Datenverarbeitungsvereinbarung

Mit Wirkung vom April 2020

Zuletzt aktualisiert am 09/03/2022

Zwischen:

Benutzer/Abonnenten von SumUp Rechnungsstellung & Buchführung (nachstehend „der Kunde“ oder „Datenverantwortlicher“) und

SumUp Limited, Block 8, Harcourt Centre, Charlotte Way, Dublin 2, Ireland D02 K580, Umsatzsteuernummer: IE9813461A (hier nachfolgend „SumUp“ oder „Auftragsverarbeiter“) 

jede „Partei“; zusammen „die Parteien“, 

HABEN den Bedingungen dieser Datenverarbeitungsvereinbarung (im Folgenden „Datenverarbeitungsvereinbarung“, „DPA“ oder „Vereinbarung“) über den Schutz personenbezogener Daten bezüglich der Verarbeitung personenbezogener Daten zugestimmt, wenn der Kunde als Datenverantwortlicher und SumUp als Auftragsverarbeiter handelt, um die in den Allgemeinen Geschäftsbedingungen für SumUp Rechnungsstellung & Buchführung in der Dienstleistungsvereinbarung (unten detailliert) dargelegten Serviceverpflichtungen zu erfüllen. Als Teil der Erfüllung dieser Dienstleistungsverpflichtungen wird SumUp bestimmte personenbezogene Daten im Auftrag des Datenverantwortlichen und in Übereinstimmung mit den Bedingungen dieser Vereinbarung verarbeiten. Jede Partei stimmt zu und stellt sicher, dass die Bedingungen dieser Vereinbarung auch in vollem Umfang auf ihre Tochtergesellschaften, die in der Verarbeitung von personenbezogenen Daten für das Projekt in den Allgemeinen Geschäftsbedingungen für SumUp Rechnungsstellung & Buchführung beteiligt werden können, anwendbar sind. SumUp wird sicherstellen, dass alle Unterauftragsverarbeiter im Rahmen der gleichen Bedingungen wie in dieser Vereinbarung arbeiten, wenn sie personenbezogene Daten des Kunden verarbeiten. 

Einführung und Definitionen

Personenbezogene Daten sind alle Informationen über ein Datensubjekt, mit deren Hilfe dieses direkt oder indirekt identifiziert werden kann, insbesondere durch Zuordnung zu identifizierenden Daten wie einem Namen, einer Kennnummer, Standortdaten, einer Online-Kennung oder zu einem oder mehreren besonderen Merkmalen, die Ausdruck der physischen, physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität dieser natürlichen oder juristischen Person sind (sofern zutreffend).

Alle anderen Definitionen, auf die hier Bezug genommen wird, einschließlich der Begriffe „Datenverantwortlicher“ und „Auftragsverarbeiter“, sind in den maßgebenden Datenschutzvorschriften festgelegt, einschließlich der EU-Datenschutzgrundverordnung 2016/679 vom 27. April 2016 (hier nachfolgend „DSGVO“).

Sensible personenbezogene Daten sollen nicht als im Rahmen des vom Auftragsverarbeiter angebotenen Anwendungsdienstes (SumUp Rechnungsstellung & Buchführung) verarbeitet werden und sind daher von den Bestimmungen dieser Vereinbarung ausgeschlossen.

Mit der Anmeldung zur Nutzung von SumUp Rechnungsstellung & Buchführung und der Annahme der Allgemeinen Geschäftsbedingungen, einschließlich der Datenschutzbestimmungen und dieser Datenverarbeitungsvereinbarung, stimmen die Parteien im Rahmen aller nationalen Datenschutzgesetze und im Rahmen der DSGVO zu, dass diese Vereinbarung das Verhältnis zwischen dem Datenverantwortlichen und dem Auftragsverarbeiter sowie die Verarbeitung der personenbezogenen Daten des Kunden durch SumUp regelt. Diese Vereinbarung gilt vorrangig, sofern sie nicht durch eine andere unterzeichnete Datenverarbeitungsvereinbarung ersetzt wird, in der auf den Vorrang vor dieser Vereinbarung hingewiesen wird.

Der Zweck der Verarbeitung personenbezogener Daten seitens SumUp für den Kunden ist es, die volle Nutzung des Service zu gewährleisten und die Erfüllung dieser Vereinbarung zu gewährleisten. SumUp stellt sicher, dass zu jedem Zeitpunkt ein adäquater Schutz der personenbezogenen Daten aufrechterhalten wird.

Beide Parteien bestätigen ihre Befugnis, die vorliegende Vereinbarung zu unterzeichnen.

Verantwortlichkeiten des Auftragsverarbeiters

Der Auftragsverarbeiter muss alle personenbezogenen Daten im Auftrag des Datenverantwortlichen und nach dessen Anweisungen verarbeiten. Durch den Eintritt in diese Vereinbarung, wird SumUp (und alle Unterauftragsverarbeiter, mit denen der Datenverarbeiter eine rechtliche Vereinbarung über entsprechende Dienstleistungen getroffen hat) angewiesen, personenbezogene Daten des Kunden wie folgt zu verarbeiten:

  1. In Einklang mit allen nationalen und europäischen Gesetzen

  2. Zur Erfüllung der Verpflichtungen, die sich aus den Allgemeinen Geschäftsbedingungen für SumUp Rechnungsstellung & Buchführung ergeben

  3. Gemäß weiteren Anweisungen des Datenverantwortlichen

  4. Wie in dieser Vereinbarung beschrieben

Im Rahmen der Bereitstellung der Anwendung ist der Auftragsverarbeiter verpflichtet, dem Kunden stets angemessene Lösungen zur Verfügung zu stellen, um die weitere Entwicklung seines Unternehmens durch die Nutzung des Dienstes zu unterstützen. Der Auftragsverarbeiter verfolgt die Nutzung der Anwendung durch den Kunden, um die bestmöglichen Vorschläge zu unterbreiten, jederzeit relevante Dienste anzubieten und genaueste Mitteilungen zu versenden. So soll eine kontinuierliche Benutzerfreundlichkeit und Zufriedenheit gewährleistet werden. Soweit die Verarbeitung personenbezogener Daten aus der Anwendung dazu gehört, werden diese Daten nur in Übereinstimmung mit dieser Datenverarbeitungsvereinbarung und dem anwendbaren Recht verarbeitet und nur weitergegeben, wenn dies erforderlich ist, um dem Kunden ein besseres Erlebnis zu bieten.

Unter Berücksichtigung der verfügbaren Technologien und der Implementierungskosten sowie des Umfangs, des Kontexts und des Zwecks der Verarbeitung ist der Auftragsverarbeiter verpflichtet, alle angemessenen Maßnahmen, einschließlich technischer und organisatorischer Maßnahmen, zu ergreifen, um ein ausreichendes Sicherheitsniveau in Bezug auf das Risiko und die Kategorie der zu schützenden personenbezogenen Daten zu gewährleisten. Der Auftragsverarbeiter unterstützt den Datenverantwortlichen bei Bedarf und unter Berücksichtigung der Art der Verarbeitung und der Kategorie der dem Datenverarbeiter zur Verfügung stehenden Informationen mit geeigneten technischen und organisatorischen Maßnahmen, um die Einhaltung der Verpflichtungen des Datenverantwortlichen nach den geltenden Datenschutzgesetzen zu gewährleisten.

Der Auftragsverarbeiter hat den Datenverantwortlichen unverzüglich zu benachrichtigen, sobald er von einer Sicherheitsverletzung Kenntnis erhält.

Darüber hinaus unterrichtet der Auftragsverarbeiter den Datenverantwortlichen, soweit dies möglich und rechtlich zulässig ist, über Auskunftsersuchen von Stellen, denen er Daten zur Verfügung stellen soll (Antrag auf Datenzugang). Der Auftragsverarbeiter wird solchen Anfragen nachkommen, sobald er von dem Datenverantwortlichen dazu ermächtigt wurde. Der Auftragsverarbeiter wird auch keine Informationen über diese Vereinbarung weitergeben, es sei denn, der Datenverarbeiter ist gesetzlich dazu verpflichtet, z. B. durch eine gerichtliche Anordnung.

Benötigt der für die Datenverantwortliche Informationen oder Unterstützung in Bezug auf die Sicherheit der Daten, Dokumentation oder Informationen darüber, wie der Datenverarbeiter personenbezogene Daten im Allgemeinen verarbeitet, kann er diese Informationen vom Auftragsverarbeiter anfordern. Der Auftragsverarbeiter unterstützt den Datenverantwortlichen in angemessenem Umfang bei der Erfüllung seiner Pflichten gemäß den Artikeln 32 bis 36 der Datenschutz-Grundverordnung (DSGVO).

Der Auftragsverarbeiter, seine Mitarbeiter und etwaige verbundene Unternehmen sind verpflichtet, die Vertraulichkeit der im Rahmen der Vereinbarung verarbeiteten personenbezogenen Daten zu gewährleisten. Diese Bestimmung gilt auch nach Beendigung der Vereinbarung, unabhängig vom Grund der Beendigung.

Pflichten des Datenverantwortlichen

Der Datenverantwortliche bestätigt mit der Unterzeichnung/Akzeptanz dieser Vereinbarung, dass er bei der Nutzung der Anwendung in der Lage sein wird, seine Daten frei zu verarbeiten, sobald alle datenschutzrechtlichen Anforderungen, einschließlich der DSGVO, erfüllt wurden. 

Der Datenverantwortliche kann die Zustimmung zu dieser DPA jederzeit widerrufen. In einem solchen Fall kann der Auftragsverarbeiter den Service nicht mehr erbringen.

Der Kunde hat mit der Nutzung der Dienstleistungen von SumUp eine rechtliche Grundlage für die Verarbeitung der personenbezogenen Daten mit dem Datenverarbeiter (einschließlich aller Unterverarbeiter).

Der Datenverantwortliche ist zu jeder Zeit für die Richtigkeit, Integrität, den Inhalt und die Zuverlässigkeit der vom Auftragsverarbeiter verarbeiteten personenbezogenen Daten verantwortlich. Er hat alle obligatorischen Anforderungen in Bezug auf die Meldung der Verarbeitung personenbezogener Daten an die zuständigen Behörden oder die Einholung von deren Genehmigung erfüllt. Ferner ist er seinen Offenlegungspflichten gegenüber den zuständigen Behörden in Bezug auf die Verarbeitung personenbezogener Daten in Übereinstimmung mit allen geltenden Datenschutzvorschriften nachgekommen.

Der Datenverantwortliche muss eine genaue Liste der Kategorien personenbezogener Daten führen, die er verarbeitet. Dies gilt insbesondere dann, wenn diese Verarbeitung von den Kategorien abweicht, die der Auftragsverarbeiter in Anhang A aufgeführt hat.

Vereinbarung zur Datenübertragung und Nutzung von Subunternehmern

Um die Dienstleistung für den Datenverantwortlichen zu erbringen, kann der Auftragsverarbeiter entsprechende Unterauftragsverarbeiter („Unterauftragsverarbeiter“) einsetzen. Bei diesen Unterauftragsverarbeitern kann es sich um Drittanbieter sowohl innerhalb als auch außerhalb der EU / des EWR handeln. Der Auftragsverarbeiter stellt sicher, dass alle Unterauftragsverarbeiter die Verpflichtungen und Anforderungen im Rahmen dieser Vereinbarung erfüllen, insbesondere, dass ihr Datenschutzniveau dem nach den einschlägigen Datenschutzgesetzen erforderlichen Standard entspricht. Wenn die Rechtsprechung außerhalb der EU / des EWR liegt und nicht unter einen Angemessenheitsbeschluss der Europäischen Kommission für ein hinreichendes Datenschutzniveau fällt, dann wird eine spezifische Vereinbarung zwischen SumUp und solchen Unterauftragsverarbeitern getroffen, um sicherzustellen, dass sie alle personenbezogenen Daten im Einklang mit den Anforderungen unter den aktuellen Datenschutzgesetzen verarbeiten.

Diese Vereinbarung stellt das vorherige spezifische und ausdrückliche Einverständnis des Datenverantwortlichen für den Einsatz von Unterauftragsverarbeitern durch den Auftragsverarbeiter dar, die mitunter außerhalb der EU / des EWR oder außerhalb von Gebieten, die unter einen Angemessenheitsbeschluss der Europäischen Kommission fallen, ansässig sein können.

Der Datenverantwortliche kann diese Zustimmung jederzeit widerrufen. Damit wird jedoch die bestehende Vereinbarung beendet und der Datenverarbeiter kann keine Dienstleistungen mehr erbringen.

Wenn Unterauftragsverarbeiter außerhalb der EU / des EWR oder außerhalb von Gebieten, die durch die Europäischen Kommission für zulässig erklärt wurden, ansässig sind oder dort personenbezogene Daten speichern, dann ist der Auftragsverarbeiter dafür verantwortlich, eine hinreichende Grundlage für die Übermittlung personenbezogener Daten im Auftrag des Datenverantwortlichen in ein Drittland zu gewährleisten, einschließlich der Verwendung von Standardvertragsklauseln der Europäischen Kommission oder spezifischer Maßnahmen, die vorher von der Europäischen Kommission genehmigt wurden.

Der Datenverantwortliche muss informiert werden, bevor der Auftragsverarbeiter seine Unterauftragsverarbeiter austauscht. Der Datenverantwortliche kann dann einem neuen Unterauftragsverarbeiter, der seine personenbezogenen Daten im Auftrag des Auftragsverarbeiters verarbeitet, widersprechen. Dies gilt allerdings nur dann, wenn der Unterauftragsverarbeiter die Daten nicht im Einklang mit den einschlägigen Datenschutzvorschriften verarbeitet. Der Auftragsverarbeiter kann die Einhaltung der Vorschriften nachweisen, indem er dem Datenverantwortlichen Zugang zu der vom Auftragsverarbeiter durchgeführten Datenschutzbeurteilung gewährt.

Ist der Datenverantwortliche weiterhin nicht mit der Inanspruchnahme des Unterauftragsverarbeiters einverstanden, kann er sein Abonnement des Dienstes ohne die übliche Kündigungsfrist kündigen und sicherstellen, dass seine personenbezogenen Daten nicht von dem abgelehnten Unterauftragsverarbeiter verarbeitet werden.

Laufzeit der Vereinbarung

Die Vereinbarung bleibt gültig, solange der Auftragsverarbeiter personenbezogene Daten im Rahmen der Nutzung der Dienstanwendung durch den Datenverantwortlichen verarbeitet und solange sie nicht durch eine andere unterzeichnete DPA ersetzt wird, die ihren Vorrang vor dieser Vereinbarung begründet.

Kündigung der Vereinbarung

Sollte der Datenverantwortliche beschließen, den Dienst nicht mehr zu nutzen, unabhängig davon, ob es sich um ein Abonnement handelt oder nicht, kann der Datenverantwortliche auch alle seine Profildaten löschen. Nach der Durchführung des vom Datenverantwortlichen eingeleiteten Datenlöschungsverfahrens löscht der Auftragsverarbeiter alle personenbezogenen Daten, mit Ausnahme derjenigen, die er aufgrund geltender gesetzlicher Vorschriften aufbewahren muss. In diesem Fall werden die Daten in Übereinstimmung mit den technischen und organisatorischen Sicherheitsvorkehrungen von SumUp gespeichert.

Der Datenverantwortliche hat die Möglichkeit, alle seine personenbezogenen Daten innerhalb der Dienstanwendung abzurufen. Fordert der Datenverantwortliche Unterstützung bei der Datenabfrage an, werden die damit verbundenen Kosten im Einvernehmen zwischen den Parteien festgelegt und richten sich nach der Komplexität des angeforderten Prozesses und der Zeit, die für dessen Durchführung benötigt wird.

Änderungen der Vereinbarung

Änderungen der Vereinbarung können vom Auftragsverarbeiter in einem gesonderten Anhang zur Vereinbarung oder auf andere für den Datenverantwortlichen sichtbare Weise vorgenommen und dem Datenverantwortlichen mitgeteilt werden. Sollten einzelne Bestimmungen der Vereinbarung unwirksam sein, so bleiben die übrigen Bestimmungen davon unberührt. Die Parteien werden die unwirksamen Bestimmungen durch eine rechtsgültige Regelung ersetzen, die dem Zweck der unwirksamen Bestimmung entspricht.

Prüfungen

Der Datenverantwortliche ist berechtigt, einmal im Jahr eine Überprüfung der Verpflichtungen des Auftragsverarbeiters zu veranlassen, die sich aus der Vereinbarung ergeben. Wenn der Auftragsverarbeiter nach den geltenden Rechtsvorschriften dazu verpflichtet ist, können die Prüfungen einmal jährlich wiederholt werden. Die Parteien entscheiden gemeinsam, ob ein Dritter die Prüfung durchführen soll. Der Datenverantwortliche kann dem Auftragsverarbeiter jedoch gestatten, die Sicherheitsüberprüfung durch einen neutralen Dritten seiner Wahl durchführen zu lassen, sofern es sich um eine Verarbeitungsumgebung handelt, in der Daten mehrerer Datenverantwortlicher verarbeitet werden.

Folgt der vorgeschlagene Umfang der Prüfung einem ISAE-, ISO- oder ähnlichen Zertifizierungsbericht, der von einem qualifizierten externen Prüfer innerhalb der vorangegangenen zwölf Monate durchgeführt wurde, und bestätigt der Auftragsverarbeiter, dass es bei den zu prüfenden Maßnahmen keine wesentlichen Änderungen gegeben hat, so genügt dies allen Anfragen, die innerhalb dieses Zeitrahmens eingehen. Die Prüfungen dürfen die normale Geschäftstätigkeit des Auftragsverarbeiters nicht in unangemessener Weise beeinträchtigen. Der Datenverantwortliche ist für alle Kosten verantwortlich, die mit seinem Antrag auf eine Prüfung verbunden sind.

Verantwortlichkeiten und Gerichtsstand

Die Haftung für Handlungen, die sich aus einem Verstoß gegen die Bestimmungen dieser Vereinbarung ergeben, richtet sich nach den Haftungs- und Schadensersatzregelungen in den Allgemeinen Geschäftsbedingungen von SumUp Rechnungsstellung & Buchführung. Dies gilt auch für Verstöße durch Unterauftragsverarbeiter des Auftragsverarbeiters. Diese Vereinbarung unterliegt den Gesetzen von Irland und wird in Übereinstimmung mit diesen ausgelegt, und den Gerichten von Irland obliegt die ausschließliche Rechtsprechung über die Entscheidung von Streitigkeiten in Bezug auf diese Vereinbarung.

Anhang A – Kategorien personenbezogener Daten und übliche Verarbeitungskategorien

1. Kategorien personenbezogener Daten (die Liste ist nicht erschöpfend)

  • Name

  • Adresse

  • Telefonnummer(n)

  • E-Mail-Adresse(n)

  • Adresse(n)

  • Kontonummern und/oder Bankdaten

2. Übliche Verarbeitungskategorien (die Liste ist nicht erschöpfend)

  • Mitarbeiter des Datenverantwortlichen

  • Kontakte des Datenverantwortlichen (Telefon/E-Mail-Adressen/Adressen/etc.), Die Kunden des Datenverantwortlichen, Die Bankdaten des Datenverantwortlichen

  • Die Mitarbeiter der Kunden

  • Kontakte der Kunden (Telefon/E-Mail-Adressen/Adressen/etc.), Die Kunden der Kunden

  • Die Bankdaten der Kunden der Kunden