Spendesk, eine französische vereinfachte Aktiengesellschaft, eingetragen im Handelsregister von Paris unter der Nummer 821 893 286 und mit Hauptsitz in 51, rue de Londres - 75008 Paris (Frankreich), bietet eine intuitive Lösung, die Unternehmen dabei hilft, ihre Geschäftsausgaben besser zu verwalten, zu bezahlen und zu verfolgen, die im Internet und als mobile Anwendung verfügbar ist (nachstehend die „Plattform“), und ist Herausgeber der Websites www.spendesk.com und www.cfoconnect.eu (nachstehend die „Website“).
A. Allgemeines / Einleitung
Großgeschriebene Begriffe in dieser Richtlinie haben die Bedeutung, die ihnen (a) in den Allgemeinen Geschäftsbedingungen oder (b) andernfalls in der Datenschutz-Grundverordnung (DSGVO) gegeben wird.
Im Rahmen seiner Geschäftstätigkeit kann Spendesk personenbezogene Daten verarbeiten, die verschiedenen Kategorien von Personen gehören.
Personenbezogene Daten sind sämtliche Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen. Als „identifizierbare natürliche Person“ gilt insbesondere eine natürliche Person, die direkt oder indirekt identifiziert werden kann, insbesondere durch Zuordnung zu einer Kennung wie einem Namen, einer Telefonnummer, einer E-Mail-Adresse, Standortdaten oder einer Onlinekennung.
Durch den Abschluss und/oder die Nutzung der Website und/oder der Plattform erkennen Sie an und erklären sich damit einverstanden, dass Spendesk bestimmte personenbezogene Daten über Sie sowie bestimmte Informationen über Ausgaben, die mit den Tools getätigt und/oder über die Plattform aufgezeichnet werden, verarbeitet. Darüber hinaus setzt Spendesk Sicherheitsmaßnahmen um, um die Vertraulichkeit, Integrität und Verfügbarkeit Ihrer personenbezogenen Daten zu gewährleisten und den Zugriff auf diese Daten auf lediglich Personen zu beschränken, die diese kennen müssen.
Diese Datenschutzerklärung soll beschreiben, wie Spendesk Ihre personenbezogenen Daten für die nachstehend aufgeführten Zwecke verarbeitet, und Sie über Ihre diesbezüglichen Rechte informieren. Sie kann aktualisiert werden, insbesondere bei Änderungen der Vorschriften über personenbezogene Daten oder bei der Aktualisierung der Verarbeitungen. Die geltende Version ist diejenige, die am Tag Ihrer Nutzung der Website und/oder der Plattform auf der Website zugänglich ist.
Nachfolgend finden Sie die wichtigsten Antworten auf Fragen, die Sie möglicherweise zu den Verpflichtungen von Spendesk zum Schutz personenbezogener Daten haben können.
B. Datenschutzbeauftragter von Spendesk
Um die Überwachung der Verpflichtungen von Spendesk und die Einhaltung der Datenschutz-Grundverordnung sicherzustellen, hat Spendesk einen Datenschutzbeauftragten (DSB) ernannt, der per E-Mail kontaktiert werden kann (privacy@spendesk.com).
C. Beschreibung der Verarbeitung
Bei der Verarbeitung Ihrer personenbezogenen Daten kann Spendesk als Verantwortlicher oder als Auftragsverarbeiter fungieren. Die besonderen Modalitäten für diese Status sind nachstehend aufgeführt.
1. Spendesk als unabhängiger Datenverantwortlicher
In Übereinstimmung mit der Verordnung über personenbezogene Daten ist der für die Verarbeitung Verantwortliche die natürliche oder juristische Person, die allein die Mittel und Zwecke der Verarbeitung personenbezogener Daten bestimmt.
Spendesk verarbeitet die folgenden personenbezogenen Daten in seiner Eigenschaft als Datenverantwortlicher:
| Zweck(e) der Verarbeitung | Kategorie(n) der betroffenen Person(en) | Art der verarbeiteten Daten | Rechtsgrundlage(n) | Dauer(n) der Aufbewahrung |
|---|---|---|---|---|
| Betreuung des Einstellungsprozesses | Bewerber | Name, Vorname, Telefonnummer, E-Mail-Adresse, Lebenslauf | Berechtigtes Interesse von Spendesk, Einwilligung | Wenn Einwilligung, bis zu zwei (2) Jahre nach Beendigung der Einstellung |
| Überwachung der Navigation auf der Website (siehe Einzelheiten in Cookie-Richtlinie*) | Internetnutzer | Cookie-ID, IP-Adresse, Navigationsinformationen | Einwilligung | Einzelheiten zu den Aufbewahrungsfristen finden Sie in der Cookie-Richtlinie* |
| Verwaltung der Marketingbeziehung: Einladung zu Veranstaltungen, Newsletter, Neuqualifizierung als Prospekt | Marketingkontakt | Name, Vorname, Telefonnummer, E-Mail-Adresse | Berechtigtes Interesse von Spendesk, Einwilligung | Bis zu drei (3) Jahre nach dem letzten Kontakt |
| Beziehungsmanagement innerhalb der Spendesk-Communities (CFO Connect) | Mitglied(er) der Community | Name, Vorname, E-Mail-Adresse, Telefonnummer, Firma, Funktion, Slack-ID | Berechtigtes Interesse von Spendesk, Einwilligung | Bis zu drei (3) Jahre nach dem letzten Kontakt |
| Geschäftsanbahnung | Prospekt | Name, Vorname, E-Mail-Adresse, Telefonnummer, Firma, Funktion | Berechtigtes Interesse von Spendesk, Einwilligung | Bis zu drei (3) Jahre nach dem letzten Kontakt |
| Geschäfts- und Vertragsmanagement mit dem Spendesk-Kunden | Geschäftskontakt des Kunden | Name, Vorname, Telefonnummer, E-Mail-Adresse, Firma, Funktion | Berechtigtes Interesse von Spendesk, Durchführung von vorvertraglichen Maßnahmen | Während der Dauer der Vertragsbeziehung und bis zu fünf (5) Jahre nach Beendigung der Geschäftsbeziehung |
| Forschung und Entwicklung | Internetnutzer, Nutzer | Navigationsdaten, Cookie-ID oder sonstiger Tracker, Geräte-ID(s) (IP-Adresse, IDFA, ADID usw.), Sitzung | Berechtigtes Interesse von Spendesk, Einwilligung | Je nach Projekt |
| Video- und Audioaufzeichnung von Anrufen zum Zweck der Verbesserung der Dienste, der Schulung und der Leistungs-überwachung von Spendesk-Mitarbeitern | Mitarbeiter, Prospekt, Kunde, Nutzer | Name, Vorname, Telefonnummer, E-Mail-Adresse, Stimme, Bild | Berechtigtes Interesse von Spendesk, Einwilligung | Bis zu sechs (6) Monate nach dem Datum der Aufnahme |
| Benachrichtigung über Vorfälle über die Seite https://spendesk.statuspage.io/ | Person, die die Benachrichtigung abonniert hat | Telefonnummer, E-Mail-Adresse, Slack-ID | Einwilligung | Bis zur Abmeldung von Benachrichtigungen |
| Überwachung des Nutzerkontos | Nutzer | Name, Vorname, Firma, Funktion, Finanztransaktionen | Berechtigtes Interesse von Spendesk, Einwilligung | Während der Kontoüberwachung |
| Sicherheit der Systeme | Bewerber, Mitarbeiter, Nutzer | Verbindungsdaten (Nutzer-ID, Geräte-ID, Logs), IP-Adresse | Berechtigtes Interesse von Spendesk | Bis zu dreihundertfünfundsechzig (365) Tage nach Erfassung der Verbindungsprotokolle |
*Cookie-Richtlinie: https://www.spendesk.com/de/legals/cookies-policy/.
In Bezug auf die Verwaltung der Spendesk-Community (CFO Connect) ermächtigen die Mitglieder Spendesk, ihre Daten für die Zwecke der kommerziellen Prospektion und des Targeting von Werbung unter Einhaltung ihrer in dieser Datenschutzrichtlinie festgelegten Rechte zu verwenden.
Die von Spendesk als unabhängiger Datenverantwortlicher verarbeiteten personenbezogenen Daten werden entweder direkt von Ihnen oder indirekt im Rahmen von Partnerschaftsverträgen, von Spendesk beauftragten Diensten, über soziale Netzwerke (von Ihnen veröffentlichte personenbezogene Daten) oder durch die Verwendung von Cookies, Pixeln, Trackern und ähnlichen Elementen erhoben. Weitere Informationen über Cookies und andere Tracker finden Sie in der Cookie-Richtlinie von Spendesk.
2. Spendesk als gemeinsamer Verantwortlicher mit Spendesk Financial Services (EWR-Kunden und -Nutzer)
In Übereinstimmung mit der Verordnung über personenbezogene Daten sind gemeinsame Datenverantwortliche die Stellen, die gemeinsam die Zwecke und Mittel einer Verarbeitung festlegen.
Für die Bereitstellung von Zahlungsdiensten und in Übereinstimmung mit den geltenden Vorschriften verarbeiten Spendesk und SFS SAS auch personenbezogene Daten als gemeinsame Datenverantwortliche. Die jeweiligen Rollen der gemeinsamen Datenverantwortlichen sind in einer gemeinsamen Verantwortungsvereinbarung gemäß den geltenden Bestimmungen festgelegt, welche nützlichen Informationen für den Kunden in der auf der Spendesk-Website verfügbaren Informationsbroschüre enthalten sind.
3. Spendesk als Auftragsverarbeiter
Gemäß der Datenschutzvorschriften ist der Auftragsverarbeiter die juristische oder natürliche Person, die personenbezogene Daten im Auftrag und auf Anweisung des Verantwortlichen verarbeitet.
In Bezug auf die Verarbeitung, die im Zusammenhang mit und zum Zwecke der Nutzung der Plattform ausgeführt wird, verarbeitet Spendesk die personenbezogenen Daten der Nutzer als Datenverarbeiter im Auftrag seines Kunden, der als Datenverantwortlicher handelt. Einzelheiten zur Verarbeitung durch Spendesk als Datenverarbeiter finden Sie in Anhang A des mit dem Kunden geschlossenen Datenverarbeitungsvertrags, der hier abgerufen werden kann.
Personenbezogene Daten werden entweder direkt von den Nutzern erhoben, die ihre personenbezogenen Daten in ihr Benutzerkonto eingeben, oder indirekt über den Kunden als Datenverantwortlichen, der die personenbezogenen Daten der Benutzer importiert, um ihnen den Zugriff auf ihr Benutzerkonto zu ermöglichen (insbesondere im Zusammenhang mit der API-Einbindung von Drittplattformen in die Plattform).
D. Empfänger der geschützten Daten
Um Ihnen die Dienste zur Verfügung zu stellen, kann Spendesk einige Ihrer personenbezogenen Daten an Dritte übermitteln.
1. Übermittlung Ihrer personenbezogenen Daten an Datenverarbeiter
Ihre personenbezogenen Daten können an Dienstleister übermittelt werden, über welche Spendesk die oben beschriebene Verarbeitung ganz oder teilweise durchführt.
Spendesk wählt seine Subunternehmer mit größter Sorgfalt aus und setzt nur Subunternehmer ein, die ausreichende Garantien in Bezug auf DSGVO und Sicherheits-Compliance bieten. Die Datenverarbeiter haben nur Zugriff auf personenbezogene Daten, die für die Erfüllung ihrer Aufgaben unbedingt erforderlich sind, und sind nicht berechtigt, Ihre personenbezogenen Daten für andere Zwecke zu verwenden. Darüber hinaus haben wir mit jedem von ihnen Vereinbarungen getroffen, um den Schutz und die Vertraulichkeit Ihrer personenbezogenen Daten sowie deren Verarbeitung gemäß der DSGVO sicherzustellen.
Als Kunde und Nutzer der Plattform finden Sie die Liste der an der Erbringung der Dienstleistungen beteiligten Datenverarbeiter auf der folgenden Seite: https://www.spendesk.com/de/legals/subprocessors/.
2. Übermittlung Ihrer personenbezogenen Daten an unabhängige Datenverantwortliche
Einige Ihrer personenbezogenen Daten können auch an Dienstleister übermittelt werden, die als unabhängige Datenverantwortliche fungieren, wenn Sie auf bestimmte Dienste zugreifen möchten.
Diese Datenverantwortlichen sind von unserer Organisation getrennte Einheiten, die autonom die Zwecke und Mittel der Verarbeitung personenbezogener Daten bestimmen, die wir ihnen zur Erbringung der Dienstleistungen übermitteln. Wenn wir Ihre personenbezogenen Daten an diese Unternehmen weitergeben, stellen wir sicher, dass diese Übermittlung sicher erfolgt.
Nachfolgend finden Sie die Liste der Dienstleister, die als unabhängige Datenverantwortliche für bestimmte Dienste fungieren:
Zahlungsdienstleister:
Kunden und Nutzer im Vereinigten Königreich: Adyen (https://www.adyen.com/privacy-policy);
Kunden und Nutzer in den Vereinigten Staaten: Sutton Bank (https://suttonbank.com/_/kcms-doc/85/84421/PrivacyPolicy2024.pdf) oder Dwolla (https://www.dwolla.com/legal/privacy);
Cyberwallet-Anbieter:
Kunden und Nutzer im Vereinigten Königreich: Apple Pay (https://support.apple.com/de-de/101554)
Wir fordern Sie auf, ihre Datenschutzrichtlinien (obige Links) einzusehen, um mehr über die von unseren Partnern durchgeführte Verarbeitung zu erfahren.
3. Übermittlung Ihrer personenbezogenen Daten an Spendesk Financial Services als gemeinsamer Datenverantwortlicher (EWR-Kunden und -Nutzer)
Im Rahmen der Nutzung der Plattform sind Spendesk SAS und Spendesk Financial Services SAS verpflichtet, zusammen, als gemeinsame Datenverantwortliche, bestimmte personenbezogene Daten des Kunden zu verarbeiten, um die Zahlungsdienste bereitzustellen und ihre gesetzlichen und vertraglichen Verpflichtungen zu erfüllen.
Wir fordern Sie auf, die Informationen zur Verarbeitung personenbezogener Daten durch Spendesk Financial Services SAS und Spendesk SAS durchzulesen, um mehr über diese Datenverarbeitungen zu erfahren.
4. Übermittlung Ihrer personenbezogenen Daten an die Behörden
Spendesk kann verpflichtet sein, Ihre personenbezogenen Daten in Übereinstimmung mit einem Gesetz, einer Verordnung oder einer Entscheidung einer zuständigen Regulierungs- oder Justizbehörde ganz oder teilweise an Behörden, Regierungsbehörden oder andere Finanzinstitute weiterzugeben.
Wir verpflichten uns, alle gesetzlichen Vorschriften einzuhalten, die die Offenlegung von Informationen oder Daten verbieten, einschränken oder regeln können, und insbesondere die geltenden Datenschutzbestimmungen einzuhalten.
E. Sicherheitsmaßnahmen
Spendesk legt größten Wert auf die Sicherheit der ihm anvertrauten personenbezogenen Daten. In Übereinstimmung mit der Datenschutzvorschriften verpflichtet sich Spendesk, alle notwendigen Vorsichtsmaßnahmen zu ergreifen, um die Sicherheit der personenbezogenen Daten zu gewährleisten und sie insbesondere vor unbeabsichtigter oder unrechtmäßiger Zerstörung, unbeabsichtigtem Verlust, Korruption, Verbreitung oder unberechtigtem Zugriff sowie vor jeder anderen Form der unrechtmäßigen Verarbeitung oder Offenlegung gegenüber unbefugten Personen zu schützen.
Diesbezüglich tut Spendesk Folgendes:
Setzt Sicherheitspraktiken und -maßnahmen um, die den Standards unserer Branche entsprechen, um die Integrität, Verfügbarkeit und Vertraulichkeit Ihrer personenbezogenen Daten zu gewährleisten;
Setzt eine Politik zur Verwaltung der Zugriffsrechte auf Ihre personenbezogenen Daten auf der Grundlage des Prinzips des „Least Privilege“, Wissensbedarf und Funktion („Role based Access Control“) um;
Setzt technische und organisatorische Maßnahmen und Verfahren ein, um die verarbeiteten personenbezogenen Daten zu schützen und ihre Vertraulichkeit im Einklang mit der Zugriffsverwaltungsrichtlinie zu gewährleisten;
Stellt sicher, dass es nur Partner und/oder Auftragsverarbeiter einsetzt, die die von Spendesk geforderten Sicherheitsanforderungen erfüllen;
Führt regelmäßige Sicherheitskontrollen und Audits an seinen Systemen durch, um die Robustheit der Systeme bescheinigen zu können.
F. Hosting und Übertragung von personenbezogenen Daten
Die von Spendesk verarbeiteten personenbezogenen Daten werden auf sicheren Servern innerhalb der Europäischen Union gehostet.
Für den Fall, dass personenbezogene Daten in Länder außerhalb der Europäischen Union übermittelt werden, verpflichtet sich Spendesk, die in der Verordnung über personenbezogene Daten geforderten Maßnahmen einzusetzen (Übermittlung in ein von der Europäischen Kommission als angemessen bezeichnetes Land, Unterzeichnung der Standardvertragsklauseln der Europäischen Kommission, zusätzliche Sicherheitsmaßnahmen usw.).
G. Ihre Rechte in Bezug auf Ihre personenbezogenen Daten
Gemäß der Datenschutzvorschriften haben Sie jederzeit das Recht, auf Ihre personenbezogenen Daten zuzugreifen, sie zu berichtigen, ihre Verarbeitung einzuschränken, sie zu löschen und zu entfernen, sowie das Recht auf Widerspruch und das Recht auf Übertragbarkeit.
Sie können uns zudem im Voraus Ihre Anweisungen in Bezug auf die Handhabung Ihrer personenbezogenen Daten nach Ihrem Tod übermitteln.
Um Ihre Rechte auszuüben oder mehr darüber zu erfahren, können Sie sich an unseren Datenschutzbeauftragten wenden:
per Post: Spendesk SAS - Data Protection Officer (DPO) - 51 rue de Londres, 75008 Paris, Frankreich;
per E-Mail: privacy@spendesk.com
Wir werden Ihre Anfrage innerhalb von dreißig (30) Tagen beantworten, wobei diese Frist gegebenenfalls verlängert werden kann, und können eine Kopie Ihres Identitätsnachweises lediglich zur Überprüfung anfordern.
Wir können jedoch eventuell bestimmten Ihrer Anträge auf Ausübung von Rechten nicht nachkommen, insbesondere wenn die Verarbeitung Ihrer personenbezogenen Daten für die Erfüllung eines laufenden Vertrags erforderlich ist oder die Verarbeitung aufgrund einer für Spendesk geltenden rechtlichen Verpflichtung erfolgt.
In Bezug auf Anfragen zu personenbezogenen Daten, die im Rahmen der Plattform verarbeitet werden, können Sie jederzeit Ihre personenbezogenen Identifikationsdaten (Titel, Vorname, Nachname, E-Mail, Telefonnummer, Passwort) ändern, indem Sie sich gemäß der Politik zur Identifizierung und Nutzung der Plattform, die möglicherweise von Ihrem Arbeitgeber eingerichtet wurde, mit Ihrem Konto verbinden und in die Rubrik „Mein Profil“ gehen.
Sie können die Ausübung Ihrer Rechte bei Ihrem Arbeitgeber (dem Verantwortlichen) beantragen, aber auch, indem Sie uns direkt schreiben an: privacy@spendesk.com. Wir werden Ihren Arbeitgeber über die Art Ihrer Anfrage und die weiteren Schritte informieren.
Wenn Sie der Ansicht sind, dass Spendesk seine Verpflichtungen zum Schutz personenbezogener Daten nicht erfüllt oder Ihre Anfragen nicht zufriedenstellend beantwortet, können Sie sich an die französische Aufsichtsbehörde - Commission Nationale de l‘Informatique et des Libertés (CNIL) - über deren Website (www.cnil.fr/en) oder per Post (CNIL, Service des Plaintes, 3 place de Fontenoy - TSA 80715 -75334 Paris Cedex 07) wenden.
Schließlich müssen Sie gemäß den Bestimmungen von Artikel L.561-45 des französischen Währungs- und Finanzgesetzbuchs (Code Monétaire et Financier) Ihren Antrag auf Auskunft bezüglich der im Rahmen unserer Verpflichtungen in Bezug auf die BGw/Tf durchgeführten Verarbeitungen indirekt an die französische Aufsichtsbehörde, die Commission Nationale de l‘Informatique et des Libertés (CNIL), richten.
Um mehr über Ihre Rechte in Bezug auf den Schutz personenbezogener Daten zu erfahren, gehen Sie bitte auf die Website der CNIL: www.cnil.fr/en.