Datenschutz & Haftung

Wer bin ich?

 

Datenschutzinformationen

Zahlmodul in einer App Lösung

Zusammenfassung des Verfahrens mit dem Zahlmodul der VR Payment GmbH:

Innerhalb des Zahlmoduls in einer App haben Sie die Möglichkeit mit Ihrer Kreditkarte, Ihrer girocard oder mittels eines elektronischen Lastschriftverfahrens durch ein virtuelles Terminal zu bezahlen.

Dafür werden Ihre Daten am virtuellen Terminal erhoben und direkt dort zum Transport verschlüsselt. Anschließend wird dieser verschlüsselte Datensatz zur Autorisierung der Zahlung innerhalb der VR Payment verarbeitet. Wir entschlüsseln den ersten Teil, der die Kartennummer enthält, diese brauchen wir zur späteren Verbuchung. Der zweite Teil mit den Autorisierungsdaten wird über das zuständige Zahlungskartensystem an den jeweiligen Issuer (Kartenausgebende Stelle) gesendet. Dieser entschlüsselt den zweiten Teil und meldet zurück, ob die Transaktion autorisiert wurde. Wenn die Transaktion erfolgreich autorisiert wurde, verbuchen wir den Umsatz auf dem Händlerkonto.

Um einen möglichst kundenfreundlichen 3D Secure Flow zu ermöglichen, werden von der App mit Ihrer Einwilligung zusätzliche Daten erhoben. Diese werden verschlüsselt an die Karten ausgebende Bank übermittelt. Bei Ihrer Bank findet anhand der übermittelten Daten eine Risikoprüfung statt. Im Idealfall wird die Transaktion ohne weitere Authentifizierung, das heißt ohne starke Kundenauthentifizierung in Form einer Tan, Gesichtserkennung etc., direkt in die Autorisierung gesendet.

Je nach dem welches Zahlungskartensystem genutzt wird, werden personenbezogene Daten in Drittländer übertragen z.B. bei Visa in die USA.

 

Verantwortliche Stelle

siehe Impressum

Falls Sie Fragen hinsichtlich der Verarbeitung Ihrer personenbezogenen Daten haben, können Sie sich direkt an unseren Beauftragten für den Datenschutz wenden:

Wolfgang Geßling
Telefon: +49 (0)721 1209-6899
E-Mail: Datenschutz@vr-payment.de

Erhebung, Verarbeitung und Nutzung personenbezogener Daten

Innerhalb des Zahlmoduls in einer App haben Sie die Möglichkeit mit Ihrer Kreditkarte, Ihrer girocard oder mittels eines elektronischen Lastschriftverfahrens durch ein virtuelles Terminal zu bezahlen.

Dafür werden Ihre Daten am virtuellen Terminal erhoben und direkt dort zum Transport verschlüsselt. Anschließend wird dieser verschlüsselte Datensatz zur Autorisierung der Zahlung innerhalb der VR Payment verarbeitet. Wir entschlüsseln den ersten Teil, der die Kartennummer enthält, diese brauchen wir zur späteren Verbuchung. Der zweite Teil mit den Autorisierungsdaten wird über das zuständige Zahlungskartensystem an den jeweiligen Issuer (Kartenausgebende Stelle) gesendet. Dieser entschlüsselt den zweiten Teil und meldet zurück, ob die Transaktion autorisiert wurde. Wenn die Transaktion erfolgreich autorisiert wurde, verbuchen wir den Umsatz auf dem Händlerkonto.

Um einen möglichst kundenfreundlichen 3D Secure Flow zu ermöglichen, werden von der App mit Ihrer Einwilligung zusätzliche Daten erhoben. Diese werden verschlüsselt an die Karten ausgebende Bank übermittelt. Bei Ihrer Bank findet anhand der übermittelten Daten eine Risikoprüfung statt. Im Idealfall wird die Transaktion ohne weitere Authentifizierung, das heißt ohne starke Kundenauthentifizierung in Form einer Tan, Gesichtserkennung etc., direkt in die Autorisierung gesendet.

Je nach dem welches Zahlungskartensystem genutzt wird, werden personenbezogene Daten in Drittländer übertragen z.B. bei Visa in die USA.

Datenkategorien

Die folgenden Daten werden verarbeitet:

  • Kartendaten: IBAN bzw. Kontonummer und Bankleitzahl, Kartenverfallsdatum und Kartenfolgenummer
  • Zahlungsdaten: Betrag, Datum, Uhrzeit, Prüfdaten und Autorisierungsdaten Ihrer kartenausgebenden Bank ("EMV-Daten")
  • Rücklastschriftdaten: Informationen über die Nichteinlösung einer Lastschrift durch Ihre Bank oder den Widerruf einer Lastschrift durch Sie (Rücklastschrift).
  • Forderungsdaten bei Erstellung einer Rücklastschrift: Informationen über die ausstehende Forderung, z. B. Ihr Name, Ihre Adresse, Bankgebühren, Mahngebühren, Grund für die Rücklastschrift, Kundennummer bei Ihrer Vertragspartei (nicht der Inhalt Ihrer Einkäufe).
  • Rückabwicklung (Charge Back) - Wenn Sie eine Transaktion bestreiten, die mit Ihrer Karte vorgenommen wurde: Einkaufsbeleg und ggf. weitere Informationen über Sie, mit denen der Zahlungsempfänger seine Forderung beweisen will, wie z.B. Name und Adresse.

Die folgenden Daten werden nur mit Ihrer Einwilligung zur Sicherheitsüberprüfung und einer Risikobewertung verarbeitet, um Authentifizierungsvorgänge zu minimieren:

  • Gerätedaten: ID, Seriennummer des Geräts und der SIM-Karte, Software, installierte Apps, Mobilnummer, MAC Adresse
  • Nutzerdaten: Werbe-ID, Standort, Abonnenten-ID, Gruppen-ID
  • Daten von verbundenen (gepaarten) Bluetooth-Geräten: Hardwareadresse, MAC Adresse, Gerätealias

Zu welchem Zweck werden Ihre Daten verarbeitet und auf welcher Rechtsgrundlage?

Zahlungsempfänger:

  • Prüfung und Durchführung Ihrer Zahlung an den Zahlungsempfänger, Art. 6 (1) (a) und (b) DSGVO.
  • Verhinderung von Kartenmissbrauch und Begrenzung des Risikos von Zahlungsausfällen, Art. 6 (1) (f) DSGVO.
  • Belegarchivierung nach gesetzlichen Vorschriften, Art. 6 (1) (c) DSGVO.

Acquirer:

  • Prüfung und Durchführung Ihrer Zahlung an den Zahlungsempfänger, Art. 6 (1) (b) DSGVO.
  • Verhinderung von Kartenmissbrauch und Begrenzung des Risikos von Zahlungsausfällen, Art. 6 (1) (c) und (f) DSGVO.
  • Sichere Übertragung Ihrer Daten gemäß den gesetzlichen Bestimmungen und den Bestimmungen der Kreditkartenorganisation, Art. 6 (1) (a), (c) und (f) DSGVO.
  • Abrechnung der Gebühren, die der Zahlungsempfänger Ihrer Bank schuldet, Art. 6 (1)(f) DSGVO.
  • Belegarchivierung, Art. 6 (1) (c) DSGVO
  • Forderungsbeitreibung nach einer Rücklastschrift, Art. 6 (1) (f) DSGVO.

Woher erhalten wir Ihre Daten?

  • Daten, die auf Ihrer Karte gespeichert sind, erhalten wir direkt von Ihnen, indem wir sie von der Karte auslesen.
  • Weitere Daten erhalten wir von Zahlungsempfängern, bei denen Sie mit Karte bezahlen.
  • Soweit für die Prüfung der Kartenzahlung (Autorisierung) oder für die Rückabwicklung einer Kartenzahlung erforderlich, verarbeiten wir auch Daten, die wir aus öffentlich zugänglichen Quellen (z. B. Schuldnerverzeichnissen) zulässigerweise entnehmen oder die uns von Dritten (z. B. Ihrer Bank oder einer Kreditauskunftei) berechtigt übermittelt werden.
  • Wenn Sie eingewilligt haben, werden die Daten Ihrer verwendeten Hardware (z.B. Smartphone oder Tablet) entnommen.

Wer bekommt die Daten?

Außer dem Zahlungsempfänger und dem Netzbetreiber benötigen weitere Stellen Ihre Daten, um die Zahlung durchzuführen oder um gesetzliche Vorschriften zu erfüllen. Ausschließlich in diesem Umfang werden Ihre Daten weitergegeben, und zwar an die folgenden Stellen:

  • Ihre Karten ausgebende Bank und den Zahlungsdienstleister des Zahlungsempfängers
  • das Zahlungskartensystem
  • Ihre Karten ausgebende Bank und die Bank des Acquirers
  • die von der Deutschen Kreditwirtschaft zwischengeschalteten Stellen, die das Clearing und Settlement von Zahlungen übernehmen
  • Strafverfolgungsbehörden in den gesetzlich vorgesehenen Fällen
  • Geldwäschemeldestellen in den gesetzlich vorgesehenen Fällen
  • Im Fall einer Rücklastschrift, zur Adressermittlung anhand der Kontonummer und der Bankleitzahl (IBAN) der verwendeten Karte: die kartenausgebende Bank oder alternativ eine Kreditauskunftei, wie z.B. die SCHUFA Holding AG

Werden Daten in ein Drittland oder an eine internationale Organisation übermittelt?

Nein. Im Falle einer girocard oder eines elektronischen Lastschriftverfahrens findet eine solche Übermittlung nicht statt. Ihre Daten werden nur im Falle einer Visa, Mastercard, American Express, Diners Club, JCB oder Union Pay Transaktion an internationale Organisationen außerhalb der EU übermittelt.
Dieser Übermittlung haben Sie im Rahmen des Kreditkartenvertrags zugestimmt.
Hinsichtlich der Verarbeitung Ihrer Daten durch das Zahlungskartensystem verweisen wir auf deren Datenschutzbestimmungen:

  1. Mastercard Europe SPRL,
    Chaussée de Tervuren 198A,
    1410 Waterloo, Belgien,
    für die Zahlungsmarken "MasterCard" und "Maestro",
    https://www.mastercard.de/dede/datenschutz.html
  2. Visa Europe Services LLC,
    eingetragen in Delaware USA,
    handelnd durch die Niederlassung in London,
    1 Sheldon Square,
    London W2 6TT, Großbritannien,
    für die Zahlungsmarken "Visa", "Visa Electron" und "V PAY"
    https://www.visa.co.uk/privacy/
  3. Diners Club International Ltd.,
    2500 Lake Cook Road,
    Riverwoods, IL 60016, USA,
    für die Zahlungsmarken "Diners", "Diners Club" und "Discover".
    https://www.dinersclub.com/privacy-policy
  4. JCB International Co.,
    Ltd., 5-1-22, Minami Aoyama, Minato-Ku, Tokio, Japan,
    für die Zahlungsmarke "JCB".
    http://www.jcbeurope.eu/privacy/
  5. Union Pay International Ltd., 5F,
    Building B, No. 6 Dongfang Road, Poly Plaza,
    Pudong 200120, Shanghai P.R. China,
    für die Zahlungsmarken "CUP" und "Union Pay".

Wie lange werden meine Daten gespeichert?

10 Jahre gemäß den gesetzlichen Bestimmungen.

Rücklastschriftdaten und Forderungsdaten werden gelöscht, sobald die Forderung nachweislich beglichen ist.

Werden meine Daten für eine automatisierte Entscheidungsfindung verwendet?

  1. Elektronisches Lastschriftverfahren
    Zur Verhinderung von Kartenmissbrauch und zur Begrenzung des Risikos von Zahlungsausfällen sind Höchstbeträge für Zahlungen innerhalb bestimmter Zeiträume festgelegt. In die Entscheidungsfindung fließt zusätzlich mit ein, wenn zuvor eine Lastschrift von Ihrer kartenausgebenden Bank mangels Deckung nicht eingelöst oder von Ihnen widerrufen wurde (Rücklastschrift). Diese Information wird nicht in die Entscheidungsfindung mit einbezogen, wenn die Rücklastschrift erfolgt ist im Zusammenhang mit einem Widerruf, erklärtermaßen Rechte aus dem zugrunde liegenden Geschäft geltend zu machen (z.B. wegen eines Sachmangels bei einem Kauf). Das Hinzuziehen dieser Informationen dient zur Verhinderung künftiger Zahlungsausfälle. Mit dem vollständigen Ausgleich offener Forderungen werden diese Daten gelöscht.
    Mit Hilfe dieser Informationen kann der Netzbetreiber an Zahlungsempfänger, die an sein System angeschlossen sind, Empfehlungen für ihre Entscheidung erteilen, ob sie eine Zahlung im Lastschriftverfahren akzeptieren wollen. Der Netzbetreiber kann zu diesem Zweck Rücklastschriftinformationen von allen bei ihm angeschlossenen Zahlungsempfängern verwenden;
    für eine kurze Zeit – wenige Tage – zur Verhinderung von Kartenmissbrauch Zahlungsinformationen auch zahlungsempfängerübergreifend auswerten;
    darüber hinaus nur solche Zahlungsinformationen auswerten, die er vom selben Zahlungsempfänger erhalten hat.
    Eine Nutzung Ihrer Daten zum Zweck der Bonitätsprüfung findet nicht statt. Ihre Zahlungsdaten werden ausschließlich für die Entscheidung darüber genutzt, ob dem jeweiligen Zahlungsempfänger eine Zahlung im Lastschriftverfahren empfohlen wird.
  2. Kartenzahlungen
    Wenn Sie Ihre Karte zur Bezahlung verwenden wollen, muss die Kartenzahlung erst autorisiert werden. Die Autorisierung erfolgt automatisch unter Verwendung Ihrer Daten. Dabei können insbesondere folgende Erwägungen eine Rolle spielen: Zahlungsbetrag, Ort der Zahlung, bisheriges Zahlungsverhalten, Zahlungsempfänger, Zahlungszweck. Ohne Autorisierung ist die Kartenzahlung nicht möglich. Dies hat keinen Einfluss auf andere Zahlungsmethoden (z.B. andere Karten oder Bargeld).

Rechte des Betroffenen

Sie als Betroffener haben spezielle Rechte bezüglich Ihrer personenbezogenen Daten:

  • das Recht auf Auskunft nach Artikel 15 DSGVO
  • das Recht auf Berichtigung nach Artikel 16 DSGVO
  • das Recht auf Löschung nach Artikel 17 DSGVO
  • das Recht auf Einschränkung der Verarbeitung nach Artikel 18 DSGVO
  • das Recht auf Widerspruch aus Artikel 21 DSGVO
  • das Recht auf Datenübertragbarkeit aus Artikel 20 DSGVO
  • das Recht auf Beschwerde bei einer zuständigen Datenschutzaufsichtsbehörde (Artikel 77 DSGVO i.V.m. § 19 BDSG)

Beim Auskunftsrecht und beim Löschungsrecht gelten die Einschränkungen nach §§ 34 und 35 BDSG.

Änderung der Datenschutzerklärung

Sofern sich Änderungen ergeben, werden wir sie sowie alle bisherigen Datenschutzerklärungen an dieser Stelle veröffentlichen. Die VR Payment GmbH trifft die gemäß Artikel 25 DSGVO erforderlichen technischen und organisatorischen Maßnahmen, um die Informationen ihrer Partner und Kunden vor Verfälschung, Verlust oder dem Zugriff durch unberechtigte Personen zu schützen. Unsere Sicherheitsmaßnahmen werden entsprechend der technologischen Entwicklung fortlaufend verbessert.

Haftungserklärung

Haftung für Inhalte

Die Inhalte unserer Seiten wurden mit größter Sorgfalt erstellt. Für die Richtigkeit, Vollständigkeit und Aktualität der Inhalte können wir jedoch keine Gewähr übernehmen. Als Diensteanbieter sind wir gemäß § 7 Abs.1 TMG für eigene Inhalte auf diesen Seiten nach den allgemeinen Gesetzen verantwortlich. Nach § 8 bis § 10 TMG sind wir als Diensteanbieter jedoch nicht verpflichtet, übermittelte oder gespeicherte fremde Informationen zu überwachen oder nach Umständen zu forschen, die auf eine rechtswidrige Tätigkeit hinweisen. Verpflichtungen zur Entfernung oder Sperrung der Nutzung von Informationen nach den allgemeinen Gesetzen bleiben hiervon unberührt. Eine diesbezügliche Haftung ist jedoch erst ab dem Zeitpunkt der Kenntnis einer konkreten Rechtsverletzung möglich. Bei Bekanntwerden von entsprechenden Rechtsverletzungen werden wir diese Inhalte umgehend entfernen.

Haftung für Links

Unser Angebot enthält Links zu externen Webseiten Dritter, auf deren Inhalte wir keinen Einfluss haben. Deshalb können wir für diese fremden Inhalte auch keine Gewähr übernehmen. Für die Inhalte der verlinkten Seiten ist stets der jeweilige Anbieter oder Betreiber der Seiten verantwortlich. Die verlinkten Seiten wurden zum Zeitpunkt der Verlinkung auf mögliche Rechtsverstöße überprüft. Rechtswidrige Inhalte waren zum Zeitpunkt der Verlinkung nicht erkennbar. Eine permanente inhaltliche Kontrolle der verlinkten Seiten ist jedoch ohne konkrete Anhaltspunkte einer Rechtsverletzung nicht zumutbar. Bei Bekanntwerden von Rechtsverletzungen werden wir derartige Links umgehend entfernen.

Texte dieser Website, die in die Zukunft gerichtete Aussagen enthalten, können Risiken oder Unsicherheiten einschließen. Prognosen können von den tatsächlichen künftigen Ereignissen und Ergebnissen wesentlich abweichen. VR Payment verpflichtet sich nicht, Abweichungen von früheren Prognosen zu veröffentlichen oder den Eintritt von Umständen bekannt zu geben, die zu einer Änderung von Prognosen führen können. Weiter können Texte Schätzungen von Analysten und andere Informationen enthalten, die von Dritten ausgearbeitet wurden. Für diese übernimmt die Redaktion keine Verantwortung. VR Payment verpflichtet sich nicht, die Erwartungen bzw. Schätzungen von Analysten oder anderen Dritten zu prüfen.

Nach Oben

#PaymentPower Magazin VRP_auf_Weiss_Doppelpunkt
Neues aus der Welt des Bezahlens

category

Podcast-Tipp: „Payment am stationären Point of Sale”

Henrik Ewers, CPTO bei VR Payment, zu Gast bei den EHI Retail Insights

Lesen

category

Einkaufen in nur 11,9 Sekunden

Check-out in Rekordzeit? Das geht mit payfree.

Lesen

category

Kassenloser Check-out: Ganz praktisch

Markus Riehl, CIO von Aramark, und Nils Bergmann, CDO von payfree, sprechen über autonome Technologie für den Verkauf im #PaymentPower Podcast Nr. 91

Lesen

Zum #PaymentPower Magazin