Mollie Checkout und Datenschutz – Was in die Datenschutzerklärung gehört

Wer Mollie Checkout in seine Webseite oder seinen Onlineshop integriert, bindet einen regulierten europäischen Zahlungsdienstleister ein. Mollie verarbeitet dabei Zahlungsdaten – von Bankdaten bis zu Kreditkartennummern – nach den Regeln der DSGVO. Diese Verarbeitung muss in der Datenschutzerklärung korrekt offengelegt werden.

A. Zweck und Funktionsweise von Mollie Checkout

Mollie ist ein Zahlungsdienstleister mit Sitz in Amsterdam (Niederlande), der von der niederländischen Zentralbank (De Nederlandsche Bank, DNB) reguliert wird. Das Unternehmen ermöglicht es Webseitenbetreibern, Zahlungen von Kunden entgegenzunehmen – eine zentrale Funktion im E-Commerce.

Checkout-Integration:

Mollie stellt verschiedene Integrationsmöglichkeiten zur Verfügung:

• Hosted Payment Page (HPP): Der Kunde wird zu einer externen, verschlüsselten Checkout-Seite von Mollie weitergeleitet, gibt dort seine Zahlungsdaten ein und wird nach erfolgreicher Zahlung zurück zur Webseite geleitet. Diese Variante minimiert den Datenkontakt des Webseitenbetreibers mit Zahlungsdaten.

• Embedded Checkout / Mollie Components: Zahlungsfelder (z. B. für Kreditkarten) werden direkt in die Webseite eingebettet. Die Eingabe erfolgt über ein verschlüsseltes iFrame, das zu Mollie-Servern kommuniziert – der Webseitenbetreiber sieht die eingegebenen Daten nicht.

• Build-Your-Own-Checkout (API): Fortgeschrittene Integration über die Mollie-API, bei der der Entwickler ein Custom-Checkout baut.

Andere Mollie-Funktionen (wie Rechnungsverwaltung, Subscriptions, Dashboard) werden hier nicht behandelt, da sie nicht zur Checkout-Integration gehören.

B. Pflichtangaben in der Datenschutzerklärung

Nach Art. 13 und 14 DSGVO (Datenschutz-Grundverordnung) müssen Webseitenbetreiber ihre Nutzer transparent darüber aufklären, welche Daten verarbeitet werden und zu welchem Zweck. Eine bloße Erwähnung von „Mollie wird für Zahlungen genutzt" genügt nicht.

DSGVO-Anforderungen:

Ihre Datenschutzerklärung sollte folgende Punkte zu Mollie enthalten:

1. Anbietername und Sitz: Mollie B.V., Amsterdam (Niederlande)
2. Art der verarbeiteten Daten: Welche Zahlungs-, Kunden- und technischen Daten werden erfasst?
3. Verarbeitungszwecke: Zahlungsabwicklung, Betrugserkennung, regulatorische Compliance
4. Rechtsgrundlage: Welcher Artikel der DSGVO legitimiert die Verarbeitung? (typischerweise Art. 6 Abs. 1 lit. b – Vertragsdurchführung)
5. Speicherdauer: Wie lange speichert Mollie die Daten?
6. Empfänger: Welche Dritten (Banken, Zahlungsnetzwerke, etc.) erhalten die Daten?
7. Mollie als Verantwortlicher: Klarstellung, dass Mollie eigenständiger Verantwortlicher ist und eigene Datenschutzrichtlinien hat

Häufiger Fehler: Viele Webseitenbetreiber verwenden vorgefertigte Textbausteine, die sie selbst nicht überprüft haben. Das kann zu rechtlichen Unstimmigkeiten führen. Besser: Daten recherchieren, dann präzise Formulierungen selbst schreiben oder mit professioneller Hilfe überprüfen lassen.

C. Anbieter – Mollie B.V.

Unternehmensangaben:

• Name: Mollie B.V.
• Sitz: Keizersgracht 126, 1015 CW Amsterdam, Niederlande
• Registrierung: KvK (Niederländisches Handelsregister) Nr. 30204462
• Regulierung: DNB (De Nederlandsche Bank), elektronisches Geldunternehmen (WFTEG-Lizenz, Relationsnummer F0038)
• Status: Zahlungsdienstleister gemäß Payment Services Directive (PSD2), sitzend in der EU/EWR

Datenschutz-Kontakt:

Mollie veröffentlicht seine Datenschutzerklärung unter https://www.mollie.com/de/privacy.

Rechtsgrundlage:

Mollie unterliegt der deutschen DSGVO, da es mit Nutzern in Deutschland kommuniziert und in der EU tätig ist. Kein Drittlandtransfer im Sinne der DSGVO Art. 44–49 (Mollie sitzt in der EWR-Schengen-Zone). Ein Angemessenheitsbeschluss ist nicht erforderlich.

D. Datenverarbeitung – Ablauf

Die Verarbeitung von Zahlungsdaten durch Mollie folgt einem typischen Ablauf, der in Ihrer Datenschutzerklärung chronologisch dargestellt werden kann:

E. Erhobene Daten

Mollie erhebt und verarbeitet folgende Datenkategorien:

Webserver-Protokolldaten

• IP-Adresse des Kunden zum Zeitpunkt des Checkout-Aufrufs
• HTTP-Referrer (von welcher Seite kam der Nutzer)
• Zeitstempel und Dauer der Sitzung

Endgeräte-Daten

• Gerätetyp (Desktop, Tablet, Smartphone)
• Betriebssystem und dessen Version
• Geräte-Identifier (falls vorhanden)

Browserinformationen

• Browser-Typ und -Version
• User-Agent-String
• Installierte Browser-Erweiterungen (optional, für Betrugserkennung)

Grobe Standortdaten

• Abgeleitet aus der IP-Adresse (Land, Region, Stadt)
• Ggf. GPS-Daten (falls der Kunde diese freigegeben hat)

Zahlungskonto-Daten

• Name des Käufers
• E-Mail-Adresse
• Rechnungsadresse
• Lieferadresse (falls unterschiedlich)
• Telefonnummer
• Zahlungsdaten: IBAN/Kontonummer (für Lastschrift) oder Kreditkartennummer (wird tokenisiert und nicht gespeichert), Karteneigentümer, Gültigkeitsdatum
• Kundennummer/Kundenkonto (falls vorhanden)

Transaktionsdaten

• Bestellnummer / Transaktions-ID
• Kaufbetrag und Währung
• Gekaufte Produkte / Dienstleistungen (ggf. Warenkorbinhalt)
• Zahlungsmethode
• Zahlungsstatus (erfolgreich, ausstehend, fehlgeschlagen, zurückgebucht)

Betrugserkennung und Risikoanalyse

• Vergleich mit bekannten Betrugsmeldungen
• Verhaltensanalysen (z. B. Abweichungen beim Standort, Geräte-Wechsel, Häufigkeit der Transaktionen)
• Machine-Learning-Scores zur Risikobewertung

Wichtiger Hinweis: Kreditkartendaten (Kartennummer, CVV) werden weder von Mollie noch vom Webseitenbetreiber dauerhaft gespeichert. Sie werden unmittelbar nach der Autorisierung durch einen Token ersetzt – eine sichere, nicht dekodierbare Referenz. Das ermöglicht Mollie, zukünftige Zahlungen ohne erneute Eingabe zu verarbeiten (z. B. für Abonnements), ohne die Kartendaten zu speichern.

F. Nutzungszwecke

Mollie verarbeitet die Zahlungsdaten zu folgenden Zwecken:

Vertragsdurchführung

• Transaktionen zwischen Käufer und Verkäufer abwickeln
• Zahlungsbestätigung erzeugen und versenden
• Rechnungen erstellen (ggf. über integrierte Abrechnungsfunktionen)

Sicherheit und Missbrauchsschutz

• Betrugserkennung und Betrugsbekämpfung (Duplicate Detection, Velocity Checking, Device Fingerprinting)
• Prüfung auf verdächtige Zahlungsmuster
• Chargeback-Prävention (Rückbelastungsschutz)
• 3D-Secure-Authentifizierung für Kreditkartenzahlungen

Regulatorische Compliance

• Anti-Money-Laundering (AML) und Know-Your-Customer (KYC) nach der 5. EU-Geldwäscherichtlinie
• Implementierung des Geldwäschegesetzes (GwG) und der Verordnung zur Bekämpfung der Geldwäsche und Terrorismusfinanzierung (GwV)
• PSD2-Compliance (Payment Services Directive 2)
• Reporting an Finanzbehörden, Zentralbanken und andere regulatorische Stellen

Erfüllung von Aufbewahrungspflichten

• Aufbewahrung von Transaktionsdaten für 6 Jahre (Handelsgesetzbuch, Steuerrecht)
• Archivierung zu Audit- und Revisionszwecken

Rechtsdurchsetzung und Streitbeilegung

• Bearbeitung von Zahlungsstreitigkeiten
• Chargeback-Verfahren
• Geltendmachung von Schadensersatzansprüchen
• Zusammenarbeit mit Strafverfolgungsbehörden (z. B. bei Verdacht von Straftaten)

Technische Optimierung und Service-Verbesserung

• Monitoring der Plattformverfügbarkeit
• Performance-Analysen
• A/B-Tests für Checkout-Optimierung (anonymisiert)

G. Rechtsgrundlagen

Die Verarbeitung von Zahlungsdaten durch Mollie wird durch mehrere Rechtsgrundlagen der DSGVO legitimiert:

Art. 6 Abs. 1 lit. b DSGVO – Vertragsdurchführung

• Dies ist die Hauptrechtsgrundlage für die Zahlung selbst. Der Vertrag zwischen Käufer und Verkäufer erfordert die Zahlungsabwicklung, die Mollie durchführt.
• Umfasst: Transaktionsdaten, Zahlungsdaten, Rechnungsadresse, Lieferadresse

Art. 6 Abs. 1 lit. c DSGVO – Rechtliche Verpflichtung

• Mollie unterliegt als Zahlungsdienstleister gesetzlichen Pflichten (GwG, PSD2, GDPR-Compliance, steuerrechtliche Aufbewahrung).
• Umfasst: AML/KYC-Screening, Betrugsmeldungen an Behörden, Speicherung für Compliance

Art. 6 Abs. 1 lit. f DSGVO – Berechtigtes Interesse

• Für Betrugserkennung und Risikoanalyse, da dies im Interesse des Zahlungsanbieters (Schutz vor Verlusten) und des Käufers (Schutz vor Identitätsdiebstahl) liegt.
• Abwägung: Das Sicherheitsinteresse überwiegt das Datenschutzinteresse des Käufers

Einwilligung (Art. 7 DSGVO) – NICHT erforderlich

• Die Zahlungsabwicklung durch Mollie erfordert keine ausdrückliche Cookie-Einwilligung für die Kernfunktion (PCI-DSS und sichere Zahlungsverarbeitung sind systemische Anforderungen).
• Allerdings: Andere Tracking-Funktionen (z. B. Google Analytics, Remarketing) benötigen Einwilligung.

H. Besonderheiten und Hinweise

Mollie als eigenständiger Verantwortlicher

Mollie ist nicht der Auftragsverarbeiter des Webseitenbetreibers (wie z. B. ein E-Mail-Marketing-Dienstleister). Stattdessen ist Mollie für die Zahlungsabwicklung eigenständiger Verantwortlicher nach Art. 4 Nr. 7 DSGVO. Das bedeutet:

• Mollie trifft selbst Entscheidungen über Zweck und Mittel der Datenverarbeitung (Betrugserkennung, Compliance, Datenspeicherung)
• Mollie ist selbst für die Einhaltung der DSGVO verantwortlich (eigener Datenschutzbeauftragte, eigner Audit-Prozess)
• Der Webseitenbetreiber und Mollie sind gleichberechtigte Verantwortliche (Joint Controllers im Sinne von Art. 26 DSGVO)

Datenschutzhinweis im Checkout

In Ihrem Datenschutzhinweis sollten Sie präzisieren:

„Zur Verarbeitung Ihrer Zahlung arbeiten wir mit Mollie B.V. (Amsterdam, Niederlande) zusammen. Mollie ist eigenständiger Verantwortlicher und unterliegt eigenen Datenschutzrichtlinien (siehe https://www.mollie.com/de/privacy). Ihre Zahlungsdaten werden direkt an Mollie übermittelt und nicht auf unserem System gespeichert."

Andere Zahlungsanbieter separat nennen

Falls Sie mehrere Zahlungsanbieter einbinden (z. B. PayPal, Stripe, Klarna), sollten Sie für jeden eigenständige Abschnitte in der Datenschutzerklärung erstellen. PayPal, Klarna und andere sind ebenfalls eigenständige Verantwortliche mit eigenen Datenschutzrichtlinien.

Data Processing Agreement (DPA)

Nach Mollie Support-Dokumentation ist ein formales DPA mit Mollie nicht verfügbar, da Mollie nicht im klassischen Sinne als Auftragsverarbeiter fungiert. Allerdings gibt Mollie seine Datenschutzverpflichtungen in den Terms of Service und der Privacy Policy an. Eine Absicherung ist dennoch ratsam – beauftragen Sie einen Datenschutzbeauftragten oder Rechtsanwalt, um zu klären, ob Ihre spezifische Mollie-Integration eine weitere Vereinbarung erfordert.

Regulierung und Aufsicht

• Mollie ist bei der niederländischen Zentralbank (DNB) als elektronisches Geldunternehmen (WFTEG) lizenziert
• Unterliegt der EU-Zahlungsrichtlinie (PSD2) und deutschem Geldwäschegesetz (GwG)
• Aufsicht durch DNB und ggf. BaFin (Bundesanstalt für Finanzdienstleistungsaufsicht) im Hinblick auf deutsche Kunden

I. Häufige Fragen zu Mollie Checkout und Datenschutz

J. Fazit

Mollie Checkout ist ein moderner, regulierter Zahlungsdienstleister, der Zahlungen sicher und DSGVO-konform abwickelt. Webseitenbetreiber sind verpflichtet, diese Verarbeitung transparent in ihrer Datenschutzerklärung offenzulegen.

Zentrale Punkte für Ihre Dokumentation:

1. Nennen Sie Mollie B.V. als eigenständigen Verantwortlichen, nicht als Auftragsverarbeiter
2. Auflisten Sie die konkreten erhobenen Daten (nicht vage, sondern spezifisch)
3. Begründen Sie die Rechtsgrundlage (Art. 6 Abs. 1 lit. b für Vertragserfüllung, ggf. lit. c und f für Compliance und Sicherheit)
4. Geben Sie die Speicherdauer an (6 Jahre für Transaktionsdaten gemäß Handelsrecht)
5. Verlinken Sie Mollies Datenschutzerklärung
6. Klären Sie, dass Kreditkartendaten nicht auf Ihrem System gespeichert werden

Häufiges Problem: Viele Webseitenbetreiber verwenden pauschale Textbausteine für alle Zahlungsanbieter. Das führt zu inhaltlichen Fehlern und kann zu Abmahnungen führen. Besser: Recherchieren Sie die genaue Praxis des Anbieters, beraten Sie sich mit einem Datenschutzbeauftragten und formulieren Sie präzise, anbieter-spezifische Angaben.