Datenschutzhinweise für Endkunden

Unser Umgang mit Ihren Daten und Ihre Rechte

Informationen nach Artt. 13, 14 und 21 der Datenschutz-Grundverordnung (DSGVO)

Liebe Kundin, lieber Kunde,

Durch diese Datenschutzhinweise informieren wir Sie über die Verarbeitung Ihrer personenbezogenen Daten durch uns als Verantwortlicher (Art. 4 Nr. 7 DSGVO) im Rahmen der Abwicklung der Zahlungstransaktion durch die von Ihnen gewählte Bezahlmethode sowie über die Ihnen nach den datenschutzrechtlichen Regelungen zustehenden Betroffenenrechte.

1. Wer ist für die Datenverarbeitung verantwortlich und an wen kann ich mich wenden?

Verantwortliche Stelle ist:

Payolution GmbH

Columbusplatz 7-8

Stiege 1 / 5. Stock

1100 Wien

Österreich

Tel: 0800 - 4043300

E-Mail: datenschutz-vie@unzer.com

Sie erreichen unseren betrieblichen Datenschutzbeauftragten unter dsb@unzer.com oder postalisch unter der oben angegebenen Anschrift.

2. Welche Quellen und Daten nutzen wir?

Wir verarbeiten personenbezogene Daten, die wir im Rahmen eines Bezahlverfahrens von Ihnen bzw. von einem Unternehmen, bei welchem Sie Waren oder Dienstleistungen bezahlen, erhalten. Zudem verarbeiten wir – soweit für die Erbringung unserer Dienstleistungen erforderlich – personenbezogene Daten, die wir von anderen Unternehmen (z.B. der SCHUFA) zulässigerweise (z.B. zum Zwecke der Überprüfung der Bankverbindungsdaten oder der Bonitätsprüfung) erhalten haben.

Relevante personenbezogene Daten sind Ihre für die Bearbeitung der jeweilig gewählten Zahlungsmethode erforderlichen persönlichen Informationen (Vorname, Nachname, Rechnungsanschrift, Lieferanschrift, E-Mail-Adresse, Telefonnummer, Geburtsdatum, IP-Adresse, Geschlecht) zusammen mit den für die Ausführung der Transaktion erforderlichen Daten (Artikel, Rechnungsbetrag, Zinsen, Ratenzahlungen, Fälligkeitsdaten, Gesamtbetrag, Rechnungsnummer, Steuerbetrag, Währung, Bestelldatum und -uhrzeit).

3. Wofür verarbeiten wir Ihre Daten (Zweck der Verarbeitung) und auf welcher Rechtsgrundlage?

Wir verarbeiten personenbezogene Daten im Einklang mit den Bestimmungen der Europäischen Datenschutz-Grundverordnung (DSGVO) und dem Österreichischen Datenschutzgesetz (DSG):

3.1 Aufgrund Ihrer Einwilligung (Art. 6 Abs. 1 S. 1 lit. a) DSGVO)

Soweit Sie uns eine Einwilligung zur Verarbeitung von personenbezogenen Daten für bestimmte Zwecke erteilt haben, ist die Rechtmäßigkeit dieser Verarbeitung auf Basis Ihrer Einwilligung gegeben. Eine erteilte Einwilligung kann jederzeit widerrufen werden.

3.2 Im Rahmen der Interessenabwägung (Art. 6 Abs. 1 S. 1 lit. f) DSGVO)

Soweit erforderlich und dies im Einklang mit den gesetzlichen Bestimmungen ist, verarbeiten wir Ihre Daten zur Wahrung berechtigter Interessen von uns oder Dritten wie beispielsweise in den folgenden Fällen:

• Maßnahmen zur Bonitätsprüfung

• Maßnahmen zur Betrugsprävention

• Entscheidungen zum Schutz vor Zahlungsausfällen;

• Hierzu jeweils Konsultation von und Datenaustausch mit Auskunfteien (z.B. CRIF GmbH (Allgemeine Hinweise zu den Datenschutzerklärungen sowie die Datenschutzerklärung für Zwecke der Auskunftei und des Adressverlages), Rothschildplatz 3/Top 3.06.B, 1020, Wien; Dun & Bradstreet Austria GmbH (Datenschutzhinweise), Jakov-Lind Straße 4/1 (5.OG) 1020 Wien; SCHUFA Holding AG (Datenschutzhinweise), Kormoranweg 5, 65201 Wiesbaden etc.) zur Adressbestätigung bzw. Ermittlung von Bonitäts- bzw. Ausfallrisiken

• Durchführung von Bedarfsanalysen zum Zwecke der Vertriebssteuerung

• Gewährleistung der IT-Sicherheit und des IT-Betriebs

• Datentests und Datenanalysen zur Entwicklung und Verbesserung unserer Risiko- und Kreditmodelle sowie für Testzwecke (auch anhand historischer Antragsdaten)

• Maßnahmen zur Geschäftssteuerung und Weiterentwicklung von Dienstleistungen und Produkten

• Geltendmachung rechtlicher Ansprüche und Verteidigung bei rechtlichen Streitigkeiten

• Verhinderung und Aufklärung von Straftaten

3.3 Aufgrund gesetzlicher Vorgaben (Art. 6 Abs. 1 S. 1 lit. c) DSGVO) oder im öffentlichen Interesse (Art. 6 Abs. 1 S. 1 lit. e) DSGVO)

Zudem unterliegen wir rechtlichen Verpflichtungen, das heißt gesetzlichen Anforderungen. Dazu gehören u.a. die Kreditwürdigkeitsprüfung, die Identitäts- und Altersprüfung, Betrugsprävention sowie ggf. Geldwäscheprävention, die Erfüllung steuerrechtlicher Kontroll- und Meldepflichten sowie die Bewertung und Steuerung von Risiken.

4. Wer bekommt meine Daten?

Innerhalb unseres Unternehmens erhalten diejenigen Stellen Zugriff auf Ihre Daten, die diese zur Erfüllung des Verarbeitungszwecks und unserer vertraglichen und gesetzlichen Pflichten benötigen. Auch von uns eingesetzte Auftragsverarbeiter (Art. 28 DSGVO) können zu diesen genannten Zwecken Daten erhalten. Dies sind bspw. Unternehmen in den Kategorien IT- Dienstleistungen, Betrugsprävention, Dienstleistungen des Kunden-Supports, Telekommunikation, Inkasso.

Im Hinblick auf die Datenweitergabe an Empfänger außerhalb unseres Unternehmens ist zu beachten, dass wir Informationen über Sie nur weitergeben, wenn gesetzliche Bestimmungen dies gebieten, Sie eingewilligt haben oder wir zur Weitergabe der Daten anderweitig befugt sind, beispielsweise mittels unseres berechtigten Interesses.

Unter diesen Voraussetzungen können Empfänger personenbezogener Daten z.B. sein:

• Auskunfteien, an die wir zwecks Identitätsprüfung bzw. Betrugsprävention und Bonitätsprüfung personenbezogene Daten von Ihnen übermitteln sowie weitere der Betrugsprävention dienende Einrichtungen/Unternehmen oder Unternehmen, die entsprechende Identitätsinformationen bereitstellen.

o Zu diesen Zwecken können – abhängig von den Vorgaben der jeweiligen Auskunftei – folgende Daten an solche Empfänger übermittelt werden:

o Vor-/Nachname

o Anschrift

o Geburtsdatum

o E-Mail-Adresse

o Maßgeblich für die Wahl der jeweils angefragten Auskunftei ist die von Ihnen im Rahmen des Zahlungsvorgangs angegebene Anschrift.

• Öffentliche Stellen und Institutionen bei Vorliegen einer gesetzlichen oder behördlichen Verpflichtung,

• andere Kredit- und Finanzdienstleistungsinstitute oder vergleichbare Einrichtungen, an die wir zur Durchführung der Geschäftsbeziehung mit Ihnen personenbezogene Daten übermitteln. Dies kann bei einigen Zahlungsmethoden die Bank sein, an die die Ihnen gegenüberstehende Forderung abgetreten wurde (z.B. die Bank Frick AG).

Insbesondere die zuvor genannten Empfänger (Auskunfteien, öffentliche Stellen und Kredit-/Finanzinstitute) verarbeiten personenbezogene Daten regelmäßig in eigenständiger datenschutzrechtlicher Verantwortlichkeit und für eigene Zwecke, über welche diese in ihren oben unter 3.2 jeweils verlinkten Datenschutzhinweisen entsprechend informieren.

Weitere Datenempfänger können diejenigen Stellen sein, für die Sie uns Ihre explizite Einwilligung zur Datenübermittlung erteilt haben.

5. Wie lange werden meine Daten gespeichert?

Die Dauer der Speicherung richtet sich nach dem Verarbeitungszweck. Sofern die Verarbeitung Ihrer personenbezogenen Daten auf einer erteilten Einwilligung beruht, werden die personenbezogenen Daten gelöscht, sobald Sie diese Einwilligung für die Zukunft widerrufen haben, es sei denn deren – befristete – Weiterverarbeitung ist erforderlich zu folgenden Zwecken:

• Erfüllung gesetzlicher Aufbewahrungspflichten, die sich z.B. aus Unternehmensgesetzbuch und Bundesabgabenordnung ergeben können. Die dort vorgegebenen Fristen zur Aufbewahrung bzw. Dokumentation betragen bis zehn Jahre.

• Erhaltung von Beweismitteln im Rahmen der gesetzlichen Verjährungsvorschriften.

Sofern die Datenverarbeitung im berechtigten Interesse von uns oder einem Dritten erfolgt, werden die personenbezogenen Daten gelöscht, sobald dieses Interesse nicht mehr besteht, es sei denn es besteht eine der oben genannten Ausnahmen.

6. Werden Daten in ein Drittland oder an eine internationale Organisation übermittelt?

Eine Datenübermittlung in Drittstaaten (Staaten außerhalb des Europäischen Wirtschaftsraums – EWR) ist nicht per se vorgesehen, kann aber stattfinden, sofern durch die Inanspruchnahme von Diensten von Auftragsverarbeitern ein Drittlandbezug besteht (z.B. Ticketsystem). Jedoch lassen wir eine Verarbeitung Ihrer Daten in einem Drittland nur zu, wenn die besonderen Voraussetzungen der Art. 44 ff. DSGVO erfüllt sind, d.h. dass die Verarbeitung Ihrer Daten nur auf Grundlage besonderer Garantien erfolgen darf, wie bspw. die von der EU-Kommission offiziell anerkannte Feststellung eines der EU entsprechenden Datenschutzniveaus (Angemessenheitsbeschluss) oder der Abschluss offiziell anerkannter spezieller vertraglicher Verpflichtungen, der sogenannten Standardvertragsklauseln.

Bitte beachten Sie: Ihre personenbezogenen Daten können auf US-Servern von US-

Dienstleistern verarbeitet werden. Wir weisen darauf hin, dass die USA kein sicherer Drittstaat im Sinne des EU-Datenschutzrechts sind. US-Unternehmen sind dazu verpflichtet, personenbezogene Daten an Sicherheitsbehörden herauszugeben, ohne dass Sie als Betroffener hiergegen gerichtlich vorgehen könnten. Es kann daher nicht ausgeschlossen werden, dass US-Behörden (z.B. Geheimdienste) Ihre auf US-Servern befindlichen Daten zu Überwachungszwecken verarbeiten, auswerten und dauerhaft speichern. Wir haben auf diese Verarbeitungstätigkeiten keinen Einfluss.

7. Welche Datenschutzrechte habe ich?

Neben dem auf der letzten Seite dargestellten Widerspruchsrecht (Art. 21 DSGVO) hat jede betroffene Person grundsätzlich

· das Recht auf Auskunft (Art. 15 DSGVO),

· das Recht auf Berichtigung (Art. 16 DSGVO),

· das Recht auf Löschung (Art. 17 DSGVO),

· das Recht auf Einschränkung der Verarbeitung (Art. 18 DSGVO),

· sowie das Recht auf Datenübertragbarkeit (Art. 20 DSGVO).

Soweit die Verarbeitung Ihrer personenbezogenen Daten auf der Grundlage einer Einwilligung erfolgt, können Sie diese jederzeit uns gegenüber widerrufen (Widerrufsrecht gemäß Art. 7 Abs. 3 S. 1 DSGVO). Bitte beachten Sie, dass der Widerruf erst für die Zukunft wirkt. Verarbeitungen, die vor dem Widerruf erfolgten, sind davon nicht betroffen.

Darüber hinaus besteht ein Beschwerderecht bei einer Datenschutzaufsichtsbehörde (Art. 77 DSGVO). Die für uns zuständige Aufsichtsbehörde ist die österreichische Datenschutzbehörde (Barichgasse 40-42, 1030 Wien).

Zur einfachen Ausübung Ihrer Rechte kontaktieren Sie uns gerne per E-Mail an datenschutz@unzer.com. Alternativ können Sie sich an uns über die oben unter Nr. 1 angegebenen Kontaktdaten wenden.

8. Besteht eine Pflicht zur Bereitstellung von Daten?

Im Rahmen unserer Geschäftsbeziehung müssen Sie nur diejenigen personenbezogenen Daten bereitstellen, die für die Durchführung der gewünschten Dienstleistung (z.B. Rechnungskauf) erforderlich sind oder zu deren Erhebung wir gesetzlich verpflichtet sind. Ohne diese Daten werden wir die Durchführung der gewünschten Dienstleistung ablehnen müssen.

9. Inwieweit gibt es eine automatisierte Entscheidungsfindung im Einzelfall?

Automatische Entscheidungen sind automatisch über Sie getroffene Entscheidungen, die ein Computer (mithilfe von Software-Algorithmen) trifft, ohne dass ein Mensch beteiligt ist. So nutzen wir bspw. die automatisierte Entscheidungsfindung bei der Überprüfung Ihrer Kreditwürdigkeit, wenn Sie sich für die Nutzung bestimmter Payolution-Bezahlverfahren entscheiden oder für Überprüfungen im Rahmen der Betrugsbekämpfung. Es kann also mittels dieser Verfahren zu einer Entscheidung kommen, die sich in maßgeblicher Weise auf Sie auswirken kann, z.B. durch Ablehnung einer bestimmten Bezahlart. Zum Schutz der Rechte und Interessen der Betroffenen, deren personenbezogene Daten der automatisierten Entscheidungsfindung unterliegen, haben wir geeignete Maßnahmen implementiert. Sie haben als Betroffener das Recht, die von uns mittels automatisierter Entscheidungsfindung resultierenden

Entscheidungen anzufechten, sich dazu zu äußern und eine persönliche Überprüfung der

Entscheidung anzufordern. Sie können dieses Recht ausüben, indem Sie uns unter dieser Adresse kontaktieren: datenschutz-vie@unzer.com

10. Inwieweit werden meine Daten für die Profilbildung (Scoring) genutzt?

Wir verarbeiten Ihre personenbezogenen Daten grundsätzlich nicht zur Profilbildung gemäß Art. 22 DSGVO. Sollten wir dieses Verfahren in Einzelfällen einsetzen, werden wir Sie hier - über gesondert informieren, sofern dies gesetzlich vorgegeben ist.

Information über Ihr Widerspruchsrecht

nach Art. 21 DSGVO

Sie haben das Recht, aus Gründen, die sich aus Ihrer besonderen Situation ergeben, jederzeit gegen die Verarbeitung Sie betreffender personenbezogener Daten, die aufgrund von Art. 6 Abs. 1 S. 1 lit. e) DSGVO (Datenverarbeitung im öffentlichen Interesse) und Art. 6 Abs. 1 S. 1 lit. f) DSGVO (Datenverarbeitung auf der Grundlage einer Interessenabwägung) erfolgt, Widerspruch einzulegen; dies gilt auch für ein auf diese Bestimmung gestütztes Profiling im Sinne von Art. Nr. 4 DSGVO.

Legen Sie Widerspruch ein, werden wir Ihre personenbezogenen Daten nicht mehr verarbeiten, es sei denn, wir können zwingende schutzwürdige Gründe für die Verarbeitung nachweisen, die Ihre Interessen, Rechte und Freiheiten überwiegen, oder die Verarbeitung dient der Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen.