Produkte
Datenverarbeitungsvereinbarung
Anlage 1
Auftragsverarbeitungsvertrag
Vereinbarung über Auftragsverarbeitung zwischen der payever GmbH, Rödingsmarkt 20,20459 („payever“) und ihrem Geschäftskunden
Präambel
1
Anwendungsbereich
Bei der Erbringung der Leistungen gemäß den Allgemeinen Geschäftsbedingungen Geschäftskunden („Hauptvertrag“) verarbeitet payever personenbezogene Daten, die der Geschäftskunde als Auftraggeber zur Erbringung der Leistungen zur Verfügung gestellt hat und bezüglich derer der Auftraggeber als Verantwortlicher im datenschutzrechtlichen Sinn fungiert („Auftraggeber-Daten“). Diese Anlage spezifiziert die Datenschutzpflichten und -rechte der Parteien im Zusammenhang mit der Verarbeitung der Auftraggeber-Daten zur Erbringung der Leistungen nach dem Hauptvertrag.
2
Umfang der Beauftragung / Weisungsbefugnisse des Auftraggebers
2.1
payever wird die Auftraggeber-Daten ausschließlich im Auftrag und gemäß den Weisungen des Auftraggebers verarbeiten, sofern payever nicht gesetzlich dazu verpflichtet ist. In letzterem Fall teilt payever dem Auftraggeber diese rechtlichen Anforderungen vor der Verarbeitung mit, sofern das betreffende Gesetz eine solche Mitteilung nicht wegen eines wichtigen öffentlichen Interesses verbietet.
2.2
Die Verarbeitung von Auftraggeber-Daten durch payever erfolgt ausschließlich in der Art, dem Umfang und zu dem Zweck wie in Anhang 1 zu dieser Anlage spezifiziert; die Verarbeitung betrifft ausschließlich die darin bezeichneten Arten personenbezogener Daten und Kategorien betroffener Personen.
2.3
Die Dauer der Verarbeitung entspricht der Laufzeit des Hauptvertrages.
2.4
Die Weisungen erschöpfen sich in den Inhalten des Hauptvertrags und dieser Anlage, falls nicht zwingende datenschutzrechtliche Vorschriften weitere Weisungen erforderlich machen.
3
Anforderungen an Personal
3.1
payever hat alle Personen, die Auftraggeber-Daten verarbeiten, bezüglich der Verarbeitung von Auftraggeber-Daten zur Vertraulichkeit zu verpflichten.
3.2
payever stellt sicher, dass ihm unterstellte natürliche Personen, die Zugang zu Auftraggeber-Daten haben, diese nur auf seine Anweisung verarbeiten; es sei denn, sie sind nach dem Recht der Union oder der Mitgliedstaaten zur Verarbeitung verpflichtet.
4
Sicherheit der Verarbeitung
4.1
payever ergreift alle geeigneten technischen und organisatorischen Maßnahmen, die unter Berücksichtigung des Stands der Technik, der Implementierungskosten und der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung der Auftraggeber-Daten sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten der betroffenen Personen erforderlich sind, um ein dem Risiko angemessenes Schutzniveau für die Auftraggeber-Daten zu gewährleisten.
4.2
payever hat vor dem Beginn der Verarbeitung der Auftraggeber-Daten insbesondere die in Anhang 2
zu dieser Anlage spezifizierten technischen und organisatorischen Maßnahmen zu ergreifen und während des Hauptvertrags aufrechtzuerhalten oder durch mindestens gleichwertige Maßnahmen zu ersetzen sowie sicherzustellen, dass die Verarbeitung von Auftraggeber-Daten im Einklang mit diesen Maßnahmen durchgeführt wird.
5
Inanspruchnahme weiterer Auftragsverarbeiter
5.1
Der Auftraggeber genehmigt hiermit in allgemeiner Weise die Inanspruchnahme weiterer Auftragsverarbeiter durch payever. Die gegenwärtig von payever eingesetzten weiteren Auftragsverarbeiter sind in Anhang 3 genannt.
5.2
payever wird den Auftraggeber über jede beabsichtigte Änderung in Bezug auf die Hinzuziehung oder Ersetzung weiterer Auftragsverarbeiter informieren, indem es eine E-Mail an die im payever-Account hinterlegte E-Mailaddresse sendet. Der Auftraggeber ist berechtigt, gegen jede beabsichtigte Änderung innerhalb von 4 Wochen Einspruch zu erheben. Erhebt der Auftraggeber Einspruch, ist payever die beabsichtigte Änderung untersagt. Im Falle zugelassener Änderungen wird payever die Liste der Unterauftragnehmer in Anhang 3
entsprechend aktualisieren und dem Auftraggeber unverlangt zur Verfügung stellen.
5.3
payever wird jedem weiteren Auftragsverarbeiter vertraglich Datenschutzpflichten auferlegen, die den in dieser Anlage in Bezug auf payever festgelegten Pflichten mindestens gleichwertig sind.
6
Rechte der betroffenen Personen
6.1
payever wird den Auftraggeber nach Möglichkeit und gegen Entgelt mit technischen und organisatorischen Maßnahmen dabei unterstützen, seiner Pflicht zur Beantwortung von Anträgen auf Wahrnehmung der ihnen zustehenden Rechte betroffener Personen nachzukommen.
6.2
payever wird insbesondere den Auftraggeber unverzüglich informieren, falls sich eine betroffene Person mit einem Antrag auf Wahrnehmung ihrer Rechte in Bezug auf Auftraggeber-Daten unmittelbar an payever wenden sollte.
7
Sonstige Unterstützungspflichten payevers
7.1
payever meldet dem Auftraggeber, unverzüglich nachdem ihm eine solche bekannt geworden ist, jede Verletzung des Schutzes von Auftraggeber-Daten, insbesondere Vorkommnisse, die zur Vernichtung, zum Verlust, zur Veränderung, oder zur unbefugten Offenlegung von beziehungsweise zum unbefugten Zugang zu Auftraggeber-Daten führen.
7.2
Für den Fall, dass der Auftraggeber verpflichtet ist, die Aufsichtsbehörden und/oder Betroffenen nach Art. 33, 34 DSGVO zu informieren, wird payever den Auftraggeber auf dessen Anfrage gegen Entgelt unterstützen, diese Pflichten einzuhalten.
7.3
payever wird den Auftraggeber nach Möglichkeit und gegen Entgelt bei etwa von ihm durchzuführenden Datenschutz-Folgenabschätzungen und sich gegebenenfalls anschließenden Konsultationen der Aufsichtsbehörden nach Art. 35, 36 DSGVO unterstützen.
8
Datenlöschung und -zurückgabe
8.1
payever wird auf die Weisung des Auftraggebers hin mit Beendigung des Hauptvertrages, alle Auftraggeber-Daten entweder löschen oder an den Auftraggeber zurückgeben, sofern nicht gesetzlich eine Verpflichtung payevers zur weiteren Speicherung der Auftraggeber-Daten besteht.
9
Nachweise und Überprüfungen
9.1
payever erklärt sich damit einverstanden, dass der Auftraggeber nach Terminvereinbarung berechtigt ist, die Einhaltung der Vorschriften über den Datenschutz und Datensicherheit sowie der vertraglichen Vereinbarungen im angemessenen und erforderlichen Umfang selbst oder durch vom Auftraggeber beauftragte Dritte zu kontrollieren, insbesondere durch die Einholung von Auskünften und die Einsichtnahme in die gespeicherten Daten und die Datenverarbeitungsprogramme sowie durch Überprüfungen und Inspektionen vor Ort, die im Rahmen der üblichen Geschäftszeiten auf eigene Kosten des Auftraggebers und ohne Störung des Betriebsablaufs erfolgen.
9.2
payever erhält vom Auftraggeber eine Aufwandsentschädigung für seinen im Rahmen dieser Kontrollen anfallenden Aufwand.
Datum [18.05.2018]
Anhang 1 – Informationen zur Datenverarbeitung
Zweck, Art und Umfang der Datenverarbeitung, Art der Daten und Kreis der Betroffenen
Anhang 2 – Technische und organisatorische Maßnahmen payevers
payever wird unter Berücksichtung des Stands der Technik, der Implementierungskosten und der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten natürlicher Personen geeignete technische und organisatorische Maßnahmen treffen, um ein dem Risiko angemessenes Schutzniveau zu erreichen. . Zu diesen Maßnahmen gehören:
Infrastructure and physical security measures
Die Daten des Auftraggebers werden in externen Datencenterparks gespeichert, die nach dem international anerkannten Standard für Informationssicherheit DIN ISO/IEC 27001 zertifiziert sind. Zu den physischen Sicherheitsmaßnahmen gehören u.a.:
•
Bauliche Maßnahmen (Zäune, Überwachungskameras, verschlossene Türen, Tore und Fenster, etc.)
•
Unterbrechungsfreie Stromversorgung
•
Modernes Brandfrühesterkennungssystem
•
Einrichtung von Zutrittsberechtigungen für Angestellte und Dritte, einschließlich der jeweiligen Dokumentation
•
Identitäts- oder Codekartenausweise
•
Bestimmte Sicherheitsbereiche mit eigenen Zutrittskontrollen ("closed shops")
•
Regeln und Vorschriften für Dritte (Besucher, Kunden, Reinigungspersonal, Handwerker, etc.)
•
24/7 Betreuung durch qualifiziertes Fachpersonal
•
Installationsarbeiten durch qualifizierte Techniker
Infrastructure and physical security measures
Die Daten des Auftraggebers werden in externen Datencenterparks gespeichert, die nach dem international anerkannten Standard für Informationssicherheit DIN ISO/IEC 27001 zertifiziert sind. Zu den physischen Sicherheitsmaßnahmen gehören u.a.:
•
Bauliche Maßnahmen (Zäune, Überwachungskameras, verschlossene Türen, Tore und Fenster, etc.)
•
Unterbrechungsfreie Stromversorgung
•
Modernes Brandfrühesterkennungssystem
•
Einrichtung von Zutrittsberechtigungen für Angestellte und Dritte, einschließlich der jeweiligen Dokumentation
•
Identitäts- oder Codekartenausweise
•
Bestimmte Sicherheitsbereiche mit eigenen Zutrittskontrollen ("closed shops")
•
Regeln und Vorschriften für Dritte (Besucher, Kunden, Reinigungspersonal, Handwerker, etc.)
•
24/7 Betreuung durch qualifiziertes Fachpersonal
•
Installationsarbeiten durch qualifizierte Techniker
Sicherheitsmaßnahmen interner Netzwerke:
payever hat ein sicheres internes Netzwerk für die Erhebung, Verarbeitung und Nutzung der Auftraggeber-Daten und wartet dieses. Hierzu schützt payever den Datenaustausch zwischen den Datacentern mit VPN und zwischen einzelnen payever Service-Komponenten mit SSL. Für die interne Verarbeitung von vertraulichen und sensiblen Daten verwendet payever ein sicheres Verschlüsselungsverfahren (RSA 4096bit).
payever implementiert und wartet zudem angemessene Firewalls für den Schutz der internen Netzwerke gegen unerlaubten Zugriff der Daten, einschließlich aber nicht begrenzt auf die Abwehr dynamischer IPs. Alle User Logins, IPs, Änderung von Dateien und http Aufrufe, die missbräuchlich genutzt werden, werden von einem System überwacht (Monitoring) und an payever kommuniziert (Alerting). Sämtliche Firewall-Einstellungen werden mind. einmal im Quartal überprüft und entsprechend des Marktstandards angepasst.
Unternehmensinterne Maßnahmen:
payever hat zahlreiche unternehmensinterne Maßnahmen umgesetzt. Hierzu gehören:
•
Zutrittskontrolle für alle Personen, die das Unternehmen betreten durch abschließbare Räume und Begleitung von Besuchern
•
Sicherung sämtlicher Endgeräte über Passwörter
•
Einführung von Zugriffsberechtigungen für Angestellte auf Grundlage eines Zugriffsberechtigugnskonzepts, einschließlich der entsprechenden Dokumentationen, inklusive Differenzierter Zugriffsregelungen (z.B. partielle Sperrung, genaue Nutzerrollen oder Profile)
•
Verbindliche Richtlinien und Prozesse für die Arbeitnehmer zur Datensicherheit und Datenverarbeitung
•
Identifikation des Endgerätes und/oder des Nutzers
•
Automatische Abmeldung von Nutzer IDs, die während eines gewissen Zeitraums nicht genutzt wurden
•
Nutzung von Verschlüsselung für sicherheitskritische Dateien
•
Richtlinien für die Organisation von Dateien
•
Benutzername und Passwort
•
Richtlinien für die Erstellung eines sicheren Passworts
•
Trennung von Produktions- und Testumgebung für Bibliotheken und Dateien
•
Backuproutine mit regelmäßigen Backups
•
Richtlinien über die Erstellung von Back-Up Kopien
•
Existenz eines Notfallplanes (Backupnotfallplan)
•
Vorgabe von verbindlichen oder möglichen Speicherorten für Daten
•
Elektronische Aufzeichnung von Datenverarbeitungen, insbesondere Nutzung, Änderung und Löschung von Daten
•
Ständige Aktualisierung der genutzten Software (z.B. durch Updates, Patches, Fixes etc.)
•
Leitlinien zur Dokumentation von Software und IT-Prozessen
•
Interne Datenverarbeitungsrichtlinien und Prozesse, Leitlinien, Arbeitsanweisungen, Prozessbeschreibungen und Regelungen für Programmierung, Prüfung und Freigabe von Daten.
Zudem hat payever angemessene Maßnahmen zur Trennungskontrolle implementiert, so dass gewährleistet ist, dass zu unterschiedlichen Zwecken erhobene Daten getrennt verarbeitet werden können:
•
Trennung von Testdaten und produktiven Daten
•
Berechtigungskonzept (logische Trennung)
•
Trennung der Daten nach Auftraggeber
payever behält sich das Recht vor, diese technischen und organisatorischen Maßnahmen im Zeitverlauf zu aktualisieren oder anzupassen, insoweit solche Anpassungen zu keiner Verschlechterung der allgemeinen Sicherheit der Leistung von payever als Auftragsdatenverarbeiters führen.
Anhang 3 – Liste der Unterauftragnehmer
Lösungen
Modularer Checkout
B2C Buy Now Pay Later
B2B Buy Now Pay Later
Finanzierung / Ratenkredit
Embedded Lending
Embedded Payments
Pay by Bank
Zahlungen vor Ort
Pay by Link / Zahlungs-Link
Pay by QR
Nachhaltigkeit
Plugins
Shopify
Shopware 5, 6 & Cloud
Magento 1 & 2
Commercetools
WooCommerce
Prestashop
Plentymarkets
OXID
JTL 4 & 5
xt:Commerce
Opencart
Oro Commerce
CCV Shop
Dan Domain
Smartstore
Industrien
PSPs & Gateways
E-Commerce Platforms
Point of Sale Systems
SaaS Providers
Banks
Insurers
Fintechs
Contacts
Message
Ads
Site
Shop
Connect
Products
Zusatzleistungen
Settings
Connect
Transactions
Point of Sale
Checkout
Checkout Lösungen
Produkte
Checkout Lösungen
Conversational Commerce
Social Commerce
No Code Builder
AI powered PIM
Zusatzleistungen
Nachhaltigkeit
Pay by QR
Pay by Link / Zahlungs-Link
Zahlungen vor Ort
Pay by Bank
Embedded Payments
Embedded Lending
B2B Buy Now Pay Later
B2C Buy Now Pay Later
Modularer Checkout
Lösungen
Finanzierung / Ratenkredit
Pay by Link
Smartstore
Dan Domain
CCV Shop
Oro Commerce
API
Opencart
xt:Commerce
JTL 4 & 5
OXID
Plentymarkets
Prestashop
Point of Sale
WooCommerce
Commercetools
Magento 1 & 2
Shopware 5, 6 & Cloud
Shopify
Plugins
Integrationen