GoCardless und die DSGVO

Inhalt:

1. Was ist die DSGVO?
2. Erfüllt GoCardless die Anforderungen der DSGVO?
3. Ist GoCardless bei der Datenschutzbehörde eingetragen?
4. Die DSGVO verlangt effektive Sicherheitskontrollen. Wie erfüllt GoCardless diese Anforderung?
5. Welche persönlichen Daten verarbeitet GoCardless?
6. Was machen Sie mit den Daten, die Sie sammeln?
7. Wo werden die gesammelten Daten verarbeitet?
8. Wie lange bewahrt GoCardless persönliche Daten auf?
9. Können Sie auf Datenanfragen von Datensubjekten reagieren, die ihre Rechte ausüben möchten?
10. Ich bin ein Unternehmen, das GoCardless zum Einzug von Zahlungen verwendet. Wie kann ich sichergehen, dass ich die DSGVO erfülle?
11. Hat GoCardless einen eigenen DSGVO-Beauftragten, mit dem ich mich in Verbindung setzen kann?

Unsere Position als Datenverantwortlicher:

1. Warum ist GoCardless für die persönlichen Daten des Endkunden verantwortlich?
2. Welche Auswirkungen hat das für mich als Händler, der GoCardless verwendet?
3. Welche Auswirkungen hat das für mich als Partner, der eine Integration mit GoCardless anbietet?
4. Welche Auswirkungen hat das für mich, der/die einen Händler über GoCardless bezahlt?
5. Wie erhalte ich ein Exemplar der Datenverarbeitungsvereinbarung?

 

1. Was ist die DSGVO?

Die Datenschutz-Grundverordnung (DSGVO) ist das europäische Datenschutzgesetz. Sie ersetzt die EU-Datenschutzrichtlinie 1995, gilt in ganz Europa und trat am 25. Mai 2018 in Kraft. Sie wurde auch in britisches Recht umgesetzt und gilt in Großbritannien auch nach dem Brexit.

Die DSGVO erweitert die Datenschutzrechte der Datensubjekte (EU-/EWR-Bürger) und erlegt Organisationen, die persönliche Daten dieser Datensubjekte verarbeiten, unabhängig vom Standort dieser Organisationen weitreichendere Pflichten auf.

Die DSGVO tritt in einer Zeit in Kraft, in der jeder Einzelne mehr und mehr persönliche Daten generiert, da mehr Dienste und Technologien von Einzelnen in Anspruch genommen werden. Sie soll den Datenschutz in den EU-Ländern und Großbritannien nach dem Brexit standardisieren. Darüber hinaus gibt sie EU-Bürgern und Bürgern Großbritanniens eine bessere Kontrolle über ihre persönlichen Daten, bietet bessere Transparenz bei der Verwendung der Daten und gewährleistet eine angemessene Behandlung der persönlichen Daten, die den Organisationen anvertraut wurden.

2. Erfüllt GoCardless die Anforderungen der DSGVO?

Aus Anlass des Inkrafttretens der Datenschutz-Grundverordnung (DSGVO) im Mai 2018 bekennen wir uns gerne zu einem noch intensiveren Datenschutz. 2017 und 2018 haben wir unsere Richtlinien, Vereinbarungen, Verfahren, Produkte und Systeme umfassend geprüft und aktualisiert. GoCardless erfüllt somit die DSGVO Richtlinien und Datenschutz hat bei GoCardless selbstverständlich auch weiterhin oberste Priorität. Darüber hinaus verpflichten wir uns, unsere Kunden bei der Einhaltung der DSGVO zu unterstützen. In unserem Blogbeitrag erfahren Sie mehr über unsere Maßnahmen Rund um die DSGVO.

3. Ist GoCardless bei der Datenschutzbehörde eingetragen?

Ja. GoCardless ist beim britischen Information Commissioner’s Office unter der Nummer ZA024862 eingetragen.

4. Die DSGVO verlangt effektive Sicherheitskontrollen. Wie erfüllt GoCardless diese Anforderung?

Seit September 2016 ist GoCardless ISO27001-zertifiziert und wird routinemäßig von einer unabhängigen externen Partei auditiert, um die Einhaltung der Zertifizierung zu gewährleisten. Um die ISO27001-Normen zu erfüllen, prüfen und verbessern wir kontinuierlich unsere Sicherheitsmanagementprogramme:

• ein Sicherheitsdirektor und ein eigenes Sicherheitsteam, das sich auf die Anwendung von Sicherheit, Betriebssicherheit und Risikomanagement spezialisiert
• Obligatorische Sicherheitsschulung für alle Mitarbeiter
• Richtlinien für sichere Passwörter
• Sicherheitsverfahren bei der Produktentwicklung und Änderungskontrolle
• Protokolle zur Informationsklassifizierung und Dokumentenhandhabung
• Zugangskontrollen aufgrund spezifischer Anforderungen und regelmäßige Prüfungen dieser Kontrollen
• Protokolle für die Belastbarkeit des Rechenzentrums und Geschäftskontinuität
• Sicherheitsprotokolle für Datenbanken und Backups
• physische Sicherheit für unsere Büroräume
• Verschlüsselung und Schlüsselmanagement
• Formale Störfallreaktionsprotokolle

5. Welche persönlichen Daten verarbeitet GoCardless?

Als Datenverantwortlicher für persönliche Daten von Zahlern und Händlern, die die GoCardless-Dienste nutzen, erfüllen wir die gesetzliche Anforderung, in unserer Datenschutzerklärung genaue, vollständige und eindeutige Informationen zu den persönlichen Daten zu geben, die wir verwenden. Die Datenschutzerklärung von GoCardless finden Sie hier. Weitere Informationen zu diesem Thema erhalten Sie außerdem in unserem Blogbeitrag.

6. Was machen Sie mit den Daten, die Sie sammeln?

Wir verarbeiten persönliche Daten, um unseren Händlern den GoCardless-Service zur Verfügung zu stellen. Darüber hinaus verwenden wir persönliche Daten, um den GoCardless-Service zu verbessern, Support zu bieten, Betrug und Geldwäsche zu verhindern usw. Wir stellen externen Parteien wie Werbeagenturen keine persönlichen Daten für ähnliche, nicht mit den GoCardless-Services verbundene Zwecke zur Verfügung.

Weitere Informationen dazu, wie GoCardless Ihre persönlichen Daten nutzt, finden Sie in unserer Datenschutzerklärung.

7. Wo werden die gesammelten Daten verarbeitet?

GoCardless vertraut auf eine Reihe von Komponentendiensten und Anbietern, um unseren Händlern Zahlungsverarbeitungsdienste zu bieten.

Unsere Verarbeitung für europäische Zahlungen wird auf Servern durchgeführt, die sich im Europäischen Wirtschaftsraum (EWG) befinden. GoCardless verwendet sorgfältig ausgewählte Anbieter, um andere separate Aufgaben durchzuführen, was dazu führen kann, dass die Daten aus der EWG übertragen werden.

Wann immer persönliche Daten in diesen Diensten gespeichert werden, stellen wir sicher, dass diese durch EU-Standards geschützt sind. Dabei setzen wir einen DSGVO-konformen Mechanismus für die Übertragung ein. Bei der Prüfung unserer Anbieter legen wir Wert auf eine Angemessenheitsfeststellung der Europäischen Kommission, eine Datenschutzschild-Zertifizierung oder verbindliche interne Datenschutzvorschriften (Binding Corporate Rules). Bei Bedarf schließen wir standardmäßige EU-Vertragsklauseln ab, die die Übertragung regeln.

Wir verpflichten uns dazu im Abschnitt „Datenschutz“ in unseren Händlervereinbarungen.

8. Wie lange bewahrt GoCardless persönliche Daten auf?

GoCardless pflegt ein formelles, DSGVO-konformes Datenaufbewahrungs- und Löschprogramm. Dazu gehören ein dokumentierter Datenaufbewahrungs- und Löschstandard mit einem definierten Aufbewahrungszeitraum für jede Datenkategorie, die wir haben. Folgende Kriterien gelten:

• die Beziehung, im Rahmen derer wir die Daten erhalten haben, und die Art des Datensubjekts,
• die Kategorie der Daten und
• der dokumentierte Zweck der Verarbeitung (einschließlich gesetzlicher und regulatorischer Anforderungen sowie der Regeln des jeweiligen Lastschriftschemas zur Aufbewahrung).

Wir wenden unsere Aufbewahrungsprotokolle im ganzen Unternehmen an und überwachen die Einhaltung.

Die tatsächlichen Aufbewahrungszeiträume variieren. So müssen wir beispielsweise persönliche Daten von Einzelnen, für die wir Prüfungen zur Geldwäschebekämpfung durchführen (z. B. Geschäftsführer, die sich für unseren Service registrieren) für eine bestimmte Anzahl von Jahren im Rahmen der entsprechenden Geldwäschebekämpfungsgesetze in den Ländern aufbewahren, in denen wir arbeiten. Wir müssen die Daten von Zahlungstransaktionen aufbewahren, sodass wir Rücklastschriften/Schadensansprüche im Rahmen der Zahlungssysteme verarbeiten können, die unsere Dienste regeln (beispielsweise die britische Lastschrift).

9. Können Sie auf Datenanfragen von Datensubjekten reagieren, die ihre Rechte ausüben möchten?

Wir können auf Zugangsanfragen von Datensubjekten reagieren und versuchen, das Verfahren so einfach wie möglich zu gestalten. Wir haben ein Online-Portal, über das Sie Ihre Anfrage hier einreichen können.

Wenn Sie der Meinung sind, dass Daten, die wir über eine Person gespeichert haben, falsch oder unvollständig sind, senden Sie uns bitte eine E-Mail an info@gocardless.com, notieren Sie das Wort „Datenschutz“ in der Betreffzeile und erläutern Sie Ihr Anliegen. Wir werden uns so bald wie möglich bei Ihnen melden.

10. Ich bin ein Unternehmen, das GoCardless zum Einzug von Zahlungen verwendet. Wie kann ich sichergehen, dass ich die DSGVO erfülle?

Als Händler sind Sie ebenfalls Datenverantwortlicher für die persönlichen Daten Ihrer Kunden. Daher müssen Sie eine angemessene Grundlage für die Verarbeitung der persönlichen Daten des Kunden haben und bei Bedarf weitere Maßnahmen ergreifen, um das neue Gesetz zu erfüllen.

Da GoCardless ein unabhängiger Datenverantwortlicher ist, übernehmen wir die direkte Verantwortung für die Einhaltung des Gesetzes für die Verarbeitung, die wir durchführen. Sie können dabei helfen, dass unsere Rolle im Rahmen der Dienste transparent ist, indem Sie unseren Namen und unsere Datenschutzerklärung auf Ihren Zahlungsseiten angeben. In unserem Leitfaden für Zahlungsseiten informieren wir Sie darüber, wie wir beide unsere Transparenzverpflichtungen erfüllen können.

11. Hat GoCardless einen eigenen DSGVO-Beauftragten, mit dem ich mich in Verbindung setzen kann?

GoCardless hat einen Datenschutzbeauftragten ernannt, sodass gewährleistet ist, dass wir die Verantwortung vor dem Gesetz übernehmen. Sie können alle Fragen hinsichtlich unserer Herangehensweise an Privatsphäre und Datenschutz an den Datenschutzbeauftragen unter folgender E-Mail-Adresse help@gocardless.com mit dem Betreff „Datenschutz“ richten.

 

Unsere Position als Datenverantwortlicher

1. Warum ist GoCardless für die persönlichen Daten des Endkunden verantwortlich?

Datenschutzgesetze behandeln Unternehmen, die persönliche Daten verarbeiten, entweder als Datenverantwortliche oder Datenverarbeiter. Im Rahmen des Datenschutzgesetzes werden die meisten Unternehmen, die als Anbieter für andere Unternehmen fungieren, als Datenverarbeiter erachtet. Es gibt jedoch Ausnahmen, beispielsweise bei Unternehmen, die anderen Unternehmen Dienste in sehr regulierten Bereichen wie der Finanzbranche zur Verfügung stellen.

Als Teil unserer Vorbereitungen auf die DSGVO haben wir eine umfassende Prüfung unserer Verarbeitungstätigkeiten durchgeführt und sind zu dem Schluss gekommen, dass wir als Datenverantwortlicher und nicht als Datenverarbeiter handeln müssen. Unsere Gründe für diese Entscheidung sind:

• Anleitung von unserer zuständigen Regulierungsbehörde, der britischen Datenschutzbehörde ICO
• Gerichtsentscheidungen, die diese Anforderungen auslegen
• Beratung durch die Artikel-29-Datenschutzgruppe, eine Beratergruppe zum Thema EU-Datenschutzgesetz  
• Beratung durch unsere Rechtsanwälte zum Thema Datenschutz.

Wenn wir die persönlichen Daten von Einzelnen, die Ihre Dienste oder Waren über von GoCardless durchgeführten Zahlungen erwerben, erfassen und verarbeiten, unterliegen wir Anforderungen, Regeln, Gesetzen und Regulierungen, die wir einhalten müssen, sowie Prozessen, mit denen wir unsere Zahlungsdienste effektiver und effizienter machen und mit entsprechenden Protokollen zur Kontrolle von Betrug und anderen Risiken versehen (das Gesetz bezeichnet dies als „Zwecke und Mittel“). So bestimmen wir, wie lange wir die Daten von Endkunden aufbewahren, um die Anforderungen von Lastschriftschemata zu erfüllen.

In unserem Blogbeitrag können Sie mehr über diese Position und die Auswirkungen erfahren, die das für unsere Händler und ihre Kunden hat.

2. Welche Auswirkungen hat das für mich als Händler, der GoCardless verwendet?

Die Position von GoCardless als Datenverantwortlicher ist ein Vorteil für unsere Händler. GoCardless übernimmt die direkte Verantwortung für gesetzliche Anforderungen in Bezug auf die Verarbeitung persönlicher Daten für unsere Zahlungsdienste. Ihre Endkunden haben eine direkte rechtliche Beziehung mit GoCardless, wenn es um unsere Nutzung ihrer persönlichen Daten geht. Das bedeutet, dass sie bestimmte Rechte direkt ausüben können.

Damit wir unseren entsprechenden Verpflichtungen im Rahmen des Gesetzes nachkommen können, bitten wir Sie, beim Einzug oder an anderen verfügbaren Schnittstellen einen Link zu unserer Datenschutzerklärung zur Verfügung zu stellen.

Wenn Sie Fragen zu dieser Anforderung haben, senden Sie uns bitte eine E-Mail an help@gocardless.com.

3. Welche Auswirkungen hat das für mich als Partner, der eine Integration mit GoCardless anbietet?

Als Partner sind Sie auch ein GoCardless-Händler und haben neben der Partnervereinbarung eine Vereinbarung über Zahlungsdienste oder eine Händlervereinbarung mit GoCardless abgeschlossen. Daher gilt Punkt 2 für Sie.

Gemäß den Bedingungen der GoCardless-Partnervereinbarung über die Integration und der Vereinbarung über verknüpfte Händlerkonten, die GoCardless-Händler akzeptieren müssen, bevor sie mit dem System eine Verknüpfung herstellen, müssen Sie mit jedem Händler eine Vereinbarung mit den angemessenen Datenschutzbedingungen haben, der Ihre Dienste in Anspruch nimmt. Wenn ein Händler Ihre Integration aktiviert, stimmt er zu, dass wir alle persönlichen Daten seiner Kunden mit Ihnen in seiner Funktion als Datenverantwortlicher weitergeben dürfen, und Sie müssen diese Daten schützen und entsprechende Zusicherungen geben. Dies hat sich nicht aufgrund unseres Status als Datenverantwortlicher geändert – solche Vereinbarungen sollten bereits vorhanden sein!

Unsere Händler müssen gewährleisten, dass unsere Datenschutzerklärung ihren Endkunden jederzeit zur Verfügung steht. Wenn Sie Zahlungsseiten zur Verfügung stellen, sollten Sie einen Link zu unserer Datenschutzerklärung einfügen. Unsere für die DSGVO aktualisierten Bedingungen legen diese Anforderung fest und geben GoCardless die Möglichkeit zu überprüfen, ob Sie unsere Datenschutzerklärung eingefügt haben.

4. Welche Auswirkungen hat das für mich, der/die einen Händler über GoCardless bezahlt?

GoCardless ist der Zahlungsanbieter für ein Unternehmen, an das Sie regelmäßig Zahlungen leisten. Wir sind eine von der FCA regulierte Organisation und möchten den besten Lastschrifteinzug bieten, den es gibt.

Nach einer Prüfung im Rahmen der Datenschutz-Grundverordnung haben wir unsere Position als Datenverantwortlicher für Personen, die Unternehmen über GoCardless bezahlen, verdeutlicht. Die Gründe für diese Klarstellung finden Sie in unserem letzten Blogbeitrag, und unsere Datenschutzerklärung erläutert, wie, warum und wann wir Ihre persönlichen Daten verwenden.

Die DSGVO legt strenge Regeln dafür fest, wofür wir Ihre Daten verwenden können, wie wir sie schützen müssen und was wir tun müssen, wenn etwas nicht funktioniert. Darüber hinaus müssen wir die Finanzdienstleistungsregulierung einhalten, die sich ebenfalls mit Daten und Sicherheit beschäftigt. Wir können Ihnen daher versichern, dass wir Ihre Daten respektvoll und gemäß dem Gesetz verwenden.

Sollten Sie weitere Fragen haben, wenden Sie sich bitte an uns oder an das Unternehmen, das Sie über GoCardless bezahlen.

5. Wie erhalte ich ein Exemplar der Datenverarbeitungsvereinbarung?

Sie können die aktualisierten Bedingungen der Datenschutzerklärung, die für Ihre Vereinbarung mit uns gelten, im Abschnitt „Datenschutz“ in unserem online GoCardless Merchant Agreement (die “Vereinbarung”) prüfen.

Dabei werden Sie feststellen, dass diese Bedingungen von der Liste der Bedingungen abweicht, die im DSGVO-Artikel 28 verlangt werden. Grund hierfür ist, dass unsere Vereinbarung unsere Beziehung als unabhängige Datenverantwortliche zeigt.Artikel 28 gilt nur für Verträge mit Datenauftragsverarbeitern, da hiermit vertraglich die Verpflichtungen festgelegt werden, die das Gesetz direkt den Datenverantwortlichen auferlegt.