Jetzt starten  Sales-Team kontaktieren 
Jetzt starten  Sales-Team kontaktieren 

Auswählen eines CCPA-konformen Zahlungsdienstleisters

Payments
Payments

Akzeptieren Sie Zahlungen online, vor Ort und weltweit mit einer Zahlungslösung, die für jede Art von Unternehmen geeignet ist – vom Start-up bis zum globalen Konzern.

Mehr erfahren 
  1. Einführung
  2. Warum ist der California Consumer Privacy Act für die Zahlungsabwicklung relevant?
  3. Welche personenbezogenen Daten verwendet ein Zahlungsabwickler?
  4. Wie sollte die Einhaltung des CCPA durch einen Anbieter bewertet werden?
  5. Welche Anzeichen deuten auf eine schwache Daten-Governance bei der Zahlungsabwicklung hin?
  6. Wie können Beschaffungsteams eine Ausschreibung so strukturieren, dass Lücken bei der Einhaltung des CCPA frühzeitig erkannt werden?
  7. So kann Stripe Payments Sie unterstützen
  8. Jetzt mit Stripe starten 

Der California Consumer Privacy Act (CCPA) und seine Erweiterung, der California Privacy Rights Act (CPRA), legen die Standards dafür fest, wie digitale Dienstleister Kundendaten im Golden State erheben und weitergeben. Die Einhaltung des CCPA und des CPRA ist bei der Auswahl eines Zahlungsdienstleisters besonders wichtig, da die Strafe für jeden Verstoß bis zu 8.000 USD betragen kann.

Hier erklären wir, wie Sie einen CCPA-konformen Zahlungsanbieter auswählen, wie Sie die Datenschutzfunktionen des Anbieters bewerten und Compliance-Lücken im Beschaffungsprozess frühzeitig erkennen können.

Worum geht es in diesem Artikel?

  • Warum ist der California Consumer Privacy Act für die Zahlungsabwicklung relevant?
  • Welche personenbezogenen Daten verwendet ein Zahlungsabwickler?
  • Wie sollte die Einhaltung des CCPA durch einen Anbieter bewertet werden?
  • Welche Anzeichen deuten auf eine schwache Daten-Governance bei der Zahlungsabwicklung hin?
  • Wie können Beschaffungsteams eine Ausschreibung so strukturieren, dass Lücken bei der Einhaltung des CCPA frühzeitig erkannt werden?
  • So kann Stripe Payments Sie unterstützen

Warum ist der California Consumer Privacy Act für die Zahlungsabwicklung relevant?

Der CCPA gibt den Einwohnern/Einwohnerinnen Kaliforniens das Recht, zu erfahren, wie ihre persönlichen Daten erhoben werden, deren Löschung zu beantragen und deren Verkauf zu untersagen. In den Anwendungsbereich des CCPA fallen auch Zahlungsdienstleister, da sie sensible Daten wie Namen, E-Mails, Adressen, Kartennummern und Transaktionsdetails verarbeiten.

Oftmals gelten Zahlungsdienstleister laut Gesetz als „Dienstleister“. Unternehmen können Kundendaten in begrenztem Umfang und aus festgelegten Gründen an Zahlungsdienstleister weitergeben, die das gleiche Maß an Datenschutz gewährleisten müssen. Wenn ein Zahlungsabwickler diese Daten jedoch anderweitig (z. B. zur Analyse von Transaktionsverläufen für die Entwicklung eigener Marketingprodukte) verwendet, überschreitet er diese rechtlich Grenze.

Die Missachtung des CCPA kann zu Bußgeldern und Rufschädigung führen, auch wenn Ihr Unternehmen seinen Sitz außerhalb Kaliforniens hat. Der CCPA gilt für alle Einwohner/innen Kaliforniens, unabhängig vom Standort Ihres Unternehmens – ähnlich wie die europäische Datenschutz-Grundverordnung (DSGVO).

Welche personenbezogenen Daten verwendet ein Zahlungsabwickler?

Jede Zahlung beinhaltet eine Vielzahl persönlicher und sensibler Informationen.

Diese Informationen können Folgendes umfassen:

  • Kundenangaben: Namen, E-Mail-Adressen, Anschriften und Kontonamen. Selbst IP-Adressen, die während des Bezahlvorgangs erfasst werden, gelten als persönliche Daten.

  • Finanzdaten: Kredit- und Debitkartennummern, Ablaufdaten, Sicherheitscodes sowie Bankkonto- und Routing-Nummern. Der CCPA stuft diese Informationen als sensible persönliche Daten ein, da sie direkt mit der finanziellen Identität verknüpft sind.

  • Transaktionsdaten: Kaufhistorie, Bestellwert, Zeitstempel und Unternehmensangaben. Diese Aufzeichnungen erlauben Rückschlüsse auf Ausgabenmuster, die mit bestimmten Personen verknüpft sind.

  • Daten zur Betrugsprävention: Gerätefingerabdrücke, Geolokalisierungsdaten und Verhaltensindikatoren, die zur Erkennung von Betrug verwendet werden, gelten laut Gesetz als personenbezogene Daten.

  • Authentifizierungsdaten: Verschlüsselte Anmeldedaten, Konto-Token und manchmal biometrische Kennungen wie Gesichtserkennung oder Fingerabdruck gelten als sensible Daten.

  • Kundenkommunikation: Support-E-Mails, Chatprotokolle und Anrufaufzeichnungen enthalten oft persönliche Daten, die mit Konten oder Transaktionen in Verbindung stehen.

Wie sollte die Einhaltung des CCPA durch einen Anbieter bewertet werden?

Zahlungsdienstleister verarbeiten Daten in Ihrem Auftrag. Es liegt jedoch in Ihrer Verantwortung, sicherzustellen, dass die Dienstleister die Anfragen unterstützen können, zu denen Ihre Kundinnen und Kunden rechtlich berechtigt sind.

Folgendes sollten Sie beachten:

  • Umgang mit Zustimmungen und Widerspruch: Im Rahmen des CCPA benötigen viele Zahlungsdienstleister keine Zustimmung, um Daten erheben zu können. Allerdings müssen sie die Präferenzen „Nicht verkaufen oder weitergeben“ berücksichtigen. Wenn sie Cookies oder Tracking-Tools zur Betrugserkennung oder Analyse verwenden, sollten Sie sicherstellen, dass diese nicht mit dem Widerspruchsrecht kollidieren.

  • Zugriff und Übertragbarkeit: Kundinnen und Kunden haben das Recht, zu erfahren, welche personenbezogenen Daten ein Unternehmen besitzt. Das bedeutet, dass Ihr Anbieter in der Lage sein muss, diese bei Bedarf abzurufen. Erkundigen Sie sich, wie er einzelne Datensätze auffindet und zusammenstellt (per E-Mail, Kartentoken oder Transaktions-ID) und wie er die Identität verifiziert, bevor er die Daten freigibt. Erfahrene Anbieter können diese Informationen über eine Programmierschnittstelle (API) oder einen definierten Workflow bereitstellen.

  • Lösch- und Aufbewahrungskontrollen: Dienstleister sind in der Regel verpflichtet, Kundendaten auf Anfrage zu löschen. Das Löschen von Zahlungsdaten ist nicht immer unkompliziert. Anbieter müssen in der Lage sein, personenbezogene Daten auf Ihre Anweisung hin zu entfernen und gleichzeitig die Daten aufzubewahren, die für die Einhaltung gesetzlicher Richtlinien erforderlich sind.

Welche Anzeichen deuten auf eine schwache Daten-Governance bei der Zahlungsabwicklung hin?

Wenn Sie die Warnsignale einer schwachen Daten-Governance erkennen, können Sie später Compliance-Risiken und Reputationsschäden vermeiden.

Achten Sie auf die folgenden Punkte:

  • Kein Nachweis der Einhaltung: Ein erfahrener Anbieter kann ein sorgfältiges Datenmanagement nachweisen. Berichte gemäß Payment Card Industry Data Security Standard (PCI DSS), dokumentierte CCPA-Verfahren, System and Organization Controls (SOC) 2-Berichte oder Zertifizierungen der International Organization for Standardization (ISO) können den Kontext liefern.

  • Unzureichende Sicherheitspraktiken: Verschlüsselung, Zugriffskontrollen und Schwachstellentests sollten Standard sein. Wenn ein Anbieter unverschlüsselte Kartendaten speichert, keine Multi-Faktor-Authentifizierung anbietet oder seinen Notfallplan im Fall von Sicherheitsverletzungen nicht beschreiben kann, ist das ein Ausschlusskriterium.

  • Undurchsichtige Datennutzung: Einige Zahlungsanbieter verwenden Transaktionsdaten für Analyse oder Werbezwecke oder für oder Machine Learning-Modelle, die nicht in keinem Zusammenhang mit Ihrem Unternehmen stehen. Sie müssen ihren Kundinnen und Kunden die Möglichkeit geben, gezielte Werbung zu deaktivieren.

  • Widerstand gegen Transparenz: Ausflüchte bei der Due Diligence (z. B. Vermeidung direkter Antworten zu Datenflüssen, Speicherung oder Unterauftragnehmer) ist ein deutliches Warnzeichen. Weitere besorgniserregende Anzeichen sind die Weigerung, Sicherheitsfragebögen auszufüllen oder begrenzte Audits zuzulassen.

  • Fehlende Führung im Datenschutz: Wenn der Anbieter keinen Datenschutzbeauftragten oder kein Compliance-Team hat oder keine internen Schulungen für Mitarbeiter/innen anbietet, die mit Kundendaten umgehen, kann sein Risikomanagement bestenfalls reaktiv sein.

Wie können Beschaffungsteams eine Ausschreibung so strukturieren, dass Lücken bei der Einhaltung des CCPA frühzeitig erkannt werden?

Eine Ausschreibung für einen Zahlungsdienstleister kann Ihnen helfen, den Reifegrad der Datenverwaltung von Anbietern zu vergleichen.

Ziehen Sie in Betracht, die folgenden Maßnahmen zu ergreifen:

  • Fügen Sie einen gesonderten Abschnitt zum Thema Datenschutz hinzu: Verstecken Sie den Datenschutz nicht im Anhang. Machen Sie die Einhaltung des CCPA zu einer eigenen Bewertungskategorie und signalisieren Sie dadurch, dass Datenschutz Teil der Geschäftskriterien und nicht nur ein Nebenaspekt ist.

  • Fragen Sie nach genauen Daten: Fordern Sie eine klare Liste der persönlichen Daten an, die der Anbieter erhebt, verarbeitet und speichert, z. B. Namen, E-Mail-Adressen, Kartendaten und Geräte-IDs – und erkundigen Sie sich, warum er diese Daten erhebt. Vergleichen Sie die Antworten der Anbieter, denn zusätzliche oder unnötige Datenerhebung ist ein Warnzeichen.

  • Prüfen Sie den Umgang mit Kundenrechten: Fragen Sie, wie Zugriffs- und Löschanträge verarbeitet werden, einschließlich der Verifizierungs- und Bearbeitungszeiten. Kompetente Anbieter können dies Schritt für Schritt erklären oder beispielhafte Workflows bereitstellen.

  • Überprüfen Sie die Verfahren zur Datenspeicherung und -löschung: Verlangen Sie von den Anbietern Angaben dazu, wie lange sie personenbezogene Daten aufbewahren, wodurch die Löschung ausgelöst wird und wie nach Vertragsende mit Daten umgegangen wird. Ihr Ziel ist, eine Verpflichtung der Anbieter zur Löschung oder Rückgabe von Daten auf Anweisung.

  • Bewerten Sie die Sicherheit und Transparenz: Fordern Sie Prüfberichte (z. B. SOC 2, PCI DSS, ISO/IEC 27001) und schriftliche Verfahren zur Meldung von Datenschutzverstößen an. Anbieter, die diese nicht bereitstellen können, sind nicht für die Einhaltung unternehmensweiter Compliance-Anforderungen gerüstet.

So kann Stripe Payments Sie unterstützen

Stripe Payments bietet eine einheitliche, globale Zahlungslösung, mit der jedes Unternehmen – von Start-ups bis hin zu globalen Konzernen – Zahlungen online, vor Ort und weltweit akzeptieren kann.

Mit Stripe Payments können Sie Folgendes umsetzen:

  • Bezahlvorgang optimieren: Schaffen Sie ein reibungsloses Kundenerlebnis und sparen Sie Tausende von Entwicklungsstunden mit vorgefertigten Zahlungs-Nutzeroberflächen, Zugang zu über 125 Zahlungsmethoden und Link, einer von Stripe entwickelten Wallet.

  • Neue Märkte schneller erschließen: Erreichen Sie Kundinnen und Kunden weltweit und reduzieren Sie die Komplexität und Kosten der Verwaltung mehrerer Währungen mit grenzüberschreitenden Zahlungsoptionen, die in 195 Ländern und über 135 Währungen verfügbar sind.

  • Online- und Vor-Ort-Zahlungen vereinheitlichen: Schaffen Sie Unified Commerce über Online- und Vor-Ort-Kanäle hinweg, um Interaktionen zu personalisieren, Treue zu belohnen und Ihren Umsatz zu steigern.

  • Zahlungs-Performance verbessern: Steigern Sie Ihren Umsatz mit einer Reihe anpassbarer, einfach zu konfigurierender Zahlungstools, darunter eine No-Code-Betrugsvorbeugung und erweiterte Funktionen zur Verbesserung der Autorisierungsquoten.

  • Schnelleres Wachstum dank einer flexiblen, zuverlässigen Plattform: Bauen Sie auf einer Plattform auf, die mit Ihnen mitwächst, mit einer historischen Erreichbarkeit von 99,999 % und branchenführender Zuverlässigkeit.

Erfahren Sie mehr darüber, wie Stripe Payments Sie bei Online- und Vor-Ort-Zahlungen unterstützen kann oder starten Sie noch heute.

Der Inhalt dieses Artikels dient nur zu allgemeinen Informations- und Bildungszwecken und sollte nicht als Rechts- oder Steuerberatung interpretiert werden. Stripe übernimmt keine Gewähr oder Garantie für die Richtigkeit, Vollständigkeit, Angemessenheit oder Aktualität der Informationen in diesem Artikel. Sie sollten den Rat eines in Ihrem steuerlichen Zuständigkeitsbereich zugelassenen kompetenten Rechtsbeistands oder von einer Steuerberatungsstelle einholen und sich hinsichtlich Ihrer speziellen Situation beraten lassen.

Weitere Artikel

  • Etwas ist schiefgegangen. Bitte versuchen Sie es noch einmal oder kontaktieren Sie den Support.

Startklar?

Erstellen Sie direkt ein Konto und beginnen Sie mit dem Akzeptieren von Zahlungen. Unser Sales-Team berät Sie gerne und gestaltet für Sie ein individuelles Angebot, das ganz auf Ihr Unternehmen abgestimmt ist.
Payments

Payments

Akzeptieren Sie Zahlungen online, am POS vor Ort und weltweit mit einer einzigen Zahlungslösung, die für jedes Unternehmen geeignet ist.

Dokumentation zu Payments

Finden Sie einen Leitfaden zum Integrieren der Zahlungs-APIs von Stripe.