secupay bietet Ratgeber zu DSGVO und handelt konform

23.05.2018

 

Ab 25. Mai 2018 greift die EU-Datenschutzgrundverordnung (EU-DSGVO). Damit gelten EU-weit neue Regeln, unter anderem für Unternehmen, Selbstständige, öffentliche Einrichtungen und Vereine. Mit der DSGVO soll der europäische Datenschutz harmonisiert werden. Im Vordergrund stehen mehr Kontrollmöglichkeiten für Bürger über ihre Daten sowie gleiche Wettbewerbsbedingungen für Unternehmen innerhalb der EU. Die DSGVO ist ein umfassendes Regelwerk und für viele ein Buch mit sieben Siegeln. secupay fasst die wichtigsten Regeln für Unternehmen zusammen und bietet zudem einen detaillierten Ratgeber unter http://www.secucard.com/dsgvo zum Download an.

Die DSGVO regelt einheitlich europaweit das Datenschutzrecht und somit den Umgang mit personenbezogenen Daten. Die Transparenz der Datennutzung soll damit gewährleistet sein und der Nutzer entscheidet eigenständig, welche Daten er preisgibt und was mit seinen Daten geschieht.

Die DSGVO gilt gleichermaßen für große Konzerne wie für kleine Betriebe. Jeder, der personenbezogene Daten automatisiert verarbeitet, wird von der neuen Verordnung berührt. Das betrifft in erster Linie Unternehmen, Selbstständige, öffentliche Stellen und Vereine. Privatpersonen sind ausgenommen, sofern sie die erhobenen Daten für persönliche oder familiäre Zwecke verwenden. Ausnahmen ergeben sich auch für Journalisten, die personenbezogene Daten für ihre Berichterstattung nutzen. Unter personenbezogene Daten fallen beispielsweise Name, Geburtsdatum, E-Mail-Adresse, aber auch Kontoverbindung, Steuernummer, Autokennzeichen und IP-Adresse.

 

Welche Rechte bringt die DSGVO für den Bürger?

Im Wesentlichen erhält der Bürger mit der neuen Regelung höhere Transparenz und Hoheit über personenbezogene Daten. Jedem EU-Bürger stehen dann umfassende Auskünfte darüber zu, welche seiner Daten gespeichert werden und zu welchem Zweck. Mit der DSGVO wird auch ein „Recht auf Vergessen“ eingeführt, welches in besonderen Fällen eingefordert werden kann. Dieses Löschungsrecht bezieht sich insbesondere auf die Anzeige personenbezogener Daten in Suchmaschinen. Die neue Verordnung bringt zudem organisatorische Vorteile mit sich: Das "Recht auf Datenübertragbarkeit" gibt dem Verbraucher die Möglichkeit, seine Daten von einem Anbieter zum nächsten mitzunehmen. Diese Erleichterung ist insbesondere für die Nutzung digitaler Dienste interessant.

 

 

Wen betrifft die DSGVO und inwieweit?

Künftig müssen sich alle Unternehmen, die Waren und Dienstleistungen in der EU anbieten, nach der DSGVO richten. Somit ergeben sich gleiche Wettbewerbsbedingungen für europäische und außereuropäische Unternehmen, aber auch gründlichere Dokumentationspflichten. Von der Verordnung betroffen sind grundsätzlich alle Gewerbetreibenden sowie ein großer Teil der öffentlichen Stellen, die personenbezogene Daten erheben und verarbeiten.

In der Verordnung sind vier Schutzziele genannt: Vertraulichkeit (d.h., Daten sind für unberechtigte Dritte nicht zugänglich), Integrität (d.h., Daten können nicht verfälscht werden), Verfügbarkeit (d.h. Daten stehen zur Verfügung, wenn sie gebraucht werden) und als neues Schutzziel ist die „Belastbarkeit“ (Widerstandsfähigkeit) der Systeme und Dienste definiert. Für Unternehmen ergeben sich daraus unterschiedliche Konsequenzen, die im Zusammenhang mit der Unternehmensgröße stehen. Sind mindestens zehn Mitarbeiter mit der automatisierten Verarbeitung von Daten betraut, muss ein Datenschutzbeauftragter an die Landesbehörde gemeldet werden. Kleineren Betrieben wird daher in der Regel kein Datenschutzbeauftragter abverlangt, es sei denn das Unternehmen verarbeitet personenbezogene Daten, welche ein besonderes Risiko für die Rechte und Freiheiten der betroffenen Person darstellt. Diese Daten sind Angaben zu:

  • rassischer und ethnischer Herkunft
  • religiöser oder weltanschaulicher Überzeugungen
  • Gewerkschaftszugehörigkeit
  • genetischen Daten und biometrischen Daten zur eindeutigen Identifizierung einer natürlichen Person
  • Gesundheitsdaten
  • Sexualleben oder der sexuellen Orientierung

Generell müssen die Unternehmen stärker Rechenschaft abgeben, z. B. den Nachweis erbringen, dass ein Kunde seine ausdrückliche Zustimmung zur Speicherung und Verwendung seiner Daten gegeben hat. Unternehmen müssen zudem in einem "Verzeichnis von Verarbeitungstätigkeiten" detailliert festhalten, wie die Kundendaten geschützt werden und wer auf diese Zugriff hat. Daten dürfen weiterhin nur zweckgebunden verwendet werden. Eine E-Mail-Adresse beispielsweise, die dem Empfang eines Newsletters dient, darf vom Unternehmen nicht für andere Zwecke genutzt werden. Unternehmen sollten überprüfen, ob für die erhobenen Nutzer- und Kundendaten die nötigen Einwilligungserklärungen vorliegen und inwiefern eine Speicherung dieser Daten überhaupt erforderlich ist. Eine Einwilligung in den Erhalt von Newslettern darf nicht von einem Vertragsabschluss abhängig gemacht werden.

 

Was geschieht bei Nichtachtung?

Bei Nichteinhaltung der Vorgaben drohen hohe Bußgeldstrafen von bis zu 20 Millionen Euro oder 4 Prozent des weltweiten Vorjahresumsatzes. Verstöße gegen die neue DSGVO können von allen Datenschutzbehörden der EU-Staaten geahndet werden. In Deutschland ist im Regelfall der jeweilige Landesdatenschutzbeauftragte zuständig, der andere Behörden in die Prüfungen einbeziehen kann. Dabei wird konkreten Hinweisen nachgegangen, es werden aber auch Stichproben durchgeführt.

Datenpannen in Unternehmen sind von der Regelung nicht ausgenommen. Ergeben sich für Betroffene dadurch Risiken, müssen solche Vorfälle innerhalb von 72 Stunden der zuständigen Aufsichtsbehörde gemeldet werden. Zur Erleichterung von Beschwerden seitens des Verbrauchers wird der so genannte "One-Stop-Shop" eingeführt. Dies ermöglicht es EU-Bürgern, sich an ihre eigene länderspezifische Aufsichtsbehörde in ihrer Amtssprache zu wenden, unabhängig davon, in welchem Land der Datenschutzverstoß passiert ist.

 

Nichtanwendbarkeit der Auftragsverarbeitung bei secupay

Die Tätigkeit der secupay AG ist keine Auftragsverarbeitung. Bei der sogenannten Auftragsverarbeitung erhebt, verarbeitet und/oder nutzt ein externer Dienstleister („Auftragsverarbeiter“) die personenbezogenen Daten für ein anderes Unternehmen („Auftraggeber“). Hierbei arbeitet der Auftragsverarbeiter im Namen und auf Weisung des Auftraggebers. Auftragsverarbeiter sind beispielsweise externe Call Center und Rechenzentren sowie Dienstleister im Entsorgungsconsulting, die mit der Vernichtung von Datenträgern und Akten betraut sind. Der Auftraggeber behält hierbei die volle Verantwortung, fungiert als „Verantwortliche Stelle“ für die datenschutzrechtlichen Belange. Der Auftraggeber weist und kontrolliert jeden Schritt der Datenverarbeitung beim Auftragnehmer. Er muss dabei beachten, dass er für Datenschutzverstöße des Auftragnehmers haftet. Der Auftraggeber ist verpflichtet, alle Weisungen und Sicherheitsvorfälle zu dokumentieren. Auch der Abschluss eines Auftragsverarbeitungsvertrages ist erforderlich.

Bei der Beauftragung der secupay AG handelt es sich um die Inanspruchnahme fremder Fachleistungen bei einem eigenständig Verantwortlichen (vgl. Kurzpapier Nr. 13 Auftragsverarbeitung, Art. 28 DS-GVO der unabhängigen Datenschutzbehörden des Bundes und der Länder). Eingesetzte Dienstleister der secupay werden über einen Auftragsverarbeitungsvertrag verpflichtet, angewiesen und fortlaufend kontrolliert.

 

Wie unterstützt secupay Händler bei der Umsetzung der neuen Richtlinie?

Alle Informationen müssen zukünftig „in präziser, transparenter, verständlicher und leicht zugänglicher Form in einer klaren und einfachen Sprache” übermittelt werden. Bei der Erstellung der Datenschutzerklärung muss daher großes Augenmerk auf sorgfältige Formulierungen gelegt werden. DSGVO-konforme Datenschutzerklärungen fallen nun in der Regel länger und ausführlicher aus als bisher. Im nachfolgenden Absatz „Datenschutzerklärung der secupay AG für Händler und Dienstleister“ ist ein der neuen Verordnung angepasster Textbaustein zur Integration in die Datenschutzerklärung der Händler und Dienstleister aufgeführt.

Die secupay AG handelt DSGVO-konform und gibt umfangreiche Hilfestellung bei Fragen zur neuen EU-Verordnung. Der „Ratgeber DSGVO – mit secupay in guten Händen“ dient Unternehmen als Leitfaden, um DSGVO-gerecht agieren zu können. Der Ratgeber behandelt neben den theoretischen Grundlagen relevante praxisbezogene Themen wie Newsletterversand, Datenschutzbeauftragter oder Datenpannen. Er steht unter https://www.secupay.com/de/dsgvo zum Download bereit.

 

Datenschutzerklärung der secupay AG für Händler und Dienstleister

Datenschutzbestimmungen für die Zahlungsarten secupay.Lastschrift, secupay.Rechnungskauf und secupay.Kreditkarte

Der für die Verarbeitung Verantwortliche hat auf dieser Internetseite die Komponenten secupay.Lastschrift, secupay.Rechnungskauf und secupay.Kreditkarte der secupay AG (im folgenden „secupay“), Goethestr. 6, 01896 Pulsnitz integriert. secupay ist ein Zahlungsinstitut im Sinne des Zahlungsdiensteaufsichtsgesetz (ZAG) und bei der Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin), Graurheindorfer Str. 108, 53117 Bonn registriert (Registernummer: 126737) und ermöglicht eine bargeldlose Zahlung von Produkten und Dienstleistungen im Internet.

secupay bildet ein Verfahren ab, durch welches die Kaufpreisforderung an die secupay abgetreten wird. So wird ein Händler in die Lage versetzt, Waren, Dienstleistungen oder Downloads sofort nach der Bestellung an den Kunden auszuliefern.

Wählen Sie als betroffene Person während des Bestellvorgangs in unserem Online-Shop als Zahlungsmöglichkeit „Lastschrift“, „Rechnungskauf“ oder „Kreditkarte“ aus, werden automatisiert Daten von Ihnen an secupay übermittelt. Mit einer Auswahl dieser Zahlungsoption willigen Sie in eine zur Zahlungsabwicklung erforderliche Übermittlung personenbezogener Daten ein.

Bei der Kaufabwicklung über secupay übermitteln Sie als Käufer die Zahlungsmitteldaten an die secupay. secupay führt sodann eine technische Überprüfung des Zahlungsausfallrisikos aus. Im Anschluss wird dem Online-Händler das Transaktionsergebnis automatisiert mitgeteilt.

Bei den mit secupay ausgetauschten personenbezogenen Daten handelt es sich um Vorname, Nachname, Adresse, Email-Adresse, IP-Adresse, Telefonnummer oder andere Daten, die zur Zahlungsabwicklung notwendig sind. Die Daten werden zum Zwecke der Zahlungsabwicklung und der Betrugsprävention übermittelt. Der für die Verarbeitung Verantwortliche wird secupay andere personenbezogene Daten auch dann übermitteln, wenn ein berechtigtes Interesse für die Übermittlung gegeben ist. Die zwischen secupay und dem für die Verarbeitung Verantwortlichen ausgetauschten personenbezogenen Daten werden von secupay unter Umständen an Wirtschaftsauskunfteien übermittelt. Diese Übermittlung bezweckt die Identitäts- und Bonitätsprüfung.

secupay gibt die personenbezogenen Daten gegebenenfalls an verbundene Unternehmen und Leistungserbringer oder Subunternehmer weiter, soweit dies zur Erfüllung der vertraglichen Verpflichtungen erforderlich ist oder die Daten im Auftrag verarbeitet werden sollen.

Die betroffene Person hat die Möglichkeit, die Einwilligung zum Umgang mit personenbezogenen Daten jederzeit gegenüber secupay zu widerrufen. Ein Widerruf wirkt sich nicht auf personenbezogene Daten aus, die zwingend zur (vertragsgemäßen) Zahlungsabwicklung verarbeitet, genutzt oder übermittelt werden müssen.

Die geltenden Datenschutzbestimmungen von secupay können unter https://www.secupay.com/de/datenschutz abgerufen werden.

Zurück zur Übersicht