiziert?

Seit September 2016 ist GoCardless ISO27001-zertifiziert und wird routinemäßig von einer unabhängigen externen Partei auditiert, um die Einhaltung der Zertifizierung zu gewährleisten. Um die ISO27001 Normen zu erfüllen, prüfen und verbessern wir kontinuierlich unsere Sicherheitsprozesse:

  • Eigenes Sicherheitsteam, das sich auf die Anwendung von Sicherheit, Betriebssicherheit und Risikomanagement spezialisiert
  • Obligatorische Sicherheitsschulung für alle Mitarbeiter
  • Richtlinien für sichere Passwörter
  • Sicherheitsverfahren bei der Produktentwicklung und Änderungskontrolle
  • Protokolle zur Informationsklassifizierung und Dokumentenhandhabung
  • Zugangskontrollen aufgrund spezifischer Anforderungen und regelmäßige Prüfungen dieser Kontrollen
  • Protokolle für die Belastbarkeit des Rechenzentrums und Geschäftskontinuität
  • Sicherheitsprotokolle für Datenbanken und Backups
  • Physische Sicherheit für unsere Büroräume
  • Verschlüsselung und Schlüsselmanagement
  • Formale Störfallreaktionsprotokolle

 

6. Welche persönlichen Daten verarbeitet GoCardless?

Als Datenverantwortlicher für persönliche Daten von Zahlern und Händlern, die die GoCardless-Dienste nutzen, erfüllen wir die gesetzliche Anforderung, in unserer Datenschutzerklärung genaue, vollständige und eindeutige Informationen zu den persönlichen Daten zu geben, die wir verwenden. Die Datenschutzerklärung von GoCardless finden Sie hier. Weitere Informationen zu diesem Thema erhalten Sie außerdem in unserem Blog-Post.

 

7. Was machen Sie mit den Daten, die GoCardless sammelt?

Wir verarbeiten persönliche Daten, um unseren Händlern den GoCardless-Service zur Verfügung zu stellen. Darüber hinaus verwenden wir persönliche Daten, um den GoCardless-Service zu verbessern, Support zu bieten, Betrug und Geldwäsche durch unsere Händler und ihre Kunden zu verhindern und aus ähnlichen Gründen. Wir stellen Werbeagenturen oder anderen Parteien keine persönlichen Daten für ähnliche, nicht verbundene Zwecke zur Verfügung.

Weitere Informationen finden Sie in unserer Datenschutzerklärung.

 

8. Wo werden die gesammelten Daten verarbeitet?

GoCardless nimmt eine Reihe von Komponentendiensten und Anbietern in Anspruch, um unseren Händlern Zahlungsverarbeitungsdienste zur Verfügung zu stellen.

Unsere hauptsächliche Verarbeitung (die Verarbeitung von europäischen Zahlungen) wird auf Servern durchgeführt, die sich in der Europäischen Wirtschaftsgemeinschaft (EWG) befinden. GoCardless verwendet sorgfältig ausgewählte Lieferanten und Anbieter, um andere separaten Aufgaben durchzuführen, was dazu führen kann, dass Daten außerhalb der EWG transferiert werden.

Bei der Speicherung von Daten in diesen Diensten gewährleisten wir, dass die entsprechenden Daten nach EU-Standards geschützt werden, indem wir einen von der EU genehmigten Transfermechanismus verwenden. So vereinbaren wir beispielsweise Standard-EU-Vertragsklauseln (oder Modellklauseln) mit Anbietern dieser Dienste zu den Transfers jeglicher persönlicher Daten, sofern keine anderen genehmigten Transfermechanismen vorhanden sind, z. B. kann der Händler im Rahmen des EU-US-Datenschutzschilds zertifiziert sein. In diesem Fall sind keine Modellklauseln erforderlich.

Wir verpflichten uns dazu im Abschnitt „Datenschutz“ in der Vereinbarung, die wir mit jedem unserer Händler abschließen.

 

9. Wie lange bewahrt GoCardless persönliche Daten auf?

Je nach Rahmen, in dem wir die Daten sammeln, der Art des Datensubjekts (d. h. wessen Daten es sind), die Art der Daten (z. B. E-Mail-Adressen) und die Art der Nutzung (z. B. werden die Daten zur Verarbeitung von Zahlungen verwendet) bewahren wir Daten über unterschiedliche Zeiträume auf. Wo angemessen vereinbaren wir diese Zeiträume mit unseren Kunden.

So müssen wir beispielsweise persönliche Daten von Einzelnen, für die wir Prüfungen zur Geldwäschebekämpfung durchführen (z. B. Geschäftsführer, die sich für unseren Service registrieren) für eine bestimmte Anzahl von Jahren im Rahmen der entsprechenden Geldwäschebekämpfungsgesetze aufbewahren.

Bei der Zahlungsverarbeitung müssen wir Daten aufbewahren, um Rücklastschriften/Schadensansprüche im Rahmen der verschiedenen Zahlungssysteme (z. B. UK Direct Debit), für die wir Zahlungen verarbeiten, abwickeln zu können.

 

10. Kann GoCardless dem Datensubjekt die vom Datensubjekt gesammelten Daten zur Verfügung stellen?

Wir können auf Anfragen zur Offenlegung gespeicherter Daten direkt reagieren, wenn wir als Datenverantwortlicher für die Daten fungieren. In manchen Fällen, in denen wir Daten zunächst im Namen eines Händlers verarbeiten, müssen wir möglicherweise die Zustimmung des Händlers zur Weitergabe von Daten an Sie einholen oder Sie an diesen Händler weiterleiten. In beiden Fällen gestalten wir das Verfahren so einfach wie möglich für Sie: Wir haben ein Online-Portal, auf dem Sie Ihre Anfrage hier senden können.

 

11. Kann GoCardless die gesammelten persönlichen Daten, ändern, wenn die Daten falsch oder unvollständig sind?

Wenn Sie der Meinung sind, dass Daten, die wir über eine Person gespeichert haben, falsch oder unvollständig sind, senden Sie uns bitte eine E-Mail an info@gocardless.com, notieren Sie das Wort „Datenschutz“ in der Betreffzeile und erläutern Sie Ihr Anliegen. Wir werden uns so bald wie möglich bei Ihnen melden.

 

12. Mein Unternehmen nutzt GoCardless zur Einziehung von Zahlungen. Muss ich bei meinen Kunden neue Maßnahmen einführen, bevor die DSGVO in Kraft tritt?

Als Händler sind Sie ebenfalls Datenverantwortlicher für die persönlichen Daten Ihrer Kunden. Daher müssen Sie eine angemessene Grundlage für die Verarbeitung der persönlichen Daten des Kunden gemäß der DSGVO im Allgemeinen haben und bei Bedarf weitere Maßnahmen ergreifen, um das neue Gesetz zu erfüllen. Da GoCardless ein unabhängiger Datenverantwortlicher ist, übernehmen wir die direkte Verantwortung für die Einhaltung des Gesetzes bei unserer Datenverarbeitung.

 

13. Hat GoCardless einen eigenen DSGVO-Beauftragten, mit dem ich mich bei weiteren Fragen in Verbindung setzen kann?

Bei Fragen zur Herangehensweise an die Verarbeitung persönlicher Daten durch GoCardless besuchen Sie bitte hier unseren Blog oder senden Sie uns eine E-Mail an help@gocardless.com.

 

Unsere Position als Datenverantwortlicher

1. Warum ist GoCardless für die persönlichen Daten des Endkunden verantwortlich?

Um festzustellen, ob eine Organisation ein Datenverantwortlicher oder ein Datenverarbeiter ist, muss geprüft werden, ob eine Organisation persönliche Daten nur im Rahmen strenger Anweisungen und unter der Kontrolle einer anderen Organisation durchführen muss. Ist diese Voraussetzung erfüllt, ist die Organisation ein Datenverarbeiter. Wenn die Organisation jedoch bei der Verarbeitung von persönlichen Daten das „wie“ und das „warum“ ermittelt, ist die Organisation wahrscheinlich ein Datenverantwortlicher. Daher stellt sich bei der Bestimmung des Datenverantwortlichen die Frage, ob eine Organisation über das „wie“ und „warum“ der Verwendung der persönlichen Daten entscheiden muss, um ihre eigenen unabhängigen Geschäftsanforderungen oder rechtlichen Verpflichtungen zu erfüllen.

Aufgrund dessen haben wir nach einer umfangreichen Prüfung unserer Systeme, Richtlinien, Verfahren und Verpflichtungen festgestellt, dass GoCardless als Datenverantwortlicher fungiert, wenn persönliche Daten von Händlern und Zahlern verarbeitet werden.

In Bezug zu persönlichen Daten von Händlern (d. h. Mitarbeiter- und Direktoren-Daten (oder ähnliche Personen, für die Sie uns Daten zur Verfügung stellen) von Ihnen als GoCardless-Händler) nutzt GoCardless die persönlichen Daten dieser Händler zu unseren eigenen Geschäftszwecken, z. B. um mit Ihnen zu kommunizieren, die Dienste zu bewerten und zu verbessern, Prüfungen zur Geldwäschebekämpfung durchzuführen, Ihnen Rechnungen zu stellen und auf betrügerische Aktivitäten zu überwachen.

In Bezug zu persönlichen Daten von Kunden (d. h. Daten von Personen, die Ihre Dienste oder Waren mithilfe von Zahlungen, die GoCardless einzieht, erwerben) unterliegt GoCardless einer Reihe von Anforderungen, Regeln, Gesetzen und Vorschriften, die wir einhalten müssen (das „warum“). Um diese verschiedenen Regeln usw. einzuhalten, legt GoCardless die Verwendung der persönlichen Kundendaten fest. So bestimmen wir beispielsweise, wie lange wir Daten von Endkunden aufbewahren, um die Regeln der verschiedenen Zahlungsschemata einzuhalten. Ein gutes Beispiel hierfür ist die Aufbewahrung von Kundendaten für das britische Lastschrifteinzugsschema Bacs.

Zur Bestimmung der Position des Datenverantwortlichen ist ausreichend Dokumentation vorhanden, unter anderem von der britischen Datenschutzbehörde ICO und der Artikel-29-Datenschutzgruppe.

Wir hoffen, diese zusätzlichen Informationen sind hilfreich.

 

2. Welche Auswirkungen hat das auf mein Unternehmen? Wie betrifft mich das als Händler?

Wir erwarten keine negativen Auswirkungen auf Ihr Unternehmen. Die wichtigen Änderungen sind:

  • GoCardless übernimmt eine größere Verantwortung für die Verarbeitung von Daten mit Bezug zu Ihren Endkunden
  • Wir müssen die Datenschutzbedingungen in unserem Vertrag mit Ihnen aktualisieren
  • Möglicherweise müssen Sie in Ihrer Datenschutzerklärung einen Link zu unserer Datenschutzerklärung einfügen (wenn Sie unsere benutzerdefinierten Zahlungsseiten oder externen Partner-Zahlungsseiten verwenden)

Bei Problemen oder Fragen stehen wir gerne zur Verfügung.

 

3.  Welche Auswirkungen hat es auf meine Endkunden, wenn GoCardless als Datenverantwortlicher fungiert?

Ihre Endkunden haben eine direkte Beziehung zu GoCardless, wenn es um unsere Nutzung ihrer persönlichen Daten geht. Daher sind wir ihnen gegenüber direkt hinsichtlich dieser Verwendung und ihrer Ausübung bestimmter Rechte verpflichtet.

Darüber hinaus bedeutet es auch, dass wir Firmenkunden, die GoCardless zur Einziehung von Zahlungen verwenden, hoffentlich in der Zukunft einen besseren Service bieten können.

 

4. Ändert GoCardless' neue Position des Datenverantwortlichen irgendetwas daran, wo meine Daten verarbeitet werden (siehe Frage 8)? (siehe hier)

Nein – wir haben die Position von GoCardless als Datenverantwortlicher für persönliche Daten von Händlern und Personen, die mithilfe unseres Dienstes Zahlungen an Händler leisten, nur verdeutlicht. Diese Klarstellung hat Auswirkungen auf die Ausführung unserer Kerndienste, die Verarbeitung von Zahlungen auf Servern, die sich im Europäischen Wirtschaftsraum befinden. Dies wird auch weiterhin der Fall sein. Für andere Aufgaben wird GoCardless weiterhin sorgfältig ausgewählte Anbieter verwenden, was dazu führen kann, dass die Daten außerhalb des EWR transferiert werden.

Bei der Speicherung von Daten in diesen Diensten gewährleisten wir auch weiterhin, dass die entsprechenden Daten nach EU-Standards geschützt werden, indem wir einen von der EU genehmigten Transfermechanismus verwenden. So vereinbaren wir beispielsweise Standard-EU-Vertragsklauseln (oder Modellklauseln) mit Anbietern dieser Dienste zu den Transfers jeglicher persönlicher Daten (und werden das auch weiterhin tun), sofern keine anderen genehmigten Transfermechanismen vorhanden sind, z. B. kann der Händler im Rahmen des EU-US-Datenschutzschilds zertifiziert sein. In diesem Fall sind keine Modellklauseln erforderlich.

Unsere Verpflichtung zur Verarbeitung und zum Transfer von Daten gemäß der DSGVO finden Sie im Abschnitt „Datenschutz“ in der Vereinbarung, die wir mit jedem unserer Händler abschließen.

 

5. Hat die Tatsache, dass GoCardless als Datenverantwortlicher fungiert, Auswirkungen darauf, wie Sie meine Daten als GC-Händler behandeln?

Nein – wir haben die Position von GoCardless als Datenverantwortlicher für persönliche Daten von Händlern und Personen, die mithilfe unseres Dienstes Zahlungen an Händler leisten, nur verdeutlicht. Diese Klarstellung hat Auswirkungen auf unsere Position hinsichtlich der Daten unserer Händler selbst – zum Beispiel Informationen, die Sie bei der Registrierung bei GoCardless zu Inhabern und Direktoren Ihres Unternehmens angegeben haben. Wir haben immer klargestellt, dass wir Datenverantwortliche dieser Daten sind, da wir entscheiden, was wir sammeln, wie wir Daten verwenden und warum. So verwenden wir beispielsweise Registrierungsdaten für Geldwäscheprüfungen, die wir durchführen müssen, bevor wir einem Unternehmen Zahlungsdienste zur Verfügung stellen können.

Die DSGVO bedeutet jedoch auch, dass wir hinter den Kulissen damit beschäftigt waren, Änderungen und Verbesserungen an der Handhabung aller persönlichen Daten vorzunehmen, damit wir die von der DSGVO erwarteten hohen Standards erfüllen.

 

6. Ich bin ein Partner – welche Auswirkungen hat das auf mich?

GoCardless als Datenverantwortlicher von Endkundendaten bedeutet für GoCardless-Partner (d. h. die Partner, die eine Integration mit GoCardless anbieten) Folgendes:

1. Als Partner sind Sie auch ein GoCardless-Händler und haben eine Vereinbarung über Zahlungsdienste oder eine Händlervereinbarung mit GoCardless abgeschlossen. Wir aktualisieren die Bedingungen dieser Vereinbarung, um unseren Status als Datenverantwortlicher zu verdeutlichen. Dazu senden wir Ihnen alle Einzelheiten per E-Mail.

2. Gemäß den Bedingungen der GoCardless-Partnervereinbarung über die Integration und der Vereinbarung über verknüpfte Händlerkonten (die GoCardless-Händler akzeptieren müssen, bevor sie mit dem System eines Partners wie Ihnen eine Verknüpfung herstellen) müssen Sie mit jedem Händler eine Vereinbarung mit den angemessenen Datenschutzbedingungen haben, der unsere Dienste in Anspruch nimmt. Wenn ein Händler Ihre Integration aktiviert, stimmt er zu, dass wir alle persönlichen Daten seiner Kunden mit Ihnen in seiner Funktion als Datenverantwortlicher weitergeben dürfen, und Sie müssen diese Daten schützen und entsprechende Zusicherungen geben. Dies hat sich nicht aufgrund unseres Status als Datenverantwortlicher geändert – solche Vereinbarungen sollten bereits vorhanden sein!

3. Unsere Händler müssen gewährleisten, dass unsere Datenschutzerklärung ihren Endkunden jederzeit zur Verfügung steht. Wenn Sie Ihren Endkunden Zahlungsseiten anbieten, die keinen direkten Link zu unserer Datenschutzerklärung enthalten, sollten Sie in Ihrer Datenschutzerklärung oder auf den Zahlungsseiten einen Link zu unserer Datenschutzerklärung einfügen. Wir schlagen folgende Formulierung vor: „Wir verwenden GoCardless, um Ihre Lastschriftenzahlungen zu verarbeiten. Weitere Informationen zur Verarbeitung Ihrer persönlichen Daten durch GoCardless und zu Ihren Datenschutzrechten, einschließlich Ihres Widerspruchsrechts, finden Sie auf https://gocardless.com/de-de/rechtliches/datenschutz/.“ Die neuen Bedingungen legen diese Anforderung fest und geben GoCardless die Möglichkeit zu überprüfen, ob Sie einen solchen Zusatz eingefügt haben.

 

7. Welche Auswirkungen hat es für mich als Endkunden/jemanden, der einen Händler über GoCardless bezahlt?

GoCardless ist der Zahlungsanbieter für ein Unternehmen, an das Sie regelmäßig Zahlungen leisten. Wir sind eine von der FCA regulierte Organisation und möchten den besten Lastschrifteinzug bieten, den es gibt.

Nach einer Prüfung im Rahmen der Datenschutz-Grundverordnung haben wir unsere Position als Datenverantwortlicher für Personen, die Unternehmen über GoCardless bezahlen, verdeutlicht. Die Gründe für diese Klarstellung finden Sie in unserem letzten Blog-Post, und unsere Datenschutzerklärung erläutert, wie, warum und wann wir Ihre persönlichen Daten verwenden.

Die DSGVO legt strenge Beschränkungen dafür fest, wofür wir Ihre Daten verwenden können, wie wir sie schützen müssen und was wir tun müssen, wenn etwas nicht funktioniert. Darüber hinaus müssen wir die Finanzdienstleistungsregulierung einhalten, die sich ebenfalls mit Daten und Sicherheit beschäftigen. Wir können Ihnen daher versichern, dass wir Ihre Daten respektvoll und gemäß dem Gesetz verwenden.

Sollten Sie weitere Fragen haben, wenden Sie sich bitte an uns oder an das Unternehmen, das Sie über GoCardless bezahlen.

 

Verwandte Beiträge