Datenschutzerklärung für AfterPay

Letzte Aktualisierung 16.04.2021

Version 1.3

1. Über diese Datenschutzerklärung

Der Schutz Ihrer Privatsphäre ist uns sehr wichtig. Diese Erklärung legt dar, welche persönlichen Informationen wir von Ihnen erheben und verarbeiten, wenn Sie unsere Dienstleistungen und Produkte (die „Dienste") nutzen und Kunde bei uns werden. Sie nutzen unsere Dienste beispielsweise immer dann, wenn Sie mit einer unserer AfterPay-Zahlungsmethoden bezahlen oder uns im Zusammenhang mit der Zahlungsabwicklung kontaktieren. Diese Erklärung klärt Sie zudem über Ihre Datenschutzrechte auf und erläutert, wie Sie diese geltend machen können.

Für die Nutzung unserer Webseite, des AfterPay Webportals („MyAfterPay") und unserer Mobilapplikation (die „AfterPay App") gelten spezifische Datenschutzhinweise, die Ihnen bei der Nutzung der Webseite, des Webportals oder der AfterPay App angezeigt werden.

2. Datenschutzrechtlich Verantwortlicher

Unsere Dienste, z.B. die Nutzung einer unserer AfterPay-Zahlungsmethoden, werden Ihnen durch die Arvato Payment Solutions GmbH, Gütersloher Str. 123, 33415 Verl (im Folgenden: „APS", „wir", „uns") angeboten. Als datenschutzrechtlich Verantwortlicher im Sinne der EU-Verordnung 2016/679 (die „DSGVO") sind wir für die Speicherung und Verarbeitung Ihrer persönlichen Informationen, die wir von Ihnen im Rahmen unserer Dienste erheben, und die Einhaltung der gesetzlichen Vorgaben verantwortlich.

3. Welche persönlichen Informationen über Sie verarbeiten wir?

3.1 Informationen, die Sie an uns weitergeben

Sie stellen uns persönliche Informationen zur Verfügung, wenn Sie einen unserer Dienste nutzen z.B. die Zahlung für eine Bestellung auf der Webseite eines Händlers mit einer der Zahlungsmethoden von AfterPay abwickeln oder uns kontaktieren. Abhängig davon, welchen Dienst Sie von uns nutzen, sind folgende Informationen betroffen:

3.2 Von uns erhobene Daten bei Nutzung unserer Dienste

Wenn Sie eine Bestellung auf der Internetseite eines Händlers tätigen und eine unserer AfterPay-Zahlungsmethoden in Anspruch nehmen wollen oder uns im Rahmen der Zahlungsabwicklung kontaktieren, erheben wir die folgenden Daten über Sie (entweder direkt von Ihnen oder über Dritte, wie z.B. Auskunfteien und Händler):

Wenn Sie in Maßnahmen zur Betrugsverhinderung und Missbrauchserkennung eingewilligt haben (siehe Ziffer [4.1.2]), dann erheben wir bei Ihrem Besuch auf der Internetseite des Händlers zusätzlich folgende Daten (die „Zugriffsdaten"):

Die von Ihnen weitergegebenen Informationen sowie die von uns erhobenen Informationen über Waren/Dienste, die Historischen Informationen, Ihre finanziellen Informationen und die Informationen über die Interaktion zwischen Ihnen und den Händlernwerden benötigt, um Ihnen unsere Dienstleistungen bereitzustellen. Die weiteren, von uns erhobenen Informationen, wie z.B. die Informationen über die Interaktionen zwischen Ihnen und uns, sind für die Zwecke erforderlich, welche unten aufgelistet sind.

4. Zu welchen Zwecken werden Ihre Daten verwendet? Wie lange speichern wir Ihre Daten?

Wir verwenden Ihre Daten für die unten genannten Zwecke. Des Weiteren können Sie der Übersicht entnehmen, für welche Dauer Ihre Daten jeweils gespeichert werden.

Bereich Zweck Rechtsgrundlage der Datenverarbeitung Automatisierte Entscheidung Speicherdauer
Identifizierung, Risiko- und Betrugsmanagement um einzuschätzen, ob wir Ihnen unsere AfterPay-Zahlungsmethoden anbieten können Einwilligung (Artikel 6 Abs.1 a DSGVO). Wahrung der berechtigten Interessen (Artikel 6 I f DSGVO)Da wir die Forderung des Händlers erwerben, haben wir ein berechtigtes Interesse, uns gegen Verluste aufgrund fehlender Zahlungsfähigkeit oder aufgrund von Betrug abzusichern. Ja 3 Jahre
um Sie eindeutig identifizieren zu können Erfüllung einer rechtlichen Verpflichtung (Artikel 6 Abs. 1 c) DSGVO). Nein 3 Jahre
um ein angemessenes Risikomanagement bzw. eine Betrugsprävention durchführen zu können Wahrung der berechtigten Interessen (Artikel 6 Abs. 1 f) DSGVO). Da wir die Forderung des Händlers erwerben, haben wir ein berechtigtes Interesse, uns gegen Verluste aufgrund fehlender Zahlungsfähigkeit oder aufgrund von Betrug abzusichern. Einwilligung, falls diese nach geltendem Recht erforderlich ist (Artikel 6 Abs.1 a) DSGVO – Einwilligung). Ja 3 Jahre
um Auskünften bei Auskunfteien zur Bonitätsprüfung einholen zu können Wahrung der berechtigten Interessen (Artikel 6 Abs. 1 f) DSGVO). Wir haben das berechtigte Interesse, auch externe Daten bei der Entscheidung über die Gewährung unserer AfterPay-Zahlungsmethoden zu berücksichtigen, wenn interne Daten alleine nicht ausreichen, um eine Einschätzung über das Bonitätsrisiko zu treffen. Ja 3 Jahre
um einem Missbrauch der Nutzung einer unserer AfterPay-Zahlungsmethoden vorbeugen zu können (z.B. durch Verbesserung der Kreditrisiko- und Betrugsmodelle) Zur Erfüllung einer rechtlichen Verpflichtung (Artikel 6 Abs. 1 c) DSGVO). Wahrung der berechtigten Interessen (Artikel 6 Abs. 1 f) DSGVO). Da wir die Forderung des Händlers erwerben, haben wir ein berechtigtes Interesse, uns gegen Verluste aufgrund fehlender Zahlungsfähigkeit oder aufgrund von Betrug abzusichern. Nein 3 Jahre
Zahlungsverwaltung & Kundenmanagement um Ihre Zahlungen verwalten und mit Ihnen kommunizieren zu können Erfüllung einer vertraglichen Pflicht (Artikel 6 Abs. 1 b) DSGVO). Nein 10 Jahre
um die Dienste verwalten und verbessern zu können Wahrung der berechtigten Interessen (Artikel 6 Abs. 1 f) DSGVO). Wir haben das berechtigte Interesse, unsere Dienste und Abläufe weiter zu verbessern, um die Kommunikation mit dem Kunden zu optimieren und so unnötigen Aufwand zu minimieren. Nein 10 Jahre
Erfüllung gesetzlicher Anforderungen um gesetzliche Anforderungen, wie zum Beispiel des Geldwäschegesetzes und der gesetzlichen Grundlagen zur Buchführung sowie regulatorischen Kapitaladäquanzanforderungen erfüllen zu können Zur Erfüllung einer rechtlichen Verpflichtung (Artikel 6 Abs. 1 c) DSGVO). Nein 10 Jahre
Werbung und individuelle Angebote um Ihnen Werbung und Angebote rund um unsere Dienste per Post, E-Mail, MMS, SMS oder über die AfterPay-App zur Verfügung zu stellen. Wahrung der berechtigten Interessen (Artikel 6 Abs. 1 f) DSGVO) und bei E-Mail, SMS und MMS zusätzlich § 7 Abs. 3 UWG. Wir haben ein berechtigtes Interesse daran, Ihnen Angebote und Werbung zur Verfügung zu stellen. Nein Solange eine aktive Geschäftsbeziehung besteht und kein berechtigter Widerspruch eingelegt wurde
Verarbeitung Ihrer Daten unter Nutzung einer Connector ID (C-ID) um Daten, die andere Unternehmen der Bertelsmann-Gruppe von Ihnen erhoben haben, für unser Risiko- und Betrugsmanagement oder zu Werbezwecken nutzen zu können Wahrung der berechtigten Interessen (Artikel 6 Abs. 1 f) DSGVO). Wir haben das berechtigte Interesse, auch externe Daten bei der Entscheidung über die Gewährung unserer AfterPay-Zahlungsmethoden zu berücksichtigen, wenn interne Daten alleine nicht ausreichen, um eine Einschätzung über das Bonitätsrisiko zu treffen. Wir haben ferner ein berechtigtes Interesse daran, Ihnen Angebote und Werbung zur Verfügung zu stellen. Nein Solange eine aktive Geschäftsbeziehung besteht und kein berechtigter Widerspruch eingelegt wurde

Weitere Informationen zu den oben aufgeführten Zwecken der Datenverarbeitung finden Sie in den nachfolgenden Abschnitten.

4.1 Identifizierung, Risiko- und Betrugsmanagement

Im Rahmen des Bestellprozesses auf der Webseite eines Händlers verwenden wir Ihre Kontaktdaten, Informationen zu Waren/ Dienstleistungen, Finanzielle Informationen und, soweit vorhanden, Historische Informationen sowie bei Vorliegen Ihrer Einwilligung (siehe Ziffer [4.1.2]) Ihre Zugriffsdaten im Interesse wirksamer Missbrauchsbekämpfung, zur Bonitätsprüfung und zur sog. Zahlartensteuerung (Entscheidung, ob eine AfterPay-Zahlungsmethoden dem jeweiligen Nutzer angeboten wird) wie folgt:

4.1.1 Im Rahmen der Interessensabwägung (Artikel 6 I f DSVO)

Wenn Sie eine unserer AfterPay-Zahlungsmethoden im Rahmen des Bestellvorgangs auf der Webseite des Händlers ausgewählt haben, übermittelt der Händler uns Ihre Kontaktdaten (Name, Adresse, ggf. Geburtsdatum, E-Mail-Adresse) sowie Informationen zu Waren/ Diensten, damit wir entscheiden können, ob wir Ihnen diese Zahlart gewähren können (passive Zahlartensteuerung). Zu diesem Zweck übermitteln wir über die informa solutions GmbH, Rheinstraße 99, 76532, als Auftragsverarbeiter Ihren Namen, Ihre Adresse und ggf. Ihr Geburtsdatum für die Bonitätsprüfung an die infoscore Consumer Data GmbH, Rheinstr. 99, 76532 Baden-Baden („ICD"). Die ICD erstellt u.a. unter Einbeziehung von Adressdaten und Zahlungserfahrungen aus der Vergangenheit auf Basis mathematisch-statistischer Verfahren (insbes. Verfahren der logistischen Regression und Vergleiche mit Personengruppen, die in der Vergangenheit ein ähnliches Zahlungsverhalten aufwiesen) eine Prognose insbesondere über Zahlungswahrscheinlichkeiten (Score) und stellt uns diesen Score zur Verfügung. Unter Berücksichtigung der Informationen zu Waren/ Diensten, dem von der ICD bereitgestellten Score, Ihre Kontaktdaten (Name, Adresse und ggf. Geburtsdatum) und den bei uns von Ihnen vorliegenden bisherigen Zahlverhaltensdaten/Historischen Informationen erfolgt eine ausgewogene Entscheidung darüber, ob wir Ihnen die ausgewählte Bezahloption gewähren können. Darüber hinaus nutzen wir Fraud.net Inc. 330 7th Avenue, New York City, NY 10001, USA, als weiteren Auftragsverarbeiter zur Betrugsprävention und -aufdeckung. Die Datenspeicherung erfolgt in der EU; es erfolgt aber ein Zugriff auf diese Daten durch Fraud.net aus den USA. Mit Fraud.net wurden die von der EU-Kommission veröffentlichten Standardvertragsklauseln abgeschlossen, um ein der EU angemessenes Datenschutzniveau sicherzustellen.

Rechtsgrundlagen dieser Übermittlungen sind Artikel 6 Absatz 1 Buchstabe b und Artikel 6 Absatz 1 Buchstabe f der DSGVO. Unser berechtigtes Interesse besteht darin, vor Gewährung einer unserer Zahlarten, die alle ein kreditorisches Risiko mit sich bringen, möglichst gut einschätzen zu können, ob Sie den eingegangenen Zahlungsverpflichtungen nachgekommen werden. Das berechtigte Interesse des Händlers besteht darin, Ihnen auch risikobehaftete Zahlarten, wie Offene Rechnung oder Lastschrift, anbieten zu können.

Zudem werden Ihrerseits angegebene Adressdaten zur Vermeidung von Fehllieferungen und Forderungsausfällen im Rahmen einer Anschriftenprüfung auf Grundlage von Artikel 6 Absatz 1 Buchstabe f der DSGVO verifiziert und zu diesem Zweck an die ICD übermittelt. Die Übermittlung der für die Bonitäts- und Adressprüfung sowie für die Zahlartensteuerung notwendigen Daten erfolgt über eine gesicherte Schnittstelle. Schutzwürdige Belange Ihrer Person werden im Übrigen nach Maßgabe der gesetzlichen Bestimmungen selbstverständlich berücksichtigt.

Sie haben gemäß Artikel 21 Absatz 1 DSGVO das Recht, aus Gründen, die sich aus Ihrer besonderen Situation ergeben, jederzeit der Verarbeitung Ihrer Daten zu den vorstehenden Zwecken mit Wirkung für die Zukunft zu widersprechen; dies gilt auch für ein im Rahmen der vorstehenden Zwecke durchgeführtes Profiling. Bitte beachten Sie jedoch, dass wir Ihnen in diesem Fall nicht mehr unsere risikobehafteten Zahlarten im Rahmen Ihres Bestellvorgangs auf der Webseite des Händlers anbieten können.

Detaillierte Informationen zur ICD i.S.d. Art. 14 DSGVO , d.h. Informationen zum Geschäftszweck, zu Zwecken der Datenspeicherung, zu den Datenempfängern, zum Selbstauskunftsrecht, zum Anspruch auf Löschung oder Berichtigung etc. finden Sie in der Anlage beziehungsweise unter folgendem Link: https://finance.arvato.com/icdinfoblatt.

4.1.2 Auf Grund Ihrer Einwilligung (Artikel 6 I a DSGVO)

Einwilligung in Maßnahmen zur Missbrauchsverhinderung und -erkennung

Soweit Sie Ihre Einwilligung zur Betrugsverhinderung und Missbrauchserkennung im Rahmen des Bestellvorgangs auf der Website eines Händlers („Online-Shop") erteilt haben, willigen Sie darin ein, dass,

  1. Ihre Daten zur Vertragsabwicklung (bspw. Kaufgegenstand, Namen, Postanschrift, E-Mail-Adresse, Lieferanschrift, Bezahlweise und Bankdaten) und
  2. Ihre beim Besuch der Webseiten benutzten Endgerätedaten (bspw. ihre Bildschirmauflösung, Betriebssystemversion, Browsersprache, anonymisierte, d.h. gekürzte IP-Adresse) und einer Device-ID, die anonymisiert diese Endgerätedaten enthält, optional, d.h. wenn von Ihnen zugelassen, auch mittels eines Cookies zwischengespeichert werden kann, und über die ihre verwendeten Endgeräte mit einer gewissen Wahrscheinlichkeit bei weiteren Besuchen wiedererkannt werden können,

von dem Online-Shop an uns zum Zwecke der Betrugsverhinderung und Missbrauchserkennung übermittelt werden. Wir nutzen diese Daten um , automatisiert zu prüfen, ob Anhaltspunkte für einen Online-Betrug oder sonstigen Missbrauch des Online-Shops (z.B. in Form von Bestellung von Waren/ Dienstleistungen im Online-Shop durch die Übernahme Ihres Benutzerkontos, die automatisierte Erstellung von gefälschten Benutzerkonten durch Bots, die Verwendung von gestohlenen Identitäten oder Zahlungsdaten) bestehen. Soweit konkrete Anhaltspunkte für einen Online-Betrug oder sonstigen Missbrauch des Online-Shops bestehen, behalten wir und der Online-Shop sich vor, den betreffenden Bestellvorgang zu unterbrechen oder keine der AfterPay-Zahlungsmethoden anzubieten. Die beschriebenen Maßnahmen zur Betrugsverhinderung und Missbrauchserkennung helfen ferner dabei, Ihr Benutzerkonto gegen Betrug und Missbrauch Ihrer Daten zu schützen.

Sie versichern, dass Sie diese Einwilligung bzgl. aller von Ihnen beim Besuch dieses Online-Shops verwendeten Endgeräte abgeben dürfen, und dass Sie Dritte, denen Sie Ihre dabei verwendeten Endgeräte überlassen, über diese Einwilligung informieren und sicherstellen, dass diese ebenfalls mit den beschriebenen Maßnahmen einverstanden sind bzw. andernfalls diesen Online-Shop nicht mit Ihren Endgeräten besuchen.

Die Bereitstellung der personenbezogenen Daten ist für einen Vertragsabschluss erforderlich. Bei der Nichtbereitstellung behält sich der Online-Shop vor, den Kaufprozess zu unterbrechen.

Sie können die oben aufgeführten Einwilligungen jederzeit mittels eines formlosen Schreibens an datenschutz@afterpay.de mit Wirkung für die Zukunft widerrufen.

4.2 Kundenkommunikation

Ihre Kontaktdaten können für die Kundenkommunikation (keine Werbung) verwendet werden. Zu diesem Zwecke können Sie beispielsweise im Zusammenhang mit dem Kundendienst oder unseren Dienstleistungen kontaktiert werden, z.B. durch Übersendung von Rechnungen oder Mahnungen per E-Mail oder Benachrichtigungen zu den von Ihnen genutzten AfterPay-Zahlungsmethoden.

4.3 Zur Erfüllung von gesetzlichen Anforderungen

Wir unterliegen diversen gesetzlichen Anforderungen (z.B. Geldwäschegesetz, Kreditwesengesetz, Steuergesetze) sowie aufsichtsrechtlichen Vorgaben (z.B. der Bundesanstalt für Finanzdienstleistungsaufsicht) und verarbeiten daher personenbezogene Daten für Zwecke der Kreditwürdigkeitsprüfung, Identitäts- und Altersprüfung, Betrugs- und Geldwäscheprävention, Bekämpfung von Terrorismusfinanzierung sowie für Zwecke der Erfüllung steuerlicher Kontroll- und Meldepflichten.

4.4 Werbung und individuelle Angebote

Wir verwenden Ihre Kontaktinformationen, um Ihnen per Post, E-Mail, MMS, SMS oder über die AfterPay-App Werbung zu weiteren AfterPay-Produkten, wie z.B. Ratenzahlung („AfterPay Flex") oder Monatsabrechnung, zuzusenden. Sie erhalten dabei dann auch ohne, dass Sie hierfür eine ausdrückliche Einwilligung erteilt haben, Werbung per E-Mail, MMS oder SMS , wenn wir Ihre E-Mail-Adresse bzw. Telefonnummer im Zusammenhang mit der Nutzung unserer Dienste erhalten haben und die von uns beworbenen Produkte/ Leistungen, denen ähneln, die Sie bereits in der Vergangenheit bei uns genutzt haben. Sie können dieser Verwendung Ihrer Kontaktinformationen zu Werbezwecken jederzeit per E-Mail an datenschutz@afterpay.de widersprechen. Dabei entstehen Ihnen keine zusätzlichen Kosten, außer den Übermittlungskosten nach den Basistarifen.

Des Weiteren wird Ihnen am Ende einer jeden E-Mail, MMS bzw. SMS die Möglichkeit eingeräumt, für die Zukunft im Hinblick auf die weitere Verwendung Ihrer E-Mail-Adresse bzw. Telefonnummer zu dem zuvor dargelegten Zweck (Bewerbung vergleichbarer Waren und Dienstleistungen) durch uns zu widersprechen.

4.5 Verarbeitung Ihrer Daten unter Nutzung einer Connector ID (C-ID)

Wir übermitteln Ihren Namen, Anschrift und, soweit vorhanden, Ihre Kontaktdaten (z.B. E-Mail-Adresse, Telefonnummer) an die Bertelsmann Data Services GmbH, Carl-Bertelsmann-Str. 270, 33311 Gütersloh („BDS"). Die BDS verarbeitet diese Daten, um eine eindeutige Connector-ID („C-ID") zu erzeugen. Anschließend werden diese Daten von der BDS gelöscht. Bei der C-ID handelt es sich um ein Kennzeichen (Identifikator), der es dem jeweils beteiligten Bertelsmann-Unternehmen ermöglicht, festzustellen, in welchen Datenbanken der anderen beteiligten Bertelsmann-Unternehmen eine in ihren Datenbanken vorhandene Person gespeichert ist.

Zusätzlich übermitteln wir die ID (Kunden-ID), die wir in unserer Datenbank ihrem Datensatz zugeordnet haben, an die BDS. Die BDS erfasst und verwaltet zentral für alle beteiligten Bertelsmann-Unternehmen die C-ID, die Kunden-ID, Angaben zum Anonymen Datenkatalog und dazu, welche Einwilligungen zu einer C-ID bei den beteiligten Bertelsmann-Unternehmen vorliegen. Bei dem anonymen Datenkatalog handelt es sich um aggregierte, nicht-personenbezogene Angaben zu den in den Kundendatenbanken der anderen Bertelsmann-Unternehmen gespeicherten Daten („Anonymer Datenkatalog"). Wir übermitteln selbst keinen anonymen Datenkatalog an die BDS.

Die oben beschriebenen Datenverarbeitungen erfolgen zur Wahrung unserer berechtigten Interessen auf Grundlage von Artikel 6 (1) (f) DSGVO. Dies geschieht zunächst, damit wir durch eine Anfrage bei der BDS einschätzen können, bei welchen beteiligten Bertelsmann-Unternehmen dieselbe C-ID vorhanden ist und welches Potential der Anonyme Datenkatalog des anderen Bertelsmann-Unternehmens für eine Datenübermittlung an uns bietet.

Soweit Sie darin gegenüber einem anderen beteiligten Bertelsmann-Unternehmen eingewilligt haben, kann uns dieses Unternehmen unter der Nutzung der C-ID weitere Daten zu Ihrer Person übermitteln. Wir nutzen diese Daten dann für unser Risiko- und Betrugsmanagement oder zu Werbezwecken, wie unter Ziffer 4 dieser Datenschutzhinweise näher beschrieben. Bitte beachten Sie, dass wir selbst keine Daten über Ihre Person an andere beteiligte Bertelsmann-Unternehmen übermitteln, sondern in diesem Rahmen ausschließlich Datenempfänger sind.

Die aktuell beteiligten Bertelsmann-Unternehmen können Sie unter https://dataservices.bertelsmann.de/participatingcompanies/ abrufen oder postalisch bzw. per E-Mail unter datenschutz@bertelsmann.de anfordern.

Für die Datenverarbeitung bei der Erzeugung der C-ID sind wir und die BDS gemeinsame datenschutzrechtlich Verantwortliche. Insoweit haben wir und die BDS in einer gemeinsamen Vereinbarung nach Art. 26 DSGVO festgelegt, wer von uns welche Pflichten nach der DSGVO erfüllt. Dies betrifft insbesondere die Wahrnehmung der Rechte der betroffenen Personen und die Erfüllung der Informationspflichten gemäß den Artikeln 13 und 14 DSGVO.

Diese Vereinbarung ist notwendig, da bei der Erzeugung der C-ID personenbezogene Daten in unterschiedlichen Prozessabschnitten verarbeitet werden, die entweder von uns, der BDS oder gemeinsam betrieben werden. Auch wenn eine gemeinsame Verantwortlichkeit besteht, erfüllen die Parteien die datenschutzrechtlichen Pflichten entsprechend ihrer jeweiligen Zuständigkeiten für die einzelnen Prozessabschnitte wie folgt:

a) Für den Prozess der Übermittlung der o.g. Daten an die BDS sind wir verantwortlich.

b) Für die Erzeugung der C-ID sind wir und die BDS gemeinsam verantwortlich.

c) Für die Verwaltung der C-ID sowie für die oben beschriebene Löschung der Daten, die zur Erzeugung der C-ID an die BDS übermittelt wurden, ist die BDS verantwortlich.

Ihre Datenschutzrechte können Sie sowohl bei uns (s. Ziffer 12) , als auch bei der Bertelsmann Data Services GmbH, Konzerndatenschutz, Carl-Bertelsmann-Str. 270, 33311 Gütersloh oder per E-Mail unter datenschutz@bertelsmann.de geltend machen. Sie erhalten die Auskunft grundsätzlich von der Stelle, bei der Sie Ihre Rechte geltend machen.

Sie können der Verwendung Ihrer Daten zu den in Ziffer 4.5.1 beschriebenen Datenverarbeitungen jederzeit widersprechen, wie unter Ziffer 7 beschrieben. Ihre Daten werden dann zukünftig nicht mehr für diese Zwecke verwendet.

5. Automatisierte Entscheidung im Einzelfall einschließlich Profiling

Die Entscheidung über die Gewährung einer unserer AfterPay-Zahlungsmethoden im Bestellvorgang (Zahlartensteuerung) und das Betrugspotenzial von möglichen Bestellungen erfolgt automatisiert im Rahmen des Online-Bestellprozesses.

Im Rahmen der Zahlartensteuerung werden sowohl Informationen der extern genutzten Auskunfteien als auch von Ihnen eventuell bereits vorliegende Zahlungsdaten genutzt (siehe 4.1.1.). In dem Betrugspräventionsprozess werden ggf. zusätzlich Device Tracking Daten verwendet (siehe 4.1.2.). Auf Basis mathematisch-statistischer Verfahren (insbes. Verfahren der logistischen Regression oder anderer statistischer, teilweise automatisierter Optimierungsmodelle) wird unter Einbeziehung unserer vorhandenen Zahlungsinformationen sowohl durch Vergleiche mit Personengruppen, die in der Vergangenheit ein ähnliches Zahlungsverhalten aufwiesen, als auch durch historische Analysen von Betrugsmustern (insbes. durch Extrapolation auf unsere Zielgruppen) eine Prognose insbesondere über Zahlungswahrscheinlichkeiten und ggf. Betrugs- und Missbrauchsrisiken erstellt.

Kommt es zu einer Ablehnung wegen nicht ausreichender Bonität oder wegen eines erheblichen Betrugsverdachts, dann werden Ihnen die von uns angebotenen risikobehafteten Zahlmethoden nicht angeboten, da wir das Ausfallrisiko tragen.

6. Übermittlung außerhalb der EU/des EWR

Wir setzen den Cloud Service „Microsoft Azure" des Anbieters Microsoft Corporation, One Microsoft Way, Redmond, WA 98052-6399, USA (im Folgenden: „Microsoft") ein; d.h. die Daten werden in Rechenzentren bei unserem Auftragsverarbeiter Microsoft verarbeitet. Dabei kann ein Zugriff auf ihre Daten aus einem Drittland nicht ausgeschlossen werden. Mit Ausnahme von Fraud.net und Microsoft übermitteln wir derzeit Ihre Daten nicht in Länder außerhalb der EU / EWR. Falls wir Ihre Daten an Unternehmen außerhalb der EU / EWR übermitteln , stellen wir sicher, dass Ihre Daten ausreichend geschützt sind und angemessene Schutzmaßnahmen (z.B. EU-Standardvertragsklauseln sowie ggf. weitere Maßnahmen auf Grund des sog. Schrems2-Urteils des EuGH) ergriffen wurden. Sie können ein Exemplar der von uns eingeführten Schutzmaßnahmen bei unserem Datenschutzbeauftragten unter datenschutz@afterpay.de anfordern.

7. Welche Rechte haben Sie in Bezug auf Ihre Daten?

Zugang: Sie können schriftliche Auskunft darüber verlangen, welche Informationen wir von Ihnen im Einzelnen haben.

Berichtigung : Wir möchten sicherstellen, dass Ihre persönlichen Informationen korrekt und auf dem aktuellen Stand sind. Sie können die Berichtigung oder die Löschung der Daten fordern, die aus Ihrer Sicht falsch sind.

Löschung: Sie können die Löschung Ihrer Daten fordern. Es kann sein, dass wir Ihre Daten nicht sofort löschen können, da wir diese zum Beispiel noch für die Bereitstellung unserer Dienste an Sie benötigen. Wir sind nicht berechtigt, die persönlichen Daten von Ihnen zu löschen, bei denen eine gesetzliche Aufbewahrungspflicht besteht.

Widerspruch: Sie haben gemäß Artikel 21 DSGVO das Recht, der Verarbeitung Ihrer Daten zu widersprechen.

Einschränkung der Verarbeitung: Sie haben gemäß Artikel 14 DSGVO das Recht, die Verarbeitung ihrer Daten einzuschränken.

Widerruf des Einverständnisses: Werden persönliche Daten basierend auf Ihrem Einverständnis verarbeitet, so haben Sie das Recht, dieses Einverständnis jederzeit zu widerrufen. Ein solcher Widerruf berührt nicht die Rechtmäßigkeit der Datenverarbeitung, die mit Ihrem Einverständnis vor Ihrem Widerruf erfolgt ist.

Datenübertragbarkeit: Falls Ihre persönlichen Daten in automatisierter Form zum Zwecke der Vertragserfüllung verarbeitet werden, können Sie verlangen, dass wir Ihnen Ihre persönlichen Daten in maschinenlesbarer Form für die Weitergabe an einen anderen Datenverantwortlichen zur Verfügung stellen.

Beschwerden: Sie können jederzeit Beschwerde bei uns oder Ihrer lokalen Datenschutzbehörde einreichen: Die Landesbeauftragte für Datenschutz und Informationsfreiheit Nordrhein-Westfalen, Postfach 20 04 44, 40102 Düsseldorf (Tel.: 0211/38424-0, Fax: 0211/38424-10, E-Mail: poststelle@ldi.nrw.de).

Wenn Sie eine Anfrage haben, senden Sie diese gerne an datenschutz@afterpay.de.

8. An wen geben wir Ihre Daten weiter?

Gegebenenfalls geben wir Ihre Daten zu den in dieser Erklärung genannten Zwecken an andere zur AfterPay-Gruppe gehörende Unternehmen (d.h. länderübergreifend) weiter, damit wir für Sie einen optimalen AfterPay Service bieten können. Gegebenenfalls beauftragen wir des Weiteren einen Dritten als Dienstleister (Auftragsverarbeiter, z.B. Rechenzentren) im Rahmen der in dieser Erklärung genannten Zwecke. Dienstleister erhalten nur in dem Umfang und für den Zeitraum Zugang zu Ihren Daten, der für die Erbringung der jeweiligen Dienstleistung erforderlich ist. Unter Umständen übermitteln wir dem Händler, bei dem Sie den Kauf getätigt haben, die Informationen, die er benötigt, um Ihre Bestellung angemessen durchführen zu können und sie zu verwalten. Diese Informationen unterliegen den Datenschutzbestimmungen des jeweiligen Händlers.

Wir geben Ihre Informationen unter Umständen an Auskunfteien und Unternehmen weiter, die Identitätsprüfungen durchführen, um Ihre Bonität zu prüfen oder eine Risikobewertung vorzunehmen, wenn sie eine unserer AfterPay-Zahlungsmethoden in Anspruch nehmen möchten, sowie für die Überprüfung Ihrer Identität und Adressdaten. Soweit wir gesetzlich verpflichtet sind, legen wir Behörden wie zum Beispiel der Polizei oder Steuerbehörden die notwendigen Informationen offen. Eine gesetzlich festgelegte Offenlegungspflicht besteht beispielsweise im Falle von Maßnahmen gegen Geldwäsche und Terrorismusfinanzierung. Allerdings legen wir den zuständigen Behörden nur die auf Grund der aktuellen Gesetzeslage geforderten Daten offen.

Sollten wir Ihre Daten an diese ausgewählten Dritten weitergeben, so unternehmen wir alle vernünftigerweise zu erwartenden Anstrengungen in rechtlicher, technischer und organisatorischer Hinsicht, um sicherzustellen, dass bei Übermittlung oder Weitergabe an besagte Dritte Ihre Daten vertraulich behandelt und ausreichend geschützt werden. Wir möchten ausdrücklich darauf hinweisen, dass wir Ihre persönlichen Daten nicht an Dritte weiterveräußern. Darüber hinaus legen wir Ihre Daten auch nicht gegenüber Dritten zum Zwecke von Direktwerbung oder anderen Formen von Direktvermarktung, Meinungsumfragen oder Marktstudien offen, es sei denn, Sie haben Ihr Einverständnis dazu erklärt.

9. Gibt es eine Pflicht zur Bereitstellung von Daten für Sie?

Bei Auswahl einer unser Zahlarten auf der Webseite des Händlers oder bei Abschlusses eines Vertrages mit uns müssen Sie diejenigen personenbezogenen Daten bereitstellen, die für Entscheidung über die Gewährung der von Ihnen ausgewählten AfterPay-Zahlungsmethode oder die Begründung und Durchführung eines Vertrages erforderlich sind oder zu deren Erhebung wir gesetzlich verpflichtet sind. Ohne diese Daten werden wir in der Regel die Gewährung der von Ihnen gewählten Zahlart oder den Abschluss des Vertrages ablehnen müssen bzw. einen bestehenden Vertrag nicht mehr durchführen können und ggf. beenden müssen.

Insbesondere sind wir bei Abschluss eines Vertrages nach den geldwäscherechtlichen Vorschriften verpflichtet, Sie vor der Begründung der Geschäftsbeziehung beispielsweise anhand Ihres Personalausweises zu identifizieren und dabei Ihren Namen, Geburtsort, Geburtsdatum, Staatsangehörigkeit sowie Ihre Wohnanschrift zu erheben und festzuhalten. Damit wir dieser gesetzlichen Verpflichtung nachkommen können, haben Sie uns nach § 4 Abs. 6 Geldwäschegesetz die notwendigen Informationen und Unterlagen zur Verfügung zu stellen und sich im Laufe der Geschäftsbeziehung ergebende Änderungen unverzüglich anzuzeigen. Sollten Sie uns die notwendigen Informationen und Unterlagen nicht zur Verfügung stellen, dürfen wir die von Ihnen gewünschte Geschäftsbeziehung nicht aufnehmen oder fortsetzen.

10. Wie schützen wir Ihre Daten?

Um Ihre Daten zu schützen, verwenden wir neueste Technologien. Das bedeutet, dass wir alle notwendigen technischen und administrativen Sicherheitsmaßnahmen ergreifen, um Ihre Daten vor unberechtigtem Zugriff, Übermittlung, Löschung oder sonstiger unberechtigter Verarbeitung zu schützen. Zu diesen Sicherheitsmaßnahmen gehören hochmoderne Firewalls, Verschlüsselung, die Nutzung sicherer IT-Bereiche, angemessene Zugangskontrolle und außerdem eine Einweisung des mit der Verarbeitung Ihrer Daten beauftragten Personals und eine sorgfältige Auswahl von Subunternehmern. Darüber hinaus haben nur diejenigen Mitarbeiter Zugang zu Ihren Daten, deren Aufgabenbereich einen Zugang zu Ihren Daten auch erfordert.

11. Änderungen der Datenschutzerklärung

Wir arbeiten fortwährend an der Weiterentwicklung unserer Dienste und passen daher diese Datenschutzerklärung bei Änderungen der Dienste entsprechend an. Änderungen können sich auch aus einer Änderung des anzuwendenden Rechts ergeben.

12. Fragen zum Datenschutz

Sie haben das Recht, auf Antrag und innerhalb einer angemessenen Frist Auskunft über Ihre Daten zu verlangen, unrichtige Daten zu berichtigen, die Sie betreffen, oder uns mitzuteilen, dass Sie Ihr Einverständnis zur Speicherung Ihrer persönlichen Daten widerrufen. Wir haben ein engagiertes Team von Spezialisten im Bereich Datenschutz. Wenden Sie sich bei Fragen zu dieser Datenschutzerklärung oder zum Datenschutz bitte an den Datenschutzbeauftragten der APS unter datenschutz@afterpay.de.