Sofort GmbH

Datenschutzerklärung

In dieser Datenschutzerklärung erfahren Sie, wie wir Ihre personenbezogenen Daten verarbeiten, wenn Sie unseren Zahlungsauslösedienst „Sofortüberweisung“ verwenden. Sie erhalten außerdem Informationen darüber, welche Rechte Sie uns gegenüber haben und wie Sie von diesen Rechten Gebrauch machen können.

I. Informationen zum Verantwortlichen.

Verantwortlich im Sinne des Datenschutzrechts für die Verarbeitung Ihrer personenbezogenen Daten bei Nutzung der Sofortüberweisung ist die SOFORT GmbH, ein Unternehmen der Klarna Gruppe, mit Sitz in der Theresienhöhe 12, 80339 München (im Folgenden: "SOFORT"). Weitere Informationen zu SOFORT entnehmen Sie bitte der Internetseite www.sofort.de.

II. Was ist eine Sofortüberweisung?

Wenn Sie uns mit der Ausführung unseres Zahlungsauslösedienstes Sofortüberweisung beauftragen, prüfen wir automatisiert,

Nach positiver Prüfung

Der Online-Anbieter erhält so frühzeitig Sicherheit, dass Ihre Online-Überweisung erfolgreich eingestellt wurde und voraussichtlich durchgeführt wird, ohne dass Daten zu Ihrer Bonität an den Online-Anbieter gelangen oder gespeichert werden. Ihr Online-Anbieter kann die Leistung sofort erbringen.

Einige Online-Anbieter sind aufgrund gesetzlicher Geldwäschevorschriften verpflichtet, einen Identitätscheck (Namensabgleich) vor einer Zahlung durchzuführen, um sicherzustellen, dass Zahlungen nicht von Dritten durchgeführt werden.

Im Fall eines solchen vorab zusätzlich erforderlichen Identitätschecks (Namensabgleich) auf Seiten Ihres Online-Anbieters

Nach dieser Prüfung wird

III. Was prüfen wir und welche personenbezogenen Daten verarbeiten wir dabei?

Abhängig davon, wie Ihre Bank Online-Konten führt, sind unterschiedliche Prufungsschritte notwendig:

Manche Banken akzeptieren Überweisungsaufträge nur, wenn eine entsprechende Kontodeckung vorliegt. Eine Kontodeckungsprüfung durch uns findet dann nicht statt. In den anderen Fällen prüfen wir, ob die Summe aus Kontostand und Überziehungskreditrahmen den zu überweisenden Betrag abdeckt. Vom Kontostand ziehen wir dabei noch nicht verbuchte Umsätze (z.B. vorgemerkte Überweisungen) ab.

Bei Überweisungen mit erhöhtem Missbrauchsrisiko prüfen wir zudem, ob in Ihrem ausgewählten Konto eingestellte Sofortüberweisungen der letzten 30 Tage erfolgreich ausgeführt wurden. Wenn und soweit solche Sofortüberweisungen in unserem System gespeichert sind, prüfen wir hierzu anhand der Umsatzdaten Ihres Kontos der letzten 30 Tage und gegebenenfalls anhand dort ausgewiesener stornierter oder rückgebuchter Überweisungen, ob die über unseren Dienst eingestellten Überweisungen tatsächlich gebucht wurden (z.B. Abgleich von Betrag und Betreff).

Zudem können wir die Ihrem Onlinebanking-Zugang zugeordnete Benutzer-Identifikation (z.B. Verfügernummer, Vertragsnummer) in verkürzter Form als sogenannten „Hashwert“ verarbeiten. Auch dies dient der Minderung des Missbrauchsrisikos.

Wir erheben die für diese Prüfungen erforderlichen Daten online. Teilweise können wir dabei spezielle Software-Schnittstellen Ihrer Bank nutzen (z.B. nach dem HBCI Standard für Electronic Banking). Alternativ ruft unser System die Daten über die Benutzeroberfläche Ihres Onlinebanking-Zugangs automatisiert ab, so als würden Sie sich dort selbst einloggen. Wenn Sie mehrere Konten über Ihren Online-Banking-Zugang verwalten, zeigt Ihnen unsere Software nach dem Login die zur Verfügung stehenden Giro-Konten zur Auswahl an. Informationen bezüglich nicht ausgewählter Konten, insbesondere die Kontonummer und der jeweilige Saldo dieser Konten, werden von uns nicht genutzt und nicht gespeichert.

Im Falle eines vorab zusätzlich erforderlichen Identitätschecks (Namensabgleich) auf Seiten Ihres Online-Anbieters gilt zudem Folgendes:

Sie geben auf unseren Online-Formularen die Zugangsdaten für Ihren Onlinebanking-Zugang (Login-Name/Kontonummer und PIN) an. Vom Online-Anbieter bekommen wir zum Zweck des Identitätschecks (Namensabgleich) Ihren Namen.

Wir ermitteln, ob der von Ihnen beim Online-Anbieter angegebene Name mit dem in Ihrem Online-Banking hinterlegten Namen übereinstimmt. Teilweise können wir dabei spezielle Software-Schnittstellen Ihrer Bank nutzen (z.B. nach dem PSD2 Standard für Electronic Banking). Alternativ ruft unser System die Daten über die Benutzeroberfläche Ihres Onlinebanking-Zugangs automatisiert ab, so als würden Sie sich dort selbst einloggen.

IV. Welche personenbezogenen Daten geben wir wann und an wen weiter?

Zur Einstellung Ihrer Überweisung geben wir Ihre IP-Adresse und - nach positiver Prüfung - die Ihnen im Überweisungsformular angezeigten Daten an Ihre Bank weiter. PIN und TAN werden von uns nicht gespeichert, sondern über eine den Bankenstandards entsprechende verschlüsselte Verbindung an Ihre Bank übermittelt. Sofern zur Identifizierung gegenüber Ihrer Bank ein Zertifikat verwendet wird (Authentifizierungszertifikat), wird dieses von uns nur zur Einstellung Ihrer Überweisung verwendet und nicht von uns gespeichert. Sollte zur Einstellung der Überweisung in Ihr Online-Banking-Konto die Eingabe eines zusätzlichen Sicherheitscodes erforderlich sein (z.B. um einzelne Länder für EU SEPA – Überweisungen freizuschalten), leiten wir diesen ebenfalls an Ihre Bank weiter. Eine Speicherung des von Ihnen angegebenen Sicherheitscodes durch uns erfolgt nicht. Falls Ihre Bank die Eingabe einer Mobiltelefonnummer für die Einstellung einer Überweisung in Ihr Online-Banking-Konto verlangt, leiten wir diese ebenfalls an Ihre Bank weiter. Eine Speicherung der von Ihnen angegebenen Mobiltelefonnummer durch uns erfolgt nicht.

Der Online-Anbieter erhält von uns die Bestätigung über die erfolgreiche Einstellung des Überweisungsauftrags zu Ihrer Bestellung. Diese umfasst nur die Daten aus dem Überweisungsformular (Name, Kontonummer, Bankleitzahl, Betreff, Überweisungsbetrag) sowie das Datum (mit Uhrzeit) und die vom Online-Anbieter gewählte Transaktionskennung (z.B. Auftragsnummer). Bei SEPA-Überweisungen und sofern, abhängig von Ihrer Bank, BIC und IBAN zur Einstellung der Überweisung in Ihr Online-Banking-Konto erforderlich sind, enthält die Bestätigung an den Online-Anbieter auch BIC und IBAN. Diese Daten kann der Online-Anbieter grundsätzlich auch seinem Kontoauszug entnehmen. Weitergehende personenbezogene Daten werden an den Online-Anbieter nicht übermittelt.

Der Online-Anbieter erhält bei Nichteinstellung der Überweisung von uns keine Mitteilung uber den Grund und kann diesen auch nicht erkennen. Sie werden in diesem Falle (nach einer Fehlermeldung) zur Zahlseite zurückverwiesen und können dort entscheiden, ob Sie eine andere vom Online-Anbieter angebotene Bezahlform nutzen möchten.

Im Falle eines vorab zusätzlich erforderlichen Identitätschecks (Namensabgleich) auf Seiten Ihres Online-Anbieters gilt zudem Folgendes:

Für den Zugriff auf den in Ihrem Online-Banking hinterlegten Namen wird Ihre PIN von uns nicht gespeichert, sondern über eine den Bankenstandards entsprechende verschlüsselte Verbindung an Ihre Bank übermittelt.

Der Online-Anbieter wird im Falle des nicht erfolgreichen Namensabgleich nicht darüber informiert, dass der Namensabgleich nicht erfolgreich war. Im Falle einer erfolgreich durchgeführten Sofortüberweisung erfährt Ihr Online-Händler indirekt, dass der Namensabgleich erfolgreich war, da ohne einen erfolgreichen Namensabgleich eine Sofortüberweisung nicht durchgeführt wird.

V. Welche personenbezogenen Daten speichern wir und wie lange?

Zu Abrechnungszwecken gegenüber dem Online-Anbieter und zur Erfüllung gesetzlicher Aufbewahrungspflichten speichern wir Name, Kontonummer, Bankleitzahl, Betreff, Datum und Überweisungsbetrag innerhalb der gesetzlichen Aufbewahrungsfristen. Bei SEPA-Überweisungen und sofern, abhängig von Ihrer Bank, BIC und IBAN zur Einstellung der Überweisung in Ihr Online-Banking-Konto erforderlich sind, speichern wir zudem BIC und IBAN innerhalb der gesetzlichen Aufbewahrungsfristen. Die gesetzlichen Aufbewahrungsfristen reichen von drei bis zu zehn Jahren. Daneben nutzen wir für 30 Tage diese Daten bei zukünftigen Sofortüberweisungen zur oben genannten Prüfung zurückliegender Sofortüberweisungen.

Die für die Prüfung der Kontodeckung und früherer Sofortüberweisungen abgerufenen Daten werden von uns nur fur die oben beschriebene Echtzeitprüfung genutzt. Wir speichern keine weitergehenden personenbezogenen Daten, insbesondere keine Kontostände, Umsatzdaten, Verfugungsrahmen, Kontenlisten, Mobiltelefonnummer, Authentifizierungszertifikate , Sicherheitscodes, Online-Banking Zugangspasswörter (PIN) oder TANs.

Im Falle eines vorab zusätzlich erforderlichen Identitätschecks (Namensabgleich) auf Seiten Ihres Online-Anbieters gilt zudem Folgendes:

Die Daten, die wir abrufen, um Ihren im Online-Banking hinterlegten Namen zu ermitteln, nutzen wir nur für einen Echtzeitabgleich mit dem vom Online-Anbieter angegebenen Namen. Wir speichern keine sonstigen personenbezogenen Daten aus Ihrem Online-Banking-Zugang, insbesondere keine Kontostände, Umsatzdaten, Verfügungsrahmen, Kontenlisten oder PINs.

Zu Abrechnungszwecken gegenüber dem Online-Anbieter und zur Erfüllung gesetzlicher Nachweis- und Aufbewahrungspflichten speichern wir Ihren Namen, Kontonummer und Bankleitzahl, Datum sowie das Ergebnis der Überprüfung, gegebenenfalls auch Land, Kundennummer, Projektnummer, Transaktionskennung, innerhalb der gesetzlichen Aufbewahrungsfristen. Die gesetzlichen Aufbewahrungsfristen reichen von drei bis zu zehn Jahren.

VI. Was passiert bei gescheiterten Überweisungen?

Sofern uns bekannt wird, dass trotz unserer positiven Prüfung eine über unseren Dienst ausgelöste Überweisung nicht beim Zahlungsempfänger eingegangen ist (z.B. weil ein Händler uns dies nachträglich meldet), informieren wir den betroffenen Zahler beim nächsten Überweisungsversuch hierüber. Bis zur Klärung können für das betreffenden Online-Banking Konto keine Sofortüberweisungen eingestellt werden.

VII. Welche Daten verarbeiten wir, falls Sie eine E-Mail mit einer Transaktionsbestätigung anfordern (optionaler Service)?

Auf der Transaktionsbestätigungsseite für eine Sofortüberweisung haben Sie die Möglichkeit, von uns eine E-Mail mit einer Bestätigung für das Einstellen der Überweisung (Transaktionsbestätigung) anzufordern, wofür wir dann Ihre E-Mail Adresse benötigen. Diese verwenden wir ausschließlich zum Versand einer einmaligen Transaktionsbestätigung für diese Sofortüberweisung, nicht jedoch für zukünftige Überweisungen. Ihre E-Mail Adresse geben wir nicht an Dritte weiter und verwenden diese auch nicht für Werbezwecke.

Die Transaktionsbestätigung enthält folgende Angaben: Name des Inhabers des Empfängerkontos, Name der Absenderbank, Überweisungszeit (Datum), Betrag, Verwendungszweck und Transaktions-ID. Die E-Mail mit der Transaktionsbestätigung (einschließlich Ihrer E-Mail Adresse) speichern und nutzen wir zum Zwecke der Erfüllung gesetzlicher Aufbewahrungsfristen.

VIII. Wo werden Ihre personenbezogenen Daten verarbeitet?

Wir versuchen stets, Ihre Daten innerhalb der EU/EWR zu verarbeiten. In bestimmten Situationen, z.B. wenn wir Ihre personenbezogenen Daten an ein Unternehmen der Klarna Gruppe oder einen Dienstleister oder Auftragnehmer außerhalb der EU/EWR weitergeben, können Ihre personenbezogenen Daten dennoch an einen Bestimmungsort außerhalb der EU/EWR übermittelt und dort verarbeitet werden. Befindet sich der Händler, bei dem Sie einkaufen, außerhalb der EU/EWR, bedeutet unsere Weitergabe Ihrer personenbezogenen Daten an den Händler auch, dass Ihre Daten außerhalb der EU/EWR übertragen werden.

Wir stellen sicher, dass ein angemessenes Schutzniveau aufrecht erhalten bleibt und dass bei der Übermittlung Ihrer Daten außerhalb von EU/EWR geeignete Schutzvorkehrungen in Übereinstimmung mit den geltenden datenschutzrechtlichen Anforderungen, wie beispielsweise der DSGVO, getroffen werden. Diese Schutzvorkehrungen bestehen darin, sicherzustellen, dass das Drittland bzw. der jeweilige Staat einer Angemessenheitsentscheidung der Europäischen Kommission unterliegt oder die Standardvertragsklauseln der Europäischen Kommission abgeschlossen wurden.

IX. Aufgrund welcher Rechtsgrundlagen wir Ihre Daten verarbeiten.

Die einzelnen Verarbeitungstätigkeiten erfolgen gemäß folgender Rechtsgrundlagen:

Verarbeitungsgrund Rechtsgrundlage Erläuterung Verarbeitungstätigkeit
DSGVO
Vertragserfüllung Art. 6 Abs. 1 b) Eine Verarbeitung erfolgt, soweit sie zur Erfüllung des Vertragsverhältnisses erforderlich ist.
  • Identitätscheck (Namensabgleich), falls Ihr Online-Händler dazu gesetzlich verpflichtet ist
  • Kontodeckungsprüfung
  • Missbrauchsrisikoprüfung
  • Erhebung und Speicherung der Benutzer-Identifikation
  • Übermittlung der zur Auslösung der Überweisung erforderlichen Daten an die Bank
  • Übermittlung der Überweisungsdaten an den Online Anbieter
  • Speicherung der Überweisungsdaten
  • Information des Endkunden bei nicht eingestellter Überweisung
  • Zusendung der Transaktionsbestätigung
Einwilligung Art. 6 Abs. 1 a) Eine Verarbeitung erfolgt, weil Sie uns eine ausdrückliche Einwilligung hierzu erteilt haben. Sie haben das Recht, Ihre Einwilligung jederzeit zu widerrufen. Durch den Widerruf der Einwilligung wird die Rechtmäßigkeit der aufgrund der Einwilligung bis zum Widerruf erfolgten Verarbeitung nicht berührt. Sie werden vor Abgabe der Einwilligung hiervon in Kenntnis gesetzt
  • Sprachauswahlcookie
  • Bankauswahlcookie
  • Cookie zur Speicherung des ausgewählten Bankkontos
  • Prefill Cookie
Rechtliche Pflicht Art. 6 Abs. 1 c) Eine Verarbeitung erfolgt, soweit sie zur Erfüllung deutscher oder europäischer gesetzlicher Pflichten erforderlich ist.
  • Speicherung der Verifikationsdaten, falls Ihr Online-Händler gesetzlich zu einem Namensabgleich verpflichtet ist
  • Speicherung der Überweisungsdaten
Berechtigtes Interesse Art. 6 Abs. 1 f) Die Verarbeitung ist zur Wahrung der berechtigten Interessen des Verantwortlichen oder eines Dritten erforderlich, sofern nicht die Interessen oder Grundrechte und Grundfreiheiten der betroffenen Person, die den Schutz personenbezogener Daten erfordern, überwiegen. Die berechtigten Interessen von SOFORT sind vorliegend die Weiterentwicklung und Optimierung der Produkte von SOFORT.
  • Produktentwicklung und -optimierung

X. Welche Cookies und Token setzen wir ein?

Bei Cookies handelt es sich um kleine Textdateien, die auf Ihrem Rechner oder mobilen Endgerät abgelegt werden, um den Besuch unserer Webseiten nutzerfreundlicher zu gestalten. Wir blenden Ihnen ein Einwilligungsfeld ein, indem Sie den unten genannten Cookies zustimmen können. Die Einwilligung ist nicht an die Nutzung der Sofortüberweisung gekoppelt. Diese Einwilligung könne Sie jederzeit mit Wirkung für die Zukunft widerrufen, indem Sie in Ihrem Browser das Speichern von Cookies deaktivieren, auf bestimmte Webseiten beschränken oder Ihren Browser so einstellen, dass er sie benachrichtigt, sobald ein Cookie gespeichert werden soll bzw. die Cookies über die App "Einstellungen" Ihres mobilen Endgerätes verwalten. Sie können Cookies auch nachträglich von Ihrem Computer oder mobilen Endgerät löschen. Bei Sofortüberweisungen, die Sie in Apps auf Ihrem mobilen Endgerät tätigen, d.h. bei denen sich unser Zahlformular in der App des Online-Anbieters in einem eigenen In-App-Browser öffnet ("In-App Bezahlungen") können Sie, abhängig davon, wie die App durch den Online-Anbieter integriert wurde, unter dem Menüpunkt "Lokalen App-Speicher deaktivieren/ aktivieren" das Speichern von Cookies erlauben oder ablehnen. Die nachträgliche Deaktivierung der Cookies lässt die bis zum Widerruf erfolgte Verarbeitung unberührt.

Folgende Cookies werden von SOFORT verwendet:

Die Laufzeit der oben genannten Cookies verlängert sich bei erneuter Einwilligung bzw. bei erneuter Anforderung einer Transaktionsbestätigung entsprechend.

Bei In-App Bezahlungen setzen wir, abhängig davon, wie die App durch den Online-Anbieter integriert wurde, neben den Cookies zusätzlich einen Token ein. Ein Token ist eine zufällige, nicht wiederholbare Ziffernfolge, die im lokalen App-Speicher auf Ihrem mobilen Endgerät gespeichert wird. Zu dem Token wird auf unserem Server ein Datensatz abgelegt, der das zuletzt gewählte Absenderland und die zuletzt gewählte Bankenschnittstelle (anhand der Bankleitzahl und der Login-Methode (z.B. www oder HBCI)) enthält. Wenn Sie die App des Online-Anbieters erneut nutzen und den Dienst "Sofortüberweisung" verwenden, kann dieser Datensatz mit Hilfe des Tokens als Parameter ausgelesen werden und Sie können direkt zum Login-Bereich innerhalb unseres geschutzten Zahlformulars weitergeleitet werden, ohne dass Sie erneut das Land und die Bank auswählen müssen. Der Datensatz wird nach 13 Monaten gelöscht.

Die Lebenszeit des oben genannten Datensatzes verlängert sich bei erneuter Nutzung des Zahlformulars entsprechend.

Sie können unter dem Menüpunkt "Lokalen App-Speicher deaktivieren/aktivieren" das Speichern des Tokens erlauben oder ablehnen.

Alle Cookies und Token sind nur für unseren Server sichtbar, also nicht für fremde Webseiten, die Sie später besuchen.

XI. Ihre Rechte bezüglich Ihrer personenbezogenen Daten.

Sie haben verschiedene Rechte in Bezug auf die Verarbeitung Ihrer Daten durch SOFORT.

Recht auf Information: Sie haben das Recht darüber informiert zu werden, wie wir Ihre personenbezogenen Daten verarbeiten. Dem kommen wir nach, indem wir Ihnen diese Datenschutzerklärung oder andere Informationen auf unserer Webseite zur Verfügung stellen und indem wir Ihre Fragen beantworten.

Recht auf Auskunft Ihrer Daten: Sie können eine Kopie Ihrer Daten anfordern, wenn Sie wissen möchten, welche personenbezogenen Daten wir über Sie verarbeiten. Diese Kopie kann auch in einem maschinenlesbaren Format übermittelt werden (z.B. “Datenportabilität”). Hierfür ist der Nachweis der Identität erforderlich.

Recht auf Berichtigung: Sie haben das Recht auf Berichtigung unrichtiger oder unvollständiger Daten über Sie. Hierfür ist der Nachweis der Identität sowie der Richtigkeit der mitgeteilten Änderung erforderlich.

Recht auf Löschung: Darüber hinaus haben Sie ggf. ein Recht auf Löschung Ihrer Daten. Hierfür ist der Nachweis der Identität erforderlich. Dieses Recht besteht jedoch nur, soweit für uns bezüglich der Daten keine gesetzliche Aufbewahrungspflicht besteht oder eine sonstige Rechtsgrundlage für die Verarbeitung vorliegt.

Recht auf Einschränkung der Verarbeitung oder Widerspruch gegen unsere Datenverarbeitung: Wenn Sie der Auffassung sind, dass Ihre Informationen falsch sind oder wir Ihre Daten unrechtmäßig verwenden, haben Sie das Recht, uns aufzufordern, die Verarbeitung einzustellen. Sie können auch unserer Verarbeitung widersprechen, wenn Sie glauben, dass es Umstände gibt, die eine solche Verarbeitung unrechtmäßig machen würden. Darüber hinaus können Sie jederzeit Einspruch dagegen erheben, dass wir Ihre Daten für Direktwerbung verwenden.

Recht auf Widerruf der Einwilligung: Sie können, wenn wir Ihre Daten auf der Grundlage einer Einwilligung oder ausdrücklichen Zustimmung verarbeiten, diese Einwilligung jederzeit widerrufen.

Beschwerderecht: Sie haben jederzeit das Recht bei der zuständigen Aufsichtsbehörde eine Beschwerde zu erheben.

Für die Geltendmachung Ihrer Rechte wenden Sie sich bitte an datenschutz@sofort.com.

XII. An wen kann ich mich wenden?

Bei Fragen, sonstigen Anmerkungen zum Thema Datenschutz oder zur Geltendmachung der Rechte der betroffenen Person erreichen Sie unser Datenschutz-Team unter der E-Mail-Adresse datenschutz@sofort.com oder oder unseren externen Datenschutzbeauftragten über unsere Postadresse mit dem Zusatz „(persönlich) an den Datenschutzbeauftragten“.

Version 2.6, 15 Januar 2021