Nutzt Ihre Website Drittanbieter-Dienste? Werden Sie in wenigen Minuten DSGVO-konform.

Zuora

Was macht Zuora?

Zuora ist eine Plattform fur Abonnementabrechnung und Commerce, die wiederkehrende Abrechnung, gehostete Checkout Seiten und die Client Bibliothek Zuora.js zur Erfassung von Zahlungsdaten bereitstellt. Ihr Checkout setzt unbedingt erforderliche Cookies, um die Zahlung zu betreiben und abzusichern, wahrend gehostete und Marketing Seiten von Zuora Analyse und Werbe Cookies nutzen, die eine Einwilligung erfordern. Abonnementdaten werden auf AWS in einer vom Kunden wahlbaren Region gehostet, mit einem US Rechenzentrum als Standard und einer EU Option in Frankfurt. Da Zuora seinen Hauptsitz in den USA hat, kann die EU Nutzung eine Ubermittlung in ein Drittland umfassen, sofern keine EU Residenz bereitgestellt wird.

Was Zuora ist

Zuora ist eine Plattform fur Abonnementabrechnung und Commerce, die von Unternehmen zur Verwaltung wiederkehrender Umsatze genutzt wird. Sie stellt gehostete Checkout Seiten und eine Client Bibliothek namens Zuora.js bereit, die Zahlungsdaten direkt in von Zuora kontrollierte Felder erfasst, was den Handler ausserhalb des Anwendungsbereichs fur rohe Kartendaten halt. Die Plattform verwaltet den Abonnementlebenszyklus, die Rechnungsstellung, Zahlungen und die Umsatzrealisierung im Auftrag des Handlers. Zuora ist ein Unternehmen mit Hauptsitz in den USA, und seine Dienste laufen auf Amazon Web Services in einer von Ihnen wahlbaren Region. Ein US Rechenzentrum wird standardmassig bereitgestellt, mit einem EU Rechenzentrum in Frankfurt und einem APAC Rechenzentrum in Japan fur Kunden, die regionale Residenz benotigen. Da sich Abrechnungsdaten im Laufe der Zeit ansammeln, ist es fur die Konformitat wesentlich zu verstehen, wo sie gespeichert werden und welche Cookies gesetzt werden.

Cookies und erfasste Daten

Der gehostete Zuora Checkout und Zuora.js konnen unbedingt erforderliche Cookies setzen, die die Zahlungsseite betreiben und die Sitzung absichern und keine Einwilligung erfordern. Die Unternehmens und Marketing Seiten von Zuora nutzen zusatzlich Analyse und Werbe Cookies, und Zuora gibt an, dass es und seine Partner Cookies unter anderem zu Werbezwecken einsetzen, die nicht unbedingt erforderlich sind und eine Einwilligung erfordern. Die uber die Plattform erfassten Daten umfassen Zahlungsdetails, Abonnement und Abrechnungsinformationen, Kontaktdaten und technische Metadaten wie die IP Adresse, die zum Betrieb und zur Absicherung des Dienstes verwendet werden. Die Abrechnungsdaten werden von Zuora als Auftragsverarbeiter auf Grundlage der dokumentierten Weisungen des Handlers verarbeitet. Die Unterscheidung zwischen den notwendigen Checkout Cookies und den optionalen Analyse und Werbe Cookies muss in Ihrem Cookie Banner und Ihrer Richtlinie klar abgebildet werden. Bestatigen Sie stets das tatsachliche Cookie Verhalten in Ihrer eigenen Bereitstellung.

DSGVO und ePrivacy Auswirkungen

Nach der DSGVO ist die Rechtsgrundlage fur die Verarbeitung eines Abonnements und die Abrechnung des Kunden die Vertragserfullung, wahrend Betrugspravention und Absicherung des Checkouts auf berechtigtem Interesse beruhen. Nach der ePrivacy Richtlinie sind die unbedingt erforderlichen Checkout Cookies von der Einwilligung ausgenommen, die Analyse und Werbe Cookies erfordern jedoch eine vorherige Zustimmung. Zuora handelt als Auftragsverarbeiter fur die Abrechnungsdaten und stellt einen Auftragsverarbeitungsvertrag bereit, den Sie unterzeichnen und in dem Sie die Rollen von Verantwortlichem und Auftragsverarbeiter bestatigen sollten. Die PSD2 fuhrt Pflichten wie die starke Kundenauthentifizierung fur Zahlungen ein, die mit dem Checkout Ablauf zusammenwirkt. Da Zuora seinen Hauptsitz in den USA hat und das Standard Rechenzentrum in den USA liegt, ist in der Regel eine Bewertung der internationalen Ubermittlung erforderlich, sofern Sie nicht das EU Rechenzentrum bereitstellen. Klare Dokumentation und ein robuster Einwilligungsablauf sind unerlasslich.

Get GDPR compliant in 10 minutes

Free plan available · No credit card required

Try FlowConsent free

Einwilligungsanforderungen und CMP Integration

Fur die unbedingt erforderlichen Checkout Cookies benotigen Sie keine Einwilligung, sodass die Zahlungsseite geladen werden kann und Kunden bezahlen konnen. Fur die Analyse und Werbe Cookies auf den gehosteten und Marketing Seiten von Zuora benotigen Sie eine vorherige Einwilligung, die in Ihre Consent Management Plattform eingebunden und blockiert werden sollte, bis der Besucher die betreffende Kategorie akzeptiert. Ein sauberer Ansatz besteht darin, die Abrechnungs und Checkout Funktion arbeiten zu lassen und nur das optionale Tracking zu sperren. Ihr Einwilligungsbanner sollte erklaren, dass einige Cookies fur den Betrieb und die Absicherung des Checkouts wesentlich sind und andere optional. Prufen Sie, dass eine Ablehnung der optionalen Kategorien das Setzen dieser Cookies auf den gehosteten Seiten tatsachlich verhindert. Fuhren Sie einen Nachweis der Einwilligung, um die Konformitat gegenuber einer Aufsichtsbehorde nachweisen zu konnen.

Internationale Datenubermittlungen

Zuora hostet Kundendaten auf AWS in einer von Ihnen wahlbaren Region, mit einem US Cloud Rechenzentrum in Nordamerika als Standard, einem EU Cloud Rechenzentrum mit primarem Hosting in Frankfurt und Failover in Irland sowie einem APAC Rechenzentrum in Japan. Fur eine EU Website ist die sauberste Option, das EU Rechenzentrum bereitzustellen, damit Abonnementdaten innerhalb der EU bleiben. Wenn Sie das US Standard Rechenzentrum nutzen oder wenn in den USA ansassiges Personal auf die Daten zugreifen kann, handelt es sich um eine Ubermittlung in ein Drittland, die die DSGVO nur mit einer geeigneten Garantie wie dem EU US Datenschutzrahmen oder Standardvertragsklauseln, gestutzt durch eine Ubermittlungs Folgenabschatzung, erlaubt. Dokumentieren Sie die gewahlte Region und die Garantie in Ihrem Verarbeitungsverzeichnis und Ihrer Datenschutzerklarung. Uberprufen Sie die Regelung regelmassig, da sich die Rechtslage weiterentwickelt.

Praktische Compliance Schritte

Beginnen Sie damit, den Zuora Auftragsverarbeitungsvertrag zu unterzeichnen und das EU Rechenzentrum zu wahlen, wenn Sie EU Residenz fur Abonnementdaten benotigen. Konfigurieren Sie Ihre Consent Management Plattform so, dass die unbedingt erforderlichen Checkout Cookies laufen, wahrend Analyse und Werbe Cookies bis zur Einwilligung blockiert sind. Aktualisieren Sie Ihre Datenschutzerklarung und Cookie Richtlinie, um die Abrechnungsverarbeitung, die Rechtsgrundlagen Vertrag und berechtigtes Interesse, die einwilligungsbasierten optionalen Cookies und die Rechenzentrumsregion zu erlautern. Legen Sie Aufbewahrungsfristen fur Abrechnungsunterlagen fest, die Steuer und Finanzaufbewahrungsregeln respektieren, und wenden Sie ansonsten Datenminimierung an. Setzen Sie die von der PSD2 geforderte starke Kundenauthentifizierung im Checkout Ablauf um. Fuhren Sie eine Ubermittlungs Folgenabschatzung durch, wo US Speicherung oder Zugriff gilt, und angesichts des Umfangs und der Sensibilitat der Abrechnungsdaten eine Datenschutz Folgenabschatzung. Halten Sie schliesslich Ihre Dokumentation mit der Live Konfiguration und der Rechenzentrumswahl im Einklang.

GDPR consent category

Sonstige

Websites using Zuora must obtain user consent under GDPR regulations.

Legal basisContract performance (GDPR Article 6(1)(b)) for processing a subscription and billing the customer requested, plus Legitimate Interest (Article 6(1)(f)) for fraud prevention and securing the checkout. Consent (Article 6(1)(a)) is required for the analytics and advertising cookies used on Zuora hosted pages and marketing properties.

Risk levelhigh

Applicable regulationsGDPR, ePrivacy Directive, PSD2, TTDSG (Germany), CNIL guidelines, LOPDGDD (Spain), EU US Data Privacy Framework

DPIA considerations

Zuora verarbeitet Abonnement und Zahlungsdaten uber die Zeit und baut oft eine Abrechnungshistorie auf, die das Kundenverhalten profilieren kann, daher ist eine sorgfaltige Bewertung angebracht. Eine Datenschutz Folgenabschatzung sollte die beim Checkout erfassten und im Abrechnungssystem gespeicherten Daten, die gewahlte Rechenzentrumsregion, die unbedingt erforderlichen gegenuber den einwilligungsbasierten Cookies und jeden Zugriff auf Daten aus den USA dokumentieren. Halten Sie die PSD2 Pflichten wie die starke Kundenauthentifizierung und die Aufbewahrungsfristen fur Abrechnungsunterlagen fest, die durch Steuer und Finanzrecht vorgegeben sein konnen. Wenn Sie das US Standard Rechenzentrum nutzen, sollten die Ubermittlungsgarantie und deren Folgenabschatzung im Mittelpunkt der DSFA stehen.

Sample consent text

Diese Website nutzt Zuora zur Verwaltung von Abonnements und zur Zahlungsabwicklung. Cookies, die fur den Betrieb und die Absicherung Ihres Checkouts unbedingt erforderlich sind, sind immer aktiv. Mit Ihrer Einwilligung setzen wir zudem Analyse und Werbe Cookies, und Ihre Daten konnen in einem Zuora Rechenzentrum verarbeitet werden; die optionalen Cookies konnen Sie jederzeit akzeptieren oder ablehnen.

Technical details

Tracking methodSubscription billing and commerce platform. Hosted checkout pages and the Zuora.js client library collect payment and subscription data and can set strictly necessary cookies to operate the checkout and secure the session. The Zuora corporate website and marketing pages also use analytics and advertising cookies that require consent, while the billing data itself is processed on behalf of the merchant.

Server locationCustomer selectable AWS region. The default US Cloud Data Center is in North America, and an EU Cloud Data Center is available with primary hosting in Frankfurt, Germany and failover in Ireland. An APAC data center is in Japan. Zuora Inc is headquartered in Silicon Valley, USA.

Data transferred outside the EUZuora is a US headquartered company and the default data center is in the United States, so without explicit EU provisioning subscription data is hosted in a third country. Zuora offers an EU Cloud Data Center in Frankfurt with failover in Ireland for customers who require EU residency. Where data is stored in or accessed from the US, the transfer must be covered by an appropriate safeguard such as the EU US Data Privacy Framework or Standard Contractual Clauses with a transfer impact assessment.

Third-party domains contacted

zuora.comstatic.zuora.comrest.zuora.comrest.eu.zuora.com

Cookies placed

Name	Type	Duration	Purpose
Checkout session	strictly_necessary	session	Operates the hosted checkout and Zuora.js payment page and maintains the secure payment session so the customer can complete the transaction.
Security and fraud	strictly_necessary	session to persistent	Secures the checkout session and helps detect irregular behaviour to protect the payment.
Analytics	analytics	up to 2 years	Set on Zuora hosted and marketing pages to understand how visitors use the site. Not strictly necessary and requires consent.
Advertising	marketing	up to 1 year	Used by Zuora and its partners for advertising purposes. Not strictly necessary and requires consent.

Dieser Dienst erhebt möglicherweise Nutzerdaten. Stellen Sie die DSGVO-Konformität mit FlowConsent sicher.

Kostenlos starten Website scannen

Häufig gestellte Fragen

Welche Cookies setzt Zuora?

Der gehostete Zuora Checkout und Zuora.js setzen unbedingt erforderliche Cookies, um die Zahlungsseite zu betreiben und die Sitzung abzusichern, die keine Einwilligung erfordern. Die Unternehmens und Marketing Seiten von Zuora nutzen zusatzlich Analyse und Werbe Cookies, die nicht unbedingt erforderlich sind und eine Einwilligung erfordern. Bestatigen Sie stets das tatsachliche Cookie Verhalten in Ihrer eigenen Bereitstellung.

Ist fur die Nutzung von Zuora eine Einwilligung erforderlich?

Fur die unbedingt erforderlichen Checkout Cookies ist keine Einwilligung erforderlich, sodass die Zahlungsseite funktionieren kann. Fur die Analyse und Werbe Cookies auf den gehosteten und Marketing Seiten von Zuora ist eine Einwilligung erforderlich, die blockiert werden mussen, bis der Besucher die betreffende Kategorie uber Ihr Einwilligungsbanner akzeptiert.

Was ist die Rechtsgrundlage fur die Nutzung von Zuora?

Die Rechtsgrundlage ist die Vertragserfullung nach Artikel 6(1)(b) DSGVO fur die Verarbeitung des vom Kunden gewunschten Abonnements und der Abrechnung sowie das berechtigte Interesse nach Artikel 6(1)(f) fur Betrugspravention und Absicherung des Checkouts. Die Analyse und Werbe Cookies benotigen eine Einwilligung nach Artikel 6(1)(a).

Ubermittelt Zuora Daten in die USA?

Das kann vorkommen. Zuora hat seinen Hauptsitz in den USA und das Standard Rechenzentrum liegt dort, sodass ohne EU Bereitstellung Abonnementdaten in einem Drittland gespeichert werden. Zuora bietet ein EU Rechenzentrum in Frankfurt mit Failover in Irland; wenn Sie US Speicherung oder US Zugriff nutzen, sind eine Garantie wie der EU US Datenschutzrahmen oder Standardvertragsklauseln sowie eine Ubermittlungs Folgenabschatzung erforderlich.

Benotige ich eine DSFA fur Zuora?

Eine Datenschutz Folgenabschatzung ist ratsam, da Zuora Abonnement und Zahlungsdaten uber die Zeit verarbeitet und eine Abrechnungshistorie aufbauen kann, die Kunden profiliert, insbesondere bei hohen Volumina oder mit US Speicherung. Die DSFA sollte die erfassten und gespeicherten Daten, die Rechenzentrumsregion, die Cookie Kategorien und jeden US Zugriff abdecken.

Wie setze ich Zuora konform ein?

Unterzeichnen Sie den Zuora Auftragsverarbeitungsvertrag, wahlen Sie das EU Rechenzentrum, wenn Sie EU Residenz benotigen, und integrieren Sie die Analyse und Werbe Cookies in Ihre Consent Management Plattform, sodass sie bis zur Einwilligung blockiert sind. Aktualisieren Sie Ihre Datenschutz und Cookie Richtlinien, legen Sie die Aufbewahrung fur Abrechnungsunterlagen fest und setzen Sie die von der PSD2 geforderte starke Kundenauthentifizierung um.

Welche Alternativen zu Zuora gibt es?

Andere Plattformen fur Abonnementabrechnung und Zahlung sind Stripe Billing, Chargebee, Recurly und Paddle, jeweils mit eigenem Cookie und Datenresidenz Profil. Fur die starkste EU Datenresidenz bevorzugen Sie einen Anbieter, der Abrechnungsdaten in der EU speichern kann und die optionalen Analyse und Werbe Cookies klar getrennt und einwilligungsbasiert halt.

Wie aktualisiere ich meine Cookie Richtlinie fur Zuora?

Fuhren Sie die unbedingt erforderlichen Checkout Cookies getrennt von den optionalen Analyse und Werbe Cookies auf, mit Zweck und ungefahrer Dauer. Geben Sie an, dass Zuora der Abrechnungs und Zahlungsdienstleister ist, legen Sie die genutzte Rechenzentrumsregion offen und nennen Sie die Ubermittlungsgarantie, falls Daten in den USA gespeichert oder von dort abgerufen werden. Prufen Sie den Eintrag, wann immer sich die Konfiguration oder die Rechenzentrumswahl andert.

DSGVO-konform werden — FlowConsent kostenlos testen

mobileCta.note