Nutzt Ihre Website Drittanbieter-Dienste? Werden Sie in wenigen Minuten DSGVO-konform.
FlowConsent testenmobileCta.note
Stripe ist eine führende globale Zahlungsverarbeitungsplattform, die von Millionen von Unternehmen für die Abwicklung von Online- und Präsenzzahlungen genutzt wird. Für europäische Unternehmen verarbeitet Stripe Zahlungsdaten innerhalb der EU, ist PCI DSS zertifiziert und stellt umfassende DSGVO-Dokumentation bereit, einschließlich AVV und SCC. Die primäre Rechtsgrundlage für die Zahlungsverarbeitung ist die Vertragserfüllung. Stripes Betrugserkennungssystem (Stripe Radar) verwendet Geräte-Fingerprinting und Verhaltensmerkmale, was durch berechtigtes Interesse und rechtliche Verpflichtung gerechtfertigt ist.
Stripe ist eine US-amerikanische Zahlungsverarbeitungsplattform, die von Millionen von Unternehmen weltweit genutzt wird, um Online-Zahlungen, Abonnements und Marktplatztransaktionen abzuwickeln. Für Webentwickler wird Stripe durch das Laden von stripe.js eingebunden, das eine sichere Verbindung zu Stripes Zahlungsinfrastruktur herstellt. Im europäischen Kontext hat Stripe eine starke regulatorische Präsenz: Stripe Payments Europe Limited ist in Irland als E-Geld-Institut zugelassen und verarbeitet die meisten europäischen Transaktionen innerhalb der EU.
Stripe setzt zwei Cookies: __stripe_mid (persistent, 1 Jahr, maschinenweite Identifikation für Betrugsprävention) und __stripe_sid (Session, 30 Minuten, sitzungsbasierte Betrugserkennung). Über Cookies hinaus verarbeitet Stripe Zahlungskarteninformationen, Rechnungs- und Lieferadresse, Geräte- und Browser-Fingerabdrücke für Stripe Radar (Betrugserkennung), IP-Adresse, Transaktionsverlauf und Kaufmuster sowie bei Stripe Connect auch Verkäuferdaten.
Stripe-Zahlungsverarbeitung basiert auf mehreren DSGVO-Rechtsgrundlagen: Vertragserfüllung (Art. 6(1)(b)) für die Kerntransaktionsverarbeitung, da die Erhebung von Zahlungsdaten für die Auftragserfüllung notwendig ist. Rechtliche Verpflichtung (Art. 6(1)(c)) für die Einhaltung von AML/KYC-Anforderungen, PSD2-Authentifizierung und finanzieller Regulierung. Berechtigtes Interesse (Art. 6(1)(f)) für die Betrugserkennung durch Stripe Radar, da der Schutz vor Betrug einem legitimen Interesse des Unternehmens und der Nutzer dient. Einwilligung für etwaige optionale Marketing-Analysefunktionen.
Get GDPR compliant in 10 minutes
Free plan available · No credit card required
Die Stripe-Cookies __stripe_mid und __stripe_sid dienen ausschließlich der Betrugsprävention und Transaktionssicherheit. Die meisten Datenschutzrechtsexperten und DPAs bewerten diese als funktional notwendig für die Zahlungsabwicklung, sodass keine separate Cookie-Einwilligung für diese Cookies erforderlich ist. Sie sollten jedoch in Ihrer Cookie-Richtlinie unter der Kategorie der notwendigen oder funktionalen Cookies mit einer klaren Erläuterung aufgeführt werden, dass sie für die sichere Zahlungsabwicklung verwendet werden.
Stripe Payments Europe verarbeitet EU-Zahlungen in Irland. Einige Fraud-Prevention- und Analysefunktionen können eine US-Verarbeitung durch Stripe Inc. beinhalten. Stripe stellt DSGVO-konforme AVVs und SCC bereit. Für die Compliance: (1) Den AVV von Stripe in den Dashboard-Einstellungen akzeptieren. (2) Stripe in Ihrer Datenschutzerklärung als Zahlungsverarbeiter nennen. (3) Die Stripe-Cookies als notwendige Cookies in Ihrer Cookie-Richtlinie mit Zweck und Laufzeit offenlegen. (4) Für PSD2-Konformität sicherstellen, dass die Starke Kundenauthentifizierung (SCA) korrekt implementiert ist. (5) Datenlöschanfragen über die Stripe API oder das Dashboard bearbeiten.
Websites using Stripe must obtain user consent under GDPR regulations.
DPIA considerations
Eine DSFA ist für die standardmäßige Stripe-Zahlungsabwicklung im Allgemeinen nicht erforderlich. Sie kann für große E-Commerce-Plattformen mit hohem Zahlungsvolumen relevant werden, oder für Marktplätze, bei denen Stripe Connect mehrere Parteien einbezieht, die Finanzdaten teilen, was ein erhöhtes Risikoprofil schafft.
Sample consent text
Zahlungen auf dieser Website werden von Stripe abgewickelt. Bei einer Zahlung erfasst Stripe Ihre Zahlungskarteninformationen und Rechnungsdetails zur Transaktionsverarbeitung. Stripe verwendet auch Geräteinformationen zur Betrugsprävention. Details finden Sie in unserer Datenschutzerklärung und der Datenschutzerklärung von Stripe.
Third-party domains contacted
stripe.comjs.stripe.comapi.stripe.comCookies placed
| Name | Type | Duration | Purpose |
|---|---|---|---|
| __stripe_mid | persistent | 1 year | Stripe machine identifier for fraud prevention via Stripe Radar — strictly necessary security cookie |
| __stripe_sid | session | 30 minutes | Stripe session identifier for fraud detection during active payment sessions |
Stripe ist ein essenzieller Dienst, aber Transparenz ist wichtig. Verwalten Sie Ihre gesamte Einwilligung mit FlowConsent.
Ja. Stripe hat erhebliche Anstrengungen unternommen, um die DSGVO-Konformität zu gewährleisten: Stripe Payments Europe Limited ist in Irland zugelassen und verarbeitet europäische Zahlungen innerhalb der EU. Stripe stellt einen DSGVO-konformen AVV, SCC für etwaige US-Datentransfers und PCI DSS-Zertifizierung für die Sicherheit von Kartendaten bereit. Stripe veröffentlicht auch eine Datenschutzerklärung und Datenschutzressourcen speziell für Händler. Website-Betreiber müssen jedoch ihren eigenen Teil der Compliance sicherstellen: den AVV akzeptieren, Stripe in der Datenschutzerklärung offenlegen und Datenpflichten für Käufer erfüllen.
Die Kernrechtsgrundlage für die Stripe-Zahlungsabwicklung ist die Vertragserfüllung (Art. 6(1)(b) DSGVO), da die Erfassung von Zahlungsdaten für die Ausführung der Bestellung notwendig ist. Darüber hinaus gilt die rechtliche Verpflichtung (Art. 6(1)(c)) für regulatorische Anforderungen wie PSD2-Authentifizierung, AML/KYC-Prüfungen und Aufbewahrungspflichten für Finanzdaten. Das berechtigte Interesse (Art. 6(1)(f)) deckt die Betrugsprävention über Stripe Radar ab. Für optionale Marketing- oder Analysefunktionen (z.B. Stripe Sigma Berichte an Dritte) ist eine Einwilligung erforderlich.
Die Stripe.js-Cookies (__stripe_mid und __stripe_sid) dienen ausschließlich der Betrugsprävention und Transaktionssicherheit. Sie sind für die sichere Zahlungsabwicklung funktional notwendig und erfordern daher im Allgemeinen keine separate Cookie-Einwilligung unter der ePrivacy-Richtlinie. Sie fallen unter die Ausnahme für "strictly necessary" Cookies. Sie sollten jedoch in Ihrer Cookie-Erklärung unter der Kategorie der notwendigen/funktionalen Cookies offengelegt werden. Wenn Sie optionale Stripe-Produkte wie Stripe Radar Advanced oder Stripe Fraud Protection nutzen, können für Analyse-Cookies zusätzliche Offenlegungen erforderlich sein.
Stripe Payments Europe Limited verarbeitet die meisten europäischen Transaktionsdaten innerhalb der EU (Irland). Einige unterstützende Funktionen wie Stripe Radar (Betrugserkennung), Stripe Sigma (Analysen) und globale Plattformdienste können Daten an Stripe Inc. in den USA übertragen. Stripe stellt SCC als Mechanismus für diese Übertragungen bereit. Händler sollten den AVV von Stripe akzeptieren und in ihrer Datenschutzerklärung auf die Stripe-Datenschutzrichtlinie für vollständige Details zu Datentransfers verweisen.
Ihre Datenschutzerklärung sollte enthalten: (1) dass Zahlungen über Stripe Payments Europe Limited (Irland) abgewickelt werden; (2) welche Daten Stripe erfasst (Zahlungskartendaten, Geräteinformationen, IP-Adresse) und zu welchen Zwecken (Transaktionsverarbeitung, Betrugsprävention, regulatorische Compliance); (3) die Rechtsgrundlagen (Vertragserfüllung, rechtliche Verpflichtung, berechtigtes Interesse); (4) dass einige Daten zur US-Verarbeitung an Stripe Inc. übertragen werden können und SCC gelten; (5) einen Link zur Stripe-Datenschutzrichtlinie; (6) wie Nutzer Datenlöschanträge stellen können.
Eine DSFA ist für die Standard-Stripe-Zahlungsabwicklung im Allgemeinen nicht erforderlich, da die Kernverarbeitung auf einer notwendigen Vertragsrechtsgrundlage basiert und Stripe starke Sicherheits- und DSGVO-Konformitätsmaßnahmen bereitstellt. Sie kann jedoch erforderlich werden bei: (1) großen E-Commerce-Plattformen, die Zahlungsdaten in sehr großem Umfang verarbeiten; (2) Marktplätzen mit Stripe Connect, bei denen mehrere Parteien Finanzdaten teilen; (3) Kombination von Zahlungsdaten mit umfangreichen Kundenprofildaten für Marketing- oder Kreditrisikobewertungen.
Für DSGVO-Datenlöschungsanträge im Zusammenhang mit Stripe: (1) Kundendaten aus Ihrem eigenen System löschen. (2) Eine Datenlöschanfrage an Stripe über das Stripe-Dashboard (Kunden-Tab, Datenschutzanfragen) oder die Stripe API senden. (3) Beachten, dass Stripe bestimmte Transaktionsdaten aus gesetzlichen Gründen (AML, Steuerrecht) für einen vorgeschriebenen Zeitraum aufbewahren muss, selbst nach einem Löschantrag. (4) Den Antragsteller über den Zeitrahmen und etwaige gesetzliche Aufbewahrungspflichten informieren, die einer vollständigen Löschung entgegenstehen können.
Nein, nicht automatisch. Stripe stellt eine DSGVO-konforme Infrastruktur für die Zahlungsabwicklung bereit, aber die Gesamtkonformität liegt beim Website-Betreiber (dem Datenverantwortlichen). Ihre Pflichten umfassen: (1) Akzeptieren des AVV von Stripe; (2) Informieren der Käufer über die Zahlungsverarbeitung durch Stripe in Ihrer Datenschutzerklärung; (3) Sicherstellen der Rechtmäßigkeit der Datenerhebung auf Ihrer Seite vor der Weitergabe an Stripe; (4) Bearbeiten von Betroffenenrechten (Auskunft, Löschung, Einschränkung) für Zahlungsdaten; (5) Implementieren starker Kundenauthentifizierung (SCA) für PSD2-Konformität.