Durch Financial Connections von Stripe (der „Dienst“) können Sie auf die Daten von Endnutzer/innen zugreifen, um die Produkte und Dienstleistungen zu unterstützen, die Sie Ihren Endnutzer/innen anbieten. Der Zugriff auf die Daten Ihrer Endnutzer/innen sollte auf eine Art und Weise erfolgen, die mit dem geltenden Recht vereinbar ist und dem/der Nutzer/in Kontrolle über die und Transparenz bezüglich der Daten bietet, die erfasst werden, wie sie verwendet werden und wie sie gegebenenfalls weitergegeben werden. Reden Sie mit Ihrem/Ihrer Rechtsberater/in, um Ihre Verpflichtungen bezüglich der Nutzung des Dienstes zu verstehen. Dies sind einige Beispiele für Pflichten, die in einigen Bereichen gelten und die Sie berücksichtigen sollten.
Zustimmung der Endnutzer/innen einholen
Für die Nutzung des Dienstes ist es wichtig, dass Sie die gültige Zustimmung Ihrer Endnutzer/innen für den Zugriff auf und die Verwendung ihrer Daten einholen. Indem Sie Ihren Endnutzer/innen die Möglichkeit geben, ihre externen Finanzkonten über Stripe zu verknüpfen, sollten Sie:
(1) angemessen den Zweck oder die Zwecke darlegen, für den/die Sie die Daten der Endnutzer/innen erfassen möchten; und
(2) transparent offenlegen, wie Sie die Daten der Endnutzer/innen verwenden, speichern und weitergeben werden.
Ihre Nutzeroberfläche sollte den Zweck für die Erfassung und die Verwendung der Endnutzerdaten aufzeigen – und dementsprechend müssten Sie die Nutzung der Endnutzerdaten durch Ihr Unternehmen auch auf diesen Zweck beschränken. Falls Sie auf Informationen zugreifen und Lastschriften einleiten, müssen Sie für diese unterschiedlichen Aktivitäten separate und eindeutige Autorisierungen von Ihren Endnutzer/innen einholen. Hier erfahren Sie mehr über ACH-Lastschriftmandate.
Das anschließende Stripe-Fenster für die Zustimmung holt die Akzeptanz der Endnutzer/innen zu Stripes Allgemeinen Geschäftsbedingungen und Datenschutzerklärung ein, und durch unseren Zustimmungsablauf kann der/die Endnutzer/in seine/ihre Finanzkonten verknüpfen. Das Stripe-Fenster für die Zustimmung kann weder durch Sie noch durch andere Händler/innen verändert werden.
Wenn Sie Ihre Plattform einrichten, müssen Sie bestimmte Datenkategorien von den Endnutzer/innen anfordern und diese Datenkategorien werden den Endnutzer/innen im Zustimmungsablauf von Stripe offengelegt. Falls Ihr Unternehmen in der Zukunft auf weitere Datenarten vom Konto Ihres/Ihrer Endnutzers/Endnutzerin zugreifen möchte, muss Ihr Unternehmen diese neuen Informationen Ihrem/Ihrer Endnutzer/in durch den von Stripe bereitgestellten Zustimmungsablauf anzeigen.
Aufzeichnungen führen
Sie müssen Aufzeichnungen bezüglich der Einhaltung Ihres Vertrags mit Stripe und dem geltenden Recht führen, einschließlich:
Screenshots der Bildschirme Ihrer Nutzeroberfläche, auf denen Sie den Endnutzer/innen den bzw. die Zwecke(e) der Datenverarbeitung aufzeigen, einschließlich des Zeitraums, in dem die jeweilige Version zu sehen war; und
Ihre Datenschutzrichtlinien oder andere Materialien für die Endnutzer/innen in Bezug auf den Dienst der Datenweitergabe, sowie jegliche Änderungen oder Aktualisierungen.
Wir können Kopien der Dokumente zu diesen Pflichten zum Führen von Aufzeichnungen verlangen.
Datenspeicherung Immer mehr Datenschutzgesetze verbieten es Unternehmen, personenbezogene Daten über den ursprünglichen Zweck der Erfassung notwendigen Zeitraum hinaus zu speichern. Es liegt in Ihrer Verantwortung, einen internen Ablauf zur Datenspeicherung einzurichten, der dem geltenden Recht entspricht.
Pflichten des Kunden-Supports
Ihr Zugriff auf und die Verwendung der Endnutzerdaten unterliegt den geltenden Gesetzen und Vorschriften, die verlangen, dass Sie bestimmte Maßnahmen ergreifen, wenn Sie die nachfolgende Endnutzerkommunikation erhalten.
Anträge auf Datenauskunft/-löschung. Wir empfehlen Ihnen, sich intern darauf vorzubereiten, Anträge von Endnutzer/innen bezüglich der Löschung von personenbezogenen Daten und/oder der Trennung ihres verknüpften Finanzkontos zu erhalten. Für die Rechtsgebiete, die verlangen, dass Anträgen auf Datenauskunft nachgekommen wird, müssen Sie diese Anträge auch gemäß geltendem Recht bearbeiten.
Anträge auf Trennung:
Nutzeroberfläche: Falls Sie Ihren Kund/innen die Option bieten, ihr Konto zu trennen, empfehlen wir Ihnen, in Ihrer Oberfläche anzugeben, dass durch eine Trennung die Weitergabe von neuen Finanzkontodaten beendet wird, aber dass wir keine zuvor weitergegeben Daten oder Daten von Stripe löschen. Somit können die Endnutzer/innen entscheiden, ob sie einen separaten Antrag auf Datenlöschung einreichen.
Benachrichtigung von Stripe: Bitte leiten Sie Anträge auf Trennung entweder 1) über das Trennungsformular von Stripe oder 2) die Disconnections API weiter. Bitte beachten Sie, dass die Disconnections API nicht dazu führt, dass die Daten Ihres/Ihrer Nutzers/Nutzerin von Stripe gelöscht werden. Falls Ihr/e Nutzer/in die Löschung seiner/ihrer Daten beantragt, sollten Sie das Trennungsformular verwenden.
Anträge auf Löschung:
Nutzeroberfläche: Wir empfehlen Ihnen, dass Sie in Ihrer Oberfläche angeben, was ein Antrag auf „Löschung“ bedeutet, d. h. ob ein Antrag auf Löschung auch die Trennung des verknüpften Kontos umfasst.
Benachrichtigung von Stripe: Bitte leiten Sie Anträge auf Löschung per E-Mail an privacy@stripe.com weiter, mit dem Betreff „Financial Connections: Antrag auf Kontolöschung“. Alternativ können Sie Ihre/n Kunden/Kundin bitten, den Antrag über unser Trennungsformular direkt an Stripe zu übermitteln. Sie sollten diese Daten auch in Ihren eigenen Systemen löschen oder den/die Endnutzer/in über Ihre rechtliche Verpflichtung zur Aufbewahrung der Daten informieren.
Nicht autorisierte Verbindungen. Falls Sie darüber informiert werden, dass die Datenweitergabe von einem/einer Ihrer Endnutzer/innen nicht autorisiert wurde (z. B. infolge eines Identitätsdiebstahls), übermitteln Sie bitte einen Antrag auf Löschung direkt an Stripe, per E-Mail an privacy@stripe.com.
Beschwerden. Falls Sie eine Nutzerkommunikation erhalten, die Stripes Definition einer „Beschwerde“ entspricht, achten Sie bitte darauf, diese zeitnah an Stripe zu übermitteln, indem Sie eine Mail an complaints@stripe.com senden oder indem Sie unser Formular zur Übermittlung von Beschwerden verwenden und aus dem Dropdown-Menü „Verbundene Finanzkonten“ auswählen.
Stripe definiert Beschwerden als eine „zum Ausdruck gebrachte Unzufriedenheit mit einem Produkt, einer Dienstleistung, einer Richtlinie oder einem/einer Mitarbeiter/in im Zusammenhang mit Connections-Diensten, mit Ausnahme der Äußerungen von Mitarbeiter/innen Ihres Unternehmens.“
Bestimmte Beschwerden können als „Executive-Beschwerden“ eingestuft werden, wenn sie mit Klagen drohen oder von Aufsichtsbehörden eingereicht wurden. Diese Beschwerden sollten innerhalb von 1 Tag nach Erhalt an Stripe eskaliert werden.