Datenschutz
Wir freuen uns über Ihren Besuch unserer Webseite. Im Folgenden möchten wir Sie gerne darüber informieren, welche personenbezogenen Daten wir erheben, zu welchen Zwecken wir Ihre personenbezogenen Daten verarbeiten und welche Rechte Ihnen zustehen.
Begriffsbestimmung
Nach dem Vorbild des Art. 4 DS-GVO liegen dieser Datenschutzerklärung folgende Begriffsbestimmungen zugrunde:
– „Personenbezogene Daten" (Art. 4 Nr. 1 DS-GVO) sind alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person ("Betroffener") beziehen. Identifizierbar ist eine Person, wenn sie direkt oder indirekt, insbesondere mittels Zuordnung zu einer Kennung wie einem Namen, einer Kennnummer, einer Online-Kennung, Standortdaten oder mithilfe von Informationen zu ihren physischen, physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identitätsmerkmalen identifiziert werden kann. Die Identifizierbarkeit kann auch mittels einer Verknüpfung von derartigen Informationen oder anderem Zusatzwissen gegeben sein. Auf das Zustandekommen, die Form oder die Verkörperung der Informationen kommt es nicht an (auch Fotos, Video- oder Tonaufnahmen können personenbezogene Daten enthalten).
– „Verarbeiten" (Art. 4 Nr. 2 DS-GVO) ist jeder Vorgang, bei dem mit personenbezogenen Daten umgegangen wird, gleich ob mit oder ohne Hilfe automatisierter (d.h. technikgestützter) Verfahren. Dies umfasst insbesondere das Erheben (d.h. die Beschaffung), das Erfassen, die Organisation, das Ordnen, die Speicherung, die Anpassung oder Veränderung, das Auslesen, das Abfragen, die Verwendung, die Offenlegung durch Übermittlung, die Verbreitung oder sonstige Bereitstellung, den Abgleich, die Verknüpfung, die Einschränkung, das Löschen oder die Vernichtung von personenbezogenen Daten sowie die Änderung einer Ziel- oder Zweckbestimmung, die einer Datenverarbeitung ursprünglich zugrunde gelegt wurde.
– „Verantwortlicher" (Art. 4 Nr. 7 DS-GVO) ist die natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet.
– „Dritter" (Art. 4 Nr. 10 DS-GVO) ist jede natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle außer dem Betroffenen, dem Verantwortlichen, dem Auftragsverarbeiter und den Personen, die unter der unmittelbaren Verantwortung des Verantwortlichen oder Auftragsverarbeiters befugt sind, die personenbezogenen Daten zu verarbeiten; dazu gehören auch andere konzernangehörige juristische Personen.
– „Auftragsverarbeiter" (Art. 4 Nr. 8 DS-GVO) ist eine natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die personenbezogene Daten im Auftrag des Verantwortlichen, insbesondere gemäß dessen Weisungen, verarbeitet (z.B. IT-Dienstleister). Im datenschutzrechtlichen Sinne ist ein Auftragsverarbeiter insbesondere kein Dritter.
– „Einwilligung" (Art. 4 Nr. 11 DS-GVO) der betroffenen Person bezeichnet jede freiwillig für den bestimmten Fall, in informierter Weise und unmissverständlich abgegebene Willensbekundung in Form einer Erklärung oder einer sonstigen eindeutigen bestätigenden Handlung, mit der die betroffene Person zu verstehen gibt, dass sie mit der Verarbeitung der sie betreffenden personenbezogenen Daten einverstanden ist.
Verantwortliche Stelle:
Halteverbot einrichten HAMBURG
Betrieben von: Maler Matthias e.K.
Inhaber: Sven Matthias
Borselstraße 9
22765 Hamburg
Telefon 040 / 39 02 42 4
Telefax 040 / 39 02 15 6
E-Mail info@halteverbot-einrichten-hamburg.de
Datenschutzbeauftragter
Wir haben keinen Datenschutzbeauftragten bestellt, da wir gesetzlich hierzu nicht verpflichtet sind. Bei Fragen wenden Sie sich bitte an die verantwortliche Stelle.
Arten von verarbeiteten Daten
Bestandsdaten (Name, Adresse, etc.)
Kontaktdaten (E-Mail, Telefonnummer, etc.).
Meta- / Kommunikationsdaten / Nutzungsdaten (IP-Adresse, Betriebssystem, etc.).
Betroffenenrechte
Recht auf Auskunft (Art. 15 DSGVO)
Sie haben das Recht, von uns eine Bestätigung darüber zu verlangen, ob wir personenbezogene Daten von Ihnen verarbeiten. Ist dies der Fall, haben Sie ein Recht auf Auskunft über diese personenbezogenen Daten und auf die in Art. 15 Abs. 1 DSGVO genannten Informationen.
Recht auf Berichtigung (Art. 16 DSGVO)
Sollten wir unrichtige personenbezogene Daten von Ihnen verarbeiten, haben Sie das Recht Berichtigung dieser unrichtigen Daten zu verlangen. Daneben haben Sie das Recht, die Vervollständigung unvollständiger personenbezogener Daten zu verlangen.
Recht auf Löschung (Art. 17 DSGVO)
Sofern einer der in Art. 17 Abs. 1 DSGVO genannten Gründe zutrifft, haben Sie das Recht die unverzügliche Löschung Ihrer personenbezogenen Daten zu verlangen. Dies gilt nicht, soweit einer der in Art. 17 Abs. 3 DSGVO genannten Gründe vorliegt.
Recht auf Einschränkung der Verarbeitung (Art. 18 DSGVO)
Soweit eine der in Art. 18 Abs. 1 DSGVO genannten Voraussetzungen vorliegt, haben Sie das Recht die Einschränkung der Verarbeitung Ihrer Daten zu verlangen.
Widerspruchsrecht gegen die Verarbeitung (Art. 21 DSGVO)
Sollten wir personenbezogene Daten von Ihnen aufgrund Art. 6 Abs. 1 lit. e) oder f) DSGVO verarbeiten, haben Sie gemäß Art. 21 Abs. 1 DSGVO das Recht, aus Gründen, die sich aus Ihrer besonderen Situation ergeben, gegen diese Verarbeitung zu widersprechen.
Recht auf Datenübertragbarkeit (Art. 20 DSGVO)
Sie haben das Recht, sofern die Voraussetzungen nach Art. 20 Abs. 1 DSGVO vorliegen, die Sie betreffenden personenbezogenen Daten, die Sie uns bereitgestellt haben, in einem strukturierten, gängigen und maschinenlesbaren Format zu erhalten, und Sie haben das Recht, diese Daten einem anderen Verantwortlichen ohne Behinderung durch uns, zu übermitteln.
Recht die Einwilligung jederzeit zu widerrufen (Art. 7 Abs. 3 DSGVO)
Sie haben das Recht, Ihre Einwilligung jederzeit zu widerrufen. Die Rechtmäßigkeit, der aufgrund der Einwilligung bis zum Widerruf erfolgten Verarbeitung wird dadurch nicht berührt.
Beschwerderecht bei einer Aufsichtsbehörde (Art. 77 DSGVO)
Sie können sich mit etwaigen Beschwerden über die Verarbeitung Ihrer personenbezogenen Daten auch an eine Datenschutzaufsichtsbehörde wenden. Zuständig für die verantwortliche Stelle ist der
Der Hamburgischer Beauftragte für Datenschutz und Informationsfreiheit
Ludwig-Erhard-Str 22, 7. OG
20459 Hamburg
Tel.: 040 / 428 54 - 4040
Fax: 040 / 428 54 - 4000
E-Mail: mailbox@datenschutz.hamburg.de
Sie können Ihre Beschwerde jedoch grundsätzlich an jede Datenschutz-Aufsichtsbehörde richten, insbesondere auch an die Aufsichtsbehörde Ihres eigenen Aufenthalts- bzw. Arbeitsortes oder des Orts des mutmaßlichen Verstoßes.
Bestehen einer automatisierten Entscheidungsfindung einschließlich Profiling (Art. 13 Abs. 2 lit. f), Art. 22 Abs. 1, 4 DSGVO)
Eine automatisierte Entscheidungsfindung einschließlich Profiling (Art. 13 Abs. 2 lit. f), Art. 22 Abs. 1, 4 DSGVO) findet bei uns nicht statt.
Besuch unserer Webseite
Bei der informatorischen Nutzung der Webseiten werden die folgenden Kategorien personenbezogener Daten von uns erhoben, gespeichert und weiterverarbeitet:
„Protokolldaten": Wenn Sie unsere Webseiten besuchen, wird auf unserem Webserver temporär und anonymisiert ein sogenannter Protokolldatensatz (sog. Server-Logfiles) gespeichert. Dieser besteht aus:
- der Seite, von der aus die Seite angefordert wurde (sog. Referrer-URL)
- dem Name und URL der angeforderten Seite
- dem Datum und der Uhrzeit des Aufrufs
- der Beschreibung des Typs, Sprache und Version des verwendeten Webbrowsers
- der IP-Adresse des anfragenden Rechners, die so verkürzt wird, dass ein Personenbezug nicht mehr herstellbar ist
- der übertragenen Datenmenge
- dem Betriebssystem
- der Meldung, ob der Aufruf erfolgreich war (Zugriffsstatus/Http-Statuscode)
- der GMT-Zeitzonendifferenz
Die Verarbeitung der Protokolldaten dient statistischen Zwecken und der Verbesserung der Qualität unserer Webseite, insbesondere der Stabilität und der Sicherheit der Verbindung (Rechtsgrundlage ist Art. 6 Abs. 1 S. 1 lit. a) oder f) DSGVO).
Speicherung bzw. Löschung von Daten
Für die von uns vorgenommenen Verarbeitungsvorgänge geben wir im Folgenden jeweils an, wie lange die Daten bei uns gespeichert und wann sie gelöscht oder gesperrt werden. Soweit nachfolgend keine ausdrückliche Speicherdauer angegeben wird, werden Ihre personenbezogenen Daten gelöscht oder gesperrt, sobald der Zweck oder die Rechtsgrundlage für die Speicherung entfällt.
Eine Speicherung kann jedoch über die angegebene Zeit hinaus im Falle einer (drohenden) Rechtsstreitigkeit mit Ihnen oder eines sonstigen rechtlichen Verfahrens erfolgen oder wenn die Speicherung durch gesetzliche Vorschriften, denen wir als Verantwortlicher unterliegen (z.B. § 257 HGB, § 147 AO), vorgesehen ist. Wenn die durch die gesetzlichen Vorschriften vorgeschriebene Speicherfrist abläuft, erfolgt eine Sperrung oder Löschung der personenbezogenen Daten, es sei denn, dass eine weitere Speicherung durch uns erforderlich ist und dafür eine Rechtsgrundlage besteht.
Cookies
Um den Besuch unserer Webseite attraktiv zu gestalten und die Nutzung bestimmter Funktionen zu ermöglichen, verwenden wir auf verschiedenen Seiten sogenannte Cookies. Hierbei handelt es sich um kleine Textdateien, die auf Ihrem Endgerät abgelegt werden. Einige der von uns verwendeten Cookies werden nach dem Ende der Browser-Sitzung, also nach Schließen Ihres Browsers, wieder gelöscht (sog. Sitzungs-Cookies). Andere Cookies verbleiben auf Ihrem Endgerät und ermöglichen uns, Ihren Browser beim nächsten Besuch wiederzuerkennen (sog. persistente Cookies).
Sie können Ihren Browser so einstellen, dass Sie über das Setzen von Cookies informiert werden und einzeln über deren Annahmen entscheiden oder die Annahme von Cookies für bestimmte Fälle oder generell ausschließen. Bei der Nichtannahme von Cookies kann die Funktionalität unserer Webseite eingeschränkt sein.
Zweck der Verarbeitung ist demnach die optimale Nutzung und Funktionsweise unserer Webseite und die Zurverfügungstellung erforderlicher Dienste. Rechtsgrundlage für technisch nicht notwendige Cookies ist Ihre Einwilligung gemäß Art. 6 Abs. 1 lit. a) DSGVO, die wir über unser sog. „Cookie-Banner“ einholen. Näheres hierzu finden Sie auch in unserem Consent-Tool, das wir zur Einholung Ihrer Einwilligung verwenden.
Verarbeitungsvorgänge
In folgenden Vorgängen werden personenbezogene Daten verarbeitet. Die Bereitstellung der Daten ist weder gesetzlich noch vertraglich vorgeschrieben:
Hosting
Wir hosten unsere Webseite beim Anbieter united-domains AG, Gautinger Straße 10, 82319 Starnberg. Beim Besuch unserer Webseite werden die weiter oben („Besuch unserer Webseite“) angegeben Daten an die Server des von uns eingesetzten Hosters übermittelt.
Kontaktformular / Anfrage per Telefon oder E-Mail
Sollten Sie uns über das auf unserer Webseite bereitgestellte Kontaktformular kontaktieren, werden die dort von Ihnen eingetragenen Daten verarbeitet.
Zweck der Verarbeitung ist die Beantwortung Ihrer Anfrage und die Erfüllung etwaiger (vor-) vertraglicher Verpflichtungen. Rechtsgrundlage ist eine (konkludente) Einwilligung gemäß Art. 6 Abs. 1 lit. a) DSGVO sowie ggf. Art. 6 Abs. 1 lit. b) DSGVO.
Die Daten werden von uns so lange gespeichert, wie dies für die Beantwortung Ihrer Anfrage oder zur Erfüllung von (vor-)vertraglichen oder gesetzlichen Verpflichtungen notwendig ist.
Selbiges gilt auch entsprechend für die telefonische Kontaktaufnahme und für den Kontakt per E-Mail.
Google Tag Manager
Wir verwenden auf dieser Website den Dienst „Google Tag Manager“. Dieser Dienst wird angeboten von Google Ireland Limited, Gordon House, Barrow Street, Dublin 4, Irland.
Bei diesem Dienst handelt es sich um ein Tool, durch das wir Tracking- oder Statistik-Tools, sowie andere Technologien auf unserer Website einbinden können. Google Tag Manager erstellt keine Nutzerprofile, speichert keine Cookies und nimmt keine eigenständigen Analysen vor. Google Tag Manager dient der Verwaltung und Ausspielung der eingebundenen Tools. Dabei erfasst Google Tag Manager Ihre IP-Adresse, die auch an das Mutterunternehmen Google in den USA weitergeleitet werden kann.
Rechtsgrundlage für den Einsatz von Google Tag Manager ist Art. 6 Abs. 1, lit. a), lit. f) DSGVO. Der Websitebetreiber hat ein berechtigtes Interesse an einer schnellen und unkomplizierten Einbindung und Verwaltung verschiedener Tools auf seiner Website. Sofern eine entsprechende Einwilligung abgefragt wurde, erfolgt die Verarbeitung ausschließlich auf der Grundlage Ihrer Einwilligung. Die Einwilligung ist jederzeit widerrufbar.
Bei dem Einsatz von Google Tags Manager werden ggfs. personenbezogenen Daten in die USA übermittelt. Da es sich bei dem Mutterunternehmen (von Google Ireland) um ein US-Unternehmen handelt, findet eine Datenübermittlung an Drittländer statt (Art. 44 ff. DSGVO), oder ist zumindest nicht ausgeschlossen. Die USA sind aus datenschutzrechtlicher Sicht ein unsichereres Drittland. Für die USA besteht weder ein Angemessenheitsbeschluss der EU noch sonstige geeignete Garantien. In den USA besteht derzeit kein der EU gleichwertiges Datenschutzniveau, weshalb Ihre personenbezogenen Daten schlechter geschützt sind und dadurch ein Risiko für Ihre Rechte und Freiheiten besteht. Insbesondere sind wegen der Gesetzeslage in den USA nicht ausgeschlossen, dass staatliche Stellen Zugriffsmöglichkeiten auf die in die USA übermittelten oder von US-Unternehmen verarbeiteten/gespeicherten Daten erhalten. Eine solche gesetzliche Grundlage für US-Behörden bildet Abschnitt 702 des Foreign Intelligence Surveillance Act („FISA“, zu Deutsch etwa „Gesetz zur Überwachung in der Auslandsauflärung“, ein Gesetz, dass die Auslandsaufklärung und Spionageabwehr der Vereinigten Staaten regelt).
Neben dieser gesetzlichen Regelung unterliegen US-Unternehmen aus dem Telekommunikationssektor und „remote-computing services“ (insbesondere Cloudanbieter fallen hierunter) dem sogenannten „Cloud-Act“ (Clarifying Lawful Overseas Use of Data Act). Hierbei handelt es sich um eine gesetzliche Klarstellung, wonach die Zugriffsrechte auch dann gelten, wenn diese Daten außerhalb der USA verarbeitet werden, sofern die Daten von US-Unternehmen kontrolliert werden.
Sofern US-Behörden auf Grund dieser in den USA aktuell geltenden Rechtslage Zugriff auf Ihre Daten erhalte, steht Ihnen als EU-Bürger keine effektive Rechtsschutzmöglichkeit zur Verfügung. Das Risiko bei dieser Verarbeitung liegt demnach insbesondere beim Fehlen durchsetzbarer Rechte und wirksamer Rechtsbehelfe gegen den Zugriff und die Verarbeitung durch US-Behörden.
Sofern Sie Ihre Einwilligung erteilen, tuen Sie die in Kenntnis der soeben dargestellten Risiken. Ihre Einwilligung ist gem. Art. 49 Abs. 1 a) DSGVO die Rechtsgrundlage für die Datenübermittlung in ein Drittland.
Facebook Pixel
Weiterhin verwendet die Website Werbemaßnahmen der Facebook Inc. („Facebook“). Durch die Einbindung des sog. „Facebook Pixel“ auf unserer Website können wir Nutzern unserer Website und des sozialen Netzwerkes Facebook unsere Werbemaßnahmen („Facebook-Ads“) anzeigen und die Erfolge messen und bewerten („Conversion Tracking“). Diese Verbindung von Facebook und unserer Website erfolgt technisch über das „Facebook Pixel“. Rechtsgrundlage für die Verarbeitung Ihrer Daten ist Art. 6 Abs. 1 S. 1 lit. a) DSGVO, d. h. die Einbindung erfolgt nur nach Ihrer Einwilligung.
Aufgrund der eingesetzten Marketing-Tools baut Ihr Browser bei Besuch unserer Website automatisch eine direkte Verbindung mit dem Server von Facebook auf. Wir haben keinen Einfluss auf den Umfang und die weitere Verwendung der Daten, die durch den Einsatz dieses Tools durch Facebook erhoben werden und stellen Ihnen daher die uns bekannten Vorgänge vor: Durch die Einbindung des Facebook Pixels erhält Facebook die Information, dass Sie die entsprechende Webseite unseres Internetauftritts aufgerufen haben, oder eine Anzeige von uns angeklickt haben. Sofern Sie bei einem Dienst von Facebook registriert sind, kann Facebook den Besuch Ihrem Account zuordnen. Selbst wenn Sie nicht bei Facebook registriert sind bzw. sich nicht eingeloggt haben, besteht die Möglichkeit, dass der Anbieter Ihre IP-Adresse und weitere Identifizierungsmerkmale in Erfahrung bringt und zur Profilbildung nutzt.
Die erhobenen Informationen werden auf Servern von Facebook, auch in den USA, gespeichert. Wir haben zudem sog. Standarddatenschutzklauseln mit Facebook vereinbart, deren Zweck die Einhaltung eines angemessenen Datenschutzniveaus im Drittland ist. Dennoch handelt es sich bei den USA um ein datenschutzrechtlich unsicheres Drittland.
Für die USA besteht derzeit weder ein Angemessenheitsbeschlusses der EU noch sonstige geeignete Garantien. In den USA besteht derzeit kein der EU gleichwertiges Datenschutzniveau, weshalb Ihre personenbezogenen Daten schlechter geschützt sind und dadurch ein Risiko für Ihre Rechte und Freiheiten besteht. Insbesondere ist es wegen der Gesetzeslage in den USA nicht ausgeschlossen, dass staatliche Stellen Zugriffsmöglichkeiten auf, die in die USA übermittelten, oder von US-Unternehmen verarbeitete / gespeicherte, Daten erhalten. Eine solche gesetzliche Grundlage für US-Behörden bildet Abschnitt 702 des Foreign Intelligence Surveillance Act („FISA“, zu Deutsch etwa „Gesetz zur Überwachung in der Auslandsaufklärung“, ein Gesetz, das die Auslandsaufklärung und Spionageabwehr der Vereinigten Staaten regelt).
Neben dieser gesetzlichen Regelung unterliegen US-Unternehmen aus dem Telekommunikationssektor und „remote computing services“ (insbesondere Cloudanbieter fallen hierunter) dem sogenannten „Cloud-Act“ (Clarifying Lawful Overseas Use of Data Act). Hierbei handelt es sich um eine gesetzliche Klarstellung, wonach die Zugriffsrechte von US-Behörden auf personenbezogene Daten auch dann gelten, wenn diese Daten außerhalb der USA verarbeitet werden, sofern die Daten von US-Unternehmen kontrolliert werden.
Sofern US-Behörden auf Grund dieser in den USA aktuell geltenden Rechtslage Zugriff auf Ihre Daten erhalten, steht Ihnen als EU-Bürger keine effektive Rechtsschutzmöglichkeit zur Verfügung. Das Risiko bei dieser Verarbeitung liegt demnach insbesondere beim Fehlen durchsetzbarer Rechte und wirksamer Rechtsbehelfe gegen den Zugriff und die Verarbeitung durch US-Behörden.
Sofern Sie uns Ihre Einwilligung erteilen, tuen Sie dies in Kenntnis der soeben dargestellten Risiken. Ihre Einwilligung ist gemäß Art. 49 Abs. 1 lit. a) DSGVO die Rechtsgrundlage für die Datenübermittlung in ein Drittland.
Der Widerruf Ihrer Einwilligung ist jederzeit möglich, ohne dass davon die Zulässigkeit der Verarbeitung bis zum Widerruf berührt wird. Den Widerruf können Sie am einfachsten über unseren Consent-Manager durchführe. Zudem können (nur eingeloggte Nutzer) über die Funktion des Anbieters unter folgendem Link widersprechen: www.facebook.com/settings/?tab=ads#_.
Weitere Informationen zur Datenverarbeitung durch Facebook erhalten Sie unter Facebook Inc., 1601 S California Ave, Palo Alto, California 94304, USA; Datenschutzerklärung: www.facebook.com/about/privacy.
Zahlungsdienstleister
PayPal
Startdatum: 4. August 2022
Bitte kontaktieren Sie uns, wenn Sie Fragen zu dieser Datenschutzerklärung haben oder bei allgemeinen Fragen zu Ihren personenbezogenen Daten. Ihre Daten werden zur Bereitstellung der Dienste und in Übereinstimmung mit dieser Datenschutzerklärung und den entsprechenden PayPal-Nutzungsbedingungen verwendet.
Inhalt
2. Die Rolle von PayPal als Datenverantwortlicher.
4. Kategorien personenbezogener Daten, die wir über Sie erfassen
5. Welche personenbezogenen Daten werden verwendet und für welche Rechtsgrundlage?
6. Geben wir personenbezogene Daten weiter und warum?
7. Wie lange speichert PayPal Ihre personenbezogenen Daten?
8. Internationale Übermittlung personenbezogener Daten
9. Wie verwenden wir Cookies und Tracking-Technologien?
11. Spezifische Informationen über automatisierte Entscheidungsfindung und Profiling
12. Warum geben wir personenbezogene Daten an Kreditauskunfteien weiter?
13. Wie schützen wir Ihre personenbezogenen Daten?
14. Können Kinder unsere Dienste nutzen?
15. Aktualisierungen dieser Datenschutzerklärung.
16. Hinweis zu Bankvorschriften für Nutzer im EWR und im Vereinigten Königreich
1. Übersicht
Diese Datenschutzerklärung zielt darauf ab, Ihnen ausreichende Informationen über die Nutzung Ihrer personenbezogenen Daten zu bieten, wenn Sie unsere Website besuchen und unsere Dienste nutzen (zusammenfassend die „Dienste“). Wir empfehlen Ihnen, diese Datenschutzerklärung zu lesen und sie zu nutzen, um fundierte Entscheidungen zu treffen.
Bestimmte zentrale Begriffe, die in der Datenschutzerklärung nicht definiert sind, werden am Ende dieser Datenschutzerklärung in Abschnitt 17 („Begriffsbestimmungen“) erläutert.
2. Die Rolle von PayPal als Datenverantwortlicher
PayPal (Europe) S.a.r.l. et Cie, S.C.A. und PayPal Inc. sind die Datenverantwortlichen für die im Zusammenhang mit personenbezogenen Daten erfassten und verarbeiteten personenbezogenen Daten, die bei Ihrem Besuch auf unserer Website, während des Anmelde- und Antragsverfahrens und während Ihrer fortgesetzten Nutzung der Dienste im Europäischen Wirtschaftsraum (EWR), dem Vereinigten Königreich (UK) und der Schweiz erhalten wurden.
PayPal benutzt und verarbeitet weltweit personenbezogene Daten. In Verbindung mit diesen Diensten fungieren PayPal-Unternehmen (einschließlich PayPal (Europe) S.a.r.l. et Cie, S.C.A., PayPal, Inc., PayPal Pte. Ltd. und PayPal Charitable Giving Fund) auch als Datenverantwortliche und verarbeiten Ihre Daten in Übereinstimmung mit dieser Datenschutzerklärung.
Jede in dieser Datenschutzerklärung enthaltene Bezugnahme auf „wir“, „unser“, „uns“, „PayPal“ oder „PayPal-Unternehmen“ bezeichnet die Gruppe von Unternehmen, die jeweils direkt oder indirekt kontrollieren, kontrolliert werden oder sich in gemeinsamem Besitz befinden.
Einige der Dritten, an die wir personenbezogene Daten weitergeben, sind unabhängige Datenverantwortliche. Das bedeutet, dass wir nicht diejenigen sind, die bestimmen, wie die von uns weitergegebenen Daten verarbeitet werden. Beispiele sind Behörden, Kreditauskunfteien, Erwerber und andere Finanzinstitute. Wenn Ihre Daten an unabhängige Datenverantwortliche weitergegeben werden, gelten deren Datenrichtlinien. Wir empfehlen Ihnen, ihre Datenschutzerklärungen zu lesen und Ihre Datenschutzrechte zu kennen, bevor Sie mit ihnen interagieren.
Weitere Informationen darüber, wie wir Ihre personenbezogenen Daten bei der Übermittlung außerhalb des EWR, des Vereinigten Königreichs und der Schweiz schützen, finden Sie in Abschnitt 8 unter („Internationale Übermittlungen personenbezogener Daten“)
3. Nutzer ohne Konto
Auf unsere Dienste kann von Personen ohne PayPal-Konto oder -Profil zugegriffen werden. Wir erfassen personenbezogene Daten von Ihnen, auch wenn Sie kein Kontoinhaber sind, wenn Sie unsere Dienste nutzen, z. B. wenn Sie ohne PayPal-Konto bezahlen, markenlose Zahlungsdienste (z. B. Braintree) nutzen oder wenn Sie eine Zahlung über unsere Dienste von Kontoinhabern („Empfänger“) erhalten. Wir verwenden den Begriff „Benutzer“ für Konto- und Nicht-Kontoinhaber. Wenn Sie kein Kontoinhaber sind, werden Ihre personenbezogenen Daten zur Bereitstellung der Dienste und in Übereinstimmung mit dieser Datenschutzerklärung und der entsprechenden PayPal-Nutzungsbedingungen verwendet.
4. Kategorien von personenbezogenen Daten, die wir über Sie erfassen
Wir erfassen die folgenden Kategorien von Informationen über Sie, um unsere Dienste bereitzustellen, Ihre Benutzererfahrung kontinuierlich zu verbessern und unser Geschäft zu verwalten und zu verbessern. Die Arten von personenbezogenen Daten, die wir über Sie erheben, werden nachstehend beschrieben.
Kategorien personenbezogener Daten, die von Ihnen erhoben werden, einschließlich Ihrer Interaktionen mit uns und der Nutzung der Dienste:
Informationen zu Ihrer Registrierung und Kontaktinformationen. Abhängig von den von Ihnen gewählten Diensten erfassen wir Ihren Namen, Ihre Postanschrift, Ihr Einkommen, Ihre Telefonnummer, Ihre Steuernummer, Ihre Zahlungsinformationen, Ihre Berufs-, Beschäftigungs- oder Geschäftsinformationen und andere Informationen, die zur Einrichtung eines Kontos erforderlich sind.
Identifikationsdaten. Abhängig von den von Ihnen gewählten Diensten erfassen wir Informationen, um Ihren Namen, Ihre Adresse, Ihre E-Mail-Adresse, Ihre Telefonnummer, Ihren amtlichen Ausweis, Ihr Alter und Ihre biometrischen Daten zu überprüfen.
Zahlungsinformationen. Informationen wie Ihr Zahlungsinstrument, Ihre Karte oder Ihr Finanzierungskonto, die in Verbindung mit den Diensten verwendet werden, einschließlich Name des Ausstellers, Kartentyp, Ländercode, Zahlungskontonummer, CVV, Benutzername und IBAN-Informationen.
Informationen zu Ihren importierten Kontakten. Wenn Sie sich entscheiden, Ihre Kontaktlisten zu importieren, erfassen wir Informationen, die Sie über Ihre Kontakte eingeben oder importieren, wie Name, Adresse, Telefonnummer, Bilder, E-Mail-Adresse oder Benutzernamen, die mit den importierten oder manuell eingegebenen Kontakten verknüpft sind.
Informationen in Ihrem Kontoprofil. Informationen, die Sie freiwillig eingeben, wie Ihren Benutzernamen, Ihre E-Mail-Adresse, Ihre Handynummer, Ihr Profilbild, Ihr Geschlecht, Ihre bevorzugte Sprache oder Ihre persönliche Beschreibung, die sensible personenbezogene Daten enthalten können, die religiöse Überzeugungen, politische oder philosophische Ansichten, Behinderungen, sexuelle Orientierung sowie biometrische Daten preisgeben. Sie können Ihr Profil jederzeit auf „Privat“ setzen.
Informationen über Ihre Chat-Kommunikation. Informationen über Ihre Chat-Nachrichten mit anderen Benutzern und die Interaktion mit uns, einschließlich Benutzername, Name oder E-Mail-Adresse des Empfängers, Chat-Inhalte und Bilder, Audiodateien, Dokumente und Dateien, die Sie anhängen ("Nutzerinhalte"). Nutzerinhalte aus Ihren Chat-Nachrichten werden auf unseren Servern in einem verschlüsselten Format gespeichert.
Informationen, die Sie angeben, wenn Sie uns kontaktieren. Informationen, die Sie offenlegen, wenn Sie an Umfragen teilnehmen oder unsere Kundendienstteams kontaktieren, wie z. B. von Ihnen genutzte Dienste, aufgezeichnete Gespräche, Chat-Gespräche mit uns, E-Mail-Korrespondenz mit uns, Kontostatus, Rückzahlungsverlauf, Spracherkennung. Dies kann Informationen über andere beinhalten, wenn Sie diese mit uns teilen.
Kategorien personenbezogener Daten, die von Dritten erhoben werden, einschließlich von Identitätsprüfungsanbietern, Datenbrokern, Anbietern, die uns bei der Betrugserkennung helfen, Ihrer Bank oder Händlern, mit denen Sie unsere Dienste nutzen:
Informationen über Ihre verbundenen Finanzkonten. Wenn Sie sich dafür entscheiden, nichtfinanzielle oder finanzielle Konten wie Ihre persönlichen E-Mail-, Social-Media- oder Bank- oder Kreditkonten zu verbinden, erfassen wir Informationen, die dem offengelegten Zweck entsprechen, für den sie verknüpft wurden. Wenn Sie sich beispielsweise für die Teilnahme an Open Banking entscheiden, erfassen wir Kontoanmeldeinformationen, Kontostände, Kontotransaktionen und Informationen über Ihre finanzielle Situation von Ihren verknüpften Konten. Sie können Ihre Meinung zur Verwendung dieser Funktion jederzeit ändern und die Verknüpfung Ihrer verbundenen Finanzkonten aufheben.
Informationen von Auskunfteien. Soweit gesetzlich zulässig, erfassen wir im Rahmen Ihrer Nutzung unserer Dienste kreditbezogene Informationen wie ausstehende und historische Schulden, Rückzahlungshistorie, frühere Kreditgenehmigungen, aktuelle Arbeitsverhältnisse und Beziehungen zu anderen Finanzinstituten.
Transaktionsdaten. Informationen zu Ihren Bestelldetails und Einkäufen, wie z.B. Artikelbeschreibung, Menge, Preis, Währung, Lieferadresse, Online-Warenkorbinformationen, Verkäufer- und Käuferinformationen und Zahlungsinformationen. Dazu gehören Informationen aus Ihren Transaktionen, bei denen Sie unsere Dienste ohne ein PayPal-Konto nutzen (z. B. Zahlen ohne PayPal-Konto).
Informationen zu den gesetzlichen Vorschriften. In Übereinstimmung mit geltendem Recht (u.a. Gesetz zur Geldwäscheprävention) können dies Informationen aus externen Sanktionslisten wie Name, Geburtsdatum, Geburtsort, Beruf und der Grund, warum die betreffende Person auf der betreffenden Liste steht, umfassen.
Anwendungen von Drittanbietern. Informationen von anderen aus Ihrer Nutzung von Anwendungen von Drittanbietern, wie dem Apple App Store oder Google Play Store, sozialen Netzwerken, wie Name, Ihre soziale Netzwerk-ID, Standortinformationen, E-Mail, Geräte-ID, Browser-ID und Profilbild. Ihre Nutzung von Anwendungen Dritter unterliegt der Datenschutzerklärung und den Nutzungsbedingungen für solche Anwendungen.
Kategorien von personenbezogenen Daten, die automatisch über Sie erfasst werden, einschließlich durch Ihren Zugriff auf unsere Website oder mobile App, von Cookies und ähnlichen Tracking-Technologien und Ihren Geräten:
Technische Nutzungsdaten. Informationen über die Antwortzeit für Webseiten, Download-Fehler und Datum und Uhrzeit Ihrer Nutzung des Dienstes, wie z. B. Ihre IP-Adresse, Statistiken darüber, wie Seiten geladen oder angezeigt werden, die Websites, die Sie besucht haben, bevor Sie auf die Websites gelangten, und andere Nutzungs- und Browsing-Informationen, die durch Cookies erhoben werden ("Technische Nutzungsdaten").
Informationen von Ihrem Gerät. Informationen über Ihre Spracheinstellungen, IP-Adresse, Browser-ID, Geräte-ID, Cookie-Einstellungen, Zeitzone, Betriebssystem, Plattform, Bildschirmauflösung und ähnliche Informationen über Ihre Geräteeinstellungen sowie Daten, die von Cookies oder anderen Tracking-Technologien erfasst werden,
Standortinformationen. Informationen aus IP-basierter Geolokalisierung wie Breiten- und Längengraddaten und Global Positioning System (GPS)-Informationen, wenn Sie uns über Ihre Geräteeinstellungen die Erlaubnis erteilen.
Abgeleitete Daten. Rückschlüsse, die gezogen werden, um ein Profil über Sie zu erstellen, das Verhaltensmuster und persönliche Vorlieben wie Geschlecht, Einkommen, Surf- und Kaufgewohnheiten und Kreditwürdigkeit widerspiegeln kann.
5. Welche personenbezogenen Daten werden genutzt und für welche Rechtsgrundlage?
Wir können Ihre personenbezogenen Daten aus einer Vielzahl von Gründen verarbeiten, die nach den in der Europäischen Union (EU), dem Vereinigten Königreich (UK) und der Schweiz geltenden Datenschutzgesetzen und in Übereinstimmung mit den folgenden Rechtsgrundlagen zulässig sind:
Wir erheben die folgenden personenbezogenen Daten, die wir für erforderlich halten, um unsere vorvertraglichen und vertraglichen Verpflichtungen Ihnen gegenüber zu erfüllen, und ohne die Sie die Dienste nicht nutzen können.
Erforderliche Kategorien personenbezogener Daten umfassen:
Informationen zu Ihrer Registrierung und Kontaktinformationen
Identifikationsdaten
Zahlungsinformationen
Informationen zu den gesetzlichen Vorschriften
Informationen, die Sie angeben, wenn Sie uns kontaktieren
Transaktionsdaten
Dienstspezifische personenbezogene Daten
Informationen von Auskunfteien und Finanzinstituten
Informationen aus Ihren verbundenen Finanzkonten
Daten aus Ihrer Nutzung der Dienste
Technische Nutzungsdaten
Gerätedaten
Standortdaten
Zu diesen Aktivitäten gehört:
unsere Dienstleistungen zu erbringen, relevante Vereinbarungen mit Ihnen zu erfüllen und unsere Geschäftsbeziehung mit Ihnen anderweitig zu verwalten.
Ihre Zahlung für Produkte und die Kundenbeziehung zu verwalten.
Ihre Kreditwürdigkeit im Zusammenhang mit Ihrer Bewerbung zu beurteilen, Ihre Identität und Ihre Kontaktdaten zu bestätigen und Sie und andere vor Betrug zu schützen.
Ihre Identität zu bestätigen und Ihre persönlichen Daten und Kontaktdaten zu überprüfen.
nachzuweisen, dass Transaktionen ausgeführt wurden.
die Begründung, Ausübung oder Verteidigung eines Rechtsanspruchs oder von Inkassoverfahren.
die Einhaltung interner Verfahren.
zu beurteilen, welche Zahlungsmöglichkeiten und Dienstleistungen wir Ihnen anbieten, beispielsweise durch die Durchführung interner und externer Bonitätsprüfungen.
Kundenanalyse, Verwaltung unserer Dienste und interne Vorgänge, z.B. Fehlerbehebung, Datenanalyse, Tests, Forschung und statistische Zwecke.
mit Ihnen in Bezug auf unsere Dienste zu kommunizieren.
geltende Gesetze der EU und der Mitgliedstaaten einzuhalten, wie z.B. Gesetze zur Geldwäscheprävention und Buchungsaufbewahrung sowie Vorschriften, die von unseren benannten Banken und relevanten Kartennetzwerken herausgegeben werden.
Wir haben ein berechtigtes Interesse daran, sicherzustellen, dass PayPal ein sicherer Finanzdienstleister bleibt und weiterhin Dienstleistungen anbietet, die innovativ und von Interesse für Sie sind. Wir tun dies, sofern unsere berechtigten Interessen nicht durch Ihr Recht auf Nichtverarbeitung Ihrer Daten zu diesem Zweck überwiegen.
Zu diesen Aktivitäten gehört:
sicherzustellen, dass Inhalte auf die für Sie und Ihr Gerät effektivste Weise dargestellt werden.
den Missbrauch unserer Dienste im Rahmen unserer Bemühungen, unsere Plattform sicher und geschützt zu halten, zu verhindern.
Ihre Berechtigung bezüglich einer Vorabgenehmigung für Dienstleistungen, für die Sie sich qualifizieren oder die für Sie von Interesse sein könnten, beispielsweise durch die Durchführung interner Kreditwürdigkeitsprüfungen festzustellen und über diese mit Ihnen zu kommunizieren.
Risikoanalysen, Betrugsprävention und Risikomanagement durchzuführen.
unsere Dienstleistungen zu verbessern und für allgemeine Geschäftsentwicklungszwecke, zum Beispiel zur Verbesserung von Kreditrisikomodellen, um Betrug zu minimieren, neue Produkte und Funktionen zu entwickeln und neue Geschäftsmöglichkeiten zu erkunden.
Marketing-, Produkt- und Kundenanalysen, einschließlich Tests, dazu gehören beispielsweise die Verbesserung unserer Produktpalette und die Optimierung unseres Kundenangebots.
Einhaltung des geltenden Rechts, wie z.B. der Gesetze zu Geldwäscheprävention und Buchführungspflichten sowie der aufsichtsrechtlichen Vorschriften über die Eigenkapitalanforderungen und der von unseren zuständigen Banken und relevanten Kartennetzwerken erlassenen Regeln. Zum Beispiel, wenn wir personenbezogene Daten zur Einhaltung der Know-Your-Customer-Voraussetzungen ("KYC") verarbeiten, um Geldwäsche, Terrorismusfinanzierung und Betrug zu vermeiden, zu erkennen und zu untersuchen. Wir führen auch Sanktionsprüfungen durch, melden Steuerbehörden, Polizeivollzugsbehörden, Vollstreckungsbehörden und Aufsichtsbehörden, wenn wir nicht durch EU-Recht und das Recht der Mitgliedstaaten dazu verpflichtet sind, aber wir nach Treu und Glauben davon ausgehen, dass die Weitergabe der Informationen erforderlich ist, um die geltenden Vorschriften einzuhalten.
Ihre Teilnahme an Wettbewerben, Angeboten und Veranstaltungen zu verwalten.
Durchführung von Verpflichtungen zum Risikomanagement wie Kreditleistung und Qualität, Versicherungsrisiken und Erfüllung der Eigenkapitalanforderungen nach geltendem Recht.
Chat Messenger-Kommunikation zwischen Ihnen und anderen Nutzern zu ermöglichen, z.B. um Transaktionen mit anderen Nutzern zu koordinieren, zu bestätigen oder zu arrangieren.
Informationen über Ihre Kontakte zu verarbeiten, damit Sie sie leicht finden und verbinden und ihre Zahlungsgenauigkeit verbessern können. Indem Sie uns Informationen über Ihre Kontakte zur Verfügung stellen, bestätigen Sie, dass Sie die Berechtigung haben, diese PayPal für die in dieser Datenschutzerklärung beschriebenen Zwecke zur Verfügung zu stellen und diese Datenschutzerklärung an sie weitergegeben haben.
Ihnen Informationen, Nachrichten und Werbung über unsere Dienste zur Verfügung zu stellen, einschließlich wo wir uns mit anderen zusammengetan haben, um ähnliche Dienstleistungen anzubieten.
Informationen über Sie zu assoziieren, um Ihre Nutzung der Dienste ohne PayPal-Konto zu identifizieren (z. B. Zahlung ohne PayPal-Konto) oder Markenlose Dienste (z.B. Braintree) und um solche Transaktionen mit Ihrem Konto zu verknüpfen, wenn Sie ein Konto haben oder später ein Konto einrichten.
Ihre Präferenzen für das nächste Mal zu merken, wenn Sie die Dienste nutzen, z.B. ob Sie beim Bezahlen digitale Quittungen per E-Mail oder Textnachricht erhalten möchten.
Wir sind nach dem EU- und dem Mitgliedstaaten-Recht gesetzlich dazu verpflichtet, bestimmte Verarbeitungstätigkeiten durchzuführen. Wir tun dies, wenn dies erforderlich ist, um geltende Gesetze einzuhalten.
Zu diesen Aktivitäten gehört:
unsere Dienste und Produkte anzubieten.
Ihre Identität zu bestätigen und Ihre persönlichen Angaben und Kontaktdaten zu überprüfen.
die Begründung, Ausübung oder Verteidigung eines Rechtsanspruchs oder von Inkassoverfahren.
den Missbrauch unserer Dienste im Rahmen unserer Bemühungen, unsere Plattform sicher und geschützt zu halten, zu verhindern.
Risikoanalysen, Betrugsprävention und Risikomanagement durchzuführen.
geltendes Recht einzuhalten, wie z.B. die Gesetze zu Geldwäscheprävention und Buchführungspflichten sowie die aufsichtsrechtlichen Vorschriften über die Eigenkapitalanforderungen und die von unseren zuständigen Banken und relevanten Kartennetzwerken erlassenen Regeln. Zum Beispiel, wenn wir personenbezogene Daten zur Einhaltung der Know-Your-Customer-Voraussetzungen ("KYC") verarbeiten, um Geldwäsche, Terrorismusfinanzierung und Betrug zu vermeiden, zu erkennen und zu untersuchen. Ebenso führen wir Sanktionsprüfungen durch und machen Meldungen an Steuerbehörden, Polizeibehörden, Strafverfolgungsbehörden und Aufsichtsbehörden.
Wir setzen auf Ihre ausdrückliche und freiwillige Zustimmung, Ihre personenbezogenen Daten zu verarbeiten, um an bestimmten Funktionen teilzunehmen, die zwar nicht für die Nutzung der Dienste erforderlich sind, aber für Sie von Interesse sein könnten, wie z.B. die Synchronisierung Ihrer Kontaktliste mit Ihrem Konto. Sie können die Nutzung dieser Funktionen jederzeit in Ihren Kontoeinstellungen ändern. Beachten Sie, dass der Widerruf Ihrer Zustimmung nicht die Rechtmäßigkeit einer Verarbeitung beeinträchtigt, die wir vor der Abbuchung durchgeführt haben. Weitere Informationen über Ihr Recht auf Widerruf Ihrer Einwilligung finden Sie in Abschnitt 10 ("Ihre Datenschutzrechte").
6. Geben wir personenbezogene Daten weiter und warum?
Wir verkaufen Ihre personenbezogenen Daten nicht oder geben personenbezogene Daten an Dritte für ihre eigenen Marketingzwecke weiter, ohne sicherzustellen, dass eine rechtmäßige Grundlage dafür besteht. Wir geben Ihre personenbezogenen Daten an Dritte für rechtmäßige Zwecke gemäß dieser Datenschutzerklärung weiter.
Dies umfasst:
Andere PayPal-Unternehmen, um Ihnen die Dienste und unseren eigenen berechtigten Interessen an der Durchführung unseres Unternehmens zur Verfügung zu stellen. Diese Interessen werden in Abschnitt 5 ("Welche personenbezogenen Daten werden genutzt und für welche Rechtsgrundlagen") weiter beschrieben. Das empfangende PayPal-Unternehmen verarbeitet Ihre personenbezogenen Daten gemäß dieser Datenschutzerklärung.
Behörden, soweit dies gesetzlich vorgeschrieben ist. Solche Behörden sind Steuerbehörden, Polizeibehörden, Strafverfolgungsbehörden und Aufsichtsbehörden in relevanten Ländern. Möglicherweise müssen wir zuständigen Behörden, wie z.B. Umsatz- oder Steuerbehörden, Informationen über Ihre Nutzung unserer Dienste, zur Verfügung stellen, die Ihren Namen, Ihre Adresse und Informationen zu Kartentransaktionen, die von uns in Ihrem Namen über unsere Dienste verarbeitet werden, umfassen können. Die Rechtsgrundlage für die Einhaltung der Offenlegungspflichten nach EU-Recht und den Gesetzen der Mitgliedstaaten ist eine gesetzliche Verpflichtung und basiert, wenn wir nach dem Recht von Nicht-EU- und Mitgliedstaaten handeln, auf unserem berechtigten Interesse, die einschlägigen Gesetze einzuhalten, um rechtswidriges Verhalten zu verhindern.
Andere Finanzinstitute und Kartennetzwerke, z.B. um die Zahlungsabwicklung zu erleichtern oder Karten zu Ihrer E-Börse hinzuzufügen Die Rechtsgrundlage für unsere Offenlegung ist die Erfüllung unseres Vertrags mit Ihnen. Diese Parteien können auch für andere legitime Zwecke auf Ihre personenbezogenen Daten zugreifen, wie z.B. Identitätsprüfung, Betrugsprävention und Risikomanagement. Die Rechtsgrundlage für diese Verarbeitung ist das berechtigte Interesse von uns und unseren Partnern, betrügerisches und rechtswidriges Verhalten zu verhindern.
Betrugsbekämpfungs- und Identitätsprüfungsbehörden, zum Beispiel, um uns bei der Erkennung von Aktivitäten zu unterstützen, die auf Betrug hindeuten. Die Rechtsgrundlage für diese Verarbeitung ist das berechtigte Interesse von uns und unseren Partnern, betrügerisches und rechtswidriges Verhalten zu verhindern.
Inkassobüros, beispielsweise um unbezahlte überfällige Forderungen durch Dritte wie ein Inkassobüro einzuziehen. Wir tun dies auf der Grundlage unseres berechtigten Interesses, Geschäfte zu tätigen und Schulden einzutreiben. Bitte beachten Sie, dass die Datenschutzerklärung dieser Parteien für die Verarbeitung personenbezogener Daten gilt, die Sie ihnen direkt mitteilen, und dass sie Ihre unbezahlten Schulden Kreditauskunfteien melden können, was Ihre Kreditwürdigkeit oder Ihre Fähigkeit zur Sicherung zukünftiger Kredite beeinträchtigen kann.
Dienstanbieter, die auf unsere Anweisung und in unserem Auftrag Dienstleistungen erbringen, die wir an sie auslagern, wie z.B. IT-Entwicklung, Wartung, Hosting und Support sowie Kundendienst. Die Rechtsgrundlage für diese Verarbeitung ist die Erfüllung unserer vertraglichen Verpflichtungen Ihnen gegenüber.
Andere Nutzer gemäß den Kontoeinstellungen. Gemäß Ihren Kontoeinstellungen können Sie bestimmte Informationen anderen Benutzern anzeigen oder zur Verfügung stellen, wie z.B. Ihr Profilfoto, Ihren Vor- und Nachnamen, Ihren Benutzernamen oder Ihre Stadt. Die Rechtsgrundlage für diese Verarbeitung basiert auf Ihrer Einwilligung. Bitte beachten Sie, dass Sie Ihre Profileinstellungen jederzeit und ohne Kosten für Sie ändern können.
Finanzinstitute in Verbindung mit Ihrer Teilnahme an Open Banking, z.B. wenn Sie eine Kontoverbindung mit einer anderen Bank, einem Kartenkonto oder einem Aggregator einleiten. Wir prüfen daher, ob Sie über genügend Geld verfügen, oder bestätigen, dass Sie der Inhaber des Kontos sind. Wenn Sie Ihr Konto verknüpfen, ist die Rechtsgrundlage für den Zugriff auf Ihre Kontodaten die Erfüllung unserer vertraglichen Verpflichtungen gegenüber Ihnen.
Händler und andere, die an einer Transaktion beteiligt sind. Beispielsweise wenn Sie die Dienste nutzen, um Online-Einkäufe einzuleiten, andere Nutzer zu bezahlen oder Waren zurückzusenden, können wir Informationen über Sie und Ihr Konto an die anderen Parteien weitergeben, die an der Verarbeitung Ihrer Transaktionen beteiligt sind. Die Rechtsgrundlage für diese Verarbeitung ist die Erfüllung unserer vertraglichen Verpflichtungen Ihnen gegenüber. Beachten Sie, dass personenbezogene Daten, die an Händler, die an einer Transaktion beteiligt sind, weitergegeben werden, den eigenen Datenschutzerklärungen und Verfahren der Händler unterliegen.
Dritte, die unabhängige Datenverantwortliche sind. Wenn wir zum Beispiel personenbezogene Daten an Kreditauskunfteien, Erwerber und andere Finanzinstitute oder Sicherheitsprodukte weitergeben, um zu verhindern, dass Bots auf unsere Dienste zugreifen können. Beachten Sie, dass die Datenschutzerklärung dieser Parteien für die Verarbeitung von personenbezogenen Daten gilt, die Sie direkt an diese weitergeben. Beispielsweise verwenden wir Googles reCAPTCHA, um Missbrauch unserer Dienste zu verhindern, wenn Sie auf unsere Mobilanwendung zugreifen. Die Datenschutzerklärung und Nutzungsbedingungen von Google gelten für die Verarbeitung von personenbezogenen Daten, die Sie an diese weitergeben. Weitere Informationen zu Kreditauskunfteien, mit denen wir zusammenarbeiten, um Ihre Kreditwürdigkeit zu bewerten, finden Sie in Abschnitt 12 ("Informationen zur Kreditauskunftei").
7. Wie lange speichert PayPal Ihre personenbezogenen Daten?
Wir speichern personenbezogene Daten so lange, wie es im Rahmen des Zwecks, für den sie erhoben wurden, und in Übereinstimmung mit dem geltenden Recht benötigt oder zulässig ist.
Die Kriterien für die Bestimmung der Aufbewahrungsfrist lauten:
Personenbezogene Daten, die für die laufende Beziehung zwischen Ihnen und PayPal genutzt werden, werden für die Dauer der Beziehung zuzüglich eines Zeitraums von zehn Jahren gespeichert
Personenbezogene Daten in Bezug auf eine rechtliche Verpflichtung, der wir unterliegen, werden im Einklang mit geltendem Recht aufbewahrt, wie z.B. gemäß geltendem Insolvenzrecht und AML-Verpflichtungen.
Wir speichern die Informationen, die wir verarbeiten, um Ihre Nachrichten zu übermitteln, wie z.B. Benutzerinhalte, für einen Zeitraum von drei Jahren. Bitte beachten Sie, dass selbst wenn Sie Ihre Kopie Ihrer Nachricht aus Ihrem Konto löschen, andere Benutzer weiterhin eine Kopie der Nachricht in ihrem Konto haben können. Traffic-Daten, wie z.B. Datum und Uhrzeit Ihrer Nachricht und sonstiger Daten, die für die Übermittlung Ihrer Nachricht notwendig sind ("Traffic-Daten") werden für die Dauer der Beziehung und danach weitere zehn Jahre lang aufbewahrt.
Wir speichern personenbezogene Daten so lange wie nötig, wenn die Aufbewahrung angesichts von Rechtsstreitigkeiten, Ermittlungen, Audit- und Compliance-Praktiken oder zum Schutz vor Rechtsansprüchen ratsam ist.
8. Internationale Übermittlung personenbezogener Daten
Wir sind in vielen Ländern tätig, und wir (oder unsere Dienstanbieter) können Ihre Daten verschieben und außerhalb des Landes verarbeiten, in dem Sie leben. Wir verwenden Drittanbieter, um Ihre Daten in den USA und in anderen Ländern zu verarbeiten und zu speichern. In den betreffenden Ländern ist nicht immer ein gleichwertiger Datenschutz gegeben. Wir haben in Übereinstimmung mit den Datenschutzgesetzen der EU und des Vereinigten Königreichs bestimmte Maßnahmen ergriffen, um Ihre personenbezogenen Daten zu schützen. Für die Übertragung Ihrer personenbezogenen Daten innerhalb von PayPal-Unternehmen stützen wir uns auf verbindliche Unternehmensregeln, die von den zuständigen Aufsichtsbehörden genehmigt wurden (verfügbar hier). Andere Übertragungen basieren auf Standardvertragsklauseln, die von der Europäischen Kommission genehmigt wurden, um sicherzustellen, dass Ihre Daten einem hohen Schutzstandard unterliegen und dass Ihre Datenschutzrechte respektiert werden.
9. Wie verwenden wir Cookies und Tracking-Technologien?
Wenn Sie mit unseren Diensten interagieren, E-Mails öffnen, die wir Ihnen senden, oder eine Website eines Drittanbieters besuchen, für die wir Dienste bereitstellen, verwenden wir und unsere Partner Cookies und andere Tracking-Technologien wie Pixel-Tags, Web-Beacons und Widgets (zusammen „Cookies“), um Sie als Benutzer zu erkennen, Ihre Online-Erfahrungen und Online-Inhalte anzupassen, einschließlich um Ihnen interessenbezogene Werbung bereitzustellen, Analysen durchzuführen, Risiken zu mindern und potenziellen Betrug zu verhindern und Vertrauen und Sicherheit auf unseren Websites und Diensten zu fördern. Bestimmte Aspekte und Funktionen unserer Dienste und Websites sind nur durch die Verwendung von Cookies verfügbar. Wenn Sie also bestimmte Cookies ablehnen, kann Ihre Nutzung der Websites und Dienste eingeschränkt oder nicht möglich sein.
Wir verwenden Cookies, um Ihre Geräteinformationen, Informationen zu Internetaktivitäten und Rückschlüsse wie oben beschrieben zu sammeln.
Cookies helfen uns, Folgendes zu tun:
Ihre Daten zu speichern, damit Sie sie nicht erneut eingeben müssen
Zu verfolgen und verstehen, wie Sie unsere Online-Dienste und E-Mails nutzen und mit ihnen interagieren
Unsere Online-Dienste an Ihre Einstellungen anzupassen
Zu messen, wie nützlich und effektiv unsere Dienste und Kommunikation für Sie sind
Unsere Produkte und Dienste zu verwalten und zu verbessern
Do Not Track (DNT) ist eine optionale Browser-Einstellung, mit der Sie Ihre Präferenzen bezüglich der Nachverfolgung Ihrer Handlungen im Internet durch Werbetreibende und andere Dritte festlegen können. Derzeit sind unsere Websites nicht darauf ausgelegt, auf DNT-Signale oder ähnliche Mechanismen von Browsern zu reagieren.
Bitte lesen Sie unsere Erklärung zu Cookies und Tracking-Technologien, um mehr über unsere Verwendung von Cookies zu erfahren.
10. Ihre Datenschutzrechte
Nach geltendem Datenschutzrecht haben Sie bestimmte Rechte, unsere Erfassung und Verwendung Ihrer personenbezogenen Daten zu kontrollieren. Zu Ihren Rechten gehören:
Zugriff, Berichtigung, Löschung, Widerspruch, Übertragbarkeit und Einschränkung Ihrer Informationen
zu erkennen, wie wichtig es für Sie ist, die Verwendung Ihrer personenbezogenen Daten zu kontrollieren und Ihnen mehrere Möglichkeiten zu bieten, wie Sie Ihr Recht auf Zugriff (Recht auf Auskunft), Berichtigung (Korrektur oder Aktualisierung), Löschung (Löschung), Widerspruch, Übertragbarkeit (Übertragung) und vollständige oder teilweise Einschränkung der Verarbeitung ausüben können.
Wenn Sie ein Konto haben, können Sie Ihre Datenschutzrechte ausüben, indem Sie in den Kontoeinstellungen in der PayPal-App auf „Daten und Datenschutz“ zugreifen. Auch wenn Sie kein Konto haben (z.B. wenn Sie Zahlungen ohne PayPal-Konto verwenden), können Sie einen Antrag auf Zugriff, Änderung, Korrektur oder Löschung Ihrer Informationen für Ihre Zahlungen ohne PayPal-Konto stellen. Sie können eine Anfrage in Bezug auf die Informationen einer anderen Person stellen, wenn Sie deren autorisierter Vertreter sind, indem Sie uns kontaktieren. Bitte beachten Sie, dass wir möglicherweise zusätzliche Informationen zur Verifizierung von Ihnen benötigen.
Ihr Recht, den automatisierten Entscheidungen und der Profilerstellung zu widersprechen
Wenn Sie nicht gemäß den unten beschriebenen automatisierten Entscheidungen zugelassen sind, haben Sie keinen Zugriff auf unsere Dienste, wie z.B. unsere Zahlungsmethoden. PayPal verfügt über mehrere Sicherheitsmechanismen, um sicherzustellen, dass die Entscheidungen angemessen sind. Zu diesen Mechanismen gehören laufende Übersichten unserer Entscheidungsmodelle und Stichproben im Einzelfall. Wenn Sie Bedenken bezüglich des Ergebnisses haben, können Sie sich mit uns in Verbindung setzen, und wir werden feststellen, ob das Verfahren angemessen durchgeführt wurde. Sie können auch nach Maßgabe der folgenden Hinweise widersprechen.
Sie haben das Recht, einer automatisierten Entscheidung mit rechtlichen Folgen oder Entscheidungen, die Sie ansonsten erheblich beeinträchtigen könnten (zusammen mit dem entsprechenden Profiling), zu widersprechen, indem Sie sich an uns wenden. Wir prüfen dann die Entscheidung unter Berücksichtigung der relevanten zusätzlichen Umstände.
Zustimmung
Wenn wir Ihre personenbezogenen Daten mit Ihrer Zustimmung verwenden, haben Sie im Allgemeinen das Recht, Ihre Zustimmung jederzeit zu widerrufen, ohne die Rechtmäßigkeit der Verarbeitung aufgrund der Zustimmung vor ihrem Widerruf zu beeinträchtigen.
Der Widerruf Ihrer Zustimmung hat keinen Einfluss auf die Rechtmäßigkeit der Verarbeitung, die wir vor Ihrem Widerruf durchgeführt haben, noch auf die Verarbeitung Ihrer personenbezogenen Daten, die im Vertrauen auf einen anderen rechtmäßigen Verarbeitungsgrund als die Zustimmung erfolgt.
Widerspruchsrecht gegen Direktmarketing
Wenn wir Ihre personenbezogenen Daten für Direktmarketing verwenden, können Sie jederzeit Ihre Berechtigungen ändern, Einwände erheben und sich von zukünftigen Direktmarketing-Nachrichten abmelden, indem Sie den Link zum Abbestellen in der elektronischen Kommunikation oder über Ihre In-App-Kontoeinstellungen verwenden.
Widerspruchsrecht gegen die Verarbeitung berechtigter Interessen
Wenn wir Ihre personenbezogenen Daten verwenden, um unsere berechtigten Interessen oder die eines Dritten zu verfolgen, haben Sie das Recht, unserer Verwendung zu diesem Zweck zu widersprechen. Siehe Abschnitt 5 ("Welche personenbezogenen Daten werden verwendet und für welche Rechtsgrundlagen?")
Wie nehmen Sie Ihre Rechte wahr, und wie können Sie uns oder die Datenschutzbehörde kontaktieren?
Wenn Sie aus irgendeinem Grund mit unserer Verarbeitung Ihrer personenbezogenen Daten unzufrieden sind, haben Sie das Recht, eine Beschwerde bei der Aufsichtsbehörde für den Datenschutz in Ihrem Land einzureichen.
Unseren Datenschutzbeauftragten erreichen Sie online oder per Post unter PayPal (Europe) S.à.r.l. et Cie, S.C.A, 22-24 Boulevard Royal L-2449, Luxemburg.
Wenn Sie glauben, dass Ihre Rechte verletzt wurden, können Sie auch bei den örtlichen Gerichten Rechtsmittel einlegen.
Sie können auch bei der für uns zuständigen führenden Aufsichtsbehörde für den Datenschutz, der Nationalen Kommission für Datenschutz des Großherzogtums Luxemburg (CNPD), eine Beschwerde einreichen. Die betreffende Postanschrift lautet: Commission nationale pour la protection des données, Service des plaints, 15, Boulevard du Jazz, L-4370 Belvaux, Luxemburg.
Der Vertreter im Vereinigten Königreich kann per Post für alle Anfragen zum Datenschutz in Großbritannien bei Bird & Bird GDPR Representative UK, 12 New Fetter Lane, Holburn, London EC4A 1JP kontaktiert werden.
11. Spezifische Informationen über automatisierte Entscheidungsfindung und Profiling
"Automatisierte Entscheidungsfindung" ist der Prozess der vollautomatischen Entscheidungsfindung ohne menschliche Beteiligung. In einigen Fällen könnten diese Entscheidungen rechtliche oder ähnlich erhebliche Auswirkungen auf Sie als natürliche Person haben. "Profiling" bezeichnet Analysen der Persönlichkeit, des Verhaltens, des Interesses und der Gewohnheiten einer Person, um Vorhersagen oder Entscheidungen über sie zu treffen. Soweit dies nach dem Recht der EU oder der Mitgliedstaaten zulässig oder für den Abschluss oder die Erfüllung eines Vertrags erforderlich ist, können wir in einigen Fällen automatisierte Entscheidungsfindung oder Profiling für Entscheidungen verwenden. Ein Beispiel für unseren Einsatz automatisierter Entscheidungsfindung ist die Bewertung Ihrer Kreditwürdigkeit, um Ihre Eignung für bestimmte Kreditprodukte zu beurteilen.
Wir glauben, dass PayPal durch das automatische Treffen solcher Entscheidungen seine Objektivität und Transparenz bei der Entscheidung, welche Dienste Ihnen angeboten werden, erhöht. Wir setzen mehrere Sicherheitsmechanismen ein, um sicherzustellen, dass die Entscheidungen angemessen sind. Zu diesen Mechanismen gehören laufende Übersichten unserer Entscheidungsmodelle und Stichproben im Einzelfall. Sie können stattdessen jederzeit eine manuelle Entscheidungsfindung verlangen, Ihre Meinung äußern oder eine Entscheidungsfindung anfechten, die ausschließlich auf einer automatisierten Verarbeitung, einschließlich Profiling, beruht, wenn eine solche Entscheidung rechtliche Wirkung entfaltet oder Sie in ähnlicher Weise erheblich beeinträchtigt. Weitere Informationen darüber, wie Sie diesen Entscheidungen widersprechen können, finden Sie in Abschnitt 10 ("Ihre Datenschutzrechte").
Wenden Sie sich online an unseren Datenschutzbeauftragten (DSB), wenn Sie mehr über die Nutzung automatisierter Entscheidungsfindung oder Profiling erfahren möchten.
12. Warum geben wir personenbezogene Daten an Kreditauskunfteien weiter?
Wenn Sie unsere Kreditdienste beantragt oder genutzt haben, können wir zur Bearbeitung Ihres Antrags Ihre personenbezogenen Daten an Kreditauskunfteien (CRAs) weitergeben, die uns Informationen über Sie, wie z.B. Ihre Finanzübersicht, geben. Wir tun dies, um die Kreditwürdigkeit und Produkteignung zu prüfen, Ihre Identität zu überprüfen, Schulden aufzuspüren und einzutreiben und kriminelle Aktivitäten zu verhindern.
Die Rechtsgrundlagen für diese Übermittlungen finden sich in Art. 6 Abs. 1 Buchstabe b (vertraglich) und Art. 6 Abs. 1 Buchstabe f (berechtigtes Interesse) der EU-Datenschutzgrundverordnung ("EU-DSGVO").
Wir werden auch weiterhin laufend Informationen über Sie mit Kreditauskunfteien austauschen, einschließlich über Ihre beglichenen Konten und alle Schulden, die nicht rechtzeitig vollständig zurückgezahlt wurden. Diese Informationen können von CRAs an andere Organisationen weitergegeben werden, um ähnliche Überprüfungen durchzuführen und Ihren Aufenthaltsort zu ermitteln und Schulden einzutreiben.
Ihre Daten werden auch mit den Daten aller gemeinsamen Bewerber oder anderer Finanzpartner verknüpft.
So erfahren Sie mehr
Wenden Sie sich online an unseren Datenschutzbeauftragten (DSB) für Einzelheiten darüber, welche CRA wir für eine bestimmte Suche verwendet haben.
Die Liste der CRAs, die in Großbritannien und dem EWR verwendet werden, finden Sie hier, einschließlich der Identitäten der CRAs, die in jedem relevanten Land verwendet werden, und eines Links zu ihrer Datenschutzerklärung, aus der Sie entnehmen können, wie sie personenbezogene Daten verwenden und weitergeben, einschließlich der Dauer, für die sie diese personenbezogenen Daten aufbewahren. Sie können sich direkt an die Kreditauskunfteien wenden, die in dem Land tätig sind, in dem Sie leben, wenn Sie Fragen zu ihren Dienstleistungen, Ihrer Kreditwürdigkeit oder den Informationen haben, die sie über Sie gespeichert haben, oder wenn Sie Ihre Betroffenenrechte ihnen gegenüber ausüben möchten.
13. Wie schützen wir Ihre personenbezogenen Daten?
Wir führen technische, physische und administrative Sicherheitsmaßnahmen durch, um Ihre personenbezogenen Daten angemessen vor Verlust, Missbrauch, unbefugtem Zugriff, Weitergabe und Änderung zu schützen. Zu diesen Sicherheitsmaßnahmen gehören Firewalls, Datenverschlüsselung, physische Zugangsbeschränkungen für unsere Rechenzentren und Berechtigungskontrollen für den Zugriff auf Daten. Wir sorgen für die Sicherung unserer Systeme und Dienste. Für die Sicherheit und die Geheimhaltung Ihres Passworts bzw. Ihrer Passwörter und Ihres Kontoprofils bzw. Ihrer Anmeldedaten sind Sie jedoch selbst verantwortlich. Darüber hinaus liegt es in Ihrer Verantwortung zu prüfen, dass die personenbezogenen Daten, die wir über Sie besitzen, richtig und auf dem aktuellen Stand sind. Wir haften nicht für den Schutz personenbezogener Daten, die wir auf Grundlage einer von Ihnen autorisierten Kontoverknüpfung an Dritte weitergeben.
14. Können Kinder unsere Dienste nutzen?
Wir erfassen wissentlich keine Informationen, einschließlich personenbezogener Daten, von Kindern unter 16 Jahren oder anderen Personen, die rechtlich nicht in der Lage sind, unsere Websites und Dienste zu nutzen. Wenn wir tatsächliche Kenntnis davon erhalten, dass wir personenbezogene Daten von jemandem erhoben haben, der unsere Dienste nicht nutzen darf, werden wir diese unverzüglich löschen, es sei denn, wir sind gesetzlich verpflichtet, diese Daten aufzubewahren.
Bitte kontaktieren Sie uns, wenn Sie glauben, dass wir irrtümlicherweise oder versehentlich Daten von jemandem erhoben haben, der unsere Dienste nicht nutzen darf.
15. Aktualisierungen dieser Datenschutzerklärung.
Wir überarbeiten diese Datenschutzerklärung von Zeit zu Zeit, um Änderungen an unserem Geschäft, unseren Diensten oder den geltenden Gesetzen widerzuspiegeln. Wenn die überarbeitete Version nach geltendem Recht eine Mitteilung erfordert, informieren wir Sie 30 Tage im Voraus durch Bekanntgabe der Änderung auf der Seite "AGB-Aktualisierungen" oder "Datenschutzerklärung", andernfalls wird die überarbeitete Datenschutzerklärung ab dem dort angegebenen Startdatum wirksam.
16. Hinweis zu Bankvorschriften für Nutzer im EWR und im Vereinigten Königreich
Im Allgemeinen fordert das luxemburgische Recht, dem PayPal (in Bezug auf Datenschutz und Bankgeheimnis) unterliegt, einen höheren Grad an Transparenz als die meisten anderen EU-Vorschriften. Im Gegensatz zu den meisten Anbietern von Internet- oder Finanzdienstleistungen in der EU listen wir daher in dieser Datenschutzerklärung die Drittanbieter und Geschäftspartner, die Dienstleistungen für uns erbringen und denen gegenüber wir Ihre Daten offenlegen, sowie den Zweck der Offenlegung und die Art der offengelegten Daten auf. Einen Link zu diesen Drittanbietern finden Sie hier. Indem Sie diese Datenschutzerklärung annehmen und ein Konto bei PayPal haben, willigen Sie ausdrücklich in die Übermittlung Ihrer Daten an diese Drittanbieter für die aufgeführten Zwecke ein.
PayPal kann die oben genannte Drittanbieterliste am ersten Werktag eines jeden Quartals (d.h. im Januar, April, Juli und Oktober) aktualisieren. PayPal beginnt erst 30 Tage nach dem Datum der Veröffentlichung der Liste innerhalb der Datenschutzerklärung mit der Übermittlung von Daten an eines der in der jeweiligen Aktualisierung neu aufgeführten Unternehmen oder für die dort neu aufgeführten Zwecke oder Datentypen. Sie sollten sich in jedem Quartal zu den oben genannten Terminen auf der PayPal-Website erneut mit der Liste vertraut machen. Wenn Sie der neuen Form der Datenübertragung nicht innerhalb von 30 Tagen nach Veröffentlichung der aktualisierten Drittanbieterliste widersprechen, gelten die Änderungen der Liste und dieser Datenschutzerklärung als von Ihnen angenommen. Sind Sie mit den Änderungen nicht einverstanden, steht es Ihnen frei, Ihr Konto zu schließen und unsere Dienste nicht mehr zu nutzen.
Um die PayPal-Dienste bereitstellen zu können, müssen wir möglicherweise bestimmte Daten, die wir (wie in dieser Datenschutzerklärung dargelegt) erhoben haben, an andere mit PayPal verbundene Unternehmen oder sonstige Stellen übermitteln, einschließlich solcher, die gemäß diesem Abschnitt eine Funktion als Zahlungsdienstleister, Zahlungsanbieter oder Kontoinhaber (oder ähnliche Funktionen) erfüllen. Sie erkennen an, dass diese Stellen in ihren jeweiligen Rechtsordnungen Gesetzen, Vorschriften, Untersuchungen, Ermittlungen oder Anordnungen unterworfen sein können, durch die sie zur Weitergabe von Daten an die zuständigen Behörden des betreffenden Landes verpflichtet sind. Durch die Nutzung der PayPal-Dienste willigen Sie in die Übermittlung solcher Daten durch uns zum Zweck der Bereitstellung der PayPal-Dienste an Sie ein.
Insbesondere stimmen Sie allen folgenden Datenverarbeitungsmaßnahmen zu und weisen PayPal an, diese vorzunehmen:
a. Offenlegung notwendiger Informationen gegenüber der Polizei und anderen Vollzugsbehörden, Sicherheitskräften, zuständigen staatlichen, zwischenstaatlichen oder überstaatlichen Stellen, zuständigen Behörden, Abteilungen, Aufsichtsbehörden, Selbstregulierungsbehörden oder -organisationen (einschließlich der hier im Abschnitt "Behörden" der Drittanbieterliste genannten Stellen) und anderen Dritten, einschließlich Unternehmen der PayPal-Gruppe, (i) deren Weisungen wir aufgrund gesetzlicher Vorgaben nachkommen müssen bzw. dürfen, unter anderem aufgrund der luxemburgischen Gesetze vom 24. Juli 2015 über das US-amerikanische Gesetz zur Einhaltung der Steuervorschriften für Auslandskonten ("FATCA-Gesetz") und vom 18. Dezember 2015 über die einvernehmlich festgelegten Standards für die Berichterstattung der OECD ("CRS-Gesetz"), (ii) bei denen wir Grund zu der Annahme haben, dass die Kooperation mit ihnen bei der Untersuchung von Betrugsfällen oder sonstigen tatsächlichen oder mutmaßlichen widerrechtlichen Aktivitäten geboten ist, oder (iii) zur Ermittlung von Verstößen gegen unsere Nutzungsbedingungen (dies gilt auch für Ihre Zahlungsquelle oder Ihren Kredit- oder Debitkartenanbieter).
Wenn Sie in den Geltungsbereich des FATCA- oder des CRS-Gesetzes fallen, sind wir dazu verpflichtet, Sie über die Weitergabe von Daten an die jeweiligen Behörden zu unterrichten. Informieren Sie sich über die Verpflichtungen von PayPal nach dem FATCA- und dem CRS-Gesetz sowie darüber, welche Auswirkungen diese Verpflichtungen für Sie haben können und welche Informationen wir gegebenenfalls im Zuge dieser Verpflichtungen weitergeben.
Wir und weitere Organisationen, darunter Unternehmen, die Zahlungen über PayPal akzeptieren, können notwendige Informationen (darunter auch Daten, die von Betrugsbekämpfungsstellen aufgezeichnet wurden und Daten aus anderen Ländern) zum Zwecke der Bewertung und Steuerung von Risiken (darunter zur Verhinderung von Betrug, Geldwäsche und Terrorismusfinanzierung) weitergeben, nutzen und auf sie zugreifen. Bitte wenden Sie sich an uns, wenn Sie weitere Informationen über die jeweiligen Betrugsbekämpfungsstellen wünschen. Klicken Sie hier, um weitere Informationen zu diesen Behörden, den Betrugsbekämpfungsstellen und anderen Dritten zu erhalten.
b. Offenlegung von Kontoinformationen gegenüber Inhabern von geistigem Eigentum, wenn diese nach dem maßgeblichen nationalen Recht eines EU-Mitgliedstaates einen außergerichtlichen Auskunftsanspruch gegen PayPal aufgrund einer Verletzung ihrer geistigen Eigentumsrechte haben, bei der PayPal-Dienste genutzt wurden (zum Beispiel § 19, Absatz 2, Unterabsatz 3 des deutschen Markengesetzes oder § 101, Absatz 2, Unterabsatz 3 des deutschen Urheberrechtsgesetzes).
c. Obligatorische Offenlegung aufgrund von Kreditkartenbestimmungen oder in straf- oder zivilrechtlichen Verfahren.
d. Offenlegung Ihres Namens und PayPal-Links im PayPal-Benutzerverzeichnis. Ihre Daten werden anderen PayPal-Kunden angezeigt, wenn diese eine Suche anhand Ihres Namens, Ihrer E-Mail-Adresse oder Telefonnummer oder eines Teils dieser Angaben durchführen. Dadurch soll sichergestellt werden, dass Zahlungen an den richtigen Empfänger erfolgen. Diese Funktion kann in den PayPal-Profileinstellungen deaktiviert werden.
e. Nutzen Sie als Händler einen Dritten für den Zugriff auf PayPal oder die Integration von PayPal, können wir notwendige Informationen an diesen Dritten zur Umsetzung und Verwaltung der betreffenden Vereinbarungen weitergeben (darunter den Status Ihrer PayPal-Integration, ob Sie ein aktives PayPal-Konto haben und ob Sie bereits mit einem anderen PayPal-Integrationspartner arbeiten).
f. Offenlegung notwendiger Informationen gegenüber Zahlungsanbietern, Wirtschaftsprüfern, Kundendienstmitarbeitern, Betrugsbekämpfungsstellen, Anbietern von Finanzprodukten, Handelspartnern, Marketing- und PR-Unternehmen, Konzernunternehmen, Agenturen, Marktplätzen und sonstigen hier aufgeführten Dritten. Zweck dieser Offenlegung ist die Bereitstellung der PayPal-Dienste an Sie. In der Drittanbieterliste haben wir außerdem unter jeder Kategorie nicht abschließende Beispiele von Drittanbietern (einschließlich deren Abtretungsempfängern und Rechtsnachfolgern) aufgeführt, gegenüber denen eine Offenlegung Ihrer Kontoinformationen derzeit tatsächlich stattfindet oder in Betracht gezogen werden kann. Neben dem Zweck der Offenlegung haben wir auch die offengelegten Informationen angegeben (soweit nicht anders angegeben, ist es diesen Drittanbietern gesetzlich bzw. vertraglich untersagt, die Informationen für einen anderen als den vorgesehenen Zweck zu nutzen).
g. Offenlegung erforderlicher Daten gegenüber Ihren Vertretern bzw. Verfahrensbevollmächtigten (z.B. dem Inhaber einer von Ihnen erteilten Vollmacht oder einem für Sie bestellten Vormund).
h. Offenlegung von zusammengefassten Statistikdaten an unsere Geschäftspartner oder PR-Partner. Wir können beispielsweise offenlegen, dass ein bestimmter Prozentsatz unserer Kunden in einer bestimmten Stadt lebt. Diese zusammengefassten Daten enthalten jedoch keine individuell identifizierenden Informationen.
i. Weitergabe notwendiger Kontoinformationen an nicht mit uns verbundene (hier aufgeführte) Drittanbieter zu folgenden Zwecken:
Betrugsprävention und Risikosteuerung: Prävention von Betrug sowie Bewertung und Steuerung von Risiken.
Kundenservice: zu Zwecken des Kundenservice, einschließlich der Betreuung Ihrer Konten oder zur Klärung von Konflikten (z.B. in Bezug auf Rechnungen oder Transaktionen).
Versand: im Zusammenhang mit dem Versand und darauf bezogenen Dienstleistungen bei Käufen, die mit PayPal getätigt wurden.
Einhaltung gesetzlicher Vorschriften: zur Unterstützung der Verifizierungsanforderungen bei der Bekämpfung von Geldwäsche und Terrorismusfinanzierung.
Dienstleister: um die mit uns vertraglich verbundenen Dienstleister in die Lage zu versetzen, uns bei geschäftlichen Vorgängen wie z.B. Betrugsprävention, Inkassomaßnahmen, Marketing, Kundenservice und Technologiedienstleistungen zu unterstützen. Diese Dienstleister werden von uns vertraglich verpflichtet, Ihre Daten nur für die Dienstleistungen zu verwenden, die sie für uns erbringen, nicht jedoch zu ihrem eigenen Nutzen.
17. Begriffsbestimmungen
Gerätedaten bezieht sich auf Daten, die automatisch von einem beliebigen Gerät erfasst werden können, das für den Zugriff auf die Seite oder Dienste verwendet wird. Zu diesen Daten gehören unter anderem Ihr Gerätetyp, die Netzwerkverbindungen Ihres Geräts, Name und IP-Adresse Ihres Geräts, Informationen zum Webbrowser Ihres Geräts und zur Internetverbindung, mit denen Sie auf die Seiten oder Dienste zugreifen, Geolokalisierungsdaten, Informationen zu Apps, die auf Ihr Gerät heruntergeladen wurden, sowie biometrische Daten.
Geolokalisierungsinformationen sind Informationen, die Ihren Standort mit präziser Genauigkeit identifizieren, indem sie beispielsweise Längen- und Breitengradkoordinaten verwenden, die Sie über Ihr GPS oder Ihre Geräteeinstellungen erhalten.
Standortinformationen sind Informationen, die mit angemessener Genauigkeit Ihren ungefähren Standort identifizieren, indem beispielsweise Längen- und Breitengradkoordinaten verwendet werden, die durch GPS oder Wi-Fi oder Triangulation von Mobilfunkstandorten erhalten werden.
Partner bezeichnet den Händler oder das Unternehmen, mit dem unsere Benutzer Geschäfte tätigen, um Waren oder Dienstleistungen zu erhalten.
Bezahlen ohne PayPal-Konto bedeutet dasselbe wie in den Nutzungsbedingungen für Zahlungen ohne PayPal-Konto.
PayPal-Unternehmen bedeuten Unternehmen, die Sich im Besitz von PayPal befinden und personenbezogene Daten gemäß ihren Nutzungsbedingungen und Datenschutzrichtlinien verarbeiten. PayPal Unternehmen sind Honey Science LLC, Paidy Inc., Happy Returns, LLC, HyperWallet und Braintree.
Personenbezogene Daten bezieht sich auf Informationen, die einer identifizierten oder direkt oder indirekt identifizierbaren natürlichen Person zugeordnet werden können. Zu "personenbezogenen Daten" zählen insbesondere Name, Postanschrift (einschließlich Rechnungs- und Lieferadresse), Telefonnummer, E-Mail-Adresse, Zahlungskartennummer, sonstige Kontoinformationen, Kontonummer, Geburtsdatum und Daten aus amtlichen Ausweisen (z.B. Führerscheinnummer, Personalausweisnummer, Reisepassnummer).
Verarbeitung bedeutet jede Methode oder Art und Weise, wie wir mit personenbezogenen Daten oder Sätzen personenbezogener Daten umgehen, sei es durch automatisierte Mittel, wie z.B. durch Erhebung, Aufzeichnung, Kategorisierung, Strukturierung, Speicherung, Anpassung oder Änderung, Abruf und Konsultation, Verwendung, Offenlegung durch Übertragung, Verbreitung oder anderweitige Bereitstellung, Abgleich oder Kombination, Einschränkung, Löschung oder Vernichtung personenbezogener Daten.
Dienste bezeichnet alle Zahlungsdienste mit oder ohne Marke von PayPal, Bezahlen ohne PayPal-Konto, Inhalte, Merkmale, Technologien oder Funktionen sowie alle zugehörigen Websites, Anwendungen und Dienste, die Ihnen von PayPal angeboten werden. Die Nutzung der Dienste umfasst die Nutzung unserer Website.
Seiten bezieht sich auf die Websites, mobilen Apps, offiziellen Social-Media-Plattformen oder andere Online-Tools, über die PayPal die Dienste anbietet und die diese Datenschutzerklärung veröffentlicht haben oder mit ihr verlinkt sind.
Markenlose Zahlungsdienste bedeutet, dass Sie mit Händlern interagieren und Zahlungen an diese leisten, indem Sie unsere Kartenzahlungsdienste verwenden, die nicht die Marke PayPal tragen.
Nutzer ist jede Person, die die Dienste als Verbraucher für den persönlichen oder Haushaltsgebrauch nutzt. Für die Zwecke dieser Mitteilung enthält "Benutzer" "Sie" und "Ihr".
18. Unsere Kontaktdaten
Kontaktieren Sie unseren Datenschutzbeauftragten (DSB) online oder offline unter PayPal (Europe) S.à.r.l. et Cie, S.C.A, 22-24 Boulevard Royal L-2449, Luxemburg.
Wenn Sie Einwohner des Vereinigten Königreichs sind, wenden Sie sich an unseren Vertreter bei Bird & Bird GDPR Representative UK, 12 New Fetter Lane, Holburn, London EC4A 1JP.
Stripe
Stripe respects the privacy of everyone that engages with our platform, and we are committed to being transparent about our privacy processes and policies. We are a platform that enables millions of businesses, and in order to provide our services to our Business Users and End Users, we collect and process personal data.
The Stripe Privacy Center contains the answers to frequently asked questions about how we collect and use personal data, the rights that individuals have in relation to personal data held by Stripe, and how Stripe complies with international data protection laws.
All materials have been prepared for general information purposes only. The information presented is not legal advice, is not to be acted on as such, may not be current and is subject to change without notice.
Stripe’s updated Privacy Policy will be effective as of January 24, 2023
We’re updating our Privacy Policy to clearly explain how we collect and use data as we work to improve the Stripe experience.
Here’s a summary of key changes:
We added more clarity about how our services use Personal Data.
We clarified how we will use Personal Data for Stripe’s own marketing purposes to Visitors, End Users and Representatives.
We updated the information on our legal bases for cross-border data transfers, including those between the EEA and US.
We added more information about privacy rights that exist in some countries where Stripe offers services.
These are just a few highlights of the changes we made, so please read the updated Privacy Policy below carefully. If you have questions, please check out the rest of our Privacy Centerand/or contact us.
Below is a list of terms that will help “you” navigate the Privacy Center:
“YOU”
MEANING
STRIPE EXAMPLES
Business User
Stripe provides services to entities (“Business Users”) who directly and indirectly provide us with “End Customer” Personal Data in connection with those Business Users’ own business and activities.
Stripe user or merchant Platform User Connect Accounts
End Customer
When you do business with, or otherwise transact with, a Business User (typically a merchant using Stripe Checkout, e.g. when you buy a pair of shoes from a merchant that uses Stripe for payment processing) but are not directly doing business with Stripe, we refer to you as an “End Customer.”
Individual using Identity Cardholder using Checkout
End User
When you directly use an End User Service (such as when you sign up for Link, or make a payment to Stripe Climate in your personal capacity), for your personal use, we refer to you as an “End User.”
User of Link Personal contributor to Stripe Climate
Representative
When you are acting on behalf of an existing or potential Business User (e.g. you are a founder of a company, or administering an account for a merchant who is a Business User), we refer to you as a “Representative.”
Beneficial owner Shareholder, officer, director Account representative
Visitor
When you visit a Site without being logged into a Stripe account or otherwise communicate with Stripe, we refer to you as a “Visitor.” (e.g. you send Stripe a message asking for more information because you are considering being a user of our products).
Stripe Sessions attendee Stripe Site visitor
Contents
How We Collect, Disclose, and Use Personal Data
Stripe Legal Bases Tables
Data Processing Agreement
Information about Stripe Products
Data Protection Officer
International Data Transfers
Your Rights and Choices
Cookies & Other Technology
Contact Us
How We Collect, Disclose, and Use Personal Data
Is Stripe acting as a data controller or a data processor?
The answer is both.
The “data controller” is the entity which determines the purposes and means of the data processing taking place. The “data processor” is an entity acting on behalf and under the instructions of a controller in processing personal data.
Stripe is a data controller when it determines the purposes and means of the processing taking place. These data processing activities include (1) providing the Stripe products and services, (2) monitoring, preventing and detecting fraudulent payment transactions and other fraudulent activity on the Stripe platform, (3) complying with legal or regulatory obligations applicable to the financial sector to which Stripe is subject, and (4) analyzing, developing and improving Stripe’s products and services. Please see this Privacy Center article for more information on Stripe’s controller activities.
Stripe is a data processor where it is facilitating payment transactions on behalf of and at the direction of a Business User. Our Business Users direct us to take payment from cardholders / End Customers.
Stripe is considered a processor when directed to process payments (i.e., Stripe receives instructions about whom to pay, how much to pay, when to pay).
As a platform provider, we need to ensure consistency across our platform, and that includes consistency with respect to the commitments that we give about how we operate our platform. We contract with all of our Business Users (including some of the world’s largest companies) on this basis.
Which Stripe entities are involved?
For most of our services, it is either Stripe, Inc., the US parent company operating under US law, or Stripe Payments Europe, Limited (“SPEL”), an Irish company operating under Irish law, the data controller responsible for Personal Data collected and processed in relation to Stripe Services.
The Stripe entity responsible for your data will depend on your location, the product or service you use with us and whether Stripe is acting as a controller and/or data processor.
If you are located outside of the Americas (e.g., European Economic Area (“EEA”), Switzerland or the United Kingdom, countries located in Asia Pacific (“APAC”)), SPEL is the primary entity responsible for the processing of your personal data. Some of the payment processing services offered by Stripe are services that may be only provided for by an authorised payment services provider or electronic money institution. In this case, SPEL and the Stripe local regulated entity (defined as those who are licensed, authorized or registered by a Local Regulatory Authority) will act as joint controllers of your Personal Data.
Please see our table below for more information on who is your controller in these jurisdictions:
LOCATION OF USER
PURPOSE OF PROCESSING
NAME OF STRIPE ENTITY
LOCATION OF STRIPE ENTITY
EEA
Provision of certain authorised payment services in the EEA and Switzerland
Please see https://stripe.com/ie/ssa
Stripe Technology Europe, Limited (the e-money licensed entity with the Central Bank of Ireland)
Ireland
EEA
All other activities.
SPEL
Ireland
United Kingdom & Switzerland
Provision of authorised payment services in the UK.
Please see https://stripe.com/gb/ssa
Stripe Payments UK, Ltd. (the e-money licensed entity with the UK FCA)
United Kingdom
United Kingdom & Switzerland
All other activities.
SPEL
Ireland
United Kingdom
Provision Stripe Capital product and related services to Stripe users in the UK.
Stripe Capital Europe, Limited
Ireland
Stripe affiliates also provide local support services in certain countries where Stripe operates. These entities act as data processors on behalf of Stripe, Inc. or SPEL, depending on the jurisdiction. You will find the most up-to-date list of the Stripe affiliates on this page.
For certain products, Stripe may act as an independent controller (e.g. Stripe Capital), a data processor or both (e.g. Stripe Identity). Please see the Privacy Center article for each specific product for more information.
What are your data controller activities?
Providing the Stripe products and services to Business Users and End Users, including determining the third parties (banks and payment method providers) to be utilized;
Monitoring, preventing and detecting fraudulent payment transactions and other fraudulent activity on the Stripe platform;
Complying with legal or regulatory obligations applicable to the financial sector to which Stripe is subject, including applicable anti-money laundering screening and compliance with know-your-customer obligations; and
Analyzing, developing and improving Stripe’s products and services.
How does Stripe use personal data to improve its products and services?
Stripe collects data, including personal data, while providing services to its users. Stripe uses some of the data it collects to improve its products and services, including by training the models it employs for fraud and loss prevention and to analyze the performance of Stripe’s products as permitted by applicable law and agreements.
Personal data is required to train Stripe’s fraud and loss prevention models, including those employed by Stripe Radar and Stripe Identity. These products rely in part on their ability to recognize certain characteristics that help determine whether a transaction is fraudulent or unlikely to complete. For example, they compare Personal Data presented in a specific transaction to Personal Data collected in the past to identify when a fraudster is attempting to perpetrate fraud, including to impersonate a Stripe User or their End Customers.
In addition to using Personal Data to train its fraud and loss prevention models, Stripe also uses transaction data to assess the functioning of its current products and proposed product improvements. For instance, Stripe uses data collected by its java script library stripe.js to assess the performance of the checkout surfaces it provides to Business Users, and payment authorization data to evaluate ways to improve authorization rates for Business Users. Stripe uses Personal Data, such as IP address, to identify which pages and features a user interacted with during a checkout session, so that it can assess the effect different features have on the outcome of a checkout session.
Stripe uses pseudonymized or aggregated transaction data for these purposes in certain circumstances. When Stripe communicates the results of its product performance analytics to Business Users or for advertising purposes, it does so only in aggregated or de-identified form that does not permit third-parties outside of Stripe to associate that data with any particular End Customers.
You should consult your legal counsel regarding how best to disclose Stripe’s data usage to your customers. But, here is a paragraph you could add to your privacy policy if it doesn’t already include such a disclosure:
We use Stripe for payments, analytics, and other business services. Stripe may collect personal data including via cookies and similar technologies. The personal data Stripe collects may include transactional data and identifying information about devices that connect to its services. Stripe uses this information to operate and improve the services it provides to us, including for fraud detection, loss prevention, authentication, and analytics related to the performance of its services. You can learn more about Stripe and read its privacy policy at https://stripe.com/privacy.
As a Stripe User and as a data controller, what does GDPR mean for me?
As a data controller, Business Users are responsible for the relationship with the data subject (i.e., your End Customer). You may instruct a third party (like Stripe) to process the data, but it is your job to set the purpose (or objectives) and legal basis for the processing.
The GDPR requires data controllers to use third parties who agree to abide by certain contractual terms. To be sure of this, the data controller must have Data Processing Agreements (“DPAs”) with each third party. Our DPA has been designed to serve this purpose for you; it is strongly aligned with payment transactions, so it should establish that you are compliant with GDPR from a payments perspective.
Who are Stripe’s sub-processors and how are they vetted?
Please see our service providers page where we have a list of our most common sub-processors, service providers and affiliates. Stripe identifies, evaluates, and engages sub-processors through our vendor management program. We enter into a contract with each sub-processor prior to sharing data with the sub-processor, and each contract contains terms that provide for monitoring and audit. In addition, all potential vendors are vetted and approved through Stripe’s security review process before we begin using their services.
From where does Stripe collect information used for fraud prevention and security purposes?
To prevent fraud and strengthen our security, we may collect information from Business Users, End Customers, End Users, financial parties, and in some cases third parties. For example, we collect and analyze information that helps us identify bad actors and bots, including both transactional data (such as amount, customer shipping address, date, and so on) and advanced fraud detection signals (device and activity signals). Learn more.
Stripe also receives information from third parties to prevent and respond to security incidents, and for protecting against other fraudulent activity. For example, we may receive information from third parties about IP addresses that malicious actors have compromised.
How does Stripe use Personal Data to prevent fraud?
The Stripe products that use Personal Data to enable Stripe’s Business Users to detect and prevent fraud include Stripe Radar and Stripe Identity. Stripe also employs internal risk models and other product features, such as 3D Secure incorporated into Stripe’s Issuing product, to prevent its products and services from being used for fraudulent activity.
Stripe Radar processes personal data as described here using its machine learning model to produce scores indicating the likelihood that a payment method is being offered by someone other than an authorized user. These scores are designed to identify fraudulent transactions, they do not rate the character or creditworthiness of the individuals involved in a particular transaction. Based on the service selected by the Business User, Stripe may provide the Radar scores to its Business Users to help them to combat fraud and provide a mechanism for them to set rules to better manage transactions based on Radar scores and other indicators of fraud.
Stripe Identity uses Personal Data, as described here, to combat fraud by enabling Business Users to verify whether the person they are transacting with is who they say they are. Identity compares biometric identifiers in a selfie against government issued ID. Identity can also validate Personal Data, such as name, date of birth, and government ID number, that an End Customer types into a web form against government and third-party databases to determine if the identity presented matches the government issued ID number.
Stripe’s internal risk models seek to combat fraud by recognizing when a fraudster is attempting to use Stripe’s services for fraudulent purposes. For instance, Stripe uses Radar scores internally to determine whether a payment method offered to Stripe products such as Link, Frontier, Crypto Onramp, and Bill Pay should be accepted or rejected as likely fraudulent. Stripe’s internal risk models also use aggregated cardholder features to recognize when a large number of transactions are likely being conducted by the same individual for purposes of testing or cashing out stolen payment methods. Where Stripe recognizes such activity, it will block transactions to prevent harm to itself, its users, and others.
Along with attempting to combat fraud at the merchant and Stripe-wide levels as described above, Stripe also incorporates features in its individual products that use Personal Data to prevent fraud. One such feature is 3D Secure authentication, incorporated in Stripe Issuing. This feature is required by law in certain jurisdictions and requires cardholders to authenticate using one or more factors before they can complete an online transaction. Stripe and its service providers use and store personal data including cardholder PANs, contact information, and transaction history to authenticate cardholders using one time passcodes and knowledge of past transactions. These measures help combat fraud by increasing the likelihood that the person offering a card for payment is an authorized user.
I heard that Stripe is collecting additional information about my account from a third party and/or my other Stripe account. Why is Stripe collecting this information?
Stripe may collect additional information about your account to allow Stripe and its financial partners to detect fraud and/or fulfill financial compliance requirements. These requirements come from our financial partners or regulatory obligations and are intended to prevent abuse of the financial system. Examples of missing data fields include your address, phone number, social security number, date of birth, employer identification number, or website URL. Stripe may be able to fill in some of this information by leveraging data we have collected from one of your other Stripe accounts or by obtaining data from a third party. We will show Business Users the information that we are associating with their account on your dashboard, and Business Users may update or correct that information via your dashboard. Please see Stripe’s Privacy Policy for additional information.
Does Stripe collect precise location data?
Devices such as mobile phones or computers may collect precise location data using GPS technology. Stripe does not collect GPS data from devices and browsers.
Depending on the Services you use and the Business Users’ implementation of our Business Services, we will collect information (including IP addresses) through cookies and similar technology. We will collect your IP address when you visit our Sites. Please see our Cookie Policy to learn more. Stripe may use location information, including approximate latitude and longitude, derived from End Customers IP addresses to detect potentially fraudulent transactions.
We also receive approximate location information (such as country, city or state) from third party providers such as MaxMind to help us determine the approximate location of visitors to our website for marketing purposes (for example, inviting you to local Stripe events).
Does Stripe sell my personal information under the CCPA?
Stripe does not sell personal information. As such, Stripe does not sell personal information of minors under 16 years of age. For California residents, the California Consumer Privacy Act (“CCPA”) defines “selling” personal information to include providing it to a third party in exchange for money or valuable consideration.
What data does Stripe disclose to third parties and for what purposes?
For Shine the Light law (Cal. Civ Code § 1798.83) purposes, Stripe does not share personal data of California customers to third parties for their direct marketing purposes, as defined by this law.
The table below discloses the categories of personal information about California consumers that we collect and disclose for a business purpose.
CATEGORIES OF PERSONAL INFORMATION COLLECTED
DISCLOSED FOR A BUSINESS PURPOSE IN THE PRECEDING 12 MONTHS
TO WHOM THE DATA MAY BE DISCLOSED
Identifiers (for example, a device identifier)
Yes
We may disclose the data, pursuant to applicable law, to: service enablers (like service providers and financial partners servicing the financial product), the merchant that you do business with (a.k.a. our business user), an entity engaged in a business transfer/merger, law enforcement, courts, governments and regulatory agencies.
Characteristics of protected classifications under California or federal law (for example, gender and age noted in ID documents that you submit so that Stripe can verify your identity on behalf of your merchant - a.k.a. our business user)
Yes
We may disclose the data, pursuant to applicable law, to: service enablers (like service providers and financial partners servicing the financial product), the merchant that you do business with (a.k.a. our business user), an entity engaged in a business transfer/merger, law enforcement, courts, governments and regulatory agencies.
Commercial information (for example, the merchant that you choose to do business with - a.k.a. our business user - may receive your transaction data)
Yes
We may disclose the data, pursuant to applicable law, to: service enablers (like service providers and financial partners servicing the financial product), the merchant that you do business with (a.k.a. our business user), an entity engaged in a business transfer/merger, law enforcement, courts, governments and regulatory agencies.
Biometric information (for example, biometric identifiers from photo IDs used to confirm your identity)
Yes
We may disclose the data, pursuant to applicable law, to: a service provider - i.e., Amazon Web Services ("AWS"), an entity engaged in a business transfer/merger, law enforcement, courts, governments and regulatory agencies.
Online activity information (for example, information about devices and browsers across certain business user sites that use Stripe and IP addresses associated with those devices and browsers, and usage data)
Yes
We may disclose the data, pursuant to applicable law, to: service enablers (like service providers and financial partners servicing the financial product), the merchant that you do business with (a.k.a. our business user), an entity engaged in a business transfer/merger, law enforcement, courts, governments and regulatory agencies.
Geolocation Data (for example, IP addresses)
Yes
We may disclose the data, pursuant to applicable law, to: service enablers (like service providers and financial partners servicing the financial product), the merchant that you do business with (a.k.a. our business user), an entity engaged in a business transfer/merger, law enforcement, courts, governments and regulatory agencies.
Audiovisual (for example, visual, audio, or similar information, like photos you submit so that Stripe can verify your identity on behalf of your merchant – a.k.a. our business user)
Yes
We may disclose the data, pursuant to applicable law, to: service providers, the merchant that you do business with (a.k.a. our business user), an entity engaged in a business transfer/merger, law enforcement, courts, governments and regulatory agencies.
Professional or Employment-Related Information
Yes
We may disclose the data, pursuant to applicable law, to: Service Providers, an entity engaged in a business transfer/merger, law enforcement, courts, governments and regulatory agencies.
Categories of personal information described in Cal. Civ. Code 1798.80(e)(such as name, address, telephone number, credit card or debit card number)
Yes
We may disclose the data, pursuant to applicable law, to: service enablers (like service providers and financial partners servicing the financial product), the merchant that you do business with (a.k.a. our business user), an entity engaged in a business transfer/merger, law enforcement, courts, governments and regulatory agencies.
What sensitive personal information under the California Consumer Privacy Act (CCPA) does Stripe collect and for what purposes does Stripe use that data?
Stripe only processes sensitive personal information for the purposes specified in section 7027(m) of the California Consumer Privacy Act Regulations, or without the purpose of inferring characteristics about a consumer.
Sensitive Personal Information Categories
Purposes include:
Identification card, including driver’s license, passport, and social security (including any underlying sensitive information in the identity card, such as racial or ethnic origin)
Identity verification, fraud prevention and security, to provide the services, and to comply with legal obligations.
Biometric information
Identity verification, fraud prevention and security, and for other purposes consistent with your consent and applicable law, such as to improve our verification systems. Learn more.
Location data Learn more
Fraud detection and security, in furtherance of compliance with legal obligations, and to provide the services including to market our products.
Account log-in, financial account in combination with any required security access code, password, or credentials allowing access to an account
To provide you the service that you requested from your merchant (i.e., our Business User) and/or Stripe, verify your account, facilitate the processing of your requested payments, provide customer support, comply with law, enforce our terms of services, and for other purposes consistent with your consent and applicable law.
In addition to its sub-processors, what other third parties does Stripe share information with?
When we work with service providers in our capacity as a data processor for our Business Users’ and End Users’ personal data, the GDPR calls these third-party service providers a sub-processor. Sub-processors are service providers who have or potentially will have access to or process personal data on behalf of Stripe. These third parties are disclosed on our Stripe Service Providers List.
In addition to Stripe’s sub-processors, we may also share Business Users’ onboarding data and payment instrument information with third party business partners when this is necessary to provide our services to our Business Users. We do so, for example, for the purposes of offering payment processing services to our Business Users or facilitating payment settlements.
Third parties to whom we may disclose personal data for this purpose are banks, payment method providers and payment processors, including, but not limited to, the following entities:
American Express Payment Services Limited and American Express Payments Europe S.L.
Banking Circle S.A.
Barclays Bank PLC
Citibank Europe plc
Credit Mutuel Arkea and Arkea Banking Services
Currence iDEAL B.V.
Klarna AB
Mastercard Europe S.A.
Polski Standard Płatności
PPRO Financial Ltd.
Swisscard AECS GmbH
Visa Europe Limited
The data shared with payment method providers will depend on the payment method(s) enabled on the Business User’s account.
In addition, Stripe shares personal data as we believe necessary to, among other things, protect Stripe’s services, rights, privacy, safety and property of Stripe, our users or others. For example, to protect our services, Stripe may receive or disclose information about IP addresses that malicious actors have compromised.
Please note that if you provide us with your payment method information (e.g. a card number and expiration date) to store on file, Stripe will update your card information if your information has changed or been updated to ensure your transactions go through smoothly, including by working with your card issuer. If you would prefer to not have your updated payment method details shared with us, please reach out to your card issuing bank.
Transfer
Stripe will pass on personal data to affiliates and service providers or sub-processors, if deemed strictly necessary to carry out contractual obligations or for the data to be processed. Depending on the enabled payment method(s), data may be transferred to the jurisdiction(s) of the respective payment method(s). Before we engage any third party, we perform due diligence, including a vendor security assessment. All of our service providers are subject to contract terms designed to ensure that these service providers process personal data only for the purposes of providing services to Stripe and in accordance with our commitments to Users and applicable data protection laws. Moreover, Stripe maintains and enforces a security program that addresses the management of security and the security controls employed by Stripe, which includes third party risk management. In addition, Stripe employees, agents, and contractors acknowledge their data security and privacy responsibilities under Stripe’s policies.
Financial Connections
If you are an End Customer who has been asked to link your financial account using Stripe, please visit the support webpage here to learn more about our privacy practices. Or you can jump to the specific topics linked here:
What Business User and Representative data does Stripe share with a payment method to facilitate Business Users’ enabling the payment method?
Stripe makes it possible for its Business Users to enable payment methods including card networks such as Visa and MasterCard, mobile and online payment methods such as WeChat Pay and Alipay, and buy now pay later providers such as Klarna and Afterpay. When a Business User asks Stripe to help it enable a payment method, the payment method provider may require Business Users and their Representatives' Personal Data for a number of purposes, including complying with know your customer (KYC), anti-money laundering, and other legal and compliance requirements, preventing fraud, facilitating transactions, and providing services to Business Users. For these purposes, Stripe may provide payment method providers with Business User data, including but not limited to business name, business type, merchant category codes, merchant ID, transaction history, and bank account information. Stripe may also provide payment methods with Business Users’ Representatives’ personal data, including name, address, contact information, date of birth,tax identification number, and other government issued ID information.
What data about End-Customers and their transactions is used by Radar and what data does Stripe share with its Radar Business Users?
When processing payments, it’s valuable to Stripe, Business Users and End Customers to enable legitimate transactions while also trying to prevent fraudulent transactions, making online purchases safer for everyone involved. Radar helps detect potentially fraudulent transactions for Stripe’s Business Users (i.e., merchants) through machine learning and other techniques. To do this, Radar leverages data collected across our Services.
Radar’s machine learning model produces transaction “scores” indicating the model’s assessment of the likelihood that a transaction is fraudulent. Business Users can leverage this score and use it to implement automated rules to determine whether to allow, block, or flag transactions for additional review. Business Users can use Radar as one of multiple inputs in making decisions with respect to the potential for fraud in a transaction.
Radar uses data collected about the End Customer from various sources, including payments transaction data, advanced fraud detection data, Bank Connections data, IP address, and physical address information. Radar uses this data to assess whether the payment method offered by the End Customer is likely unauthorized.
Stripe may share with the Business User and allow them to export (where allowed by Law) certain information relevant to fraud detection, including:
a transaction score that assesses the likelihood of the transaction becoming a fraudulent charge-back,
risk insights for that transaction,
related payments made by the End-Customer to the Business User,
other transaction data related to that End-Customer’s transaction with that Business User (e.g., cardholder name, card information, and the payment amount and date),
device and browser information for the device used to make the transaction with that Business User, and
As noted in Stripe’s Privacy Policy, Stripe does not sell personal data, it provides this data to Business Users to facilitate their use of Stripe’s fraud prevention services.
As a Business User, what notice do I provide to my End Customers about Stripe?
Under the terms of our agreements, Business Users are required to provide all necessary notices and obtain all necessary rights and consents from their End Customers to enable Stripe to lawfully collect, use, retain and disclose the Personal Data as part of the Stripe Services. Business Users, as data controllers, are responsible for the contents of their privacy notice and cookie banner. As an example, here is a paragraph that you can consider adding to your privacy notice (if you don’t already have such a disclosure):
We use Stripe for payment, analytics, and other business services. Stripe collects and processes personal data, including identifying information about the devices that connect to its services. Stripe uses this information to operate and improve the services it provides to us, including for fraud detection and prevention. You can learn more about Stripe and its processing activities via privacy policy at https://stripe.com/privacy.
Please be aware that the disclosure above is for illustrative purposes only and is not legal advice. Please talk to your legal advisor to understand how to comply with your obligations under applicable law.
To comply with our transparency obligations, we explain how our cookies are used in our Cookie Policy and our Cookies Settings Dashboard sets out our list of cookies. We remind our Business Users to review the cookies placed on their website and to update their cookie banners accordingly.
Are there any jurisdictional nuances to Stripe’s use of service providers in verifying the identity of Stripe’s business users?
Germany
Stripe, through its service providers, may use information from infoscore Consumer Data GmbH to verify the identity of Stripe Business Users in Germany. Information about infoscore Consumer Data GmbH is available here.
Data Obtained from Third Parties
If you have been notified by Stripe that we obtained your data from a third party, the following applies:
Your Personal Data will be processed in accordance with Stripe’s Privacy Policy, which describes:
the identity and the contact details of Stripe;
the contact details of Stripe’s Data Protection Officer;
the purposes of the processing for which the Personal Data are intended as well as the legal basis for the processing, which includes prospecting and direct marketing, as permitted under applicable law;
the recipients or categories of recipients of the Personal Data. In addition to the recipients mentioned in the Stripe Privacy Policy, Personal Data may be shared with Salesloft, Inc. as a processor of Stripe;
that Stripe intends to transfer Personal Data to a recipient in a third country and a reference to the appropriate or suitable safeguards and the means to obtain a copy of them or where they have been made available (see here and here for more information);
the period for which the Personal Data will be stored and/or the criteria used to determine that period;
the existence of the right to request from Stripe access to and rectification or erasure of Personal Data or restriction of processing concerning the data subject and to object to processing as well as the right to data portability or any other applicable rights under data protection laws (see also here);
the right to lodge a complaint with a supervisory authority.
We may have obtained the following Personal Data from third parties: name, business contact details (e.g., email, phone number, social media handle), business address, company/employer information, role and position, and industry.
We use a number of third parties to obtain Personal Data from, including Cognism Limited, ZoomInfo Technologies Inc., API Hub, Inc. dba Clearbit, Crunchbase Inc., PitchBook Data, Inc., infoAnalytica, Inc., People Data Labs, Inc., and Dealroom.co. These third parties collect Personal Data as separate controllers in accordance with their own privacy policies. If you wish to have your data removed from their respective database(s), please contact those parties directly. Some of these parties may have obtained your data from publicly accessible sources.
We do not use Personal Data we have obtained from third parties for automated decision-making.
Where Stripe relies on legitimate interest to process your Personal Data, such legitimate interest may be:
B2B market research and analysis;
B2B prospecting and selling; and
B2B marketing and advertising.
Stripe Legal Bases Tables
What legal basis does Stripe rely on to process personal data as a data controller?
We rely upon a number of legal grounds to enable our use of your Personal Data. In short, we use Personal Data to facilitate the business relationships we have with our Business Users and End Users, to comply with our financial regulatory and other legal obligations, and to pursue our legitimate business interests. We also use Personal Data to complete transactions and to provide payment-related services to our Business Users.
Our table below provides a detailed overview of why and how we use your Personal Data.
For the purposes of the General Data Protection Regulation, we rely upon a number of legal bases to enable our processing of your Personal Data.
End Users
When you directly use an End User Service (such as when you sign up for Link, or make a payment to Stripe Climate in your personal capacity), for your personal use, we refer to you as an “End User.”
PROCESSING PURPOSE
CATEGORIES OF PERSONAL DATA
LEGAL BASES
Provide our Services. To provide services to you, including delivery, support, personalization and messages related to the service.
Your name, contact information, payment information including Bank Account Information and Bank Payments, and/or payment card number, CVC code and expiration date.
Our contractual necessity to perform our contractual relationship with you, under applicable data protection laws.
For the provision of our services including Link, Atlas and Identity. When we process data based on your consent, you have the right to withdraw your consent at any time without affecting the lawfulness of processing based on such consent before the consent is withdrawn.
If you choose to use Link you agree to let Stripe store your payment method and related information so that you can more readily make purchases with Business Users who use Stripe to provide payment processing services (e.g. Stripe Checkout).
Based on consent in processing this personal information.
Card Products and Financial Products including Issuing and Treasury Direct Services.
We use your Personal Data to offer you card products and financial products and services under the Stripe brand and/or under the brand of a Business User.
Your name, email address, phone number, postal address, transaction information, password, PIN or similar credentials, card PANs, age, DOB, credit card number, drivers license number, tax ID, cookie data, tags and beacons, IP address.
Our legitimate interests in promoting our products and in determining eligibility for and offer new Stripe products and services.
Provide cryptocurrency-related services, including enabling End Users with Link accounts to purchase cryptocurrency from licensed third-party cryptocurrency exchange providers using a variety of payment methods and save certain personal information to facilitate subsequent cryptocurrency-related transactions.
Your name, email address, date of birth, billing address, IP address, information related to your cryptocurrency wallet (including wallet identifier, access times, and IP address used to create and access the wallet), and information related to your cryptocurrency purchases, including your transaction history.
Based on consent in processing this personal information.
Offer our Services and Alert you of Changes to our Services.
For example, through Stripe Capital we offer capital loans to certain users who can satisfy particular criteria and to help determine if you qualify for a loan or not. Such information will be processed prior to the offer of a loan in order to determine eligibility.
The name of the representative of business, physical address of business, and the borrower's Stripe ID. The rest of the data processed concerns business information and not personal data.
Our legitimate interests in promoting our products and in determining eligibility for and offer new Stripe products and services.
Fraud Detection Services.
We use your Personal Data collected across our Services (e.g. Stripe Radar) to detect and prevent fraud against us, our Business Users and financial partners, including to detect unauthorized log-ins using your online activity.
Transaction information. This includes: name, email address, billing and/or shipping address, payment method information (such as credit or debit card number, bank account information or payment card image), merchant and location, purchase amount, date of purchase, and in some cases, some information about what you have purchased, phone number and tax-related ID.
This includes web browsing information, usage data, referring URLs, location, cookies data, device data and identifiers.
IP address and physical address.
Our legitimate interests in monitoring and detecting fraud to ensure we detect activity that can have a harmful effect on our End Users.
Marketing and Advertising. We may use your Personal Data to assess your eligibility for and offer you other Services. We use End User Personal Data for interest-based advertising and marketing purposes. We do not share End Customer Personal Data to third parties for their marketing purposes unless you give us or the third party permission to do so.
Contact information including: name, email address, work phone number, and job title.
Connection data such as IP address, and web behavior (page visited, length on page, etc.)
Based on consent in processing this personal information.
Our legitimate interest in undertaking marketing activities to offer you products or services that may be of interest to you.
Compliance and Harm Prevention. We process and share Personal Data as we believe necessary: (i) to comply with applicable law, (ii) for compliance with rules imposed by payment method in connection with use of that payment method (e.g. network rules for Visa); (iii) to enforce our contractual rights; (iv) to secure or protect the Services, rights, privacy, safety and property of Stripe, you or others, including against other malicious or fraudulent activity and security incidents; and (v) to respond to valid legal process requests from courts, law enforcement agencies, regulatory agencies, and other public and government authorities, which may include authorities outside your country of residence.
Any Personal Data we process, including information necessary for identity verification such as government-issued IDs or selfie images.
Where these processing activities or disclosures are necessary to comply with our legal obligations, for the protection of a person's vital interests, for reasons of public interest, for reasons of substantial public interest, or for the purposes of Stripe’s or a third party’s legitimate interest in keeping Stripe secure, preventing a breach of the law, harm or crime, enforcing or defending legal rights, claims, or obligations, facilitating the collection of taxes and prevention of tax fraud or preventing loss or damage.
End Customers
When you do business with, or otherwise transact with, a Business User (typically a merchant using Stripe Checkout, e.g. when you buy a pair of shoes from a merchant that uses Stripe for payment processing) but are not directly doing business with Stripe, we refer to you as an “End Customer.”
PROCESSING PURPOSE
CATEGORIES OF PERSONAL DATA
LEGAL BASES
Provide our Services to Business Users, including to process online payment transactions or in-person checkout, to calculate applicable sales tax, to invoice and bill, and to calculate their revenue.
If you are an End Customer, when you make payments to, send shopping cart reminders, get refunds from, begin a purchase or otherwise transact with a Business User through Stripe’s Services or a Stripe-provided device, Stripe will receive your transaction information. Depending on how the Business User has integrated our Business Services, we may receive this information directly from you, the Business User or another service provider to you or the Business User.
Transaction Information (including from Checkout, Payment Processing and Treasury/Issuing Use). Your name, email, billing and/or shipping address, payment method information (such as credit or debit card number, bank account information or payment card image), merchant and location, purchase amount, date of purchase, and in some cases, some information about what you have purchased, phone number and tax-related ID. The payment method information that we collect will depend upon the payment method that you choose to use from the list of available payment methods offered by the Business User as part of the “checkout” process for your purchase. We may also receive your transaction history with the Business User.
Transaction-Related Information / Purchase Interests. Information typed into a checkout field that is not ultimately submitted to the Business User.
Our legitimate interests in providing the Stripe products and services. Stripe processes this personal data given its legitimate interest in improving the Services and where it is necessary for the adequate performance of the contract with the Business Users.
Provide our Services to Business Users, to order payment methods on a per-customer basis on behalf of the Business User, to implement fraud thresholds chosen by the Business User, and to verify your payment method.
Verification Information. Your age (when purchasing age restricted goods) or information about you being the person who is authorized to use a payment method.
The information collected will be the information that you choose to share for these purposes, which may include your government ID, your photo, your live image, and Personal Data apparent from the physical payment method (e.g. credit card image).
Our legal obligations in respect of our financial and regulatory obligations.
Reduce fraud and enhance security. We will use Personal Data about your identity, including information that you provide, to perform verification Services for Stripe or for the Business Users that you are doing business with and to reduce fraud and enhance security.
In some cases you may provide a “selfie” along with an image of your identity document, and we will use technology to compare and calculate whether they match and can be “verified.” We will use information from our service providers and our Services to help verify your identity and fraud prevention.
Based on consent in processing this personal information.
Our legitimate interests in detecting, monitoring and preventing fraud and unauthorized payment transactions.
Radar and Card Verification Services. We use Personal Data of End Customers to detect and prevent fraud for Business Users, including to detect fraudulent payment cards using payment card images and unauthorized log-ins using online activity. In providing such services, we may provide Business Users that have requested such services with limited Personal Data about End Customers so that the Business Users can assess the fraud risk associated with an attempted transaction by its End Customer. We may also use payment card images to improve our Business Services.
Transaction information. This includes: name, email address, billing and/or shipping address, payment method information (such as credit or debit card number, bank account information or payment card image), merchant and location, purchase amount, date of purchase, and in some cases, some information about what you have purchased, phone number and tax-related ID.
This includes web browsing information, usage data, referring URLs, location, cookies data, device data and identifiers.
IP address and physical address.
Our legitimate interests in detecting, monitoring and preventing fraud and unauthorized payment transactions.
Compliance and Harm Prevention. We share Personal Data as we believe necessary: (i) to comply with applicable law, (ii) to comply with rules imposed by payment method in connection with use of that payment method; (iii) to enforce our contractual rights; (iv) to secure or protect the Services, rights, privacy, safety and property of Stripe, you or others, including against other malicious or fraudulent activity and security incidents; and (v) to respond to valid legal process requests from courts, law enforcement agencies, regulatory agencies, and other public and government authorities, which may include authorities outside your country of residence.
Any Personal Data we process.
Our legal obligations where disclosures are necessary to comply with our legal obligations.
Our legitimate interest in keeping Stripe secure, preventing a breach of the law, harm or crime, enforcing or defending legal rights, claims, or obligations, facilitating the collection of taxes and prevention of fraud or preventing loss or damage.
Representatives
When you are acting on behalf of an existing or potential Business User (e.g. you are a founder of a company, or administering an account for a merchant who is a Business User), we refer to you as a “Representative.”
PROCESSING PURPOSE
CATEGORIES OF PERSONAL DATA
LEGAL BASES
Reduce fraud and enhance security. We will use Personal Data about your identity, including information that you provide, to perform verification Services for Stripe.
Onboarding and verification information that you choose to share for these purposes, which may include your government ID, photo, live image, and Personal Data apparent from the physical payment method (e.g. credit card image).
Our legal obligations in respect of our financial and regulatory obligations. We process Personal Data to verify the identity of the Representatives of our Business Users in order to comply with fraud monitoring, prevention and detection obligations, laws associated with the identification and reporting of illegal and illicit activity, such as AML (Anti-Money Laundering) and KYC (Know-Your-Customer) obligations, and financial reporting obligations.
Advertising. We may use and share Representative Personal Data with others so that we may advertise and market our products and services to you, including through interest-based advertising subject to any consent requirements under applicable law.
Contact information including: name, email address, work phone number, and job title.
Connection data such as IP address, and web behavior (page visited, length on page, etc.)
Based on consent in processing this personal information.
Communications.We may send you email marketing communications about Stripe products and services, invite you to participate in our events or surveys, or otherwise communicate with you for marketing purposes, provided that we do so in accordance with applicable law, including any consent or opt-out requirements.
Contact information such as your name, email address, phone number.
Based on consent in processing this personal information.
Our legitimate interests in responding to inquiries, sending Service notices, ensuring compliance with applicable laws, preventing fraud, improving our services and providing customer support.
Tax and Atlas (Incorporation) Services. We may use your Personal Data to file taxes on behalf of your associated Business User. If your Business User uses Atlas, we may use your Personal Data to submit forms to the IRS on your behalf and to file documents with other governmental authorities.
Your contact details, such as name, postal address, telephone number, and email address; and financial and personal information about you, such as your ownership interest in the Business User, your date of birth and government identifiers associated with you and your organization (such as your social security number, tax number, or Employer Identification Number). You may also choose to provide bank account information.
Our compliance with legal obligations in respect of our financial and regulatory obligations. We process Personal Data to verify the identity of the Representatives of our Business Users in order to comply with fraud monitoring, prevention and detection obligations, laws associated with the identification and reporting of illegal and illicit activity, such as AML (Anti-Money Laundering) and KYC (Know-Your-Customer) obligations, and financial reporting obligations.
Our contractual necessity to perform our contractual relationship with you, under applicable data protection laws.
Visitors
When you visit a Site without being logged into a Stripe account or otherwise communicate with Stripe, we refer to you as a “Visitor.” (e.g. you send Stripe a message asking for more information because you are considering being a user of our products).
PROCESSING PURPOSE
CATEGORIES OF PERSONAL DATA
LEGAL BASES
Communications. We use any contact information that you provide to us to respond to any inquiries or requests for information you made; and if you have asked about us or our Services, to send you marketing emails by either asking for your consent or providing you an opt out in any messages we send.
Contact information such as your name, email address, phone number.
Information you have provided to us, such as the products you are interested in.
Based on consent in processing this personal information.
Our legitimate interests in responding to inquiries, sending Service notices and providing customer support.
Advertising. When you visit our Sites, we (and our service providers) may use Personal Data collected from you and your device to target advertisements for Stripe Services to you on our Sites and other sites you visit (“interest-based advertising”).
Information collected from cookies such as your device, browser ID, and pages on our website which you have visited.
Based on consent in processing this personal information.
Our legitimate interest in undertaking marketing activities to offer you products or services that may be of interest to you.
Fraud Detection. We use your Personal Data collected across our Services to detect and prevent fraud against Stripe, our Business Users and financial partners.
Advanced Fraud Signals information collected via cookies. This includes web browsing information, usage data, referring URLs, location, cookies data, device data and identifiers.
Our legitimate interests in detecting, monitoring and preventing fraud and unauthorized payment transactions.
Data Processing Agreement
What is a Data Processing Agreement (DPA) and how can I get one with Stripe?
A Data Processing Agreement (“DPA”) is a contract between a data controller and a data processor that describes the roles and responsibilities of the parties when personal data is processed. If you are a Business User, please visit our FAQs page here to learn more about our DPA. Please contact us or your account manager if you have any questions.
Information about Stripe Products
How do you implement Privacy by Design at Stripe?
Privacy by design aims at building privacy and data protection up front and into the design specifications and architecture of information and communication systems and technologies to facilitate compliance with privacy and data protection principles. We rely on our internal privacy team and a review process for any new product launch. We are dedicated at every level of product development —from engineering to product management—to making privacy a key consideration. This helps ensure that people can trust the Stripe products that they enjoy every day.
Stripe Identity
End Customers
If you have been asked to verify your identity or have verified your identity using Stripe Identity, please visit the support web pages here and here to learn more about our privacy practices for Stripe Identity. Alternatively, you can jump to the specific topics linked here:
Business User That Requested Verification
If you are a Business User that is using or intends to use Stripe Identity, please visit the support web page here for additional guidance on what you can tell your users and hereand here for additional guidance on privacy considerations for your business.
Stripe’s Card Image Verification
If you have been asked by your merchant (i.e., a Stripe Business User) to scan your credit card before completing your requested transaction, please visit the support webpage here to learn more about Stripe’s Card Image Verification.
Stripe Connect At a Glance
Description
Stripe Connect is a payment software your third party platform provider (Platform) may use to enable you to receive Stripe services (including payment processing) and/or receive payouts.
Data Controller/ Data Processor
Stripe acts as both a data controller and data processor for the Platform. The Stripe entity that acts as data controller/ data processor for data processed in Europe is Stripe Payments Europe Limited (“SPEL”).
Personal Data
The personal data transmitted to Stripe usually involves first name, last name, address, identification number, e-mail address, IP address, telephone number, and other data necessary for payment processing.
Purpose
The transmission of the data is aimed at payment processing, ledger management, and fraud prevention. The Business User / Platform will transfer personal data to Stripe. The personal data exchanged between Stripe and the Business User / Platform may be transmitted to verification agencies, and Business User data may be shared with Platforms. This transmission is intended for the Platform to manage its ledger and for Stripe to conduct identity and risk checks.
Transfer
Stripe will pass on personal data to affiliates and service providers or sub-processors, if deemed necessary to carry out contractual obligations or for the data to be processed.
Privacy Policy
For full details please see the applicable Privacy Policy of Stripe.
I am a user with a Custom connected account. Does Stripe also collect information about my Custom connected account from a third party?
If you are a user with a Custom connected account, Stripe may collect additional information about your account to enable fraud detection and fulfill financial compliance requirements. These requirements for additional information come from our regulators or financial partners and are intended to prevent abuse of the financial system. Examples of missing data fields include your address, phone number, social security number, date of birth, employer identification number, or website URL. Stripe may leverage data we already have from one of your Stripe accounts or Stripe may fill in some of this information by receiving data from a third party. You may view the information that we are associating with your account and update or correct that information by contacting the platform or business that created your Stripe payment account. Please see Stripe’s Privacy Policy for additional information.
What responsibilities do Connect platforms with custom accounts have to allow their users to update or correct information associated with their accounts?
You, the Platform, are responsible for all interactions with your Custom accounts and for collecting all of the information needed to verify the Custom account-holders. Since Custom account holders cannot log into Stripe, it is up to you to build the user dashboard and communication channels. You are responsible for actioning any request by a user to update or correct their Stripe Custom account information.
I am a user with a Custom connected account. Will data collected from a third party be visible to my customers?
Card networks and issuers use statement descriptors to identify payments on a cardholder’s bank statement. Statement descriptors usually include information about the payment, such as the name and phone number of the seller. However, the exact information displayed is ultimately up to a cardholder’s bank. If Stripe updates your account’s business address, phone number, or email address, these fields may be displayed on the statement descriptor within the cardholder’s bank statement. However, the exact information displayed is ultimately up to the card network or the cardholder’s bank. If any information is incorrect, please reach out to the platform through which you receive charges to ensure you have provided them with the most accurate information about you and your business.
What are Stripe ACS, Transaction Authentication, and Behavioral Biometrics?
What is Stripe ACS?
Stripe ACS is Stripe’s transaction authentication solution for card issuers (e.g., banks). Stripe ACS helps card issuers to authenticate transactions of cardholders when they are making payments online using their cards.
What is behavioral biometrics?
Behavioral biometrics is an innovative technology that can be used for the purpose of preventing fraud and identifying legitimate transactions. Behavioral biometrics leverages a combination of personal data and device characteristics to distinguish between legitimate customers and fraudsters or bots.
How is behavioral biometrics data collected and used in Stripe ACS?
This processing is designed to verify a cardholder’s identity based on their behavioral biometric data which is modeled based on data collected during each authentication attempt.
This type of transaction authentication will typically observe interactions within a system or device to verify a cardholder’s identity for the purposes of authenticating online payments. The following elements may be processed during the authentication process:
Length of text field inputs
Location of mouse pointer
Modifier key details (e.g., CTRL, SHIFT)
Timing and location of mouse clicks
Timing and location of touch events
Timing between keystrokes
Window scroll position
For the purpose of fraud risk mitigation, this processing involves use of a device identifier cookie (Ndcd, Device ID, DID) that aims to accurately analyze biometrics data observed on a specific device. This cookie facilitates device detection in order to enhance fraud detection and prevention as well as to identify suspicious devices or devices that are behaving abnormally. This is a first party, strictly necessary cookie that is active on the touch.tech and touchtechpayments.com domains, and has a duration of 12 months. For more information on how we use cookies, please see Stripe’s Cookie Policy.
Purpose of processing and Stripe’s role
Stripe may process biometric data relating to cardholders in order to assist card issuers to authenticate payment transactions. This is done as part of Stripe’s payment transaction authentication services provided to card issuers (including for the purposes of meeting Strong Customer Authentication requirements).
In providing these services to card issuers, Stripe acts as a data controller in relation to cardholder data. Please see Stripe’s Privacy Policy to learn more about our use of personal data.
As part of providing this authentication services to card issuers, Stripe engages with a third party provider, Mastercard, which also acts as a data controller. See Mastercard’s Privacy Notice for details on Mastercard’s processing activities in this context.
Customers rights and choices
Upon initiating a transaction, cardholders will have the option of providing their consent to processing their behavioral biometrics data as part of the transaction authentication flow. This will be presented to the cardholder during the checkout flow on the merchant’s website or app when authentication is requested from the card issuer. Cardholders will have the option to withdraw their consent during each subsequent transaction flow.
To withdraw consent outside of a transaction flow, you can email privacy-acs@stripe.com with the subject matter line “Stripe ACS - withdraw consent”. In your email to withdraw consent, please provide: (a) the first 6 digits of your card number as this enables Stripe to identify your issuing bank (please do not provide any digits other than the first 6 digits); and (b) the phone number (including the country code) registered with your bank account that is used for one-time passcodes.
We will action this withdrawal request as soon as possible after it is verified, but please note that this can take up to 10 working days as we may need to verify the request with your card issuer. You may also contact the card issuer in order for the issuer to implement this withdrawal of consent by engaging with Stripe.
To submit a request to exercise any of the other rights described in our Privacy Policy, you may contact Stripe at privacy-acs@stripe.com.
Promotional Emails Feature
For End Customers and prospective End Customers of our Business Users
What is the Promotional Emails feature?
Promotional Emails is a feature that gives Business Users who use “Stripe Checkout” services a new tool to enable sending email promotional content to their customers and prospective customers. When you visit a Business User’s checkout page (that is powered by Stripe Checkout services), the Promotional Email feature will enable Stripe to collect information about your preferences to receive promotional emails from that merchant.
Promotional email preferences are collected whether or not you complete the purchase or are just a prospective End Customer. “Prospective End Customer” means you visited a Business User’s site and expressed an intent to make a purchase by starting a purchase on the Business User’s checkout page, but did not complete that purchase during that session. To be a “prospective End Customer” for the promotional email feature, you also need to have started to input your contact information into the checkout form, and then not delete that information prior to the end of the session.
If you, prospective End Customer, indicate permission to receive news and personalized offers by virtue of the opt-in/opt-out checkbox on your Business User’s checkout form, the following personal data is provided to your Business User so that your Business User can contact you to remind you of the items you left in the checkout or to provide you news and personalized offers:
Email (if provided by you).
Items in your cart with that merchant (if any).
“Personalized offers” means promotional or marketing materials tailored to you, such as coupons or advertisements based on the items in your cart or (in some cases) your prior purchases from that Business User. Even if you opt-out of personalized offers by a Business User, if you do business with that Business User, they may still need to contact you in order to enable a purchase (e.g., for delivery or billing purposes) or in connection with customer support. Please see your Business User’s privacy policy for more information.
What is Stripe’s role (Data Processor/Controller) in the processing of my Personal Data?
For the Promotional Emails feature, Stripe acts as a data processor or service provider, meaning that Stripe is acting at the direction of the Business User that has implemented this Stripe provided feature. The Stripe entity that acts as a data processor for personal data is:
Stripe Inc. in the United States.
Stripe Payments Europe Limited outside of the United States, including Europe
What Personal Data Is Stripe Collecting?
Stripe’s Privacy Policy describes in more detail the personal data that Stripe collects in connection with payment transactions.
What Personal Data is Shared by Stripe with the Business Users I use?
Whenever you complete a transaction on a Business User’s website that uses Stripe services, as a service provider to that Business User, Stripe will share your contact information with that Business User. Business Users use the information that Stripe provides in accordance with its own privacy policy, including in connection with your purchase.
With the Promotional Emails feature:
If you complete a purchase with a Business User, in addition to the transaction-related information identified in our Privacy Policy (e.g., your contact and billing information and the details of your transaction), Stripe will also share with your Business User your personalized offers and news preferences as determined by the opt-in/opt-out checkbox from your checkout form.
If you are a prospective End Customer (you start a purchase with your Business User on their checkout form but do not complete that purchase), the personal data that we share with your Business User depends on the following:
If you have not inputted any personal data into your Business User’s checkout form, then we will not share any personal data with that Business User.
If you have inputted personal data into your Business User’s checkout form:
If the checkbox for receiving news and personalized offers is not enabled when you leave your Business User’s checkout session, we will not share any of that personal data.
If the checkbox for receiving news and personalized offers is enabled when you leave your Business User’s checkout session, we will share the following information with that Business User:
Email (if provided by you).
Items in your cart with that merchant (if any).
End Customers and prospective End customers should always review the privacy policy or notice of the Business Users they visit and do business with for information about the Business User’s data collection practices and purposes outside of this Stripe feature.
Does Stripe share my personal data with other Business Users?
No. Stripe does not share personal data collected in connection with purchases (or attempted purchases) from one Business User’s checkout with another Business User. Please see our Privacy Policy to learn more about our practices.
How do I stop promotional emails from a merchant?
Any offers or promotional emails that you receive as a result of a Business User’s use of the Promotional Emails feature are sent by Business Users (or others identified in the message), and not by Stripe. I If you do not find value in receiving these emails, please contact the Business User you are receiving the messages from. Stripe requires that Business Users that choose to implement the Promotional Email feature also provide the option to unsubscribe or opt-out of receiving further promotional messages. It would be a breach of Stripe’s terms of service for a Business User to not promptly comply with opt-out requests.
How Does the Data Collection and Transfer Work?
The Promotional Email feature does not use cookies or track you across Business Users. Information collected from the Business User’s checkout page is transferred only to the Business User via API calls or webhooks. Webhooks are a way for Stripe to send the information to the Business User automatically upon their request. Your information provided at checkout is encrypted in transit using HTTPS and TLS. See Security at Stripe for more information.
How do I stop the sale of my personal data in connection with this feature?
Stripe does not sell your personal data. See our Privacy Policy for more information. The Promotional Emails feature is not the sale of personal data. Rather, Stripe acts as a processor (or service provider) to Business Users for the Promotional Email feature. Please contact your Business User to learn about their personal data practices and how you can exercise rights to stop the sale or processing of personal data provided under applicable law and/or their privacy policy.
Stripe requires that Business Users that choose to implement the Promotional Email feature also provide the option to unsubscribe or opt-out of receiving further promotional messages. It would be a breach of Stripe’s terms of service for a Business User to not promptly comply with opt-out requests.
For Business Users
How to Use this Service as a Business User
If you are a business that is using or intends to use Stripe’s Promotional Emails feature, please visit the support webpage for tips and guidance on information to share with your End Customers and prospective End Customers regarding privacy considerations in connection with the Promotional Emails feature for your business.
Stripe Delegated Authentication
Cardholders
You may be given the option to enable on-device biometric verification and provide your consent for Stripe to store your payment method details for future transactions that use the same card. Please visit our support site to learn more about our privacy practices for Stripe Delegated Authentication. Alternatively, you can jump to a specific topic here:
Why does the cardholder see Stripe when asked to authenticate a payment?
How is personal data used in Stripe Delegated Authentication?
Link
We offer you the opportunity to store your payment methods with us so that you can conveniently use it across certain merchants who are our Business Users – we call this “Link” (formerly known as “Remember Me”). When you choose to use Link, you agree to let us store your payment method so that you can more readily make purchases through Link with Business Users of our payment processing Business Services (e.g., name, card number, cvc, and expiration date). We will also collect other Transaction Data, including billing address, shipping address, email and phone number. Your payment method data is secured using PCI-DSS standards.
Should you not have used Link and receive an SMS in error due to an inaccurate number being inserted at the authentication flow stage you can opt out here and your personal data will be deleted.
Stripe Capital
Stripe Capital provides Business Users with access to fast, flexible funding so businesses can manage cash flows and invest in growth. Depending on your business’s corporate structure, eligible Business Users may apply for one of two Stripe Capital products: a loan or a merchant cash advance (“MCA”). Loans are provided by Celtic Bank in partnership with Stripe Capital.
What information does Stripe process for Stripe Capital?
We use existing data linked to your Stripe Account to evaluate your business’s eligibility for Stripe Capital. You may also be asked to link additional data sources, such as business bank accounts or business credit information, for Stripe to evaluate in order to receive funding through Stripe Capital. The following information may be considered prior to the offer of a loan or a MCA in order to determine eligibility, including:
Payment processing volume
Payment processing growth
Chargeback rate
Customer base
Duration of relationship with Stripe
Bank account balances
Transaction history
Business credit history
Where Stripe is satisfied that a Business User meets particular criteria established by Stripe and bank partners (as applicable), we will send the Business User an email and dashboard notification notifying them of their business’s eligibility for potential funding and invite them to apply for a loan or a MCA.
Once you have received an offer and submitted an application to receive your financing, we will use this above listed information to verify your business’s eligibility and where your application is approved, to disburse the loan or the MCA to your linked bank account.
The legal basis for using your information
We will use your data where its use is in accordance with our legitimate business interests. Analysis of our Business User’s information helps us to manage our business for our legitimate interests. It allows us to:
Verify the identity of our Business Users in order to comply with fraud monitoring, prevention and detection obligations, applicable laws associated with the identification and reporting of illegal and illicit activity, such as AML (Anti-Money Laundering) and KYC (Know-Your-Customer) obligations, and financial reporting obligations.
Assess the level of financial risk to us, financial partners and to Business Users involved in offering Business Users a loan or MCA.
Enhance our learning models to allow us to better tailor our loans or MCAs to, and decrease the risk to, you and other Business Users.
We will also process your data where it is necessary for a loan or MCA agreement that you have entered into or because you have submitted an application to receive funding so that you can enter into a loan or MCA agreement with us.
We may send you email marketing communications about Stripe Capital offers, provided we do so in accordance with applicable law, including any consent requirements.
Who does Stripe share information with?
Stripe does not share any Personal Data collected for Stripe Capital related to Business Users in the UK. In the future, Stripe may share your agreement data with third parties who purchase the right to receive repayments on your loan or MCA.
What is Stripe’s role?
Stripe, Inc., or a wholly-owned subsidiary of Stripe, is the controller of your data.
For Business Users located in the UK, the joint controllers of your data are Stripe Payments Europe, Limited. (“SPEL”) and Stripe Capital Europe Limited, Ltd. (“SCEL”). The loan or MCA provided under the loan agreement is solely provided by SCEL.
How do I opt-out of receiving Capital offers?
Business Users have the option to unsubscribe or opt-out of receiving Capital offers via the link included in Stripe Capital emails. Business Users may also opt-out of dashboard notifications via the settings page of the Stripe Dashboard.
Linked Financial Accounts
If you are an End Customer who has been asked to link your financial account using Stripe, please visit the support webpage here to learn more about our privacy practices. Or you can jump to the specific topics linked here:
Are there instances when Stripe receives non-Stripe transaction history?
Yes. For example, Stripe enables the Business User to import non-Stripe data through the Stripe Dashboard to consolidate their revenue data in one place. Learn more. Separately, Stripe may also obtain your account transactions from your financial account with your consent. Learn more.
Refunds to End Customer Bank Account
End Customers
If you have been asked to provide your bank account and other information to process a refund on behalf of your merchant (i.e., our Business User), please visit the webpage here to learn more about our privacy practices for end customer bank account refunds.
Business User that uses Stripe to Process Refunds
If you are a Business User that is using or intends to use Stripe to process refunds, please visit the webpage here for additional guidance on privacy considerations for your business.
Stripe Frontier
What is Stripe Frontier?
Frontier is an advance market commitment (AMC) that aims to accelerate the development of carbon removal technologies by guaranteeing future demand for them. It facilitates purchases from high-potential carbon removal companies on behalf of buyers. Learn more at https://frontierclimate.com/.
What information does Stripe Frontier collect?
We will collect any information you choose to provide to us, for example, through support tickets, emails or social media. When you respond to Stripe emails or surveys, we collect your email address, name and any other information you choose to include in the body of your email or responses. If you contact us by phone, we will collect the phone number you use to call Stripe, as well as other information you may provide during the call. We will also collect your engagement data such as your registration for, attendance of, or viewing of Stripe events and other interaction with Stripe personnel. See our privacy policy for more information.
What is the legal basis for processing Stripe Frontier information?
We rely on consent to process your data. Where you proactively reach out to Stripe and provide your data, Stripe will process your data based on Stripe’s legitimate business interests (e.g. help answer your queries, and provide customer support). With your permission or where allowed by law, we use your personal data to market our services to you, invite you to participate in our events or surveys, or otherwise communicate with you for our marketing purposes, provided that we do so in accordance with applicable law, including any consent or opt-out requirements.
Is my data relating to Stripe Frontier transferred?
We are a global business. Personal Data may be stored and processed in any country where we do business. We may transfer your Personal Data to countries other than your own country, including to the United States. These countries may have data protection rules that are different from your country. When transferring data across borders, we take measures to comply with applicable data protection laws related to such transfer. In certain situations, we may be required to disclose Personal Data in response to lawful requests from Officials (such as law enforcement or security authorities). See our privacy policy for more information.
What are my rights and choices with respect to the information collected for Stripe Frontier?
You may have choices regarding our collection, use and disclosure of your Personal Data. If you no longer want to receive marketing-related emails from us, you may opt-out via the unsubscribe link included in such emails or as described here. We will try to comply with your request(s) as soon as reasonably practicable. Depending on your location and subject to applicable law, you may have the following rights described here with regard to the Personal Data we control about you.
How do I exercise my rights as to Stripe Frontier?
EEA and UK . To exercise your rights, you may contact our DPO. If you are a resident of the EEA or we have identified Stripe Payments Europe Limited as your data controller, and believe we process your information within the scope of the General Data Protection Regulation (GDPR), you may direct your questions or complaints to the Irish Data Protection Commission. If you are a resident of the UK, you may direct your questions or concerns to the UK Information Commissioner’s Office.
California . If you are a consumer located in California, please review the California Consumer Privacy Act (“CCPA”) section of our Privacy Policy.
See our privacy policy for additional jurisdiction-specific provisions.
Any questions about Stripe Frontier and the processing of your data?
If you have any questions or complaints, please contact us.
Data Protection Officer
Does Stripe have a Data Protection Officer (DPO)?
Yes, Stripe has appointed a Data Protection Officer (“DPO”), who can and they can be reached via email.
Quebec Act Respecting the Protection of Personal Information
Who is Stripe’s person in charge of personal information under the Quebec Act Respecting the Protection of Personal Information in the Private Sector, and how do I contact them?
Stripe’s Chief Privacy Officer is the person in charge of personal information. You may contact them via email.
International Data Transfers
The detail below is provided for informational purposes. It is not intended to provide legal advice. Stripe urges Business Users to consult with counsel to familiarize themselves with the requirements that govern their specific situations.
How is Stripe dealing with international data transfers?
As a global business, Personal Data may be transferred to, and processed, in any country where we do business, where our service providers do business or if you use an international payment method or financial partner service, the countries in which that payment method or financial partner operates.
We may transfer your Personal Data to countries other than your own country, including to the United States. Stripe relies on a number of data transfer mechanisms to legalize the transfer of Personal Data around the globe.
Stripe continues to have appropriate safeguards and compliance measures to ensure an adequate level of protection of personal data transferred outside the UK, EEA and Switzerland. Stripe’s measures may include:
Transferring Personal Data from the originating to a country or recipient that has been deemed to have an adequate level of data protection by relevant privacy authorities, including the European Commission.
The Standard Contractual Clauses (“SCCs”) approved by the European Commision. SCCs are a transfer mechanism (in the form of a legal contract) used by Stripe to provide a legal mechanism to transfer EU personal data outside of the EEA/UK. These are required under EU data protection law (known as the GDPR) and are incorporated into our agreements.
The UK International Data Transfer Addendum (“UK Addendum”) issued by the UK’s Information Commissioner’s Office to provide a legal mechanism to transfer Personal Data from the UK. This mechanism is required under UK data protection law (known as UK GDPR) and is incorporated into our agreements,
Other alternative data transfer mechanisms approved by relevant privacy authorities to enable the transfer of Personal Data to a third country (e.g., a new version or successor to the Privacy Shield).
We have recently published our online Data Processing Agreement (“DPA”) to include the updated SCCs and the UK Addendum. The SCCs and UK Addendum are incorporated automatically into our online DPA. For more information, please see our FAQs.
Stripe respects the privacy of everyone that engages with our products and services, and we are committed to being transparent about our privacy processes and policies.To learn more about our commitment to privacy and data security, please see our Privacy Policy, the rest of the Stripe Privacy Center, and the Stripe Security Center.
We also want to highlight some of our supplementary measures to protect our Business Users’ data from unauthorized access.
Stripe employs security controls and maintains and enforces a security program that addresses the management of security. We also perform risk assessments and implement and maintain controls for risk identification, analysis, monitoring, reporting, and corrective action. Stripe maintains and enforces an asset management program that appropriately classifies and controls hardware and software assets throughout their life cycle. In addition, Stripe employees, agents, and contractors acknowledge their data security and privacy responsibilities under Stripe’s policies.
Stripe applies technical and organizational measures that include the following:
Physical access control to prevent unauthorized persons from gaining access to the data processing systems available at premises and facilities (including databases, application servers, and related hardware), where Personal Data are processed.
Virtual access control to prevent data processing systems from being used by unauthorized persons.
Data access control to ensure that persons entitled to use a data processing system gain access only to such Personal Data in accordance with their access rights, and that Personal Data cannot be read, copied, modified or deleted without authorization.
Disclosure control to ensure that Personal Data cannot be read, copied, modified or deleted without authorization during electronic transmission, transport or storage on storage media (manual or electronic), and that it can be verified to which companies or other legal entities Personal Data are disclosed.
Entry control to audit whether data have been entered, changed or removed (deleted), and by whom, from data processing systems.
Availability control to ensure that Personal Data are protected against accidental destruction or loss (physical/logical).
Separation control to ensure that Personal Data collected for different purposes can be processed separately.
By default, Stripe encrypts data at rest and data in transit. We further protect your data with tools like audit logs, access management policies and certifications as described on our Payments page in the section “Security and compliance at the core”. Security controls implemented at Stripe include TLS 1.2 configuration of endpoints for data in transit, TLS and/or SSL encryption for HTTPS and regular testing of infrastructure components. Two-step authentication is available for an extra layer of security at Dashboard login.
We get requests for access to data from law enforcement, and we review each request with the goal of responding with the minimum amount of required information in response to legitimate, legally mandated requests.
If you have any questions, please contact us.
Does Stripe rely on the Privacy Shield?
We no longer rely on the Privacy Shield as a transfer mechanism for data transfers given the EU-U.S. Privacy Shield and Swiss-U.S. Privacy Shield are no longer valid as a result of the Schrems II decision issued by the European Court of Justice on July 16, 2020. We do continue to commit to the principles of the Privacy Shield Framework and Stripe continues to certify that it adheres to the Privacy Shield Principles as it can still provide privacy protections to Business Users. To view Stripe’s certification, please visit the Privacy Shield website.
We acknowledge the announcement of the EU-U.S. Data Privacy Framework in March 2022 and the release of the Executive Order on Enhancing Safeguards For United States Signals Intelligence Activities on 7 October 2022. We are committed to ensuring that our Business Users’ data can continue to flow freely between the EU and the U.S. and we will continue to closely monitor the legal requirements and guidance from the US and the EU.
How do the SCCs and UK Addendum impact my organization?
SCCs are legal contracts entered into between parties that are transferring EEA Personal Data outside of the EEA. At present Stripe relies on the SCCs for transfers of EEA data in our services. We have updated our agreements to implement the modernized SCCs (where applicable).
How to get a copy of the SCCs or UK Addendum?
We can provide more information about the appropriate or suitable safeguards that we have in place, such as a copy of the SCCs on request.
If you are a business with a Stripe account located in the United States, the UK, the EEA or Switzerland, the SCCs and UK Addendum are incorporated into your DPA and form part of your Stripe Services Agreement.
If you have signed an older version of the SCCs (being those that were developed prior to the GDPR), these will remain valid for (i) transfers of Personal Data from the EEA and Switzerland until 27 December 2022, and (ii) transfers of Personal Data from the UK until 21 March 2024. Please contact us or your account manager and we will send you the latest DPA with the latest transfer mechanisms. Alternatively, on your acceptance of the DPA the SCCs incorporated into the DPA will replace any prior version of the SCCs you have signed.
How do the European Commission’s new Standard Contractual Clauses impact my organization?
Standard Contractual Clauses (“SCCs”) are legal contracts entered into between parties that are transferring EEA personal data outside of the EEA. At present Stripe relies on the existing SCCs for transfers of EEA data in our services. We have updated our agreements to implement the modernised SCCs (where applicable).
How to get a copy of the SCCs?
We can provide more information about the appropriate or suitable safeguards that we have in place, such as a copy of the SCCs on request.
If you are a Business User, we offer the modernised SCCs published in 2021 (“2021 SCCs”) for cross-border transfers outside of the EEA and Switzerland. The older versions of the SCCs will continue to apply to transfers of personal data from the UK. We will continue to monitor regulatory requirements and guidance from the UK Information Commissioner’s Office. If you have signed an older version of the SCCs, these will remain valid until 27 December, 2022. If you would like to sign the 2021 SCCs, you can reach out to us at any time.
Please contact us or your account manager for more information.
Your Rights and Choices
How do I exercise my data protection rights?
Depending on your location and subject to applicable law, you may have the followings rights:
Right to access
Right of rectification
Right to data portability
Right to restrict processing
Right to object to processing
Right to withdraw consent (where it is relied upon)
Right to erasure/deletion
Right to opt-out of receiving electronic communications from us
Right to non-discrimination for exercising your rights
Right to opt-out from a sale of personal information
Right to opt-out of “sharing” under California privacy law (learn more)
Right to limit the use or sharing of sensitive personal information (learn more)
Right to appeal Stripe’s response to your data subject request
Please read this section to find out more about specific rights. To submit a request to exercise any of the rights described above, please reach out to us by email, or via our form or by physical addresses listed in Contact Us.
You have the right to complain to your local data protection authority if you are unhappy with our privacy practices.
How do I access my data?
If you are a Business User or Representative, you may login in to the Stripe Dashboard to view personal information shared with Stripe.
If you are the End Customer of a Business User that uses Stripe services, the Business User would be the correct party to respond to a data subject access request related to your transactional information.
Depending on your location and subject to applicable law, you may have the right to request confirmation of whether Stripe processes Personal Data relating to you, and if so, to request a copy of that Personal Data. If you are an End User or otherwise have a direct relationship with us, you may submit your access request by email, or through our form. Please note that we may need to verify your identity and your relationship with us before we can proceed with your request.
How do I unsubscribe from marketing emails?
If you are a Business User or Visitor, you may unsubscribe from Stripe marketing emails here. If you have any questions about how to opt-out of Stripe marketing communications, please contact us here.
If you are a Link user, you may opt-out from marketing-related emails by using the unsubscribe link in any marketing email you receive, or by managing your subscription preferences in the Link website. To manage your preferences log into your Link account, then navigate to your account settings. Turn “Marketing emails - Receive updates and deals from Link and its partners” on or off. Your email address will be opted out of email marketing communications as soon as possible.
When does Stripe continue to process data after it has received a deletion request or objection to the processing?
In certain circumstances, Stripe may be required by law to retain and process your Personal Data even after a deletion request or objection to the processing. For instance, Stripe is required to retain certain Personal Data it receives from its Business Users to satisfy legal obligations under Know Your Customer (KYC) and Anti-Money Laundering (AML) laws.
Stripe may also rely on compelling legitimate grounds to continue processing your Personal Data. Stripe may act on such grounds, for instance, when it takes steps to prevent fraud and financial crimes. When Personal Data is necessary to enable or maintain the integrity of Stripe’s fraud detection and financial models, Stripe may not be able to honor requests to delete or stop processing that data. If Stripe honored such requests, fraudsters might take advantage of its willingness to do so to seek deletion of data related to their past fraudulent activities. Without such data, Stripe would be less able to recognize similar activities in the future.
What data may be shared or made available to enable me to see Stripe ads on other sites?
To enable visitors of Stripe.com to see Stripe ads on other sites, we use advertising cookies. The data that Stripe shares or makes available to enable this advertising includes identifiers, internet or other similar network activity, IP addresses, and device characteristics. Click the below links to learn more about the data that may be shared or made available to enable this feature. You can disable the toggle in the “advertising” section of our cookie settings page at any time.
Third Party Service
Data that we may share or make available
Service Description
Learn more
Purchase Information, Web Activity, Sign-up information, IP address, device and browser characteristics, timestamps of visits
The Meta Pixel is a snippet of JavaScript code that allows Stripe to track visitor activity on your website. It works by loading a small library of functions which we use whenever a site visitor takes an action (called an event) that we want to track (called a conversion).
https://developers.facebook.com/docs/meta-pixel
Purchase Information, IP Address, Web clicks, Sign-up information.
The Reddit Pixel is a tool that helps Stripe better understand the customer journey so we can measure, optimize and re-engage audiences for Stripe ad campaigns. The Reddit Pixel is used to leverage website insights and optimize ad campaigns to reach qualified users and drive conversions.
https://redditinc.force.com/helpcenter/s/article/About-Reddit-Ads-conversion-tracking
Marketo
Web traffic, Web clicks,
Marketo allows for tracking of end-user page visits and clicks to Stripe landing pages and external web pages. These are recorded in Marketo as “Visit Web Page” and “Clicked Link on Web Page” activities.
https://experienceleague.adobe.com/docs/marketo-measure/using/home
Yahoo
Unique identifier, Web clicks, timestamp of visits
Yahoo pixels are used to record many different types of events for conversion tracking across Stripe sites. These can include clicks or page visits.
https://developer.yahooinc.com/native/guide/native-dsp-migration-guide/pixels/
URL’s, referrer, IP address, device and browser characteristics, timestamps of visits.
The LinkedIn Insight Tag is a lightweight JavaScript tag. It is used on Stripe websites to enable features like website retargeting, conversion tracking, and website demographics.
YouTube
Web Activity, Sign-up information, IP address, device and browser characteristics, timestamps of visits
YouTube cookies track end-user page visits on Stripe sites in order to serve a more personalized ad experience on YouTube.
N/A
Does Stripe honor the Global Privacy Control (GPC) opt-out preference signal?
Yes. Global Privacy Control (GPC) is a signal that is sent by a web browser on your behalf that communicates your choice to opt-out of sharing for targeted advertisements. If you have enabled GPC on your browser, you will automatically be opted out of any “sharing” when you interact with our site. You can learn more about how to use opt-out preference signals by visiting the Global Privacy Control website.
Can I turn off tracking and advanced fraud signals?
Your web browser may allow you to manage your cookie preferences, including deleting or disabling Stripe cookies. If you choose to disable cookies, keep in mind that some features of our Site or Services may not operate as intended. Disabling cookies will not disable the collection of advanced fraud signals, which we use to prevent fraud on Stripe. The collection of this data is controlled by the Business User that integrated with Stripe. If a Business User seeks to disable this data collection, they can find instructions to do so through Stripe’s documentation. You can take a look at the help section of your web browser or follow the links below to understand your options for disabling cookies.
You can learn more about how businesses can disable collection of advanced fraud signals in our documentation for disabling advanced fraud detection.
How do I delete my account?
You can close your Stripe account from the Settings page on the Dashboard. You can read more about that on our support page: Close a Stripe account.
Please be aware that we will delete some, but not all, of the information that we hold, for the reasons explained below.
As a provider of payment services, Stripe is required to comply with many regulations, including anti-terrorism and anti-money laundering laws. These regulations and laws may require Stripe to retain transactional records associated with Business Users for a prescribed period of time after the close of the business relationship. You can read more about our underwriting obligations in our Privacy Policy.
How do I delete my Custom Connect account?
If you have a Custom Connect account, your account is managed by a Platform / Business User. They are the party responsible for managing payments for you and responding to your query; therefore we recommend reaching out to them for assistance.
How do I delete my Express Connect account?
If you have an Express Connect account, your account is managed by a Platform / Business User. They are the party responsible for managing payments for you and responding to your query; therefore we recommend reaching out to them for assistance.
How long will Stripe keep my data?
Stripe keeps Personal Data as necessary to achieve the purposes listed here. To determine the appropriate retention periods for different categories of Personal Data, we consider various criteria such as the jurisdiction you are located in, the nature of our relationship with you, the types of products or services being offered or provided to you, the nature and sensitivity of your Personal Data, retention requirements under applicable laws and regulations, and other legitimate interests we may pursue through retaining your Personal Data, including detecting and preventing fraud and financial crimes, enforcing and defending our legal rights, complying with valid legal process requests from courts or competent authorities, improving the quality of our services, and promoting our products and services as appropriate and as permitted by applicable law and agreements.
For most jurisdictions, Stripe will generally keep Personal Data we obtain from our Business Users for a period of five or more years from the end of the business relationship with you, or the date of the last transaction, whichever is later.
The table below outlines different categories of personal data collected, along with the retention period or the criteria used to determine that period.
CATEGORIES OF PERSONAL DATA COLLECTED
RETENTION PERIOD OR THE CRITERIA USED TO DETERMINE THAT PERIOD
Non-sensitive Identifiers (e.g., name, postal address, IP address, email address, account name)
For the duration necessary for Stripe to: (1) comply with legal obligations under applicable law; (2) provide the Stripe services, and; (3) pursue our legitimate interests, including detecting and preventing fraud and financial crimes, enforcing and defending our legal rights, complying with valid legal process requests from courts or competent authorities, improving the quality of our services, and promoting our products and services as appropriate and as permitted by applicable law and agreements.
Categories of personal information described in Cal. Civ. Code § 1798.80(e) (such as name, address, telephone number, credit card or debit card number)
For the duration necessary for Stripe to: (1) comply with legal obligations under applicable law; (2) provide the Stripe services, and; (3) pursue our legitimate interests, including detecting and preventing fraud and financial crimes, enforcing and defending our legal rights, complying with valid legal process requests from courts or competent authorities, improving the quality of our services, and promoting our products and services as appropriate and as permitted by applicable law and agreements.
Characteristics of protected classifications under California or federal law (e.g., gender and age noted in ID documents that you submit so that Stripe can verify your identity on behalf of your merchant - a.k.a. our business user)
For the duration necessary for Stripe to: (1) comply with legal obligations under applicable law; (2) provide the Stripe services, and; (3) pursue our legitimate interests, including detecting and preventing fraud and financial crimes, enforcing and defending our legal rights, and complying with valid legal process requests from courts or competent authorities.
Commercial information (e.g., transaction data that the merchant you choose to do business with - a.k.a. our business user - may receive)
For the duration necessary for Stripe to: (1) comply with legal obligations under applicable law; (2) provide the Stripe services, and; (3) pursue our legitimate interests, including detecting and preventing fraud and financial crimes, enforcing and defending our legal rights, complying with valid legal process requests from courts or competent authorities, improving the quality of our services, and promoting our products and services as appropriate and as permitted by applicable law and agreements.
Biometric information (e.g., biometric identifiers from photo IDs and selfies used to confirm your identity)
No longer than 1 year, or upon revocation of your consent, whichever is earlier.
Internet or other electronic network activity information (e.g., certain information about devices and browsers across certain business user sites that use Stripe, and usage data)
For the duration necessary for Stripe to: (1) comply with legal obligations under applicable law; (2) provide the Stripe services, and; (3) pursue our legitimate interests, including detecting and preventing fraud and financial crimes, enforcing and defending our legal rights, complying with valid legal process requests from courts or competent authorities, improving the quality of our services, and promoting our products and services as appropriate and permitted by applicable law and agreements.
Geolocation Data (e.g., IP addresses)
For the duration necessary for Stripe to: (1) comply with legal obligations under applicable law; (2) provide the Stripe services, and; (3) pursue our legitimate interests, including detecting and preventing fraud and financial crimes, enforcing and defending our legal rights, and complying with valid legal process requests from courts or competent authorities.
Audiovisual (e.g., visual, audio, or similar information, like photos you submit so that Stripe can verify your identity on behalf of your merchant – a.k.a. our business user)
For the duration necessary for Stripe to: (1) comply with legal obligations under applicable law; (2) provide the Stripe services, and; (3) pursue our legitimate interests, including detecting and preventing fraud and financial crimes, enforcing and defending our legal rights, complying with valid legal process requests from courts or competent authorities, improving the quality of our services, promoting our products and services as appropriate and as permitted by applicable law and agreements.
Professional or Employment-Related Information
For the duration necessary for Stripe to: (1) comply with legal obligations under applicable law; (2) make certain employment and performance-related decisions; (3) address future hiring needs; (4) ensure health and safety in the workplace; (5) conduct certain administrative tasks, including to administer benefits; and (6) pursue our legitimate interests, including enforcing and defending our legal rights and complying with valid legal process requests from courts or competent authorities.
Education information that is not publicly available as defined in the Family Educational Rights and Privacy Act (20 U.S.C. § 1232g)
For the duration necessary for Stripe to: (1) comply with legal obligations under applicable law; (2) make certain employment and performance-related decisions; (3) address future hiring needs; (4) conduct certain administrative tasks, including to administer benefits, and; (6) pursue our legitimate interests, including enforcing and defending our legal rights and complying with valid legal process requests from courts or competent authorities.
Sensitive personal information, as defined by California law. Learn more
For biometric data, Stripe will not retain it for longer than 1 year or upon your revocation of consent, whichever is earlier.
For information regarding your government IDs (including the sensitive data therein) and your location data, Stripe will retain that data for the duration necessary to: (1) comply with legal obligations under applicable law; (2) provide the Stripe services, and; (3) pursue our legitimate interests, including detecting and preventing fraud and financial crimes, enforcing and defending our legal rights, complying with valid legal process requests from courts or competent authorities.
Where we rely on consent to collect your other sensitive personal information (e.g., financial account login credentials), Stripe will no longer retain this data upon your revocation of consent.
California Privacy Rights Metrics
The following includes aggregate metrics of data subject rights requests received between January 1, 2022 and December 31, 2022. This data reflects requests received from individuals in California and may also include requests from individuals who do not reside in California.
Number of “request to know” received, complied with in whole or in part, or denied: 5
Number of “requests to delete” received, complied with in whole or in part, or * denied: 7,118
Average number of days taken to respond to a request to know or delete: 1 day
There are instances where Stripe may deny a “request to know,” such as when the data subject fails to reply with information that would allow Stripe to accurately authenticate their identity to locate their data.
Even if we receive a “request to delete,” Stripe may nonetheless retain personal data where permitted by law, including to comply with our legal obligations. For example, as a provider of payment services, Stripe is required to comply with many regulations, including anti-terrorism and anti-money laundering laws. These laws require Stripe to retain certain information associated with Stripe users for a prescribed period of time after account closure. Learn more about our retention obligations in our Privacy Policy.
Due to the nature of Stripe’s products and services, when we receive a “request to delete,” our process is to direct the requestor to a page to action their request depending upon the relationship they have with Stripe. We also offer data subjects the opportunity to contact us, should they have any questions or concerns.
Request to Opt Out of Sale
Stripe does not “sell” personal information as defined by the California Consumer Privacy Act (CCPA). Learn more.
What is the Privacy Policy for Stripe Media Services?
The Privacy Policy for Stripe Media Services (Media Privacy Policy) describes how Stripe collects and processes personal data in order to provide the Stripe Media Services, including Stripe Press, Increment, and Works in Progress. We encourage you to read our Media Privacy Policy to learn more.
Does Stripe localize storage of data in India?
Personal Data may be processed either locally in India or in any other country where we have operations or where we engage service providers, to the extent permitted under applicable laws of India. The entire payment system data will be stored only in India in accordance with the RBI data localization guidelines.
Where can I lodge my complaint on data handling in India?
If you have any questions or complaints regarding the treatment of your Personal Data in India, please contact our Nodal Officer and Grievance Officer:
Name - Yogender Singh
Email Address - complaints-in@stripe.com
Address - 2nd Floor, WeWork Pavilion, Church Street, Bengaluru 560001, Karnataka, India
For more information about complaint handling, please visit here.
Separately, for law enforcement requests, please contact LERequests@stripe.com.
Notification IT Rules 2021
We are required to inform you that in case of non-compliance with rules and regulations, our Privacy Policy or user agreement, we have the right to terminate your access or usage rights immediately or remove non-compliant information or both, as the case may be.
Cookies & Other Technology
How does Stripe use cookies?
We use cookies to (1) ensure that our services function properly, (2) prevent and detect fraud and violations of our terms of service, (3) understand how visitors use and engage with our website and (4) analyze and improve our services. Depending on your relationship with Stripe and the domain you are visiting, different cookies apply. For instance some cookies are set on a public Stripe or Link domain, some on the Stripe Dashboard or a Link settings page, and some on the payment page available to end users who make payments using Stripe services, including Link.
Cookies play an important role in helping Stripe provide personal, effective and safe services. Please be mindful that we change the cookies periodically as we improve or add to our services. For more information, please see our Cookie Policy.
What is Stripe.js?
Stripe.js is a JavaScript library that businesses use to integrate Stripe and accept online payments (corresponding iOS and Android SDKs enable the same use cases). Stripe uses Stripe.js to facilitate fraud prevention technologies and the use of its Link payment services on the websites of Business Users.
For fraud detection, Stripe.js uses cookies, including `__stripe_mid`, `__stripe_sid`, and `m`, to collect signals differentiating legitimate behavior from fraudulent behavior. For example, fraudsters and bots often spend less time on Business Users’ pages than legitimate End Customers. We are able to detect this behavior and use it in evaluating the risk that a transaction is fraudulent.
When you visit a site that uses Stripe, you might see this fraud prevention activity in a privacy report or tracker list on your web browser. Stripe doesn’t—and won’t—share or sell the fraud data it collects using Stripe.js to advertisers. Stripe works to keep this fraud detection data secure and ensure it does not leave Stripe infrastructure. It is exchanged between the following Stripe-controlled hosts:js.stripe.com, m.stripe.network, and m.stripe.com, and access to this data is tightly restricted to a small number of Stripe employees whose security permissions are regularly reviewed. You can read more about how Stripe uses data for fraud prevention in our Privacy Policy.
Stripe also uses the Stripe.js library to implement cookies and similar technology such as `pay_sid`, `link.auth_session_client_secret`, and `elements_session` to enable Link to remember users’ information for faster checkout across Stripe merchant sites and to collect analytics related to Link’s implementation on checkout pages.
You should regularly review the Stripe cookies that are placed on your website and other data collected by Stripe.js. You should consult your counsel regarding how best to disclose this data collection to your customers, including by updating your cookie banner. But, here is a paragraph you could add to your privacy disclosures if they do not already include such information:
We use Stripe for payments, analytics, and other business services. Stripe collects identifying information about the devices that connect to its services, including via cookies and similar technologies. Stripe uses this information to operate and improve the services it provides to us, including for fraud detection, authentication, and analytics related to the performance of its services. You can learn more about Stripe and read its privacy policy at https://stripe.com/privacy.
What are advanced fraud signals?
Stripe’s advanced fraud detection looks at signals about device characteristics and user activity indicators that help distinguish between legitimate and fraudulent transactions. These signals are highly indicative of fraud and power Stripe’s fraud prevention systems, such as Radar. The signals are securely transmitted to Stripe’s backend by periodically making requests to the m.stripe.com endpoint.
You can learn more in our documentation for advanced fraud detection.
Why are advanced fraud signals not ad tracking?
Stripe only uses these advanced fraud detection signals to enable secure payments and prevent fraud. We don’t use this data to build individual profiles or share or sell it to third-party advertisers.
You can read more about how we use this data in our Privacy Policy.
How does Stripe remember payment method details for Link?
Link (formerly known as “Remember Me”) lets end users save and reuse their payment information for faster checkout at thousands of online businesses that use Stripe. When an end user makes a purchase via a Business User (i.e., merchant) that enables Link, the end user can ask Stripe to remember their payment method details, such as credit and debit card details. If an individual chooses to be remembered, Stripe will remember the end user’s email address, phone number, shipping address, and payment method details for future Link transactions.
The payment method details for future transactions may be remembered across multiple Stripe Business Users. Generally, once the cookie is set, the end user may make “1-click” purchases using Link when you check out, which means that Stripe will automatically populate the end user’s saved information into their checkout on their behalf, and use the information to complete the transaction faster.
If the end user enters their phone number or email address during a future Link transaction, Stripe will authenticate the end user by sending the end user a One Time Passcode (OTP), e.g. via an SMS message or email. If the end user correctly enters the OTP, Stripe or the Business User will set a cookie in the end user’s browser, indicating that the end user has been authenticated. If the end user does not enter the OTP, or elects to “log out” of their Link session then the cookie won’t remember the end user.
A cookie is only stored in a specific browser on a specific device. If an end user wishes to make 1-click purchases in a different browser or on a different device, they must go through the OTP authentication process for the new browser or device combination.
After 90 days, it will be necessary for the end user to re-complete the OTP process. The end user may also proactively remove the cookie by clearing cookies in their browser or by selecting the “log out” option when this option is presented in checkout.
If an end user no longer wishes for Stripe to remember their payment method details when they check out in the future, the end user may use the self-service deletion tool. Alternatively, the end user may also contact Stripe support to make this request.
The description above describes how an end user may control how their information is stored and used to check out. However, this does not affect the other contexts in which Stripe may store and use end user information. In particular, Stripe may store and use such information as described elsewhere on this Privacy Center - including for purposes such as for advanced fraud detection.
What obligations should Link users keep in mind relating to cookie technology on their sites?
Based on your integration choice (e.g., for Link in Elements), you may have legal responsibilities associated with cookies and similar technology that Stripe uses for fraud detection and/or authentication purposes.
You should always check with your legal counsel to understand how you should comply with applicable legal obligations with setting cookies and similar technology. This section has information to keep in mind.
Stripe cookies or similar technology are set on your domain (e.g. on your checkout flow) from the Stripe.js library. The current Stripe cookies from the Stripe.js library include fraud prevention cookies like `__stripe_mid`, `__stripe_sid`, and `m`, and also end-user authentication cookies like`pay_sid` and `__Host-LinkSession`.
You should regularly review the Stripe cookies that are placed on your website to ensure that your own privacy disclosures tell your end users about this type of data collection, and also update your cookie banner accordingly after reviewing the cookies placed on your website. Here is a paragraph you could add to your privacy disclosures if it does not already include such a disclosure:
We use Stripe for payment, analytics, and other business services. Stripe collects identifying information about the devices that connect to its services, including via cookies. Stripe uses this information to operate and improve the services it provides to us, including for fraud detection and authentication. You can learn more about Stripe and read its privacy policy at https://stripe.com/privacy.
Does Stripe use reCAPTCHA to protect its website from fraud and abuse?
Yes, some of the Stripe sites may implement Google reCAPTCHA Enterprise to help prevent fraud and abuse. Information collected by Google is used to provide and improve reCAPTCHA Enterprise and for general security purposes. Use of reCAPTCHA Enterprise is subject to Google’s Privacy Policy and Terms of Use.
Contact Us
Contact our Privacy team
If you have any outstanding privacy questions after reviewing the privacy policy, please don’t hesitate to reach out to us by email, or through our form.
If you’d like to send us physical mail, please send to:
Stripe, Inc.
354 Oyster Point Boulevard
South San Francisco, California, 94080, USA
Attention: Stripe Legal
Stripe Payments Europe Limited
1 Grand Canal Street Lower, Grand Canal Dock, Dublin, D02 H210, Ireland
Attention: Stripe Legal
Apple Pay
Apple Pay ist dafür konzipiert, deine Informationen zu schützen und es dir zu ermöglichen, auszuwählen, was du teilst.
Wenn du eine Karte zu Apple Pay hinzufügst, werden unter Umständen kartenbezogene Informationen, Gerätestandort und Informationen über Geräteeinstellungen und Gerätebenutzungsmuster an Apple gesendet, um einen berechtigten Anspruch zu überprüfen.
Manche der zuvor genannten Informationen, Kontoinformationen sowie Details zu gekoppelten Geräten werden mit dem Kartenaussteller bzw. der Bank geteilt, um Berechtigungen zu überprüfen und aus Gründen der Betrugsprävention.
Wenn du Apple Pay in Apps und auf Websites verwendest, werden Informationen, die zum Verarbeiten der Zahlung erforderlich sind, mit der App bzw. Website geteilt. Deine Kartennummer wird nicht mit dem Händler geteilt.
Apple Pay-Daten, die nicht mehr mit dir verknüpft sind, können von Apple genutzt werden, um Apple Pay und andere Apple-Produkte und -Dienste zu verbessern.
Mit Apple Pay kannst du in Geschäften, Apps und im Internet mit deiner Debit-, Kredit- oder Guthabenkarte sicher einkaufen.
Karten zu Apple Pay hinzufügen
Beim Hinzufügen einer Zahlungskarte wie einer Kunden-, Kredit-, Debit- oder Guthabenkarte zu Apple Pay werden von dir angegebene Karteninformationen und ob bestimmte Geräteeinstellungen aktiviert sind, an Apple gesendet, um deine Berechtigung zu prüfen, Apple Pay zu aktivieren. Dein Gerät kann auch Gerätenutzungsmuster (z. B. prozentuale Zeit, in der das Gerät in Bewegung ist, ungefähre Anzahl von Anrufen pro Woche) auswerten, um zur Verhinderung von Betrug beizutragen. Die von deinem Gerät ausgewerteten Daten werden nicht in einer Art und Weise mit Apple geteilt, die mit dir in Verbindung gebracht werden kann.
Folgende Informationen werden möglicherweise von Apple an deinen Kartenanbieter, das Zahlungsnetzwerk oder beliebige Anbieter, die von deinem Kartenanbieter zum Aktivieren von Apple Pay autorisiert wurden, weitergegeben, um die Berechtigung deiner Karte zu bestimmen, deine Karte mit Apple Pay zu konfigurieren und Betrug zu vermeiden:
Die Nummer deiner Kredit-, Debit- oder Guthabenkarte
Der Name und die Rechnungsadresse, die im Apple-ID-, iTunes- oder App Store-Account hinterlegt wurden
Allgemeine Informationen über Aktivitäten mit deinem Apple-ID-, iTunes- und App Store-Account (z. B. ob du bereits seit Langem Transaktionen in iTunes ausführst)
Informationen über dein Gerät und, wenn du eine Apple Watch verwendest, über das gekoppelte iOS-Gerät (z. B. die Geräte-ID, die Telefonnummer sowie der Name und das Modell deiner Apple Watch und des gekoppelten iOS-Geräts)
Dein Standort zum Zeitpunkt, an dem die Karte hinzugefügt wird (wenn die Ortungsdienste aktiviert sind)
Account- oder Geräteverlauf von hinzugefügten Zahlungskarten
Aggregierte Daten im Zusammenhang mit Informationen zu Zahlungskarten, die zu Apple Pay hinzugefügt wurden oder hinzugefügt werden sollten
Wenn du eine Karte mit einer Drittanbieter-App, etwa einer Banking-App, zu Apple Pay hinzufügst, sendet die App eine Account- oder Karten-ID an dein Gerät. Diese Informationen werden von Apple und deinem Kartenanbieter verwendet, um die Gültigkeit deiner Karte festzustellen, um die Karte mit Apple Pay zu konfigurieren und um Betrug zu verhindern. Um dir beim Einrichten von Karten zu helfen, die du auf anderen Geräten verwendest bzw. verwendet hast, speichert Apple eine Kartenreferenz in deinem iCloud-Account, anhand der die Karte nach dem Eingeben des Sicherheitscodes mithilfe des Kartenanbieters oder Zahlungsnetzwerkes erneut hinzugefügt werden kann. Apple Pay speichert die ursprüngliche Kredit-, Debit- oder Guthabenkartennummer nicht.
Mit Apple Pay bezahlen
Informationen, die beim Bezahlen geteilt werden
Wenn du dich entscheidest, Apple Pay für Zahlungen innerhalb einer App, im Internet oder in Apple Messages for Business zu verwenden, werden der App, Website oder dem Händler zusätzlich zu diesen Informationen auch deine Postleitzahl bzw. andere entsprechende Informationen zur Verfügung gestellt, um das Berechnen von anfallenden Steuern und Versandgebühren zu ermöglichen. Nach dem Autorisieren der Zahlung werden weitere, vom Händler angeforderte Informationen (etwa eine geräte- oder händlerspezifische Accountnummer oder deine Liefer- oder E-Mail-Adresse) ebenfalls weitergegeben. Beim Benutzen von Apple Pay wird die Nummer deiner Kredit-, Debit- oder Guthabenkarte nicht bereitgestellt.
Wenn du teilnehmenden Händlern berechtigte Apple Pay-Zahlungsmethoden für wiederkehrende oder händlerinitiierte Belastungen wie Abonnements bereitstellen möchtest, wird dein Kartenaussteller und/oder Zahlungsnetzwerk eine händlerspezifische und für solche Belastungen geeignete Accountnummer genehmigen oder generieren, um zu gewährleisten, dass diese Art von Belastungen von dir autorisiert werden. Es kann nur diese händlerspezifische Accountnummer von einem teilnehmenden Händler verwendet werden, um Transaktionen zu autorisieren, ohne dass du eine bestimmte Handlung ausführen musst. Apple weiß daraufhin, welche Händler mit deinen händlerspezifischen Accountnummern verknüpft sind, kann aber nicht einsehen, was du gekauft oder wie viel du bezahlt hast. Du kannst händlerspezifische Accountnummern in Wallet verwalten, indem du auf die Karte und anschließend auf „Mehr“ tippst, um die Kartendetails anzuzeigen.
Bei In-App- oder Online-Transaktionen, die über Karten mit bestimmten verbesserten Betrugspräventionsmaßnahmen durchgeführt werden sollen, analysiert dein Gerät Informationen über deine Apple-ID, dein Gerät und deinen Standort, sofern „Ortungsdienste“ für Wallet aktiviert ist, um Betrugspräventionsbewertungen auf dem Gerät zu erstellen. Nur das Ergebnis der auf dem Gerät erstellten Betrugspräventionsbewertungen wird an Apple gesendet, nicht die zugrunde liegenden Daten, und mit Informationen verknüpft, die Apple über dein Gerät und deinen Account bekannt sind, um Betrugspräventionsbewertungen von Apple Pay-Transaktionen zu erstellen. Diese Betrugspräventionsbewertungen von Transaktionen können neben einer Lieferadressen-ID und IP-Adresse mit deinem Zahlungsnetzwerk geteilt werden, um Betrug zum Zeitpunkt der Transaktion zu verhindern. Die Lieferadressen-ID variiert je nach Zahlungsnetzwerk und kann verwendet werden, um zu bestätigen, ob die Lieferadressen für unterschiedliche Transaktionen, die mit einer bestimmten Karte auf deinem Gerät durchgeführt werden, identisch sind. Die eigentliche Adresse wird dabei nicht preisgegeben. Du kannst jederzeit überprüfen, ob eine Karte über diese verbesserte Betrugsprävention verfügt, indem du die Rückseite deiner AnmelVeröffentlichungsdatum: 1. Februar 2023n für Zahlungen in Wallet aufrufst. Wenn die Betrugspräventionsbewertungen nicht mit dem Zahlungsnetzwerk geteilt werden sollen, kann eine andere Karte gewählt werden.
Apps und Websites können überprüfen, ob Apple Pay konfiguriert ist
Wenn du dich auf einem Gerät mit iOS, watchOS oder macOS in einer App oder auf einer Website befindest, die Apple Pay verwendet, kann die App bzw. Website prüfen, ob Apple Pay auf dem Gerät aktiviert ist. Wenn du Websites in Safari auf einem iOS-Gerät besuchst oder einen Mac verwendest, auf dem keine Karte hinzugefügt werden kann, kann die Website prüfen, ob du Apple Pay auf einem iPhone oder einer Apple Watch, die denselben iCloud-Account verwendet, eingerichtet hast. Du kannst in den Einstellungen ändern, dass von dir besuchte Websites prüfen, ob Apple Pay aktiviert ist. Gehe in iOS zu „Einstellungen“ > „Safari“ > „Apple Pay prüfen“. Wähle auf dem Mac „Safari“ > „Einstellungen“ > „Datenschutz“ und deaktiviere die Option, mit der du es Websites erlauben kannst, die Verfügbarkeit von Apple Pay und Apple Card zu prüfen.
Zahlungsmethoden schützen
Zahlungsmethoden in Safari schützen
Um dir den Schutz deiner Zahlungsmethoden im Apple-Ökosystem zu erleichtern und die Vorteile der Datenschutz- und Sicherheitsmaßnahmen von Apple Pay zu nutzen, werden deine unterstützten Apple Pay-Zahlungsmethoden aus Wallet auch in der Safari-Funktion „Automatisch ausfüllen“ verfügbar sein. Bei Onlinekäufen auf Websites mit der Safari-Funktion „Automatisch ausfüllen“ kannst du eine virtuelle Kartennummer konfigurieren, um die Nummer deiner physischen Karte zu verbergen, sofern diese Funktion von deinem teilnehmenden Kartennetzwerk und -aussteller unterstützt wird. Um diese Funktion zu ermöglichen, sendet Apple begrenzte Informationen über deine Zahlungsmethode an dein Netzwerk, das wiederum eine virtuelle Kartennummer erstellt, die du während des Onlineshoppings mit der Safari-Funktion „Automatisch ausfüllen“ nutzen kannst. Zum Verwalten deiner Apple Pay-Kartennummern, einschließlich virtueller Kartennummern, tippe in Wallet auf die Rückseite deiner Karte, um die KartPublished Date: February 1, 2023n anzuzeigen. Daneben kannst du Zahlungsmethoden schon in der Safari-Funktion „Automatisch ausfüllen“ besser schützen, indem du mit Apple Pay bezahlst oder eine virtuelle Kartennummer anstelle der Nummer deiner physischen Karte verwendest. Öffne dazu „Einstellungen“ > „Wallet & Apple Pay“ und aktiviere „Apple Pay verwenden, falls verfügbar“. Wenn diese Option aktiviert ist, werden begrenzte Informationen über deine in der Safari-Funktion „Automatisch ausfüllen“ gesicherte Karte, die zum Überprüfen deiner Berechtigung für Apple Pay notwendig sind, an dein Zahlungsnetzwerk zur Verifizierung gesendet. Wenn dein Zahlungsnetzwerk die Gültigkeit deiner Karte bestätigt, fügt Apple die Zahlungsmethode zu Wallet hinzu und dein Netzwerk erstellt eine Apple Pay-Kartennummer für einen verbesserten Schutz beim Onlineshopping.
Apple-ID-Zahlungsmethoden schützen
Um dir die Verwaltung deiner Zahlungsmethoden im Apple-Ökosystem zu erleichtern, kann Apple prüfen, ob Apple Pay-Zahlungsmethoden qualifiziert sind, um als Zahlungsmethode für deine Apple-ID hinterlegt zu werden. Diese Zahlungsmethoden werden dann unter „Einstellungen“ > „[dein Name]“ > „Zahlung & Versand“ > „Zahlungsmethode hinzufügen“ > „In Wallet gefunden“ angezeigt. Wenn du eine Transaktion mit deiner Apple-ID ausführst, prüft Apple möglicherweise, ob hinterlegte Apple-ID-Zahlungsmethoden für Apple Pay qualifiziert sind. Ist dies der Fall, kann Apple zum Schutz deiner Zahlungsinformationen Apple Pay für diese Zahlungsmethode aktivieren. Du kannst deine Apple-ID-Zahlungsmethode jederzeit unter „Einstellungen“ > „[dein Name]“ > „Zahlung & Versand“ ändern.
Apple überträgt Zahlungsinformationen, speichert diese aber nicht
Um Zahlungsinformationen innerhalb von Apps, Websites und Geschäftschats sicher zu übertragen, werden sie in verschlüsselter Form an Apple übertragen. Dabei werden die Informationen mit einem händlerspezifischen Schlüssel kurz ent- und wieder verschlüsselt, sodass nur der Händler, der Entwickler oder ihr Zahlungsabwickler deine Zahlungsinformationen entschlüsseln kann. Wenn du eine Zahlung auf einem Mac vornimmst, auf dem sich eine Karte nicht hinzufügen lässt, kommunizieren der Mac und das autorisierende Gerät über einen verschlüsselten Kanal via Apple-Server. Apple speichert keine dieser Informationen in einer Form, die Rückschlüsse auf deine Person zulässt.
Bestellungsverfolgung mit Apple Pay
Für die Bestellungsverfolgung sendet dir ein teilnehmender Händler bei einem Kauf mit Apple Pay gerätebeschränkte Bestellinformationen, mit denen das Gerät deine Bestellung erfassen kann. Darüber hinaus stellt Apple dem Händler eine händlerspezifische Geräte-ID und ein Push-Token bereit, die der Händler zum Senden von Updates zur Bestellung an das Gerät verwenden kann. Apple erleichtert das Empfangen von Händlerupdates, speichert aber keine Bestellinformationen oder erfasst wie viele, wie häufig oder welche Händler Updates zur Bestellung senden. Daten zur Bestellungsverfolgung werden lokal auf deinen Geräten gespeichert und geräteübergreifend aktuell gehalten. Dies erfolgt durch das Synchronisieren mit einer verschlüsselten Kopie, auf die Apple keinen Zugriff hat. Du kannst deine Apple Pay-Bestellungen jederzeit verwalten, indem du sie durch Tippen anzeigen lässt, auf eine bestimmte Bestellung tippst und dann „Bestellung verwalten“ auswählst. Auch Mitteilungen über Bestellungen können verwaltet werden. Öffne dazu „Bestellungen“, tippe auf die Taste „Mehr“ und dann auf „Mitteilungen stummschalten“.
Wenn du dich bei deinem Account abmeldest, werden auf deinem Gerät eventuell weiterhin bestimmte Informationen über Bestellungen gespeichert, über die das Gerät noch Updates erhält. Diese Informationen sind für Benutzer:innen des Geräts nicht sichtbar, werden für eine kurze Zeitspanne gespeichert und von deinem Gerät nur genutzt, um keine weiteren Updates mehr nach der Abmeldung an das Gerät zu senden und somit nicht autorisierten Zugriff auf deine Bestellinformationen zu vermeiden.
ÖPNV-Karten
Durch Hinzufügen einer ÖPNV-Karte zu Wallet werden Informationen zu deiner ÖPNV-Karte mit deinem iCloud-Account verknüpft. Solange deine ÖPNV-Karte über ein positives Guthaben verfügt, bleibt die Karte deinem iCloud-Account zugeordnet, um sicherzustellen, dass du das Guthaben wiederherstellen kannst. Wird mehr als eine ÖPNV-Karte zu Wallet hinzugefügt, können Apple und seine Partner möglicherweise persönliche Daten und Accountinformationen miteinander verknüpfen, die zwischen Karten bestehen, d. h. es könnte sein, dass personalisierte ÖPNV-Karten mit nicht personalisierten ÖPNV-Karten verknüpft werden. In Japan werden gesammelte, nicht persönlich identifizierbare Informationen zum Konfigurieren von Apple Pay-ÖPNV-Karten möglicherweise gelegentlich mit Mobilgeräteanbietern geteilt.
Beim Verwenden von ÖPNV-Karten hat das kontaktlose Kartenlesegerät möglicherweise Zugriff auf Informationen wie kürzlich besuchte Stationen, den Transaktionsverlauf sowie weitere Fahrkarten. Auf diese Informationen kann jedes kontaktlose Kartenlesegerät in der Nähe zugreifen, wenn die Karte als deine „Express-ÖPNV-Karte“ konfiguriert wurde (eine Einstellung, die das Durchführen von Transaktionen ohne Touch ID, Face ID oder einen Code ermöglicht). „Express-ÖPNV“ kann auf deinem iOS-Gerät in „Einstellungen“ > „Wallet & Apple Pay“ oder in der Apple Watch-App durch Tippen auf „Wallet & Apple Pay“ > „Express-ÖPNV-Karte“ und Auswählen einer Zahlungskarte verwaltet werden.
Kunden- und Geschenkkarten
Mit Apple Pay kannst du auch in Wallet gespeicherte kontaktlose Kunden- und Geschenkkarten zum Bezahlen in ausgewählten Geschäften verwenden. Durch Hinzufügen einer Kunden- oder Geschenkkarte zu Wallet werden Informationen über deinen Kundenaccount oder deine Karte (einschließlich einer Kennung) auf deinem Gerät gespeichert und über iCloud synchronisiert. Die iCloud-Synchronisierung kann deaktiviert werden, indem du „Einstellungen“ > „[dein Name]“ > „iCloud“ auswählst und „Wallet“ deaktivierst.
Sobald eine Apple Gift Card eingelöst oder Guthaben zu deinem Apple-ID-Account hinzugefügt wurde, wird deine Apple Account-Karte zu Wallet hinzugefügt, sodass du dir problemlos deine neuesten Transaktionen ansehen und dein Apple Account-Guthaben in Stores von Apple verwenden kannst.
Wenn du Apple Pay in Geschäften verwendest, wird vom Lesegerät bei der Transaktion möglicherweise die Kennung der verknüpften Kunden- oder Geschenkkarte auf deinem Gerät angefordert. Diese Funktionalität kann deaktiviert werden, indem du die Karte in Wallet auswählst, auf „i“ tippst und „Autom. Auswahl“ deaktivierst. Es kann beim Bezahlen mit Apple Pay sein, dass das Zahlungsterminal in manchen Geschäften keine Kundenkartenkennung von deinem Gerät erhält und du über einen Hinweis gefragt wirst, ob du deine Kundenkarte zu Apple Pay hinzufügen oder dich beim Kundenprogramm des Händlers anmelden möchtest, wenn du nicht bereits Mitglied bist. Solltest du dich für das Kundenprogramm anmelden, wirst du vom Händler ggf. nach Informationen wie deinem Namen, deiner PLZ, E-Mail-Adresse und Telefonnummer gefragt. Apple wird darüber informiert, wenn du für eine für Apple Pay aktivierte Karte eines Händlers persönliche Informationen bereitstellst. Diese Informationen werden jedoch direkt von deinem Gerät an den Händler gesendet und in Übereinstimmung mit der Datenschutzrichtlinie des Händlers behandelt.
Studentenausweise
Wenn du einen unterstützten Studentenausweis zu Wallet hinzufügen möchtest, können Informationen über deinen Studentenausweis sowie Informationen, ob bestimmte Geräteeinstellungen aktiviert sind, an Apple gesendet werden. Apple kann Informationen auch deiner Bildungseinrichtung und Anbietern, die von dieser Einrichtung für die Aktivierung deines Schülerausweises autorisiert wurden, bereitstellen, um die Gültigkeit und Konfiguration deiner Karte zu bestätigen und Betrug zu verhindern. Zu diesen Informationen gehören:
Die Nummer deines Studentenausweises
Der Name und die Rechnungsadresse, die im Apple-ID-, iTunes- oder App Store-Account hinterlegt wurden
Informationen über dein Gerät und (falls eine Apple Watch verwendet wird) über das gekoppelte Gerät (z. B. die Geräte-ID und das Modell des Geräts)
Apple empfängt und speichert das Foto deines Studentenausweises und speichert es in deinem iCloud-Account
Bei Verwendung eines Studentenausweises können kontaktlose Kartenlesegeräte auf die ID deiner Karte zugreifen, wenn die Karte für den Expressmodus eingerichtet ist (eine Einstellung, die das Durchführen von Transaktionen ohne Touch ID, Face ID oder einen Code ermöglicht). Du kannst den Expressmodus auf deinem iPhone in „Einstellungen“ > „Wallet & Apple Pay“ oder in der Apple Watch-App unter „Wallet & Apple Pay“ verwalten.
Weitere Informationen
Wenn die Ortungsdienste aktiviert sind, wird der Standort deines Geräts zum Zeitpunkt, an dem du das Gerät für Käufe in Geschäften verwendest, anonym an Apple gesendet und von Apple Pay dazu verwendet, die Genauigkeit der Geschäftsnamen im Wallet-Kartentransaktionsverlauf zu verbessern, und möglicherweise in aggregierter Form gespeichert, um Apple Karten, Apple Pay und Wallet zu verbessern. Du kannst die ortsabhängige Funktionalität von Apple Pay jederzeit auf deinem iOS-Gerät deaktivieren, indem du „Einstellungen“ > „Datenschutz & Sicherheit“ > „Ortungsdienste“ > „Systemdienste“ auswählst und die Apple Pay-Händleridentifikation deaktivierst. Auf dem Mac öffnest du „Systemeinstellungen“ > „Datenschutz & Sicherheit“ > „Datenschutz“ > „Ortungsdienste“ und entfernst die Markierung bei Wallet.
Zwecks Verbesserung von Apple Pay sammelt Apple Informationen über deine Nutzung von Apple Pay und speichert diese Informationen auf eine Art und Weise, die keine Rückschlüsse auf deine Person zulässt. Zu diesen Informationen gehören die Zeit, die du benötigst, um eine Karte erfolgreich hinzuzufügen oder eine Transaktion über Apple Pay abzuwickeln. Diese Informationen können auch von Apple genutzt werden, um andere Apple-Produkte und -Dienste zu verbessern, für Marketingzwecke, um Betrug zu verhindern und um die Sicherheit zu erhöhen.
Die Bedingungen jeglicher Karteninhaber-, Benutzer- und Händlerverträge oder sonstige Vereinbarungen, die für die Nutzung von Apple Pay-Funktionen gelten, regeln weiterhin die Benutzung deiner Zahlungskarten, auch im Zusammenhang mit Apple Pay, und enthalten möglicherweise weitere Bestimmungen zum Datenschutz. Für den Fall, dass Apple einen potenziellen Betrugsversuch im Zusammenhang mit der Nutzung von Apple Pay feststellt, können Informationen über den möglicherweise betrügerisch genutzten Apple Account und die zugehörigen Transaktionen an den Kartenaussteller oder Zahlungsnetzwerkbetreiber zur Betrugsprävention übermittelt werden.
Apple speichert personenbezogene Daten nur während des Zeitraums, der zur Erfüllung der jeweiligen Sammlungszwecke erforderlich ist, wie in diesem Hinweis beschrieben und gemäß der Datenschutzrichtlinie von Apple oder der gesetzlichen Vorgaben. Bei der Festlegung von Speicherzeiträumen untersuchen wir zunächst, ob das Speichern der gesammelten personenbezogenen Daten notwendig ist. Ist dies der Fall, speichern wir die personenbezogenen Daten für den gemäß Gesetz kürzest möglichen Zeitraum.
Die von Apple erfassten Informationen werden jederzeit gemäß der Apple-Datenschutzrichtlinie behandelt, die unter www.apple.com/de/privacy zu finden ist.
Veröffentlichungsdatum: 1. Februar 2023