Nutzt Ihre Website Drittanbieter-Dienste? Werden Sie in wenigen Minuten DSGVO-konform.
FlowConsent testenmobileCta.note
Affirm ist ein US Anbieter für Buy Now Pay Later und Point of Sale Finanzierung, betrieben von Affirm Holdings, Inc. Händler binden affirm.js ein, um Ratenangaben auf Produktseiten anzuzeigen und im Checkout einen gehosteten Kreditantrag zu starten. Das Widget überträgt Besucher und Transaktionsdaten an Affirm Server in den USA, woraus vollständige DSGVO und TTDSG Pflichten für europäische Händler entstehen.
Affirm ist eine Buy Now Pay Later und Point of Sale Finanzierungsplattform der Affirm Holdings, Inc., einem börsennotierten Unternehmen mit Sitz in San Francisco. Anders als kurze 4 Raten Produkte bietet Affirm Kredite von wenigen Wochen bis zu mehreren Jahren mit ausgewiesenem Zins und je nach Angebot weicher oder harter Bonitätsprüfung. Händler binden Affirm über affirm.js ein, das auf Produktseiten ein Raten Widget anzeigt und im Checkout einen gehosteten Kreditantrag öffnet.
Auf Produktseiten erhebt Affirm IP Adresse, User Agent, URL, Warenkorbwert und Händler ID über das Widget Skript und setzt Analytics und Fraud Cookies. Im Antragsprozess werden Name, Geburtsdatum, Adresse, Telefon, E Mail, die letzten Stellen einer nationalen ID, Beschäftigungsdaten und eine Bankverifizierung erhoben. Affirm fragt Auskunfteien und Betrugsdatenbanken ab und teilt die Entscheidung mit dem Händler.
Die auf Kategorie und Produktseiten gesetzten Affirm Cookies sind nicht zwingend erforderlich und benötigen Einwilligung nach Art. 5 Abs. 3 ePrivacy bzw. Paragraf 25 TTDSG. Der Kreditantrag im Checkout fällt unter Art. 6 Abs. 1 lit. b DSGVO, da er zur Erfüllung eines vom Betroffenen gewünschten Vertrags notwendig ist. Automatisiertes Scoring unterliegt den Garantien aus Art. 22 DSGVO: Information, menschliche Überprüfung und Anfechtungsrecht. Drittlandtransfers in die USA unterliegen Kapitel V.
Get GDPR compliant in 10 minutes
Free plan available · No credit card required
Für das Marketing Widget und alle vor dem Checkout gesetzten Analytics Cookies ja: das affirm.js Skript ist hinter den Consent Manager zu stellen. Im Checkout, sobald der Nutzer Affirm aktiv als Finanzierungsoption gewählt hat, kann der Antrag auf Vertragsbasis verarbeitet werden. Die Datenschutzinformationen müssen dennoch klar beschreiben, welche Daten an Affirm gehen und dass eine automatisierte Entscheidung getroffen wird.
Affirm Holdings, Inc. ist ein US Verantwortlicher und verarbeitet Daten auf US Infrastruktur. Affirm ist im EU US Data Privacy Framework selbst zertifiziert, was eine Angemessenheitsentscheidung für die Übermittlungen bietet. Affirm veröffentlicht zusätzlich Standardvertragsklauseln und erläutert den Umgang mit Zugriffsersuchen US amerikanischer Behörden nach FISA 702. Händler müssen diese Mechanismen in der Datenschutzerklärung referenzieren.
Sperren Sie das Affirm Widget hinter dem Consent Manager, dokumentieren Sie die Integration im Verarbeitungsverzeichnis, führen Sie eine DSFA durch, die automatisierte Entscheidung und EU US Transfer umfasst, und schließen Sie mit Affirm die passende Vereinbarung (gemeinsame Verantwortlichkeit oder Auftragsverarbeitung). Aktualisieren Sie die Datenschutzerklärung um Datenkategorien, Rechtsgrundlagen, SCC bzw. DPF und die Rechte nach Art. 22.
Websites using Affirm must obtain user consent under GDPR regulations.
DPIA considerations
Eine DSFA ist bei jeder Affirm Integration zu empfehlen. Verarbeitet werden automatisierte Kreditentscheidungen, Finanzdaten, Betrugs Profiling und systematische Transfers in die USA, drei der neun WP29 Kriterien für Hochrisikoverarbeitung. Erforderlichkeit, Verhältnismäßigkeit und Schutzmaßnahmen (Consent Gate, Transfermechanismus, Speicherfristen) sind zu dokumentieren.
Sample consent text
Wir nutzen Affirm, um Ratenpläne anzuzeigen und Kreditanträge zu verarbeiten. Dabei werden Cookies gesetzt und Ihre IP Adresse sowie Transaktionsdaten an Affirm Holdings, Inc. in den USA übermittelt. Möchten Sie zustimmen?
Third-party domains contacted
affirm.comcdn-assets.affirm.comapi.affirm.comtracker.affirm.comwww.affirm.comcdn1.affirm.comsift.comCookies placed
| Name | Type | Duration | Purpose |
|---|---|---|---|
| _affirm_session | third party | Session | Maintains the user session between the merchant site and the Affirm hosted application flow. |
| affirm_sift_session_id | third party | 1 year | Sift fraud detection session identifier used by Affirm to score risk on incoming credit applications. |
| mp_<token>_mixpanel | third party | 1 year | Mixpanel analytics cookie set on affirm.com to measure the funnel of the credit application. |
| _ga | third party | 2 years | Google Analytics first party cookie set on affirm.com to track usage of Affirm marketing and merchant facing pages. |
| csrftoken | third party | 1 year | Cross site request forgery protection token used during the hosted credit application flow. |
Dieser Dienst erhebt möglicherweise Nutzerdaten. Stellen Sie die DSGVO-Konformität mit FlowConsent sicher.
Das Widget setzt Cookies wie _affirm_session, affirm_sift_session_id (Fraud Session ID von Sift) und verschiedene Analytics Cookies (Mixpanel, Google Analytics) auf Affirm Domains. Diese Cookies sind auf einer Händlerseite nicht zwingend erforderlich und unterliegen der Einwilligungspflicht nach ePrivacy und TTDSG.
Ja, für das Raten Widget auf Kategorie und Produktseiten und für alle Analytics Cookies, die das Skript auslöst. Im Checkout, sobald Affirm gewählt wurde, kann die Verarbeitung vertragsbasiert weiterlaufen, das Consent Layer sollte diese Cookies aber bereits als Marketing oder Funktional klassifiziert haben.
Vertrag (Art. 6 Abs. 1 lit. b DSGVO) für den Kreditantrag, berechtigtes Interesse (Art. 6 Abs. 1 lit. f) für die Betrugsprävention über Sift und Risikomodellierung sowie Einwilligung (Art. 6 Abs. 1 lit. a) für nicht erforderliche Cookies und Marketing Widgets. Automatisierte Entscheidungen erfordern die Garantien aus Art. 22 DSGVO.
Ja. Affirm ist ein US Verantwortlicher und verarbeitet alles in den USA. Affirm ist im EU US Data Privacy Framework selbst zertifiziert und bietet Standardvertragsklauseln. Beides sollte mit der Empfängerliste in der Datenschutzerklärung des Händlers referenziert werden.
In den meisten Fällen ja. Automatisiertes Kredit Scoring potenziell für jeden Kunden, der auf einer Produktseite landet, erfüllt mehrere DSFA Kriterien. Die DSFA sollte Datenflüsse, Entscheidungslogik, Rechte nach Art. 22 und Schutzmaßnahmen für Drittlandtransfers abdecken.
Sperren Sie affirm.js bis zur Einwilligung, isolieren Sie die Finanzierungsstrecke hinter einer ausdrücklichen Nutzerauswahl, schließen Sie die nötigen Verträge mit Affirm und aktualisieren Sie die Datenschutzerklärung. Weisen Sie auf die automatisierte Entscheidung hin und erläutern Sie, wie eine menschliche Prüfung angefordert werden kann.
Für europäische Händler bieten Klarna, Alma, Scalapay, Riverty und Cofidis regulierte BNPL Dienste mit stärkerer EU Präsenz. Datenschutzpflichten bleiben, die Verarbeitung erfolgt jedoch häufig in der EU. Klassische Finanzierungen über Partnerbanken stehen für hochpreisige Käufe weiter zur Verfügung.
Ergänzen Sie einen Eintrag unter Marketing oder Funktional. Listen Sie die relevanten Cookies (_affirm_session, affirm_sift_session_id, Analytics Cookies), den Anbieter (Affirm Holdings, Inc., San Francisco, USA), den Zweck (Widget, Betrugsabwehr, Analytics) und den Transfermechanismus (EU US Data Privacy Framework oder SCC).