Nutzt Ihre Website Drittanbieter-Dienste? Werden Sie in wenigen Minuten DSGVO-konform.
FlowConsent testenmobileCta.note
Afterpay ist ein Buy Now Pay Later Anbieter (BNPL) im Eigentum von Block, Inc. (in UK und der EU unter der Marke Clearpay). Käufer zahlen den Einkauf in vier zinsfreien Raten. Händler binden das Afterpay JavaScript SDK und ein Preis Widget auf Produkt und Checkout Seiten ein. Schon vor dem Checkout lädt das Widget Skripte, setzt Cookies und überträgt Daten an Afterpay, woraus konkrete DSGVO und TTDSG Pflichten entstehen.
Afterpay ist ein Buy Now Pay Later Dienst der Afterpay Pty Ltd, einer hundertprozentigen Tochter von Block, Inc. (Muttergesellschaft von Square und Cash App). In Großbritannien und weiten Teilen Europas läuft derselbe Dienst unter der Marke Clearpay. Käufer zahlen den Einkauf in vier gleichen Raten alle zwei Wochen, zinsfrei und mit begrenzten Gebühren. Händler integrieren Afterpay über ein JavaScript SDK, das Preis Widgets auf Produktseiten, einen Checkout Button und eine Weiterleitung zu portal.afterpay.com bzw. portal.clearpay.com bereitstellt, wo Identifizierung und Kreditentscheidung erfolgen.
Das Afterpay Widget setzt First Party und Third Party Cookies für Warenkorbzustand, Betrugsabwehr und Analytics. Erhoben werden IP Adresse, User Agent, angesehene Produktseiten, Warenkorbwert, Währung, Händler ID und ein Geräte Fingerabdruck für die Betrugserkennung. Beim Checkout erfasst Afterpay Name, Adresse, E Mail, Telefon, Geburtsdatum, Zahlungsmittel und je nach Land Teilkennungen für eine weiche Bonitätsprüfung. Block, Inc. und seine Underwriting Partner können externe Auskunfteien und Betrugsdatenbanken abfragen.
Das auf Produkt und Kategorieseiten eingebettete Afterpay SDK setzt schon vor dem Checkout Cookies, was Paragraf 25 TTDSG bzw. Art. 5 Abs. 3 ePrivacy auslöst. Diese Cookies sind nicht unbedingt erforderlich für den Zugang zum Shop und benötigen daher eine vorherige Einwilligung. Die Verarbeitung von Zahlungs , Identitäts und Bonitätsdaten im Checkout kann auf Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung) gestützt werden, die Betrugsprävention regelmäßig auf Art. 6 Abs. 1 lit. f. Automatisierte Entscheidungen zur Kreditbewertung unterliegen den Vorgaben aus Art. 22 DSGVO.
Get GDPR compliant in 10 minutes
Free plan available · No credit card required
Ja, für das Widget, den Ratenrechner und alle Analytics oder Marketing Cookies auf Kategorie und Produktseiten. Der Händler sollte das Afterpay SDK in einen Consent Gate einbinden und es erst nach Annahme der Kategorie Funktional bzw. Marketing laden. Im eigentlichen Checkout, wenn Afterpay als Zahlart gewählt wurde, kann die zwingend erforderliche Bestellverarbeitung auf Vertragsbasis fortgesetzt werden, Transparenzhinweise zu den an Block geteilten Daten bleiben jedoch Pflicht.
Block, Inc. hat seinen Sitz in den USA und betreibt eine globale Infrastruktur auf AWS. Die australische Einheit verarbeitet zusätzlich Daten in Australien. Block ist im EU US Data Privacy Framework selbst zertifiziert, womit Übermittlungen an zertifizierte Block Einheiten von einer Angemessenheitsentscheidung gedeckt sind. Für Kategorien außerhalb des DPF nutzt Block die neuen Standardvertragsklauseln in Kombination mit einem Transfer Impact Assessment. Händler müssen Block, Inc. und Afterpay Pty Ltd als Empfänger nennen und die Mechanismen erläutern.
Sperren Sie das Afterpay SDK in Ihrer CMP und laden Sie es erst nach Annahme der passenden Kategorien. Schließen Sie je nach Vertragskonstellation einen Auftragsverarbeitungs oder gemeinsam Verantwortlichen Vertrag mit Block. Aktualisieren Sie die Datenschutzerklärung um die Kategorien geteilter Daten, den Transfermechanismus (DPF und SCC) und die Rechte zu automatisierten Entscheidungen. Listen Sie die Domains afterpay.com und clearpay.com sowie die Cookies in der Cookie Richtlinie auf. Stellen Sie sicher, dass bei Ablehnung von Afterpay alternative Zahlarten weiter funktionieren.
Websites using Afterpay must obtain user consent under GDPR regulations.
DPIA considerations
Eine DSFA kann erforderlich sein, wenn Afterpay mit Kreditbewertung, Betrugs Profiling oder groß angelegten grenzüberschreitenden Datenflüssen kombiniert wird. Verarbeitet werden Finanzdaten, automatisierte Entscheidungen zur Kreditprüfung und Übermittlungen in die USA und nach Australien, alles Indikatoren, die europäische Aufsichten als Auslöser einer DSFA nach Art. 35 DSGVO nennen.
Sample consent text
Wir nutzen Afterpay (Clearpay), um Zahlungsoptionen anzuzeigen und Buy Now Pay Later Bestellungen abzuwickeln. Dabei werden Cookies gesetzt und Ihre IP Adresse sowie Kaufdaten an Block, Inc. in den USA übermittelt. Möchten Sie zustimmen?
Third-party domains contacted
afterpay.comstatic.afterpay.comjs.afterpay.comportal.afterpay.comapi.afterpay.comclearpay.comportal.clearpay.comjs.clearpay.comstatic.clearpay.co.ukCookies placed
| Name | Type | Duration | Purpose |
|---|---|---|---|
| ap_sso_session | third party | Session | Maintains the authenticated session between portal.afterpay.com and the merchant site during a BNPL transaction. |
| ap_segment_id | third party | 13 months | Anonymous segmentation identifier used by Afterpay analytics and fraud engine to recognise repeat devices across merchants. |
| afterpay_device_id | third party | 1 year | Device fingerprint identifier used by Afterpay risk and credit decisioning to detect fraud and duplicate accounts. |
| _ap_session | third party | Session | Short lived session cookie for the widget rendering and checkout redirect flow. |
| cf_clearance | third party | 30 days | Cloudflare bot mitigation cookie set on Afterpay domains to validate that the request comes from a real browser. |
| OptanonConsent | third party | 1 year | OneTrust consent state cookie set on afterpay.com when the user visits Afterpay owned pages, recording the cookie preferences. |
Afterpay verwendet Cookies für Nutzereinstellungen — informieren Sie Besucher mit einem Cookie-Banner.
Das Widget setzt Cookies wie ap_sso_session für die Portal Authentifizierung, ap_segment_id für Betrugs und Analytics Segmentierung und eine Geräte Fingerprint ID für das Risiko Scoring. Je nach Integration können weitere Mess Cookies (Google Analytics, interne Counter) hinzukommen. Alle nicht zwingend erforderlichen Cookies müssen einwilligungsgesteuert geladen werden.
Für das Widget auf der Produktseite, den Ratenrechner und alle Marketing Cookies lautet die Antwort ja: Sie werden vor der Zahlung gesetzt und sind nicht zwingend erforderlich. Innerhalb des Checkouts kann die zwingend erforderliche Verarbeitung nach Vertrag fortgesetzt werden, das Banner sollte aber die Datenweitergabe transparent anzeigen.
Drei Grundlagen wirken zusammen: Vertrag (Art. 6 Abs. 1 lit. b DSGVO) für die Abwicklung der BNPL Bestellung, berechtigtes Interesse (Art. 6 Abs. 1 lit. f) für Betrugsprävention und Kreditrisiko sowie Einwilligung (Art. 6 Abs. 1 lit. a) für nicht erforderliche Cookies, Marketing und kombiniertes Profiling. Bei automatisierten Kreditentscheidungen gelten die Garantien aus Art. 22 DSGVO (menschliche Überprüfung, Anfechtbarkeit).
Ja. Block, Inc. ist ein US Verantwortlicher und betreibt Infrastruktur weltweit auf AWS. Block ist im EU US Data Privacy Framework selbst zertifiziert. Außerhalb des DPF erfolgen Übermittlungen auf Basis der neuen Standardvertragsklauseln und einer Transfer Impact Assessment. Ein Teil der Verarbeitung findet zudem in Australien bei Afterpay Pty Ltd statt.
Häufig ja. Die Kombination aus Kreditbewertung, automatisierten Entscheidungen, großem Verarbeitungsumfang bei Zahlungsdaten und internationalen Transfers erfüllt mehrere Kriterien des EDSA. Eine DSFA ist auch für mittelgroße Händler der sicherste Weg, vor allem wenn Afterpay mit weiterem Tracking im selben Checkout zusammenwirkt.
Laden Sie das Afterpay SDK erst nach Einwilligung in die passende Kategorie, schließen Sie mit Block je nach Modell einen Auftragsverarbeitungs oder gemeinsam Verantwortlichen Vertrag, aktualisieren Sie die Datenschutzerklärung um Empfänger und Transfers und ergänzen Sie Cookies und Domains in der Cookie Richtlinie. Stellen Sie sicher, dass BNPL eine Option unter mehreren bleibt und der Checkout ohne Afterpay abgeschlossen werden kann.
Europäische BNPL Anbieter (Klarna, Alma, Scalapay, Riverty) bieten vergleichbare Dienste, oft mit Verarbeitung innerhalb der EU. Sorgfalt ist weiterhin nötig, das Transferrisiko ist aber meist geringer. Klassische Zahlarten (Karte, SEPA Lastschrift, PayPal) bleiben für Kunden verfügbar, die BNPL oder das damit verbundene Tracking ablehnen.
Fügen Sie Afterpay (Clearpay) je nach Bedarf in der Kategorie Marketing oder Funktional ein. Listen Sie die Cookies (ap_sso_session, ap_segment_id, Fingerprint IDs), den Anbieter (Afterpay Pty Ltd und Block, Inc.), den Zweck (Bestellabwicklung, Betrugsprävention, Analytics) und den Transfermechanismus (DPF oder SCC) auf. Halten Sie die Richtlinie aktuell, sobald Afterpay seine Cookie Liste ändert.