Fragen zur Auftragsdatenverarbeitung hinsichtlich einer Vereinbarung für eine Auftragsverarbeitung nach Art. 28 DSGVO sowie den technischen und organisatorischen Maßnahmen

Eine Vereinbarung für eine Auftragsverarbeitung nach Art. 28 DSGVO sowie den technischen und organisatorischen Maßnahmen wäre nur nötig, sofern zwischen Ihnen und uns ein Auftragsverbeitungsverhältnis vorliegen würde. Dies ist indes auch nach Inkrafttretender europäischen Datenschutz-Grundverordnung nicht der Fall, da wir bei unseren Diensten keine Daten im Namen der Händler bzw. Anbieter verarbeiten.

Eine Auftragsverarbeitung liegt nach allgemeinem Verständnis vor, wenn es um Hilfstätigkeiten oder datenverarbeitungstechnische Unterstützungsleistungen eines Dritten geht und im Kern die Erhebung, Verarbeitung oder Nutzung der Daten (und keine anderen Arten von Dienstleistungen) steht.

Bei dem Dienst “Sofort Überweisung” erbringt die Sofort GmbH gegenüber dem Online-Anbieter aber keine solche Unterstützungsleistung. Vielmehr stellt die Sofort GmbH dem Endkunden einen Zahlungsdienst unmittelbar zur Verfügung. Bei der Nutzung von Sofort Überweisung beauftragt der Endkunde die Sofort GmbH unmittelbar mit der Einstellung der Überweisung in sein Online-Banking Portal. Die Sofort GmbH tritt dem Endkunden über die Bezahlmaske unmittelbar gegenüber und hat dadurch eine direkte Beziehung diesem. Für die dabei erfolgende Erhebung und Verarbeitung personenbezogener Daten ist mithin die Sofort GmbH selbst verantwortlich. Dies ergibt sich auch aus den Datenschutzhinweisen der Sofort GmbH, die mit der zuständigen Datenschutzbehörde abgestimmt wurden und die der Nutzer bei jeder Durchführung einer Sofort Überweisung sowie in der Demo-Version auf unserer Homepage einsehen kann. Unter folgendem Link sind die Datenschutzhinweise direkt aufrufbar:
Datenschutzhinweise

Es liegt dementsprechend kein Auftragsverarbeitungsverhältnis vor. Insofern wird auch ein Auftragsverarbeitungsvertrag zwischen dem Anbieter und uns nicht benötigt.

Aus den o.g. Gründen scheidet eine gemeinsame Verantwortlichkeit für die Verarbeitung i.S.d. Art. 26 DSGVO gleichfalls aus.

Wir können jedoch versichern, dass für die Sofort GmbH Datensicherheit oberste Priorität hat und möchten Ihnen im Folgenden einige unserer vielseitigen Vorkehrungen zum Schutz der betroffenen Daten aufführen:

• als eines der wenigen Unternehmen am Markt betreibt die Sofort GmbH ihr Rechenzentrum freiwillig auf höchstem Bankenstandard in Deutschland
• Datentransfers erfolgen ausschließlich über gesicherte AES-256-Bit verschlüsselte SSL Verbindungen.
• PIN und TAN sind zu keinem Zeitpunkt für Händler, Mitarbeiter oder Dritte Personen sichtbar und werden auch nicht gespeichert.
• Die Einhaltung der Datenschutzrichtlinien durch das gesamte Unternehmen Sofort GmbH wurde vom TÜV Saarland nach Richtlinien des Bundesdatenschutzgesetzes geprüft und zertifiziert. Die Sofort GmbH besitzt die TÜV-Siegel “Geprüfter Datenschutz” und “Geprüftes Zahlungssystem”. Die Prüfanforderungen sowie die Gültigkeit der TÜV-Zertifikate können Sie auf der Website des TÜV-Saarland unter dem folgenden Link einsehen (Suche nach Firmennamen und Zertifikatstitel): http://zertifikatsabfrage.tuev-saar.net/de/startseite
• Zudem unterwirft sich die Sofort GmbH freiwillig den strengen Vorgaben eines Informationssicherheitsmanagements nach ISO 27001 und lässt ihre relevanten Unternehmensabläufe regelmäßig durch den TÜV Süd prüfen und zertifizieren. Auf dieses Zertifikat können sich Online-Anbieter auch im Rahmen eines Auftragsverarbeitungsverhältnisses hinsichtlich der technischen und organisatorischen Maßnahmen berufen.

Wir hoffen, Ihnen mit dieser Auskunft geholfen zu haben. Sollten Sie weitere Rückfragen oder Anmerkungen haben, stehen wir Ihnen gerne zur weiteren Verfügung.