Datenschutzhinweise REWE Pay (Stand: Mai 2025)

Diese Informationen geben dir einen Überblick über die Verarbeitung deiner personenbezogenen Daten, wenn du den Service REWE Pay in deinem Kundenkonto der REWE App nutzt. Wir informieren dich darüber, welche Daten wir von dir erheben und wie wir sie verwenden. Außerdem klären wir dich über deine Rechte nach geltendem Datenschutzrecht auf und teilen dir mit, an wen du dich bei Fragen wenden kannst. Im Rahmen der Nutzung von REWE Pay ist neben der OC Payment GmbH die REWE Markt GmbH für die Verarbeitung deiner personenbezogenen Daten zur Bereitstellung und Verwaltung der REWE App und die Registrierung für das Kundenkonto eigenständig verantwortlich.

Datenschutzhinweise für die Datenverarbeitungen, die nach Kundenkonto-Registrierung und -Log-In im Kundenkonto stattfinden, findest du hier.

Datenschutzhinweise für die Nutzung der REWE-App (Android und iOS) findest du hier.

1. Wer ist für die Datenverarbeitung verantwortlich?

Verantwortlicher im datenschutzrechtlichen Sinne ist die:

OC Payment GmbH

Domstraße 20

50668 Köln

E-Mail: info@paymenttools.com

2. An wen kannst du dich bei Fragen zur Datenverarbeitung wenden?

Der Datenschutzbeauftragte des Verantwortlichen ist unter folgenden Kontaktdaten erreichbar.

OC Payment GmbH

Datenschutzkoordination

Domstraße 20

50668 Köln

E-Mail: dataprotection@paymenttools.com

Falls du Fragen zu deinen Betroffenenrechten (wie Datenauskunft, Datenlöschung oder Werbewiderspruch) hast sowie bei weiteren datenschutzrechtlichen Fragen kontaktiere bitte dataprotection@paymenttools.com. Bei Fragen zum REWE Kundenkonto und zur REWE App verweisen wir auf die Datenschutzhinweise für die Nutzung des REWE Kundenkontos und die Datenschutzhinweise für die Nutzung der REWE App. In diesem Zusammenhang kannst du dich direkt an kundenmanagement@rewe.de wenden.

3. Welche Daten verarbeiten wir von dir?

Im Rahmen der Aktivierung und Nutzung von REWE Pay werden folgende personenbezogene Daten erhoben:

  • Kontaktinformationen: Name, E-Mail-Adresse
  • Zahlungsinformationen: Girocard-Daten, IBAN, PAN, Device-ID, Mandatsreferenz
  • Transaktionsdaten: Datum, Uhrzeit, Kaufbetrag, Terminal-ID

Die Erhebung dieser Daten ist notwendig, um REWE Pay zu aktivieren und die Zahlungstransaktionen zu verarbeiten.

4. Besteht eine Pflicht zur Bereitstellung der Daten?

Die Bereitstellung deiner Daten ist gesetzlich nicht vorgeschrieben. Einige der genannten Daten sind jedoch erforderlich, um die mobile Bezahlfunktion REWE Pay aktivieren und verwenden zu können. Ohne die Mitteilung der zur Zahlung benötigten Daten sind wir nicht in der Lage, dir die Funktion bereitzustellen.

5. Für welche Zwecke verarbeiten wir deine Daten und auf welcher Rechtsgrundlage erfolgt dies?

Wenn du den Service REWE Pay in deiner App aktivieren möchtest, wird zunächst der in deiner REWE App im Kundenkonto hinterlegte Aztec Code an der Kasse gescannt. Anschließend wird deine Girocard wie gewohnt zur Zahlung verwendet, wodurch dein Girokonto mit REWE Pay verknüpft wird. Danach unterschreibst du am Signpad ein SEPA-Dauerlastschriftmandat. Durch das Scannen des Codes, das Einstecken deiner Girokarte und das Unterschreiben auf dem Signpad führst du deine erste REWE Pay Zahlung durch, welche an die OC Payment GmbH übermittelt wird, zusammen mit zahlungsrelevanten Informationen (wie Datum, Kaufbetrag, IBAN, PAN, Terminal-ID und Mandatsreferenz). Diese Daten werden zur Risikoüberprüfung und Autorisierung erhoben und an uns weitergeleitet. Nach erfolgreicher Aktivierung werden die verwendeten Zahlungsdaten verschlüsselt gespeichert. Das damit von dir erteilte SEPA-Dauerlastschriftmandat ermöglicht uns, zukünftige Abbuchungen von deinem Girokonto vorzunehmen. Rechtsgrundlage für die beschriebene Datenverarbeitung für die Nutzung des Services REWE Pay mitsamt der Erteilung des SEPA-Dauerlastschriftmandats ist Art. 6 Abs. 1 S. 1 lit. b DSGVO (Vertragserfüllung) und § 25 Abs. 2 Nr. 2 TDDDG.

Darüber hinaus verarbeitet die OC Payment GmbH personenbezogene Daten auch zur Durchführung von Bonitätsprüfungen und zur Festlegung von Bezahllimits. Dabei kann es erforderlich sein, dass relevante Informationen wie Name, Geburtsdatum und Adresse an externe Auskunfteien übermittelt werden. Diese Verarbeitung erfolgt auf Grundlage von Art. 6 Abs. 1 S. 1 lit. f DSGVO im berechtigten Interesse an der Vermeidung von Zahlungsausfällen.

Im Falle von Zahlungsverzug verarbeitet die OC Payment GmbH deine Daten zudem zur Geltendmachung offener Forderungen. Dies kann die Einschaltung eines Inkassodienstleisters umfassen. Die Verarbeitung erfolgt sowohl zur Vertragserfüllung gemäß Art. 6 Abs. 1 S. 1 lit. b DSGVO als auch im berechtigten Interesse an der Durchsetzung rechtlicher Ansprüche gemäß Art. 6 Abs. 1 S. 1 lit. f DSGVO.

Bei einem Missbrauchsverdacht behält sich die OC Payment GmbH das Recht vor, dein REWE Pay Konto zu sperren, um Risiken wie unautorisierte Abbuchungen, Identitätsmissbrauch oder systematische Betrugsversuche frühzeitig zu erkennen und finanzielle Verluste für das Unternehmen sowie betroffene Kund:innen zu vermeiden. Diese Verarbeitung erfolgt auf Grundlage des berechtigten Interesses gemäß Art. 6 Abs. 1 S. 1 lit. f DSGVO.

Zur Sicherstellung des Betriebs und der Wartung des Services REWE Pay kann es erforderlich sein, dass personenbezogene Daten im Rahmen von Supportmaßnahmen verarbeitet werden. Die Rechtsgrundlage für diese Verarbeitung ist Art. 6 Abs. 1 S. 1 lit. b DSGVO.

6. Datenquellen

Wir erhalten personenbezogene Daten von dir selbst, wenn du diese Angaben selbst im Rahmen der Aktivierung des Services REWE Pay machst.

7. Erfolgt eine automatisierte Entscheidungsfindung einschließlich Profiling?

Es erfolgt keine automatisierte Entscheidungsfindung einschließlich Profiling gemäß Art. 22 Abs. 1 und 4 DSGVO.

8. Wer hat Zugang zu deinen Daten und aus welchem Grund?

Die Abwicklung und Absicherung der Zahlungsvorgänge erfolgt durch die OC Payment GmbH in eigener Verantwortung.

Darüber hinaus können Dienstleister, die uns bei der Erfüllung unserer Aufgaben unterstützen, Zugang zu deinen Daten erhalten. Dies sind Dienstleister der folgenden Kategorien:

  • Zahlungsdienstleister und Banken für die Abwicklung von Zahlungen.
  • Inkassounternehmen für die Geltendmachung von Forderungen.
  • Entwicklungsdienstleister für Programmierung, Entwicklung, Wartung und Support von Software-Anwendungen.
  • Dienstleister, die uns bei der Verhinderung von betrügerischen Aktivitäten unterstützen.
  • Auskunfteien für die Durchführung von Bonitätsprüfungen.

Es erfolgt keine Drittlandübermittlung.

9. Wie lange werden die Daten gespeichert?

Wir speichern deine Daten grundsätzlich nur so lange, wie wir sie für die jeweiligen Verarbeitungszwecke benötigen. Sind die Daten für die Erfüllung der in diesen Datenschutzhinweisen genannten Verarbeitungszwecke nicht mehr erforderlich, werden sie gelöscht, es sei denn, ihre Aufbewahrung ist zur Erfüllung handels- oder steuerrechtlicher Aufbewahrungspflichten weiterhin notwendig. Im Regelfall löschen wir deine Daten nach diesen Fristen bzw. legen die Löschfrist nach diesen Kriterien fest:

  • Zahlungsinformationen und Transaktionsdaten werden nach 13 Monaten gelöscht.
  • Das Dauerlastschriftmandat läuft 3 Jahre nach der letzten Zahlung automatisch ab. Die Mandatsreferenz wird dann nach 8 Jahren gelöscht. Wenn du den Service REWE Pay vorzeitig abmeldest oder deaktivierst, muss das Dauerlastschriftmandat über das REWE Kundenmanagement beendet werden. Bitte wende dich hierfür direkt an kundenmanagement@rewe.de. Die Mandatsreferenz wird dann unter anderem für etwaige Rückzahlungen nach 8 Jahren gelöscht.

10. Welche Rechte hast du?

10.1. Auskunft

Du kannst im Rahmen des Art. 15 DSGVO Auskunft über deine von uns verarbeiteten personenbezogenen Daten verlangen.

10.2. Berichtigung

Sollten deine Angaben nicht (mehr) zutreffend sein, kannst du im Rahmen des Art. 16 DSGVO die Berichtigung deiner Daten verlangen. Sollten deine Daten unvollständig sein, kannst du eine Vervollständigung verlangen.

10.3. Löschung

Du hast im Rahmen des Art. 17 DSGVO das Recht, die Löschung deiner Daten zu verlangen. Es dürfen jedoch keine Vorschriften bestehen, die uns zur Aufbewahrung deiner Daten verpflichten.

10.4. Einschränkung der Verarbeitung

Du hast im Rahmen des Art. 18 DSGVO das Recht, die Einschränkung der Verarbeitung deiner Daten zu verlangen.

10.5. Widerspruch

Du hast im Rahmen des Art. 21 DSGVO das Recht, aus Gründen, die sich aus deiner besonderen Situation ergeben, gegen die Verarbeitung deiner Daten Widerspruch einzulegen. Im Falle eines berechtigten Widerspruchs werden wir deine Daten nicht mehr verarbeiten.

10.6. Widerspruch gegen die Verarbeitung deiner Daten für Zwecke der Direktwerbung

Du hast im Rahmen des Art. 21 DSGVO das Recht, jederzeit Widerspruch gegen die Verarbeitung deiner Daten für Zwecke der Direktwerbung einzulegen. Das gilt auch für das mit einer Direktwerbung in Verbindung stehende Profiling. Deinen Widerspruch kannst du formfrei an uns richten, am besten an die oben genannten Kontaktdaten unter Angabe des Stichworts „Widerspruch gegen die Verarbeitung meiner personenbezogenen Daten für Werbezwecke“.

10.7. Beschwerderecht

Du bist berechtigt, bei einer Datenschutzaufsichtsbehörde Beschwerde einzureichen.

10.8. Datenübertragbarkeit

Du hast im Rahmen des Art. 20 DSGVO das Recht, personenbezogene Daten, die du uns mitgeteilt hast, in einem elektronischen Format zu erhalten.

10.9. Widerruf deiner Einwilligung

Du hast das Recht, eine Einwilligung in die Verarbeitung deiner Daten, welche du uns gegenüber erteilt hast, jederzeit zu widerrufen. Der Widerruf der Einwilligung berührt nicht die Rechtmäßigkeit der bis zum Widerruf durchgeführten Verarbeitung deiner Daten.