DATENSCHUTZ-INFORMATIONEN FÜR KARTENINHABER

Wir freuen uns über Ihren Besuch auf der PAYONE-Website. Im Folgenden möchten wir Ihnen darlegen, in welcher Form, in welchem Umfang und für welche Zwecke Ihre personenbezogenen Daten von der PAYONE im Rahmen der Zahlungsabwicklung verarbeitet werden. Außerdem klären wir Sie über Ihre Rechte auf.

Wir verarbeiten Ihre personenbezogenen Daten selbstverständlich ausschließlich im Rahmen der gesetzlichen Datenschutzbestimmungen, insbesondere der Europäischen Datenschutz-Grundverordnung (DSGVO) und des Bundesdatenschutzgesetzes (BDSG). Datenschutz ist für uns aber mehr als nur eine gesetzliche Verpflichtung. Vielmehr ist gelebter Datenschutz ein kundenorientiertes Qualitätsmerkmal und hat für die PAYONE höchste Priorität.

Die PAYONE GmbH (im Folgenden „PAYONE“ oder „wir“) ist ein E-Geld- und Zahlungsinstitut im Sinne des Zahlungsdiensteaufsichtsgesetzes (ZAG) und ist spezialisiert auf die Bereitstellung sicherer Terminals für den bargeldlosen Zahlungsverkehr sowie das Angebot dazugehöriger Dienstleistungen. Insbesondere wickelt PAYONE den kartengestützten bargeldlosen Zahlungsverkehr für die Handels- und Dienstleistungsbranche im Rahmen ihrer Payment Services ab und bietet hierzu unterschiedliche Zahlverfahren an.

Bei der Abwicklung des bargeldlosen Zahlungsverkehrs übernimmt PAYONE dabei im Wesentlichen zwei Aufgaben für den Händler:

  1. Zum einen handelt PAYONE als sog. Netzbetreiber und stellt hierbei die technische Abwicklung von bargeldlosen Zahlungen über eine technische Infrastruktur, wie z.B. die sichere Kommunikation zwischen einem Bezahlterminal und Ihrer kartenausgebenden Bank, sicher.
  2. Darüber hinaus handelt PAYONE auch als sog. Acquirer und übernimmt die sichere Weiterleitung und Abrechnung von Kreditkartentransaktionen mit internationalen Kreditkartenunternehmen (sog. Schemes, wie VISA, MasterCard, Diners Club, Discover, JCB, UPI oder American Express).

Was tut PAYONE für Sie als Verbraucher und welche Aufgaben übernimmt PAYONE für den Händler?

PAYONE ermöglicht Händlern die sichere Akzeptanz von bargeldlosen Zahlungen von Ihnen als Verbraucher. Dabei sorgt PAYONE dafür, dass Zahlungen, die Sie mit Ihrer Karte bei einem Händler durchführen, diesem sicher und schnell gutgeschrieben werden. PAYONE kooperiert dazu mit verschiedenen Banken, die wiederum Ihr Konto führen.

Datenschutz-Informationen zu kartengestützten Zahlungen gemäß Art. 13, 14 der Datenschutz-Grundverordnung (DSGVO)

Wenn Sie mit Ihrer Karte bezahlen, erhebt der Händler personenbezogene Daten mit seinem Zahlungsterminal. Er übermittelt die Daten an den Netzbetreiber.

Der Netzbetreiber und die jeweiligen Zahlungsdienstleister zur Annahme und Abrechnung der Zahlungsvorgänge (z.B. Acquirer) verarbeiten die Daten weiter. Dies geschieht insbesondere zur Zahlungsabwicklung, zur Verhinderung von Kartenmissbrauch, zur Begrenzung des Risikos von Zahlungsausfällen und zu gesetzlich vorgegebenen Zwecken, wie z.B. zur Geldwäschebekämpfung und Strafverfolgung. Zu diesen Zwecken werden Ihre Daten auch an weitere Verantwortliche, wie z.B. Ihre kartenausgebende Bank, übermittelt.

Einzelheiten zur Verarbeitung Ihrer personenbezogenen Daten finden Sie nachfolgend.

Wenn hier von „Händler“ gesprochen wird, ist immer der Zahlungsempfänger gemeint. Das kann ein Händler im eigentlichen Sinne sein, aber auch jeder andere, bei dem Sie mit Ihrer Karte bezahlen, z.B. ein Restaurant oder eine Werkstatt.

1. Wer ist für die Verarbeitung meiner Daten verantwortlich und an wen kann ich mich wenden?

Viele Schritte sind notwendig, damit Sie sicher mit Ihrer Karte bezahlen können. Der Händler, bei dem Sie mit Karte bezahlen, arbeitet daher mit einem Netzbetreiber zusammen. Händler und Netzbetreiber sind wie folgt getrennt eigene Verantwortliche für die Verarbeitung jeweils in ihrem technischen Einflussbereich auf die Daten:

a) Händler für den Betrieb des Zahlungsterminals an der Kasse und ggf. für sein internes Netz bis zur gesicherten Übermittlung per Internet oder Telefonleitung an den Netzbetreiber.

Den Namen und die Kontaktdaten des Händlers finden Sie an der Kasse oder auch an der Ladentür.

b) Netzbetreiber für den zentralen Netzbetrieb, die dortige Verarbeitung, Umschlüsselung, Risikoprüfung und die weitere Übermittlung:

PAYONE GmbH, Lyoner Straße 15, 60528 Frankfurt am Main, www.payone.com

Datenschutzbeauftragter: privacy@payone.com

Zuständige Datenschutz-Aufsichtsbehörde: Der Hessische Datenschutz­beauftragte, Gustav-Stresemann-Ring 1, 65189 Wiesbaden, https://datenschutz.hessen.de/

2. Welche Daten werden für die Zahlung benutzt?
  • Kartendaten (Daten, die auf Ihrer Karte gespeichert sind): IBAN bzw. Kontonummer und Kurz-Bankleitzahl, Kartenverfallsdatum und Kartenfolgenummer.
  • Weitere Zahlungsdaten: Betrag, Datum, Uhrzeit, Kennung des Zahlungsterminals (Ort, Unternehmen und Filiale, in der Sie zahlen), Ihre Unterschrift.
  • Im Fall einer Rücklastschrift: Informationen über die Nichteinlösung einer Lastschrift durch Ihre kartenausgebende Bank oder den Widerruf einer Lastschrift durch Sie, Informationen über die ausstehende Forderung, z. B. Ihr Name, Ihre Adresse, Bankgebühren, Mahngebühren, Grund für die Rücklastschrift, Kundennummer bei Ihrer Vertragspartei (nicht der Inhalt Ihrer Einkäufe).
3. Aus welchen Quellen stammen Ihre Daten?
  • Die Kartendaten werden vom Zahlungsterminal aus Ihrer Karte ausgelesen.
  • Die weiteren Zahlungsdaten stellen das Zahlungsterminal und ggf. direkt der Händler bereit.
  • Ihre Unterschrift erteilen Sie selbst.
  • Soweit zur Verhinderung von Kartenmissbrauch und zur Begrenzung des Risikos von Zahlungsausfällen erforderlich, werden Daten aus dem KUNO-System der Polizei und aus internen Datenbanken des Netzbetreibers herangezogen.
  • Soweit für die Bearbeitung der Forderung aus einer Rücklastschrift erforderlich,
    werden unter Einhaltung der gesetzlichen Bestimmungen auch Daten verarbeitet, die aus öffentlich zugänglichen Quellen (z. B. Schuldnerverzeichnissen) entnommen sind oder die von Dritten (z. B. Ihrer kartenausgebenden Bank oder einer Kreditauskunftei) übermittelt werden.
4. Zu welchem Zweck werden Ihre Daten verarbeitet und auf welcher Rechtsgrund­lage?
  • Händler:
    • Prüfung und Durchführung Ihrer Zahlung an den Händler, Art. 6 (1) (b) DSGVO.
    • Belegarchivierung nach gesetzlichen Vorschriften, insbesondere nach §§ 257 Abs. 1 Nr. 4 HGB, § 147 Abs. 1 Nr. 4 AO; Art. 6 (1) (c) DSGVO.
    • Verkauf der Forderung an den Netzbetreiber im Wege des Factoring, Art. 6 (1) (f) DSGVO.
  • Netzbetreiber:
    • Prüfung und Durchführung Ihrer Zahlung an den Händler, Art. 6 (1) (b) DSGVO.
    • Verhinderung von Kartenmissbrauch (§ 10 Abs. 1 Nr. 5 GWG); Art. 6 (1) (c) DSGVO
    • Begrenzung des Risikos von Zahlungsausfällen, Art. 6 (1) (f) DSGVO.
    • Sichere Übertragung Ihrer Daten, insbesondere gemäß den gesetzlichen Bestimmungen für SEPA-Zahlungen, §§ 25a KWG, 27 ZAG; Art. 6 (1) (c) und (f) DSGVO.
    • Vermeidung künftiger Zahlungsausfälle durch Übermittlung von Rücklastschriftdaten, wenn Ihre Zahlung zu einer Rücklastschrift führt, Art. 6 (1) (f) DSGVO.
    • Belegarchivierung nach gesetzlichen Vorschriften, insbesondere nach §§ 257 Abs. 1 Nr. 4 HGB, § 147 Abs. 1 Nr. 4 AO; Art. 6 (1) (c) DSGVO.
    • Forderungsbeitreibung nach einer Rücklastschrift, Art. 6 (1) (b) DSGVO.
5. Wer bekommt die Daten?

Außer dem Händler und dem Netzbetreiber benötigen weitere Stellen Ihre Daten, um die Zahlung durchzuführen oder um gesetzliche Vorschriften zu erfüllen. Ausschließlich in diesem Umfang werden Ihre Daten weitergegeben, und zwar an die folgenden Stellen:

  • Ihre kartenausgebende Bank und den Zahlungsdienstleister des Händlers
  • die von der Deutschen Kreditwirtschaft zwischengeschalteten Stellen, die das Clearing und Settlement von Zahlungen übernehmen
  • Strafverfolgungsbehörden in den gesetzlich vorgesehenen Fällen
  • Geldwäschemeldestellen in den gesetzlich vorgesehenen Fällen
  • Im Fall einer Rücklastschrift, zur Adressermittlung anhand der Kontonummer und der Bankleitzahl (IBAN) der verwendeten Karte: die kartenausgebende Bank oder alternativ eine Kreditauskunftei wie z.B. die SCHUFA Holding AG
6. Werden Daten in ein Drittland oder an eine internationale Organisation übermittelt?

Nein, eine solche Übermittlung findet nicht statt.

7. Wie lange werden meine Daten gespeichert?

PAYONE speichert und verarbeitet Ihre Daten, solange es zur Vertragsdurchführung und zur Erfüllung unserer vertraglichen und gesetzlichen Pflichten erforderlich ist. Sollte eine Speicherung der Daten für die Erfüllung vertraglicher oder besonderer gesetzlicher Pflichten nicht mehr erforderlich sein und der Zweck ihrer Speicherung entfallen sein, werden die Daten gelöscht – es sei denn, deren Weiterverarbeitung ist zu folgenden Zwecken erforderlich:

  • Erfüllung handels- und steuerrechtlicher, sowie sonstiger Aufbewahrungspflichten (z.B. Aufbewahrung buchhaltungsrelevanter Daten für 10 Jahre)
  • Erhaltung von Beweismitteln im Rahmen der gesetzlichen Verjährungsvorschriften

Rücklastschriftdaten und Forderungsdaten werden gelöscht, sobald die Forderung nachweislich beglichen ist.

8. Welche Datenschutz­rechte habe ich?

Jede betroffene Person kann bei dem jeweils Verantwortlichen (siehe oben Ziffer 1.) folgende Datenschutzrechte geltend machen:

  • das Recht auf Auskunft nach Artikel 15 DSGVO
  • das Recht auf Berichtigung nach Artikel 16 DSGVO
  • das Recht auf Löschung nach Artikel 17 DSGVO
  • das Recht auf Einschränkung der Verarbeitung nach Artikel 18 DSGVO
  • das Recht auf Widerspruch aus Artikel 21 DSGVO
  • das Recht auf Datenübertragbarkeit aus Artikel 20 DSGVO

Beim Auskunftsrecht und beim Löschungsrecht gelten die Einschränkungen nach §§ 34 und 35 BDSG.

Jede betroffene Person hat zudem das Recht auf Beschwerde bei einer Datenschutz-Aufsichtsbehörde (Artikel 77 DSGVO i.V.m. § 19 BDSG). In Ziffer 1 finden Sie die zuständige Datenschutz-Aufsichtsbehörde für die PAYONE im Rahmen der Zahlungsabwicklung. Alternativ können Sie sich an Ihre lokale Datenschutz-Aufsichtsbehörde wenden.

9. Muss ich meine Daten bereitstellen?

Sie sind weder gesetzlich noch vertraglich verpflichtet, Ihre Daten bereitzustellen. Wenn Sie Ihre Daten nicht bereitstellen möchten, können Sie ein anderes Zahlungsverfahren verwenden, z.B. bar bezahlen.

10. Werden meine Daten für eine automatisierte Entscheidungsfindung verwendet?

Zur Verhinderung von Kartenmissbrauch und zur Begrenzung des Risikos von Zahlungsausfällen sind Höchstbeträge für Zahlungen innerhalb bestimmter Zeiträume festgelegt. In die Entscheidungsfindung fließt zusätzlich mit ein, wenn zuvor eine Lastschrift von Ihrer kartenausgebenden Bank mangels Deckung nicht eingelöst oder von Ihnen widerrufen wurde (Rücklastschrift). Diese Information wird nicht in die Entscheidungsfindung mit einbezogen, wenn die Rücklastschrift erfolgt ist im Zusammenhang mit einem Widerruf, erklärtermaßen Rechte aus dem zugrunde liegenden Geschäft geltend zu machen (z.B. wegen eines Sachmangels bei einem Kauf). Das Hinzuziehen dieser Informationen dient zur Verhinderung künftiger Zahlungsausfälle. Mit dem vollständigen Ausgleich offener Forderungen werden diese Daten gelöscht.

Mit Hilfe dieser Informationen kann der Netzbetreiber an Händler, die an sein System angeschlossen sind, Empfehlungen für ihre Entscheidung erteilen, ob sie eine Zahlung im Lastschriftverfahren akzeptieren wollen. Der Netzbetreiber kann zu diesem Zweck

  • Rücklastschriftinformationen von allen bei ihm angeschlossenen Händlern verwenden;
  • für eine kurze Zeit – wenige Tage – zur Verhinderung von Kartenmissbrauch Zahlungsinformationen auch händlerübergreifend auswerten;
  • darüber hinaus nur solche Zahlungsinformationen auswerten, die er vom selben Händler erhalten hat.
  • Eine Nutzung Ihrer Daten zum Zweck der Bonitätsprüfung findet nicht statt. Ihre Zahlungsdaten werden ausschließlich für die Entscheidung darüber genutzt, ob dem jeweiligen Händler eine Zahlung im Lastschriftverfahren empfohlen wird.
11. Widerspruchs­recht im Einzelfall

Sie haben das Recht, aus Gründen, die sich aus Ihrer besonderen Situation ergeben, jederzeit Widerspruch einzulegen gegen die Verarbeitung von Daten, die aufgrund von Artikel 6 (1)(f) DSGVO erfolgt, also gegen die Verarbeitung von Daten auf der Grundlage einer Interessenabwägung.

Bitte richten Sie Ihren Widerspruch an: privacy@payone.com

Wenn Sie berechtigt Widerspruch einlegen, werden Ihre Daten nicht mehr aufgrund von Artikel 6 (1)(f) DSGVO verarbeitet, mit zwei Ausnahmen:

  • Ihre Daten werden weiter verarbeitet, soweit der Verantwortliche zwingende schutzwürdige Gründe für die Verarbeitung nachweisen kann, die Ihre Interessen, Rechte und Freiheiten überwiegen, insbesondere z.B. bei gesetzlichen Aufbewahrungspflichten und zur Durchführung einer am Zahlungsterminal schon begonnenen, aber noch nicht abgeschlossenen Zahlung.
  • Ihre Daten werden weiter verarbeitet, wenn dies der Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen dient.
12. Stand der Information

15. Februar 2024

1. Wer ist für die Verarbeitung meiner Daten verantwortlich und an wen kann ich mich wenden?

Viele Schritte sind notwendig, damit Sie sicher mit Ihrer Karte bezahlen können. Der Händler, bei dem Sie mit Karte bezahlen, arbeitet daher mit einem Netzbetreiber zusammen. Händler und Netzbetreiber sind wie folgt getrennt eigene Verantwortliche für die Verarbeitung jeweils in ihrem technischen Einflussbereich auf die Daten:

a) Händler für den Betrieb des Zahlungsterminals an der Kasse und ggf. für sein internes Netz bis zur gesicherten Übermittlung per Internet oder Telefonleitung an den Netzbetreiber.

Den Namen und die Kontaktdaten des Händlers finden Sie an der Kasse oder auch an der Ladentür.

b) Netzbetreiber für den zentralen Netzbetrieb, die dortige Verarbeitung, Umschlüsselung, Risikoprüfung und die weitere Übermittlung:

PAYONE GmbH, Lyoner Straße 15, 60528 Frankfurt am Main, www.payone.com

Datenschutzbeauftragter: privacy@payone.com

Zuständige Datenschutz-Aufsichtsbehörde: Der Hessische Datenschutz­beauftragte, Gustav-Stresemann-Ring 1, 65189 Wiesbaden, https://datenschutz.hessen.de/

2. Welche Daten werden für die Zahlung benutzt?
  • Kartendaten (Daten, die auf Ihrer Karte gespeichert sind): IBAN bzw. Kontonummer und Kurz-Bankleitzahl, Kartenverfallsdatum und Kartenfolgenummer.
  • Weitere Zahlungsdaten: Betrag, Datum, Uhrzeit, Kennung des Zahlungsterminals (Ort, Unternehmen und Filiale, in der Sie zahlen), Prüfdaten Ihrer kartenausgebenden Bank („EMV-Daten“).
  • PIN: Ihre PIN-Eingabe wird kryptographisch gesichert durch die kartenausgebende Bank geprüft. Der Netzbetreiber übernimmt dabei kryptographische Sicherungen und Übermittlungen, speichert jedoch keine PIN und hat keinen Zugriff auf die verschlüsselte PIN.
3. Aus welchen Quellen stammen Ihre Daten?
  • Die Kartendaten werden vom Zahlungsterminal aus Ihrer Karte ausgelesen.
  • Die weiteren Zahlungsdaten stellen das Zahlungsterminal und ggf. direkt der Händler bereit.
  • Ihre PIN geben Sie selbst ein.
4. Zu welchem Zweck werden Ihre Daten verarbeitet und auf welcher Rechtsgrund­lage?
  • Händler:
    • Prüfung und Durchführung Ihrer Zahlung an den Händler, Art. 6 (1) (b) DSGVO.
    • Belegarchivierung nach gesetzlichen Vorschriften, insbesondere nach §§ 257 Abs. 1 Nr. 4 HGB, § 147 Abs. 1 Nr. 4 AO; Art. 6 (1) (c) DSGVO.
  • Netzbetreiber:
    • Prüfung und Durchführung Ihrer Zahlung an den Händler, Art. 6 (1) (b) DSGVO.
    • Sichere Übertragung Ihrer Daten, insbesondere gemäß den gesetzlichen Bestimmungen für SEPA-Zahlungen, §§ 25a KWG, 27 ZAG; und den Bestimmungen des Deutschen Bankenverbands, Art. 6 (1) (c) und (f) DSGVO.
    • Belegarchivierung nach gesetzlichen Vorschriften, insbesondere nach §§ 257 Abs. 1 Nr. 4 HGB, § 147 Abs. 1 Nr. 4 AO; Art. 6 (1) (c) DSGVO.
    • Abrechnung der Gebühren, die der Händler Ihrer kartenausgebenden Bank schuldet, Art. 6 (1) (f) DSGVO.
5. Wer bekommt die Daten?

Außer dem Händler und dem Netzbetreiber benötigen weitere Stellen Ihre Daten, um die Zahlung durchzuführen oder um gesetzliche Vorschriften zu erfüllen. Ausschließlich in diesem Umfang werden Ihre Daten weitergegeben, und zwar an die folgenden Stellen:

  • Ihre kartenausgebende Bank und den Zahlungsdienstleister des Händlers
  • die von der Deutschen Kreditwirtschaft zwischengeschalteten Stellen, die das Clearing und Settlement von Zahlungen übernehmen
  • Strafverfolgungsbehörden in den gesetzlich vorgesehenen Fällen
  • Geldwäschemeldestellen in den gesetzlich vorgesehenen Fällen
6. Werden Daten in ein Drittland oder an eine internationale Organisation übermittelt?

Nein, eine solche Übermittlung findet nicht statt.

7. Wie lange werden meine Daten gespeichert?

PAYONE speichert und verarbeitet Ihre Daten, solange es zur Vertragsdurchführung und zur Erfüllung unserer vertraglichen und gesetzlichen Pflichten erforderlich ist. Sollte eine Speicherung der Daten für die Erfüllung vertraglicher oder besonderer gesetzlicher Pflichten nicht mehr erforderlich sein und der Zweck ihrer Speicherung entfallen sein, werden die Daten gelöscht – es sei denn, deren Weiterverarbeitung ist zu folgenden Zwecken erforderlich:

  • Erfüllung handels- und steuerrechtlicher, sowie sonstiger Aufbewahrungspflichten (z.B. Aufbewahrung buchhaltungsrelevanter Daten für 10 Jahre)
  • Erhaltung von Beweismitteln im Rahmen der gesetzlichen Verjährungsvorschriften
8. Welche Datenschutz­rechte habe ich?

Jede betroffene Person kann bei dem jeweils Verantwortlichen (siehe oben Ziffer 1.) folgende Datenschutzrechte geltend machen:

  • das Recht auf Auskunft nach Artikel 15 DSGVO
  • das Recht auf Berichtigung nach Artikel 16 DSGVO
  • das Recht auf Löschung nach Artikel 17 DSGVO
  • das Recht auf Einschränkung der Verarbeitung nach Artikel 18 DSGVO
  • das Recht auf Widerspruch aus Artikel 21 DSGVO
  • das Recht auf Datenübertragbarkeit aus Artikel 20 DSGVO

Beim Auskunftsrecht und beim Löschungsrecht gelten die Einschränkungen nach §§ 34 und 35 BDSG.

Jede betroffene Person hat zudem das Recht auf Beschwerde bei einer Datenschutz-Aufsichtsbehörde (Artikel 77 DSGVO i.V.m. § 19 BDSG). In Ziffer 1 finden Sie die zuständige Datenschutz-Aufsichtsbehörde für die PAYONE im Rahmen der Zahlungsabwicklung. Alternativ können Sie sich an Ihre lokale Datenschutz-Aufsichtsbehörde wenden.

9. Muss ich meine Daten bereitstellen?

Sie sind weder gesetzlich noch vertraglich verpflichtet, Ihre Daten bereitzustellen. Wenn Sie Ihre Daten nicht bereitstellen möchten, können Sie ein anderes Zahlungsverfahren verwenden, z.B. bar bezahlen.

10. Werden meine Daten für eine automatisierte Entscheidungsfindung verwendet?

Wenn Sie Ihre Karte zur Bezahlung verwenden wollen, muss die Kartenzahlung erst autorisiert werden. Die Autorisierung erfolgt automatisch unter Verwendung Ihrer Daten. Dabei können insbesondere folgende Erwägungen eine Rolle spielen: Zahlungsbetrag, Ort der Zahlung, bisheriges Zahlungsverhalten, Händler, Zahlungszweck. Ohne Autorisierung ist die Kartenzahlung nicht möglich. Dies hat keinen Einfluss auf andere Zahlungsmethoden (z.B. andere Karten oder Bargeld).

11. Widerspruchs­recht im Einzelfall

Sie haben das Recht, aus Gründen, die sich aus Ihrer besonderen Situation ergeben, jederzeit Widerspruch einzulegen gegen die Verarbeitung von Daten, die aufgrund von Artikel 6 (1)(f) DSGVO erfolgt, also gegen die Verarbeitung von Daten auf der Grundlage einer Interessenabwägung.

Bitte richten Sie Ihren Widerspruch an: privacy@payone.com

Wenn Sie berechtigt Widerspruch einlegen, werden Ihre Daten nicht mehr aufgrund von Artikel 6 (1)(f) DSGVO verarbeitet, mit zwei Ausnahmen:

  • Ihre Daten werden weiter verarbeitet, soweit der Verantwortliche zwingende schutzwürdige Gründe für die Verarbeitung nachweisen kann, die Ihre Interessen, Rechte und Freiheiten überwiegen, insbesondere z.B. bei gesetzlichen Aufbewahrungspflichten und zur Durchführung einer am Zahlungsterminal schon begonnenen, aber noch nicht abgeschlossenen Zahlung.
  • Ihre Daten werden weiter verarbeitet, wenn dies der Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen dient.
12. Stand der Information

15. Februar 2024

1. Wer ist für die Verarbeitung meiner Daten verantwortlich und an wen kann ich mich wenden?

Viele Schritte sind notwendig, damit Sie sicher mit Ihrer Karte bezahlen können. Der Händler, bei dem Sie mit Karte bezahlen, arbeitet daher mit einem Netzbetreiber und mit einem oder mehreren Acquirern zusammen. Händler, Netzbetreiber und Acquirer sind wie folgt getrennt eigene Verantwortliche für die Verarbeitung jeweils in ihrem technischen Einflussbereich der Daten:

  • Händler für den Betrieb des Zahlungsterminals an der Kasse und ggf. für sein internes Netz bis zur gesicherten Übermittlung per Internet oder Telefonleitung an den Netzbetreiber.

Den Namen und die Kontaktdaten des Händlers finden Sie an der Kasse oder auch an der Ladentür.

  • Netzbetreiber für den zentralen Netzbetrieb, die dortige Verarbeitung, Umschlüsselung, Risikoprüfung und die weitere Übermittlung:

PAYONE GmbH, Lyoner Straße 15, 60528 Frankfurt am Main, www.payone.com

Datenschutzbeauftragter: privacy@payone.com

Zuständige Datenschutz-Aufsichtsbehörde: Der Hessische Datenschutz­beauftragte, Gustav-Stresemann-Ring 1, 65189 Wiesbaden, https://datenschutz.hessen.de/

  • Acquirer ist ein gemäß Zahlungsdienstaufsichtsgesetz (ZAG) regulierter Zahlungsdienstleister, der für den Händler die Annahme und Abrechnung der Zahlungsvorgänge durchführt.

Wer der Acquirer ist, ist abhängig davon, was für eine Karte Sie verwendet haben. Der Händler hält für Sie die Kontaktdaten des Acquirers und der für diesen zuständigen Datenschutz-Aufsichtsbehörde vor. Sie bekommen diese Informationen per Aushang bzw. auf Anfrage an der Kasse.

Soweit die PAYONE das Acquiring übernimmt, gelten die bereits genannten Kontaktdaten:

PAYONE GmbH, Lyoner Straße 15, 60528 Frankfurt am Main, www.payone.com

Datenschutzbeauftragter: privacy@payone.com

Zuständige Datenschutz-Aufsichtsbehörde: Der Hessische Datenschutz­beauftragte, Gustav-Stresemann-Ring 1, 65189 Wiesbaden, https://datenschutz.hessen.de/

2. Welche Daten werden für die Zahlung benutzt?
  • Kartendaten (Daten, die auf Ihrer Karte gespeichert sind): Kartennummer, Kartentyp (z.B. VISA, Mastercard, American Express) und Ablaufdatum.
  • Weitere Zahlungsdaten: Betrag, Datum, Uhrzeit, Kennung des Zahlungsterminals (Ort, Unternehmen und Filiale, in der Sie zahlen), Prüfdaten Ihres kartenausgebenden Instituts („EMV-Daten“), ggf. Ihre Unterschrift.
  • PIN: Ihre PIN-Eingabe wird kryptographisch gesichert durch das kartenausgebende Institut geprüft. Der Netzbetreiber übernimmt dabei kryptographische Sicherungen und Übermittlungen, speichert jedoch keine PIN und hat keinen Zugriff auf die verschlüsselte PIN.
  • Rückabwicklung (Chargeback) – Wenn Sie eine Transaktion bestreiten, die mit Ihrer Karte vorgenommen wurde: In diesem Fall kann der Einkaufsbeleg und ggf. weitere Informationen über Sie, mit denen der Händler seine Forderung beweisen will (z.B. Name und Adresse) an das kartenausgebende Institut weitergegeben werden.
3. Aus welchen Quellen stammen Ihre Daten?
  • Die Kartendaten werden vom Zahlungsterminal aus Ihrer Karte ausgelesen.
  • Die weiteren Zahlungsdaten stellen das Zahlungsterminal und ggf. direkt der Händler bereit.
  • Ihre PIN geben Sie selbst ein, Ihre Unterschrift erteilen Sie selbst.
4. Zu welchem Zweck werden Ihre Daten verarbeitet und auf welcher Rechtsgrund­lage?
  • Händler:
    • Prüfung und Durchführung Ihrer Zahlung an den Händler, Art. 6 (1) (b) DSGVO.
    • Belegarchivierung nach gesetzlichen Vorschriften, insbesondere nach §§ 257 Abs. 1 Nr. 4 HGB, § 147 Abs. 1 Nr. 4 AO; Art. 6 (1) (c) DSGVO.
  • Netzbetreiber:
    • Prüfung und Durchführung Ihrer Zahlung an den Händler, Art. 6 (1) (b) DSGVO.
    • Sichere Übertragung Ihrer Daten, insbesondere gemäß den gesetzlichen Bestimmungen, §§ 25a KWG, 27 ZAG, und den Bestimmungen der Kreditkartenorganisation, Art. 6 (1) (c) und (f) DSGVO.
  • Acquirer:
    • Prüfung und Durchführung Ihrer Zahlung an den Händler, Art. 6 (1) (b) DSGVO.
    • Verhinderung von Kartenmissbrauch (§ 10 Abs. 1 Nr. 5 GWG); Art. 6 (1) (c) DSGVO
    • Begrenzung des Risikos von Zahlungsausfällen, Art. 6 (1) (f) DSGVO.
    • Sichere Übertragung Ihrer Daten, insbesondere gemäß den gesetzlichen Bestimmungen, §§ 25a KWG, 27 ZAG, und den Bestimmungen der Kreditkartenorganisation, Art. 6 (1) (c) und (f) DSGVO.
    • Abrechnung der Gebühren, die der Händler Ihrem kartenausgebenden Institut schuldet, Art. 6 (1)(f) DSGVO.
    • Belegarchivierung, insbesondere nach §§ 257 Abs. 1 Nr. 4 HGB, § 147 Abs. 1 Nr. 4 AO; Art. 6 (1) (c) DSGVO
    • Forderungsbeitreibung nach einer Rücklastschrift, Art. 6 (1) (b) DSGVO.
5. Wer bekommt die Daten?

Außer dem Händler und dem Netzbetreiber benötigen weitere Stellen Ihre Daten, um die Zahlung durchzuführen oder um gesetzliche Vorschriften zu erfüllen. Ausschließlich in diesem Umfang werden Ihre Daten weitergegeben, und zwar an die folgenden Stellen:

  • das Zahlungskartensystem
  • Ihr kartenausgebendes Institut und die Bank des Acquirers
  • die von den Kreditkartenorganisationen zwischengeschalteten Stellen, die das
    Clearing und Settlement von Zahlungen übernehmen
  • Strafverfolgungsbehörden in den gesetzlich vorgesehenen Fällen
  • Geldwäschemeldestellen in den gesetzlich vorgesehenen Fällen
6. Werden Daten in ein Drittland oder an eine internationale Organisation übermittelt?

Der Acquirer leitet Ihre Daten an das Zahlungskartensystem außerhalb des Europäischen Wirtschaftsraums gemäß den jeweils vereinbarten Regeln (z.B. „Binding Corporate Rules“, „Standard Contractual Clauses“) oder zum Zweck der Erfüllung des Vertrages mit dem ausländischen Zahler) weiter, um Ihre Zahlung zu autorisieren und auszuführen.

Hinsichtlich der Verarbeitung Ihrer Daten durch das Zahlungskartensystem informieren Sie sich bitte in dessen Datenschutzbestimmungen:

a) MasterCard Europe SPRL, Chaussée de Tervuren 198A, 1410 Waterloo, Belgien, für die Zahlungsmarken „MasterCard“ und „Maestro“,
https://www.mastercard.de/de-de/datenschutz.html

b) Visa Europe Services LLC, eingetragen in Delaware USA, handelnd durch die Niederlassung in London, 1 Sheldon Square, London W2 6TT, Großbritannien, für die Zahlungsmarken „Visa“, „Visa Electron“ und „V PAY“
https://www.visa.co.uk/privacy/

c) American Express Payment Services Ltd., Zweigniederlassung Frankfurt am Main, Theodor-Heuss-Allee 112, 60486 Frankfurt am Main, für die Zahlungsmarke “American Express“; https://www.americanexpress.de/datenschutz

d) Diners Club International Ltd., 2500 Lake Cook Road, Riverwoods, IL 60016, USA, für die Zahlungsmarken “Diners”, “Diners Club” und “Discover”;
https://www.dinersclub.com/privacy-policy

e) JCB International Co., Ltd., 5-1-22, Minami Aoyama, Minato-Ku, Tokio, Japan, für die Zahlungsmarke „JCB“; http://www.jcbeurope.eu/privacy/

f) Union Pay International Co., Ltd., German Branch, An der Welle 4, 60322 Frankfurt, für die Zahlungsmarken „CUP” und „Union Pay”
http://www.unionpayintl.com/en/aboutUs/companyProfile/contactUs/Europe/Europe2/?currentPath=%2FglobalCard%2Fen%2Fglobal_7%2F10050072

7. Wie lange werden meine Daten gespeichert?

PAYONE speichert und verarbeitet Ihre Daten, solange es zur Vertragsdurchführung und zur Erfüllung unserer vertraglichen und gesetzlichen Pflichten erforderlich ist. Sollte eine Speicherung der Daten für die Erfüllung vertraglicher oder besonderer gesetzlicher Pflichten nicht mehr erforderlich sein und der Zweck ihrer Speicherung entfallen sein, werden die Daten gelöscht – es sei denn, deren Weiterverarbeitung ist zu folgenden Zwecken erforderlich:

  • Erfüllung handels- und steuerrechtlicher, sowie sonstiger Aufbewahrungspflichten (z.B. Aufbewahrung buchhaltungsrelevanter Daten für 10 Jahre)
  • Erhaltung von Beweismitteln im Rahmen der gesetzlichen Verjährungsvorschriften
8. Welche Datenschutz­rechte habe ich?

Jede betroffene Person kann bei dem jeweils Verantwortlichen (siehe oben Ziffer 1.) folgende Datenschutzrechte geltend machen:

  • das Recht auf Auskunft nach Artikel 15 DSGVO
  • das Recht auf Berichtigung nach Artikel 16 DSGVO
  • das Recht auf Löschung nach Artikel 17 DSGVO
  • das Recht auf Einschränkung der Verarbeitung nach Artikel 18 DSGVO
  • das Recht auf Widerspruch aus Artikel 21 DSGVO
  • das Recht auf Datenübertragbarkeit aus Artikel 20 DSGVO

Beim Auskunftsrecht und beim Löschungsrecht gelten die Einschränkungen nach §§ 34 und 35 BDSG.

Jede betroffene Person hat zudem das Recht auf Beschwerde bei einer Datenschutz-Aufsichtsbehörde (Artikel 77 DSGVO i.V.m. § 19 BDSG). In Ziffer 1 finden Sie die zuständige Datenschutz-Aufsichtsbehörde für die PAYONE im Rahmen der Zahlungsabwicklung. Alternativ können Sie sich an Ihre lokale Datenschutz-Aufsichtsbehörde wenden.

9. Muss ich meine Daten bereitstellen?

Sie sind weder gesetzlich noch vertraglich verpflichtet, Ihre Daten bereitzustellen. Wenn Sie Ihre Daten nicht bereitstellen möchten, können Sie ein anderes Zahlungsverfahren verwenden, z.B. bar bezahlen.

10. Werden meine Daten für eine automatisierte Entscheidungsfindung verwendet?

Wenn Sie Ihre Karte zur Bezahlung verwenden wollen, muss die Kartenzahlung erst autorisiert werden. Die Autorisierung erfolgt automatisch unter Verwendung Ihrer Daten. Dabei können insbesondere folgende Erwägungen eine Rolle spielen: Zahlungsbetrag, Ort der Zahlung, bisheriges Zahlungsverhalten, Händler, Zahlungszweck. Ohne Autorisierung ist die Kartenzahlung nicht möglich. Dies hat keinen Einfluss auf andere Zahlungsmethoden (z.B. andere Karten oder Bargeld).

11. Widerspruchs­recht im Einzelfall

Sie haben das Recht, aus Gründen, die sich aus Ihrer besonderen Situation ergeben, jederzeit Widerspruch einzulegen gegen die Verarbeitung von Daten, die aufgrund von Artikel 6 (1)(f) DSGVO erfolgt, also gegen die Verarbeitung von Daten auf der Grundlage einer Interessenabwägung.

Bitte richten Sie Ihren Widerspruch an: privacy@payone.com

Wenn Sie berechtigt Widerspruch einlegen, werden Ihre Daten nicht mehr aufgrund von Artikel 6 (1)(f) DSGVO verarbeitet, mit zwei Ausnahmen:

  • Ihre Daten werden weiter verarbeitet, soweit der Verantwortliche zwingende schutzwürdige Gründe für die Verarbeitung nachweisen kann, die Ihre Interessen, Rechte und Freiheiten überwiegen, insbesondere z.B. bei gesetzlichen Aufbewahrungspflichten und zur Durchführung einer am Zahlungsterminal schon begonnenen, aber noch nicht abgeschlossenen Zahlung.
  • Ihre Daten werden weiter verarbeitet, wenn dies der Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen dient.
12. Stand der Information

15. Februar 2024

Eine Print-Version der vorstehenden Informationen sowie eine Kurzinformation zur Verarbeitung Ihrer Daten zum Download finden Sie nachfolgend.

Downloadbereich

Print-Version
Kurzinformation/One-Pager (deutsch): Information zur Datenverarbeitung durch die PAYONE für Endkunden (Karteninhaber/Nutzer) gemäß Art. 14 DSGVO
Kurzinformation/One-Pager (englisch): Information on data processing by PAYONE for end customers (card holder/user) according to Art. 14 GDPR

Weitere Sprachen der Kurzinformation (französisch, italienisch, niederländisch) können gerne auf Anfrage bereitgestellt werden. Wenden Sie sich hierzu bitte an privacy@payone.com.