Payment

[Name Payment]

header-monitoring
service_google

[Name Payment]

[Name Payment] ist ein Online-Bezahldienst. Er wird von vielen Websites als zusätzliche Möglichkeit der Bezahlung verwendet.

Sitz: [Stadt, Region, Land]
Kategorie:
Payment
Rechtsgrundlage: Einwilligung erforderlich via Constent Management Platform (CMP)
Inhalt des Beitrags

    Was ist [Name Payment]?

    [Name Payment] ist ein Online-Bezahldienst, mit welchem du deinen Kunden eine Möglichkeit der Bezahlung bieten kannst. Da du es deinen Kunden natürlich so einfach wie möglich machen möchtest, dich zu bezahlen, werden oftmals eine ganze Reihe an Online-Bezahldiensten eingesetzt, denn auch die Kunden haben dort ihre Präferenzen. [Satz speziell über diesen Service einbauen. Z.b. die Reputation des Dienstes]

    Warum wird [Name Payment] verwendet?

    Wenn du [Name Payment] auf deiner Website bzw. deinem Shop anbietest verfolgst du wahrscheinlich mehrere Ziele. Dabei ist das ausschlaggebenste wahrscheinlich die Einfachheit der Bezahlung. Wenn du [Name Payment] verwendest, ist die Bezahlung für den Kunden in nur wenigen Klicks abgeschlossen. In der Regel hat der Kunde schon ein Konto bei [Name Payment], wenn er diese Bezahlart wählt und muss daher seine Daten nicht nochmal eingeben.

    Zusätzlich bietet der Dienst Sicherheit für den Kunden, da es sich bei [Name Payment] um ein großes und etabliertes Unternehmen handelt, dem viele Menschen vertrauen und an das man sich wenden kann, sollte es bei der Lieferung oder Erfüllung des Vertrages zu Schwierigkeiten kommen.

    Es könnte sogar sein, dass du Kunden verlierst, wenn du den bevorzugten Bezahldienst des Kunden nicht anbietest. Da [Name Payment] zu den beliebtesten Bezahldiensten gehört, kann es sein, dass der Druck [Name Payment] anzubieten groß ist. Damit du [Name Payment] bedenkenlos verwenden kannst und worauf du achten solltest, verrate ich dir.

    Welche Daten werden verarbeitet?

    Die Daten, welche von [Name Payment] verarbeitet werden, sind eine Kombination aus personenbezogenen Daten, welche unbedingt erforderlich sind um den Dienst anbieten zu können, wie:

    • Name
    • Anschrift
    • Telefonnummer
    • E-Mail-Adresse
    • Kontonummer

    als auch Transaktionsdaten, die bei Bezahlung anfallen:

    • [Zahlungsbetrag
    • Geräteinformationen
    • Geolokationsdaten]z.B.

    ***Platzhalter CTA***

     

     

     

    Rechtliche Grundlage für die Verarbeitung

    Die Grundlage für die Verarbeitung der Daten ergibt sich aus der DSGVO in Kombination mit dem TTDSG, wobei die DSGVO vorrangig ist, sollte es mal zu Kollisionen kommen.

    Die DSGVO regelt die Verarbeitung der personenbezogenen Daten und das TTDSG fokussiert sich auf den Zugriff auf das Endgerät, also z.B. den Einsatz von Cookies.

    Wann besteht eine Einwilligungspflicht?

    Personenbezogene Daten

    Die Verarbeitung personenbezogener Daten ist nur dann rechtmäßig, wenn mindestens einer der Buchstaben des Art. 6 Abs. 1 DSGVO erfüllt ist. Die beiden wichtigen lit. sind die folgenden:

    1. Die betroffene Person hat ihre Einwilligung erteilt (lit. a)
    2. Die Verarbeitung ist zur Wahrung deines berechtigten Interesses erforderlich (lit. f)

    Cookies

    Gem. Art. 25 Abs. 1 TTDSG ist dann eine Einwilligung erforderlich, wenn Cookies gesetzt werden, die technisch nicht unbedingt notwendig sind.

    Dabei sollte man wissen, dass damit nicht nur die bekannten, kleinen Textdateien und Pixel zählen, sondern alle Technologien, die es ermöglichen, einen Nutzer, einen Benutzeragenten oder Gerät herauszufinden, zu verknüpfen oder herzuleiten.

    Einwilligungspflichtig sind also alle Informationselemente, die die Identifizierung einer Person ermöglichen.

    Die Anforderungen an die Einwilligungsfreiheit

    Um einen einwilligungsfreien Einsatz zu gewährleisten, müssten folgende Bedingungen erfüllt sein:

    1. Abschluss eines Auftragsverarbeitungsvertrags mit dem Auftragsverarbeiter (AV)
    2. Kein Einsatz von Cookies oder ähnlichen Techniken zur Profilbildung
    3. Verarbeitung von personenbezogenen Daten ausschließlich in Europa
    4. Der Auftragsverarbeiter nutzt die gewonnenen Daten nicht für eigene Zwecke
    5. Der Auftragsverarbeiter verknüpft die Daten nicht über verschiedene Websites oder reichert sie an
    6. Möglichkeit des Opt-outs bzw. Widerrufs sowie ausführliche Informationen über die Erhebung personenbezogener Daten in der Datenschutzerklärung
    7. IP-Anonymisierung („Privacy by Default“)
    8. Automatisches Opt-out bei Do-Not-Track-Einstellungen im Browser
    9. Nachweis der erfolgten Punkte 1-8 durch den Website-Betreiber
    referenzen-icon

    IP-Adresse

    Beachte dass die IP-Adresse generell ein personenbezogenes Datum darstellt.

    Falls du verhindern willst, dass personenbezogene Daten übermittelt werden, musst du immer dafür sorgen, dass die IP-Adresse verschleiert wird.

    dsb-icon

    Server-Standort

    Solange nicht klar ist, ob/dass Daten von einem sicheren Server-Standort aus erhoben werden, ist die Vereinbarkeit mit der DSGVO schwierig.

    firmensitz

    Firmensitz

    Bei amerikanischen Unternehmen oder deren Töchter ist zusätzlich der Fakt, dass es sich um ein amerikanisches Unternehmen handelt zu berücksichtigen. Amerikanische Unternehmen sind seit dem EuGH Urteil zum Privacy Shield einem unsicheren Drittland zugehörig.

    Warum ist [Name Payment] Einwilligungspflichtig?

    • [Name Payment] erhebt personenbezogene Daten was eine Einwilligung gem. Art. 6 Abs. 1 lit. a DSGVO erfordert
    • [Name Payment] setzt Cookies *oder trackt die Nutzer auf andere weise, aber auch da wäre es Einwilligungspflichtig*, was gem. Art. 25 Abs. 1 TTDSG Einwilligungspflichtig ist
    • Es kann davon ausgegangen werden, dass der Dienst auch die IP-Adresse der Kunden erfasst, mindestens in den Logfiles
    • *Da es sich bei [Name Payment] um ein US-Unternehmen handelt, dürfen eigentlich keine personenbezogenen Daten übermittelt werden**Bei US*
    • Ein AVV muss nicht mit [Name Payment] geschlossen werden, da der Nutzer direkt mit [Name Payment] im Verhältnis steht

    Damit liegen Verstöße gegen die oben genannten Punkte 2, 3 und 7 vor. Eine Einwilligungsfreiheit kann nicht begründet werden.

    DISCLAIMER: Dies heißt nicht, dass die nicht genannten Punkte erfüllt sind.

    Es braucht also eine Einwilligung der Nutzer, aber dass sollte kein Problem sein, denn der Nutzer entscheidet sich bewusst für den Dienst und muss dann, wenn er ihn nutzen will, seine Einwilligung erteilen.

    Fazit zur datenschutzkonformen Nutzung von [Name Payment]

    Da [Name Payment] personenbezogene Daten von deinen Kunden erhält, wirst du nicht drum herum kommen eine Einwilligung einzuholen. Immerhin musst du keinen AVV abschließen, da der Kunde selbst einen Vertrag mit [Name Payment] hat.

    [Falls US Dienst kann erwähnt werden das die Verwendung eine Grauzone darstellt. In jedem Fall sollte eine Einwilligung eingeholt werden.][Über nicht US-Alternativen Gedanken machen.]

    [Wenn der Dienst sich mühe beim Datenschutz gibt kann das auch erwähnt werden]

    [Falls es Kritik am Dienst gibt, kann darauf eingegangen was zu tun ist um die Kritik zu beseitigen]

    [Wenn es einen Weg gibt den Dienst auszuspielen ohne Einwilligung sollte das auch hier aufgenommen werden. Z.b. durch SST]

     

     

    service_google

    Du hast Fragen?

    Dann ruf uns gerne an. Wir helfen dir bei Fragen zu unseren Produkten oder generell zu allen Datenschutz-Themen:

    Rufen Sie uns an