Datenschutzerklärung für Kartenzahlung

Wenn Sie mit Karte bezahlen, werden personenbezogene Daten von Ihnen benötigt. Dieses Dokument informiert Sie über die Einzelheiten zur Verarbeitung Ihrer personenbezogenen Daten. Über welches Zahlverfahren möchten Sie informiert werden?


  • Zahlungen mit American Express
  • Zahlungen mit electronic cash ("girocard")
  • Zahlungen mit Diners
  • Zahlungen mit MasterCard
  • Zahlungen mit VISA
  • Zahlungen mit UnionPay
  • Zahlungen mit Maestro
  • Zahlungen mit Vpay
  • Zahlungen mit JCB



1. Präambel


Wenn Sie mit Ihrer Karte bezahlen, erhebt der Verantwortliche personenbezogene Daten mit seinem Zahlungsterminal. Er übermittelt die Daten an den Netzbetreiber. 


Der Netzbetreiber und die jeweiligen Zahlungsdienstleister zur Annahme und Abrechnung der Zahlungsvorgänge (z.B. Acquirer) verarbeiten die Daten weiter. Dies geschieht insbesondere zur Zahlungsabwicklung, zur Verhinderung von Kartenmissbrauch, zur Begrenzung des Risikos von Zahlungsausfällen und zu gesetzlich vorgegebenen Zwecken, wie z.B. zur Geldwäschebekämpfung und Strafverfolgung. Zu diesen Zwecken werden Ihre Daten auch an weitere Verantwortliche, wie z.B. Ihre kartenausgebende Bank, Polizei, Staatsanwaltschaft etc., übermittelt.


Einzelheiten zur Verarbeitung Ihrer personenbezogenen Daten finden Sie nachfolgend.


Wenn hier von "Verantwortlichen" gesprochen wird, ist immer der Zahlungsempfänger gemeint. Das kann ein Händler im eigentlichen Sinne sein, aber auch jeder andere, bei dem Sie mit Ihrer Karte bezahlen.


2. Verantwortlicher

Der Markt, bei dem Sie mit Karte bezahlen, arbeitet mit einem Netzbetreiber und mit einem Acquirer zusammen. Händler, Netzbetreiber und Acquirer sind wie folgt getrennt eigene Verantwortliche für die Verarbeitung jeweils in ihrem technischen Einflussbereich der Daten:


  • Händler für den Betrieb des Zahlungsterminals an der Kasse und ggf. für sein internes Netz bis zur gesicherten Übermittlung per Internet oder Telefonleitung an den Netzbetreiber. 


Den Namen und die Kontaktdaten des Händlers finden Sie an der Kasse oder auch an der Ladentür. 


Netzbetreiber für den zentralen Netzbetrieb, die dortige Verarbeitung, Umschlüsselung, Risikoprüfung und die weitere Übermittlung: 


  • OC payment GmbH, Domstraße 20, 50668 Köln
  • Kontaktdaten der Datenschutzbeauftragten: datenschutz süd GmbH, Hohenzollernring 54, 50672 Köln, datenschutz@rewe-group.com


Acquirer ist ein gemäß Zahlungsdiensteaufsichtsgesetz (ZAG) regulierter Zahlungsdienstleister, der für den Händler die Annahme und Abrechnung der Zahlungsvorgänge durchführt. 


Wer der Acquirer ist, ist abhängig davon, was für eine Karte Sie verwendet haben. Die Kontaktdaten des Acquirers, der an der Abwicklung Ihrer Zahlung beteiligt ist, können daher schriftlich unter Angabe des Zahlungsverfahrens, der Terminal-ID, des Datums und des Namens des Händlers beim o.g. Netzbetreiber abgefragt werden.

  • Raiffeisenbank International AG für Zahlungen mit MasterCard, VISA, Maestro und VPay 
  • American Express Payment Services Limited, Zweigniederlassung Frankfurt am Main, Theodor-Heuss-Allee 112, 60486 Frankfurt am Main für Zahlungen mit American Express
  • DinersClub (Card Complete)
  • Payone DE /Worldline (für die Zahlungsmittel JCB und UnionPay)


3. Datenverarbeitung


3.1.   Datenverarbeitung Acquirer

Kartendaten (Daten, die auf Ihrer Karte gespeichert sind): Kartennummer, Kartentyp (z.B. VISA, Mastercard) und Ablaufdatum. 

Weitere Zahlungsdaten: Betrag, Datum, Uhrzeit, Kennung des Zahlungsterminals (Ort, Unternehmen und Filiale, in der Sie zahlen), Prüfdaten Ihrer kartenausgebenden Bank ("EMV-Daten"), 

Zahlungsdaten: Kontonummer, Bankleitzahl, Kartenverfallsdatum, Kartenfolgenummer, Datum, Uhrzeit, Kaufbetrag, Terminalkennung, Ort, Unternehmen und Filiale.  

PIN: Ihre PIN-Eingabe wird kryptographisch gesichert durch die kartenausgebende Bank geprüft. Der Netzbetreiber übernimmt dabei kryptographische Sicherungen und Übermittlungen, speichert jedoch keine PIN und hat keinen Zugriff auf die verschlüsselte PIN. 

Rückabwicklung (Chargeback) - Wenn Sie eine Transaktion bestreiten, die mit Ihrer Karte vorgenommen wurde: In diesem Fall kann der Einkaufsbeleg und ggf. weitere Informationen über Sie, mit denen der Händler seine Forderung beweisen will (z.B. Name und Adresse) an das kartenausgebende Institut weitergegeben werden. 

Die Kartendaten werden von dem Zahlungsterminal aus Ihrer Karte ausgelesen. Die weiteren Zahlungsdaten stellen das Zahlungsterminal und ggf. direkt der Händler bereit. Ihre PIN geben Sie selbst ein.



3.2.   Datenverarbeitung Händler

Der jeweilige Händler erhält die Kartendaten nur in anonymisierter Form: die letzten 4 Ziffern der Kartennummer, Kartentyp (z.B. VISA, Mastercard) und Ablaufdatum. 

Weitere Zahlungsdaten: Betrag, Datum, Uhrzeit, Kennung des Zahlungsterminals (Ort, Unternehmen und Filiale, in der Sie zahlen), Prüfdaten Ihrer kartenausgebenden Bank ("EMV-Daten"), 

Zahlungsdaten: Auf dem Kontoauszug des Kunden befinden sich nachfolgende Daten: Betrag, Kartenfolgenummer, Valutadatum, Uhrzeit, Buchungstext (z.B. BILLA DANKE WIEN 1010 040).

PIN: Ihre PIN-Eingabe wird kryptographisch gesichert durch die kartenausgebende Bank geprüft. Der Netzbetreiber übernimmt dabei kryptographische Sicherungen und Übermittlungen, speichert jedoch keine PIN und hat keinen Zugriff auf die verschlüsselte PIN. 

Die Kartendaten werden von dem Zahlungsterminal aus Ihrer Karte ausgelesen. Die weiteren Zahlungsdaten stellen das Zahlungsterminal und ggf. direkt der Händler bereit. Ihre PIN geben Sie selbst ein.


4. Allgemeine Rechtsgrundlage

  • Prüfung und Durchführung Ihrer Zahlung an den Verantwortlichen, Art. 6 (1) (b) DSGVO.
  • Belegarchivierung nach gesetzlichen Vorschriften, insbesondere nach §§131, 132 BAO; Art. 6 (1) (c) DSGVO


5. Rechtsgrundlage für Netzbetreiber

  • Prüfung und Durchführung Ihrer Zahlung an den Händler, Art. 6 (1) (f) DSGVO.
  • Verhinderung von Kartenmissbrauch und Begrenzung des Risikos von Zahlungsausfällen, Art. 6 (1) (f) DSGVO. 
  • Belegarchivierung nach gesetzlichen Vorschriften, Art. 6 (1) (c) DSGVO i.V.m. §§131, 132 BAO
  • Forderungsbeitreibung nach einer Rücklastschrift, Art. 6 (1) (f) DSGVO.  
  • Abrechnung der Gebühren, die der Händler Ihrer kartenausgebenden Bank schuldet, Art. 6 (1) (f) DSGVO


6. Datenempfänger


Außer dem Verantwortlichen und dem Netzbetreiber benötigen weitere Stellen Ihre Daten, um die Zahlung durchzuführen oder um gesetzliche Vorschriften zu erfüllen. Ausschließlich in diesem Umfang werden Ihre Daten weitergegeben, und zwar an die folgenden Stellen:


  • Ihre kartenausgebende Bank und dessen Zahlungsdienstleister
  • die Bank des Händlers
  • die von der Deutschen Kreditwirtschaft zwischengeschalteten Stellen, die das Clearing und Settlement von Zahlungen übernehmen
  • Strafverfolgungsbehörden in den gesetzlich vorgesehenen Fällen
  • Geldwäschemeldestellen in den gesetzlich vorgesehenen Fällen
  • REWE Zentrale – Business Organisation GmbH, Domstraße 20, 50668 Köln, für die techn. Zahlungsabwicklung •     REWE digital GmbH, Humboldtstraße 140-144, 51149 Köln, für die techn. Zahlungsabwicklung und ggf. an die Acquirer
  • PAYONE GmbH, Lyoner Straße 9, 60528 Frankfurt am Main              https://www.payone.com/datenschutz/
  • American Express International, Inc., Niederlassung Deutschland Frankfurt am Main, American Express Payment Services Limited, Zweigniederlassung Frankfurt am Main, Theodor-Heuss-Allee 112, 60486 Frankfurt am Main https://www.americanexpress.com/de/legal/online-datenschutzerklarung.html 
  • DinersClub – Card Complete, Interntional, Lassallestraße 3, 1020 Wien, Österreich,  https://www.dinersclub.de/datenschutz
  • Raiffeisenbank International AG, Am Stadtpark 9, 1030 Wien, Österreich https://www.rbinternational.com/de/raiffeisen/datenschutz.html
  • JCB International (Europe) Ltd., London Head Offfice, 30 Eastbourne Terrace, London W2 6LA, The United Kingdom, http://www.jcbeurope.eu/privacy/index.html
  • UnionPay, An der Welle 4, 60322 Frankfurt am Main-Westend-Süd, Deutschland, https://www.unionpayintl.com/en/privacyNotice/


7. Datenübermittlung

Der Acquirer leitet Ihre Daten an das Zahlungskartensystem außerhalb des Europäischen Wirtschaftsraums gemäß den jeweils vereinbarten Regeln („Binding Corporate Rules“, „Standard Contractual Clauses“) oder zum Zweck der Erfüllung des Vertrages mit dem ausländischen Zahler) weiter, um Ihre Zahlung zu autorisieren und auszuführen.

Hinsichtlich der Verarbeitung Ihrer Daten durch das Zahlungskartensystem informieren Sie sich bitte in dessen Datenschutzbestimmungen:

a) MasterCard Europe SPRL, Chaussée de Tervuren 198A, 1410 Waterloo, Belgien, für die Zahlungsmarken „MasterCard“ und „Maestro“,  https://www.mastercard.de/de-de/datenschutz.html

b) Visa Europe Services LLC, eingetragen in Delaware USA, handelnd durch die Niederlassung in  London, 1 Sheldon Square, London W2 6TT, Großbritannien, für die Zahlungsmarken „Visa“, „Visa Electron“ und „V PAY“  https://www.visa.co.uk/legal/privacy-policy.html

c) American Express Payment Services Ltd., Zweigniederlassung Frankfurt am Main, Theodor-Heuss-Allee 112, 60486 Frankfurt am Main, für die Zahlungsmarke “American Express“; www.americanexpress.de/datenschutz

d) DinersClub – Card Complete, International, Lassallestraße 3, 1020 Wien, Österreich,  https://www.dinersclub.de/datenschutz

e) JCB International (Europe) Ltd., London Head Offfice, 30 Eastbourne Terrace, London W2 6LA, The United Kingdom, http://www.jcbeurope.eu/privacy/index.html

f) UnionPay, An der Welle 4, 60322 Frankfurt am Main-Westend-Süd, Deutschland, https://www.unionpayintl.com/en/privacyNotice/


8. Speicherdauer


Wir speichern Ihre Daten grundsätzlich nur so lange, wie diese für die jeweiligen Verarbeitungszwecke benötigt werden. Sind die Daten für die Erfüllung der in diesen Datenschutzhinweisen genannten Verarbeitungszwecke nicht mehr erforderlich, werden diese gelöscht, es sei denn, deren Aufbewahrung ist zur Erfüllung von handels- oder steuerrechtlichen


Aufbewahrungspflichten weiterhin notwendig. Im Regelfall löschen wir Ihre Daten nach diesen Fristen bzw. legen die Löschfrist nach diesen Kriterien fest: 

•      Daten über im Markt getätigte Einkäufe: sieben Jahre nach Durchführung des Einkaufs

•      Daten zu einer Anfrage an den Kundenservice in der Regel 13 Monate


9. Betroffenenrechte nach DSGVO 


Jede betroffene Person hat folgende Datenschutzrechte: 

  • das Recht auf Auskunft nach Artikel 15 DSGVO
  • das Recht auf Berichtigung nach Artikel 16 DSGVO
  • das Recht auf Löschung nach Artikel 17 DSGVO o das Recht auf Einschränkung der Verarbeitung nach Artikel 18 DSGVO
  • das Recht auf Widerspruch aus Artikel 21 DSGVO 
  • das Recht auf Datenübertragbarkeit aus Artikel 20 DSGVO
  • das Recht auf Beschwerde bei einer zuständigen Datenschutzaufsichtsbehörde (Artikel 77 DSGVO)