Im Rahmen der Vertragserfüllung mit dem Kunden sind Spendesk und SFS SAS (Spendesk Financial Services SAS) (jeweils in den Allgemeinen Geschäftsbedingungen definiert) verpflichtet, gemeinsam als gemeinsame Verantwortliche bestimmte Personenbezogene Daten des Kunden zu verarbeiten, nämlich die Daten seiner wirtschaftlichen Eigentümer, seiner gesetzlichen Vertreter, seines Hauptnutzers und der vom Kunden benannten Nutzer (die "betroffenen Personen").
Zum Schutz dieser Personenbezogenen Daten und in Übereinstimmung mit den Datenschutzgesetzen haben Spendesk und SFS SAS einen Vertrag über die gemeinsame Verantwortlichkeit abgeschlossen, in dem ihre jeweiligen Aufgaben und Pflichten gegenüber dem Kunden und den betroffenen Personen, deren Personenbezogene Daten zur Erbringung der Zahlungsdienste verarbeitet werden, festgelegt sind.
Darüber hinaus kann die SFS SAS als unabhängiger Verantwortlicher handeln, wenn sie die personenbezogenen Daten der betroffenen Personen in ihrer Eigenschaft als Zahlungsinstitut verarbeitet, um ihren gesetzlichen und aufsichtsrechtlichen Verpflichtungen nachzukommen und um ihre berechtigten Interessen zu erfüllen.
Dieser Informationsvermerk (der "Vermerk") enthält (1) die wesentlichsten Punkte des Vertrags über die gemeinsame Verantwortlichkeit zwischen Spendesk und SFS SAS, (2) die Informationen in Bezug auf die Verarbeitung durch SFS SAS, die als unabhängiger Verantwortlicher handelt, und (3) die technischen und organisatorischen Maßnahmen, einschließlich der Sicherheitsmaßnahmen und der Verteilung der Verantwortung zwischen Spendesk und SFS SAS, um den Schutz der Personenbezogenen Daten und die Verwaltung der Rechte der betroffenen Personen zu gewährleisten.
Der Kunde verpflichtet sich, die betroffenen Personen über die in der Mitteilung beschriebene Verarbeitung zu informieren und ihnen mitzuteilen, wie sie ihre Rechte gegenüber Spendesk und SFS SAS ausüben können.
Dieser Hinweis kann aktualisiert werden, insbesondere im Falle einer Änderung der Datenschutzgesetze oder im Falle einer Änderung der Dienstleistungen.
In dieser Anmerkung haben die in Großbuchstaben geschriebenen Begriffe, die nicht ausdrücklich definiert sind, die Bedeutung, die ihnen (a) in der den Allgemeinen Geschäftsbedingungen beigefügten Auftragsverarbeitungsvereinbarung, (b) andernfalls im Hauptteil der Allgemeinen Geschäftsbedingungen oder (c) andernfalls in der DSGVO zugewiesen wird.
1. Die Verarbeitung erfolgt durch SFS SAS und Spendesk als gemeinsame Verantwortliche
A. Merkmale der Verarbeitung
Um die Zahlungsdienste zu erbringen und ihre gesetzlichen und vertraglichen Verpflichtungen zu erfüllen, verarbeiten Spendesk und SFS SAS gemeinsam die von den betroffenen Personen erhobenen Personenbezogenen Daten, wie im Folgenden beschrieben:
| Zwecke der Verarbeitung Personenbezogener Daten | Kategorien von betroffenen Personen | Kategorien von verarbeiteten Personenbezogenen Daten | Rechtsgrundlage für die Verarbeitung von Personenbezogenen Daten |
|---|---|---|---|
| Eröffnung und Bereitstellung des Kontos auf den Namen des Kunden | Hauptnutzer // Wirtschaftliche Eigentümer und gesetzliche Vertreter des Kunden | Identifizierungsdaten: Nachname(n), Vorname(n), Geburtsdatum, Staatsangehörigkeit // Kontaktdaten: Postanschrift, berufliche E-Mail-Adresse (nur für den Hauptnutzer) // Sonstige Daten: Art der Beziehung zum Kunden (nur für wirtschaftliche Eigentümer) // Ausweisdokument und alle anderen Nachweise, die für die Überprüfung, ob der Kunde die Voraussetzungen für die Aufnahme einer Geschäftsbeziehung erfüllt, erforderlich sind | Erfüllung einer rechtlichen // Verpflichtung Erfüllung des Vertrags |
| Ausgabe von Karten | Vom Kunden benannte Nutzer | Identifizierungsdaten: Nachname(n), Vorname(n) // Kontaktdaten: Telefonnummer, berufliche E-Mail-Adresse, Postanschrift (nur für die Zustellung der physischen Karte) | Erfüllung des Vertrags |
| Verwaltung der Zahlungsvorgänge | Vom Kunden benannte Nutzer | Identifizierungsdaten: Nachname(n), Vorname(n) // Kontaktinformationen: Telefonnummer // Verbindungsdaten: IP-Adresse // Finanzielle Daten: IBAN, Transaktionsdaten von Zahlungsvorgängen im Zusammenhang mit Geschäftsausgaben | Erfüllung des Vertrags |
| Verwaltung von Anträgen | Vom Kunden benannte Nutzer | Identifizierungsdaten: Nachname(n), Vorname(n) // Inhalt des Ersuchens | Erfüllung des Vertrags |
| Verwaltung von Beschwerden im Zusammenhang mit Zahlungsdiensten | Vom Kunden benannte Nutzer | Identifizierungsdaten: Nachname(n), Vorname(n) // Finanzdaten: Transaktionsdaten von Zahlungsvorgängen im Zusammenhang mit Geschäftsausgaben // Inhalt der Beschwerde | Erfüllung einer rechtlichen Verpflichtung |
Die Verarbeitung der vorgenannten Personenbezogenen Daten ist obligatorisch. Andernfalls kann der Kunde die Zahlungsdienste nicht in Anspruch nehmen.
B. Aufbewahrungsfristen für personenbezogene Daten
Spendesk und SFS SAS verpflichten sich, Personenbezogene Daten nur so lange aufzubewahren, wie es zur Erreichung der oben beschriebenen Zwecke erforderlich ist.
Bestimmte Personenbezogene Daten können gemäß den üblichen Verjährungsfristen in Zivil- und Handelsrechtsangelegenheiten für einen zusätzlichen Zeitraum von fünf (5) Jahren aufbewahrt werden, damit Spendesk und SFS SAS ihre Rechte und Interessen im Falle eines Rechtsstreits verteidigen können.
Bei Verarbeitungen, die aufgrund einer gesetzlichen Verpflichtung durchgeführt werden, halten Spendesk und SFS SAS die in den geltenden Vorschriften festgelegten Aufbewahrungsfristen ein.
C. Empfänger von personenbezogenen Daten
Spendesk und SFS SAS müssen unter Umständen bestimmte Personenbezogene Daten an ihre Unterauftragsverarbeiter und Partner-Zahlungsdienstleister weitergeben, wenn dies für die Erbringung der Zahlungsdienste erforderlich ist, und sie müssen diese Daten den zuständigen Behörden mitteilen, sofern sie nach den geltenden Vorschriften dazu verpflichtet sind.
2. Verarbeitung durch SFS SAS als unabhängiger VerantwortlicheR
A. Merkmale der Verarbeitung
SFS SAS verarbeitet als unabhängiger Verantwortlicher Personenbezogene Daten, die indirekt von den betroffenen Personen über Spendesk oder Dritte (und insbesondere von öffentlich zugänglichen Informationsquellen, Verwaltungsstellen und Behörden) gesammelt wurden, wie im Folgenden dargelegt:
| Zwecke der Verarbeitung Personenbezogener Daten | Kategorien von betroffenen Personen | Kategorien von verarbeiteten Personenbezogenen Daten | Rechtsgrundlage für die Verarbeitung von Personenbezogenen Daten |
|---|---|---|---|
| Gewährleistung der Sicherheit und Kontinuität der Zahlungsdienste | Vom Kunden benannte Nutzer | Daten zur Identifizierung: Nutzer-ID // Verbindungsdaten: Protokolle, IP-Adresse | Legitimes Interesse |
| Optimierung der Zahlungsdienste | Vom Kunden benannte Nutzer | Daten zur Identifizierung: Nutzer-ID // Verbindungsdaten: Protokolle, IP-Adresse | Legitimes Interesse |
| Einhaltung von Rechnungslegungs- und Steuervorschriften | Vom Kunden benannte Nutzer | Identifizierungsdaten: Nachname(n), Vorname(n) // Finanzdaten: Transaktionsdaten von Zahlungsvorgängen im Zusammenhang mit Geschäftsausgaben | Erfüllung einer rechtlichen Verpflichtung |
| Verwaltung der Nachverfolgung von Beschwerden im Zusammenhang mit Zahlungsdiensten | Vom Kunden benannte Nutzer | Identifizierungsdaten: Nachname(n), Vorname(n) // Finanzdaten: Transaktionsdaten von Zahlungsvorgängen im Zusammenhang mit Geschäftsausgaben // Inhalt der Beschwerde | Erfüllung einer rechtlichen Verpflichtung |
| Geldwäschebekämpfung und Bekämpfung der Terrorismusfinanzierung (BGw-Tf) | Hauptnutzer Wirtschaftliche Eigentümer und gesetzliche Vertreter des Kunden | Identifizierungsdaten: Nachname(n), Vorname(n), Geburtsdatum, Ort und Land der Geburt, Staatsangehörigkeit // Kontaktdaten: Postanschrift, berufliche E-Mail-Adresse (nur für den Hauptnutzer) // Sonstige Daten: Art der Beziehung zum Kunden (nur für wirtschaftliche Eigentümer) // Identitätsdokument und alle anderen Nachweise, die zur Erfüllung der Anforderungen des BGw-Tf-Rahmens auf der Grundlage des ermittelten Risikos erforderlich sind // Alle öffentlich verfügbaren Informationen zur Erfüllung der Anforderungen des BGw-Tf-Rahmens auf der Grundlage des ermittelten Risikos | Erfüllung einer rechtlichen Verpflichtung |
| Geldwäschebekämpfung und Bekämpfung der Terrorismusfinanzierung (BGw-Tf) | Vom Kunden benannte Nutzer | Identifizierungsdaten: Nachname(n), Vorname(n), Geburtsdatum, Ort und Land der Geburt, Staatsangehörigkeit // Verbindungsdaten: IP-Adresse // Finanzielle Daten: IBAN, Transaktionsdaten von Zahlungsvorgängen im Zusammenhang mit Geschäftsausgaben | Erfüllung einer rechtlichen Verpflichtung |
Die Verarbeitung der vorgenannten Personenbezogenen Daten ist obligatorisch. Andernfalls kann der Kunde die Zahlungsdienste nicht in Anspruch nehmen.
B. Aufbewahrungsfristen für personenbezogene Daten
SFS SAS verpflichtet sich, Personenbezogene Daten nur so lange aufzubewahren, wie dies zur Erreichung der oben beschriebenen Zwecke erforderlich ist.
Bestimmte Personenbezogene Daten können gemäß den üblichen Verjährungsfristen in Zivil- und Handelsrechtsangelegenheiten für einen zusätzlichen Zeitraum von fünf (5) Jahren aufbewahrt werden, damit SFS seine Rechte und Interessen im Falle eines Rechtsstreits verteidigen kann.
Bei Verarbeitungen, die aufgrund einer gesetzlichen Verpflichtung durchgeführt werden, hält sich die SFS SAS an die von den geltenden Vorschriften vorgeschriebenen Aufbewahrungsfristen.
Für die zur Bekämpfung der Geldwäsche und der Terrorismusfinanzierung erforderliche Verarbeitung werden die Dokumente und Informationen zur Identität der wirtschaftlichen Eigentümer, der gesetzlichen Vertreter und des Hauptnutzers des Kunden für einen Zeitraum von fünf (5) Jahren nach Beendigung der Geschäftsbeziehung mit dem Kunden aufbewahrt, und die Dokumente und Informationen zu den von den Nutzern durchgeführten Zahlungsvorgängen werden für einen Zeitraum von fünf (5) Jahren nach deren Ausführung aufbewahrt.
C. Empfänger von personenbezogenen Daten
Es kann sein, dass die SFS SAS bestimmte Personenbezogene Daten an ihre Unterauftragsverarbeiter und bestimmte Partnerdienstleister weitergeben muss, sowie an die zuständigen Behörden, insbesondere um auf Anfragen oder Ersuchen im Rahmen der geltenden Vorschriften zu reagieren.
3. Technische und organisatorische Maßnahmen zur Gewährleistung des Schutzes der personenbezogenen Daten
A. Sicherheitsmaßnahmen
Spendesk und SFS SAS legen größten Wert auf die Sicherheit und Integrität der ihnen anvertrauten Personenbezogenen Daten. SFS SAS und Spendesk verpflichten sich, alle erforderlichen Maßnahmen zu ergreifen, um die Sicherheit Personenbezogener Daten zu gewährleisten und insbesondere Personenbezogene Daten vor Zerstörung, Verlust, (versehentlicher oder unrechtmäßiger) Veränderung, unbefugter Weitergabe oder unbefugtem Zugriff sowie vor jeder anderen Form der unrechtmäßigen Verarbeitung oder Weitergabe an Unbefugte zu schützen.
Zu diesem Zweck setzen SFS SAS und Spendesk branchenübliche Sicherheitsmaßnahmen ein, um Personenbezogene Daten vor unbefugter Offenlegung zu schützen. Um insbesondere unbefugten Zugriff zu verhindern und die Richtigkeit und ordnungsgemäße Verwendung personenbezogener Daten zu gewährleisten, haben SFS SAS und Spendesk geeignete elektronische, physische und verwaltungstechnische Verfahren eingeführt, um die über die Dienstleistungen erhobenen Personenbezogenen Daten zu schützen und zu bewahren.
Diese Verpflichtungen gelten unabhängig von der in den Absätzen 1 und 2 dieser Anmerkung definierten Verarbeitungskontrolle.
B. Übermittlung von personenbezogenen Daten
Die von Spendesk und SFS SAS verarbeiteten Personenbezogenen Daten werden auf dem Gebiet der Europäischen Union gehostet.
Zur Erbringung von Zahlungsdiensten für Nutzer, z. B. zur Ermöglichung von Kartenzahlungsvorgängen oder Erstattung von Geschäftsausgaben, können bestimmte Personenbezogene Daten an Unterauftragsverarbeiter außerhalb der Europäischen Union übermittelt werden.
Spendesk und SFS SAS verpflichten sich, einen angemessenen Übermittlungsmechanismus in Übereinstimmung mit den geltenden Vorschriften, insbesondere den Standardvertragsklauseln, einzurichten. Sie verlangen auch von jedem ihrer Unterauftragsverarbeiter, dass er die Datenschutzgesetze einhält und vertragliche Garantien für die Sicherheit und Vertraulichkeit der Verarbeitung Personenbezogener Daten bietet.
C. Rechte der betroffenen Personen
Gemäß der Datenschutzgesetze haben die betroffenen Personen ein Recht auf Zugang, Berichtigung, Einschränkung und Löschung der sie betreffenden Personenbezogenen Daten sowie ein Widerspruchsrecht, ein Recht auf Datenübertragbarkeit und ein Recht auf Erteilung von Anweisungen für die Behandlung Personenbezogener Daten nach ihrem Tod.
Gemäß der Vereinbarung zwischen Spendesk und SFS SAS über die gemeinsame Kontrolle ist Spendesk für die Bearbeitung von Anfragen betroffener Personen zuständig, die ihre Rechte gemäß der DSGVO wahrnehmen.
Daher haben Spendesk und SFS SAS festgelegt, dass der bevorzugte Ansprechpartner für die Ausübung der Rechte der betroffenen Personen der Datenschutzbeauftragte von Spendesk (DSB) ist. Auskunftsersuchen und Anträge auf Ausübung von Rechten sollten daher vorzugsweise an ihn gerichtet werden:
per E-Mail: privacy@spendesk.com; oder
per Post: Spendesk SAS - Datenschutzbeauftragter (DSB) - 51 rue de Londres, 75008 Paris, Frankreich.
Die betroffenen Personen können ihre Rechte jedoch bei jedem für die Verarbeitung Verantwortlichen geltend machen.
SFS SAS hat deshalb auch einen Datenschutzbeauftragten (DSB) ernannt, der per E-Mail erreichbar ist unter: privacy@spendesk-sfs.com.
In jedem Fall wird die betroffene Person darüber informiert, dass es Ausnahmen von den vorgenannten Rechten gibt. Insbesondere kann SFS SAS und/oder Spendesk dem Antrag nicht nachkommen, wenn:
Es legitime und zwingende Gründe für die Verarbeitung der Personenbezogenen Daten gibt, oder die Verarbeitung für die Begründung, Ausübung oder Verteidigung von Rechtsansprüchen erforderlich ist;
Die betreffende Verarbeitung für die Erfüllung der Allgemeinen Geschäftsbedingungen erforderlich ist; oder
Es eine gesetzliche Verpflichtung zur Verarbeitung der Personenbezogenen Daten der betroffenen Person besteht.
So kann die SFS SAS beispielsweise nicht auf eine Anfrage nach dem Recht auf Zugang zu den Personenbezogenen Daten der betroffenen Person antworten, die für Zwecke der BGw-Tf gemäß Artikel L. 561-45 des CMF verarbeitet werden. Der Antrag auf Auskunft im Zusammenhang mit BGw-Tf muss indirekt an die französische Aufsichtsbehörde, Commission Nationale de l'Informatique et des Libertés (CNIL), gerichtet werden unter: www.cnil.fr/.
Schließlich hat die betroffene Person das Recht, die CNIL über ihre Website (www.cnil.fr/) oder per Post (CNIL, Service des Plaintes, 3 place de Fontenoy - TSA 80715 -75334 Paris Cedex 07) zu informieren.