Kontakt

Melanie Reuter

Hochschulreferat Planung und Controlling
Team Organisation

Datenschutzinformationen Bezahlsystem

Datenschutzhinweis gemäß Art. 13 f. DSGVO

Stand: Januar 2025

Beschreibung der Datenverarbeitung

An der TH Köln können mit der MultiCa, der Girokarte oder der Kreditkarte Zahlungen durchgeführt werden.

An Bezahlautomaten können folgende Zahlungen durchgeführt werden:

  • Aufladen der MultiCa mittel Giro-/Kreditkarte oder Handy,
  • Zahlung der Zweitausfertigungsgebühr mittels Giro-/Kreditkarte oder Handy,
  • Überweisung des Restguthabens von der MultiCa auf das Girokonto,
  • Zahlungen von Verspätungsgebühren und weitere Services der Bibliothek.

Bei diesen Zahlungsvorgängen sind mehrere Parteien involviert:

  • TH Köln (Zahlungsempfängerin bzw. auch Auszahlende),
  • Secanda System AG (technischer Betreiber der Kassen, Automaten, Zahlterminals sowie dazugehörige Software und Dienstleister der MultiCa),
  • PAYONE (Netzbetreiber für die Weiterleitung der Zahlung mit Giro-/Kreditkarte an die Bank und als Akquirierer für die Annahme und Abrechnung von Kreditkartenzahlungen)
  • Ingenico Payment Service (Netzbetreiber für Rückbuchungen von Restguthaben auf ein Konto),
  • Sparkasse KölnBonn (Hausbank der TH Köln),
  • Hausbank bzw. Kreditkarteninstitut der Nutzer*innen (Studierende/ Beschäftigte).

Verantwortlicher für die Datenverarbeitung

Technische Hochschule Köln (TH Köln)
vertreten durch die Präsidentin Prof. Dr. Sylvia Heuchemer
Claudiusstraße 1
50678 Köln
E-Mail: praesidium@th-koeln.de

Bei Fragen zum Datenschutz können Sie sich an unsere Datenschutzbeauftragten (datenschutzbeauftragter@th-koeln.de) wenden.

Die TH Köln ist verantwortlich für den Betrieb der Bezahlautomaten und Kassen mit Hilfe der Unterauftragnehmenden Secanda System AG, PAYONE und Ingenico Payment Service.

Der Netzbetreiber PAYONE ist verantwortlich für den zentralen Netzbetrieb, die dortige Verarbeitung, Umschlüsselung, Risikoprüfung und die weitere Übermittlung an die Bank. Des Weiteren ist PAYONE der Akquirierer (ein gemäß Zahlungsdienstaufsichtsgesetz regulierter Zahlungsdienstleister), der für uns die Annahme und Abrechnung der Zahlungsvorgänge per Kreditkarte durchführt.

Die Beschreibung der Datenverarbeitung durch den Verantwortlichen PAYONE finden sich in aktueller Form hier: https://www.payone.com/DE-de/dsgvo

Zu welchem Zweck und mit welcher Rechtsgrundlage werden die personenbezogenen Daten verarbeitet?

Zweck: Durchführung von Zahlungsvorgängen (z.B. Gebühren begleichen, MultiCa aufladen) an Kassen und Bezahlautomaten der TH Köln
Rechtsgrundlage: Art. 6 Abs.1 Buchst. b DSGVO

Zweck: Revisionssichere Archivierung der Zahlbelege (Aufbewahrungsfrist 10 Jahre); Belege müssen laut „Grundsätze zur ordnungsgemäßen Führung und Aufbewahrung von Büchern, Aufzeichnungen und Unterlagen in elektronischer Form sowie zum Datenzugriff " (GoBD)  unverändert, nachvollziehbar und vollständig verfügbar sein
Rechtsgrundlage: Art. 6 Abs. 1 Buchst. c DSGVO, § 5 Abs. 9 HG NRW, § 11 der Verordnung über die Wirtschaftsführung der Hochschulen des Landes Nordrhein-Westfalen (Hochschulwirtschaftsführungsverordnung – HWFO), § 257 (Aufbewahrung von Unterlagen, Aufbewahrungsfristen) des Handelsgesetzbuchs (HGB), § 147 (Ordnungsvorschriften für die Aufbewahrung von Unterlagen) der Abgabenordnung

Zweck: Durchführung der Zahlung durch PAYONE
Rechtsgrundlage: Art. 6 Abs.1 Buchst. b DSGVO

Zweck: Übertragung der Daten gemäß den gesetzlichen Bestimmungen für SEPA-Zahlungen, § 25a Kreditwesengesetz (KWG), § 27 Zahlungsdiensteaufsichtsgesetz (ZAG); und den Bestimmungen des Deutschen Bankenverbands
Rechtsgrundlage: Art. 6 Abs.1 Buchst. c und e DSGVO

Zweck: Abrechnung der Gebühren/ Rücküberweisung
Rechtsgrundlage: Art.  6 Abs. 1 Buchst. b DSGVO

Welche personenbezogenen Daten werden für die Zahlung genutzt?

  • Kartendaten bei Girocard: IBAN bzw. Kontonummer und Kurz-Bankleitzahl, Kartenverfallsdatun und Kartenfolgenummer
  • Kartendaten bei Kreditkarte: Kartennummer, Kartentyp (z.B. VISA oder Mastercard) und Ablaufdatum
  • Zahlungsdaten: Betrag, Datum, Uhrzeit, Kennung des Zahlterminals (Unternehmen und Kasse an der Sie zahlen), Prüfdaten Ihrer kartenausgebenden Bank ("EMV-Daten") bzw. Ihres kartenausgebenden Instituts
  • PIN: Ihre Eingabe wird kryptographisch gesichert und durch die kartenausgebende Bank bzw. durch das kartenausgebene Institut geprüft. PAYONE übernimmt dabei kryptographische Sicherungen und Übermittlungen, speichert jedoch keine PIN und hat keinen Zugriff auf die verschlüsselte PIN.

Woher stammen die personenbezogenen Daten?

Die Kartendaten werden vom Bezahlterminal direkt aus Ihrer Karte gelesen. Die weiteren Zahlungsdaten stellen der Bezahlautomat und die TH Köln bereit. Die PIN wird von den Betroffenen selbst eingegeben.

Werden Daten in ein Drittland oder an eine internationale Organisation übermittelt?

Im Falle einer Girocard-Zahlung findet keine Übermittlung statt.

Im Falle der Kreditkartenzahlung leitet der Acquirer PAYONE die Daten an das jeweilige Zahlungskartensystem weiter. Hinsichtlich der Verarbeitung Ihrer Daten durch das Zahlungskartensystem informieren Sie sich bitte in dessen Datenschutzbestimmungen:

MasterCard Europe SPRL, Chaussée de Tervuren 198A, 1410 Waterloo, Belgien, für die Zahlungsmarken „MasterCard“ und „Maestro“, https://www.mastercard.de/de-de/datenschutz.html

Visa Europe Services LLC, eingetragen in Delaware USA, handelnd durch die Niederlassung in London, 1 Sheldon Square, London W2 6TT, Großbritannien, für die Zahlungsmarken „Visa“, „Visa Electron“ und „V PAY“ https://www.visa.co.uk/privacy/

Wie lange werden meine Daten gespeichert?

Aufgrund gesetzlicher Vorschriften müssen Zahlbelege revisionssicher archiviert werden. Die GoBD geben vor, dass Belege unverändert, nachvollziehbar und vollständig verfügbar sein müssen. In unserem Fall handelt es sich hierbei um 10 Jahre.

Der Netzbetreiber PAYONE speichert und verarbeitet die Daten, solange es zur Vertragsdurchführung und zur Erfüllung der vertraglichen und gesetzlichen Pflichten erforderlich ist. Sollte eine Speicherung der Daten für die Erfüllung vertraglicher oder besonderer gesetzlicher Pflichten nicht mehr erforderlich sein und der Zweck ihrer Speicherung entfallen sein, werden die Daten gelöscht – es sei denn, deren Weiterverarbeitung ist zu folgenden Zwecken erforderlich:

  • Erfüllung handels- und steuerrechtlicher, sowie sonstiger Aufbewahrungspflichten (z.B. Aufbewahrung buchhaltungsrelevanter Daten für 10 Jahre),
  • Erhaltung von Beweismitteln im Rahmen der gesetzlichen Verjährungsvorschriften.

Welche Betroffenenrechte können geltend gemacht werden?

Entsprechend der DSGVO und dem Datenschutzgesetz Nordrhein-Westfalen haben Sie das Recht auf Auskunft, Berichtigung, Löschung und Einschränkung der Verarbeitung Ihrer personenbezogenen Daten.

Zur Ausübung Ihrer Betroffenenrechte kontaktieren Sie uns bitte unter datenschutzbeauftragter@th-koeln.de.

Außerdem steht Ihnen ein Beschwerderecht bei einer Aufsichtsbehörde zu. Sie können sich hierfür an die Aufsichtsbehörde Landesbeauftragte für Datenschutz und Informationsfreiheit Nordrhein-Westfalen wenden. Die Adresse und Kontaktdaten finden Sie unter www.ldi.nrw.de.

Kontakt

Melanie Reuter

Hochschulreferat Planung und Controlling
Team Organisation


nach oben
M
M