Datenschutzhinweise zur Kartenzahlung im Ladengeschäft

Datenschutzhinweise zur Kartenzahlung im Ladengeschäft
Wenn Sie mit Ihrer Karte bezahlen, erheben wir personenbezogene Daten über unser Zahlungsterminal. Über dieses übermitteln wir die Daten an den Netzbetreiber. Der Netzbetreiber und die jeweiligen Zahlungsdienstleister zur Annahme und Abrechnung der Zahlungsvorgänge (z.B. Acquirer) verarbeiten die Daten weiter. Dies geschieht insbesondere zur Zahlungsabwicklung, zur Verhinderung von Kartenmissbrauch, zur Begrenzung des Risikos von Zahlungsausfällen und zu gesetzlich vorgegebenen Zwecken, wie z.B. zur Geldwäschebekämpfung und Strafverfolgung. Zu diesen Zwecken werden Ihre Daten auch an weitere Verantwortliche, wie z.B. Ihre kartenausgebende Bank, übermittelt.

Zahlungsempfänger / Verantwortliche Stelle
Kriesten Garten GmbH | Im Mahdental 6 71229 Leonberg | Telefon: 07152-92801-0 | E-Mail: info@kriestengarten.de

Externer Datenschutzbeauftragter des Zahlungsempfängers
DSB Externer Datenschutzbeauftragter Stuttgart | Fabian Henkel | info@externer-datenschutzbeauftragter-stuttgart.de

Netzbetreiber für Kartenzahlungen

Unser Kartentermnial wird durch den Netzbetreiber bereitgestellt.
Nexi Germany GmbH, Helfmann-Park 7, 65760 Eschborn, Deutschland

Die ausführlichen Datenschutzhinweise zur Kartenzahlung via Nexi finden Sie unter folgendem Link
https://www.nexi.de/content/dam/nexide/downloads/download-center/legal/DE_DE_Datenschutz_Information_DSGVO_fuerKarteninhaber.pdf
Gerne händigen wir Ihnen eine Kopie der Datenschutzhinweise von Nexi auf Anfrage aus.

Kartenzahlung per SEPA Lastschrift mit Unterschrift oder EC-Karte/Girocard mit PIN

Verarbeitete Datenkategorien

• Kartendaten: IBAN bzw. Kontonummer und Bankleitzahl, Kartenverfallsdatum und Kartenfolgenummer.
• Zahlungsdaten: Betrag, Datum, Uhrzeit, Kennung des Kartenlesegeräts (Ort, Unternehmen und Filiale, in der Sie zahlen), Unterschrift (SPA Lastschrift) oder PIN (EC-karte/Girocard).
• Rücklastschriftdaten: Informationen über die Nichteinlösung einer Lastschrift durch Ihre Bank oder den Widerruf einer Lastschrift durch Sie (Rücklastschrift).
• Forderungsdaten: Wenn eine Rücklastschrift erstellt wird, werden Informationen über die ausstehende Forderung, z. B. Ihr Name, Ihre Adresse, Bankgebühren, Mahngebühren, Grund für die Rücklastschrift, ggf. Einkaufsbeleg verarbeitet.

Soweit für die Prüfung der Kartenzahlung (Autorisierung) oder für die Rückabwicklung erforderlich, verarbeiten wir Daten aus öffentlich zugänglichen Quellen (z. B. Schuldnerverzeichnissen) zulässigerweise entnehmen oder die uns von Dritten (z. B. Ihrer Bank oder einer Kreditauskunftei) berechtigt übermittelt werden.

Zwecke und Rechtsgrundlagen

Der Zahlungsempfänger
…ist für den Betrieb des Kartenlesegeräts an der Kasse und sein internes Netz bis zur gesicherten Übermittlung per Internet oder Telefonleitung an den Netzbetreiber verantwortlich. Die Verarbeitung durch den Zahlungsempfänger erfolgt zu den folgenden Zwecken:

• Prüfung und Durchführung der Zahlung (Art. 6 Abs. 1 lit. b DSGVO)
• Verhinderung von Missbrauch und Begrenzung des Zahlungsausfallrisikos (Art. 6 Abs. 1 lit. c und f DSGVO)
• Archivierung des Zahlungsbelegs für zehn Jahre zur Einhaltung der gesetzlichen Aufbewahrungsfristen (Art. 6 Abs. 1 lit. c DSGVO)
• ggf. Forderungsbeitreibung nach einer Rücklastschrift (Art. 6 Abs. 1 lit. f DSGVO)

Der Netzbetreiber
…ist verantwortlich für den zentralen Netzbetrieb sowie weitere die Verarbeitung im zentralen Netz, die Umschlüsselung, Risikoprüfung und die weitere Übermittlung.Die Verarbeitung durch den Netzbetreiber erfolgt zu den folgenden Zwecken:

• Prüfung und Durchführung der Zahlung an den Zahlungsempfänger (Art. 6 Abs. 1 lit. b DSGVO)
• Gesicherte Übertragung der Daten gemäß den gesetzlichen Bestimmungen für SEPA Zahlungen (Art. 6 Abs. 1 lit. c und f DSGVO)
• Vermeidung von Zahlungsausfällen durch Übermittlung von Rücklastschriftdaten, wenn Ihre Zahlung zu einer Rücklastschrift führt (Art. 6 Abs. 1 lit. f DSGVO)
• Verhinderung von Kartenmissbrauch und Begrenzung des Risikos von Zahlungsausfällen (Art. 6 Abs. 1 lit. c und f DSGVO)
• Abrechnung der Gebühren, die der Zahlungsempfänger der Bank des Kartenzahlers schuldet (Art. 6 Abs. 1 lit. f DSGVO)

Weitere Datenempfänger
Weitere Datenempfänger im Rahmen von Kartenzahlungen:

• Die Bank des Karteninhabers sowie die Bank des Zahlungsempfängers
• offizielle Stellen, die vom deutschen Kreditgewerbe für das Clearing und Settlement von Zahlungen bestimmt werden
• In gesetzlich vorgesehenen Fällen: Strafverfolgungsbehörden oder Geldwäschestellen
• Im Fall einer Rücklastschrift: Kreditauskunfteien

Dauer der Datenverarbeitung
Gemäß den gesetzlichen Aufbewahrungsfristen, insbesondere §257 HGB und §158 AO werden Ihre Daten für zehn Jahre gespeichert.

Vorliegen einer automatisierten Entscheidungsfindung

Kartenzahlung SEPA Lastschrift mit Unterschrift
Zur Begrenzung des Risikos von Zahlungsausfällen sowie zur Verhinderung von Kartenmissbrauch sind Maximalbeträge für Zahlungen innerhalb bestimmter Fristen definiert. Zur Verhinderung künftiger Zahlungsausfälle wird der Netzbetreiber informiert, insofern eine Lastschrift von der Bank des Karteninhabers mangels Deckung nicht eingelöst werden kann oder vom Karteninhaber eine Rücklastschrift veranlasst hat (außer wenn die Rücklastschrift im Zusammenhang mit dem Widerruf erklärtermaßen Rechte aus dem Kaufvertrag gelten gemacht wird, beispielsweise aufgrund eines Mangels an der gekauften Sache). Sobald die Forderung beglichen wird, wird die Meldung gelöscht. Eine Verarbeitung zur Durchführung einer Bonitätsprüfung findet nicht statt. Die Zahlungsdaten werden ausschließlich dafür genutzt, dem Zahlungsempfänger eine Zahlung mit Karte per SEPA Lastschrift zu empfehlen oder nicht. Dabei werden keine Zahlungsdaten anderer Zahlungsempfänger verarbeitet.

Kartenzahlung EC-Karte/Girocard mit PIN
Eine Zahlung per Karte muss im ersten Schritt autorisiert werden, dies erfolgt automatisch unter Verwendung der Kartendaten. Dabei können insbesondere folgende Erwägungen eine Rolle spielen: Zahlungsbetrag, Ort der Zahlung, bisheriges Zahlungsverhalten, Zahlungsempfänger, Zahlungszweck. Ohne Autorisierung ist die Kartenzahlung nicht möglich. Dies hat keinen Einfluss auf andere Zahlungsmethoden (z.B. andere Karten oder Bargeld).

Ort der Verarbeitung
Der Acquirer leitet die Daten des Kartenzahlers an Daten an das Zahlungskartensystem außerhalb des Europäischen Wirtschaftsraums weiter, um die Zahlung zu autorisieren und auszuführen. Hinsichtlich der Verarbeitung Ihrer Daten durch das Zahlungskartensystem verweisen wir auf deren Datenschutzbestimmungen:
MasterCard Europe SPRL, Chaussée de Tervuren 198A, 1410 Waterloo, Belgien, für die Zahlungsmarken „MasterCard“ und „Maestro“, https://www.mastercard.de/dede/datenschutz.html
Visa Europe Services LLC, eingetragen in Delaware USA, handelnd durch die Niederlassung in London, 1 Sheldon Square, London W2 6TT, Großbritannien, für die Zahlungsmarken „Visa“, „VisaElectron“ und „V PAY“ https://www.visaeurope.com/about-us/policy-and-regulation/veor

American Express Payment Services Limited, Zweigniederlassung Frankfurt am Main, Theodor-Heuss-Allee 112, 60486 Frankfurt am Main www.americanexpress.de/datenschutz

Pflicht zu Bereitstellung personenbezogener Daten
Ohne die Verarbeitung personenbezogener Daten ist eine Kartenzahlung per SEPA Lastschrift oder per EC-Karte/Girocard mit PIN nicht möglich.

Aufklärung über die Rechte des Betroffenen aus der Datenschutzgrundverordnung

• Recht auf Auskunft (vgl. Art. 15 DSGVO)
• Recht auf Berichtigung (vgl. Art. 16 DSGVO)
• Recht auf Löschung / Recht auf „Vergessenwerden“ (vgl. Art. 17 DSGVO
• Recht auf Einschränkung der Verarbeitung / Sperrung (vgl. Art. 18 DSGVO)
• Recht auf Datenübertragbarkeit (Art. 20 DSGVO)
• Recht auf Widerspruch (vgl. Art. 21 DSGVO)
• Beschwerderecht bei einer Aufsichtsbehörde (vgl. Art. 77 DGVO)
• Recht auf Widerspruch gegen die Datenverarbeitung (vgl. Art. 21 DSGVO)

Bei der Geltendmachung des Auskunftsrechts und Löschungsrechts gelten die Einschränkungen nach §§ 34 und 35 BDSG.

Wahrnehmung des Widerspruchsrechts im Einzelfall (Art. 21 DSGVO)
Sie haben das Recht, aus Gründen, die sich aus Ihrer besonderen Situation ergeben, jederzeit gegen die Verarbeitung von Daten Widerspruch einzulegen, die aufgrund unserer berechtigten Interessen (Art. 6 Abs. 1 lit. f DSGVO) erfolgt. Nach Eingang des Widerspruchs werden wir Ihre Daten nicht mehr verarbeiten, mit der Ausnahme, dass a) wir zwingende schutzwürdige Gründe für die Verarbeitung nachweisen können, die Ihre Interessen, Rechte und Freiheiten überwiegen oder b) dies der Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen dient. Die Ausführung der Kartenzahlung ist nicht möglich, wenn Sie der Verarbeitung widersprechen. Der Zahlungsempfänger hat weiterhin einen Zahlungsanspruch gegen Sie. Ihr Widerspruch führt dazu, dass der Zahlungsempfänger diejenigen Daten erhält und verarbeitet, die er zur Geltendmachung oder Ausübung des Zahlungsanspruchs benötigt.

Zahlung mit Kreditkarte oder Debitkarte

Verarbeitete Datenkategorien

• Kartendaten: Kartennummer, Kartenfolgenummer, Prüfnummer, Kartentyp (z.B. VISA, Mastercard, Amex) und Kartenverfallsdatum.
• Zahlungsdaten: Betrag, Datum, Uhrzeit, Kennung des Kartenlesegeräts (Ort, Unternehmen und Filiale, in der Sie zahlen), PIN, Ihre Unterschrift.
• Rückabwicklung: Wenn Sie eine Transaktion bestreiten, die mit Ihrer Karte vorgenommen wurde: Einkaufsbeleg und ggf. weitere Informationen über Sie, mit denen der Zahlungsempfänger seine Forderung beweisen will, z.B. Name und Adresse.
• Forderungsdaten: Wenn eine Rücklastschrift erstellt wird, werden Informationen über die ausstehende Forderung, z. B. Ihr Name, Ihre Adresse, Bankgebühren, Mahngebühren, Grund für die Rücklastschrift, ggf. Einkaufsbeleg verarbeitet.

Soweit für die Prüfung der Kartenzahlung (Autorisierung) oder für die Rückabwicklung erforderlich, verarbeiten wir Daten aus öffentlich zugänglichen Quellen (z. B. Schuldnerverzeichnissen) zulässigerweise entnehmen oder die uns von Dritten (z. B. Ihrer Bank oder einer Kreditauskunftei) berechtigt übermittelt werden.

Zwecke und Rechtsgrundlagen

Der Zahlungsempfänger
…ist für den Betrieb des Kartenlesegeräts an der Kasse und sein internes Netz bis zur gesicherten Übermittlung per Internet oder Telefonleitung an den Netzbetreiber verantwortlich. Die Verarbeitung durch den Zahlungsempfänger erfolgt zu den folgenden Zwecken:

• Prüfung und Durchführung der Zahlung (Art. 6 Abs. 1 lit. b DSGVO)
• Archivierung des Zahlungsbelegs für zehn Jahre zur Einhaltung der gesetzlichen Aufbewahrungsfristen (Art. 6 Abs. 1 lit. c DSGVO)

Der Netzbetreiber
…ist verantwortlich für den zentralen Netzbetrieb sowie weitere die Verarbeitung im zentralen Netz, die Umschlüsselung, Risikoprüfung und die weitere Übermittlung.Die Verarbeitung durch den Netzbetreiber erfolgt zu den folgenden Zwecken

• Prüfung und Durchführung der Zahlung an den Zahlungsempfänger (Art. 6 Abs. 1 lit. b DSGVO)
• Gesicherte Übertragung der Daten gemäß den gesetzlichen Bestimmungen für SEPA Zahlungen (Art. 6 Abs. 1 lit. c und f DSGVO)

Der Acquirer
…ist verantwortlich für den zentralen Netzbetrieb sowie weitere die Verarbeitung im zentralen Netz, die Umschlüsselung, Risikoprüfung und die weitere Übermittlung.Die Verarbeitung durch den Netzbetreiber erfolgt zu den folgenden Zwecken:

• Prüfung und Durchführung der Zahlung an den Zahlungsempfänger (Art. 6 Abs. 1 lit. b DSGVO)
• Verhinderung von Kartenmissbrauch und Begrenzung des Risikos von Zahlungsausfällen (Art. 6 Abs. 1 lit. c und f DSGVO)
• Gesicherte Übertragung der Daten gemäß den gesetzlichen Bestimmungen für SEPA Zahlungen (Art. 6 Abs. 1 lit. c und f DSGVO)

• Abrechnung der Gebühren, die der Zahlungsempfänger Ihrer Bank schuldet (Art. 6 Abs. 1 lit. f DSGVO)

Weitere Datenempfänger
Weitere Datenempfänger im Rahmen von Kreditkartenzahlungen oder Debitkartenzahlungen:

• das Zahlungskartensystem
• die Bank des Kartenzahlers und die Bank des Acquirers
• die Stellen, die vom deutschen Kreditgewerbe für das Clearing und Settlement von Zahlungen bestimmt werden
• Strafverfolgungsbehörden in den gesetzlich vorgesehenen Fällen

Dauer der Datenspeicherung
Gemäß den gesetzlichen Aufbewahrungsfristen, insbesondere §257 HGB und §158 AO werden Ihre Daten für zehn Jahre gespeichert.

Vorliegen einer automatisierten Entscheidungsfindung
Wenn Sie Ihre Kreditkarte oder Debitkarte zur Bezahlung verwenden wollen, ist eine Autorisierung des Zahlungsvorgangs erforderlich. Diese erfolgt automatisch unter Verwendung der Kartendaten. Für die Autorisierung können verschiedene Aspekte herangezogen werden, wie insbesondere Zahlungsbetrag, Ort der Zahlung, bisheriges Zahlungsverhalten, Zahlungsempfänger, Zahlungszweck. Ohne Autorisierung ist die Kartenzahlung nicht möglich. Dies hat keinen Einfluss auf andere Zahlungsmethoden (z.B. andere Karten oder Bargeld).

Pflicht zu Bereitstellung personenbezogener Daten
Ohne die Verarbeitung personenbezogener Daten ist eine Kartenzahlung per Kreditkarte oder Debitkarte nicht möglich.

Aufklärung über die Rechte des Betroffenen aus der Datenschutzgrundverordnung

• Recht auf Auskunft (vgl. Art. 15 DSGVO)
• Recht auf Berichtigung (vgl. Art. 16 DSGVO)
• Recht auf Löschung / Recht auf „Vergessenwerden“ (vgl. Art. 17 DSGVO
• Recht auf Einschränkung der Verarbeitung / Sperrung (vgl. Art. 18 DSGVO)
• Recht auf Datenübertragbarkeit (Art. 20 DSGVO)
• Recht auf Widerspruch (vgl. Art. 21 DSGVO)
• Beschwerderecht bei einer Aufsichtsbehörde (vgl. Art. 77 DGVO)
• Recht auf Widerspruch gegen die Datenverarbeitung (vgl. Art. 21 DSGVO)

Bei der Geltendmachung des Auskunftsrechts und Löschungsrechts gelten die Einschränkungen nach §§ 34 und 35 BDSG.

Wahrnehmung des Widerspruchsrechts im Einzelfall (Art. 21 DSGVO)
Sie haben das Recht, aus Gründen, die sich aus Ihrer besonderen Situation ergeben, jederzeit gegen die Verarbeitung von Daten Widerspruch einzulegen, die aufgrund unserer berechtigten Interessen (Art. 6 Abs. 1 lit. f DSGVO) erfolgt. Nach Eingang des Widerspruchs werden wir Ihre Daten nicht mehr verarbeiten, mit der Ausnahme, dass a) wir zwingende schutzwürdige Gründe für die Verarbeitung nachweisen können, die Ihre Interessen, Rechte und Freiheiten überwiegen oder b) dies der Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen dient. Die Ausführung der Kartenzahlung ist nicht möglich, wenn Sie der Verarbeitung widersprechen. Der Zahlungsempfänger hat weiterhin einen Zahlungsanspruch gegen Sie. Ihr Widerspruch führt dazu, dass der Zahlungsempfänger diejenigen Daten erhält und verarbeitet, die er zur Geltendmachung oder Ausübung des Zahlungsanspruchs benötigt.