Edenred ist DSGVO konform

Edenred befolgt seit jeher die gesetzlichen Anforderungen insbesondere auch die DSGVO.

Die DSGVO ist jedoch eine noch junge Verordnung (2018) ohne Zertifizierungsprozess, sodass wir unsere Konformität nicht belegen können.

Seien Sie versichert, dass wir nach bestem Wissen und Gewissen alle uns und unsere Arbeit betreffenden Datenschutzgesetze befolgen. Dies jetzt und auch in Zukunft.

Die Experten von Edenred

Edenred beschäftigt ein engagiertes Team von Compliance- und Datenschutzexperten, um sicherzustellen, dass alle uns und unsere Arbeit betreffenden Datenschutz- und Sicherheitsstandards eingehalten werden.

Darüber hinaus verpflichten wir Mitarbeiter aus allen Abteilungen auf die Einhaltung des Datenschutzes bei der Verarbeitung personenbezogener Daten. Wir sensibilisieren und informieren sie durch regelmäßig stattfindende Datenschutzschulungen.

Die Datensicherheit bei Edenred

Edenred hat eine Reihe von Sicherheitsmaßnahmen und Berechtigungskonzepten aufgestellt, um die gesetzlich verankerte Datensicherheit zu gewährleisten.

Zu den erforderlichen Sicherheitmaßnahmen gehören auch die sog. technischen und organisatorischen Maßnahmen (TOM), die von uns erstellt und umgesetzt wurden und die auch ständig auf ihre Aktualität überprüft werden.

Mit regelmäßig stattfindenden internen und externen Audits kontrolliert und gewährt Edenred diese hohen Standards.

Nicht zuletzt muss Edenred darüber hinaus als Tochterunternehmen der Edenred Group, einem internationalen Konzern mit Sitz in Frankreich, zusätzliche, umfassende, interne Richtlinien und Vorgaben einhalten, um das hohe Maß an Sicherheit für die anvertrauten Daten sicherzustellen.

Edenred gibt keine Daten weiter!

Die personenbezogenen Daten werden nicht an Dritte weitergegeben, es sei denn, dies ist zum Zweck der Vertragserfüllung erforderlich. In diesem Fall werden die Daten u.a. an autorisierte Mitarbeiter von Edenred, Unternehmen des Edenred-Konzerns (siehe www.edenred.com) und an Auftragsverarbeiter (z.B. im Bereich IT Support, Kartenproduktion) weitergeleitet.

Weder Ihre noch die Daten Ihrer Mitarbeiter werden je mit dem Ziel „Adressverkauf“ oder „sonstige Werbezwecke“ von uns an Dritte weitergegeben.

Sie hätten gerne einen Auftragsverarbeitungsvertrag (AVV) mit Edenred?

Grundsätzlich gilt, viele externe Dienstleister sind Auftragsverarbeiter und dann ist zwischen Auftraggeber und Auftragsausführendem ein entsprechender Auftragsverarbeitungsvertrag (AVV) zu schließen.

Es gibt aber Ausnahmen und nicht jeder externe Dienstleister ist zwangsläufig ein Auftragsverarbeiter.

Edenred ist kein Auftragsverarbeiter. Aus diesem Grund können wir mit Ihnen keinen Auftragsverarbeitungsvertrag (AVV) schließen.

Hier die Erläuterung:

Edenred wird als Zahlungsdienstleister für das jeweilige Unternehmen bzw. den Kunden hinsichtlich der Bereitstellung von elektronischen Gutscheinen (E-Gutscheinen) tätig. Dies erfolgt im Rahmen eines sogenannten Controller-to-Controller Verhältnisses, d. h., jedes der beteiligten Unternehmen ist datenschutzrechtlich ein eigenständig Verantwortlicher im Sinne des Art. 4 Nr. 7 DSGVO. Ein Tätigwerden von Edenred als Auftragsverarbeiter im Sinne des Art. 28 DSGVO kommt in diesem Zusammenhang nicht in Betracht. Edenred verarbeitet die vom Unternehmen zwecks Begebung der in Gutscheinen bereitgestellten Daten der Begünstigten (z. B. Mitarbeitern) zu eigenen Geschäftszwecken und nicht im Auftrag und nach Weisung des Unternehmens. 

Diese eigenen Geschäftszwecke liegen in der Erbringung von Dienstleistungen für elektronische Zahlungen (Transport von Zahlungsdaten, Geldwäsche- und Betrugsprüfung) und somit fremde eigenverantwortliche Fachleistungen.

Eine weisungsgebundene Auftragsverarbeitung scheidet aber auch deshalb aus, weil Edenred den spezifischen regulatorischen Anforderungen und Pflichten gemäß ZAG (Gesetz über die Beaufsichtigung von Zahlungsdiensten) unterliegt, da Ihre Produkte die Kriterien nach §2 Abs. 1 Nr. 10 ZAG erfüllen müssen, um als Sachbezug eingestuft zu werden. Die Einhaltung dieser Anforderungen und regulatorischen Pflichten wäre mit einer Weisungsabhängigkeit von Edenred bzw. Weisungsbefugnis des Unternehmens i.S.d. Art. 28 DSGVO nicht in Einklang zu bringen, denn im Fall einer Weisungsbefugnis könnte das Unternehmen als Auftraggeber Edenred letztendlich anweisen (z.B. durch eine Aufforderung auf Erweiterung der schon von Behörden zugestimmten begrenzten Netzwerke), gesetzliche und/oder regulatorische Pflichten nicht zu erfüllen. Vor diesem Hintergrund kommt eine weisungsabhängige Auftragsverarbeitung nach der DSGVO hier nicht in Betracht.