Datenschutz-Hinweise MyAfterPay-Website

Version 1.3

Datenschutz-Hinweise zu unseren AfterPay Zahlungsmethoden wie z.B. Kauf auf Rechnung (im Folgenden „Datenschutzhinweise Produkt“) finden Sie unter folgendem Link: https://documents.myafterpay.com/privacy-statement/de_de/muster

Gültig ab: 08/2021

1. Wer ist für die Verarbeitung meiner Daten verantwortlich?

Die Arvato Payment Solutions GmbH, Gütersloher Straße 123, 33415 Verl („APS“) ist für die Verarbeitung Ihrer Daten verantwortlich. Unseren Datenschutzbeauftragten erreichen Sie per Post unter der vorstehend aufgeführten Adresse mit dem Zusatz „An den Datenschutzbeauftragten“ oder per E-Mail an datenschutz@bertelsmann.de.

2. Zu welchen Zwecken werden welche Daten verarbeitet? 

2.1 Zugriffsdaten

Wenn Sie unsere Website oder unsere AfterPay Online Services verwenden, werden automatisiert folgende Daten und Informationen an unseren Server gesendet: Ihre IP-Adresse, Einzelheiten über die von Ihnen angeforderten Inhalte und über Ihr Nutzungsverhalten (z. B. welche Rubriken (FAQ’s, Kontaktformular etc.) Sie sich angesehen haben), die von Ihnen auf der Website eingegebenen Inhalte (z. B. Suchworte, Login-Daten, Bewertungen, Formulareingaben, Klickdaten), Datum und Uhrzeit des Zugriffs, Angaben über den von Ihnen verwendeten Internet-Browser, die Dauer Ihres Besuchs der Website und die zuvor von Ihnen besuchte Seite, von der Sie unsere Website aufgerufen haben. Diese Daten werden im Folgenden mit „Zugriffsdaten“ beschrieben und zu folgenden Zwecken verarbeitet:

2.2 Weitere Daten bei einloggten Teilnehmern

Mit Ihrem Log-In verarbeiten wir neben den Zugriffsdaten (s. 2.1) auch Daten zu Ihren Einkäufen, den von Ihnen gewählten Zahlarten (z.B. Ratenzahlung, Zahlpause, Lastschrift), Informationen aufgrund geldwäscherechtlicher Vorgaben sowie ggf. optionalen Eingaben (z.B. Eingaben im Chatbot, im Kontaktformular, im Bewertungsformular, im Identifizierungs- bzw. Unterschriftsprozess, im Analyseprozess Ihres Bankkontos) zu folgenden Zwecken:

3. Bereitstellung der Website und von AfterPay Online Services

3.1 Bereitstellung der Website

Wenn Sie unsere Website nutzen, verarbeiten wir die dabei anfallenden Zugriffsdaten, um Ihnen die aufgerufenen Inhalte und Funktionen technisch bereitstellen zu können. Rechtsgrundlage der damit verbundenen Verarbeitung Ihrer Zugriffsdaten ist Art. 6 (1) (b) DSGVO.

3.2 AfterPay Online Services für eingeloggte Teilnehmer

Nachdem Sie sich angemeldet haben stehen Ihnen alle von uns über unsere Website angebotenen AfterPay Online Services zur Verfügung. Ihre Login-Daten sind: Ihre E-Mail-Adresse. Alternativ können Sie auch Ihre E-Mail-Adresse und ein Passwort verwenden.

Ihre während der Nutzung der Website und der AfterPay Online Services anfallenden Daten (s. Ziffer 2.) werden verarbeitet, um Ihnen die AfterPay Online Services bereitstellen zu können. Dazu gehören beispielsweise:

Rechtsgrundlage der Verarbeitung Ihrer Daten zur Bereitstellung der AfterPay Online Services ist Art. 6 (1) (b) DSGVO.

4. Gewährleistung der technischen Sicherheit

Die bei Nutzung der Website anfallenden Zugriffsdaten werden in den Protokolldaten (im Folgenden „Server-Logfiles“) unserer Server kurzfristig gespeichert. Die Speicherung der Server-Logfiles erfolgt getrennt von Ihren anderen Daten. Daher ist uns ein unmittelbarer Rückschluss von den Server-Logfiles auf Sie nicht möglich. Nach spätestens sieben Tagen werden die Server-Logfiles durch Kürzung der IP-Adresse vollständig anonymisiert, so dass ein Personenbezug dauerhaft ausgeschlossen wird. Die vorstehende Verarbeitung von Zugriffsdaten erfolgt auf der Grundlage von Art. 6 (1) f DSGVO zur erforderlichen Gewährleistung der technischen Sicherheit, insbesondere zur Abwehr von Angriffs- und Betrugsversuchen auf unsere Server, sowie zur Fehlerbehebung.

5. Web-Analyse und Reichweitenmessung

Im Rahmen der Web-Analyse setzen wir sogenannte Tracking-Tools zur Auswertung von Zugriffsdaten ein, um zu erfahren, wie unsere Website oder unsere AfterPay Online Services genutzt werden (Reichweitenmessung). Unsere Website verwendet zu diesem Zweck auch Identifizierungs-Cookies („Cookies“). Cookies sind kleine Textdateien, die von Ihrem Internetbrowser gespeichert werden. Die von uns verwendeten Cookies enthalten eine zufällig generierte Zeichenkette, die von unserer Website bei späteren Seitenaufrufen als Identifikationsmerkmal verwendet wird. Auf diese Weise können wir erkennen, ob Sie unsere Website bereits besucht haben und auf welche Inhalte und Funktionen Sie dabei zugegriffen haben. Das Identifikationsmerkmal selbst enthält keine personenbezogenen Angaben. Wir erfahren auf diese Weise zum Beispiel, welche Angebote und Inhalte besonders beliebt sind, wie lange und zu welchen Zeiten die Website oder die AfterPay Online Services besonders häufig aufgerufen werden, aus welchen Regionen (bis auf Städteebene) unsere Website oder Angebote aufgerufen werden und welche Browser und Geräte unsere Nutzer verwenden. Auf der Website verwenden wir zu diesem Zweck Technologien zur Erstellung von pseudonymen Nutzungsprofilen, um Reichweitenmessungen sowie statistische Analysen durchzuführen und unser Angebot zu optimieren und bedarfsgerecht zu gestalten.

Rechtsgrundlage für die Durchführung der Reichweitenmessung ist Art. 6 (1) (f) DSGVO, beruhend auf unserem oben beschriebenen berechtigten Interesse an der statistischen Analyse und bedarfsgerechten Gestaltung der Website und der AfterPay Online Services.

Die für die Zwecke der Web-Analyse und Reichweitenmessung gespeicherten Zugriffsdaten und Nutzungsprofile werden in der Regel nach Ablauf eines Jahres von uns gelöscht oder anonymisiert.

Über die Consent Management Plattform können Sie Cookies, die für den Betrieb der Webseite nicht zwingend notwendig sind, deaktivieren. In diesem Fall werden Ihre Zugriffsdaten zukünftig nicht mehr für die die vorstehend unter Ziffer 5 und nachstehend unter Ziffer 5.2 beschriebenen Zwecke verwendet.

5.1 Consent Management Plattform

Wir nutzen die Consent Management Plattform von Usercentrics, Sendlinger Straße 7, 80331 Munich, Germany (CMP). Die CMP unterstützt uns bei der transparenten Darlegung von Datenverarbeitungsprozessen und ermöglicht für die jeweilige Datenverarbeitung zu speichern und abrufbar zu machen, ob der Nutzer eingewilligt hat oder nicht. Usercentrics verarbeitet die folgenden Daten für die folgenden Zwecke (als Auftragnehmer):

Datenverarbeitungszwecke

Eingesetzte Technologien

Verarbeitete Daten

Rechtliche Grundlage

Ort der Datenverarbeitung

Die Speicherung der Einwilligungs- und Gerätedaten erfolgt ausschließlich in der Europäischen Union, namentlich in Frankfurt am Main (API-Server) und in Belgien (Consent Datenbank). Wir haben diese Speicherorte vertraglich mit dem Vertragspartner Google Ireland Limited vereinbart. Google LLC US hat keinen Standardzugriff auf die gespeicherten Daten. Google LLC US ist technisch bei Unterstützungshandlungen zu den bei Google Irland in Anspruch genommenen Hostingleistungen beteiligt. Diese sind: Hardwarewartung, CDN und Server-Monitoring. Bei keiner dieser Leistungen hat Google LLC US Zugriff auf CMP-Informationen von Usercentrics.

Aufbewahrungsfrist

Der Nachweis des Widerrufs einer zuvor erteilten Einwilligung wird drei Jahre ab Ende des Jahres, in dem die Einwilligung widerrufen wurde, aufbewahrt. Die Aufbewahrung basiert auf unserer Rechenschaftspflicht nach Art. 5 Abs. 2 DSGVO und den regelmäßigen Verjährungsfristen.

5.2 Tracking-Tools

Für die unter Ziffer 5. beschriebene Datenverarbeitung im Rahmen der Web-Analyse verwenden wir die Tracking-Tools der unten aufgeführten Dienstleister. Soweit nicht anders angegeben, verarbeiten diese Dienstleister personenbezogene Daten ausschließlich in unserem Auftrag und nicht für eigene Zwecke (sog. Auftragsverarbeiter). Soweit diese Dienstleister Ihre Daten außerhalb der Europäischen Union verarbeiten, kann dies dazu führen, dass Ihre Daten in ein Land übermittelt werden, welches nicht den gleichen Datenschutzstandard wie die Europäische Union gewährleistet. In diesem Fall stellen wir sicher, dass die Dienstleister vertraglich oder auf andere Weise ein gleichwertiges Datenschutzniveau garantieren. Sie können unter den in Ziffer 1 genannten Kontaktdaten eine Kopie dieser Garantien anfordern.

Google Ireland Limited

AfterPay Online Services nutzt das Tool Google Analytics for Firebase („Firebase”). Firebase ist ein Analysetool der Google Ireland Limited, Gordon House, Barrow Street, Dublin 4, Irland („Google”). Firebase nutzen wir zur Erfassung von Zugriffsdaten und die Erstellung von pseudonymen Nutzungsprofilen. Durch Firebase können wir in den pseudonymen Nutzungsprofilen auch erfassen, ob es Probleme oder Abstürze bei der Nutzung unserer App gibt. Weiterhin nutzen wir Firebase, um neue Designs in der App mit Hilfe sog. A/B Tests an einen kleinen Teil der Nutzer auszuspielen. Anhand eines Vergleichs der pseudonymen Nutzungsprofile können wir dann erkennen, inwieweit sich ein neues Design auf die Nutzung der App auswirkt. Die von Firebase erstellten pseudonymen Nutzungsprofile werden in unserem Auftrag nicht mit Ihren sonstigen bei Google gespeicherten Daten zusammengeführt. Zudem haben wir mit Google für diesen Fall die Standardvertragsklauseln der EU-Kommission vereinbart.

6. Werbung und individuelle Angebote

Wir verwenden Ihre Kontaktinformationen, um Ihnen per Post, E-Mail, MMS, SMS oder über die AfterPay-App Werbung zu weiteren AfterPay-Produkten, wie z.B. Ratenzahlung („AfterPay Flex“) oder Monatsabrechnung, zuzusenden. Sie erhalten dabei dann auch ohne, dass Sie hierfür eine ausdrückliche Einwilligung erteilt haben, Werbung per E-Mail, MMS oder SMS , wenn wir Ihre E-Mail-Adresse bzw. Telefonnummer im Zusammenhang mit der Nutzung unserer Dienste erhalten haben und die von uns beworbenen Produkte/ Leistungen, denen ähneln, die Sie bereits in der Vergangenheit bei uns genutzt haben. Sie können dieser Verwendung Ihrer Kontaktinformationen zu Werbezwecken jederzeit per E-Mail an datenschutz@afterpay.de widersprechen. Dabei entstehen Ihnen keine zusätzlichen Kosten, außer den Übermittlungskosten nach den Basistarifen.

Des Weiteren wird Ihnen am Ende einer jeden E-Mail, MMS bzw. SMS die Möglichkeit eingeräumt, für die Zukunft im Hinblick auf die weitere Verwendung Ihrer E-Mail-Adresse bzw. Telefonnummer zu dem zuvor dargelegten Zweck (Bewerbung vergleichbarer Waren und Dienstleistungen) durch uns zu widersprechen.

7. Verarbeitung Ihrer Daten unter Nutzung einer Connector ID (C-ID)

Wir übermitteln Ihren Namen, Anschrift und, soweit vorhanden, Ihre Kontaktdaten (z.B. E-Mail-Adresse, Telefonnummer) an die Bertelsmann Data Services GmbH, Carl-Bertelsmann-Str. 270, 33311 Gütersloh („BDS“). Die BDS verarbeitet diese Daten, um eine eindeutige Connector-ID („C-ID“) zu erzeugen. Anschließend werden diese Daten von der BDS gelöscht. Bei der C-ID handelt es sich um ein Kennzeichen (Identifikator), der es dem jeweils beteiligten Bertelsmann-Unternehmen ermöglicht, festzustellen, in welchen Datenbanken der anderen beteiligten Bertelsmann-Unternehmen eine in ihren Datenbanken vorhandene Person gespeichert ist.

Zusätzlich übermitteln wir die ID (Kunden-ID), die wir in unserer Datenbank ihrem Datensatz zugeordnet haben, an die BDS. Die BDS erfasst und verwaltet zentral für alle beteiligten Bertelsmann-Unternehmen die C-ID, die Kunden-ID, Angaben zum Anonymen Datenkatalog und dazu, welche Einwilligungen zu einer C-ID bei den beteiligten Bertelsmann-Unternehmen vorliegen. Bei dem anonymen Datenkatalog handelt es sich um aggregierte, nicht-personenbezogene Angaben zu den in den Kundendatenbanken der anderen Bertelsmann-Unternehmen gespeicherten Daten („Anonymer Datenkatalog“). Wir übermitteln selbst keinen anonymen Datenkatalog an die BDS.

Die oben beschriebenen Datenverarbeitungen erfolgen zur Wahrung unserer berechtigten Interessen auf Grundlage von Artikel 6 (1) (f) DSGVO. Dies geschieht zunächst, damit wir durch eine Anfrage bei der BDS einschätzen können, bei welchen beteiligten Bertelsmann-Unternehmen dieselbe C-ID vorhanden ist und welches Potential der Anonyme Datenkatalog des anderen Bertelsmann-Unternehmens für eine Datenübermittlung an uns bietet.

Soweit Sie darin gegenüber einem anderen beteiligten Bertelsmann-Unternehmen eingewilligt haben, kann uns dieses Unternehmen unter der Nutzung der C-ID weitere Daten zu Ihrer Person übermitteln. Wir nutzen diese Daten dann für unser Risiko- und Betrugsmanagement oder zu Werbezwecken, wie unter Ziffer 4 der AfterPay Datenschutzhinweise Produkt (https://documents.myafterpay.com/privacy-statement/de_de/muster) näher beschrieben. Bitte beachten Sie, dass wir selbst keine Daten über Ihre Person an andere beteiligte Bertelsmann-Unternehmen übermitteln, sondern in diesem Rahmen ausschließlich Datenempfänger sind.

Die aktuell beteiligten Bertelsmann-Unternehmen können Sie unter https://dataservices.bertelsmann.de/participatingcompanies/ abrufen oder postalisch bzw. per E-Mail unter datenschutz@bertelsmann.de anfordern.

Für die Datenverarbeitung bei der Erzeugung der C-ID sind wir und die BDS gemeinsame datenschutzrechtlich Verantwortliche. Insoweit haben wir und die BDS in einer gemeinsamen Vereinbarung nach Art. 26 DSGVO festgelegt, wer von uns welche Pflichten nach der DSGVO erfüllt. Dies betrifft insbesondere die Wahrnehmung der Rechte der betroffenen Personen und die Erfüllung der Informationspflichten gemäß den Artikeln 13 und 14 DSGVO. Diese Vereinbarung ist notwendig, da bei der Erzeugung der C-ID personenbezogene Daten in unterschiedlichen Prozessabschnitten verarbeitet werden, die entweder von uns, der BDS oder gemeinsam betrieben werden. Auch wenn eine gemeinsame Verantwortlichkeit besteht, erfüllen die Parteien die datenschutzrechtlichen Pflichten entsprechend ihrer jeweiligen Zuständigkeiten für die einzelnen Prozessabschnitte wie folgt:

a) Für den Prozess der Übermittlung der o.g. Daten an die BDS sind wir verantwortlich.
b) Für die Erzeugung der C-ID sind wir und die BDS gemeinsam verantwortlich. c) Für die Verwaltung der C-ID sowie für die oben beschriebene Löschung der Daten, die zur Erzeugung der C-ID an die BDS übermittelt wurden, ist die BDS verantwortlich.

Ihre Datenschutzrechte können Sie sowohl bei uns (s. Ziffer 1), als auch bei der Bertelsmann Data Services GmbH, Konzerndatenschutz, Carl-Bertelsmann-Str. 270, 33311 Gütersloh oder per E-Mail unter datenschutz@bertelsmann.de geltend machen. Sie erhalten die Auskunft grundsätzlich von der Stelle, bei der Sie Ihre Rechte geltend machen.

Sie können der Verwendung Ihrer Daten zu den in dieser Ziffer 7 beschriebenen Datenverarbeitungen jederzeit widersprechen, wie unter Ziffer 9 beschrieben. Ihre Daten werden dann zukünftig nicht mehr für diese Zwecke verwendet.

8. Sonstige Dienstleister

Soweit wir zum Betrieb dieser Website oder unserer After Pay Online Services weitere als die in diesen Datenschutz-Hinweisen genannten Dienstleister einsetzen (Auftragsverarbeiter, z. B. Rechenzentren, technische Dienstleister), erhalten diese nur in dem Umfang und für den Zeitraum Zugang zu Ihren Daten, der für die Erbringung der jeweiligen Leistungen jeweils erforderlich ist. Soweit diese Dienstleister Ihre Daten außerhalb der Europäischen Union verarbeiten, kann dies dazu führen, dass Ihre Daten in ein Land übermittelt werden, welches nicht den gleichen Datenschutzstandard wie die Europäische Union gewährleistet. In diesem Fall stellen wir sicher, dass die Dienstleister vertraglich oder auf andere Weise ein gleichwertiges Datenschutzniveau garantieren. Sie können unter den in Ziffer 1 genannten Kontaktdaten eine Kopie dieser Garantien anfordern.

9. Welche Rechte habe ich in Bezug auf meine persönlichen Angaben?

Sie haben jederzeit das Recht auf Auskunft über die bei uns zu Ihrer Person gespeicherten Daten. Sollten Daten über Ihre Person falsch oder nicht mehr aktuell sein, haben Sie das Recht, deren Berichtigung zu verlangen. Sie haben außerdem das Recht, die Löschung oder Einschränkung der Verarbeitung Ihrer Angaben nach Maßgabe von Art. 17 bzw. 18 DSGVO zu verlangen. Informationen zu Ihren Werbewiderspruchsrechten finden Sie unter Ziffer 4. sowie Ziffer 7 in den AfterPay Datenschutzhinweisen https://documents.myafterpay.com/privacy-statement/de_de/muster . Sie haben das Recht, eine elektronische Kopie Ihrer Daten zu erhalten (Recht auf Datenübertragbarkeit. Soweit wir die Daten nicht zu Werbezwecken auf Grundlage von Art. 6 (1) (f) DSGVO verarbeiten, können Sie der Verarbeitung nach Maßgabe des Art. 21 (1) DSGVO aus Gründen, die sich aus Ihrer besonderen Situation ergeben, widersprechen. Allerdings können wir dem nicht immer nachkommen, z. B. wenn uns Rechtsvorschriften zur Verarbeitung verpflichten. Sollten Sie von Ihren Rechten, insbesondere von Ihren Widerrufs- und Widerspruchsrechten, Gebrauch machen wollen oder haben Sie allgemein Fragen zum Datenschutz rund um die AfterPay Online Services, können Sie sich jederzeit an kundenservice@afterpay.de oder an unsere Datenschutzbeauftragten (siehe Ziffer 1) wenden.

Sie haben auch das Recht, sich an eine Datenschutzbehörde zu wenden und dort Beschwerde einzureichen. Die für uns zuständige Behörde ist Die Landesbeauftragte für Datenschutz und Informationsfreiheit Nordrhein-Westfalen, Postfach 20 04 44, 40102 Düsseldorf (Tel.: 0211/38424-0, Fax: 0211/38424-10, E-Mail: poststelle@ldi.nrw.de). Sie können sich aber auch an die für Ihren Wohnort zuständige Datenschutzbehörde wenden, die Ihr Anliegen dann weiterleiten wird.