Adyen Payments und Datenschutz – Was Webseitenbetreiber wissen müssen

Setzt ein Webseitenbetreiber Adyen als Zahlungsanbieter ein, verarbeitet er Zahlungs- und Kundeninformationen (Kontodaten, Transaktionsdaten, Kartennummern, Rechnungsadress) zum Zweck der Zahlungsabwicklung, Betrugsprävention und Compliance auf Basis von Vertragsdurchführung (Art. 6 Abs. 1 lit. b DSGVO), rechtlicher Verpflichtung (Art. 6 Abs. 1 lit. c DSGVO – AML, Geldwäschebekämpfung) und berechtigten Interessen (Art. 6 Abs. 1 lit. f DSGVO – Betrugsprävention, Sicherheit). Adyen ist ein in den Niederlanden ansässiges EU-Unternehmen und agiert sowohl als eigenständiger Datenverantwortlicher als auch als Auftragsverarbeiter. Diese Anleitung erklärt, welche Informationen in die Datenschutzerklärung gehören und welche Besonderheiten bei Adyen zu beachten sind.

A. Zweck und Funktionsweise von Adyen

Adyen ist ein globaler Zahlungsdienstleister und Acquirer, der es Online- und Offline-Shops ermöglicht, Zahlungen zu akzeptieren. Der Webseitenbetreiber integriert Adyen typischerweise über ein Zahlungs-Formular oder einen Checkout-Flow in seinen Shop oder E-Commerce-System. Adyen unterstützt verschiedene Zahlungsmethoden und Funktionalitäten:

• Kreditkarten- und Debitkartenverarbeitung: Visa, Mastercard, American Express, etc.
• Alternative Zahlungsmethoden: PayPal, Apple Pay, Google Pay, Sofort, Ideal, Giropay, etc.
• Zahlungsgateway und -verarbeitung: Sichere Verarbeitung und Weitergabe an Banken und Kartennetzwerke
• Fraud Detection und Betrugsprävention: Echtzeit-Analyse von Transaktionen auf verdächtige Muster
• Compliance und AML: Automatische Ãœberprüfung auf Geldwäscherisiken, Sanktionslisten-Screening
• Reporting und Analytik: Detaillierte Transaktions- und Umsatzberichte für den Betreiber

Die Integration erfolgt üblicherweise über einen Adyen API-Call oder über ein gehostetes Zahlungs-Formular (Adyen Hosted Payment Page). Bei der Zahlung werden Kartendaten oder Kontodetails direkt an Adyen übermittelt (nicht zum Webseitenbetreiber) – das ist ein wichtiger Sicherheitsmechanismus.

B. Pflichtangaben in der Datenschutzerklärung zu Adyen

Nach der DSGVO muss ein Webseitenbetreiber in seiner Datenschutzerklärung transparent offenlegen, welche Daten verarbeitet werden, zu welchen Zwecken und auf welcher Rechtsgrundlage. Bei Adyen sind folgende Angaben erforderlich:

• Zwecke: Zahlungsabwicklung, Betrugserkennung, Compliance (AML/KYC), Bankkontenverifizierung, Reporting
• Rechtsgrundlagen: Vertragsdurchführung (Art. 6 Abs. 1 lit. b – Zahlungsabwicklung), rechtliche Verpflichtung (Art. 6 Abs. 1 lit. c – AML, KYC, GwG), berechtigte Interessen (Art. 6 Abs. 1 lit. f – Betrugsprävention, Sicherheit)
• Empfänger/Kategorien: Adyen N.V., Banken, Kartennetzwerke (Visa, Mastercard), externe Fraud-Detection-Services, ggf. Regulierungsbehörden
• Drittlandtransfers: Nicht erforderlich (Adyen ist EU-basiert), aber Daten können zu internationalen Partnern weitergeleitet werden (z.B. Kartennetzwerke, Correspondent Banks)
• Speicherdauer: Je nach Datenart und Rechtsgrundlage; typischerweise 6-10 Jahre für Compliance
• Datenkategorien: Siehe Abschnitt E

Wichtiger Hinweis: Zahlungsdaten sind hochsensibel und unterliegen besonderen Regulierungen (PCI DSS). Der Webseitenbetreiber sollte transparente und detaillierte Angaben machen, ohne dabei sensible Kartennummern preiszugeben. Der matterius-Generator erstellt solche Formulierungen mit hohem Datenschutz-Standard.

C. Anbieter von Adyen: Adyen N.V.

Juristischer Name: Adyen N.V.
Anschrift: Simon Carmiggeltstraat 6-50, 1011 DJ Amsterdam, Niederlande
Sitzland: Niederlande (Europäische Union)
DPF-Status: Nicht erforderlich (EU-Unternehmen, nicht US-basiert)
Datenschutzerklärung: https://www.adyen.com/policies-and-disclaimer/privacy-policy
Datenbeauftragter (DPO): dpo@adyen.com
LGPD-Kontakt (Brasilien): lgpd@adyen.com
AVV/DPA: Data Processing Agreement ist verfügbar und sollte mit Adyen vereinbart werden. Adyen fungiert teilweise als Auftragsverarbeiter (für bestimmte Prozesse) und teilweise als eigenständiger Verantwortlicher (für Compliance).

D. Datenverarbeitung durch Adyen – Ablauf

E. Erhobene Daten beim Einsatz von Adyen

Adyen erfasst verschiedene Kategorien von Daten, abhängig von der Zahlungsmethode und dem integrierten Prozess. Diese Daten lassen sich in folgende standardisierte Datenarten-Klassen einordnen:

• Nutzungskonto-Daten: Benutzername/-kennung (falls angemeldet), E-Mail-Adresse, Telefonnummer
• Kontoauthentifizierung: Passwort (bei PayPal, Bank-Konten, etc. – einwegverschlüsselt, nicht bei Kreditkarten)
• Zahlungsmethoden-Daten: Kartennummer (erste und letzte 4 Ziffern), Ablaufdatum, CVV (temporär verarbeitet), Kontoinhaber, Rechnungsadresse, Adresse des Kartenmahlers
• Transaktionsdaten: Betrag, Währung, Referenznummer, Timestamp, Geschäftscode
• Webserver-Protokolldaten: IP-Adresse, Datum/Uhrzeit, User-Agent, Browser/OS, Referrer
• Endgeräte-Daten: Gerätetyp, Betriebssystem, Bildschirmauflösung
• Kontoauthentifizierung & Login-Daten: Login-Verläufe (für wiederkehrende Zahlungen)
• Technische Telemetriedaten: Fehler, Ladezeiten, Timeout-Events
• Grobe Standortdaten: IP-basierter Standort (optional für Betrugsbekämpfung)
• Conversion-Ereignisse: Zahlungsabschluss, Zahlungsfehler, Zahlung nicht autorisiert

Optional können auch Biometriedaten erfasst werden, wenn der Kunde 3D Secure oder biometrische Autorisierung nutzt (z.B. Fingerprint, Face Recognition).

F. Nutzungszwecke beim Einsatz von Adyen

Adyen verarbeitet Daten zu mehreren klar definierten Zwecken. Diese Daten lassen sich in folgende Zweck-Klassen einordnen:

• Vertragsdurchführung: Autorisierung und Abwicklung von Zahlungen, Generierung von Transaktionsberichten
• Funktionsbereitstellung: Bereitstellung des Zahlungs-Gateways, Fehlerbehandlung, technischer Support
• Sicherheit und Missbrauchsschutz: Echtzeit-Fraud-Detection, Erkennung verdächtiger Muster, Schutz vor Chargeback-Betrug
• Compliance: Ãœberprüfung auf Sanktionslisten (AML/KYC), Geldwäschebekämpfung (GwG), Einhaltung von Regulierungsanforderungen
• Rechtsdurchsetzung: Nachweis von Transaktionen, Chargeback-Management, Dispute Resolution
• Allgemeines Marketing: Generierung von Geschäfts- und Umsatzberichten für den Webseitenbetreiber (aggregiert, nicht personalisiert)

G. Rechtsgrundlagen für Adyen

Die Verarbeitung von Zahlungsdaten durch Adyen basiert auf mehreren kombinierten Rechtsgrundlagen:

1. Vertragsdurchführung (Art. 6 Abs. 1 lit. b DSGVO): Die Zahlungsabwicklung ist Bestandteil des Kaufvertrags zwischen Kunde und Webseitenbetreiber. Die Übermittlung an Adyen ist notwendig für die Erfüllung dieses Vertrags.

2. Rechtliche Verpflichtung (Art. 6 Abs. 1 lit. c DSGVO): Adyen ist verpflichtet, Anti-Money-Laundering (AML), Know-Your-Customer (KYC) und Geldwäschebekämpfungsgesetze (GwG in Deutschland, AML-Richtlinien in der EU) einzuhalten. Diese Verarbeitung ist gesetzlich erzwungen.

3. Berechtigte Interessen (Art. 6 Abs. 1 lit. f DSGVO): Fraud-Detection und Betrugsprävention sind berechtigte Interessen sowohl von Adyen als auch des Webseitenbetreibers. Der Schutz vor Chargeback und Fraud überwiegt üblicherweise die Interessen des Kunden.

Die Kombinationen können kompliziert sein. Eine transparente Darstellung in der Datenschutzerklärung ist essentiell. Der matterius-Generator berücksichtigt alle drei Rechtsgrundlagen und fasst sie in einer verständlichen Form zusammen.

H. Besonderheiten und Hinweise zu Adyen

• Rolle: Eigenständiger Verantwortlicher UND teilweise Auftragsverarbeiter: Adyen agiert primär als eigenständiger Datenverantwortlicher (für AML, Fraud-Detection, Compliance), kann aber für bestimmte Prozesse auch als Auftragsverarbeiter fungieren. Ein DPA/AVV sollte vereinbart werden, um diese Rollen zu klären.
• Kartenschutz und PCI DSS: Adyen ist PCI DSS Level 1 zertifiziert. Kartennummern werden nicht dauerhaft gespeichert; stattdessen wird ein Token verwendet. Das ist ein hoher Sicherheitsstandard.
• AML und KYC: Adyen führt automatische Ãœberprüfungen gegen Sanktionslisten, PEP-Datenbanken (Politically Exposed Persons) und Geldwäscherisiko-Indikatoren durch. Diese Daten können für 6-10 Jahre gespeichert werden.
• Interne Weitergabe: Adyen-Subprozessoren und Partner (z.B. Correspondent Banks, Fraud-Detection-Services) erhalten Zugang zu Zahlungsdaten. Eine Liste sollte auf Anfrage einsehbar sein.
• Token für wiederkehrende Zahlungen: Wenn der Kunde zustimmt, kann Adyen ein Zahlungs-Token speichern, um zukünftige Zahlungen ohne erneute Karteneingabe zu verarbeiten. Dies ist hilfreich für Abonnements, muss aber explizit in den AGB und Datenschutzerklärung dokumentiert sein.
• Chargebacks und Dispute-Handling: Adyen speichert Transaktionsdaten für Chargebacks und Dispute-Handling länger als für reine Verarbeitungszwecke (bis zu 540 Tage).
• Keine Drittlandtransfers (EU-Basis): Da Adyen in den Niederlanden angesiedelt ist, erfolgen keine Transfers in unsichere Drittländer. Allerdings können Daten zu internationalen Kartennetzwerken und Correspondent Banks übermittelt werden – dies muss dokumentiert sein.

I. FAQ zu Adyen

J. Fazit und Empfehlung zu Adyen

Adyen ist ein etablierter und sicherer Zahlungsdienstleister mit hohen Compliance- und Security-Standards (PCI DSS Level 1). Die Datenverarbeitung ist komplex, da mehrere Rechtsgrundlagen kombiniert sind (Vertrag, Rechtliche Verpflichtung, berechtigte Interessen). Für DSGVO-Konformität sind folgende Punkte essentiell: (1) Transparente Darstellung aller drei Rechtsgrundlagen, (2) Offenlegung der AML/KYC-Verarbeitung und deren langen Speicherdauer, (3) unterzeichnetes DPA/AVV mit Adyen, (4) Information über Token-Verwendung für wiederkehrende Zahlungen (falls genutzt), (5) Sicherheit-Certifications erwähnen (PCI DSS).

Problematisch: Ein vereinfachter Textbaustein, der nur "Zahlungsabwicklung" nennt, ohne AML/KYC und Speicherdauer zu erwähnen. Besser: Ein themenorientierter Ansatz im Abschnitt "Zahlungen und Compliance", der Adyen und andere Payment-Provider zusammen behandelt und die komplexen Rechtsgrundlagen klar erklärt. Diese Information beruht auf Anbieterangaben und öffentlich zugänglichen Quellen (Stand: 2026-04-22). Im Einzelfall kann rechtliche Beratung erforderlich sein.