Datenschutz- und Datenmanagementrichtlinie

Dieses Dokument beschreibt die Verarbeitung personenbezogener Daten durch Alma im Zusammenhang mit der Bereitstellung einer Zahlungslösung für die Zahlung in mehreren Raten.

1. Definitionen und Begriffe

Die folgenden Definitionen gelten für die gesamte Datenschutz- und Datenmanagementrichtlinie:

  • „Alma“: bezeichnet die im Handels- und Gesellschaftsregister von Nanterre unter der Nummer 839 100 575 eingetragene Vereinfachte Aktiengesellschaft mit Sitz in 176 avenue Charles de Gaulle in Neuilly-sur-Seine (92200).
  • Kunde“: bezeichnet jede natürliche Person, die auf der Website oder im Onlineshop eines Verkäufers einen Kauf tätigt.
  • Betroffene Person“: bezeichnet einen Kunden, eine zum Verkäufer gehörende Person oder einen Besucher.
  • „Vorschriften“: bezeichnet die Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr (DSGVO) sowie das französische Datenschutzgesetz Nr. 78-17 Loi informatique et libertés vom 6. Januar 1978 über Informationstechnologie, Dateien und Freiheiten in dessen jeweils aktueller Fassung.
  • Website“: bezeichnet die Website von Alma, die über die Adresse https://getalma.eu erreichbar ist.
  • Lösung“: bezeichnet die digitale Lösung, die von Alma entwickelt und den Verkäufern zur Verfügung gestellt wird, die sie wiederum den Kunden anbieten, damit diese die Zahlungsdienste nutzen können.
  • Unterauftragnehmer“: bezeichnet das Unternehmen oder den Partner, dessen Dienste Alma im Rahmen der unten beschriebenen Verarbeitungen personenbezogener Daten in Anspruch nimmt.
  • Transaktion“: bezeichnet jeden Kauf, den ein Kunde unter Verwendung der Lösung bei einem Verkäufer tätigt.
  • Verkäufer“: bezeichnet jede juristische Person, die ihren Kunden Waren oder Dienstleistungen verkauft und ihnen die Lösung zur Verfügung stellt.
  • Besucher“: bezeichnet jede Person, die die Website besucht oder auf ihr surft.

Sofern sich aus dem Kontext nichts anderes ergibt, schließen die Definitionen im Singular den Plural ein und umgekehrt.

2. Erfasste personenbezogene Daten und die Rolle von Alma

2.1 Personenbezogene Daten von Kunden (vom Verkäufer erfasst)

Der Verkäufer kann Alma personenbezogene Kundendaten anvertrauen, die er direkt erfasst hat. In diesem Zusammenhang handelt Alma als Unterauftragnehmer des Verkäufers im Sinne der Vorschriften, und zwar hinsichtlich folgender Daten:

  • Vor- und Nachname.
  • E-Mail-Adresse.
  • Liefer- und Rechnungsadresse.
  • Versandmethode (beauftragtes Transportunternehmen).
  • Bankverbindung des Kunden.
  • Telefonnummer des Kunden.
  • Geburtsort und -datum des Kunden.
  • Inhalt des Warenkorbs des Kunden.
  • Bisherige Käufe des Kunden beim Verkäufer.

2.2 Personenbezogene Daten von Besuchern und Kunden (von Alma erfasst)

Alma kann direkt persönliche Daten von Besuchern und Kunden erfassen. In diesem Zusammenhang handelt Alma als Datenverantwortlicher im Sinne der Vorschriften, und zwar hinsichtlich folgender Daten:

  • Daten zur Identifizierung des Besuchers (Name, Vorname, E-Mail-Adresse, Telefon) und des Unternehmens, in dem er arbeitet (Firmenname, Website, benutzte E-Commerce-Plattform).
  • Cookie zur Identifizierung des Besuchers der Website zu statistischen Zwecken und um ihm besser auf ihn zugeschnittene Inhalte anbieten zu können.
  • Verbindungsdaten des Kunden (IP-Adresse, Anmeldedaten, eindeutige Nummer in Verbindung mit einem eindeutigen Cookie, verwendete Sprache, Browser-Benutzer-Agent, Telekommunikationsanbieter oder IAP, Browserverlauf und -daten usw.).
  • Telefonnummer des Kunden.
  • Ausweisdokument nach ausdrücklicher Einwilligung des Kunden.
  • Bankdaten (Transaktionshistorie) nach ausdrücklicher Einwilligung des Kunden.

2.3 Personenbezogene Daten von Personen, die zum Verkäufer gehören

Alma sammelt auch die persönlichen Daten von Personen, die zum Verkäufer gehören und die Lösung nutzen. In diesem Zusammenhang handelt Alma als Datenverantwortlicher im Sinne der Vorschriften, und zwar hinsichtlich folgender Daten:

  • Daten zur Identifizierung der Kontaktpersonen beim Verkäufer (Name, Vorname, Telefonnummer, E-Mail, Funktion im Unternehmen, Verbindungsdaten).
  • Daten, die die KYC des Verkäufers ermöglichen (insbesondere Daten und Identitätsnachweise des gesetzlichen Vertreters des Verkäufers und seiner wirtschaftlichen Eigentümer, Kbis-Auszug).

3. Verarbeitungsvorgänge, ihre Zwecke und ihre Rechtsgrundlagen

Nr. Verarbeitungsvorgang Zwecke Rechtsgrundlage
1. Identifizierung des Kunden den Kunden bei der Nutzung der Lösung zu identifizieren Erfüllung des Vertrags, um dem Kunden die Zahlung in Raten zu ermöglichen
2. Zahlung die Ausführung der vom Kunden genehmigten Zahlungsvorgänge zu ermöglichen Erfüllung des Vertrags, um dem Kunden die Zahlung in Raten zu ermöglichen
3. Risikobewertung das von Alma getragene finanzielle Risiko zu bewerten, insbesondere im Falle von Pflichtverletzungen durch den Kunden Erfüllung des Vertrags, um dem Kunden die Zahlung in Raten zu ermöglichen
4. Betrug Betrug und Finanzbetrug durch Kunden zu verhindern, einschließlich, aber nicht ausschließlich durch Verwendung gestohlener Bank- bzw. Kreditkarten Almas legitimes Interesse, Betrug bei der Nutzung der Lösung zu verhindern
5. Eintreibung die Eintreibung ausstehender Summen zu ermöglichen, insbesondere im Falle von Pflichtverletzungen durch den Kunden Almas legitimes Interesse, geschuldete Beträge einzutreiben
6. Serviceverbesserung die Tools von Alma fortlaufend, insbesondere durch Statistiken, zu verbessern Almas legitimes Interesse, Betrug bei der Nutzung der Lösung zu verhindern
7. Geschäftsanbahnung und Analyse der Besucher die Besucher der Website zu identifizieren, insbesondere zu Marketingzwecken, und den Besuchern auf der Basis ihrer bisherigen Aktivitäten die am besten geeigneten Inhalte anzubieten. Einwilligung
8. Identifizierung des Verkäufers den Verkäufer bei der Nutzung der Lösung zu identifizieren den Vertrag zu erfüllen, damit der Verkäufer die Lösung den Kunden anbieten kann
9. Interaktionen mit dem Verkäufer die Weiterführung der Vertragsbeziehung und ihrer Entwicklung zu ermöglichen Erfüllung des Vertrags, um dem Kunden die Zahlung in Raten zu ermöglichen
10. Bekämpfung von Betrug und Geldwäsche Alma zur Bekämpfung von Betrug und Geldwäsche durch Verkäufer zu befähigen Einhaltung einer gesetzlichen Verpflichtung

4. Arbeitsschritte für jeden Verarbeitungsvorgang

Die personenbezogenen Daten der Betroffenen werden von Alma auf folgende Weise verarbeitet (je nach Verarbeitungsvorgang):

  • Datenerfassung: Vorgänge 1 bis 10.
  • Sichere Speicherung der Daten auf den zugelassenen Servern von Alma oder denen seiner Dienstleister (insbesondere Hosting-Lösungen): Vorgänge 1 bis 10.
  • Automatisierte Verarbeitung von Bankdaten durch die Subunternehmer von Alma, um die vom Kunden in Auftrag gegebene Zahlung durchzuführen: Vorgang 2.
  • Automatisierte Datenverarbeitung und Profilerstellung durch Algorithmen zur Bekämpfung von Bankbetrug sowie Algorithmen zur Bewertung des Betrugs- und Kreditrisikos: Vorgänge 3, 4 und 6.
  • Manuelle Verarbeitung von Daten durch Mitarbeiter, die auf die Bekämpfung von Bankbetrug spezialisiert sind und eine Transaktion manuell analysieren können, um eine Entscheidung mit Auswirkungen auf den Kunden zu treffen: Vorgänge 3, 4 und 10.
  • Anonymisierung und anschließende manuelle Verarbeitung der Daten durch Spezialisten mit dem ausschließlichen Ziel, die internen Instrumente zur Bekämpfung von Bankbetrug, zur Bewertung des Ausfallrisikos und zur Analyse von Eintreibungsfällen zu verbessern: Vorgang 6.
  • Automatische Datenverarbeitung unter Verwendung von Algorithmen zur Optimierung der Erfassungsschritte von Alma: Vorgang 5.
  • Manuelle Verarbeitung von Daten durch Unterauftragnehmer, die auf die Eintreibung von Forderungen spezialisiert sind, mit dem ausschließlichen Ziel, die Akte eines Kunden zu analysieren und gegebenenfalls Kontakt zu ihm aufzunehmen: Vorgang 5.
  • Automatische und statistische Verarbeitung, um das Profil der Website-Besucher zu verstehen und den Content an ihre Präferenzen anzupassen: Vorgang 7.

5. Automatisierte Entscheidungsfindung

Im Zusammenhang mit dem Betrugsrisiko- und Eintreibungsmanagement verarbeitet Alma die personenbezogenen Daten der Kunden mittels Profiling-Tools. Insbesondere trifft Alma Entscheidungen ausschließlich auf der Grundlage automatisierter Verarbeitungen, die rechtliche Auswirkungen haben oder den Kunden im Sinne der Vorschriften erheblich beeinträchtigen.

Durch diese Entscheidungen können die Kunden und die Aufträge identifiziert werden, für die ein Geschäft getätigt werden kann, was für die Vorbereitung und Erfüllung eines Vertrags erforderlich ist. Diese Entscheidungen beruhen auf der Analyse verschiedener Variablen, die insbesondere mit der Art der bestellten Produkte oder Dienstleistungen und dem Profil des Kunden zu tun haben, aber auch auf der Auswertung von Daten, die von Alma gefolgert oder abgeleitet wurden. Es wird klargestellt, dass bei diesen ausschließlich automatisiert getroffenen Entscheidungen keine sensiblen Daten im Sinne der Liste der besonderen Kategorien personenbezogener Daten im Sinne von Artikel 9 DSGVO zugrunde gelegt werden.

Falls in Anbetracht dieser Variablen das Risiko von Betrug und Nichtzahlung als zu groß eingeschätzt wird, kann die Transaktion nicht durchgeführt werden. Bei Entscheidungen, die ausschließlich auf einer automatisierten Verarbeitung beruhen, hat der Kunde das Recht, einen Eingriff durch einen Menschen zu erwirken, seinen Standpunkt gegenüber der für die Bearbeitung seiner Akte benannten Stelle darzulegen und die automatische Entscheidung anzufechten, gegen die er Widerspruch eingelegt hat, indem er sich schriftlich unter folgender Adresse an Alma wendet: dpo@getalma.eu.

6. Empfänger personenbezogener Daten

Die personenbezogenen Daten der betroffenen Personen werden zum Zweck der Verfolgung aller oben genannten Zwecke verarbeitet und sind ausschließlich für die internen Verwaltungsdienste von Alma sowie gegebenenfalls für seine Unterauftragnehmer bestimmt (Unterauftragnehmer, die insbesondere Dienstleistungen in den Bereichen Datenhosting und Betrugsbekämpfung anbieten). Diese Unterauftragnehmer sind zur strikten Wahrung der Vertraulichkeit, zur Gewährleistung der Sicherheit der Daten, zu denen sie Zugang haben, zur ausschließlichen Verwendung im Rahmen der ihnen übertragenen Aufgaben und zur Einhaltung der Vorschriften verpflichtet.

7. Dauer der Speicherung personenbezogener Daten

Die personenbezogenen Daten der Kunden werden von Alma ab dem Zeitpunkt verarbeitet, an dem sie direkt von ihnen erfasst oder vom Verkäufer übermittelt werden. Die personenbezogenen Daten der Kunden werden von Alma während des gesamten Vertragsverhältnisses verwendet und für einen Zeitraum von 5 Jahren gespeichert, beginnend mit der letzten monatlichen Zahlung der letzten Transaktion.

Die personenbezogenen Daten von Personen, die zum Verkäufer gehören, werden ab der Annahme der Allgemeinen Geschäftsbedingungen oder eines Vertrags über die Bereitstellung der Lösung erfasst und für die Dauer des Vertragsverhältnisses gespeichert. Nach Beendigung der Geschäftsbeziehung mit dem Verkäufer werden diese personenbezogenen Daten für einen Zeitraum von 5 Jahren gespeichert.

Die personenbezogenen Daten der betroffenen Personen werden zu folgenden Zwecken gespeichert: (i) Vorbeugung von Bankbetrug und Zahlungsausfällen; (ii) Statistik und Verbesserung der Tools von Alma; (iii) Vermeidung von Streitigkeiten; (iv) administrative Verwaltung von Dateien; und (v) Erfüllung der für Alma geltenden Rechtspflichten.

8. Rechte der betroffenen Personen

Der betroffenen Person stehen die in den Vorschriften niedergelegten Rechte zu. Hierzu gehören insbesondere das Recht, von Alma Zugang zu den personenbezogenen Daten, deren Berichtigung oder Löschung oder eine Einschränkung der Verarbeitung in Bezug auf die betroffene Person zu verlangen, ferner das Recht, der Verarbeitung zu widersprechen, sowie das Recht auf Datenübertragbarkeit. Beruht die Verarbeitung auf Ihrer Einwilligung, so haben Sie die Möglichkeit, diese Einwilligung jederzeit zu widerrufen, ohne dass die Rechtmäßigkeit der aufgrund der Einwilligung bis zum Widerruf erfolgten Verarbeitung dadurch berührt wird. Sie können diese Rechte ausüben, indem Sie an die folgende Adresse schreiben: dpo@getalma.eu.

Die Ausübung der gewährten Rechte ist nicht unbegrenzt möglich, und jedes dieser Rechte unterliegt den in den Vorschriften festgelegten Bedingungen. Als solche werden die folgenden Elemente präzisiert:

  • Identität: Die betroffene Person muss ihre Identität nachweisen und die Adresse angeben, unter der sie kontaktiert werden möchte.
  • Reaktionszeit: Die Anfragen werden von Alma innerhalb einer unter Berücksichtigung der Komplexität, der Anzahl der Anfragen und der Vorschriften angemessenen Zeitspanne bearbeitet.
  • Unentgeltlich: Die Ausübung der Rechte ist grundsätzlich kostenlos. In Fällen, in denen ein Antrag mit erheblichen Kosten verbunden ist, kann der Betroffene zur Zahlung einer Gebühr aufgefordert werden.

Sind diese Voraussetzungen nicht erfüllt, so werden die Anträge nicht bearbeitet.

Jede betroffene Person kann sich an die französische Commission nationale de l'informatique et des libertés (CNIL) wenden, wenn sie der Meinung ist, Alma habe die Vorschriften nicht eingehalten (Informationen darüber, wie man sich an die CNIL wenden kann, finden Sie direkt auf deren Website).

9. Datenübertragungen

Alma beauftragt möglichst wenige Unterauftragnehmer, die personenbezogene Daten in Ländern außerhalb der Europäischen Union verarbeiten. Ungeachtet dessen kann es vorkommen, dass Alma zur Erfüllung der in dieser Datenschutz- und Datenverwaltungsrichtlinie genannten Zwecke personenbezogene Daten in Länder außerhalb der Europäischen Union übermitteln muss, die keinen gleichwertigen Schutz bieten. In diesem Fall verpflichtet sich Alma, alle geeigneten technischen und organisatorischen Maßnahmen zu ergreifen, um die Sicherheit der personenbezogenen Daten der betroffenen Personen zu gewährleisten. Des Weiteren verlangt Alma von den Unterauftragnehmern, die in den Verordnungen festgelegten Verpflichtungen einzuhalten.

10. Cookies

Ein "Cookie" ist eine kleine Computerdatei, ein Tracer, der zum Beispiel beim Besuch einer Website, beim Lesen einer E-Mail, bei der Installation oder Nutzung einer Software oder einer Handy-App hinterlegt und gelesen wird, und dies unabhängig von der Art des verwendeten Endgeräts (Computer, Smartphone, digitales Lesegerät, mit dem Internet verbundenes Gerät usw.).

Gemäß Artikel 82 des französischen Datenschutzgesetzes muss jeder Teilnehmer oder Nutzer eines elektronischen Kommunikationsdienstes vom Datenverantwortlichen oder dessen Vertreter in verständlicher und vollständiger Weise über Folgendes informiert werden, sofern diese Informationen nicht bereits vorher mitgeteilt wurden: (i) den Zweck jeder Handlung, die darauf abzielt, im Wege der elektronischen Übermittlung auf bereits in seinem elektronischen Kommunikationsendgerät gespeicherte Informationen zuzugreifen oder Informationen in dieses Gerät einzugeben; und (ii) die Mittel, die ihm offenstehen, um sich einer solchen Maßnahme zu widersetzen. Ein solcher Zugriff oder eine solche Speicherung darf erst erfolgen, nachdem der Abonnent oder Nutzer nach Erhalt dieser Informationen seine Einwilligung erteilt hat. Alma verwendet Cookies von Dritten, für die eine Einwilligung erforderlich ist.

Ferner ist vorgesehen, dass diese Regeln nicht gelten, wenn der Zugriff auf oder die Eingabe von Informationen in das Endgerät des Nutzers: (i) ausschließlich dem Zweck dient, die Kommunikation auf elektronischem Wege zu ermöglichen oder zu erleichtern; oder (ii) für die Erbringung einer Online-Kommunikationsdienstleistung auf ausdrücklichen Wunsch des Nutzers zwingend erforderlich ist.

11. Datenschutzbeauftragter

Der Datenschutzbeauftragte von Alma ist unter folgender Adresse zu erreichen: dpo@getalma.eu.