Viele Schritte sind notwendig, damit Sie sicher mit Ihrer Karte bezahlen können. Der Zahlungsempfänger, bei dem Sie mit Karte bezahlen, arbeitet daher mit einem Netzbetreiber zusammen. Zahlungsempfänger und Netzbetreiber sind wie folgt getrennt eigene Verantwortliche für die Verarbeitung jeweils in ihrem technischen Einflussbereich auf die Daten:

a) Zahlungsempfänger für den Betrieb des Zahlungsterminals an der Kasse und ggf. für sein internes Netz bis zur gesicherten Übermittlung per Internet oder Telefonleitung an den Netzbetreiber.

ORLEN Deutschland GmbH
– Der Datenschutzbeauftragte –
Kurt-Wagener-Straße 7
25337 Elmshorn
E-Mail: datenschutz@orlen-deutschland.de

b) Netzbetreiber für den zentralen Netzbetrieb, die dortige Verarbeitung, Umschlüsselung, Risikoprüfung und die weitere Übermittlung:

WEAT Electronic Datenservice GmbH
Kontakt zum/zur Datenschutzbeauftragten: Briefzusatz „Datenschutzbeauftragte“
Graf-Adolf-Straße 35–37
40210 Düsseldorf
Telefon: +49 (0) 211 9057 - 100
E-Mail: datenschutz@weat.de

• Kartendaten (Daten, die auf Ihrer Karte gespeichert sind): IBAN bzw. Kontonummer und Kurz-Bankleitzahl, Kartenverfallsdatum und Kartenfolgenummer.
• Weitere Zahlungsdaten: Betrag, Datum, Uhrzeit, Kennung des Zahlungsterminals (Ort, Unternehmen und Filiale, in der Sie zahlen), Prüfdaten Ihrer kartenausgebenden Bank („EMV-Daten“).
• PIN: Ihre PIN-Eingabe wird kryptographisch gesichert und durch die kartenausgebende Bank geprüft. Der Netz­betreiber übernimmt dabei kryptographische Sicherungen und Übermittlungen, speichert jedoch keine PIN und hat keinen Zugriff auf die verschlüsselte PIN.

• Die Kartendaten werden vom Zahlungsterminal aus Ihrer Karte ausgelesen.
• Die weiteren Zahlungsdaten stellt das Zahlungsterminal bereit.
• Ihre PIN geben Sie selbst ein.

Zahlungsempfänger:

• Prüfung und Durchführung Ihrer Zahlung an den Zahlungsempfänger, Art. 6 (1) lit. b) DSGVO.
• Belegarchivierung nach gesetzlichen Vorschriften, Art. 6 (1) lit. c) DSGVO.

Netzbetreiber:

• Prüfung und Durchführung Ihrer Zahlung an den Zahlungsempfänger, Art. 6 (1) lit. b) DSGVO.
• Sichere Übertragung Ihrer Daten gemäß den gesetzlichen Bestimmungen für SEPA-Zahlungen und den Bestimmungen des Deutschen Bankenverbands, Art. 6 (1) lit. c) und lit. f) DSGVO (berechtigte Interessen: Sicherheit der Übertragung und Effizienz und Zuverlässigkeit der Zahlungsabwicklung).
• Abrechnung der Gebühren, die der Zahlungsempfänger Ihrer kartenausgebenden Bank schuldet, Art. 6 (1) lit. f) DSGVO (berechtigte Interessen: Sicherheit, Effizienz und Zuverlässigkeit der Gebührenabrechnung).

Außer dem Zahlungsempfänger und dem Netzbetreiber benötigen weitere Stellen Ihre Daten, um die Zahlung durchzuführen oder um gesetzliche Vorschriften zu erfüllen. Ausschließlich in diesem Umfang werden Ihre Daten weitergegeben, und zwar an die folgenden Stellen:

• Ihre kartenausgebende Bank und den Zahlungsdienstleister des Zahlungsempfängers.
• die von den beteiligten Banken zwischengeschalteten Stellen, die das Clearing (Saldierungs- und Aufrechnungsverfahren im Rahmen der Zahlungsabwicklung) und Settlement (Herbeiführung eines gegenseitigen Zahlungsausgleichs zwischen den Banken) von Zahlungen übernehmen.
• Strafverfolgungsbehörden in den gesetzlich vorgesehenen Fällen.
• Geldwäschemeldestellen in den gesetzlich vorgesehenen Fällen.
• gegebenenfalls weitere sorgfältig ausgewählte und im Auftrag der jeweiligen Verantwortlichen handelnde Unternehmen, die im Rahmen ihrer Aufgabenstellungen Zugriff auf personenbezogene Daten erhalten können, beispielsweise Serviceunternehmen im Bereich der Kundenbetreuung sowie Dienstleister im Rahmen des Betriebs und der Wartung technischer Anlagen und Einrichtungen, die an der Zahlungsabwicklung beteiligt sind.

Ihre Daten werden nicht weitergeleitet.

Maximal 18 Monate

Wenn Sie Ihre Karte zur Bezahlung verwenden wollen, muss die Kartenzahlung erst autorisiert werden. Die Autorisierung erfolgt automatisch unter Verwendung Ihrer Daten. Dabei können insbesondere folgende Erwägungen eine Rolle spielen: Zahlungsbetrag, Ort der Zahlung, bisheriges Zahlungsverhalten, Zahlungsempfänger, Zahlungszweck. Ohne Autorisierung ist die Kartenzahlung nicht möglich. Dies hat keinen Einfluss auf andere Zahlungsmethoden (z. B. andere Karten oder Bargeld).

Sie haben das Recht, aus Gründen, die sich aus Ihrer besonderen Situation ergeben, jederzeit Widerspruch einzulegen gegen die Verarbeitung von Daten, die aufgrund von Artikel 6 (1) lit. f) DSGVO erfolgt, also gegen die Verarbeitung von Daten auf der Grundlage einer Interessenabwägung. Bitte richten Sie Ihren Widerspruch an:

a)

ORLEN Deutschland GmbH
– Der Datenschutzbeauftragte –
Kurt-Wagener-Straße 7, 25337 Elmshorn
E-Mail: datenschutz@orlen-deutschland.de

b)

WEAT Electronic Datenservice GmbH
Briefzusatz „Datenschutzbeauftragte“
Graf-Adolf-Straße 35–37, 40210 Düsseldorf
Telefon: +49 (0) 211 9057 - 100
E-Mail: datenschutz@weat.de

Jede betroffene Person hat nach Maßgabe und im Rahmen der gesetzlichen Bestimmungen folgende Datenschutzrechte:

• das Recht auf Auskunft nach Artikel 15 DSGVO.
• das Recht auf Berichtigung nach Artikel 16 DSGVO.
• das Recht auf Löschung nach Artikel 17 DSGVO.
• das Recht auf Einschränkung der Verarbeitung nach Artikel 18 DSGVO.
• das Recht auf Widerspruch aus Artikel 21 DSGVO.
• das Recht auf Datenübertragbarkeit aus Artikel 20 DSGVO.
• das Recht auf Beschwerde bei einer zuständigen Datenschutzaufsichtsbehörde (Artikel 77 DSGVO).

Beim Auskunftsrecht und beim Löschungsrecht gelten die Einschränkungen nach § 34 und § 35 BDSG.

Sie sind weder gesetzlich noch vertraglich verpflichtet, Ihre Daten im Rahmen einer Kartenzahlung bereitzustellen. Ohne die Bereitstellung Ihrer Daten ist aber eine Kartenzahlung nicht möglich. Sie können dann jedoch ein anderes Zahlungs-verfahren verwenden, z. B. bar bezahlen.

Viele Schritte sind notwendig, damit Sie sicher mit Ihrer Karte bezahlen können. Der Zahlungsempfänger, bei dem Sie mit Karte bezahlen, arbeitet daher mit einem Netzbetreiber und mit einem Acquirer zusammen. Zahlungsempfänger, Netzbetreiber und Acquirer sind wie folgt getrennt eigene Verantwortliche für die Verarbeitung jeweils in ihrem technischen Einflussbereich der Daten:

a) Zahlungsempfänger für den Betrieb des Zahlungsterminals an der Kasse und ggf. für sein internes Netz bis zur gesicherten Übermittlung per Internet oder Telefonleitung an den Netzbetreiber.

ORLEN Deutschland GmbH
– Der Datenschutzbeauftragte –
Kurt-Wagener-Straße 7, 25337 Elmshorn
E-Mail: datenschutz@orlen-deutschland.de 

b) Netzbetreiber für den zentralen Netzbetrieb, die dortige Verarbeitung, Umschlüsselung, Risikoprüfung und die weitere Übermittlung:

Bei Zahlungen mit Mastercard, Maestro, VISA, V Pay und Diners Club International:

WEAT Electronic Datenservice GmbH
Kontakt zum/zur Datenschutzbeauftragten: Briefzusatz „Datenschutzbeauftragte“
Graf-Adolf-Straße 35–37, 40210 Düsseldorf
Telefon: +49 (0) 211 9057 - 100
E-Mail: datenschutz@weat.de

PAYONE GmbH
Datenschutz
Lyoner Straße 9, 60528 Frankfurt
E-Mail: privacy@payone.com   

Bei Zahlungen mit American Express:

WEAT Electronic Datenservice GmbH
Kontakt zum/zur Datenschutzbeauftragten: Briefzusatz „Datenschutzbeauftragte“
Graf-Adolf-Straße 35–37, 40210 Düsseldorf
Telefon: +49 (0) 211 9057 - 100
E-Mail: datenschutz@weat.de

c) Acquirer ist ein gemäß Zahlungsdienstaufsichtsgesetz (ZAG) regulierter Zahlungsdienstleister, der für den Zahlungsempfänger die Annahme und Abrechnung der Zahlungsvorgänge durchführt.

Wer der Acquirer ist, ist abhängig davon, was für eine Karte Sie verwendet haben. Die Kontaktdaten des Acquirers, der bei der Abwicklung Ihrer Zahlung beteiligt ist, können daher unter Angabe des Zahlungsverfahrens, der Terminal-ID, des Datums und des Namens des Zahlungsempfängers beim o. g. Netzbetreiber abgefragt werden.

• Kartendaten (Daten, die auf Ihrer Karte gespeichert sind): Kartennummer, Kartentyp (z. B. VISA, Mastercard) und Ablaufdatum.
• Weitere Zahlungsdaten: Betrag, Datum, Uhrzeit, Kennung des Zahlungsterminals (Ort, Unternehmen und Filiale, in der Sie zahlen), Prüfdaten Ihrer kartenausgebenden Bank („EMV-Daten“), ggf. Ihre Unterschrift.
• PIN: Ihre PIN-Eingabe wird kryptographisch und durch die kartenausgebende Bank geprüft. Der Netz­be­treiber übernimmt dabei kryptographische Sicherungen und Übermittlungen, speichert jedoch keine PIN und hat keinen Zugriff auf die verschlüsselte PIN.
• Rückabwicklung (Chargeback) – Wenn Sie eine Transaktion bestreiten, die mit Ihrer Karte vorgenommen wurde: In diesem Fall kann der Einkaufsbeleg und ggf. weitere Informationen über Sie, mit denen der Zahlungsempfänger seine Forderung beweisen will (z. B. Name und Adresse), an das kartenausgebende Institut weitergegeben werden.

• Die Kartendaten werden vom Zahlungsterminal aus Ihrer Karte ausgelesen.
• Die weiteren Zahlungsdaten stellen das Zahlungsterminal und ggf. direkt der Zahlungsempfänger bereit.
• Ihre PIN geben Sie selbst ein, Ihre Unterschrift erteilen Sie selbst.

Zahlungsempfänger:

• Prüfung und Durchführung Ihrer Zahlung an den Zahlungsempfänger, Art. 6 (1) lit. b) DSGVO.
• Belegarchivierung nach gesetzlichen Vorschriften, Art. 6 (1) lit. c) DSGVO.

Netzbetreiber:

• Prüfung und Durchführung Ihrer Zahlung an den Zahlungsempfänger, Art. 6 (1) lit. b) DSGVO. 
• Sichere Übertragung Ihrer Daten gemäß den gesetzlichen Bestimmungen und den Bestimmungen der Kreditkartenorganisation, Art. 6 (1) lit. c) und lit. f) DSGVO (berechtigte Interessen: Gewährleistung von Sicherheit und Effizienz der Datenverarbeitung).

Acquirer:

• Prüfung und Durchführung Ihrer Zahlung an den Zahlungsempfänger, Art. 6 (1) lit. b) DSGVO.
• Verhinderung von Kartenmissbrauch und Begrenzung des Risikos von Zahlungsausfällen, Art. 6 (1) lit. c) und lit. f) DSGVO (berechtigte Interessen sind die genannten Verarbeitungszwecke).
• Sichere Übertragung Ihrer Daten gemäß den gesetzlichen Bestimmungen und den Bestimmungen der Kreditkartenorganisation, Art. 6 (1) lit. c) und lit. f) DSGVO (berechtigte Interessen: Sicherheit der Übertragung und Effizienz und Zuverlässigkeit der Zahlungsabwicklung).
• Abrechnung der Gebühren, die der Zahlungsempfänger Ihrer kartenausgebenden Bank schuldet, Art. 6 (1) lit. f) DSGVO (berechtigte Interessen: Sicherheit, Effizienz und Zuverlässigkeit der Gebührenabrechnung).
• Belegarchivierung, Art. 6 (1) lit. c) DSGVO.
• Forderungsbeitreibung nach einem Zahlungsausfall, Art. 6 (1) lit. f) DSGVO (berechtigte Interessen: rechtssichere Dokumentation und Abwicklung der Forderungsbeitreibung).

Außer dem Zahlungsempfänger und dem Netzbetreiber benötigen weitere Stellen Ihre Daten, um die Zahlung durchzuführen oder um gesetzliche Vorschriften zu erfüllen. Ausschließlich in diesem Umfang werden Ihre Daten weitergegeben, und zwar an die folgenden Stellen:

• Der Betreiber des Zahlungskartensystems.
• Ihre kartenausgebende Bank und die Bank des Acquirers.
• die von dem Zahlungsempfänger oder den Kreditkartenorganisationen zwischengeschalteten Stellen, die das Clearing (Saldierungs- und Aufrechnungsverfahren im Rahmen der Zahlungsabwicklung) und Settlement (Herbeiführung eines gegenseitigen Zahlungsausgleichs) von Zahlungen übernehmen.
• Strafverfolgungsbehörden in den gesetzlich vorgesehenen Fällen.
• Geldwäschemeldestellen in den gesetzlich vorgesehenen Fällen.
• gegebenenfalls weitere sorgfältig ausgewählte und im Auftrag der jeweiligen Verantwortlichen handelnde Unternehmen, die im Rahmen ihrer Aufgabenstellungen Zugriff auf personenbezogene Daten erhalten können, beispielsweise Serviceunternehmen im Bereich der Kundenbetreuung sowie Dienstleister im Rahmen des Betriebs und der Wartung technischer Anlagen und Einrichtungen, die an der Zahlungsabwicklung beteiligt sind.

Der Acquirer leitet Ihre Daten an das Zahlungskartensystem außerhalb des Europäischen Wirtschaftsraums weiter, um Ihre Zahlung zu autorisieren und auszuführen.

Hinsichtlich der Verarbeitung Ihrer Daten durch das Zahlungskartensystem informieren Sie sich bitte in dessen ­Datenschutzbestimmungen:

a)

Mastercard Europe SPRL
Chaussée de Tervuren 198A
1410 Waterloo, Belgien für die Zahlungsmarken „Mastercard“ und „Maestro“,
​​​​​​​https://www.mastercard.de/de-de/datenschutz.html

b)

Visa Europe Services LLC, eingetragen in Delaware USA, handelnd durch die Niederlassung in London
1 Sheldon Square
London W2 6TT
Großbritannien für die Zahlungsmarken „Visa“, „Visa Electron“ und „V Pay“
https://www.visa.co.uk/privacy/​​​​​​​

c)

Diners Club International Ltd.
2500 Lake Cook Road
Riverwoods IL 60016 USA für die Zahlungsmarken „Diners“, „Diners Club“ und „Discover“;
https://www.dinersclub.com/privacy-policy

d)

American Express Payments Europe S.L.
(Germany branch)
Theodor-Heuss-Allee 112
60486 Frankfurt a.M. für die Zahlungsmarke „American Express“

Maximal 18 Monate

Wenn Sie Ihre Karte zur Bezahlung verwenden wollen, muss die Kartenzahlung erst autorisiert werden. Die Auto­risierung erfolgt automatisch unter Verwendung Ihrer Daten. Dabei können insbesondere folgende Erwägungen eine Rolle spielen: Zahlungsbetrag, Ort der Zahlung, bisheriges Zahlungsverhalten, Zahlungsempfänger, Zahlungszweck. Ohne Autorisierung ist die Kartenzahlung nicht möglich. Dies hat keinen Einfluss auf andere Zahlungsmethoden (z. B. andere Karten oder Bargeld).

Sie haben das Recht, aus Gründen, die sich aus Ihrer besonderen Situation ergeben, jederzeit Widerspruch einzulegen gegen die Verarbeitung von Daten, die aufgrund von Artikel 6 (1) lit. f) DSGVO erfolgt, also gegen die Verarbeitung von Daten auf der Grundlage einer Interessenabwägung.

Bitte richten Sie Ihren Widerspruch an:

a)

ORLEN Deutschland GmbH
– Der Datenschutzbeauftragte –
Kurt-Wagener-Straße 7, 25337 Elmshorn
E-Mail: datenschutz@orlen-deutschland.de

b)

Bei Zahlungen mit Mastercard, Maestro, VISA, V Pay und Diners Club International:
WEAT Electronic Datenservice GmbH
Kontakt zum/zur Datenschutzbeauftragten: Briefzusatz „Datenschutzbeauftragte“
Graf-Adolf-Straße 35–37, 40210 Düsseldorf
Telefon: +49 (0) 211 9057 - 100
E-Mail: datenschutz@weat.de

PAYONE GmbH
Datenschutz
Lyoner Straße 9, 60528 Frankfurt a.M.
E-Mail: privacy@payone.com   

c)

Bei Zahlungen mit American Express:

WEAT Electronic Datenservice GmbH
Kontakt zum/zur Datenschutzbeauftragten: Briefzusatz „Datenschutzbeauftragte“
Graf-Adolf-Straße 35–37, 40210 Düsseldorf
Telefon: +49 (0) 211 9057 - 100
E-Mail: datenschutz@weat.de

American Express Payments Europe, S.L. (Germany branch),
Datenschutzbeauftragter
Theodor-Heuss-Allee 112, 60486 Frankfurt a.M.
E-Mail: DPO-Europe@aexp.com

Jede betroffene Person hat nach Maßgabe und im Rahmen der gesetzlichen Bestimmungen folgende Datenschutzrechte:

• das Recht auf Auskunft nach Artikel 15 DSGVO.
• das Recht auf Berichtigung nach Artikel 16 DSGVO.
• das Recht auf Löschung nach Artikel 17 DSGVO.
• das Recht auf Einschränkung der Verarbeitung nach Artikel 18 DSGVO.
• das Recht auf Widerspruch aus Artikel 21 DSGVO.
• das Recht auf Datenübertragbarkeit aus Artikel 20 DSGVO.
• das Recht auf Beschwerde bei einer zuständigen Datenschutzaufsichtsbehörde (Artikel 77 DSGVO).

Beim Auskunftsrecht und beim Löschungsrecht gelten die Einschränkungen nach § 34 und § 35 BDSG.

Sie sind weder gesetzlich noch vertraglich verpflichtet, Ihre Daten im Rahmen einer Kartenzahlung bereitzustellen. Ohne die Bereitstellung Ihrer Daten ist aber eine Kartenzahlung nicht möglich. Sie können dann jedoch ein anderes Zahlungs-verfahren verwenden, z. B. bar bezahlen.