Stripe und Datenschutz – Was in die Datenschutzerklärung gehört

Setzt ein Webseitenbetreiber Stripe ein, verarbeitet er bei jedem Aufruf einer Seite mit Bezahlfunktion Endgeräte- und Browserdaten, IP-Adressen und Zahlungsdaten der Nutzer, um Zahlungen entgegenzunehmen, Betrug zu erkennen und die Bezahlfunktion bereitzustellen. Diese Seite zeigt Webseitenbetreibern in Deutschland, welche Daten Stripe nach den öffentlich zugänglichen Angaben des Anbieters verarbeitet, welche Zwecke und Rechtsgrundlagen typischerweise einschlägig sind und wie sich diese Verarbeitungen sachgerecht in einer Datenschutzerklärung abbilden lassen. Schwerpunkt ist dabei die clientseitige Einbindung von Stripe über Stripe.js, Stripe Elements und Stripe Checkout auf der Webseite des Betreibers.

A. Zweck und Funktionsweise von Stripe

Stripe ist ein Zahlungsdienstleister, der Webseitenbetreibern eine technische und vertragliche Infrastruktur für die Annahme von Online-Zahlungen bereitstellt. Akzeptiert werden insbesondere Kredit- und Debitkarten, SEPA-Lastschriften, Wallet-Verfahren wie Apple Pay und Google Pay sowie regional verbreitete Zahlungsmittel. Im Rahmen des Bezahlvorgangs übernimmt Stripe die Erfassung der Zahlungsdaten, die Autorisierung beim Kartenemittenten, die Abwicklung mit den Acquirern und die anschließende Auszahlung an den Webseitenbetreiber.

Über das Bezahlen hinaus bietet Stripe weitere Funktionen wie Abonnementverwaltung (Stripe Billing), Rechnungsstellung (Stripe Invoicing), Risiko- und Betrugsabwehr (Stripe Radar), Identitätsprüfung (Stripe Identity) sowie Zahlungslinks und gehostete Bezahlseiten (Stripe Checkout). Diese Seite konzentriert sich auf die clientseitige Integration auf der Webseite des Betreibers, also auf die Skript-Einbindung über Stripe.js, die Bezahlfeld-Komponenten Stripe Elements und die gehostete Bezahlseite Stripe Checkout. Funktionen, die ausschließlich serverseitig oder im Stripe-Dashboard genutzt werden (etwa Buchhaltungs-Exports oder Abonnement-Reports), sind nicht Gegenstand dieser Darstellung.

Sobald der Webseitenbetreiber die Bezahlfunktion in seine Webseite einbettet, wird das Stripe-Skript vom Endgerät des Nutzers nachgeladen. Stripe gibt in seinen öffentlich zugänglichen Hinweisen an, dabei auch sicherheits- und betrugsrelevante Signale zu erfassen, etwa Geräte- und Browsereigenschaften sowie Verhaltensindikatoren bei der Eingabe von Zahlungsdaten.

B. Pflichtangaben in der Datenschutzerklärung beim Einsatz von Stripe

Die DSGVO verlangt für die Datenschutzerklärung neben allgemeinen Angaben zum Webseitenbetreiber, zu den Rechten der betroffenen Person und zur Aufsichtsbehörde in Bezug auf den Einsatz von Tools wie Stripe folgende spezifische Pflichtangaben: die Zwecke der Verarbeitung (Art. 13 Abs. 1 lit. c DSGVO), die Rechtsgrundlagen der Verarbeitung (Art. 13 Abs. 1 lit. c DSGVO), bei Verarbeitung auf Grundlage einer Interessenabwägung zusätzlich die konkret verfolgten berechtigten Interessen (Art. 13 Abs. 1 lit. d DSGVO), die Empfänger oder Kategorien von Empfängern (Art. 13 Abs. 1 lit. e DSGVO), Angaben zu Drittlandsübermittlungen (Art. 13 Abs. 1 lit. f DSGVO), die Speicherdauer oder die Kriterien zu deren Festlegung (Art. 13 Abs. 2 lit. a DSGVO) sowie – wenn Daten nicht direkt beim Betroffenen erhoben werden – die Kategorien der verarbeiteten Daten (Art. 14 Abs. 1 lit. d DSGVO).

Die nachfolgenden Abschnitte schlüsseln diese Pflichtangaben für den Einsatz von Stripe auf. Für die rechtliche Einordnung ist regelmäßig zu trennen zwischen Verarbeitungen, die Stripe weisungsgebunden für den Webseitenbetreiber durchführt, und Verarbeitungen, die Stripe nach den öffentlich zugänglichen Angaben des Anbieters für eigene Zwecke vornimmt – etwa zur Betrugsabwehr und zur Einhaltung finanzaufsichtsrechtlicher Pflichten.

In der Praxis erscheint es nicht erforderlich, jedes einzelne Tool – also auch Stripe – mit einem eigenen, formelhaften Textbaustein in der Datenschutzerklärung zu beschreiben. Diese „Textbaustein-pro-Tool"-Praxis hat sich zwar weithin eingebürgert, führt aber zu langen, von Anwaltskanzleien vorformulierten Erklärungen, die sich inhaltlich wiederholen und die Datenschutzerklärung für Nutzer kaum lesbar machen. Sachgerechter ist ein themenorientierter Ansatz, der Verarbeitungen übergreifend nach Themen (Serverbetrieb, Verkauf und Zahlung, Tracking, Newsletter …) beschreibt und konkrete Dienstleister wie Stripe in einem Anhang als Empfänger ausweist. Genau diese Methodik verfolgt der matterius-Generator.

C. Anbieter von Stripe

Vertragspartner für Webseitenbetreiber im Europäischen Wirtschaftsraum ist nach den öffentlich zugänglichen Angaben des Anbieters in der Regel die Stripe Payments Europe, Limited, mit Sitz in 1 Grand Canal Street Lower, Grand Canal Dock, Dublin D02 H210, Irland. Daneben tritt für bestimmte Verarbeitungen die Stripe Technology Europe, Limited mit derselben Anschrift auf, die laut Stripe das DSGVO-rechtliche Hauptetablissement in Europa darstellt. Welche dieser Gesellschaften im Einzelfall Vertragspartner ist, ergibt sich aus den jeweiligen Vertragsdokumenten und ist vom Webseitenbetreiber zu prüfen.

Muttergesellschaft ist die Stripe, Inc. mit Sitz in den USA. Stripe, Inc. ist nach den öffentlich zugänglichen Angaben des Anbieters und nach dem Eintrag in der DPF-Liste (https://www.dataprivacyframework.gov/participant/6436) unter dem EU-US Data Privacy Framework zertifiziert. Drittlandtransfers in die USA können sich zusätzlich auf EU-Standardvertragsklauseln stützen, soweit diese vereinbart sind.

Die Datenschutzhinweise des Anbieters sind unter https://stripe.com/privacy abrufbar. Die DPF-Policy von Stripe ist unter https://stripe.com/legal/data-privacy-framework veröffentlicht. Ein Datenverarbeitungsvertrag (Data Processing Agreement) wird unter https://stripe.com/legal/dpa zur Verfügung gestellt.

D. Datenverarbeitung bei Stripe – Ablauf in Schritten

E. Erhobene Daten beim Einsatz von Stripe

Beim Einsatz von Stripe werden nach den öffentlich zugänglichen Angaben des Anbieters insbesondere folgende Daten verarbeitet: IP-Adresse und Zeitstempel der Anfrage, technische Daten zum Browser, Betriebssystem und Endgerät, im Bezahlfeld eingegebene Zahlungsinformationen (Kartennummer, Gültigkeit, CVC; bei SEPA: IBAN), Name und Rechnungs-/Lieferanschrift, gegebenenfalls E-Mail-Adresse und Telefonnummer, Bestelldaten (Beträge, Währungen, Produktbezüge) sowie Verhaltens- und Gerätesignale, die Stripe zur Betrugsabwehr auswertet (etwa Tippmuster, Mausbewegungen, Geräte-Fingerabdrücke).

Diese Daten lassen sich in folgende standardisierte Datenarten-Klassen einordnen:

• Webserver-Protokolldaten: IP-Adresse des Internetanschlusses, Datum, Uhrzeit und Zeitzone der Anfrage, URL des angefragten Inhalts, Referrer, Statuscode der Serverantwort und übertragene Datenmenge.
• Endgeräte-Daten: Gerätetyp, Betriebssystem, Bildschirmauflösung und Bildschirmgröße, Touch-Unterstützung.
• Browserinformationen: Browsername, Browserversion, gegebenenfalls installierte Erweiterungen.
• Grobe Standortdaten: anhand der IP-Adresse ermittelter grober Standort des Nutzers, etwa zur Risikobewertung im Rahmen der Betrugsabwehr.
• Interaktionsdaten: Tipp-, Maus- und Scrollbewegungen sowie Eingabeverhalten im Bezahlfeld, soweit diese von Stripe zur Erkennung anomalen Verhaltens ausgewertet werden.
• Technische Telemetriedaten: technische Fehlermeldungen, Ladezeiten und ähnliche Metriken zur Funktionsfähigkeit der Stripe-Komponenten.

Für die eigentliche Zahlungsabwicklung kommen darüber hinaus typische Bestell- und Vertragsdaten hinzu (Name, Anschrift, E-Mail, Bestellpositionen, Beträge, Zahlungsmittel, Transaktionskennungen), die der Webseitenbetreiber im Verkaufskontext ohnehin verarbeitet.

F. Nutzungszwecke beim Einsatz von Stripe

Der Webseitenbetreiber nutzt Stripe in erster Linie zur Abwicklung von Zahlungen im Rahmen seines Online-Geschäfts. Daten, die durch Stripe verarbeitet werden, dienen dem Webseitenbetreiber dazu, den geschuldeten Kaufpreis entgegenzunehmen, die Zahlung dem jeweiligen Vorgang zuzuordnen, gesetzliche Aufzeichnungs- und Aufbewahrungspflichten zu erfüllen und Zahlungsausfälle sowie Betrug zu vermeiden.

Diese Zwecke lassen sich in folgende standardisierte Nutzungszweck-Klassen einordnen:

• Funktionsbereitstellung: Bereitstellung der Bezahlfunktion auf der Webseite, technische Auslieferung der Stripe-Komponenten, Fehlererkennung und Fehlerbehebung im Bezahlprozess.
• Vertragsdurchführung: Abwicklung des zwischen Webseitenbetreiber und Nutzer geschlossenen Kaufvertrags, einschließlich Zahlungsabwicklung, Rechnungsstellung und Rückabwicklung von Zahlungen (Refunds, Chargebacks).
• Sicherheit und Missbrauchsschutz: Erkennung und Verhinderung von Betrug, Identitätsmissbrauch und Kartenmissbrauch sowie Spam- und Botabwehr im Bezahlprozess; insbesondere Auswertung von Geräte- und Verhaltenssignalen zur Risikoklassifizierung.
• Erfüllung von Aufbewahrungspflichten: Aufbewahrung von Zahlungs- und Buchhaltungsdaten zur Einhaltung steuer- und handelsrechtlicher Vorschriften (z. B. § 147 AO, § 257 HGB).
• Compliance: Einhaltung gesetzlicher Pflichten, etwa nach dem Geldwäschegesetz und nach finanzaufsichtsrechtlichen Vorgaben.
• Rechtsdurchsetzung: Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen, insbesondere bei streitigen Zahlungen und Chargebacks.

G. Rechtsgrundlagen beim Einsatz von Stripe

In einem ersten Schritt ist das Tool einer Tool-Kategorie zuzuordnen: Stripe fällt im hier beschriebenen Einsatzbereich (Stripe.js, Stripe Elements, Stripe Checkout) primär in die Kategorie Verkauf/Zahlung und wird – soweit Stripe entsprechende Funktionen nutzt – flankiert durch Elemente aus der Kategorie Sicherheit/Missbrauchsschutz (Stripe Radar). Eine Einordnung in die Kategorie Tracking ist demgegenüber nach den öffentlich zugänglichen Angaben des Anbieters nicht angezeigt, da Stripe.js für die Funktion der Bezahlung und der Betrugsabwehr und nicht für Reichweitenmessung oder Werbe-Targeting bestimmt ist.

In einem zweiten Schritt kommen für die Datenverarbeitung im Zusammenhang mit Stripe regelmäßig die folgenden Rechtsgrundlagen in Betracht:

• Art. 6 Abs. 1 lit. b DSGVO (Vertragsdurchführung) für die Verarbeitung von Bestell- und Zahlungsdaten, soweit diese zur Durchführung des Vertrags zwischen Webseitenbetreiber und Nutzer erforderlich ist.
• Art. 6 Abs. 1 lit. c DSGVO (rechtliche Verpflichtung) für die Aufbewahrung von Zahlungs- und Buchhaltungsdaten nach handels- und steuerrechtlichen Vorschriften sowie zur Einhaltung geldwäscherechtlicher Pflichten.
• Art. 6 Abs. 1 lit. f DSGVO (berechtigte Interessen) für die Betrugs- und Missbrauchsabwehr (Stripe Radar) sowie für die sichere Bereitstellung der Bezahlfunktion. Als berechtigte Interessen kommen typischerweise Missbrauchsschutz, Sicherheit, Rechtsausübung und Effizienz in Betracht.

Soweit Stripe für eigene Zwecke (insbesondere zur konzernweiten Betrugsabwehr und zur Erfüllung eigener regulatorischer Pflichten) als eigenständig Verantwortlicher Daten verarbeitet, sind die Rechtsgrundlagen für diese Verarbeitungen den Datenschutzhinweisen von Stripe zu entnehmen. Die konkrete Rechtsgrundlage ist im Einzelfall durch den Webseitenbetreiber zu prüfen.

H. Besonderheiten und Hinweise zu Stripe

• Rolle des Anbieters: Stripe gibt in seinen öffentlich zugänglichen Hinweisen an, je nach Verarbeitung als Auftragsverarbeiter (Service Provider) oder als eigenständiger Verantwortlicher zu handeln. Für Verarbeitungen zur Erfüllung eigener regulatorischer Pflichten (z. B. Geldwäscheprävention) und zur netzwerkweiten Betrugsabwehr tritt Stripe nach diesen Angaben regelmäßig als eigenständig Verantwortlicher auf.
• AVV / DPA: Stripe stellt einen Data Processing Agreement unter https://stripe.com/legal/dpa zur Verfügung. Webseitenbetreiber, die personenbezogene Daten von Nutzern an Stripe übermitteln, sollten diesen einbeziehen.
• Drittlandtransfer: Konzerninterne Übermittlungen in die USA an die Stripe, Inc. sind nach den Angaben des Anbieters möglich. Stripe, Inc. ist unter dem EU-US Data Privacy Framework zertifiziert (https://www.dataprivacyframework.gov/participant/6436); ergänzend werden EU-Standardvertragsklauseln eingesetzt.
• Subprozessoren: Stripe nutzt Subprozessoren für Hosting, Kommunikation, Betrugsabwehr und Compliance. Eine aktuelle Liste ist regelmäßig im Stripe Privacy Center (https://stripe.com/legal/privacy-center) verlinkt.
• Einstellungen für den Webseitenbetreiber: Im Stripe-Dashboard lassen sich Risiko- und Radar-Regeln konfigurieren. Webseitenbetreiber sollten prüfen, welche Stripe-Komponente eingebunden wird (Stripe Elements, Stripe Checkout, Payment Links) und ob ergänzende Funktionen wie Stripe Identity aktiviert sind, da sich daraus unterschiedliche Datenverarbeitungen ergeben.
• Cookies und § 25 TDDDG: Werden im Bezahlprozess Cookies oder vergleichbare Speicherzugriffe gesetzt, die nicht im Sinne von § 25 Abs. 2 Nr. 2 TDDDG unbedingt erforderlich sind, ist eine Einwilligung erforderlich. Soweit Cookies ausschließlich zur Durchführung des Bezahlvorgangs technisch erforderlich sind, kommt eine Stützung auf die Erforderlichkeitsausnahme in Betracht; die Bewertung ist im Einzelfall vorzunehmen.

I. FAQ zu Stripe und Datenschutz

J. Fazit zum Datenschutz bei Stripe

Stripe ermöglicht Webseitenbetreibern die Annahme von Online-Zahlungen und verarbeitet hierfür Bestell-, Zahlungs- und Sicherheitsdaten. Vertragspartner für Webseitenbetreiber im EWR ist nach den öffentlich zugänglichen Angaben des Anbieters in der Regel die Stripe Payments Europe, Limited in Dublin; die US-Muttergesellschaft Stripe, Inc. ist unter dem EU-US Data Privacy Framework zertifiziert. Welche Verarbeitungen Stripe als Auftragsverarbeiter und welche als eigenständig Verantwortlicher durchführt, ergibt sich aus den jeweiligen Vertragsdokumenten und ist vom Webseitenbetreiber zu prüfen.

Für die Datenschutzerklärung der Webseite ist es meist wenig sinnvoll, einen eigenen, formelhaften Textbaustein zu Stripe aufzunehmen. Eine solche „Textbaustein-pro-Tool"-Praxis macht die Datenschutzerklärung lang, unübersichtlich und schwer pflegbar und steht im Spannungsverhältnis zum Transparenzgebot des Art. 12 Abs. 1 DSGVO, das eine präzise, transparente, verständliche und leicht zugängliche Information verlangt. Sachgerechter ist ein strukturierter, themenorientierter Ansatz, der Verarbeitungen nach Themenblöcken (Serverbetrieb, Verkauf und Zahlung, Tracking, Newsletter …) übergreifend beschreibt und konkrete Dienstleister wie Stripe ausschließlich im Anhang als Empfänger ausweist. Der matterius-Generator setzt diese Methodik strukturiert um.

K. Kurator

Autorenschaft

Dieser Wissensbeitrag wird von der matterius GmbH bereitgestellt. matterius ist keine Kanzlei und erbringt keine Rechtsberatung.

matterius wird inhaltlich begleitet von Dr. Thomas Helbing, Fachanwalt für IT-Recht in München.

Dr. Helbing wird seit 2020 durchgehend bis heute (2026) vom Handelsblatt als einer der „Deutschlands besten Anwälte" im Bereich IT-Recht und Datenschutzrecht ausgezeichnet.

Laut Kanzleimonitor.de (Ausgaben 2024–2026) zählt er zu den führenden Anwälten für Datenschutz und IT-Recht und ist unter den Top-100 Anwälten in Deutschland gelistet. Kanzleimonitor gilt als besonders aussagekräftige Marktstudie, da sie ausschließlich auf persönlichen Empfehlungen von Unternehmensjuristen basiert.

Dr. Helbing verfügt über langjährige Beratungserfahrung im Datenschutz- und IT-Recht und berät Mandanten unterschiedlichster Größen, vom Startup über wachstumsstarke SaaS-Unternehmen und Unicorns bis hin zu internationalen Konzernen.

Sein beruflicher Hintergrund umfasst das gesamte Spektrum der Praxis im IT- und Technologierecht. Er begann seine Laufbahn in einer internationalen Großkanzlei, sammelte anschließend Inhouse-Erfahrung in einem DAX-Unternehmen und ist selbst Unternehmer und Gründer mehrerer digitaler Projekte. Darüber hinaus verfügt er über praktische Programmiererfahrung, wodurch er technische Systeme, Softwarearchitekturen und digitale Geschäftsmodelle nicht nur juristisch, sondern auch aus technischer Perspektive versteht.

Zu seinen Mandanten zählen seit vielen Jahren unter anderem Technologieunternehmen und SaaS-Anbieter, führende deutsche Forschungseinrichtungen sowie eine systemrelevante deutsche Großbank. Seine Beratungsschwerpunkte liegen insbesondere in den Bereichen DSGVO-Compliance, Datenökonomie, SaaS, KI-Regulierung und IT-Vertragsrecht.

Mehr über Dr. Helbing: www.thomashelbing.com