Auftragsverarbeitungvertrag mit Paypal für DSGVO

MakeIt7
Beitragsleistender
Beitragsleistender

Hallo,

 

brauche ich für die neuen Datenschutzverordnung einen Auftragsverarbeitungvertrag mit Paypal? Wenn ja, wo bekomme ich den her, bzw. wo kann ich den beantragen?

Login to Me Too
17 ANTWORTEN 17

9-mm
Beitragsleistender
Beitragsleistender

Die Dateneingabe vom Kunden direkt bei PayPal wäre unproblematisch, wenn der Shop selber bereits alle Daten selber erhoben hat und PayPal lediglich über Zahlungserfolg/miserfolg berichtet.

ABER: PayPal bietet mehr als nur das übliche Checkoutsystem an.

 

Ich bevorzuge die Rechnungsstellung per PayPal API, wodurch mein System Kundendaten, Rechnungsnummern, Artikeldaten und Preise sowie Gebühren beim Fakturieren an PayPal übermittelt und PayPal dann den Kunden per Mail zur Zahlung auffordert.

 

Dies ist defacto eine Datenübergabe ohne direktes Kundenzutun, auch wenn er im Vorfeld hierzu zugestimmt hat. Hier braucht es einer Regelung in der unser System Daten an PayPal sendet und PayPal diese Daten zur Vertragserfüllung nutzt/nutzen soll.

 

Wir sind dann nach meinem Verständnis Auftraggeber und PayPal Auftragnehmer?! Oder?

PayPal sollte sicher in der Lage sein hierzu ein Musterblatt zu produzieren um diese Vielzahl (Invoice API ist ja auch nur eine von vielen) an verschiedenen Datenübergabemöglichkeiten DSGVO konform in der EU anzubieten.

Login to Me Too

Frank1982
Neues Community Mitglied

Welche personenbezogenen Daten werden denn an Paypal übermittelt? Die Datenhaltung geht doch von Paypal aus, ich sende keine Adressen, Namen, IP was auch immer hin nur den Betrag. Alles weitere macht der Kunde in seinem Paypal Account. Das heißt ich übersende an Paypal keine personenbezogenen Daten und somit ist ein ADV Vertrag auch nicht nötig!

Login to Me Too

9-mm
Beitragsleistender
Beitragsleistender
Deine Aussage trifft auf den Checkout Prozess zu bei dem der Kunde direkt vom Shop weitergeleitet wird und der Shop den Bestellwert an PayPal übermittelt. Ja! Hierbei wird nichts außer der Betrag übertragen. Aber diese Art der Vorkassezahlung hat eben auch rechtliche Nachteile, wenn man im Shop eigentlich unverbindliche Angebote macht, die durch die Vorkassezahlung zu einem verbindlichen Lieferauftrag werden. Hier ist man rechtlich besser beraten, eine Rechnung per PayPal zu senden ( invoice Rest API ist nicht Checkout API!!! ), sobald man die Artikel zum Versand vorbereitet. Das unverbindliche Angebot wird dann erst zu einem akzeptierten Liefervertrag zwischen Kunde und Shop. Diese invoice API erwartet aber den kompletten Datensatz des Kunden. Samt Adresse, Name, Mail und erworbene Artikel. Diesen setzt der Shop bei Rechnungsstellung zusammen und sendet ihn an PayPal. In meinen Augen EXAKT das wofür eine Vereinbarung getroffen werden muss, laut DSGVO. Nur PayPal sieht das wohl nicht so?! Checkout API ist nicht gleich Invoice API!!!
Login to Me Too

PayPal_Fritz
Moderator
Moderator

Hallo zusammen,

 

wir überprüfen unsere Geschäftsbedingungen regelmäßig, um sicherzustellen, dass sie mit den neuesten regulatorischen Änderungen wie der DSGVO auf dem neuesten Stand sind. Wir überprüfen unsere Datenpraktiken kontinuierlich, um sicherzustellen, dass sie mit den Datenschutzbedingungen übereinstimmen.

 

PayPal und Händler müssen hier unabhängig voneinander betrachtet werden. Sowohl Sie, als auch wir sind selber dafür verantwortlich die neue EU Datenschutz-Grundverordnung einzuhalten.

 

Wir haben eine unabhängige Beziehung zum Kunden und erhalten die persönlichen Daten des Kunden direkt vom Kunden.

PayPal verarbeitet nicht die vom Händler erhaltenen persönlichen Daten des Käufers.

PayPal verarbeitet die von den Käufern erhaltenen Daten nur zur Abwicklung der Zahlung auf Anweisung des Käufers.Natürlich handelt es sich bei den Daten um personenbezogene Daten. Wir verarbeiten die Daten jedoch nicht im Namen unsere Händler, sondern auf Anfrage des Käufers.

 

Es gibt keine Datenverarbeitungsvereinbarung, da PayPal kein Datenverarbeiter für Händler ist.

 

Liebe Grüße

Fritz

Login to Me Too

vega44
Beitragsleistender
Beitragsleistender

Hallo Fritz,

danke für die Antwort. Es ist wichtig, dass PayPal sich hier äussert.

 

     "PayPal verarbeitet nicht die vom Händler erhaltenen persönlichen Daten des Käufers."

 

Jedoch:

Der Kunde gibt die Lieferadresse für seine Bestellung in unserem Shop ein, wählt dann PayPal-Zahlung aus und wird zu PayPal weitergeleitet. Diese Adresse muss NICHT mit den bereits vom Kunden bei PayPal in seinem PayPal-Konto hinterlegten personenbezogenen Daten übereinstimmen.

PayPal übernimmt diese Daten aus unserem Shop. D.h. für diese spezielle Bestellung aus unserem Shop erhält PayPal die personenbezogenen Daten über den Händler und verarbeitet diese.

 

Inwieweit geht diese Vorgehensweise mit Ihrem oben zitierten Satz konform?

Login to Me Too

PayPal_Fritz
Moderator
Moderator

Hallo vega44,


danke für deine Rückfrage.

 

Die Daten des Käufers, die du uns übermittelst, sind persönliche Daten, die wir allerdings nicht in deinem Auftrag verarbeiten; die Verarbeitung der erhaltenen Daten durch uns geschieht auf Anweisung des Käufers selbst.

 

Diese persönlichen Daten des Käufers (z. B. Name, Adresse und E-Mail-Adresse) werden für die Durchführung der Zahlung benötigt und werden uns bereits vor der eigentlichen Transaktion vom Käufer zur Verfügung gestellt.

 

Andere Daten, wie z.B. die käuferbezogene Identifikationsnummer sind Transaktionsdaten, die wir aufgrund unserer Datenschutzgrundsätze an dich übermitteln dürfen. Dies führt dennoch nicht dazu, dass wir als Datenverarbeiter in deinem Auftrag agieren.  Damit ist auch die Frage beantwortet, warum zwischen dir und uns keine Vereinbarung über Auftragsdatenverarbeitung geschlossen wird: Weil PayPal keine Daten von Käufern in deinem Auftrag verarbeitet, da sowohl du als auch wir die persönlichen Daten stets jeweils direkt vom Käufer erhalten.

 

Liebe Grüße

Fritz

 

Login to Me Too

easygrind
Neues Community Mitglied

hier muss dringend eine Lösung her. Wir können als Händler nicht im Regen stehen gelassen werden. Meiner Meinung nach muss ein Datenverarbeitungsvertrag mit paypal  abgeschlossen werden. Dies hat auch mein Rechtsanwalt nach Prüfung bestätigt. Wie geht es jetzt weiter paypal?

Login to Me Too
Solved

m_quade
Neues Community Mitglied

Da ich regelmäßig mit dem Thema konfrontiert werde, gebe ich als Datenschutzbeauftragter hierzu mal meine Meinung ab:

 

Bei weitem nicht mit jedem Unternehmen/öffentlichen Einrichtung, welches personenbezogene Daten erhält, muss ein AVV geschlossen werden. AVVs müssen insbesondere dann geschlossen werden, wenn die Daten *auf Weisung*, bzw. in einer *vom Auftraggeber klar festgelegten Art und Weise* verarbeitet werden. Mit weisungsfrei arbeitenden Unternehmen ist kein AVV zu schließen (Geldinstitute, Steuerberater). PayPal besitzt eine europaweit gültige Banklizenz. Als Nutzer wird man einer Bank wohl kaum konkrete Weisungen geben können, wie die Daten verarbeitet werden. Ich gebe auch Daten an das Finanzamt weiter. Darüber informiere ich natürlich meine Kunden. Aber einen AVV mit den Finanzbehörden habe ich nicht.

Ein AVV mit PayPal ist somit nicht abzuschließen.

 

Was jedoch zwingend notwendig ist: Den Kunden in der Datenschutzerklärung (genauer in der Information gem. Art. 13 DSGVO) darüber zu informieren, wann, warum und welche Daten an wen weitergegeben werden. Und hier ist dann auch PayPal aufzuführen. Der Kunde hat somit die Möglichkeit, VOR Bestellung/Vertragsabschluss sich genau darüber zu informieren, welche Daten an wen weitergegeben werden.

 

Für weitere Fragen zur DSGVO im Onlinehandel oder anderer Natur kontaktieren Sie mich gerne.

Matthias Quade vom Technologiewerk Quade

Login to Me Too

Haven't Found your Answer?

It happens. Hit the "Login to Ask the community" button to create a question for the PayPal community.