Nutzt Ihre Website Drittanbieter-Dienste? Werden Sie in wenigen Minuten DSGVO-konform.

Unipag

Was macht Unipag?

Unipag ist ein russisches Payment-Gateway und Aggregator, der einen einzigen Integrationspunkt für mehrere regionale Zahlungsmethoden bietet. Der Ablauf ist serverseitig: Käufer werden auf eine von Unipag gehostete Seite weitergeleitet oder interagieren mit einem Unipag-Iframe, ohne dass der Händler Kartendaten erfasst. Strikt erforderliche Cookies brauchen keine Einwilligung, doch der Transfer von Zahlungsmetadaten und IP-Adressen in die Russische Föderation löst die Garantien aus Artikel 46 DSGVO aus.

Was Unipag ist und wie der Zahlungsablauf funktioniert

Unipag ist ein russisches Payment-Gateway und Aggregator, der Händlern eine einzige API und einen einzigen gehosteten Checkout bereitstellt, um mehrere regionale Zahlungsmethoden gleichzeitig zu akzeptieren. Statt jeden Acquirer und jede Wallet einzeln zu integrieren, integriert der Händler Unipag, und Unipag leitet jede Transaktion an den passenden nachgelagerten Prozessor weiter. Diese Konsolidierung vereinfacht die Abstimmung und reduziert die Zahl der PCI-Abgrenzungen, die der Händler pflegen muss.

Die Integration ist serverseitig. Der Käufer wird entweder vom Händler-Checkout auf eine von Unipag gehostete Zahlungsseite weitergeleitet oder gibt seine Kartendaten in einem in der Händlerseite eingebetteten Unipag-Iframe ein. In beiden Fällen erreichen sensible Zahlungsdaten niemals den Händler-Server, was den Händler außerhalb des strengsten PCI-DSS-Geltungsbereichs hält. Auf der Unipag-Domain werden Cookies gesetzt, um die Zahlungssitzung zu halten, vor CSRF zu schützen und Risk-Scoring-Modelle zu speisen.

Daten und Cookies beim Checkout

Im Zahlungsschritt erfasst Unipag, soweit zutreffend, die Karteninhaberdaten, Rechnungsangaben, IP-Adresse, User-Agent, Device-Fingerprinting-Signale und Verhaltensmerkmale, die in Anti-Fraud-Modelle einfließen. Der Händler übermittelt die Bestellreferenz, den Betrag, die Währung und eine Kundenkennung. Die auf der Unipag-Domain gesetzten Cookies tragen die Zahlungssitzung, Anti-CSRF-Tokens und kurzlebige Risk-Scoring-Kennungen; diese Cookies verbleiben auf der Unipag-Domain und sind vom Händler-Site nicht direkt zugänglich.

Nach der Zahlung gibt Unipag einen Status, eine Transaktionskennung und gegebenenfalls eine tokenisierte Referenz zurück, mit der Folgezahlungen ohne erneute Erfassung der Kartendaten möglich werden. Dieses Token bildet zusammen mit der Kundenkennung personenbezogene Daten im Sinne der DSGVO, auch wenn es keine primäre Kontonummer ist. Die Aufbewahrung richtet sich nach Geldwäschegesetz, Handels- und Steuerrecht sowie dem Händlervertrag.

Cookies, ePrivacy und Rechtsgrundlage

Aus Sicht der ePrivacy-Richtlinie sind die Zahlungscookies auf der Unipag-Domain unbedingt erforderlich, um die vom Nutzer ausdrücklich angeforderte Transaktion abzuschließen. Sie fallen unter die Ausnahme nach Art. 5 Abs. 3 und benötigen keine vorherige Einwilligung. Der Händler muss die Weiterleitung nicht hinter eine Consent-Schranke stellen; die Cookie-Richtlinie muss diese Cookies und ihren Zweck dennoch beschreiben.

DSGVO-seitig ist die Rechtsgrundlage die Vertragserfüllung für die Zahlung selbst (Art. 6 Abs. 1 lit. b), die rechtliche Verpflichtung für die GwG- und handelsrechtliche Aufbewahrung (Art. 6 Abs. 1 lit. c) und das berechtigte Interesse für Betrugsprävention und Streitfallmanagement (Art. 6 Abs. 1 lit. f). Unipag ist Auftragsverarbeiter des Händlers für die Zahlungsanweisung und eigenständig Verantwortlicher für Fraud-Scoring- und GwG-Pflichten, die ihn unmittelbar binden.

Get GDPR compliant in 10 minutes

Free plan available · No credit card required

Try FlowConsent free

Grenzüberschreitende Transfers nach Russland

Strukturell problematisch an Unipag ist, dass Zahlungsmetadaten, IP-Adressen, Verhaltenssignale und Kundenkennungen an Infrastruktur in der Russischen Föderation übermittelt werden. Russland verfügt über keinen europäischen Angemessenheitsbeschluss, daher muss der Händler gültige Garantien nach Artikel 46 einrichten, in der Regel die Standardvertragsklauseln 2021, und eine Transfer Impact Assessment durchführen, die das Zugriffsrisiko nach russischem Recht und die Wirksamkeit ergänzender Maßnahmen bewertet.

Hinzu kommt, dass das russische Bundesgesetz 152-FZ eine lokale Speicherung personenbezogener Daten russischer Bürger vorschreibt, was Unipag zwingen kann, Datenkopien in Russland zu führen und die Erfüllung von Löschanträgen erschwert. Händler müssen außerdem berücksichtigen, dass das politische und sanktionsrechtliche Umfeld die Rechtsbehelfsmöglichkeiten europäischer Kunden einschränken kann, ein Element, das im Restrisiko stark zu Buche schlägt.

DSFA und Pflichten des Händlers

Eine DSFA ist für jeden EU-Händler, der Unipag einsetzt, empfehlenswert. Sie sollte den Zahlungsfluss, die Datenkategorien, die Empfänger in Russland, die durch Buchhaltung und GwG vorgegebenen Speicherdauern, die ergänzenden Maßnahmen (Verschlüsselung, Pseudonymisierung, vertragliche Zugriffsbeschränkungen) und das Restrisiko für die betroffenen Personen beschreiben. Außerdem ist das Auskunftsrecht in der Datenschutzerklärung mit ausdrücklicher Nennung des Empfängerlandes zu dokumentieren.

Praktische Umsetzung und Alternativen

Konkret: Auftragsverarbeitungsvertrag unterzeichnen, Transfer Impact Assessment archivieren, in der Datenschutzerklärung Russland nennen und die Speicherdauern an PSD2 und GwG ausrichten statt unbegrenzt zu speichern. Für rein europäische Kundenbasen sollten Stripe, Adyen, Mollie, Worldline oder ein inländischer Acquirer geprüft werden: Diese Alternativen halten Kartendaten und Metadaten im EWR und vermeiden das Russland-Transferrisiko, das die Bewertung von Unipag dominiert.

GDPR consent category

Marketing

Websites using Unipag must obtain user consent under GDPR regulations.

Legal basisPerformance of the contract (Article 6(1)(b) GDPR) for the payment itself and legitimate interest plus legal obligation (Article 6(1)(c) and (f) GDPR) for fraud prevention and accounting. Strictly necessary cookies on the payment domain are exempt from the ePrivacy opt-in.

Risk levelhigh

Applicable regulationsGDPR, ePrivacy Directive, PSD2, Russian Federal Law 152-FZ on personal data, AML obligations of the merchant

DPIA considerations

Selbst wenn die Cookies selbst unbedingt erforderlich sind, ist eine DSFA gerechtfertigt: Unipag verarbeitet finanzielle Transaktionsdaten, IP-Adressen, Gerätesignale und Kundenkennungen und leitet sie in die Russische Föderation. Die DSFA sollte das Zugriffsrisiko nach russischem Recht, die Speicherdauer nach GwG und PSD2, ergänzende Maßnahmen und die Machbarkeit eines EU-Acquirers für den Händler abdecken.

Sample consent text

Zahlungen auf dieser Website werden von Unipag abgewickelt, das Ihre Zahlungsdaten, Ihre IP-Adresse und die Bestelldaten erhält und sie auf Servern in der Russischen Föderation speichert. Dies ist unbedingt erforderlich, um die von Ihnen angeforderte Transaktion auszuführen, weshalb wir für die Zahlungscookies keine Einwilligung erfragen. In der Datenschutzerklärung erfahren Sie, welche Garantien wir für diesen internationalen Transfer anwenden.

Technical details

Tracking methodServer-side redirect or iframe payment flow, with strictly necessary session cookies set on the unipag.com checkout domain and anti-fraud signals captured during the payment step.

Server locationRussian Federation

Data transferred outside the EUPayment data, customer identifiers, IP addresses and order metadata are transmitted to Unipag infrastructure located in the Russian Federation. Russia has no EU adequacy decision, so any merchant established in the EEA must put Article 46 transfer safeguards in place and perform a Transfer Impact Assessment, regardless of the operational status of the service.

Third-party domains contacted

unipag.compay.unipag.comapi.unipag.com

Cookies placed

Name	Type	Duration	Purpose
unipag_sid	Strictly necessary	Session	Maintains the payment session between the merchant redirect, the Unipag hosted page and the callback to the merchant.
unipag_csrf	Strictly necessary	Session	Anti-CSRF token protecting the payment form against cross-site request forgery attacks.
unipag_risk	Strictly necessary	30 minutes	Short-lived risk scoring identifier used by the anti-fraud engine during a single payment attempt.
unipag_3ds	Strictly necessary	15 minutes	Carries the state of the 3-D Secure authentication challenge between the issuer ACS and the Unipag flow.

Unipag setzt Tracking-Cookies für Werbezwecke — werden Sie DSGVO-konform mit FlowConsent.

Kostenlos starten Website scannen

Häufig gestellte Fragen

Welche Cookies setzt Unipag beim Checkout?

Unipag setzt auf seiner eigenen Domain ausschließlich unbedingt erforderliche Cookies: ein Sitzungscookie für die Zahlung, ein Anti-CSRF-Token, eine kurzlebige Risk-Scoring-Kennung und ein Cookie für den 3-D-Secure-Status. Diese Cookies verbleiben auf der Unipag-Domain und sind aus dem Händler-Site nicht direkt lesbar. Im Kernzahlungsfluss kommen weder Marketing- noch Analytics-Cookies zum Einsatz.

Benötigt der Händler eine Einwilligung für den Einsatz von Unipag?

Für die Zahlungscookies selbst ist keine Banner-Einwilligung erforderlich: Sie sind unbedingt erforderlich, um die vom Nutzer ausdrücklich angestoßene Transaktion durchzuführen. Der Händler muss diese Cookies dennoch in der Cookie-Richtlinie beschreiben und für jede andere Tracking-Technologie (Analytics, Marketing) auf dem restlichen Site eine Einwilligung einholen.

Welche Rechtsgrundlage gilt für die Verarbeitung über Unipag?

Vertragserfüllung (Art. 6 Abs. 1 lit. b DSGVO) für die Zahlungsanweisung selbst, rechtliche Verpflichtung (Art. 6 Abs. 1 lit. c) für GwG- und handelsrechtliche Aufbewahrung sowie berechtigtes Interesse (Art. 6 Abs. 1 lit. f) für Betrugsprävention und Streitfallmanagement. Jede Grundlage ist mit klarem Geltungsbereich in der Datenschutzerklärung wiederzugeben.

Wie werden internationale Datentransfers gehandhabt?

Zahlungsmetadaten, IP-Adressen und Kundenkennungen werden an die Unipag-Infrastruktur in der Russischen Föderation übermittelt. Der Händler muss die Standardvertragsklauseln unterzeichnen, eine Transfer Impact Assessment abschließen, ergänzende Maßnahmen dokumentieren und Russland als Empfängerland in der Datenschutzerklärung nennen. Das Restrisiko wird in der Regel als hoch eingestuft.

Ist eine DSFA für Unipag nötig?

Eine DSFA wird empfohlen. Finanzdaten, IP-Adressen, Verhaltenssignale und Kundenkennungen verlassen den EWR in ein Drittland ohne Angemessenheit und fließen in ein automatisiertes Fraud-Scoring ein. Zwei EDSA-Kriterien sind erfüllt (umfangreiche Finanzdaten und risikobehaftete Transfers), was eine formale Bewertung der Transferkette und des Restrisikos rechtfertigt.

Wie setze ich Unipag rechtskonform ein?

Auftragsverarbeitungsvertrag und SCC unterzeichnen, Transfer Impact Assessment abschließen, ergänzende Maßnahmen dokumentieren (TLS im Transit, Pseudonymisierung der Kundenkennungen, Zugangskontrollen), Speicherdauern an PSD2 und GwG ausrichten, Russland in der Datenschutzerklärung nennen und Kunden einen klaren Ansprechpartner für ihre Rechte bieten.

Gibt es EU-basierte Alternativen zu Unipag?

Ja. Stripe, Adyen, Mollie, Worldline, Nexi und viele inländische Acquirer bieten eine vergleichbare Aggregation europäischer Zahlungsmethoden und halten die Daten im EWR. Für spezielle Verticals (Abos, Marktplätze, BNPL) stehen zudem regionale Spezialisten mit EU-Datenresidenz zur Verfügung.

Wie spiegeln Cookie- und Datenschutzrichtlinie Unipag wider?

Ergänzen Sie in der Cookie-Tabelle eine Zeile je Unipag-Cookie (unipag_sid, unipag_csrf, unipag_risk, unipag_3ds) mit Typ, Speicherdauer und Zweck. Im Abschnitt zu internationalen Transfers nennen Sie die Russische Föderation, verweisen auf die SCC nach Artikel 46 und auf Ihre Transfer Impact Assessment. Listen Sie Unipag unter den Auftragsverarbeitern und aktualisieren Sie die Richtlinie bei jeder Änderung des Zahlungsflusses.

DSGVO-konform werden — FlowConsent kostenlos testen

mobileCta.note