HinSchG Vorgaben einfach und effizient umsetzen mit dem Parlabox Hinweisgebersystem
cookiebox logo
Demo vereinbaren
Kostenlos starten
cookiebox logo
Zahlungsdienstleister

Stripe

Zahlungsdienstleister
data processing services
Stripe
Stripe ist eine Zahlungsdienstleister
  • Sitz: San Francisco, Vereinigte Staaten von Amerika
  • Kategorie: Zahlungsdienstleister
  • Rechtsgrundlage: Einwilligungspflichtig
Inhalt des Beitrags

Was ist Stripe?

Stripe ist eine Zahlungsabwicklungsplattform, die es Unternehmen ermöglicht, Online-Zahlungen sicher zu akzeptieren, zu verwalten und zu verarbeiten. Die Plattform bietet eine umfassende Suite von Tools zur Zahlungsintegration, die besonders auf E-Commerce-Websites und Online-Dienste ausgerichtet ist. Stripe bietet zahlreiche Funktionen, darunter:

  • Zahlungsabwicklung: Stripe unterstützt Zahlungen über Kredit- und Debitkarten, Apple Pay, Google Pay, sowie alternative Zahlungsmethoden wie Sofortüberweisung und Giropay.
  • Abonnementverwaltung: Unternehmen können wiederkehrende Zahlungen und Abonnements automatisieren.
  • Betrugserkennung: Mit der Radar-Funktion bietet Stripe fortschrittliche Betrugserkennungs- und -präventionslösungen.
  • Globale Skalierbarkeit: Stripe ermöglicht Zahlungen in verschiedenen Währungen und Ländern und unterstützt internationale Geschäftsmodelle.
  • APIs und Integrationen: Stripe bietet Entwicklern leistungsstarke APIs, um die Plattform flexibel in bestehende Systeme zu integrieren.

Warum wird Stripe verwendet?

Stripe wird von Unternehmen verwendet, um ihre Zahlungsprozesse effizient zu gestalten. Zu den Hauptvorteilen gehören:

  1. Einfache Integration: Stripe bietet einfache Integrationen für Websites und Apps, was Entwicklern ermöglicht, schnell eine leistungsstarke Zahlungsabwicklung hinzuzufügen.
  2. Unterstützung mehrerer Zahlungsmethoden: Stripe unterstützt nicht nur Kredit- und Debitkarten, sondern auch viele regionale Zahlungsmethoden, was es besonders für Unternehmen mit internationalen Kunden attraktiv macht.
  3. Sicherheit: Stripe erfüllt strenge Sicherheitsstandards, einschließlich der PCI DSS-Zertifizierung, was den Datenschutz und die Sicherheit von Kundendaten gewährleistet.
  4. Flexibilität und Anpassbarkeit: Mit umfangreichen APIs und Anpassungsmöglichkeiten kann Stripe für kleine Unternehmen sowie große Konzerne genutzt werden.
  5. Skalierbarkeit: Stripe bietet die Möglichkeit, bei wachsenden Geschäftsanforderungen problemlos zu skalieren und Zahlungen in zahlreichen Währungen zu akzeptieren.

Welche Daten werden verarbeitet?

Stripe verarbeitet mehrere Arten von personenbezogenen und finanziellen Daten, um Zahlungen abzuwickeln:

  1. Zahlungsinformationen:
    • Kreditkarten- und Bankdaten der Kunden für die Verarbeitung von Zahlungen.
    • Kaufhistorie und Transaktionsdaten, einschließlich Rechnungen und Bestellungen.
  2. Personenbezogene Daten:
    • NamenE-Mail-AdressenRechnungsadressen und IP-Adressen von Kunden und Nutzern der Plattform.
    • Daten von Unternehmen und Händlern, wie Unternehmensinformationen und Steueridentifikationsnummern.
  3. Technische Daten:
    • Nutzungsdaten, einschließlich der Interaktionen von Benutzern auf Websites oder Apps, die Stripe zur Zahlungsabwicklung verwenden.
    • Geräteinformationen, einschließlich Browserdaten, Betriebssystem und IP-Adressen.
  4. Compliance-Daten:
    • Stripe sammelt auch Daten zur Erfüllung von KYC (Know Your Customer)-Richtlinien und anderen gesetzlichen Vorschriften, die zur Bekämpfung von Geldwäsche oder Betrug dienen.

Hast du Stripe richtig eingebunden?

Mach den Test in unserem kostenlosen Quickscanner!

Rechtliche Grundlage für die Verarbeitung

Die Grundlage für die Verarbeitung der Daten ergibt sich aus der DSGVO in Kombination mit dem TDDDG, wobei die DSGVO vorrangig ist, sollte es mal zu Kollisionen kommen.

Die DSGVO regelt die Verarbeitung der personenbezogenen Daten und das TDDDG fokussiert sich auf den Zugriff auf das Endgerät, also z.B. den Einsatz von Cookies.

Wann besteht eine Einwilligungspflicht?

Personenbezogene Daten

Die Verarbeitung personenbezogener Daten ist nur dann rechtmäßig, wenn mindestens eine der Rechtsgrundlagen (a, b, c, d, e, oder f) des Art. 6 Abs. 1 DSGVO erfüllt ist. Die beiden wichtigen lit. sind die folgenden:

  • Die betroffene Person hat ihre Einwilligung erteilt (lit. a)
  • Die Verarbeitung ist zur Wahrung deines berechtigten Interesses erforderlich (lit. f)
Cookies

Gem. Art. 25 Abs. 1 TDDDG ist dann eine Einwilligung erforderlich, sobald Cookies gesetzt werden, die technisch nicht unbedingt notwendig sind.

Dabei sollte man wissen, dass damit nicht nur die bekannten, auf dem Endgerät der Nutzer platzierten Cookies gemeint sind, sondern auch sogenannte Zählpixel, die es unter anderem ermöglichen, den Useragent oder das Gerät der Nutzer zu verknüpfen oder herzuleiten.

Einwilligungspflichtig sind also alle Informationselemente, die die Identifizierung einer Person ermöglichen.

Die Anforderungen an die Einwilligungsfreiheit

Um einen einwilligungsfreien Einsatz zu gewährleisten, müssten folgende Bedingungen erfüllt sein:

  1. Sofern eine Datenweitergabe an Dritte stattfindet:
    • Abschluss eines Auftragsverarbeitungsvertrags (AVV) mit dem Auftragsverarbeiter (AV), sollten Daten von diesem an Dritte weitergegeben werden.
    • Der Auftragsverarbeiter nutzt die gewonnen Daten nicht für eigene Zwecke.
    • er Auftragsverarbeiter verknüpft die Daten nicht über verschiedene Websites oder reichert sie an.
  2. Kein Einsatz von Cookies oder ähnlichen Techniken, die nicht unbedingt erforderlich sind.
  3. Verarbeitung von personenbezogenen Daten ausschließlich in Europa oder in Ländern, für die ein Angemessenheitsbeschluss gemäß Artikel 45 DSGVO gilt.
  4. Möglichkeit des Opt-outs bzw. Widerrufs sowie ausführliche Informationen über die Erhebung personenbezogener Daten in der Datenschutzerklärung.
  5. IP-Anonymisierung („Privacy by Default)
  6. Automatisches Opt-out bei Do-Not-Track-Einstellungen im Browser.
  7. Durchführung einer Interessensabwägung: Das berechtigte Interesse des Websitebetreibers muss die schützenswerten Interessen des Nutzers überwiegen.
  8. Nachweis der erfolgten Punkte 1-7 durch den Website-Betreiber
desktop icon
IP-Adresse

Beachte, dass die IP-Adresse generell ein personenbezogenes Datum darstellt. Falls du verhindern willst, dass personenbezogene Daten übermittelt werden, musst du immer dafür sorgen, dass die IP-Adresse verschleiert wird.

legal icon
Server-Standort

Solange nicht klar ist, ob/dass Daten von einem sicheren Server-Standort aus erhoben werden, ist die Vereinbarkeit mit der DSGVO schwierig.

desktop icon
Firmensitz

Bei amerikanischen Unternehmen und deren Töchter ist es zusätzlich wichtig den Fakt zu berücksichtigen, dass Daten die von Töchtern erhoben werden, auch in die USA weitergeleitet und dort verarbeitet werden. Amerikanische Unternehmen sind seit dem EuGH Urteil zum Privacy Shield einem unsicheren Drittland zugehörig. Sollten die Unternehmen dem derzeitigen Data Privacy Framework (DPF) zugehörig sein, heißt auch das nicht, dass jeder der vom Unternehmen zugehöriger Service unbedenklich zu nutzen ist. Erst recht nicht ohne die Zustimmung der Nutzer.

Stripe muss Teil deiner Datenschutzerklärung sein

Jetzt eine Datenschutzerklärung kostenlos über die Testversion unseres Privacy Hubs erstellen!

Zertifizierung durch das Data Privacy Framework (DPF)

Stripe ist Teil des EU-U.S. Data Privacy Frameworks (ehemals Privacy Shield) und war eines der ersten Unternehmen, das die Privacy Shield-Zertifizierung erhalten hat. Diese Zertifizierung stellt sicher, dass Stripe den Anforderungen für den sicheren Datentransfer zwischen der EU und den USA gerecht wird. Darüber hinaus erfüllt Stripe die Vorgaben der DSGVO (Datenschutz-Grundverordnung) und anderer internationaler Datenschutzgesetze.

Ist Stripe einwilligungspflichtig?

Stripe verarbeitet eine Vielzahl von personenbezogenen Daten, die nach der Datenschutz-Grundverordnung (DSGVO) schützenswert sind. Aus folgenden Gründen ist grundsätzlich die Einwilligung der Nutzer erforderlich oder ein standfestes berechtigtes Interesse vorzuweisen:

  1. Verarbeitung personenbezogener Daten: Stripe verarbeitet Daten wie NamenE-Mail-AdressenZahlungsinformationen und IP-Adressen, was nach der DSGVO nur mit der Einwilligung der betroffenen Personen oder einer anderen rechtlichen Grundlage zulässig ist.
  2. Transparenz und Rechte der Betroffenen: Unternehmen, die Stripe verwenden, müssen ihre Nutzer klar und transparent darüber informieren, welche Daten erfasst werden und wie diese verarbeitet werden. Zudem müssen Nutzer das Recht haben, auf ihre Daten zuzugreifen, diese zu berichtigen oder zu löschen.
  3. Datentransfer in Drittländer: Da Stripe ein global tätiges Unternehmen ist, werden Daten möglicherweise in Länder außerhalb der EU übertragen, wie die USA. Die Einwilligung der Nutzer ist erforderlich, um sicherzustellen, dass ihre Daten auch außerhalb der EU nach den strengen Standards der DSGVO geschützt werden.

Trotz der gerade aufgeführte Punkte, kann sich bei der Verarbeitung personenbezogener Daten durch Stripe unter Umständen auf die Rechtsgrundlage des berechtigten Interesses (Art. 6 Abs. 1 lit. f DSGVO) berufen werden, wenn die Datenverarbeitung für legitime Zwecke erfolgt, die das Unternehmen oder Dritte/Nutzer verfolgen, sofern die Interessen oder Grundrechte und Grundfreiheiten der betroffenen Person nicht überwiegen. Im Kontext von Stripe könnten solche legitimen Interessen wie folgt begründet werden:

  1. Sicherstellung der Zahlungsabwicklung: Unternehmen, die Stripe verwenden, benötigen eine zuverlässige und sichere Abwicklung von Zahlungen, um ihren Geschäftsbetrieb aufrechtzuerhalten. Die Verarbeitung von Daten wie Zahlungsinformationen und Transaktionsdetails ist dafür unerlässlich und kann als berechtigtes Interesse des Unternehmens betrachtet werden.
  2. Betrugsprävention und Sicherheit: Stripe bietet fortschrittliche Betrugspräventionstools an. Die Überwachung und Analyse von Transaktionen zur Betrugsbekämpfung dient sowohl dem Schutz der Kunden als auch des Unternehmens und fällt unter ein berechtigtes Interesse, da sie die Sicherheit des Zahlungsverkehrs gewährleisten soll.
  3. Vertragsdurchführung: Auch wenn die Datenverarbeitung teilweise zur Erfüllung eines Vertrags erforderlich ist, kann dies ebenfalls unter das berechtigte Interesse fallen. Das Unternehmen hat ein legitimes Interesse daran, die Zahlungsdaten zu verarbeiten, um die Leistungen gegenüber seinen Kunden korrekt zu erbringen.

Fazit zur datenschutzkonformen Verwendung von Stripe

Stripe ist eine leistungsstarke und flexible Plattform zur Zahlungsabwicklung, die weltweit von Unternehmen aller Größen genutzt wird. Die einfache Integration, die breite Unterstützung von Zahlungsmethoden und die Sicherheit machen Stripe zu einer beliebten Wahl für E-Commerce-UnternehmenStart-ups und große Konzerne. Dank seiner Zertifizierung nach dem EU-U.S. Data Privacy Framework können Unternehmen sicher sein, dass die Verarbeitung von Zahlungs- und Nutzerdaten unter Einhaltung höchster Datenschutzstandards erfolgt.

Allerdings müssen Unternehmen, die Stripe nutzen, sicherstellen, dass sie bei der Nutzung auf der Rechtsgrundlage des berechtigten Interesses ohne das Einholen einer Einwilligung ausführliche und transparente Informationen zur Datenverarbeitung bereitstellen, um den Datenschutzanforderungen zu entsprechen.

Du wünschst weitere Infos zum Privacy Hub oder unseren Beratungsleistungen?

Erich Panihin

Erich Panihin

CEO & Head of Product

sales@cookiebox.pro
Telefon:
Kostenlos testen
Preise & Pakete
Pakete & Preise
Kostenlos testen
cookiebox logo