Ergänzung zur Datenverarbeitung
UNIFIED VERSION: VERSION 2 – EFFECTIVE 1 DECEMBER 2024
FürDienstleistungen,dieinderEUundimVereinigtenKönigreichvon Unternehmen der Shift4 Gruppe erbracht werden
DIESEERGÄNZUNGZURDATENVERARBEITUNG(DataProcessingAddendum–„DPA“), einschließlich ihrer Anhänge, ist ein integraler Bestandteil der Vereinbarung zwischen dem Kunden und dem Auftragsverarbeiter (beide wie nachstehend beschrieben, jeweils eine „Partei“ und gemeinsamdie„Parteien“),dersichaufdieimRahmenderVereinbarungerbrachtenDienstleistungen bezieht und die Datenverarbeitungsbeziehung zwischen den Parteien festlegt. Diese Ergänzung legt die Bedingungen, Anforderungen und Konditionen fest, unter denen personenbezogene Daten bei der Erbringung von Dienstleistungen im Rahmen der Vereinbarung verarbeitet werden, und ersetzt alleanderenzuvorunterzeichnetenErgänzungenoderDokumentezurDatenverarbeitung,sofern die Vertragsparteien nicht ausdrücklich etwas anderes vereinbaren. Diese Ergänzung enthält die nach Artikel 28 Absatz 3 des GDPR für Vereinbarungen zwischen den Verantwortlichen und den Auftragsverarbeitern vorgeschriebenen verbindlichen Klauseln.
1. Definition
DiefolgendengroßgeschriebenenBegriffehabendieihnenzugeschriebeneBedeutung.Definitionen großgeschriebenerBegriffe,dieindieserErgänzungnichtdefiniertsind,findenSieinanderenTeilen
„ADC“bedeutetAccountDataCompromise(KompromittierungvonKontodaten), einVorfall,der direkt oder indirekt zum unbefugten Zugriff auf oder zur Offenlegung von Kontodaten oder zur unbefugtenManipulationvonKontodatenkontrollen,wiez.B.KontonutzungundAusgabenlimits, führt, wie sie von den Kartensystemen definiert werden.
„Ergänzung“ bedeutet diese Ergänzung in ihrer Gesamtheit, einschließlich aller datenschutzrelevantenAnhänge und Anlagen, dieder Vereinbarung vonZeit zuZeithinzugefügt werden.
„Angemessenheitsbeschluss“bezeichnetdieEntscheidungderEuropäischenKommissionoder desUKInformationCommissioner‘sOffice,dasseinDrittland,einGebiet,einbestimmterSektorin einem Drittland oder eine internationale Organisation ein Datenschutzniveau bietet, das im Wesentlichen dem in der Europäischen Union oder im Vereinigten Königreich entspricht. Ein Angemessenheitsbeschluss erlaubt eine grenzüberschreitende Datenübermittlung außerhalb der Europäischen Unionoderdes Vereinigten Königreichs odereine Weiterübermittlung von oder an eine Partei außerhalb der Europäischen Union oder des Vereinigten Königreichs ohne weitere Genehmigung.
„Vereinbarung“bedeutet jede derVereinbarungenzwischendenParteien, soweitzutreffend:
BeschaffungsvereinbarungzwischenShift4 LimitedunddemHändler(entweder direkt oder über einen Provider, wie in der Vereinbarung definiert)
LokaleZahlungsverkehrsvereinbarungzwischenShift4 LimitedunddemHändler
ZahlungsvermittlervereinbarungzwischenShift4 LimitedunddemZahlungsvermittler
Wiederverkäufervereinbarungzwischen Shift4 Technology Limited und dem Wiederverkäufer
SkyTab Vereinbarung zwischen Shift4 Solutions Limited und dem Händler
Vereinbarung über Zahlungsportaldienste zwischen Shift4 Technology Limited und dem Kunden
„Kunde“ bezeichnet die juristische Person, die die Dienstleistungen des Auftragsverarbeiters in Anspruch nimmt, wie in der jeweiligen Vereinbarung festgelegt: Kunde, Händler, Zahlungsvermittler oder Wiederverkäufer. Die Verwendung des Begriffs „Kunde“ in dieser DPA dient lediglich der Vereinfachung und bezieht sich entweder auf den Kunden, den Händler, den Zahlungsvermittler oder den Wiederverkäufer, sofern nicht ausdrücklich etwas anderes angegebenist.
„Kundendaten“ sind personenbezogene Daten des Managements des Kunden oder wirtschaftlichen Berechtigten oder Kontakten, die Shift4 vom Kunden oderim Namendes Kunden zur Verfügunggestellt werden, einschließlich überden Anbieter (wie in der jeweiligen Vereinbarung definiert), oder auf die die Shift4 ausschließlich als Ergebnis oder in Verbindung mit der Erbringung der Dienstleistungen Zugriff erhält.
„Für die Verarbeitung Verantwortlicher“bezeichnetdieStelle,diedenZweckund dieMittelder Verarbeitung personenbezogener Daten bestimmt, und für die Zwecke dieser Ergänzung bedeutet dies den Kunden.
„VerletzungdesSchutzes personenbezogenerDaten“bezeichneteineSicherheitsverletzung,die zurversehentlichenoderunrechtmäßigenZerstörung, zumVerlust,zurÄnderung,zurunbefugte Offenlegung von oder zum Zugriff auf übermittelte, gespeicherte oder anderweitig verarbeitete personenbezogene Daten führt.
„Datenschutzgesetze“bezeichnet(i)dieDSGVO,(ii)diemaltesischenDatenschutzgesetze,(iii)die DatenschutzgesetzedesVereinigtenKönigreichs,(iv)anderejeweilsgeltendeRechtsvorschriften und regulatorische Anforderungen, die für jede der Parteien in Bezug auf die Verwendung personenbezogener Daten gelten, und (v) die von der jeweiligen Datenschutz- oder Aufsichtsbehörde herausgegebenen und auf eine der Parteien anwendbaren Leitlinien und Verhaltenskodizes, die jeweils von Zeit zu Zeit geändert, ergänzt oder ersetzt werden können.
„Betroffene Person“ bezeichnet die identifizierte oder identifizierbare Person, auf die sich die personenbezogenenDatenbeziehen.BetroffenePersonumfassen:(i)KarteninhaberdesKunden, wie in der Vereinbarung festgelegt, oder Käufer von Waren und/oder Dienstleistungen des Kunden; und (ii) Mitarbeiter des Kunden, Direktoren, wirtschaftliche Eigentümer, Aktionäre und alle anderen Personen, bei denen Shift4 Limited Geldwäsche- und KYC-Kontrollen durchführt, wie in der entsprechenden Vereinbarung festgelegt. Wenn die Shift4 Limited personenbezogene Daten für die Durchführung von Geldwäsche- und KYC-Kontrollen verarbeitet, handelt sie zu Klärungszwecken als für die Verarbeitung Verantwortlicher.
„EWR“ bezeichnet den Europäischen Wirtschaftsraum, der für die Zwecke dieser DPA auch das Vereinigte Königreich umfasst.
„DSGVO“ bezeichnet die Datenschutz-Grundverordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr in der jeweils geltenden
„Personenbezogene Daten“ sind alle Informationen, die sich auf eine identifizierte oder identifizierbarenatürlichePersonbeziehen;eineidentifizierbarenatürlichePersonisteinePerson, die direkt oder indirekt identifiziert werden kann, insbesondere durch Zuordnung zu einer Kennung wie einem Namen, zu einer Kennnummer, zu Standortdaten, zu einer Online-Kennung oder zu einem oder mehreren besonderen Merkmalen, die Ausdruck der physischen, physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität diesernatürlichenPersonsind,wasimKontextdieserErgänzungbedeutet:(1)Personenbezogene Daten, die als Teil der Transaktionsdaten vom Kunden an den Auftragsverarbeiter übermittelt werden, und (2) Kundendaten, die Informationen aus den Antragsformularen der Händler enthalten können, die an die Kartensysteme weitergegeben werden. Um jeden Zweifel auszuschließen: Soweit die Shift4 verpflichtet ist, solche Kundendaten für seine eigenen rechtlichen und/oder regulatorischen Anforderungen im Rahmen der Vereinbarung zu verarbeiten, so tut sie dies als für die Verarbeitung Verantwortlicher. Der Kunde willigt hiermit ausdrücklichein,dass Shift4 diese Daten zu diesem Zweck verwendet.
„PotenziellerADC“bezeichneteinEreignis,dasdirektoderindirektzueinemunbefugtenZugriff auf oder einer Offenlegung von Kontodaten oder einer unbefugten Manipulation von Kontodatenkontrollen,wiez.B.Kontonutzungs-undAusgabelimits,wievondenKartensystemen festgelegt, führen könnte.
„Hauptansprechpartner“bezeichneteinebestimmtePersonoderAbteilunginderOrganisation des Kunden, die vom Kunden oder vom Anbieter per Antragsformular oder auf andere Weise angegeben wird.
„Auftragsverarbeiter“bedeutetShift4,diepersonenbezogene Daten im Auftrag des Kunden verarbeiten.
„EingeschränkteÜbermittlung“bedeutetdieinternationaleÜbermittlungpersonenbezogener Daten außerhalb des EWR in ein Drittland oder eine internationale Organisation, für die kein Angemessenheitsbeschluss vorliegt.
„Dienstleistungen“bezeichnetdieinderjeweiligenVereinbarungdefiniertenDienstleistungen:
- Beschaffungsvereinbarung (Händler) oder Zahlungsvermittlervereinbarung: VerarbeitungvonZahlungsdatenfürdieÜberweisungvonGeldernaufdasBankkonto desKunden;
- Lokale Zahlungsverkehrsvereinbarung: Bereitstellung von Verbindungen zu Zahlungsdiensten, bei denen es sich um lokale Zahlungsmethoden handelt und die nicht Teil der in der Vereinbarung definierten Kartensysteme sind; oder
- Skytab-Vereinbarung:BereitstellungvonPOS-Geräten, technische Anbindung,Software und Gateway-Diensten fürdie Verwaltung und Verarbeitung von Zahlungstransaktionen.
- VereinbarungüberZahlungsportaldienste oderWiederverkäufervereinbarung: Erbringung von technischer Anbindung, und Mehrwertdienste, die nicht geregelt sind, wie in der Vereinbarung beschrieben.
„Standardvertragsklauseln“ bezeichnetdieStandardvertragsklauselnderEuropäischenKommission für die Übermittlung personenbezogener Daten aus der Europäischen Union an Auftragsverarbeiter in Drittländern, wie sie im Anhang des Beschlusses 2010/87/EU der Kommission aufgeführt sind und von der Europäischen Kommission von Zeit zu Zeit geändert oderersetztwerdenkönnen,sowiegegebenenfallsihreAnwendunginÜbereinstimmungmitdem
Data Processing Addendum Version History
