B2B-Datenschutz-Bestimmungen IXOPAY

Datenschutzbestimmungen für Vertragspartner

Inhalt

Einleitung
Wer ist Verantwortlicher und welche personenbezogenen Daten verarbeiten wir?
Zu welchen Zwecken und auf welcher Rechtsgrundlage verarbeiten wir die Daten?
Werden Ihre Daten an Dritte weitergegeben?
Speicherdauer
Verpflichtung zur Bereitstellung von Daten
Automatisierte Entscheidungsfindung und Profiling
Betroffenenrechte
Änderungen unserer Datenschutzbestimmungen

1. Einleitung

Information zur Datenverarbeitung nach Art 13 und 14 Datenschutz-Grundverordnung (DSGVO).

1.1. Für die IXOPAY GmbH, FN 451099g, Vorgartenstraße 206c, 1020 Wien, (in Folge “IXOPAY”, "wir") ist es ein wichtiges Anliegen, Ihre personenbezogenen Daten ausreichend zu schützen. Wir halten uns deshalb strikt an die anwendbaren Rechtsvorschriften, insbesondere die Datenschutzgrundverordnung ("DSGVO"), das österreichische Datenschutzgesetz ("DSG") und das Telekommunikationsgesetz ("TKG") zum Schutz, rechtmäßigen Umgang und zur Geheimhaltung personenbezogener Daten sowie zur Datensicherheit.

1.2. Diese Datenschutzbestimmungen informieren Sie über die Art, den Umfang und die Zwecke der Verarbeitung Ihrer personenbezogenen Daten im Rahmen Ihrer Geschäftsbeziehung mit uns. Informationen über unsere Verarbeitungstätigkeiten im Rahmen des Besuchs der Website finden Sie dagegen unter dem Link “Datenschutz”.

2. Wer ist Verantwortlicher und welche personenbezogenen Daten verarbeiten wir?

Datenschutzrechtlicher Verantwortlicher (Art 4 Z 7 DSGVO) ist die IXOPAY GmbH.

Wir verarbeiten jene personenbezogenen Daten, die wir im Rahmen der Anbahnung und der Durchführung einer Geschäftsbeziehung von Ihnen erhalten. Zudem verarbeiten wir Daten, die wir aus öffentlich zugänglichen Quellen (z. B. Firmenbuch, Vereinsregister, Grundbuch, Medien) zulässigerweise erhalten haben.

Zu den personenbezogenen Daten zählen:

2.1. Personalien & Kontaktdaten:

Anrede, Name, Anschrift, Mobilnummer, E-Mail-Adresse sowie geschäftliche Kontaktdaten, Geburtsdatum, Staatsangehörigkeit.

2.2. Unternehmensdaten:

Firma, Firmenbuchdaten, Adresse, UID-Nummer.

2.3. Bankdaten (soweit von Ihnen mitgeteilt):

Kontoinhaber, Kontonummer, IBAN, BIC, SWIFT, Bankleitzahl.

Darüber hinaus werden auch Auftragsdaten, Daten aus der Erfüllung unserer vertraglichen Verpflichtungen, Werbe- und Vertriebsdaten sowie Dokumentationsdaten (z.B. Gesprächsprotokolle) verarbeitet.

3. Zu welchen Zwecken und auf welcher Rechtsgrundlage verarbeiten wir die Daten?

Wir verarbeiten Ihre personenbezogenen Daten gemäß den datenschutzrechtlichen Vorschriften:

3.1. Zur Erfüllung von vertraglichen Pflichten (Art 6 Abs 1 lit b DSGVO)

Die Verarbeitung Ihrer personenbezogenen Daten erfolgt zur Erbringung unserer Dienstleistungen Ihnen gegenüber sowie allgemein zur Erfüllung unserer Verträge mit Ihnen und zur Abrechnung unserer Leistungen. Die konkreten Zwecke der Datenverarbeitung richten sich nach dem jeweiligen Service; hervorheben möchten wir (i) die IXOPAY Payment Orchestration Plattform, wo wir zur Erbringung der Zahlungsdienste beitragen, jedoch zu keiner Zeit in den Besitz der zu transferierenden Geldbeträge gelangen (nähere Informationen finden Sie in Bereich Plattform Features), und (ii) das IXOLIT ID Portal, das für Kunden und Interessenten unserer Produkte und Dienstleistungen zum Zweck der Vereinfachung des Vertragsabschlusses und der Organisation sowie Verwaltung von Vertragsinformationen betrieben wird.

3.2. Im Rahmen Ihrer Einwilligung (Art 6 Abs 1 lit a DSGVO)

Wenn Sie uns eine Einwilligung zur Verarbeitung Ihrer personenbezogenen Daten erteilt haben, erfolgt eine Verarbeitung nur gemäß den in der Einwilligungserklärung festgelegten Zwecken und im darin vereinbarten Umfang. Eine erteilte Einwilligung kann jederzeit mit Wirkung für die Zukunft per E-Mail oder Brief an unsere in Punkt 8.7 angegebene Kontaktadresse widerrufen werden. Die Rechtmäßigkeit der aufgrund der Einwilligung bis zum Widerruf erfolgten Verarbeitung wird dadurch nicht berührt.

3.3. Zur Wahrung berechtigter Interessen (Art 6 Abs 1 lit f DSGVO)

Soweit erforderlich, verarbeiten wir Ihre Daten aufgrund unserer berechtigten Interessen oder der berechtigten Interessen. Berechtigte Interessen sind insbesondere:

Zur gesetzlich zulässigen Direktwerbung, zu Marketingzwecken, zur Kundenbindung sowie zur Markt- und Meinungsforschung;
für interne Verwaltungszwecke innerhalb der Unternehmensgruppe, einschließlich der Übermittlung personenbezogener Daten von Kunden;
Maßnahmen zur Geschäftssteuerung und Weiterentwicklung von Dienstleistungen und Produkten;
Zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen.

Ihre Daten können daher aufgrund dieser berechtigten Interessen allenfalls neben der Rechtsgrundlage einer Einwilligung (auch wenn diese nach Pkt 3.2 zwischenzeitlich widerrufen wurde) oder einer Vertragserfüllung (Pkt 3.1) verarbeitet werden.

3.4. Bevor wir Ihre Daten für andere als in diesem Dokument dargestellte Zwecke verarbeiten oder von Ihnen erheben, informieren wir Sie gesondert.

4. Werden Ihre Daten an Dritte weitergegeben?

4.1. Wir überlassen Ihre personenbezogenen Daten beschränkt auf das unbedingt erforderliche Ausmaß an folgende Kategorien externer Dienstleister:

Anbieter von Tools und Softwarelösungen, die uns bei der Erbringung unserer Leistungen unterstützen und für uns tätig werden (Auftragsverarbeiter).

Alle unsere Auftragsverarbeiter sind vertraglich dazu verpflichtet, Ihre Daten vertraulich zu behandeln und verarbeiten diese nur in unserem Auftrag und auf Basis unserer Weisungen.

4.2. Außerdem übermitteln wir Ihre personenbezogenen Daten im erforderlichen Ausmaß an folgende Kategorien von Empfängern (Verantwortliche):

etwaige an der Leistungserbringung mitwirkende Dritte im Rahmen der Erfüllung vertraglicher Verpflichtungen (z.B. Banken zur Zahlungsabwicklung, Zahlungsdienstleister, Anbieter von Content Delivery Network (CDN) und DDOS-Schutz, Marketingtools, Marketingagenturen, Kommunikationsdienstleister, Versanddienstleister, Anbieter von eingebundenen Diensten wie etwa von Tutorial-Videos);
externe Dritte im erforderlichen Ausmaß auf Basis unserer berechtigten Interessen (z.B. Wirtschaftsprüfer und Steuerberater, Versicherungen im Versicherungsfall, Rechtsvertreter im Anlassfall);
Behörden und sonstige öffentliche Stellen im gesetzlich verpflichtenden Ausmaß (z.B. Finanzbehörden); und
Personen, die unter unserer unmittelbaren Verantwortung befugt sind, personenbezogene Daten zu verarbeiten (insb. unsere Mitarbeiter).

4.3. Sofern wir Ihre Daten in einem sogenannten Drittland - d.h. außerhalb der Europäischen Union (EU) bzw. des Europäischen Wirtschaftsraums (EWR) - verarbeiten oder dies im Rahmen der Inanspruchnahme von Diensten Dritter geschieht, erfolgt dies nur im erforderlichen Ausmaß und in Übereinstimmung mit dem Datenschutzrecht der Europäischen Union. Ihre Daten können daher insbesondere in Drittländer übermittelt werden, soweit in dem Drittland ein angemessenes Datenschutzniveau herrscht, die Daten durch geeignete Garantien geschützt werden, Sie in die Datenübermittlung eingewilligt haben oder die Übermittlung zur Erfüllung eines Vertrages oder aufgrund einer rechtlichen Verpflichtung erforderlich ist. Wir haben geeignete und angemessene Garantien implementiert, um die Weitergabe Ihrer Daten in das jeweilige Drittland datenschutzkonform auszugestalten (z.B. durch den Abschluss sogenannter "EU-Standardvertragsklauseln"). Auf Ihre Anfrage übermitteln wir Ihnen eine Kopie dieser geeigneten Garantien, sofern wir Ihre Daten in Drittländern verarbeiten bzw. verarbeiten lassen oder Daten in Drittländer übermitteln.

5. Speicherdauer

5.1. Wir speichern Ihre personenbezogenen Daten nur so lange, wie es für die Zwecke, für die sie verarbeitet werden, erforderlich ist, somit insbesondere für die Dauer der gesamten Geschäftsbeziehung (von der Anbahnung, Abwicklung bis zur Beendigung eines Vertrags). Darüber hinaus sind wir allenfalls aufgrund entsprechender gesetzlicher Aufbewahrungsfristen dazu verpflichtet, Ihre Daten länger aufzubewahren.

5.2. Konkret speichern wir Ihre Daten im Zusammenhang mit Ihren Kontaktaufnahmen mit uns, Geschäftsbriefe und Vertragsunterlagen aufgrund gesetzlicher Aufbewahrungspflichten (ua § 132 BAO, § 212 UGB) für einen Zeitraum von in der Regel sieben Jahren.

5.3. Sofern wir Zugriffsdaten und Logfiles im Rahmen unserer Services erheben, werden diese für eine Dauer von maximal 500 Tagen gespeichert und anschließend gelöscht.

5.4. Daten im Zusammenhang mit Ihrer Registrierung und Ihrem Nutzeraccount (etwa bei Leistungen unserer Payment Orchestration Plattform) speichern wir bis zum Ende Ihrer Kundenbeziehung mit uns bzw. darüber hinaus bis zum Ablauf entsprechender gesetzlicher Aufbewahrungspflichten (idR für einen Zeitraum von sieben Jahren).

5.5. Außerdem speichern wir Ihre personenbezogenen Daten im Anlassfall auch über die genannten Fristen hinaus, solange Rechtsansprüche aus dem Verhältnis zwischen Ihnen und uns geltend gemacht werden können bzw. bis zur endgültigen Klärung eines konkreten Vorfalles oder Rechtsstreits.

6. Verpflichtung zur Bereitstellung von Daten

6.1. Im Rahmen der Geschäftsbeziehung müssen Sie diejenigen personenbezogenen Daten bereitstellen, die wir zur Durchführung unserer vertraglichen Verpflichtungen Ihnen gegenüber und für freiwillige Leistungen und Services benötigen, sowie solche, zu deren Erhebung wir gesetzlich verpflichtet sind (etwa Name, Firma, UID-Nummer, Anschrift, Telefonnummer, Bankdaten). Die jeweils erforderlichen, von Ihnen anzugebenden Daten sind durch ein (*) oder einen konkreten Hinweis als Pflichtfeld gekennzeichnet. Wenn Sie uns diese Daten nicht zur Verfügung stellen, werden wir den Abschluss des Vertrags oder die Annahme des Auftrags in der Regel ablehnen müssen oder einen bestehenden Vertrag nicht mehr erfüllen können und folglich beenden müssen. Der Vertragsabschluss für unsere Services IXOPAY “Starter” oder “Growth” ist ohne die vorherige Anmeldung zum IXOLIT ID Portal nicht möglich.

6.2. Sie sind nicht verpflichtet, hinsichtlich jener Daten, die für die Vertragserfüllung nicht relevant bzw. gesetzlich nicht erforderlich sind, eine Einwilligung zur Datenverarbeitung zu erteilen.

7. Automatisierte Entscheidungsfindung und Profiling

Wir nutzen keine automatisierten Entscheidungsfindungen nach Art 22 DSGVO zur Herbeiführung einer Entscheidung über die Begründung und Durchführung der Geschäftsbeziehung oder anderer Entscheidungen, die Sie erheblich beeinträchtigen würden.

8. Betroffenenrechte

Wir versuchen, so schnell wie möglich Ihre Fragen und Anliegen zu beantworten. Die Beantwortung kann aber bis zu einen Monat in Anspruch nehmen. Sollten wir länger benötigen, geben wir Ihnen vorher Bescheid.

8.1. Sie haben ein Recht auf Auskunft über die von uns über Sie verarbeiteten personenbezogenen Daten (Art 15 DSGVO). Außerdem haben Sie ein Recht auf Berichtigung unrichtiger bzw. unvollständiger Daten (Art 16 DSGVO).

8.2. Sie haben ein Recht auf Löschung (Art 17 DSGVO) Ihrer personenbezogenen Daten, wenn (i) wir Ihre Daten für die Zwecke, für die wir sie erhoben haben, nicht länger benötigen (ii) Sie Ihre Einwilligung widerrufen und keine andere Rechtsgrundlage zur Verarbeitung durch uns (vgl Pkt 3.) vorliegt (iii) Sie der Verarbeitung widersprechen und es (außer bei Verarbeitung für Direktwerbezwecke) keine vorrangigen Gründe für eine Verarbeitung gibt (iv) Ihre personenbezogenen Daten unrechtmäßig verarbeitet wurden oder wenn (v) Ihre personenbezogenen Daten gelöscht werden müssen, um gesetzlichen Anforderungen zu entsprechen.

8.3. Sie haben ein Recht auf Einschränkung der Verarbeitung (Art 18 DSGVO), wenn (i) die Richtigkeit Ihrer personenbezogenen Daten von Ihnen bestritten wird für die Dauer die wir benötigen, um die Richtigkeit zu überprüfen (ii) die Verarbeitung nicht rechtmäßig erfolgt und Sie statt der Löschung eine Einschränkung der Nutzung verlangen (iii) wir Ihre Daten nicht mehr für die Zwecke der Verarbeitung benötigen, Sie diese jedoch zur Geltendmachung, Ausübung oder Verteidigung gegen Rechtsansprüche brauchen (iv) Sie Widerspruch eingelegt haben, solange noch nicht feststeht, ob Ihre Interessen überwiegen.

8.4. Sie haben unter den Bedingungen des Art 20 DSGVO das Recht, personenbezogene Daten, die Sie uns bereitgestellt haben, in einem strukturierten, übertragbaren Format zu erhalten.

8.5. Weiters haben Sie das Recht, erteilte Einwilligungen kostenfrei und jederzeit mit Wirkung für die Zukunft zu widerrufen.

8.6. Schließlich haben Sie das Recht auf Beschwerde bei der zuständigen Aufsichtsbehörde (Art 77 DSGVO). Die für Österreich zuständige Aufsichtsbehörde ist die Österreichische Datenschutzbehörde, Barichgasse 40-42, 1030 Wien.

8.7. Bevor Sie die Datenschutzbehörde kontaktieren oder bei sonstigen Fragen zu datenschutzrechtlichen Themen können Sie sich gerne an uns wenden:

IXOPAY GmbH
Abteilung Privacy
Vorgartenstraße 206c, 1020 Wien, Österreich
[email protected]

8.8. Widerspruchsrecht

Wir können Ihre Daten aufgrund von berechtigten Interessen verarbeiten (vgl Pkt 3.3). In diesen Fällen haben Sie das Recht, der Verarbeitung Ihrer Daten zu widersprechen. Im Falle eines Widerspruchs verarbeiten wir Ihre personenbezogenen Daten nicht mehr, es sei denn, wir können zwingende schutzwürdige Gründe für die Verarbeitung dieser Daten nachweisen, die Ihre Interessen, Rechte und Freiheiten überwiegen (Interessenabwägung) oder Ihre personenbezogenen Daten dienen der Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen.

Ein Widerspruch kann insbesondere jederzeit gegen die Verarbeitung Ihrer Daten für Zwecke unserer Direktwerbung erfolgen. Im Falle eines solchen Widerspruchs verarbeiten wir Ihre personenbezogenen Daten nicht mehr für diese Zwecke (hier erfolgt keine Interessenabwägung).

9. Änderungen unserer Datenschutzbestimmungen

Im Zuge der Weiterentwicklung unserer Leistungen müssen wir möglicherweise auch unsere Datenschutzbestimmungen anpassen. Änderungen werden wir auf unserer Webseite (vgl Pkt. 1.2) bekannt geben. Daher sollten Sie diese Datenschutzbestimmungen regelmäßig aufrufen, um sich über den aktuellen Stand zu informieren.

Version: 24 Mar 2023

Partner	Name	Beschreibung	Dauer
IXOPAY GmbH	cookiesConsent	Cookie Banner. Speichert Ihre Cookie Einstellungen.	12 Monate
IXOPAY GmbH	_fm	Nutzerorientierter Sicherheitscookie, um Authentifizierungsmissbrauch zu erkennen. Filtert Websiteaufrufe aus, die durch Computer (Bots) erzeugt wurden.	30 Minuten
Google Ireland Limited	reCAPTCHA	Nutzerorientierter Sicherheitscookie, um zu prüfen, ob Eingaben in unsere Kontakt- und Newsletterformulare durch einen Menschen oder missbräuchlich computergeneriert erfolgen.	6 Monate
Cloudflare Inc.	cf_clearance	Wird von Cloudflare (Website-Sicherheitsnetzwerk) verwendet, um vertrauenswürdigen Webverkehr zu identifizieren und unsere Website vor bösartigen Aktivitäten zu schützen (siehe Cloudflares Cookie Informationen).	30 Minuten

Partner	Name	Beschreibung	Dauer
Google Ireland Limited	_ga	Analyse-Cookie des Services Google Analytics zur Unterscheidung von Besuchern. Erfasst Daten über die Anzahl der Besuche und die User Journey.	2 Jahre
Google Ireland Limited	_gid	Analyse-Cookie des Services Google Analytics zur Unterscheidung von Besuchern. Erfasst Daten über die Anzahl der Besuche und die User Journey.	24 h
Google Ireland Limited	_gat_ua-keynumber	Analyse-Cookie des Services Google Analytics zur Drosselung der Request Rate (Anfragerate) auf Websites mit starker Auslastung.	Sitzung
Google Ireland Limited	_ga_container-id	Cookie des Services Google Analytics 4. Dieses Cookie wird verwendet, um den Sitzungsstatus zu erhalten.	12 Monate
Microsoft Ireland Operations Limited	Clarity	Analyse-Service, der Ihre Interaktionen auf der Website erfasst, zB wie die Website gerendert wurde und welche Interaktionen Sie auf der Website hatten (Surfverhalten: Mausbewegungen, Klicks, Scrollverhalten). Microsoft erhebt oder erhält personenbezogene Daten von uns für Microsoft Werbezwecke (siehe Microsoft Privacy Statements). Vertrauliche Inhalte wie Passwörter, Usernamen und Nutzereingaben werden vor der Übermittlung an Microsoft durch Platzhalter ersetzt.	12 Monate
Dealfront Group GmbH	_lfa	Analyse-Service, der die IP Adresse erhebt, um Besuche von Unternehmen und deren Standort zu erfassen. Dealfront filtert automatisch alle Besucher mit einer auf einen Wohnsitz bezogenen IP Adresse aus, und erfasst somit nur unternehmerische Besuche. Erhobene Daten werden auf Unternehmensebene aggregiert (kein Personenbezug). Über eine Verbindung zu Google Analytics zeigt uns Dealfront die Website-Interaktionen der Besuche von Unternehmen an (besuchte Seiten, Quelle des Besuchers, Dauer der Session). Dealfront reichert diese Firmeninformationen mit aus öffentlichen Quellen (bspw LinkedIn) abrufbaren Kontaktdaten natürlicher Personen an.	24 Monate

Partner	Name	Beschreibung	Dauer
Google Ireland Limited	_gcl_au	Conversion-Cookie des Services Google Ads, um die Wirksamkeit von Werbung auf unseren Websites und auf Webseiten unserer Marketing- & Werbepartner zu evaluieren.	3 Monate
Google Ireland Limited	_gac_gb_container-id	Cookie zur Verknüpfung von Google Analytics und Google Ads. Dieses Cookie wird von den Website-Conversion-Tags von Google Ads ausgelesen.	90 Tage
Microsoft Ireland Operations Limited	Universal Event Tracking (UET)	Conversion-Cookie des Services Microsoft Advertising, um die Wirksamkeit von Werbung auf unseren Websites und auf Webseiten unserer Marketing- & Werbepartner zu evaluieren. Grundsätzlich werden der Cookie der entsprechenden Domain und Ihre IP Adresse nicht nur über den UET, sondern mit jeder Anfrage (http request) an Microsoft weitergegeben.	13 Monate