隐私声明

我们非常高兴您对我们的公司感兴趣。数据保护对我们公司的管理层来说是一个特别重要的优先事项。您可以在不提供任何个人数据的情况下使用我们的网站；然而，如果数据主体希望通过我们的网站使用特定的公司服务，可能需要处理个人数据。如果处理个人数据是必要的，而没有法定基础，我们通常会征得数据主体的同意。

个人数据的处理，例如数据主体的姓名、地址、电子邮件地址或电话号码，将始终遵循《通用数据保护条例》（GDPR），并遵循适用于我们公司的国家特定数据保护法规。通过本数据保护声明，我们公司希望向公众通报我们收集、使用和处理的个人数据的性质、范围和目的。此外，数据主体通过本数据保护声明了解其享有的权利。

作为数据控制者，我们公司已实施众多技术和组织措施，以确保通过本网站处理的个人数据得到尽可能全面的保护。然而，基于互联网的数据传输原则上可能存在安全漏洞，因此无法保证绝对的保护。出于这个原因，每位数据主体可以选择通过其他方式（例如电话）将个人数据传输给我们。

1. 定义

本隐私政策基于欧洲立法者为采纳《通用数据保护条例》（GDPR）所使用的术语。我们的数据保护声明应便于公众、客户和商业伙伴阅读和理解。为此，我们首先解释所使用的术语。

在本数据保护声明中，我们使用以下术语：

a) 个人数据

个人数据是指与已识别或可识别的自然人（“数据主体”）有关的任何信息。可识别的自然人是指可以直接或间接识别的自然人，尤其是通过诸如姓名、身份证号码、位置信息、在线标识符或与该自然人的身体、心理、遗传、精神、经济、文化或社会身份相关的一个或多个特征。

b) 数据主体

数据主体是指已识别或可识别的自然人，其个人数据由负责处理的控制者处理。

c) 处理

处理是指对个人数据或个人数据集执行的任何操作或一系列操作，无论是通过自动化手段还是其他方式，例如收集、记录、组织、结构化、存储、调整或更改、检索、咨询、使用、通过传输披露、传播或以其他方式提供、对齐或组合、限制、擦除或销毁。

d) 处理限制

处理限制是指对存储的个人数据进行标记，以限制其未来处理的目的。

e) 剖析

剖析是指对个人数据进行的任何形式的自动处理，旨在评估与自然人相关的某些个人方面，特别是分析或预测该自然人在工作、经济状况、健康、个人偏好、兴趣、可靠性、行为、位置或移动方面的表现。

f) 假名化

P假名化是指以一种方式处理个人数据，使得不使用附加信息无法将个人数据归因于特定的数据主体，前提是该附加信息单独保存，并且采取技术和组织措施确保个人数据不会被归因于已识别或可识别的自然人。

g) 控制者或负责处理的控制者

控制者或负责处理的控制者是指单独或与他人共同确定个人数据处理目的和手段的自然人或法人、公共机关、机构或其他组织；如果处理的目的和手段由欧盟或成员国法律确定，则控制者或其指定的具体标准可能由欧盟或成员国法律规定。

h) 处理者

处理者是指代表控制者处理个人数据的自然人或法人、公共机关、机构或其他组织。

i) 接收者

接收者是指向其披露个人数据的自然人或法人、公共机关、机构或其他组织，无论是否为第三方。然而，作为特定调查的一部分，根据欧盟或成员国法律可能接收个人数据的公共机关不应被视为接收者；这些公共机关对这些数据的处理应遵循适用的数据保护规则，以符合处理目的。

j) 第三方

第三方是指与数据主体、控制者、处理者及根据控制者或处理者的直接授权被授权处理个人数据的人员不同的自然人或法人、公共机关、机构或组织。

k) 同意

数据主体的同意是指数据主体自由给予的、具体的、知情的和明确的意愿表示，通过声明或明确的积极行动表示同意处理与其相关的个人数据。

控制者的名称和地址

根据《通用数据保护条例》（GDPR）、适用于欧盟成员国的其他数据保护法律及其他与数据保护相关的规定，控制者是：

2. 控制者的名称和地址

Schmidt & Schmidt OHG
Bahnhofstrasse 22a
94032 Passau
Germany
+49 851 226 083 01
+49 851 226 083 99
Email: kontakt@schmidt-export.com
Website: https://schmidt-export.com

3. 数据主体的权利

a) 确认权

每个数据主体都有权根据欧洲立法者的规定，从控制者那里获得有关其个人数据是否正在被处理的确认。如果数据主体希望行使此确认权，他或她可以随时联系控制者的任何员工。

b) 访问权

每个数据主体都有权根据欧洲立法者的规定，从控制者那里免费获取其个人数据的相关信息，并请求该信息的副本。此外，欧洲指令和法规赋予数据主体以下信息的访问权：

处理的目的：
相关个人数据的类别；
个人数据已披露或将披露的接收者或接收者类别，尤其是第三国或国际组织的接收者；
在可能的情况下，个人数据的预期存储期限，或者如果无法提供，则是确定该期限的标准；
有权要求控制者更正或删除与数据主体有关的个人数据，或限制处理个人数据的权利，或反对这种处理的权利；
有权向监督机构提出投诉的权利；
如果个人数据不是从数据主体那里收集的，则应提供有关其来源的任何可用信息；
在《通用数据保护条例》第22(1)和(4)条中提到的自动决策，包括剖析，至少在这些情况下，提供有关相关逻辑的有意义信息，以及这种处理对数据主体的意义和预期后果。

此外，数据主体有权获得有关个人数据是否被转移到第三国或国际组织的信息。如果是这种情况，数据主体有权获知与转移相关的适当保障措施。如果数据主体希望行使此访问权，他或她可以随时联系控制者的任何员工。

If a data subject wishes to avail himself of this right of access, he or she may, at any time, contact any employee of the controller.

c) 更正权

每个数据主体都有权根据欧洲立法者的规定，从控制者那里无延迟地获得关于其不准确的个人数据的更正。考虑到处理的目的，数据主体有权要求补充不完整的个人数据，包括通过提供补充声明的方式。

如果数据主体希望行使更正权，他或她可以随时联系控制者的任何员工。

d) 删除权（被遗忘权）

每个数据主体都有权根据欧洲立法者的规定，从控制者那里无延迟地获得其个人数据的删除，且当以下一个或多个理由适用时，控制者有义务无延迟地删除个人数据，只要处理不再必要：

个人数据不再与收集或以其他方式处理的目的相关。
数据主体撤回依据《通用数据保护条例》第6(1)(a)条或第9(2)(a)条进行处理的同意，且没有其他法律依据支持该处理。
数据主体根据《通用数据保护条例》第21(1)条反对处理，且没有覆盖数据主体权益、权利和自由的合理理由，或者数据主体根据第21(2)条反对处理。
个人数据被非法处理。
个人数据必须根据控制者所受的欧盟或成员国法律的法律义务被删除。
个人数据与《通用数据保护条例》第8(1)条所提及的信息社会服务的提供有关。

如果上述理由中的任何一个适用，并且数据主体希望请求删除控制者存储的个人数据，他或她可以随时联系控制者的任何员工。控制者的员工将立即确保遵循删除请求。

如果控制者已公开个人数据，并且根据第17(1)条有义务删除个人数据，控制者在考虑可用技术和实施成本的情况下，应采取合理措施，包括技术措施，通知其他处理该个人数据的控制者，数据主体要求删除这些控制者处理的任何链接、复制或复制的个人数据，只要不再需要处理。控制者的员工将安排在个案中采取必要措施。

e) 处理限制权

每个数据主体都有权根据欧洲立法者的规定，在以下条件适用时从控制者那里获得处理限制：

数据主体对个人数据的准确性提出异议，在此期间，控制者可以验证个人数据的准确性。
处理行为是非法的，数据主体反对删除个人数据并请求限制其使用。
控制者不再需要个人数据用于处理目的，但数据主体需要这些数据以建立、行使或抗辩法律主张。
数据主体根据《GDPR》第21(1)条反对处理，待验证控制者的合法理由是否优于数据主体的理由。

如果上述条件中的任何一个适用，并且数据主体希望请求限制控制者存储的个人数据的处理，他或她可以随时联系控制者的任何员工。控制者的员工将安排处理限制。

f) 数据可携带权

每个数据主体都有权根据欧洲立法者的规定，以结构化、普遍使用和机器可读的格式接收与其有关的个人数据，这些数据已提供给控制者。他或她有权在不受控制者阻碍的情况下将这些数据传输给另一控制者，只要处理是基于《通用数据保护条例》第6(1)(a)条或第9(2)(a)条的同意，或者基于《通用数据保护条例》第6(1)(b)条的合同，并且处理是通过自动化手段进行的，只要该处理不是为执行公共利益所需的任务或行使赋予控制者的官方权力而必要的。

此外，在行使其根据《通用数据保护条例》第20(1)条的数据可携带权时，数据主体有权在技术上可行且不影响他人权利和自由的情况下，直接从一个控制者传输个人数据到另一个控制者。

为了行使数据可携带权，数据主体可以随时联系控制者的任何员工。

g) 反对权

每个数据主体都有权根据欧洲立法者的规定，基于与其特定情况相关的理由，随时对基于《通用数据保护条例》第6(1)(e)或(f)条处理的个人数据提出反对。这也适用于基于这些规定的剖析。

如果数据主体提出反对，控制者将不再处理个人数据，除非我们能够证明有强有力的合法理由支持该处理，这些理由超越数据主体的利益、权利和自由，或者为了建立、行使或辩护法律主张。

如果控制者出于直接营销目的处理个人数据，数据主体有权随时对其个人数据的此类营销处理提出反对。这适用于与此类直接营销相关的剖析。如果数据主体对控制者的直接营销处理提出反对，控制者将不再为这些目的处理个人数据。

此外，数据主体有权基于与其特定情况相关的理由，反对控制者为科学或历史研究目的或根据《通用数据保护条例》第89(1)条的统计目的处理其个人数据，除非该处理对于执行公共利益所需的任务是必要的。

为了行使反对权，数据主体可以随时联系控制者的任何员工。此外，数据主体在使用信息社会服务时自由使用反对权，尽管《指令2002/58/EC》规定，数据主体可以通过自动化手段使用技术规格行使其反对权。

h) 自动化个体决策，包括剖析

每个数据主体都有权根据欧洲立法者的规定，不得基于仅通过自动处理（包括剖析）做出的决策，该决策对其产生法律效力或以其他方式显著影响他，前提是该决策(1) 对于数据主体与控制者之间的合同的签订或履行是必要的，或(2) 是由控制者受其所受的欧盟或成员国法律授权的，并且该法律也规定了保障数据主体权利和自由以及合法利益的适当措施，或(3) 是基于数据主体的明确同意。

如果该决策(1) 对于数据主体与控制者之间的合同的签订或履行是必要的，或(2) 是基于数据主体的明确同意，控制者应实施适当措施以保障数据主体的权利和自由及合法利益，至少包括有权获得控制者的人工干预、表达意见和对决策提出异议的权利。

如果数据主体希望行使有关自动化个体决策的权利，他或她可以随时联系控制者的任何员工。

i) 撤回数据保护同意的权利

每个数据主体都有权根据欧洲立法者的规定，在任何时候撤回其对处理其个人数据的同意。

如果数据主体希望行使撤回同意的权利，他或她可以随时联系控制者的任何员工。

4. 使用谷歌云平台（GCP）

我们利用Google Cloud Platform (GCP)来提升服务的性能、安全性和可靠性。GCP提供强大的基础设施和先进的安全措施来保护您的数据。所有在GCP上处理和存储的数据都遵循我们在所有运营中应用的相同严格的隐私和安全标准。使用GCP的目的包括数据存储、处理和管理，以确保高效且安全地处理您的信息，特别是为了履行我们对潜在客户和现有客户的合同义务。数据托管在荷兰的GCP云数据中心进行。我们还与Google签订了数据处理协议(DPA)，以确保符合数据保护法规。有关Google隐私实践的更多信息，请参考Google Cloud隐私声明和云数据处理附录。

5. Cookies

本控制者的网站使用Cookies。Cookies是通过互联网浏览器存储在计算机系统中的文本文件。

Cookies包含一个所谓的cookie ID。cookie ID是cookie的唯一标识符。它由一个字符字符串组成，通过这个字符串，互联网页面和服务器可以被分配给存储了该cookie的特定互联网浏览器。这使得访问过的互联网网站和服务器能够区分数据主体的单独浏览器与其他包含不同Cookies的互联网浏览器。特定的互联网浏览器可以通过唯一的cookie ID被识别和确认。

通过使用Cookies，控制者可以为本网站的用户提供更便捷的服务，这些服务在没有设置Cookies的情况下是无法实现的。

通过Cookie，我们可以优化网站上的信息和服务，充分考虑用户的需求。正如前面提到的，Cookies使我们能够识别我们的网站用户。此识别的目的是方便用户使用我们的网站。使用Cookies的网站用户，比如说，在每次访问网站时无需重新输入访问数据，因为这些信息是由网站接管的，Cookie因此被存储在用户的计算机系统中。另一个例子是在线商店中的购物车Cookie。在线商店通过Cookie记住客户放入虚拟购物车中的商品。

数据主体可以随时通过其使用的互联网浏览器进行相应的设置，阻止我们网站上的Cookie设置，从而永久拒绝Cookie的设置。此外，已经设置的Cookie也可以随时通过互联网浏览器或其他软件程序删除。这在所有常用的互联网浏览器中都是可行的。如果数据主体在其使用的互联网浏览器中停用Cookie设置，则我们网站的所有功能可能无法完全使用。欲了解更多信息，请阅读我们的 Cookie政策。

6. 一般数据和信息的收集

本控制者的网站在数据主体或自动化系统调用网站时，会收集一系列一般数据和信息。这些一般数据和信息存储在服务器日志文件中。收集的数据可能包括（1）所使用的浏览器类型和版本，（2）访问系统使用的操作系统，（3）访问系统访问我们网站的来源网站（所谓的引荐来源），（4）子网页，（5）访问互联网网站的日期和时间，（6）互联网协议地址（IP地址），（7）访问系统的互联网服务提供商，以及（8）在针对我们的信息技术系统进行攻击时可能使用的任何其他类似数据和信息。

在使用这些一般数据和信息时，控制者并不会得出关于数据主体的任何结论。相反，这些信息是为了（1）正确传递我们网站的内容，（2）优化我们网站及其广告的内容，（3）确保我们信息技术系统和网站技术的长期可用性，以及（4）在发生网络攻击的情况下，为执法机关提供必要的信息。因此，控制者对匿名收集的数据和信息进行统计分析，旨在提高我们企业的数据保护和数据安全水平，并确保我们处理的个人数据的最佳保护水平。服务器日志文件的匿名数据与数据主体提供的所有个人数据分开存储。

7. 在我们的网站上注册

数据主体有可能在控制者的网站上注册，并提供个人数据。传输给控制者的个人数据由所使用的注册输入表单确定。数据主体输入的个人数据仅为控制者的内部使用和其自身目的而收集和存储。控制者可能会请求将这些数据转移给一个或多个处理者（例如，一个包裹服务），这些处理者也会出于归属于控制者的内部目的使用个人数据。

在控制者的网站上注册时，还会存储由互联网服务提供商（ISP）分配给数据主体的IP地址、注册的日期和时间。存储这些数据是为了防止我们的服务被滥用，并在必要时可以调查已发生的违法行为。因此，这些数据的存储是为了保障控制者的安全。这些数据不会传递给第三方，除非有法定的转移义务，或者转移旨在刑事起诉。

数据主体的注册，附有自愿提供的个人数据，旨在使控制者能够提供因事物性质而仅能提供给注册用户的内容或服务。注册的用户可以随时更改注册时指定的个人数据，或要求将其从控制者的数据存储中完全删除。

控制者应请求随时向每位数据主体提供存储的个人数据的信息。此外，控制者应根据数据主体的请求或指示，纠正或删除个人数据，前提是没有法定的存储义务。控制者的所有员工都可作为联系人的身份提供服务。

8. 订阅我们的新闻通讯

在控制者的网站上，用户可以订阅企业的新闻通讯。为此目的使用的输入框决定了传输哪些个人数据，以及何时从控制者处订购新闻通讯。

控制者定期通过新闻通讯向客户和商业伙伴提供企业优惠信息。企业的新闻通讯只有在以下情况下才会由数据主体接收：（1）数据主体拥有有效的电子邮件地址，（2）数据主体注册接收新闻通讯。出于法律原因，会通过双重选择加入（double opt-in）程序向首次注册接收新闻通讯的数据主体发送确认电子邮件。此确认邮件用于证明电子邮件地址的所有者，即数据主体，有权接收新闻通讯。

在注册新闻通讯期间，我们还会存储由互联网服务提供商（ISP）分配给数据主体的计算机系统的IP地址，以及注册时的日期和时间。收集此数据是为了在日后了解数据主体的电子邮件地址（可能的）滥用情况，因此有助于保护控制者的合法权益。

作为注册新闻通讯的一部分所收集的个人数据将仅用于发送我们的新闻通讯。此外，新闻通讯的订阅者也可能会通过电子邮件接收到与新闻通讯服务或相关注册有关的必要信息，例如在新闻通讯服务修改或技术环境发生变化时。这些由新闻通讯服务收集的个人数据不会传输给第三方。数据主体可以随时终止新闻通讯订阅。数据主体可以随时撤销其为接收新闻通讯而提供的个人数据存储同意。为撤销同意，在每份新闻通讯中都会提供相应的链接。用户也可以随时直接在控制者的网站上取消订阅，或以其他方式告知控制者取消订阅。

9. 新闻通讯跟踪

控制者的新闻通讯包含所谓的跟踪像素。跟踪像素是一种嵌入在这些以HTML格式发送的电子邮件中的微型图形，用于启用日志文件记录和分析。这使得能够对在线营销活动的成功或失败进行统计分析。基于嵌入的跟踪像素，控制者可以看到数据主体是否以及何时打开了电子邮件，或者数据主体点击了哪些电子邮件中的链接。

新闻通讯中跟踪像素收集的此类个人数据由控制者存储和分析，以优化新闻通讯的发送，以及更好地根据数据主体的兴趣调整未来新闻通讯的内容。这些个人数据不会传递给第三方。数据主体有权随时撤销通过双重选择加入程序（double-opt-in）发出的相关同意声明。撤销后，这些个人数据将由控制者删除。控制者会自动将取消订阅新闻通讯视为撤销同意。

10. 通过电话和传真联系

本公司使用自己的电话系统（PBX）进行电话和传真通信。包括电话号码和IP地址在内的数据会被存储，以用于进一步的客户获取和履行与潜在和现有客户的合同义务。这些数据会存储3个月，并在没有正当利益存在时自动删除。

请注意，传真传输不支持加密，因此无法保证其保密性。我们建议在处理敏感信息时使用更安全的方式。

在此情况下，数据不会与第三方共享。这些数据仅用于处理相关对话。

11. 通过网站和电子邮件的联系可能性

控制者的网站包含一些信息，使用户能够快速电子联系到我们的企业，并与我们进行直接沟通，其中也包括所谓的电子邮件地址（邮箱地址）。如果数据主体通过电子邮件或联系表单与控制者联系，数据主体传输给控制者的个人数据将被自动存储。数据主体自愿传输给控制者的此类个人数据将用于处理或联系数据主体。

我们使用云解决方案Google Workspace来发送和接收电子邮件及新闻通讯。

Google Workspace的运营公司是Google Inc.，地址为1600 Amphitheater Pkwy, Mountain View, CA 94043-1351, USA。

通过向负责人发送电子邮件，技术处理所需的相关数据（如IP地址、浏览器信息或Cookies）将被传输到位于美国的Google服务器，并存储在该服务器上。我们不知道提交的数据的具体内容，也不清楚Google如何使用这些数据。该公司在此上下文中否认将这些数据与其他Google服务的信息关联，或收集个人数据。然而，Google可能会将这些信息传递给第三方。

有关Google隐私实践的更多信息，请参阅Google隐私政策与条款。

12. 网站博客的评论功能

控制者为用户提供在网站的博客上对个别博客文章发表个人评论的可能性。博客是一种基于网络的公开门户，博主或网络博主可以在其中发布文章或写下想法，通常第三方也可以对博客文章发表评论。

如果数据主体在本网站发布的博客上留下评论，该评论以及评论日期和数据主体选择的用户（或化名）将被存储和发布。此外，数据主体的互联网服务提供商（ISP）分配的IP地址也会被记录。此IP地址的存储是出于安全原因，以防数据主体通过评论侵犯第三方权利或发布非法内容。因此，这些个人数据的存储是控制者自身的合法利益，以便在发生侵权时为自己辩护。所收集的个人数据不会传递给第三方，除非法律要求或为了控制者的合法防御目的。

13. 订阅博客评论

控制者博客中的评论可以被第三方订阅，特别是评论者可以订阅其评论后的其他评论。

订阅评论的选项可以随时终止。

14.1. Support-chat

我们公司在网站上提供专门的支持聊天服务，用于与客户沟通。您可以通过此聊天服务与我们联系。通过聊天发起联系时，我们将收集并存储您的姓名、电子邮件地址和聊天记录。这些数据将保留最长六个月，以有效处理您的问题，并支持业务管理和服务提升等内部运营。此后，所有数据将被不可逆转地删除。

因此，保留这些数据对于数据控制者的利益保护是必要的。除非法律有规定，或出于刑事诉讼的需要，否则这些数据不会被传输给第三方。

14.2. 客户支持聊天中的AI使用

我们网站上的专用支持聊天功能通过人工智能增强，以高效处理客户咨询。这个基于AI的聊天机器人支持实时互动并提高服务质量。

有关我们AI聊天机器人如何处理个人数据、其用途以及您的相应权利的详细说明，请参阅我们的 AI聊天机器人隐私声明。

15. 个人数据的常规删除和屏蔽

数据控制者应仅在存储目的所需的期限内处理和存储数据主体的个人数据，或在欧洲立法者或其他立法者的法律或规定要求下存储数据。

如果存储目的不再适用，或者欧洲立法者或其他相关立法者规定的存储期限已过，个人数据将根据法律要求例行屏蔽或删除。

16. 求职申请及申请程序中的数据保护

数据控制者应收集和处理求职者的个人数据，以处理申请程序。处理可以以电子方式进行，特别是在求职者通过电子邮件或网站上的表单提交相关申请文件时。如果数据控制者与求职者签订雇佣合同，所提交的数据将根据法律要求存储，以处理雇佣关系。

收集的数据类别包括：

个人数据
教育和职业培训数据
可能包括根据《GDPR》第9条的特殊个人数据（如残疾状况）

求职者没有义务向我们提供所要求的信息，但未提供这些信息可能会导致其被排除在申请程序之外。

我们为合法的人事管理和业务管理目的收集并使用您的个人数据，例如：

目的	法律基础
识别和评估潜在雇用候选人以及可能出现的未来职位的候选人。	基于数据控制者的合法利益，以确保招聘合适的员工。
保存与雇用相关的记录。	基于数据控制者的合法利益，以确保招聘合适的员工。
根据适用法律进行犯罪背景检查。	基于数据控制者的合法利益，以确保招聘合适的员工。
确保遵守法律要求，包括多样性和包容性要求。	基于数据控制者的合法利益，以确保招聘合适的员工。
与申请人沟通的目的。	基于数据控制者的合法利益，以确保组织内和与申请人之间的适当沟通。
向申请人提供法律要求的报告并响应法律程序。	遵守法律义务。

如果数据控制者未与求职者签订雇佣合同，申请文件将在拒绝决定通知后的两个月内自动删除，前提是没有其他合法利益反对删除。在此情况下的其他合法利益可能是，例如《一般平等待遇法》(AGG) 程序中的举证责任。

17. 关于使用带有匿名化功能的分析工具的数据保护条款

本网站的控制者已集成了开源分析工具“Matomo”带有匿名化功能的组件。分析工具是一种网页分析服务。网页分析是收集、聚合和分析有关网站访问者行为的数据。网页分析服务收集的数据包括访问者来源网站（所谓的推荐者）、访问了哪些子页面、以及某个子页面的访问频率和时长等。

分析工具组件的目的是分析我们网站的流量。控制者使用收集的数据和信息来评估我们网站的使用情况，并提供显示我们网站活动的在线报告，以及提供与我们网站使用相关的其他服务。这在《通用数据保护条例》(GDPR)第6条第1款f项的合法利益范围内。

不会将任何个人数据传输给第三方。

18. 客户评论

控制者的网站上，用户可以为他们所购买的服务提交客户评论。这属于《通用数据保护条例》(GDPR) 第6条第1款f项规定的合法利益，允许用户对服务自由发表意见。

客户评价将以匿名方式发布。

收集的数据将传送至相关的内部部门以用于质量保证目的。

19. 支付方式：关于使用PayPal作为支付处理器的数据保护条款

在本网站上，控制者已集成了PayPal的组件。PayPal是一家在线支付服务提供商。付款通过所谓的PayPal账户处理，该账户代表虚拟私人或商业账户。如果用户没有PayPal账户，PayPal也可以通过信用卡处理虚拟付款。PayPal账户是通过电子邮件地址进行管理的，因此没有传统的账户号码。PayPal使用户能够向第三方发起在线支付或接收付款。PayPal还提供受托人功能并提供买方保护服务。

PayPal在欧洲的运营公司是PayPal (Europe) S.à.r.l. & Cie. S.C.A.，地址为：22-24 Boulevard Royal, 2449 Luxembourg, Luxembourg。

如果数据主体在在线商店的订单过程中选择“PayPal”作为支付选项，我们会自动将数据主体的数据传送给PayPal。选择此支付选项即表示数据主体同意转移进行支付处理所需的个人数据。

通常传输给PayPal的个人数据包括：名字、姓氏、地址、电子邮件地址、IP地址、电话号码、手机号码或其他进行支付处理所需的数据。处理购买合同也需要与相关订单相关的个人数据。

数据的传输旨在进行支付处理和防止欺诈。控制者将向PayPal传送个人数据，特别是在传输的合法利益存在的情况下。PayPal与控制者之间交换的个人数据将被PayPal传递给经济信用机构。此传输旨在进行身份和信用检查。

如果有必要，PayPal将向其附属公司和服务提供商或分包商传递个人数据，前提是这对于履行合同义务或数据在订单中处理是必要的。

数据主体有可能随时撤回对PayPal处理个人数据的同意。撤回不会对必须根据（合同）支付处理而处理、使用或传送的个人数据产生影响。

PayPal适用的数据保护条款可在PAYPAL隐私声明中查阅。

20. 处理的法律依据

根据GDPR第6(1)条第a款，处理操作的法律依据是我们为特定处理目的获得的同意。如果个人数据的处理是为了履行数据主体所参与的合同，例如在处理操作是供应商品或提供其他服务所必需的情况下，则该处理基于GDPR第6(1)条第b款。对于为实施预合同措施而进行的处理操作，例如有关我们产品或服务的询问，同样适用此条款。如果我们的公司受到法律义务的约束，要求处理个人数据，例如履行税务义务，则该处理基于GDPR第6(1)条第c款。

在少数情况下，处理个人数据可能是为了保护数据主体或其他自然人的重要利益。例如，如果访客在我们公司受伤，必须将他的姓名、年龄、健康保险数据或其他重要信息传递给医生、医院或其他第三方，则该处理将基于GDPR第6(1)条第d款。

最后，处理操作可能基于GDPR第6(1)条第f款。如果处理操作不属于上述任何法律依据，并且处理对于我们的公司或第三方所追求的合法利益是必要的，则适用此法律依据，除非这些利益被数据主体的权益或基本权利和自由所覆盖，后者要求保护个人数据。此类处理操作特别被允许，因为它们已被欧洲立法者特别提及。立法者认为，如果数据主体是控制者的客户，可以假定存在合法利益（GDPR第47条第2句）。