Datenverarbeitungsvereinbarung

Wirksam mit Stand vom 16.01.2023

Änderung mit Stand vom 16.01.2023

Änderung mit Stand vom 10.12.2024

Diese Datenverarbeitungsvereinbarung („DPA“) ist Teil und unterliegt den Bestimmungen der spezifischen Geschäftsbedingungen von SumUp für die Services, die Sie nutzen können (die „Zusatzbedingungen“), sowie aller anderen geltenden Geschäftsbedingungen von SumUp, darunter insbesondere, aber nicht ausschließlich, die Allgemeinen Geschäftsbedingungen von SumUp (hier zusammen die „Geschäftsbedingungen“), die im beiderseitigen Einvernehmen zwischen Ihnen in Ihrer Eigenschaft als SumUp-Händler („Sie“, „Datenverantwortlicher“) und der Auftrag gebenden Organisation von SumUp, die in den geltenden Zusatzbedingungen ausgewiesen („SumUp“, „wir“, „Datenverarbeiter“) und Teil von SumUp S.A.R.L. Group Companies – SumUp Group ist, geschlossen wurden.

Um die Services für Sie im Rahmen der Geschäftsbedingungen und der Zusatzbedingungen zu erbringen, verarbeitet SumUp die Daten Ihres Teams, Ihrer Angestellten, Ihrer Kunden und/oder Ihrer Besucher sowie der Besucher und Kunden Ihres Shops, Ihrer Website und/oder der Nutzer Ihrer Services („Ihre Kunden“, „Kunden“, „Endkunden“). Die Verarbeitung solcher Daten durch SumUp wird hier im Folgenden als „Verarbeitung“ bezeichnet (entsprechend der Definition des Begriffs in den geltenden Datenschutzvorschriften). Die folgende DPA legt die Bedingungen für eine solche Verarbeitung durch SumUp fest.

Jede Partei stimmt zu und stellt sicher, dass die Bestimmungen dieser DPA auch auf ihre verbundenen Unternehmen, die an der Verarbeitung personenbezogener Daten für die in den Zusatzbedingungen definierten Services beteiligt sein können, uneingeschränkt anwendbar sind. SumUp stellt insbesondere sicher, dass alle Unterverarbeiter bei der Verarbeitung der Daten Ihrer Kunden nach den gleichen Bedingungen verfahren, die in dieser DPA festgelegt sind.

1. Definitionen

1.1 „Geltende Datenschutzvorschriften“ bezeichnet alle Rechtsvorschriften, die sich auf die Verarbeitung personenbezogener Daten im Rahmen der Zusatzbedingungen, der Geschäftsbedingungen und dieser DPA beziehen, darunter insbesondere, aber nicht ausschließlich, der Data Protection Act von 2018, die EU-Datenschutz-Grundverordnung 2016/679 („DSGVO“, „die Verordnung“), die EU-Richtlinie 2002/58/EG über den Schutz der Privatsphäre und die elektronische Kommunikation, wie sie in den jeweiligen Rechtsordnungen umgesetzt wurde, sowie alle Änderungen oder alle anderen Geltung findenden oder ersatzweise fungierenden internationalen, regionalen oder nationalen Datenschutzgesetze, -vorschriften und regulatorischen Richtlinien.

1.2 Die Begriffe „Verantwortlicher“,  „betroffene Person“, „personenbezogene Daten“, „Verarbeitung“ und „Verarbeiter“ haben die Bedeutung, die diesen Begriffen in den geltenden Datenschutzvorschriften zugeordnet wurde.

1.3 „Inhalte“ bezeichnet Ihre Inhalte und alle Inhalte, die SumUp von Ihren Kunden zur Verfügung gestellt werden, einschließlich, aber nicht beschränkt auf, Texte, Fotos, Bilder, Audiomaterial, Videomaterial, Code, Informationen von Cookies oder ähnlichen Tracking-Technologien sowie andere Materialien.

1.4 „Ihre Daten“, „Daten Ihrer Kunden“ bezeichnet die personenbezogenen Daten in den Inhalten, die durch SumUp in Ihrem Auftrag im Rahmen der Services verarbeitet werden und/oder Daten Ihres Teams (bspw. Ihrer Angestellten, Buchhalter oder Dritten) und/oder Ihrer Kunden, die in Ihrem Auftrag für die Erbringung der Services verarbeitet werden. Daten Ihrer Kunden beinhalten keine personenbezogenen Daten, falls solche Daten in Übereinstimmung mit dieser DPA und den Datenschutzbestimmungen von SumUp in der Verantwortung von SumUp liegen. 

1.5 Alle Definitionen, die in der vorliegenden DPA verwendet werden, aber in diesem Abschnitt nicht ausdrücklich definiert sind, entsprechen der jeweils in den Zusatzbedingungen definierten Bedeutung. Falls in den Zusatzbedingungen oder den Geschäftsbedingungen keine spezifische Definition vorhanden ist, entspricht die jeweilige Bedeutung der Definition nach den geltenden Datenschutzvorschriften.

2. Anwendbarkeit

Diese DPA gilt ausschließlich in Bezug auf die Daten Ihrer Kunden, die zum Zwecke der Erbringung der Services in Ihrem Auftrag durch SumUp verarbeitet werden. Sie stimmen zu, dass SumUp nicht für personenbezogene Daten verantwortlich ist, die auf Ihre Entscheidung hin über Services von Dritten oder außerhalb der Services verarbeitet werden, einschließlich Systeme von Cloud-Diensten Dritter und Offline- oder Vor-Ort-Speicherung.

3. Details zur Datenverarbeitung

SumUp verarbeitet personenbezogene Daten in Übereinstimmung mit Anlage 1 dieser DPA.

4. Rechte und Pflichten

4.1 Soweit die Daten Ihrer Kunden in Ihrem Auftrag durch SumUp verarbeitet werden und diese Verarbeitung den geltenden Datenschutzvorschriften unterliegt, bestätigen Sie und stimmen Sie zu, dass Sie für die Zwecke der Erbringung der Services durch SumUp der Datenverantwortliche für diese personenbezogenen Daten sind, und durch die Nutzung der Services von SumUp haben Sie SumUp dazu angewiesen, die Daten Ihrer Kunden in Ihrem Auftrag gemäß dieser DPA zu verarbeiten.

4.2 Sie können die Annahme dieser DPA jederzeit widerrufen, dadurch ist es SumUp jedoch nicht mehr möglich, die Services für Sie zu erbringen.

4.3 SumUp in ihrer Eigenschaft als Verarbeiter von personenbezogenen Daten:

(a) verarbeitet die Daten Ihrer Kunden ausschließlich für die in der DPA angegebenen Zwecke und in Übereinstimmung mit den geltenden Rechtsvorschriften und der DPA;

(b) darf ausschließlich in Übereinstimmung mit Ihren dokumentierten Anweisungen agieren und die Daten Ihrer Kunden ausschließlich in Übereinstimmung mit Ihren dokumentierten Anweisungen verarbeiten, sofern Rechtsvorschriften, Gerichtsbeschlüsse oder gesetzgeberische Maßnahmen nicht ausdrücklich eine Handlung ohne eine solche Anweisung erforderlich machen. Ihre Anweisung zum Zeitpunkt des Abschlusses dieser DPA lautet, dass SumUp die Daten Ihrer Kunden wie in der DPA und den Zusatzbedingungen beschrieben ausschließlich zum Zweck der Erbringung der Services verarbeiten darf. Vorbehaltlich der Bestimmungen dieser DPA und im gegenseitigen Einvernehmen beider Parteien können Sie zusätzliche schriftliche Anweisungen in Übereinstimmung mit den Bestimmungen dieser DPA erteilen;

(c) garantiert, dass sich die zur Verarbeitung personenbezogener Daten befugten Personen an eine Vertraulichkeitspflicht gebunden haben oder rechtlich zur Wahrung der Vertraulichkeit verpflichtet sind;

(d) garantiert, dass der Zugang zu den personenbezogenen Daten für die Erbringung der Services im Rahmen der Zusatzbedingungen auf Need-to-know-Basis gewährt wird;

(e) ist dafür verantwortlich, sicherzustellen, dass Angestellte/Unterauftragnehmer und/oder Vertreter, welche die Daten Ihrer Kunden verarbeiten, die personenbezogenen Daten ausschließlich gemäß Ihren Anweisungen verarbeiten;

(f) informiert Sie unverzüglich, falls wir der Ansicht sind, dass Anweisungen von Ihnen im Widerspruch zu geltenden Datenschutzvorschriften stehen;

(g) ist dazu verpflichtet, die Daten Ihrer Kunden im Rahmen dieser DPA vor jedweder Zerstörung, Änderung, Verlust und jeder anderen unbefugten Verarbeitung zu schützen. Zu diesem Zweck ergreift SumUp geeignete Sicherheitsmaßnahmen im Einklang mit dem geltenden Recht. Es ist möglich, dass SumUp verschiedene alternative angemessene Maßnahmen einführt. Es ist nicht möglich, bei der Einführung solcher Alternativen das Niveau der definierten Sicherheitsmaßnahmen zu senken. SumUp wird Sie bei Bedarf mit geeigneten technischen und organisatorischen Maßnahmen unterstützen und unter Berücksichtigung der Art der Behandlung und der Kategorie der SumUp zur Verfügung stehenden Informationen dabei helfen, die Einhaltung Ihrer Pflichten gemäß der geltenden Datenschutzvorschriften zu gewährleisten.

(h) stellt auf Ihren berechtigten Antrag hin Nachweise zur Verfügung, welche die Einhaltung der Pflichten von SumUp im Rahmen dieser DPA und der geltenden Datenschutzvorschriften demonstrieren; und/oder stellt Informationen zur Verfügung, die erforderlich sind, um die Einhaltung ihrer Pflichten gemäß dieser DPA und der geltenden Datenschutzvorschriften zu demonstrieren. Die durch SumUp zur Verfügung gestellten Informationen beschränken sich unter Berücksichtigung der Art der Services und der SumUp zur Verfügung stehenden Informationen ausschließlich auf Informationen, die nach dem Ermessen von SumUp erforderlich sind, um Sie bei der Erfüllung Ihrer Pflichten zu unterstützen, insbesondere im Hinblick auf Pflichten in Bezug auf Datenschutzfolgenabschätzungen, vorherige Konsultationen und die Gewährleistung der Sicherheit personenbezogener Daten;

(i) unterstützt Sie innerhalb einer angemessenen Frist durch geeignete Maßnahmen und, soweit dies zumutbarerweise (unter Berücksichtigung der Art der Verarbeitung) möglich ist, bei der Einhaltung der Rechte betroffener Personen und aller anderen relevanten Pflichten im Rahmen geltender Datenschutzvorschriften;

(j) benachrichtigt Sie, sofern dies nach geltendem Recht zulässig ist, nach Erhalt einer Anfrage oder Beschwerde von einer Person, deren personenbezogene Daten im Rahmen der DPA verarbeitet werden, oder nach Erhalt einer verbindlichen Aufforderung durch eine Regierung, Strafverfolgungsbehörde, Aufsichtsbehörde oder eine andere Stelle in Bezug auf Daten Ihrer Kunden, die wir in Ihrem Auftrag und gemäß Ihrer Anweisungen verarbeiten.

4.4 Sie in der Eigenschaft als Verantwortlicher für personenbezogene Daten:

(a) erheben, verwenden und verarbeiten personenbezogene Daten in Übereinstimmung mit allen geltenden Datenschutzvorschriften;

(b) tragen die alleinige Verantwortung für die Richtigkeit, Qualität und rechtmäßige Verarbeitung der Daten Ihrer Kunden und der Mittel, mit denen diese erlangt wurden;

(c) gewährleisten ein angemessenes Sicherheitsniveau bei der Verwendung der Services unter Berücksichtigung aller Risiken in Bezug auf die Daten Ihrer Kunden;

(d) bestätigen, dass die Speicherung von Daten Ihrer Kunden bei Dritten oder auf anderen Plattformen als der Plattform von SumUp, und/oder Ihre Übermittlung von Daten Ihrer Kunden an Dritte oder an andere Plattformen als die Plattform von SumUp, auf Ihr alleiniges Risiko und Ihre alleinige Verantwortung erfolgt;

(e) stellen sicher, dass Ihre Anweisungen in Bezug auf die Verarbeitung personenbezogener Daten allen Gesetzen, Vorschriften und Regeln entsprechen, die auf die Daten Ihrer Kunden anwendbar sind. Sie stellen außerdem sicher, dass die Verarbeitung der Daten Ihrer Kunden gemäß Ihren Anweisungen nicht dazu führt, dass wir oder Sie Gesetze, Regeln oder Vorschriften verletzen;

(f) stellen Ihren Kunden in Übereinstimmung mit den Anforderungen der geltenden Datenschutzvorschriften die erforderlichen Informationen über die Art und die Grundlage der Verarbeitung zur Verfügung.

5. Benachrichtigungen über Verletzungen

Die Partei unterrichtet die andere Partei unverzüglich (spätestens jedoch innerhalb von 48 Stunden), nachdem sie von einer Verletzung gegen den Schutz personenbezogener Daten im Zusammenhang mit der Verarbeitung personenbezogenen Daten im Rahmen dieser DPA Kenntnis erlangt hat. SumUp unterstützt Sie bei der Einhaltung Ihrer Meldepflichten und stellt Ihnen Informationen über die entsprechende Verletzung zur Verfügung, die wir Ihnen zumutbarerweise unter Berücksichtigung der Art der Services, der uns vorliegenden Informationen und etwaiger Beschränkungen in Bezug auf die Offenlegung von Informationen, bspw. aus Gründen der Vertraulichkeit, offenlegen können. Unbeschadet des Vorstehenden gelten die Pflichten von SumUp gemäß diesem Abschnitt nicht für Vorfälle, die durch Sie, durch Aktivitäten auf Ihrem Konto und/oder durch Services von Dritten verursacht wurden. SumUp ist dazu verpflichtet, mit Ihnen zusammenzuarbeiten und Sie bei der Untersuchung, der Minimierung der negativen Folgen und der Behebung der Datenschutzverletzung sowie bei der Verhinderung künftiger ähnlicher Datenschutzverletzungen zu unterstützen. Die Benachrichtigung durch SumUp über eine Verletzung des Schutzes personenbezogener Daten gilt nicht als Anerkenntnis eines Versäumnisses oder einer Haftpflicht in Bezug auf einen entsprechenden Vorfall durch SumUp. Im Falle einer Verletzung gegen den Schutz personenbezogener Daten sind Sie dazu verpflichtet, die nach geltendem Recht erforderlichen Maßnahmen im Zusammenhang mit den Daten Ihrer Kunden zu ergreifen.

6. Unterverarbeiter

Hiermit erteilen Sie SumUp die allgemeine Genehmigung, zum Zweck der Erbringung der Services Unterverarbeiter zu beauftragen, ohne dafür weitere spezifische schriftliche Genehmigungen einholen zu müssen. SumUp schließt mit jedem Unterverarbeiter eine Vereinbarung ab, die sicherstellt, dass der entsprechende Unterverarbeiter mindestens das gleiche Schutz- und Sicherheitsniveau gewährleistet, das in dieser DPA festgelegt ist. Falls Sie gegen einen der beauftragten Unterverarbeiter Widerspruch erheben und dieser Widerspruch begründet ist und mit Datenschutzbedenken in Zusammenhang steht, werden wir wirtschaftlich vertretbare Anstrengungen unternehmen, um Ihnen die Verarbeitung der Daten Ihrer Kunden ohne den beanstandeten Unterverarbeiter zu ermöglichen. Falls es uns nicht möglich ist, diese vorgeschlagenen Änderungen innerhalb einer angemessen Frist umzusetzen, werden wir Sie hierüber benachrichtigen. Sollten Sie weiterhin Widerspruch gegen den entsprechenden durch uns beauftragten Unterverarbeiter erheben, können Sie Ihr Konto oder, falls möglich, die Bestandteile der Services, welche die Beauftragung des entsprechenden Unterverarbeiters erfordern, kündigen oder beenden.

7. Übermittlung personenbezogener Daten

Die Verarbeitung von Daten Ihrer Kunden findet auf dem Gebiet des Europäischen Wirtschaftsraums („EWR“) sowie des Vereinigten Königreichs statt. Jede Übermittlung an ein und Verarbeitung in einem Drittland außerhalb der EU/des EWR und des Vereinigten Königreichs, das nach den geltenden Datenschutzvorschriften kein angemessenes Schutzniveau gewährleistet bzw. keinem erlassenen Angemessenheitsbeschluss des Vereinigten Königreichs zugrundliegt, erfolgt in Übereinstimmung mit den Standardvertragsklauseln oder anderen geeigneten Mechanismen, die ein angemessenes Sicherheitsniveau für personenbezogene Daten gemäß den Anforderungen der geltenden Datenschutzvorschriften garantieren.

8. Prüfungen

Sie sind dazu berechtigt, einmal jährlich eine Überprüfung der Pflichten von SumUp im Rahmen dieser DPA zu beantragen. Beide Parteien entscheiden gemeinsam darüber, ob die Prüfung durch Dritte durchgeführt werden soll. Sie können jedoch auch uns die Erlaubnis geben, die Sicherheitsprüfung durch einen neutralen Dritten unserer Wahl durchführen zu lassen. Falls der vorgeschlagene Umfang der Prüfung einem dokumentierten ISO- oder ähnlichen Zertifizierungsverfahren folgt, das durch einen qualifizierten dritten Prüfer innerhalb der vorhergehenden zwölf Monate durchgeführt wurde, und SumUp bestätigt, dass es bei den zu überprüfenden Maßnahmen keine wesentlichen Änderungen gegeben hat, sind hierdurch alle Anträge erfüllt, die innerhalb der jeweiligen Frist eingegangen sind. Die üblichen Geschäftsaktivitäten von SumUp dürfen durch Prüfungen nicht in unzumutbarerweise beeinträchtigt werden. Sie sind für alle Kosten verantwortlich, die mit Ihrem Antrag auf Prüfung verbunden sind. Einmal pro Jahr, nach einem vorherigen schriftlichen Antrag durch den Datenverantwortlichen und in dem nach den geltenden Datenschutzvorschriften erforderlichen Maß, erklärt sich SumUp damit einverstanden, dem Datenverantwortlichen in Kooperation mit dem Datenverantwortlichen und innerhalb einer angemessenen Frist folgende Belege zur Verfügung zu stellen:

(a) eine Zusammenfassung von Prüfberichten, welche die Wirksamkeit der durch SumUp ergriffenen technischen und organisatorischen Maßnahmen gegen unbefugte oder unberechtigte Verarbeitung personenbezogener Daten und gegen unbefugten Zugang zu, unbeabsichtigten Verlust oder Vernichtung von personenbezogenen Daten oder gegen unbefugte oder unrechtmäßige Verarbeitung personenbezogener Daten demonstrieren, und

(b) eine Bestätigung, dass die Prüfung keine wesentlichen Schwachstellen in den Systemen von SumUp offengelegt hat, oder, insoweit Schwachstellen erkannt wurden, dass SumUp die betreffenden Schwachstellen vollständig  behoben hat.

Falls die vorstehenden Maßnahmen unzureichend sind, um die Einhaltung der geltenden Datenschutzvorschriften sicherzustellen, oder wesentliche Probleme offenlegen, kann der Datenverantwortliche durch schriftliche Benachrichtigung von SumUp mit einer Frist von mindestens dreißig (30) Tagen eine Überprüfung des Programms von SumUp für die Einhaltung des Datenschutzes durch unabhängige externe Prüfer beantragen. Beide Parteien wählen gemeinsam die Prüfer aus und einigen sich einvernehmlich auf den Umfang, den zeitlichen Ablauf und die Dauer der Prüfung. Der Datenverantwortliche ergreift alle angemessenen Maßnahmen, um nachteilige Auswirkungen hierdurch auf SumUp zu begrenzen, und ist für alle Kosten verantwortlich, die mit seinem Antrag auf Prüfung verbunden sind und die aus etwaigen nachteiligen Auswirkungen hervorgehen. Der Datenverantwortliche stellt SumUp das Ergebnis von der Prüfung des Programms von SumUp für die Einhaltung des Datenschutzes zur Verfügung.

9. Haftung

Die Haftung der Parteien im Rahmen dieser DPA unterliegt den Haftungsausschlüssen und -beschränkungen, die in den Zusatzbedingungen und/oder Geschäftsbedingungen dargelegt sind. Sie stimmen zu, SumUp aufgrund eines Versäumnisses durch Sie oder durch Ihre Angestellten oder Vertreter bei der Einhaltung der Pflichten im Rahmen dieser DPA jetzt und in Zukunft in Bezug auf alle Kosten, Ansprüche, Schäden oder Ausgaben, die zulasten von SumUp gehen oder für die SumUp haftbar werden könnte, auf Ihre Kosten zu entschädigen und schadlos zu halten und zu verteidigen. Unbeschadet gegensätzlich lautender Bestimmungen in den Geschäftsbedingungen und den Zusatzbedingungen, einschließlich dieser DPA, haften SumUp und ihre verbundenen Unternehmen nicht für Ansprüche von betroffenen Personen, die aus Handlungen oder Versäumnissen von SumUp oder ihren verbundenen Unternehmen hervorgehen, soweit SumUp in Übereinstimmung mit Ihren Anweisungen handelte. 

10. Beendigung

Diese DPA gilt so lange, wie Sie Services von SumUp nutzen. Nach Beendigung der Nutzung der Services, und sofern SumUp nicht dazu verpflichtet ist, die Daten Ihrer Kunden im Rahmen der Zusatzbedingungen und/oder Geschäftsbedingungen von SumUp, eines Vertrags oder geltender Rechtsvorschriften aufzubewahren, wird SumUp, unter anderem auch auf Ihren schriftlichen Antrag hin, die Daten Ihrer Kunden so schnell wie zumutbarerweise praktikabel und in Übereinstimmung mit den Geschäftsbedingungen von SumUp und den geltenden Rechtsvorschriften löschen.

11. Aggregierte Daten

Sie bestätigen und akzeptieren, dass SumUp aggregierte Daten jedweder Art in Bezug auf Sie und Ihre Kunden, einschließlich von Nutzungsdaten für Services, verarbeiten kann. Der Kunde bestätigt, akzeptiert und stimmt hiermit zu, dass SumUp über die Dauer dieser DPA, aber auch nach Beendigung dieser DPA, diese aggregierten Daten (ohne dass die folgende Auflistung einen Anspruch auf Vollständigkeit erhebt) für die Analyse, die Verbesserung und die Durchführung ihrer Services und grundsätzlich für alle kommerziellen Aktivitäten verwenden kann, um zu Marktanalysen beizutragen, Statistiken zu erstellen, Produkte und Services von SumUp sowie deren Sicherheit zu verbessern und um branchenübliche Verfahrensweisen und/oder Empfehlungen einzuhalten.

12. Verschiedene Bestimmungen

12.1 Im Falle eines Konflikts zwischen dieser DPA und den Zusatzbedingungen und/oder Geschäftsbedingungen von SumUp, sind die Bestimmungen dieser DPA maßgebend.

12.2 Sie sind für alle Kosten und Ausgaben verantwortlich, die aus der Erfüllung Ihrer Anweisungen oder Anträge durch SumUp gemäß den Zusatzbedingungen (einschließlich dieser DPA) hervorgehen, und die über die durch SumUp im Rahmen der Services allgemein bereitgestellte Standardfunktionalität hinausgehen.

12.3 SumUp ist dazu berechtigt, die Bestimmungen dieser DPA je nach Bedarf von Zeit zu Zeit zu ändern und/oder anzupassen. Änderungen an der DPA werden in angemessener Weise mitgeteilt und durch SumUp über eine separate Anlage oder durch andere sichtbare Mittel vorgenommen, einschließlich der Veröffentlichung einer aktualisierten Fassung der DPA auf unserer Website. Der Änderungshinweis oben in dieser DPA weist darauf hin, wann diese DPA letztmals geändert wurde.

12.4 Fragen in Bezug auf diese DPA oder andere Anträge in Bezug auf die Verarbeitung personenbezogener Daten sind via dpo@sumup.com an uns zu richten. SumUp wird versuchen, alle Beschwerden bezüglich der Verwendung von Daten Ihrer Kunden in Übereinstimmung mit dieser DPA, den Geschäftsbedingungen und den internen Richtlinien von SumUp zu klären.

12.5 Falls eine der Bestimmungen der DPA für ungültig erachtet wird, so bleiben die übrigen Bestimmungen hiervon unberührt. Die Parteien ersetzen ungültige Bestimmungen durch eine gültige Bestimmung, die dem Zweck der ungültigen Bestimmung entspricht.

12.6 Diese DPA unterliegt den Rechtsvorschriften, die auf die geltenden Zusatzbedingungen anwendbar sind, und wird dementsprechend ausgelegt.

Anlage 1

1. Gegenstand

Gegenstand ist die Datenverarbeitung im Rahmen dieser DPA.

2. Zweck und Art der Verarbeitung

Der Zweck der Datenverarbeitung im Rahmen dieser DPA ist die Erbringung und Verbesserung der von Ihnen in Anspruch genommenen Services.

3. Dauer

Die Dauer der Datenverarbeitung im Rahmen dieser DPA zwischen Ihnen und uns bestimmt sich nach Ihnen und nach dem ausgewählten Zeitraum, über den Sie unsere Services nutzen möchten.

4. Kategorien betroffener Personen

Ihre Kunden, potenzielle Kunden Ihrer Kunden, Ihr Team (Angestellte, Buchhalter oder Dritte) und/oder alle anderen Personen, deren personenbezogene Daten Bestandteil der Inhalte sind. In Bezug auf Gutscheine – Käufer von Gutscheinen und/oder Empfänger von Gutscheinen oder andere Personen, deren personenbezogene Daten im Rahmen der Services für Gutscheine in Übereinstimmung mit den Zusatzbedingungen und den Geschäftsbedingungen von SumUp verarbeitet werden.

5. Art personenbezogener Daten

Die Daten Ihrer Kunden werden als Teil der Services in Übereinstimmung mit den Geschäftsbedingungen und den erteilten Anweisungen verarbeitet. Diese Daten können je nach genutzten Services unterschiedlich sein und beinhalten ggf., jedoch nicht ausschließlich:

Onlineshops

Namen, E-Mail-Adressen, Handy-/Telefonnummern, physische Adressen, Bankverbindungen, Zahlungsverläufe/Bestellungsverläufe, IP-Adressen, Informationen von Cookies und ähnlicher Technologien sowie bevorzugte Marketing-Einstellungen Ihrer Kunden. 

Gutscheine

Namen und E-Mail-Adressen kaufender und Gutscheine erhaltender Kunden, Gutscheinbeträge und Gutscheinmitteilungen.

Rechnungsstellung und Buchführung

Namen, physische Adressen, Handy-/Telefonnummern, E-Mail-Adressen, Kontonummern und/oder Bankverbindungen, Rechnungsgegenstände, Zahlungsverläufe/Bestelldaten, Rechnungsstatus´. In Bezug auf Factoring-Services durch unsere Partner– Daten in Bezug auf das Factoring-Angebot, Rechnungszahlungen, Streitigkeiten. 

Für Kassensysteme und zugehörige Services

Namen, physische Adressen, Handy-/Telefonnummern, E-Mail-Adressen, Zahlungs-/Bestellungsdaten, Kommentare; in Bezug auf Ihre Angestellten – Personalkennziffern, Anmeldedaten, IP-Adressen, Stellenbezeichnungen, E-Mail-Adressen, Bestellungen, bevorzugte Spracheinstellungen. 

In Bezug auf Belege und Bestellinformationen bei der Nutzung von Bestellservices oder Kiosk – Bestellinformationen, Handynummern/E-Mail-Adressen, Anmerkungen zu Bestellungen. 

SumUp Connect (Treue)

Falls Sie Ihren Kunden Mitteilungen durch SumUp Connect (Treue)-Services senden – Mitteilungen, E-Mail-Adressen, Handynummern, bevorzuge Marketing-Einstellungen.

SumUp Bookings

Namen, Handy-/Telefonnummern, E-Mail-Adressen, Zahlungs-/Bestell-/Termindaten, Anwesenheitsdaten, Rückerstattungen und Einzahlungen, physische Adressen (falls der Service an der durch Ihren Kunden genannten Adresse erbracht wird), Kommentare, bevorzugte Marketing-Einstellungen Ihrer Kunden. Termine, Zeitpläne, Telefonnummern, Überprüfungen Ihres Teams.

Sonstiges (Online-Zahlungen, Links/QR-Codes für Zahlungen, SumUp-Kasse) 

Falls Sie sich durch die Nutzung unserer Services im Zusammenhang mit Online-Zahlungen dafür entscheiden, abgesehen von den unbedingt erforderlichen Daten für die Zahlungsdurchführung zusätzliche Daten über Ihre Kunden zu erheben (Daten in Bezug auf Ihren Umsatz, bspw. über die Bestellungen, Kontaktdetails Ihrer Kunden oder über die Speicherung von Zahlungsdetails Ihrer Kunden für künftige Einkäufe) – E-Mail-Adressen, Namen, Handy-/Telefonnummern, Steuernummern (falls rechtlich erforderlich), Zahlungs-/Bestelldaten, Anmerkungen/Kommentare und anpassbare Datenfelder zur Zahlung/Bestellung, Versandadressen, Rechnungsadressen und -details, gespeicherte Zahlungskartendetails für künftige Einkäufe (falls Ihre Kunden dem zustimmen), bevorzugte Marketing-Einstellungen (bei technischer Service-Erbringung).      

Besondere Kategorien personenbezogener Daten, darunter Daten, die sich auf strafrechtliche Verurteilungen und Straftaten beziehen, gelten nicht als im Rahmen der Services verarbeitet und sind von den Bestimmungen dieser DPA ausgenommen. Falls solche Daten während der Nutzung unserer Services verarbeitet werden, geschieht dies ohne die Kenntnis von SumUp, und Sie haben solche Informationen unverzüglich zu löschen, sobald Sie einen solchen Verarbeitungsvorgang festgestellt haben. Unsere Services sind nicht für die Nutzung durch Minderjährige bestimmt.