Datenverarbeitungsvereinbarung

Mit Wirkung vom 09.04.2020

Zuletzt aktualisiert am 15.12.2021

Diese Datenverarbeitungsvereinbarung („DPA“) ist Teil der und unterliegt den Bestimmungen der E-Commerce-Bedingungen von SumUp (die „Vereinbarung“, die „Zusatzbedingungen“), der Datenschutzbestimmungen und aller anderen geltenden Geschäftsbedingungen von SumUp (hier die „Geschäftsbedingungen“, „Datenschutzbestimmungen“), die in beidseitigem Einvernehmen zwischen Ihnen, als SumUp-Händler („Sie“, „Datenverantwortlicher“), und SumUp Limited, Block 8, Harcourt Centre, Charlotte Way, Dublin 2, Ireland D02 K580 („SumUp“, „wir“, „Datenverarbeiter“), Teil der SumUp S.A.R.L. Group Companies – SumUp Group, geschlossen wurden.

Jede Partei erklärt sich damit einverstanden und stellt sicher, dass die Bestimmungen dieser DPA auch auf ihre Partner, die an der Verarbeitung personenbezogener Daten für die in den Zusatzbedingungen definierten Services beteiligt sein können, uneingeschränkt Anwendung finden. SumUp stellt insbesondere sicher, dass alle Unterverarbeiter die Daten Ihrer Kunden gemäß den gleichen Bedingungen verarbeiten, die in dieser DPA festgelegt sind.

Um die Services im Rahmen der Zusatzbedingungen für Sie erbringen zu können, verarbeitet SumUp Daten von Kunden oder Besuchern Ihrer Webseite oder Dienstleistungen („Ihre Kunden“, „Kunden“). Die Verarbeitung solcher Daten durch SumUp wird im Folgenden als „Verarbeitung“ bezeichnet (entsprechend der Begriffsdefinition in der DSGVO). Die folgende Datenverarbeitungsvereinbarung legt die Bedingungen für eine solche Verarbeitung durch SumUp fest.

1. Definitionen

1.1. „Geltende Datenschutzvorschriften“ steht für Verordnung (EU) 2016/679 (die „Datenschutz-Grundverordnung“, „DSGVO“, die „Verordnung“) sowie alle anderen geltenden Rechtsvorschriften, welche die Verarbeitung personenbezogener Daten regeln, einschließlich der Datenschutzrichtlinie 2002/58/EG für elektronische Kommunikation.

1.2. Die Begriffe  „Verantwortlicher“„betroffene Person“„personenbezogene Daten“, „verarbeiten“, „Verarbeitung“ und „Auftragsverarbeiter“ haben die gleiche Bedeutung, die diesen Begriffen in der DSGVO zugewiesen ist.

1.3. „Inhalte“ steht für Ihre Inhalte und für alle Inhalte, die SumUp von Ihren Kunden zur Verfügung gestellt werden, einschließlich, aber nicht beschränkt auf, Texte, Fotos, Bilder, Audiomaterial, Videomaterial, Code, Informationen von Cookies oder ähnlichen Tracking-Technologien sowie andere Materialien.

1.4. „Daten Ihrer Kunden“  steht für die personenbezogenen Daten in den Inhalten Ihrer Kunden, die durch SumUp in Ihrem Auftrag im Rahmen der Services verarbeitet werden. Daten Ihrer Kunden beinhalten keine personenbezogenen Daten, falls SumUp für die entsprechenden Daten verantwortlich ist. Alle Definitionen, die in der vorliegenden DPA verwendet werden, aber in diesem Abschnitt nicht ausdrücklich definiert sind, haben die in den Zusatzbedingungen definierte Bedeutung. Falls in den Zusatzbedingungen oder in den Geschäftsbedingungen keine spezifische Definition festgelegt ist, entspricht die Bedeutung der Definition, die dem entsprechenden Begriff in der DSGVO oder, sofern nicht in der Verordnung definiert, in den anderen geltenden Regeln zugewiesen ist.

2. Anwendbarkeit. Diese DPA gilt nur in Bezug auf die Daten Ihrer Kunden und nur, falls die DSGVO anwendbar ist. Sie erklären sich damit einverstanden, dass SumUp nicht für personenbezogene Daten verantwortlich ist, die auf Ihre Auswahl hin über Dienste von Dritten oder außerhalb der Services verarbeitet haben, einschließlich Systemen von Cloud-Diensten Dritter und die Offline- oder Vor-Ort-Speicherung.

3. Details zur Datenverarbeitung

3.1. Gegenstand. Der Gegenstand der Datenverarbeitung im Rahmen dieser DPA sind die Daten Ihrer Kunden.

3.2. Dauer. Die Dauer der Datenverarbeitung im Rahmen dieser DPA zwischen Ihnen und uns wird durch Sie und durch den ausgewählten Zeitraum, über den Sie unsere Services verwenden, festgelegt.

3.3. Zweck. Der Zweck der Datenverarbeitung im Rahmen dieser DPA ist die Erbringung und Verbesserung der von Ihnen in Anspruch genommenen Services. 

3.4. Art der Verarbeitung. Die Services, die in den Zusatzbedingungen beschrieben sind und von Zeit zu Zeit durch Sie in Anspruch genommen werden.

3.5. Art der personenbezogenen Daten. Die Daten Ihrer Kunden, die sich auf Sie, Ihre Kunden oder andere Personen beziehen, deren personenbezogene Daten in Inhalten enthalten sind, die im Rahmen der Services gemäß den erteilten Anweisungen verarbeitet werden. Zu diesen Daten gehören unter anderem, jedoch nicht ausschließlich, die Namen, E-Mail-Adressen, Handy-/Telefonnummern, physischen Adressen, Bankverbindungen, Zahlungsverläufe und IP-Adressen Ihrer Kunden. Besondere Kategorien personenbezogener Daten, einschließlich von Daten, die sich auf strafrechtliche Verurteilungen und Straftaten beziehen, gelten nicht als im Rahmen der Services verarbeitet und sind von den Bestimmungen dieser DPA ausgenommen. Falls solche Daten während der Verwendung unserer Services verarbeitet werden, geschieht dies, ohne dass SumUp Kenntnis davon hat, und Sie haben solche Informationen unverzüglich zu löschen, sobald Sie einen solchen Verarbeitungsvorgang festgestellt haben.

3.6. Kategorien von betroffenen Personen. Sie, Ihre Kunden, die potenziellen Kunden Ihrer Kunden und alle anderen Personen, deren personenbezogene Daten Bestandteil der Inhalte sind.

4. Rechte und Pflichten

4.1. Soweit die Daten Ihrer Kunden in Ihrem Auftrag durch SumUp verarbeitet werden und diese Verarbeitung den geltenden Datenschutzvorschriften (Verordnung (EU) 2016/679; die „DSGVO“) unterliegt, erkennen Sie an und erklären Sie sich damit einverstanden, dass Sie für die Zwecke der Erbringung der Services durch SumUp der Datenverantwortliche für diese personenbezogenen Daten sind, und dass Sie durch die Verwendung der Services von SumUp SumUp dazu angewiesen haben, die Daten Ihrer Kunden in Ihrem Auftrag gemäß dieser DPA zu verarbeiten.

4.2. Sie können die Annahme dieser DPA jederzeit widerrufen, dadurch ist es SumUp jedoch nicht mehr möglich, den Service für Sie zu erbringen.

4.3. SumUp, in ihrer Eigenschaft als Verarbeiter von personenbezogenen Daten:

A. verarbeitet die Daten Ihrer Kunden nur für die in der DPA angegebenen Zwecke und in Übereinstimmung mit dem geltenden Recht und der DPA;

B. darf nur in Übereinstimmung mit Ihrer dokumentierten Anweisung handeln und die Daten Ihrer Kunden verarbeiten, sofern keine Gesetze, Gerichtsbeschlüsse oder gesetzgeberische Maßnahmen nicht ausdrücklich ein Handeln ohne eine solche Anweisung erforderlich machen. Ihre Anweisung zum Zeitpunkt des Abschlusses dieser DPA lautet, dass SumUp die Daten Ihrer Kunden wie in der Datenschutzvereinbarung und den Zusatzbedingungen beschrieben nur zum Zweck der Erbringung der Services verarbeiten darf. Vorbehaltlich der Bestimmungen dieser DPA und im gegenseitigen Einvernehmen beider Parteien können Sie zusätzliche schriftliche Anweisungen in Übereinstimmung mit den Bestimmungen dieser DPA erteilen;

C. garantiert, dass sich die Personen, die zur Verarbeitung personenbezogener Daten berechtigt sind, an eine Vertraulichkeitspflicht gebunden haben oder rechtlich zur Wahrung der Vertraulichkeit verpflichtet sind;

D. garantiert, dass der Zugang zu den personenbezogenen Daten für die Erbringung der Services im Rahmen der Zusatzbedingungen auf Need-to-know-Basis gewährt wird;

E. ist dafür verantwortlich, sicherzustellen, dass Angestellte/Unterauftragnehmer und/oder Vertreter, welche die Daten Ihrer Kunden verarbeiten, die personenbezogenen Daten ausschließlich gemäß Ihren Anweisungen verarbeiten;

F. informiert Sie unverzüglich, falls wir der Ansicht sind, dass Anweisungen von Ihnen im Widerspruch zu geltenden Datenschutzvorschriften stehen;

G. ist dazu verpflichtet, die Daten Ihrer Kunden im Rahmen dieser DPA vor jedweder Vernichtung, Änderung, Verlust und jeder anderen unberechtigten Verarbeitung zu schützen. Zu diesem Zweck ergreift SumUp geeignete Sicherheitsmaßnahmen im Einklang mit dem geltenden Recht. Die technischen und organisatorischen Maßnahmen, die SumUp anwendet, sind vom Stand der Technik abhängig. Es ist möglich, dass SumUp verschiedene alternative geeignete Maßnahmen einführt. Bei der Einführung solcher Alternativen ist es nicht möglich, das Niveau der festgelegten Sicherheitsmaßnahmen zu senken. SumUp wird Sie bei Bedarf mit angemessenen technischen und organisatorischen Maßnahmen unterstützen, und unter Berücksichtigung der Art der Behandlung und der Kategorie der SumUp zur Verfügung stehenden Informationen dabei helfen, die Einhaltung Ihrer Verpflichtungen gemäß der geltenden Datenschutzvorschriften zu gewährleisten;

H. stellt auf Ihren angemessene Antrag hin Nachweise zur Verfügung, welche die Einhaltung der Verpflichtungen von SumUp gemäß dieser DPA und der geltenden Datenschutzvorschriften demonstrieren; und/oder stellt Informationen zur Verfügung, die erforderlich sind, um die Einhaltung der Verpflichtungen gemäß dieser DPA und der geltenden Datenschutzvorschriften zu demonstrieren. Die Informationen, die durch SumUp zur Verfügung gestellt werden müssen, beschränken sich unter Berücksichtigung der Art der Services und der SumUp zur Verfügung stehenden Informationen ausschließlich auf die Informationen, die erforderlich sind, um Sie bei der Erfüllung Ihrer Verpflichtungen zu unterstützen, insbesondere im Hinblick auf Art. 32 und 36 der DSGVO (Verpflichtungen in Bezug auf Datenschutzfolgenabschätzungen, eine vorherige Konsultation und eine Gewährleistung der Sicherung personenbezogener Daten);

I. unterstützt Sie innerhalb einer angemessenen Frist durch geeignete Maßnahmen und, soweit dies zumutbarerweise (unter Berücksichtigung der Art der Verarbeitung) möglich ist, bei der Einhaltung der Rechte betroffener Personen und aller anderen relevanten Verpflichtungen gemäß den Datenschutzvorschriften, einschließlich der DSGVO;

J. benachrichtigt Sie, sofern dies nach geltendem Recht zulässig ist, nach Erhalt eines Antrags oder einer Beschwerde von betroffenen Personen, deren personenbezogene Daten in Ihren Inhalten enthalten sind, oder nach Erhalt einer verbindlichen Aufforderung durch eine Regierung, Strafverfolgungsbehörde, Aufsichtsbehörde oder eine andere Stelle in Bezug auf die Daten Ihrer Kunden, die wir in Ihrem Auftrag verarbeiten.

4.4. Sie, in der Eigenschaft als Verantwortlicher für die personenbezogenen Daten:

A. sammeln, verwenden und verarbeiten personenbezogene Daten in den Inhalten in Übereinstimmung mit allen geltenden Datenschutzvorschriften;

B. tragen die alleinige Verantwortung für die Richtigkeit, Qualität und rechtmäßige Verarbeitung der Daten Ihrer Kunden und der Mittel, mit denen diese erlangt wurden;

C. gewährleisten ein angemessenes Sicherheitsniveau bei der Verwendung der Services unter Berücksichtigung aller Risiken in Bezug auf die Daten Ihrer Kunden;

D. erkennen an, dass Ihre Speicherung von Daten Ihrer Kunden und/oder Ihre Übermittlung von Daten Ihrer Kunden an Dritte oder an andere Plattformen, als die Plattform von SumUp, auf Ihr alleiniges Risiko und Ihre alleinige Verantwortung erfolgt.

E. stellen sicher, dass Ihre Anweisungen in Bezug auf die Verarbeitung personenbezogener Daten allen Gesetzen, Vorschriften und Regeln entsprechen, die sich auf die Daten Ihrer Kunden beziehen. Sie stellen auch sicher, dass die Verarbeitung der Daten Ihrer Kunden gemäß Ihren Anweisungen nicht dazu führt, dass wir oder Sie gegen Gesetze, Regeln oder Vorschriften (einschließlich der DSGVO) verstoßen.

5. Benachrichtigungen über Verletzungen. Die Partei informiert die andere Partei unverzüglich (spätestens jedoch innerhalb von 48 Stunden), nachdem sie von einer Verletzung gegen den Schutz personenbezogener Daten im Zusammenhang mit der Verarbeitung personenbezogenen Daten im Rahmen dieser DPA Kenntnis erlangt hat. SumUp unterstützt Sie bei der Einhaltung Ihrer Meldepflichten gemäß der Artikel 33 und 34 der DSGVO und stellt Ihnen Informationen über die Verletzung zur Verfügung, die wir Ihnen zumutbarerweise unter Berücksichtigung der Art der Services, der uns zur Verfügung stehenden Informationen und etwaiger Beschränkungen über die Offenlegung von Informationen, bspw. aus Gründen der Vertraulichkeit, offenlegen können. Unbeschadet des Vorstehenden gelten die Verpflichtungen von SumUp gemäß diesem Abschnitt nicht für Vorfälle, die durch Sie, durch Aktivitäten auf Ihrem Account und/oder durch Dienste von Dritten verursacht wurden. SumUp ist dazu verpflichtet, mit Ihnen zusammenzuarbeiten und Sie bei der Untersuchung, der Minimierung der negativen Folgen und der Behebung der Datenschutzverletzung sowie bei der Verhinderung künftiger ähnlicher Datenschutzverletzungen zu unterstützen. Die Benachrichtigung durch SumUp über eine Verletzung des Schutzes personenbezogener Daten gilt nicht als Anerkennung eines Versäumnisses oder einer Haftpflicht in Bezug auf einen entsprechenden Vorfall durch SumUp. Im Falle einer Verletzung gegen den Schutz personenbezogener Daten sind Sie dazu verpflichtet, die nach geltendem Recht erforderlichen Maßnahmen im Zusammenhang mit den Daten Ihrer Kunden zu ergreifen.

6. Unterverarbeiter. Hiermit erteilen Sie SumUp die allgemeine Genehmigung, zum Zweck der Erbringung der Services Unterverarbeiter zu beauftragen, ohne dafür weitere schriftliche Genehmigungen einholen zu müssen. SumUp schließt mit jedem Unterverarbeiter eine Vereinbarung ab, die sicherstellt, dass der entsprechende Unterverarbeiter mindestens das gleiche Schutz- und Sicherheitsniveau gewährleistet, das in dieser DPA festgelegt ist. Falls Sie gegen einen der beauftragten Unterverarbeiter Einspruch erheben und dieser Einspruch begründet ist und mit Datenschutzbedenken in Zusammenhang steht, werden wir wirtschaftlich vertretbare Anstrengungen unternehmen, um Ihnen Mittel zur Verfügung zu stellen, mit denen die Verarbeitung der Daten Ihrer Kunden durch den entsprechenden Unterverarbeiter vermieden werden kann. Falls es uns nicht möglich ist, die vorgeschlagenen Änderungen innerhalb einer angemessen Frist zur Verfügung zu stellen, werden wir Sie hierüber benachrichtigen. Sollten Sie weiterhin Einspruch gegen den von uns beauftragten Unterverarbeiter erheben, können Sie Ihren Account oder, falls möglich, die Bestandteile der Services, welche die Beauftragung des entsprechenden Unterverarbeiters erfordern, kündigen oder beenden.

7. Übermittlung von persönlichen Daten. Die Verarbeitung der Daten Ihrer Kunden findet innerhalb des Europäischen Wirtschaftsraums („EWR“) statt. Jedwede Übermittlung an Drittländer und Verarbeitung in Drittländern außerhalb der EU/des EWR, die laut Europäischer Kommission kein angemessenes Schutzniveau gewährleisten, erfolgt in Übereinstimmung mit den Standardvertragsklauseln oder anderen geeigneten Mechanismen, die ein angemessenes Sicherheitsniveau für personenbezogene Daten gemäß den Anforderungen von Kapitel 5 der DSGVO garantieren.

8. Prüfungen. Sie sind dazu berechtigt, einmal jährlich eine Überprüfung der Verpflichtungen von SumUp im Rahmen dieser DPA zu beantragen. Falls SumUp nach den geltenden Rechtsvorschriften dazu verpflichtet ist, können Prüfungen einmal jährlich wiederholt werden. Beide Parteien entscheiden gemeinsam darüber, ob die Prüfung durch Dritte durchgeführt werden soll. Sie haben jedoch die Möglichkeit, uns die Erlaubnis zu geben, die Sicherheitsprüfung durch einen neutralen Dritten unserer Wahl durchführen zu lassen, falls es sich um eine Verarbeitungsumgebung handelt, in der die Daten mehrerer Datenverantwortlicher verarbeitet werden. Falls der vorgeschlagene Umfang der Prüfung einem ISO- oder ähnlichen Zertifizierungsbericht folgt, der von einem qualifizierten externen Prüfer innerhalb der vorhergehenden zwölf Monate durchgeführt wurde, und SumUp bestätigt, dass es bei den zu überprüfenden Maßnahmen keine wesentlichen Änderungen gegeben hat, sind hierdurch alle Anträge erfüllt, die innerhalb der jeweiligen Frist eingegangen sind. Die üblichen Geschäftsaktivitäten von SumUp dürfen durch Prüfungen nicht in unzumutbarerweise beeinträchtigt werden. Sie sind für alle Kosten verantwortlich, die mit Ihrem Antrag auf Prüfung verbunden sind.

9. Haftung. Die Haftung jeder Partei im Rahmen dieser DPA unterliegt den Haftungsausschlüssen und -beschränkungen, die in den Zusatzbedingungen und/oder Geschäftsbedingungen festgelegt sind. Sie erklären sich damit einverstanden, dass durch alle behördlichen Strafen oder Ansprüche von betroffenen Personen oder Dritten, die für SumUp im Zusammenhang mit den Daten Ihrer Kunden entstehen und die sich infolge oder in Verbindung mit Ihrer Nichteinhaltung der in dieser DPA oder den geltenden Datenschutzvorschriften festgelegten Verpflichtungen ergeben, die maximale Gesamthaftung von SumUp Ihnen gegenüber, die in den Zusatzbedingungen und/oder den Geschäftsbedingungen festgelegt ist, in derselben Höhe sinkt, wie die uns daraus entstandene Strafe und/oder die uns daraus entstandene Haftung.

10. Beendigung. Diese DPA ist so lange wirksam, wie Sie Services von SumUp in Anspruch nehmen. Falls SumUp jedoch gemäß den Bestimmungen dieser DPA oder gemäß Geschäftsbedingungen von SumUp dazu verpflichtet ist, personenbezogene Daten nach Beendigung der Services aufzubewahren, bleibt diese DPA so lange wirksam, wie SumUp zur Aufbewahrung dieser personenbezogenen Daten verpflichtet ist. Nachdem die Verwendung der Services beendet wurde und vorausgesetzt, dass SumUp im Rahmen der Zusatzbedingungen und/oder Geschäftsbedingungen von SumUp, Verträgen oder geltenden Rechtsvorschriften nicht zur Aufbewahrung der Daten Ihrer Kunden verpflichtet ist, wird SumUp die Daten Ihrer Kunden, unter anderem auch auf Ihren schriftliche Antrag hin, so schnell wie zumutbarerweise möglich und in Übereinstimmung mit den Geschäftsbedingungen von SumUp sowie den geltenden Rechtsvorschriften löschen.

11. Verschiedene Bestimmungen.

11.1. Im Falle eines Widerspruchs zwischen dieser DPA und Zusatzbedingungen und/oder Geschäftsbedingungen von SumUp, sind die Bestimmungen dieser DPA maßgebend.

11.2. Sie sind für alle Kosten und Ausgaben verantwortlich, die sich aus der Erfüllung Ihrer Anweisungen oder Anträge durch SumUp gemäß den Zusatzbedingungen (einschließlich dieser DPA) ergeben, die nicht Teil der Standardfunktionalität sind, die SumUp allgemein über die Services bereitstellt.

11.3. SumUp ist dazu berechtigt, die Bestimmungen dieser DPA je nach Bedarf von Zeit zu Zeit zu ändern und/oder anzupassen. Änderungen an der Vereinbarung können von SumUp durch einen separaten Anhang oder durch andere sichtbare Mittel vorgenommen werden, und werden in angemessener Weise mitgeteilt.

11.4. Fragen zu dieser DPA oder andere Anträge zur Verarbeitung personenbezogener Daten sind über [email protected] an uns zu richten. SumUp wird versuchen, alle Beschwerden bezüglich der Verwendung der Daten Ihrer Kunden gemäß dieser DPA, den Geschäftsbedingungen und den internen Richtlinien von SumUp zu klären.

11.5. Falls Bestimmungen der DPA für ungültig erachtet werden, so hat dies keine Auswirkungen auf die übrigen Bestimmungen. Die Parteien werden ungültige Bestimmungen durch rechtsgültige Bestimmungen ersetzen, die dem Zweck der ungültigen Bestimmungen entsprechen.

11.6. Diese Vereinbarung unterliegt dem Recht des Vereinigten Königreichs und wird gemäß diesem ausgelegt. Alle Streitigkeiten, die aus oder im Zusammenhang mit dieser Vereinbarung hervorgehen, werden endgültig vor die Gerichte des Vereinigten Königreichs gebracht und von diesen beigelegt, sofern dies nicht gegen das geltende EU-Recht verstößt.