Datenverarbeitungsvereinbarung

Mit Wirkung vom 09.04.2020

Zuletzt aktualisiert am 15.11.2021

Diese Datenverarbeitungsvereinbarung („DPA“) ist Teil der und unterliegt den Bestimmungen der E-Commerce-Bedingungen von SumUp (die „Vereinbarung“, die „Zusatzbestimmungen“), der Datenschutzbestimmungen und aller anderen geltenden Geschäftsbedingungen von SumUp (hier die „Bedingungen“, „Datenschutzerklärung“), die in beidseitigem Einvernehmen zwischen Ihnen als SumUp-Händler („Sie“, „Datenverantwortlicher“) und SumUp Payments Limited, 32-34 Great Marlborough Street, London, England, W1F 7JB, UK („SumUp“, „wir“, „Datenverarbeiter“), Teil der SumUp S.A.R.L. Group Companies – SumUp Group, geschlossen wurden.

Jede Partei erklärt sich damit einverstanden und stellt sicher, dass die Bestimmungen dieser DPA auch auf ihre verbundenen Unternehmen, die an der Verarbeitung personenbezogener Daten für die in den Zusatzbestimmungen definierten Services beteiligt sein können, uneingeschränkt anwendbar sind. Insbesondere stellt SumUp sicher, dass alle Subverarbeiter die Daten Ihrer Kunden gemäß den gleichen Bedingungen verarbeiten.

Um Ihnen die Services gemäß den Zusatzbestimmungen zur Verfügung zu stellen, verarbeitet SumUp Daten von Kunden oder Besuchern Ihrer Website oder Services („Ihre Kunden“, „Kunden“) Die Verarbeitung solcher Daten durch SumUp wird im Folgenden als „Verarbeitung“ bezeichnet (entsprechend der Definition des Begriffs in den geltenden Datenschutzvorschriften). Die folgende Datenverarbeitungsvereinbarung legt die Bedingungen für eine solche Verarbeitung durch SumUp fest.

1. Definitionen

1.1. „Geltende Datenschutzvorschriften“ bezeichnet alle Gesetze, die sich auf die Verarbeitung personenbezogener Daten im Rahmen des Vertrags und dieser Vereinbarung beziehen, einschließlich, ohne Einschränkung, des Data Protection Act von 2018, der EU-Datenschutz-Grundverordnung 2016/679 („DSGVO“, „die Verordnung“), der EU-Richtlinie 2002/58/EG über den Schutz der Privatsphäre und die elektronische Kommunikation, wie sie in den einzelnen Rechtsordnungen umgesetzt wurde, sowie alle Änderungen oder alle anderen geltenden oder ersetzenden internationalen, regionalen oder nationalen Datenschutzgesetze, -verordnungen und regulatorischen Richtlinien.

1.2. Die Begriffe „Verantwortlicher“, „betroffene Person“, „personenbezogene Daten“, „verarbeiten“, „Verarbeitung“ und „Verarbeiter“ haben die Bedeutung wie in den geltenden Datenschutzvorschriften festgelegt.

1.3. „Inhalt“ bezeichnet Ihren Inhalt und jeden Inhalt, der SumUp von Ihren Kunden zur Verfügung gestellt wird, einschließlich, aber nicht beschränkt auf, Text, Fotos, Bilder, Audio, Video, Code, Informationen von Cookies oder ähnlichen Tracking-Technologien sowie alle anderen Materialien.

1.4. „Daten Ihrer Kunden“ bezeichnet die personenbezogenen Daten in den Inhalten Ihrer Kunden, die von SumUp in Ihrem Namen als Teil der Services verarbeitet werden. Diejenigen personenbezogenen Daten, die von SumUp kontrolliert werden, sind in den Daten Ihrer Kunden nicht enthalten. Alle Definitionen, die in der vorliegenden DPA verwendet werden, aber in diesem Abschnitt nicht ausdrücklich definiert sind, haben die in den Zusatzbestimmungen definierte Bedeutung. Wenn in den Zusatzbestimmungen oder den Bedingungen keine spezifische Definition aufgeführt ist, so haben sie die Bedeutung wie in den geltenden Datenschutzvorschriften angegeben.

2. Anwendbarkeit. Diese DPA ist nur in Bezug auf die Daten Ihrer Kunden anwendbar. Sie erklären sich damit einverstanden, dass SumUp nicht für personenbezogene Daten verantwortlich ist, die Sie über Dienste Dritter oder außerhalb der Services verarbeitet haben, einschließlich der Systeme anderer Cloud-Dienste Dritter sowie Offline- oder Vor-Ort-Speicherung.

3. Details zur Datenverarbeitung.

3.1. Gegenstand. Der Gegenstand der Datenverarbeitung im Rahmen dieser DPA sind die Daten Ihrer Kunden.

3.2. Dauer. Zwischen Ihnen und uns wird die Dauer der Datenverarbeitung im Rahmen dieser DPA von Ihnen und für den ausgewählten Zeitraum festgelegt, für den Sie unsere Services nutzen möchten.

3.3. Zweck. Der Zweck der Datenverarbeitung im Rahmen dieser DPA ist die Bereitstellung der von Ihnen initiierten Services.

3.4. Art der Verarbeitung. Die Services wie in den Zusatzbestimmungen beschrieben und wie von Ihnen von Zeit zu Zeit initiiert.

3.5. Art der personenbezogenen Daten. Die Daten Ihrer Kunden, die sich auf Sie, Ihre Kunden oder andere Personen beziehen, deren personenbezogene Daten in Inhalten enthalten sind, die als Teil der Services gemäß den gegebenen Anweisungen verarbeitet werden. Zu diesen Daten gehören unter anderem die Namen Ihrer Kunden, E-Mail-Adresse, Handy-/Telefonnummer, physische Adresse, Bankverbindung, Transaktionsverlauf und IP-Adresse. Besondere Kategorien personenbezogener Daten, darunter Daten, die sich auf strafrechtliche Verurteilungen und Straftaten beziehen, gelten nicht als im Rahmen der Services verarbeitet und sind von den Bestimmungen dieser DPA ausgenommen. Wenn solche Daten während der Nutzung unserer Services verarbeitet werden, geschieht dies ohne das Wissen von SumUp, und Sie sollten solche Informationen sofort löschen, nachdem Sie eine solche Verarbeitung identifiziert haben.

3.6. Kategorien von betroffenen Personen. Sie, Ihre Kunden, die potenziellen Kunden Ihrer Kunden und alle anderen Personen, deren personenbezogene Daten im Inhalt enthalten sind.

4. Rechte und Pflichten

4.1. Soweit die Daten Ihrer Kunden von SumUp in Ihrem Namen verarbeitet werden und diese Verarbeitung den geltenden Datenschutzvorschriften unterliegt, erkennen Sie an und erklären sich damit einverstanden, dass Sie für die Zwecke der Bereitstellung der Services durch SumUp der Datenverantwortliche für diese personenbezogenen Daten sind, und durch die Nutzung der Dienstleistungen von SumUp haben Sie SumUp angewiesen, die Daten Ihrer Kunden in Ihrem Namen gemäß dieser DPA zu verarbeiten.

4.2. Sie können die Annahme dieser DPA jederzeit widerrufen, aber dadurch wird SumUp nicht mehr in der Lage sein, Ihnen den Service zur Verfügung zu stellen.

4.3. SumUp, in seiner Eigenschaft als Verarbeiter von personenbezogenen Daten,

A. verarbeitet die Daten Ihrer Kunden nur für die in der DPA angegebenen Zwecke und in Übereinstimmung mit dem geltenden Recht und der DPA;

B. darf nur in Übereinstimmung mit Ihrer dokumentierten Anweisung handeln und die Daten Ihrer Kunden verarbeiten, es sei denn, ein Gesetz, Gerichtsbeschluss oder eine gesetzgeberische Maßnahme verlangt ausdrücklich ein Handeln ohne eine solche Anweisung. Ihre Anweisung zum Zeitpunkt des Abschlusses dieser DPA lautet, dass SumUp die Daten Ihrer Kunden wie in der Datenschutzvereinbarung und den Zusatzbedingungen beschrieben nur zum Zweck der Bereitstellung der Services verarbeiten darf. Vorbehaltlich der Bestimmungen dieser DPA und im gegenseitigen Einvernehmen beider Parteien können Sie zusätzliche schriftliche Anweisungen in Übereinstimmung mit den Bestimmungen dieser DPA erteilen;

C. garantiert, dass die zur Verarbeitung personenbezogener Daten befugten Personen die Geheimhaltungspflicht übernommen haben oder gesetzlich zur Geheimhaltung verpflichtet sind;

D. garantiert, dass beim Zugang zu den personenbezogenen Daten für die Bereitstellung der Services gemäß den Zusatzbestimmungen das Prinzip der Kenntnis nur nach Bedarf angewendet wird;

E. ist dafür verantwortlich sicherzustellen, dass Mitarbeiter/Subunternehmer und/oder Vertreter, die die Daten Ihrer Kunden verarbeiten, die personenbezogenen Daten nur gemäß Ihren Anweisungen verarbeiten;

F. wird Sie unverzüglich informieren, falls wir der Ansicht sind, dass einige Ihrer Anweisungen im Widerspruch zu den geltenden Datenschutzvorschriften stehen;

G. ist verpflichtet, die Daten Ihrer Kunden im Rahmen dieser DPA vor jeglicher Zerstörung, Änderung, Verlust und jeder anderen unbefugten Verarbeitung zu schützen. Zu diesem Zweck ergreift SumUp geeignete Sicherheitsmaßnahmen im Einklang mit dem geltenden Recht. Die technischen und organisatorischen Maßnahmen, die SumUp anwendet, sind vom technischen Fortschritt abhängig. Es ist möglich, dass SumUp einige alternative angemessene Maßnahmen einführt. Es ist nicht möglich, das Niveau der definierten Sicherheitsmaßnahmen bei der Einführung solcher Alternativen zu senken. SumUp wird Sie bei Bedarf mit geeigneten technischen und organisatorischen Maßnahmen unterstützen und unter Berücksichtigung der Art der Behandlung und der Kategorie der SumUp zur Verfügung stehenden Informationen helfen, die Einhaltung Ihrer Verpflichtungen gemäß der geltenden Datenschutzvorschriften zu gewährleisten;

H. stellt auf Ihre verhältnismäßige Anfrage hin Zertifizierungen zur Verfügung, die die Einhaltung der Verpflichtungen von SumUp gemäß dieser DPA und der geltenden Datenschutzvorschriften nachweisen; und/oder stellt Informationen zur Verfügung, die notwendig sind, um die Einhaltung der Verpflichtungen gemäß dieser DPA und der anwendbaren Datenschutzgesetzgebung nachzuweisen. Die von SumUp zur Verfügung zu stellenden Informationen beschränken sich unter Berücksichtigung der Art der Services und der SumUp zur Verfügung stehenden Informationen ausschließlich auf die Informationen, die notwendig sind, um Sie bei der Erfüllung Ihrer Verpflichtungen zu unterstützen, insbesondere im Hinblick auf Verpflichtungen in Bezug auf Datenschutzfolgenabschätzungen, vorherige Konsultation und Gewährleistung der Sicherung personenbezogener Daten);

I. wird Sie innerhalb eines angemessenen Zeitrahmens durch geeignete Maßnahmen und, soweit dies nach vernünftigem Ermessen (unter Berücksichtigung der Art der Verarbeitung) möglich ist, bei der Einhaltung der Rechte der betroffenen Person und aller anderen relevanten Verpflichtungen gemäß den Datenschutzbestimmungen unterstützen;

J. wird Sie, sofern dies nach geltendem Recht zulässig ist, benachrichtigen und Ihnen Anweisungen übermitteln, wenn Sie eine Anfrage oder Beschwerde von einer Person erhalten, deren personenbezogene Daten in Ihren Inhalten enthalten sind, oder eine verbindliche Forderung einer Regierung, Strafverfolgungsbehörde, Aufsichtsbehörde oder einer anderen Stelle in Bezug auf die Daten Ihrer Kunden, die wir in Ihrem Namen verarbeiten.

4.4. Sie, in der Eigenschaft als Verantwortlicher für die personenbezogenen Daten,

A. sammeln, verwenden und verarbeiten die personenbezogenen Daten im Inhalt in Übereinstimmung mit allen geltenden Datenschutzvorschriften;

B. tragen die alleinige Verantwortung für die Richtigkeit, Qualität und rechtmäßige Verarbeitung der Daten Ihrer Kunden und der Mittel, mit denen sie beschafft wurden;

C. gewährleisten das angemessene Sicherheitsniveau bei der Nutzung der Services und berücksichtigen dabei alle Risiken in Bezug auf die Daten Ihrer Kunden;

D. erkennen an, dass jede Speicherung und/oder Übertragung, die Sie von den Daten Ihrer Kunden an einen Dritten oder eine Plattform, mit Ausnahme von SumUp, vornehmen, auf Ihr alleiniges Risiko und Ihre alleinige Verantwortung erfolgt.

E. stellen sicher, dass Ihre Anweisungen bezüglich der Verarbeitung personenbezogener Daten allen Gesetzen, Vorschriften und Regeln entsprechen, die in Bezug auf die Daten Ihrer Kunden gelten. Sie stellen auch sicher, dass die Verarbeitung der Daten Ihrer Kunden gemäß Ihren Anweisungen nicht dazu führt, dass wir oder Sie gegen Gesetze, Regeln oder Vorschriften verstoßen.

5. Benachrichtigungen über Verstöße. Die Partei unterrichtet die andere Partei unverzüglich (jedoch nicht später als 48 Stunden), nachdem sie von einer Verstoß gegen den Schutz personenbezogener Daten im Zusammenhang mit gemäß dieser DPA verarbeiteten personenbezogenen Daten, Kenntnis erlangt hat. SumUp unterstützt Sie bei der Einhaltung Ihrer Meldepflichten bei Datenschutzverletzungen und stellt Ihnen so viele Informationen zum Verstoß zur Verfügung, wie wir unter Berücksichtigung der Art der Services, unserem eigenen Kenntnisstand sowie etwaiger Beschränkungen über die Weitergabe von Informationen, wie z. B. aus Gründen der Vertraulichkeit, verhältnismäßig in der Lage sind. Nichtsdestotrotz gelten die Verpflichtungen von SumUp gemäß diesem Abschnitt nicht für Vorfälle, die von Ihnen, einer Aktivität auf Ihrem Konto und/oder Services vonseiten Dritter verursacht wurden. SumUp ist verpflichtet, mit Ihnen zusammenzuarbeiten und Sie bei der Untersuchung, der Minimierung der negativen Folgen und der Behebung des Datenschutzverstoßes sowie bei der Verhinderung künftiger ähnlicher Datenschutzverstöße zu unterstützen. SumUps Benachrichtigung über einen Verstoß gegen den Schutz personenbezogener Daten gilt nicht als Bestätigung durch SumUp hinsichtlich eines Fehlers oder einer Haftung in Bezug auf einen solchen Vorfall. Im Falle eines Verstoßes gegen den Schutz personenbezogener Daten sind Sie verpflichtet, die nach geltendem Recht erforderlichen Maßnahmen im Zusammenhang mit den Daten Ihrer Kunden zu ergreifen.

6. Subverarbeiter. Hiermit erteilen Sie SumUp die allgemeine Genehmigung, zum Zweck der Bereitstellung der Services Subverarbeiter zu beauftragen, ohne dafür eine weitere schriftliche Genehmigung einzuholen. SumUp schließt mit jedem Subverarbeiter eine Vereinbarung ab, die sicherstellt, dass dieser Subverarbeiter mindestens die gleiche Schutz- und Sicherheitsstufe gewährleistet, wie sie auch in dieser DPA festgelegt ist. Wenn Sie gegen einen der beauftragten Subverarbeiter Einwände erheben und diese Einwände im Hinblick auf Datenschutzbedenken berechtigt sind, werden wir wirtschaftlich vertretbare Anstrengungen unternehmen, um Ihnen die Mittel zur Verfügung zu stellen, die Verarbeitung der Daten Ihrer Kunden durch den jeweiligen Subverarbeiter zu umgehen. Wenn wir nicht in der Lage sind, in einem angemessen Zeitraum die vorgeschlagenen Änderungen zur Verfügung zu stellen, werden wir Sie benachrichtigen. Sollten Sie dann weiterhin Einwände gegen den von uns beauftragten Subverarbeiter haben, können Sie Ihr Konto oder, wenn möglich, die Teile der Services, die die Arbeit des jeweiligen Subverarbeiters erfordern, kündigen oder beenden.

7. Übertragung von personenbezogenen Daten. Die Verarbeitung der Daten Ihrer Kunden findet auf dem Gebiet des Europäischen Wirtschaftsraums („EWR“) sowie des Vereinigten Königreichs statt. Jede Übertragung in ein und Verarbeitung in einem Drittland außerhalb der EU/des EWR und des Vereinigten Königreichs, das kein angemessenes Schutzniveau gemäß den geltenden Datenschutzvorschriften gewährleistet, erfolgt in Übereinstimmung mit den Standardvertragsklauseln oder anderen geeigneten Mechanismen, die ein angemessenes Sicherheitsniveau für personenbezogene Daten gemäß den Anforderungen der geltenden Datenschutzvorschriften garantieren.

8. Prüfungen. Sie sind berechtigt, im Rahmen dieser DPA einmal jährlich eine Bewertung der Verpflichtungen von SumUp vorzunehmen. Wenn SumUp nach den geltenden Gesetzen dazu verpflichtet ist, können die Prüfungen einmal jährlich wiederholt werden. Beide Parteien entscheiden gemeinsam, ob eine dritte Partei die Prüfung durchführen soll. Sie können uns jedoch erlauben, die Sicherheitsüberprüfung durch einen neutralen Dritten unserer Wahl durchzuführen, wenn es sich um eine Verarbeitungsumgebung handelt, in der die Daten mehrerer Datenverantwortlicher verarbeitet werden. Wenn der vorgeschlagene Umfang der Prüfung einem ISO- oder ähnlichen Zertifizierungsbericht entspricht, der von einem qualifizierten externen Prüfer innerhalb der letzten zwölf Monate durchgeführt wurde, und SumUp bestätigt, dass es keine wesentlichen Änderungen bei den zu überprüfenden Maßnahmen gegeben hat, genügt dies allen Anfragen, die innerhalb dieses Zeitrahmens eingehen. Die regulären Geschäftsaktivitäten von SumUp dürfen durch die Prüfungen nicht unverhältnismäßig beeinträchtigt werden. Sie sind für alle Kosten verantwortlich, die mit Ihrem Antrag auf Prüfung verbunden sind.

9. Haftung. Die Haftung jeder Partei im Rahmen dieser DPA unterliegt den Haftungsausschlüssen und -beschränkungen, die in den Zusatzbestimmungen und/oder Bedingungen festgelegt sind. Sie erklären sich einverstanden, dass alle behördlichen Bußgelder oder Ansprüche vonseiten betroffener oder anderer Personen, die SumUp in Bezug auf die Daten Ihrer Kunden entstehen und die sich aus oder in Verbindung mit Ihrer Nichteinhaltung der in dieser DPA oder dem geltenden Datenschutzgesetz festgelegten Verpflichtungen ergeben, die in den Zusatzbestimmungen und/oder den Bedingungen festgelegte maximale Gesamthaftung von SumUp Ihnen gegenüber in derselben Höhe reduzieren wie das uns als Ergebnis entstandene Bußgeld und/oder Haftung.

10. Beendigung. Diese DPA gilt so lange, wie Sie einen der Services von SumUp in Anspruch nehmen. Wenn SumUp jedoch gemäß den Bedingungen dieser DPA oder einer der Geschäftsbedingungen von SumUp verpflichtet ist, personenbezogene Daten nach der Beendigung des Services aufzubewahren, bleibt diese DPA so lange in Kraft, wie SumUp diese personenbezogenen Daten aufbewahren muss. Nach Beendigung der Nutzung der Services und sofern SumUp nicht gemäß den Zusatzbestimmungen und/oder Bedingungen von SumUp, einem Vertrag oder geltenden Gesetzen verpflichtet ist, die Daten Ihrer Kunden aufzubewahren, wird SumUp, einschließlich auf schriftliche Anfrage Ihrerseits, die persönlichen Daten so schnell wie vernünftigerweise praktikabel und in Übereinstimmung mit den Bedingungen von SumUp und den geltenden Gesetzen löschen.

11. Verschiedenes.

11.1. Im Falle eines Widerspruchs zwischen dieser DPA und den Zusatzbestimmungen und/oder Bedingungen von SumUp gelten die Bestimmungen dieser DPA.

11.2. Sie sind für alle Kosten und Ausgaben verantwortlich, die sich gemäß den Zusatzbestimmungen (einschließlich dieser DPA) aus der Einhaltung Ihrer Anweisungen oder Anfragen durch SumUp ergeben und die außerhalb der Standardfunktionalität liegen, die SumUp allgemein über die Services zur Verfügung stellt.

11.3. SumUp ist berechtigt, die Bedingungen dieser DPA je nach Bedarf von Zeit zu Zeit zu ändern und/oder anzupassen. Änderungen an der Vereinbarung können von SumUp in einem separaten Anhang oder auf andere sichtbare Weise vorgenommen werden und werden in angemessener Weise mitgeteilt.

11.4. Fragen zu dieser DPA oder andere Anfragen zur Verarbeitung personenbezogener Daten sollten an uns unter dpo@sumup.com gerichtet werden. SumUp wird versuchen, alle Beschwerden bezüglich der Nutzung Ihrer Kundendaten in Übereinstimmung mit dieser DPA, den Bedingungen und internen Richtlinien von SumUp zu lösen.

11.5. Sollte eine der Bestimmungen der DPA als ungültig erachtet werden, so hat dies keine Auswirkungen auf die übrigen Bestimmungen. Die Parteien werden ungültige Bestimmungen durch eine gültige Bestimmung ersetzen, die dem Zweck der ungültigen Bestimmung entspricht.

11.6. Diese Vereinbarung unterliegt dem englischen und walisischen Recht und wird gemäß diesem ausgelegt. Alle Streitigkeiten, die sich aus oder im Zusammenhang mit dieser Vereinbarung ergeben, werden endgültig vor die Gerichte Englands und Wales gebracht und von diesen beigelegt.