Inhalt:
- Was ist die DSGVO?
- Erfüllt GoCardless die Anforderungen der DSGVO?
- Ist GoCardless bei der Datenschutzbehörde eingetragen?
- Die DSGVO verlangt effektive Sicherheitskontrollen. Wie erfüllt GoCardless diese Anforderung?
- Welche persönlichen Daten verarbeitet GoCardless?
- Was machen Sie mit den Daten, die Sie sammeln?
- Wo werden die gesammelten Daten verarbeitet?
- Was unternimmt GoCardless angesichts der Privacy-Shield-Entscheidung?
- Wie lange bewahrt GoCardless persönliche Daten auf?
- Können Sie auf Datenanfragen von Datensubjekten reagieren, die ihre Rechte ausüben möchten?
- Ich bin ein Unternehmen, das GoCardless zum Einzug von Zahlungen verwendet. Wie kann ich sichergehen, dass ich die DSGVO erfülle?
- Hat GoCardless einen eigenen DSGVO-Beauftragten, mit dem ich mich in Verbindung setzen kann?
Unsere Position als Datenverantwortlicher:
- Warum ist GoCardless für die persönlichen Daten des Endkunden verantwortlich?
- Welche Auswirkungen hat das für mich als Händler, der GoCardless verwendet?
- Welche Auswirkungen hat das für mich als Partner, der eine Integration mit GoCardless anbietet?
- Welche Auswirkungen hat das für mich, der/die einen Händler über GoCardless bezahlt?
- Wie erhalte ich ein Exemplar der Datenverarbeitungsvereinbarung?
1. Was ist die DSGVO?
Die Datenschutz-Grundverordnung (DSGVO) ist das europäische Datenschutzgesetz. Es gilt in ganz Europa und wurde auch in britisches Recht umgesetzt, sodass sie auch nach dem Brexit weiterhin im Vereinigten Königreich gilt. Sie soll den Datenschutz in den EU-Ländern und Großbritannien nach dem Brexit standardisieren.
Wir alle erzeugen personenbezogene Daten, wenn wir Dienste und Technologien verwenden. Die DSGVO gewährt EU-/EWR-Bürgern – den betroffenen Personen – Datenschutzrechte und erlegt den Organisationen, die ihre personenbezogenen Daten verarbeiten, unabhängig von ihrem Standort Pflichten auf.
Darüber hinaus gibt sie den Bürgern Großbritanniens und der EU Kontrolle über ihre personenbezogenen Daten und bietet ihnen Transparenz bei der Verwendung. Sie gewährleistet außerdem, dass die Organisationen, die personenbezogene Daten verarbeiten, diese angemessen behandeln.
2. Erfüllt GoCardless die Anforderungen der DSGVO?
Als die Datenschutz-Grundverordnung (DSGVO) in Kraft trat, nutzten wir die Gelegenheit, um unser Engagement im Bereich des Datenschutzes und der Datensicherheit zu vertiefen. In den Jahren 2017 und 2018 führten wir eine umfassende Überprüfung unserer Richtlinien, Vereinbarungen, Prozesse, Produkte und Systeme durch und aktualisierten sie, um sie an die DSGVO anzupassen und dem Datenschutz weiterhin höchste Priorität einzuräumen. Wir haben ein globales Datenschutzprogramm, mit dem wir sicherstellen, dass wir die hohen Anforderungen der Datenschutzgesetze überall erfüllen, wo wir tätig sind. Wir sind zudem bestrebt, unseren Kunden dabei zu helfen, ihre gesetzlichen Verpflichtungen zu erfüllen. In unserem Blogbeitrag hier erfahren Sie mehr über unsere Maßnahmen.
3. Ist GoCardless bei der Datenschutzbehörde eingetragen?
Ja. GoCardless ist beim britischen Information Commissioner’s Office unter der Nummer ZA024862 eingetragen.
4. Die DSGVO verlangt effektive Sicherheitskontrollen. Wie erfüllt GoCardless diese Anforderung?
Seit September 2016 ist GoCardless ISO 27001-zertifiziert und wird routinemäßig von einer unabhängigen externen Partei auditiert, um die Einhaltung der Zertifizierung zu gewährleisten. Um die Standards der ISO 27001 zu erfüllen, prüfen und verbessern wir kontinuierlich unsere Sicherheitsmanagementprogramme. Dazu zählen:
- eine formelle Herangehensweise an das Sicherheitsrisikomanagement, das im Rahmen unseres Enterprise Risk Management Programms überwacht wird
- ein Team speziell für technische Sicherheitsfragen einschließlich Anwendungssicherheit und Sicherheitsoperationen
- Obligatorische Sicherheitsschulung für alle Mitarbeiter
- Richtlinien für sichere Passwörter
- Sicherheitsverfahren bei der Produktentwicklung und Änderungskontrolle
- Protokolle zur Informationsklassifizierung und Dokumentenhandhabung
- Zugangskontrollen aufgrund spezifischer Anforderungen und regelmäßige Prüfungen dieser Kontrollen
- Protokolle für die Belastbarkeit des Rechenzentrums und Geschäftskontinuität
- Sicherheitsprotokolle für Datenbanken und Backups
- physische Sicherheit für unsere Büroräume
- Verschlüsselung und Schlüsselmanagement
- Formale Störfallreaktionsprotokolle
5. Welche persönlichen Daten verarbeitet GoCardless?
Als Datenverantwortlicher für die personenbezogenen Daten von Zahlern und Händlern, die die GoCardless-Dienste nutzen, erfüllen wir die gesetzliche Anforderung, genaue, vollständige und verständliche Informationen zu den personenbezogenen Daten zu geben, die wir verwenden. Die Datenschutzerklärung von GoCardless finden Sie hier. Weitere Informationen zu diesem Thema finden Sie außerdem in diesem Blogbeitrag.
6. Was machen Sie mit den Daten, die Sie sammeln?
Wir verarbeiten persönliche Daten, um unseren Händlern den GoCardless-Service zur Verfügung zu stellen. Darüber hinaus verwenden wir persönliche Daten, um den GoCardless-Service zu verbessern, Support zu bieten, Betrug und Geldwäsche zu verhindern usw. Wir stellen externen Parteien wie Werbeagenturen keine persönlichen Daten für ähnliche, nicht mit den GoCardless-Services verbundene Zwecke zur Verfügung.
Weitere Informationen dazu, wie GoCardless Ihre personenbezogenen Daten nutzt, finden Sie in unserer Datenschutzerklärung.
7. Wo werden die gesammelten Daten verarbeitet?
GoCardless vertraut auf eine Reihe von Komponentendiensten und Anbietern, um unseren Händlern Zahlungsverarbeitungsdienste zu bieten.
Europäische Zahlungen werden hauptsächlich auf Servern abgewickelt, die sich im Europäischen Wirtschaftsraum (EWG) befinden. GoCardless beauftragt ausschließlich sorgfältig ausgewählte Anbieter mit anderen separaten Aufgaben, für die Daten möglicherweise in ein Land außerhalb der EWG übertragen werden. In der globalen GoCardless Datenschutzrichtlinie finden Sie weitere Informationen über unsere wichtigsten Anbieter und ihre Standorte.
Wenn personenbezogene Daten in diesen Diensten gespeichert werden, stellen wir sicher, dass sie nach EU-Standards geschützt werden, und wir verwenden eine DSGVO-konforme Übertragungsmethode. Wir führen eine Due-Diligence-Prüfung der Anbieter durch, bei der wir einen Mechanismus wie eine Angemessenheitsfeststellung der Europäischen Kommission oder verbindliche Unternehmensregeln fordern. Wenn es erforderlich ist, schließen wir die EU-Standardvertragsklauseln für die Datenübertragung ab.
Wir verpflichten uns dazu im Abschnitt „Datenschutz“ in unseren Händlervereinbarungen.
8. Was unternimmt GoCardless angesichts der Privacy-Shield-Entscheidung?
Im Juli 2020 erklärte der Europäische Gerichtshof das Privacy-Shield-Abkommen ungültig. Es handelte sich dabei um ein Rechtsinstrument, das die Datenübertragung in die USA ermöglichte.
Da GoCardless ein europäisches Unternehmen ist, hatten wir noch nie eine Privacy-Shield-Zertifizierung. Jedoch sind viele unserer Anbieter darauf angewiesen, um für uns Dienstleistungen aus den USA zu erbringen. Wir führen eine Liste dieser Anbieter und bestehen als Teil unserer Due-Diligence-Prüfung von Anbietern auf einen konformen Übertragungsmechanismus. Wir verfolgen die Hinweise unserer Datenschutzbehörden und der Europäischen Kommission genau und werden die notwendigen Änderungen vornehmen, um sicherzustellen, dass unsere Anbieter weiterhin mit uns zusammenarbeiten können.
9. Wie lange bewahrt GoCardless personenbezogene Daten auf?
GoCardless pflegt ein formelles, DSGVO-konformes Datenaufbewahrungs- und Löschprogramm. Dazu gehören ein dokumentierter Datenaufbewahrungs- und Löschstandard mit einem definierten Aufbewahrungszeitraum für jede Datenkategorie, die wir haben. Folgende Kriterien gelten:
- die Beziehung, im Rahmen derer wir die Daten erhalten haben, und die Art des Datensubjekts,
- die Kategorie der Daten und
- der dokumentierte Zweck der Verarbeitung (einschließlich gesetzlicher und regulatorischer Anforderungen sowie der Regeln des jeweiligen Lastschriftschemas zur Aufbewahrung).
Wir wenden unsere Aufbewahrungsprotokolle im ganzen Unternehmen an und überwachen die Einhaltung.
Die tatsächlichen Aufbewahrungszeiträume variieren. So müssen wir beispielsweise persönliche Daten von Einzelnen, für die wir Prüfungen zur Geldwäschebekämpfung durchführen (z. B. Geschäftsführer, die sich für unseren Service registrieren) für eine bestimmte Anzahl von Jahren im Rahmen der entsprechenden Geldwäschebekämpfungsgesetze in den Ländern aufbewahren, in denen wir arbeiten. Wir müssen die Daten von Zahlungstransaktionen aufbewahren, sodass wir Rücklastschriften/Schadensansprüche im Rahmen der Zahlungssysteme verarbeiten können, die unsere Dienste regeln (beispielsweise die britische Lastschrift).
10. Können Sie auf Datenanfragen von betroffenen Personen reagieren, die ihre Rechte ausüben möchten?
Wir können auf die Zugriffsanfragen von betroffenen Personen reagieren und versuchen, das Verfahren so einfach wie möglich zu gestalten. Wir haben ein Online-Portal, über das Sie Ihre Anfrage einreichen können.
Wenn Sie der Meinung sind, dass Daten, die wir über eine Person gespeichert haben, falsch oder unvollständig sind, senden Sie uns bitte eine E-Mail an info@gocardless.com, notieren Sie das Wort „Datenschutz“ in der Betreffzeile und erläutern Sie Ihr Anliegen. Wir werden uns so bald wie möglich bei Ihnen melden.
11. Ich bin ein Unternehmen, das GoCardless zum Einzug von Zahlungen verwendet. Wie kann ich sichergehen, dass ich die DSGVO erfülle?
Als Händler sind Sie ebenfalls Datenverantwortlicher für die persönlichen Daten Ihrer Kunden. Daher müssen Sie eine angemessene Grundlage für die Verarbeitung der persönlichen Daten des Kunden haben und bei Bedarf weitere Maßnahmen ergreifen, um das neue Gesetz zu erfüllen.
Da GoCardless ein unabhängiger Datenverantwortlicher ist, übernehmen wir die direkte Verantwortung für die Einhaltung des Gesetzes für die Verarbeitung, die wir durchführen. Sie können dabei helfen, dass unsere Rolle im Rahmen der Dienste transparent ist, indem Sie unseren Namen und unsere Datenschutzerklärung auf Ihren Zahlungsseiten angeben. In unserem Leitfaden für Zahlungsseiten informieren wir Sie darüber, wie wir beide unsere Transparenzverpflichtungen erfüllen können.
12. Hat GoCardless einen eigenen DSGVO-Beauftragten, mit dem ich mich in Verbindung setzen kann?
GoCardless hat einen Datenschutzbeauftragten ernannt, sodass gewährleistet ist, dass wir die Verantwortung vor dem Gesetz übernehmen. Sie können alle Fragen hinsichtlich unserer Herangehensweise an Privatsphäre und Datenschutz an den Datenschutzbeauftragen unter folgender E-Mail-Adresse help@gocardless.com mit dem Betreff „Datenschutz“ richten.
Unsere Position als Datenverantwortlicher
1. Warum ist GoCardless für die persönlichen Daten des Endkunden verantwortlich?
Datenschutzgesetze behandeln Unternehmen, die persönliche Daten verarbeiten, entweder als Datenverantwortliche oder Datenverarbeiter. Im Rahmen des Datenschutzgesetzes werden die meisten Unternehmen, die als Anbieter für andere Unternehmen fungieren, als Datenverarbeiter erachtet. Es gibt jedoch Ausnahmen, beispielsweise bei Unternehmen, die anderen Unternehmen Dienste in sehr regulierten Bereichen wie der Finanzbranche zur Verfügung stellen.
Als Teil unserer Vorbereitungen auf die DSGVO haben wir eine umfassende Prüfung unserer Verarbeitungstätigkeiten durchgeführt und sind zu dem Schluss gekommen, dass wir als Datenverantwortlicher und nicht als Datenverarbeiter handeln müssen. Unsere Gründe für diese Entscheidung sind:
- Anleitung von unserer zuständigen Regulierungsbehörde, der britischen Datenschutzbehörde ICO
- Gerichtsentscheidungen, die diese Anforderungen auslegen
- Beratung durch die Artikel-29-Datenschutzgruppe, eine Beratergruppe zum Thema EU-Datenschutzgesetz
- Beratung durch unsere Rechtsanwälte zum Thema Datenschutz.
Wenn wir die persönlichen Daten von Einzelnen, die Ihre Dienste oder Waren über von GoCardless durchgeführten Zahlungen erwerben, erfassen und verarbeiten, unterliegen wir Anforderungen, Regeln, Gesetzen und Regulierungen, die wir einhalten müssen, sowie Prozessen, mit denen wir unsere Zahlungsdienste effektiver und effizienter machen und mit entsprechenden Protokollen zur Kontrolle von Betrug und anderen Risiken versehen (das Gesetz bezeichnet dies als „Zwecke und Mittel“). So bestimmen wir, wie lange wir die Daten von Endkunden aufbewahren, um die Anforderungen von Lastschriftschemata zu erfüllen.
In unserem Blogbeitrag können Sie mehr über diese Position und die Auswirkungen erfahren, die das für unsere Händler und ihre Kunden hat.
2. Welche Auswirkungen hat das für mich als Händler, der GoCardless verwendet?
Die Position von GoCardless als Datenverantwortlicher ist ein Vorteil für unsere Händler. GoCardless übernimmt die direkte Verantwortung für gesetzliche Anforderungen in Bezug auf die Verarbeitung persönlicher Daten für unsere Zahlungsdienste. Ihre Endkunden haben eine direkte rechtliche Beziehung mit GoCardless, wenn es um unsere Nutzung ihrer persönlichen Daten geht. Das bedeutet, dass sie bestimmte Rechte direkt ausüben können.
Damit wir unseren entsprechenden Verpflichtungen im Rahmen des Gesetzes nachkommen können, bitten wir Sie, beim Einzug oder an anderen verfügbaren Schnittstellen einen Link zu unserer Datenschutzerklärung zur Verfügung zu stellen.
Wenn Sie Fragen zu dieser Anforderung haben, senden Sie uns bitte eine E-Mail an help@gocardless.com.
3. Welche Auswirkungen hat das für mich als Partner, der eine Integration mit GoCardless anbietet?
Als Partner sind Sie auch ein GoCardless-Händler und haben neben der Partnervereinbarung eine Vereinbarung über Zahlungsdienste oder eine Händlervereinbarung mit GoCardless abgeschlossen. Daher gilt Punkt 2 für Sie.
Gemäß den Bedingungen der GoCardless-Partnervereinbarung über die Integration und der Vereinbarung über verknüpfte Händlerkonten, die GoCardless-Händler akzeptieren müssen, bevor sie mit dem System eine Verknüpfung herstellen, müssen Sie mit jedem Händler eine Vereinbarung mit den angemessenen Datenschutzbedingungen haben, der Ihre Dienste in Anspruch nimmt. Wenn ein Händler Ihre Integration aktiviert, stimmt er zu, dass wir alle persönlichen Daten seiner Kunden mit Ihnen in seiner Funktion als Datenverantwortlicher weitergeben dürfen, und Sie müssen diese Daten schützen und entsprechende Zusicherungen geben. Dies hat sich nicht aufgrund unseres Status als Datenverantwortlicher geändert – solche Vereinbarungen sollten bereits vorhanden sein!
Unsere Händler müssen gewährleisten, dass unsere Datenschutzerklärung ihren Endkunden jederzeit zur Verfügung steht. Wenn Sie Zahlungsseiten zur Verfügung stellen, sollten Sie einen Link zu unserer Datenschutzerklärung einfügen. Unsere für die DSGVO aktualisierten Bedingungen legen diese Anforderung fest und geben GoCardless die Möglichkeit zu überprüfen, ob Sie unsere Datenschutzerklärung eingefügt haben.
4. Welche Auswirkungen hat das für mich, der/die einen Händler über GoCardless bezahlt?
GoCardless ist der Zahlungsanbieter für ein Unternehmen, an das Sie regelmäßig Zahlungen leisten. Wir sind eine von der FCA regulierte Organisation und möchten den besten Lastschrifteinzug bieten, den es gibt.
Nach einer Prüfung im Rahmen der Datenschutz-Grundverordnung haben wir unsere Position als Datenverantwortlicher für Personen, die Unternehmen über GoCardless bezahlen, verdeutlicht. Die Gründe für diese Klarstellung finden Sie in unserem letzten Blogbeitrag, und unsere Datenschutzerklärung erläutert, wie, warum und wann wir Ihre persönlichen Daten verwenden.
Die DSGVO legt strenge Regeln dafür fest, wofür wir Ihre Daten verwenden können, wie wir sie schützen müssen und was wir tun müssen, wenn etwas nicht funktioniert. Darüber hinaus müssen wir die Finanzdienstleistungsregulierung einhalten, die sich ebenfalls mit Daten und Sicherheit beschäftigt. Wir können Ihnen daher versichern, dass wir Ihre Daten respektvoll und gemäß dem Gesetz verwenden.
Sollten Sie weitere Fragen haben, wenden Sie sich bitte an uns oder an das Unternehmen, das Sie über GoCardless bezahlen.
5. Wie erhalte ich ein Exemplar der Datenverarbeitungsvereinbarung?
Sie können die aktualisierten Bedingungen der Datenschutzerklärung, die für Ihre Vereinbarung mit uns gelten, im Abschnitt „Datenschutz“ in unserer Händlervereinbarung online prüfen.
Dabei werden Sie feststellen, dass diese Bedingungen von der Liste der Bedingungen abweicht, die im DSGVO-Artikel 28 verlangt werden. Grund hierfür ist, dass unsere Vereinbarung unsere Beziehung als unabhängiger Datenverantwortlicher zeigt. Artikel 28 gilt nur für Verträge mit Datenverantwortlichen, da hiermit vertraglich die Verpflichtungen festgelegt werden, die das Gesetz direkt den Datenverantwortlichen auferlegt.