Datenschutz
Endkunde bei Online-Zahlungen

VR Payment („wir“) ist ein Zahlungsdienstleister und agiert als Netzbetreiber und/oder Acquirer für seine Kunden (Händler). Als Netzbetreiber stellen wir die technische Infrastruktur bereit, die für die sichere und effiziente Abwicklung von Zahlungen zwischen dem Händler und seinen Kunden („Endkunden“) erforderlich ist. Als Acquirer nehmen wir – in der Rolle eines gemäß Zahlungsdiensteaufsichtsgesetz (ZAG) regulierten Zahlungsdienstleisters – Zahlungen im Namen des Händlers an und verarbeiten die vom Endkunden gezahlten Beträge u.a. zur Auszahlung an den Händler.

Diese Datenschutzinformationen für Endkunden bei Online-Zahlungen („Datenschutzinformationen“) richten sich an Endkunden, die auf der Website des Händlers Zahlungen mittels einer der nachfolgend genannten Zahlverfahren vornehmen („Sie“):

• SEPA-Lastschriftverfahren (einschließlich wiederkehrendes SEPA-Lastschriftmandat)
• Kreditkarte
• Wero
• Alternative Zahlverfahren

Mit diesen Datenschutz-Informationen informieren wir Sie darüber, welche personenbezogenen Daten wir über Sie erheben, wie wir diese verarbeiten und welche Rechte Sie diesbezüglich haben. Diese Datenschutz-Informationen begründen keine vertraglichen Pflichten. Sie dienen ausschließlich der Bereitstellung der nach Art. 14 EU-Datenschutz-Grundverordnung („DSGVO“) erforderlichen Informationen.

Informationen darüber, wie der Händler und andere an der Durchführung des Zahlungsvorgangs beteiligte Akteure, wie z.B. Ihre Bank, die Bank des Händlers sowie ggf. der vom Händler genutzte Acquirer / der vom Händler genutzte Netzbetreiber oder Kreditkartenunternehmen personenbezogene Daten über Ihre Person verarbeiten, entnehmen Sie bitte den Datenschutzerklärungen oder sonstigen datenschutzrechtlichen Informationsmaterialien der vorgenannten Stellen.

1. Wer ist für die Verarbeitung meiner Daten verantwortlich? Wie kann ich die Verantwortlichen kontaktieren?

Datenschutzrechtlich Verantwortlicher im Sinne des Art. 4 Nr. 7 DSGVO für die Verarbeitung Ihrer personenbezogenen Daten ist:

siehe Impressum

Falls Sie Fragen hinsichtlich der Verarbeitung Ihrer personenbezogenen Daten haben, können Sie sich direkt an unsere Beauftragten für den Datenschutz wenden:

Datenschutzbeauftragte/r VR Payment
Platz der Republik
60325 Frankfurt am Main
E-Mail: datenschutz@vr-payment.de

 

2. Welche meiner personenbezogenen Daten werden verarbeitet?

Wenn Sie mit Ihrer Karte oder bei Nutzung eines alternativen Zahlverfahrens mit Ihrem jeweiligen Account/Wallet/Konto bezahlen, erhebt der Händler personenbezogene Daten mittels einem eigenen oder durch uns bereitgestellten Zahlungsformular. Er übermittelt die Daten an uns, d.h. den Netzbetreiber und/oder den Zahlungsdienstleister zur Annahme und Abrechnung der Zahlungsvorgänge (Acquirer). In diesem Zusammenhang werden folgende personenbezogene Daten – abhängig von dem von Ihnen gewählten Zahlverfahren – erhoben:

 

2.1. Lastschriftverfahren

• Kontodaten: IBAN bzw. Kontonummer, BIC
• Zahlungsdaten: Betrag, Währung, Datum, Uhrzeit, Name/ID des Händlers
• Im Falle einer Rücklastschrift: technische Informationen zur Rücklastschrift, einschließlich des Grundes für die Nichteinlösung (z.B. unzureichende Kontodeckung oder falsche Kontodaten) sowie, im Rahmen der Wahrnehmung unserer Rolle als Forderungserwerber im Falle der Rücklastschrift, weitere inhaltliche Informationen über die Rücklastschrift, einschließlich Ihren Vor- und Nachnamen und Ihre Adresse, Bankgebühren, Mahngebühren Kundennummer bei Ihrer Vertragspartei (nicht der Inhalt Ihrer Einkäufe)
• Mandatsdaten: Mandatsreferenz, Datum der Mandatserteilung, ggf. Angaben zur Autorisierung des Lastschriftmandats (bei wiederkehrenden Zahlungen), Name und Anschrift des Käufers.

 

2.2. Kreditkarte

• Kartendaten: Vor- und Nachname des Karteninhabers, Kartennummer, Kartentyp (z.B. VISA, Mastercard, American Express), Ablaufdatum
• Stammdaten: Adresse sowie Telefonnummer oder E-Mail-Adresse des Karteninhabers
• Zahlungsdaten: Betrag, Währung, Datum, Uhrzeit, Name/ID des Händlers, Prüfdaten Ihres kartenausgebenden Instituts ("EMV-Daten")
• Im Falle einer Rückabwicklung (Chargeback): Informationen zum Chargeback, einschließlich spezifischer Gründe für die Rückbuchung (wie betrügerische Aktivitäten, doppelte Abbuchungen, nicht gelieferte Ware oder Dienstleistungen, falsche Beträge, oder Stornierungen) sowie Ihren Namen und Adresse, soweit diese Daten für die Bearbeitung des Chargebacks erforderlich sind

 

2.3. WERO

• Zahlungsdaten: Betrag, Währung, Datum, Uhrzeit, Wallet ID des Zahlungsempfängers
• Im Falle einer Rückabwicklung (Chargeback): Informationen zum Chargeback, einschließlich spezifischer Gründe für die Rückbuchung (wie betrügerische Aktivitäten, doppelte Abbuchungen, nicht gelieferte Ware oder Dienstleistungen, falsche Beträge, oder Stornierungen) sowie Ihren Namen und Adresse, soweit diese Daten für die Bearbeitung des Chargebacks erforderlich sind

 

2.4. Alternative Zahlverfahren (WeChat Pay, AliPay)

• Zahlungs- und Transaktionsdaten
• Im Falle einer Rückabwicklung (Chargeback): Informationen zum Chargeback, einschließlich spezifischer Gründe für die Rückbuchung (wie betrügerische Aktivitäten, doppelte Abbuchungen, nicht gelieferte Ware oder Dienstleistungen, falsche Beträge, oder Stornierungen) sowie Ihren Namen und Adresse, soweit diese Daten für die Bearbeitung des Chargebacks erforderlich sind

 

3. Aus welchen Quellen stammen meine personenbezogenen Daten?

Wir erheben die oben unter Ziffer 2 genannten personenbezogenen Daten regelmäßig von dem Händler, bei dem Sie einkaufen oder von Ihnen selbst, wenn dies durch den Händler technisch so eingestellt wurde und Sie Ihre Daten direkt in unsere Formulare eingeben. Die unter Ziffer 2.1 c) und 2.2 c) genannten Daten, insbesondere Ihren Namen und Ihre Adresse, können wir von Dritten erhalten, insbesondere aus öffentlich zugänglichen Quellen (z.B. Schuldnerverzeichnisse), von Ihrer kartenausgebenden Bank oder der kontoführenden Bank oder von einer Kreditauskunftei.

 

4. Für welche Zwecke und auf welchen Rechtsgrundlagen werden meine personenbezogenen Daten verarbeitet?

4.1. Vertragsdurchführung

Wir verarbeiten Ihre personenbezogenen Daten, soweit dies erforderlich ist, um die von Ihnen an den Händler initiierte Zahlung, einschließlich wiederkehrender Zahlungen, wie etwa bei Abonnements, mittels des von Ihnen ausgewählten Zahlverfahrens ordnungsgemäß für unsere Händler abzuwickeln. Dabei stützen wir uns auf die Erforderlichkeit der Verarbeitung Ihrer personenbezogenen Daten für die Durchführung des Kauf- bzw. Dienstleistungsvertrags zwischen Ihnen und dem Händler (Art. 6 Abs. 1, lit. b) DSGVO). Dies umfasst bei SEPA-Lastschriftverfahren auch die Verarbeitung von Informationen zum erteilten Lastschriftmandat (z. B. Mandatsreferenz, Datum der Erteilung), insbesondere im Fall wiederkehrender Zahlungen.

 

4.2. Einhaltung gesetzlicher Pflichten

Wir verarbeiten Ihre personenbezogenen Daten, soweit dies zur Sicherstellung und Dokumentation der Einhaltung gesetzlicher Pflichten erforderlich ist. Dazu zählen insbesondere, soweit anwendbar, die Pflichten bzgl. der sicheren Übertragung Ihrer Daten gem. den gesetzlichen Bestimmungen für SEPA-Zahlungen (gem. §§ 25a KWG, 27 ZAG) und gem. den Anforderungen der EU-Geldtransfer- und Krypto-Transferverordnung (Verordnung (EU) 2023/1113) sowie unsere Acquirer-spezifischen Pflichten der Belegarchivierung (gem. § 257 Abs. 1, Nr. 4 HGB, § 147 Abs. 1, Nr. 4 AO. Dabei stützen wir uns auf die Erforderlichkeit der Verarbeitung Ihrer personenbezogenen Daten zur Einhaltung der vorgenannten gesetzlichen Pflichten (Art. 6 Abs. 1, lit. c) DSGVO).  

 

4.3. Betrugsbekämpfung und Risikomanagement

Wir verarbeiten Ihre personenbezogenen Daten, insbesondere Zahlungsdaten, zum Zweck der Betrugsprävention sowie zur Durchführung von Risikomanagementmaßnahmen. Dies umfasst die Erkennung, Analyse und Bewertung potenziell betrügerischer oder missbräuchlicher Transaktionen sowie den Abgleich mit internen und externen Warnsystemen. Rechtsgrundlage für diese Verarbeitung ist unser berechtigtes Interesse gemäß Art. 6 Abs. 1 lit. f) DSGVO, Zahlungsausfälle und Missbrauch unserer Systeme zu verhindern, die Integrität des Zahlungsverkehrs sicherzustellen und finanzielle sowie rechtliche Risiken für uns und unsere Vertragspartner zu minimieren.

 

4.4. Rücklastschriften

Soweit wir als Netzbetreiber im Falle von Rücklastschriften Forderungen vom Händler erwerben, verarbeiten wir Ihre personenbezogenen Daten, insbesondere die unter Ziffer 2.1 c) genannten Daten, soweit dies zur Forderungsbeitreibung nach einer Rücklastschrift erforderlich ist. Dabei stützen wir uns auf die Erforderlichkeit der Verarbeitung Ihrer personenbezogenen Daten zur Durchführung des Vertragsverhältnisses, das durch den Forderungserwerb auf uns übergegangen ist (Art. 6 Abs. 1 lit. b) DSGVO).  

 

4.5. Gebührenabrechnung

Soweit wir als Acquirer tätig werden, verarbeiten wir Ihre personenbezogenen Daten, soweit dies erforderlich ist, zur Wahrung unserer berechtigten Interessen an der ordnungsgemäßen Abrechnung der für Kredikartenzahlungen anfallenden Gebühren, die der Händler Ihrem kartenausgebenden Institut schuldet (Art. 6 Abs. 1, lit. f) DSGVO).

 

4.6. Chargebacks

Soweit wir als Acquirer tätig werden, verarbeiten wir Ihre personenbezogenen Daten, insbesondere die unter Ziffer 2.2 c) genannten Daten, im Falle eines Chargebacks bei Kreditkartenzahlung, um die Transaktion zu überprüfen und den Chargeback-Prozess abzuwickeln. Dies umfasst die Kommunikation mit dem Händler und der Bank des Karteninhabers sowie die Prüfung und Dokumentation der vorgelegten Beweise. Die Verarbeitung erfolgt auf Grundlage unserer berechtigten Interessen gem. Art. 6 Abs. 1 lit. f) DSGVO, um die Sicherheit und Integrität der Zahlungstransaktionen zu gewährleisten und Betrug zu verhindern.

 

4.7. Systemsicherheit

Wir verarbeiten Ihre Daten zudem, um unsere IT-Infrastruktur zu schützen und Cyberangriffe zu erkennen, zu verfolgen und zu verhindern. Diese Verarbeitungen stützen wir auf unsere berechtigten Interessen sowie die berechtigten Interessen unserer Händler und Vertragspartner, die Sicherheit unserer Dienstleistungen und IT-Infrastruktur zu gewährleisten (Art. 6 Abs. 1, lit. f) DSGVO).

 

5. An wen werden meine personenbezogenen Daten weitergegeben?

Wir geben Ihre Daten nur an andere Stellen weiter, soweit dies zur Erreichung der oben unter Ziffer 4 genannten Verarbeitungszwecke erforderlich ist. Insbesondere kann es sein, dass wir Ihre Daten nach dieser Maßgabe an folgende Empfänger weitergeben:

• Ihre kartenausgebende Bank
• die kontoführende Bank
• die von der Deutschen Kreditwirtschaft zwischengeschalteten Stellen, die das Clearing und Settlement von Zahlungen übernehmen
• Kreditkartengesellschaften
• Betreiber alternativer Zahlverfahren
• Strafverfolgungsbehörden in den gesetzlich vorgesehenen Fällen
• Geldwäschemeldestellen in den gesetzlich vorgesehenen Fällen
• Im Fall einer Rücklastschrift, zur Adressermittlung anhand der Kontonummer und der Bankleitzahl (IBAN): der kontoführende Zahlungsdienstleister oder alternativ eine Kreditauskunftei wie z.B.  die SCHUFA Holding AG
• mit uns verbundene Unternehmen innerhalb unserer Unternehmensgruppe
• Zudem kann es sein, dass wir Ihre Daten an von uns genutzte Dienstleister weitergeben, die in unserem Auftrag und nach unseren Weisungen tätig werden (Auftragsverarbeiter). Diese unterstützen uns, u.a., bei der Bereitstellung und dem Betrieb unserer Unternehmens-IT sowie ggf. bei der Durchführung geldwäscherechtlicher Prozesse.

 

6. Werden meine personenbezogenen Daten außerhalb der EU und des EWR verarbeitet?

Die oben unter Ziffer 5. genannten Empfänger Ihrer personenbezogenen Daten können sich teilweise in Ländern außerhalb der Europäischen Union (EU) bzw. des Europäischen Wirtschaftsraumes (EWR), sogenannten Drittländern, befinden. Sofern wir Ihre personenbezogenen Daten an Empfänger in Drittländern oder an internationale Organisationen übermitteln, die kein Datenschutzniveau gewährleisten, das von der Europäischen Kommission im Rahmen eines Angemessenheitsbeschlusses gemäß Art. 45 DSGVO als angemessen erachtet wurde, haben wir durch angemessene Schutzmaßnahmen sichergestellt, dass Ihre Daten stets angemessen und gemäß den etwaigen drohenden Risiken geschützt werden. Dies erfolgt insbesondere durch die Vereinbarung der von der EU-Kommission genehmigten Standardvertragsklauseln (gem. Art. 46 Abs. 2 lit. c) DSGVO) sowie, soweit erforderlich, durch die Umsetzung von ergänzenden Maßnahmen, wie zusätzlicher technischer, organisatorischer und vertraglicher Schutzmaßnahmen. Falls in besonderen Konstellationen angemessene Schutzmaßnahmen nicht abgeschlossen werden können, erfolgt eine Übermittlung in Drittländer ohne Angemessenheitsbeschluss nur auf der Grundlage einer gesetzlichen Ausnahme im Sinne von Art. 49 DSGVO. Eine Kopie der von uns getroffenen Maßnahmen sowie weitere Informationen zu den Empfängern und Drittländern können Sie auf Anfrage unter den in Ziffer 1 genannten Kontaktdaten erhalten.

 

7. Wie lange werden meine personenbezogenen Daten gespeichert?

Ihre Daten werden grundsätzlich nur so lange gespeichert, wie dies für die jeweils unter Ziffer 4 aufgeführten Zwecke erforderlich ist. In der Regel werden Ihre Daten zur Einhaltung handels- und steuerrechtlicher Aufbewahrungspflichten für eine Dauer von bis zu 10 Jahren aufbewahrt. Danach werden Ihre Daten gelöscht, es sei denn, dass im Einzelfall einer Löschung gesetzliche Aufbewahrungspflichten entgegenstehen oder eine längere Speicherung im konkreten Fall zur Erfüllung sonstiger rechtlicher Verpflichtungen oder zur Wahrung berechtigter Interessen (Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen) erforderlich ist.

 

8. Findet eine automatisierte Entscheidungsfindung statt? Wie werden meine personenbezogenen Daten geschützt?

Eine ausschließlich auf einer automatisierten Verarbeitung beruhenden Entscheidungsfindung findet nicht statt. Wir treffen technische und organisatorische Maßnahmen gemäß den Anforderungen von Art. 32 DSGVO zum Schutz Ihrer personenbezogenen Daten.

 

9. Welche Rechte habe ich in Bezug auf die Verarbeitung meiner personenbezogenen Daten und wie kann ich diese ausüben?

Nach Maßgabe der gesetzlichen Bestimmungen haben Sie gegenüber unserem Unternehmen als für die Verarbeitung Ihrer personenbezogenen Daten Verantwortlicher das Recht:

• Auskunft über die von Ihnen verarbeiteten personenbezogenen Daten sowie eine Kopie dieser Daten zu verlangen (Recht auf Auskunft);
• die Berichtigung unrichtiger Daten und, unter Berücksichtigung der Zwecke der Verarbeitung, die Vervollständigung unvollständiger Daten zu verlangen (Recht auf Berichtigung);
• bei Vorliegen berechtigter Gründe die Löschung Ihrer Daten zu verlangen (Recht auf Löschung; "Recht auf Vergessen werden");
• die Einschränkung der Verarbeitung Ihrer Daten zu verlangen, sofern die gesetzlichen Voraussetzungen gegeben sind (Recht auf Einschränkung der Verarbeitung);
• bei Vorliegen der gesetzlichen Voraussetzungen die von Ihnen bereitgestellten Daten in einem strukturierten, gängigen und maschinenlesbaren Format zu erhalten und diese Daten an einen anderen Verantwortlichen zu übermitteln oder, soweit dies technisch machbar ist, von uns übermitteln zu lassen (Recht auf Datenübertragbarkeit).
• Sie haben ferner das Recht, einer Verarbeitung Ihrer Daten aus Gründen, die sich aus Ihrer besonderen Situation ergeben, nach Maßgabe der gesetzlichen Bestimmungen zu widersprechen (Widerspruchsrecht). Werden personenbezogene Daten verarbeitet, um Direktwerbung zu betreiben – was vorliegend nicht stattfindet – haben Sie das Recht dieser Verarbeitung jederzeit zu widersprechen, ohne dass es hierfür besonderer Gründe bedürfte.

Bitte nutzen Sie zur Ausübung Ihrer Rechte die unter Ziffer 1. aufgeführten Kontaktdaten. Zudem haben Sie unbeschadet sonstiger Rechtsbehelfe jederzeit das Recht, eine Beschwerde bei einer Aufsichtsbehörde einzureichen.