Startseite Themen Über uns FAQ
Kreditkarte Datenschutz & DSGVO: Was du wirklich wissen musst

    Kreditkarte Datenschutz & DSGVO: Was du wirklich wissen musst

    2026-04-27 12 Min. Lesezeit

    Auf einen Blick

    Jede Kreditkartenzahlung erzeugt einen detaillierten Datensatz – Ort, Zeit, Betrag, Händler. Die DSGVO verpflichtet Banken und Zahlungsdienstleister, diese Daten transparent zu verarbeiten und dir umfangreiche Auskunfts- und Löschrechte zu gewähren. DSGVO-konforme Zahlungen setzen voraus, dass du weißt, welche Daten fließen und wie du deine Rechte aktiv einfordern kannst. Dieser Artikel liefert dir das nötige Rüstzeug – konkret, praxisnah und ohne Juristendeutsch.

    Stell dir vor, jemand führt ein detailliertes Tagebuch über dein Leben – wo du frühstückst, wann du tankst, welche Apotheke du besuchst. Klingt gruselig? Genau das passiert bei jeder Kreditkartenzahlung. Kreditkarte Datenschutz und DSGVO sind deshalb kein Nischenthema für Juristen, sondern eine Frage, die jeden Karteninhaber direkt betrifft.

    Seit Mai 2018 gilt die Datenschutz-Grundverordnung (DSGVO) europaweit. Sie hat die Spielregeln für alle verändert, die personenbezogene Daten verarbeiten – also auch für deine Bank, deinen Kreditkartenanbieter und jeden Online-Shop, bei dem du mit Karte bezahlst. Doch zwischen dem, was die DSGVO fordert, und dem, was in der Praxis passiert, klafft oft eine bemerkenswerte Lücke.

    Welche Daten entstehen bei einer Kreditkartenzahlung?

    Bevor wir über Datenschutz reden, müssen wir verstehen, was überhaupt auf dem Spiel steht. Eine einzige Kartenzahlung erzeugt mehr Datenpunkte, als die meisten Menschen ahnen.

    Die offensichtlichen Daten

    Klar: Betrag, Datum, Uhrzeit und Händlername landen in deinem Kontoauszug. Das ist der Teil, den du siehst. Aber das ist nur die Spitze des Eisbergs.

    Die unsichtbaren Datenpunkte

    Hinter jeder Transaktion steckt ein ganzes Paket an Metadaten: der genaue Standort des Terminals, die Gerätekennzeichnung, deine IP-Adresse bei Online-Zahlungen, Informationen über das verwendete Endgerät und – bei wiederkehrenden Zahlungen – Muster, die Rückschlüsse auf deine Lebensgewohnheiten erlauben. Händlerkategorien (sogenannte MCC-Codes) verraten zusätzlich, ob du in einer Apotheke, einem Waffengeschäft oder einem Glücksspielportal bezahlt hast.

    Gut zu wissen: Zahlungsnetzwerke wie Visa und Mastercard speichern Transaktionsdaten für eigene Analysezwecke. Diese Daten können für Marktforschung, Betrugserkennung und – je nach Datenschutzvereinbarung – auch für personalisierte Werbung genutzt werden. Die DSGVO setzt hier klare Grenzen, aber nur wenn du sie kennst und einfordern kannst.

    Mehr über die technischen Grundlagen, wie deine Kartendaten überhaupt übertragen werden, erfährst du in unserem Artikel zur Kreditkarte Verschlüsselung und sicheren Zahlungen.

    DSGVO-Grundlagen: Was gilt für Kreditkartendaten?

    Die DSGVO definiert Kreditkartendaten eindeutig als personenbezogene Daten. Das bedeutet: Jede Verarbeitung dieser Daten braucht eine Rechtsgrundlage. Und hier wird es interessant.

    Die wichtigsten Rechtsgrundlagen im Überblick

    Deine Bank verarbeitet deine Zahlungsdaten primär auf Basis von Artikel 6 Abs. 1 lit. b DSGVO – also zur Vertragserfüllung. Ohne Transaktionsdaten kein Zahlungsverkehr, das leuchtet ein. Problematischer wird es, wenn Daten für darüber hinausgehende Zwecke genutzt werden: Scoring, Produktempfehlungen, Weitergabe an Dritte.

    Für solche Zwecke braucht es entweder deine ausdrückliche Einwilligung (Art. 6 Abs. 1 lit. a) oder ein berechtigtes Interesse (Art. 6 Abs. 1 lit. f) – und das muss die Bank im Zweifel nachweisen können.

    Speicherfristen: Wie lange dürfen Daten bleiben?

    Hier gilt das Prinzip der Datensparsamkeit. Transaktionsdaten dürfen grundsätzlich nur so lange gespeichert werden, wie es für den ursprünglichen Zweck notwendig ist. In der Praxis bedeutet das:

    • Steuerrechtliche Aufbewahrungspflicht: 10 Jahre (§ 147 AO)
    • Zivilrechtliche Verjährungsfristen: 3 Jahre für Ansprüche aus Zahlungsverkehr
    • Betrugsprävention: Variiert je nach Anbieter, oft 5 Jahre
    • Marketingzwecke: Nur mit Einwilligung, bis zum Widerruf
    Tipp: Fordere regelmäßig eine Datenschutzauskunft bei deiner Bank an. Du hast nach Art. 15 DSGVO das Recht, kostenlos zu erfahren, welche Daten über dich gespeichert sind, zu welchem Zweck und wie lange. Viele Banken haben dafür mittlerweile Online-Formulare – nutze sie.

    DSGVO-konforme Zahlungen: Was bedeutet das konkret?

    DSGVO-konforme Zahlungen sind kein Selbstläufer. Sie erfordern, dass alle Beteiligten in der Zahlungskette – Bank, Zahlungsdienstleister, Händler – die Vorgaben der Verordnung einhalten. Und die Kette ist lang.

    Die Zahlungskette und ihre Datenschutzverantwortung

    Bei einer typischen Online-Kartenzahlung sind mindestens vier Parteien involviert: du als Karteninhaber, der Händler, der Zahlungsdienstleister (Payment Service Provider, PSP) und die kartenausgebende Bank. Jede dieser Parteien ist für ihren Teil der Datenverarbeitung verantwortlich – und muss das in einer Datenschutzerklärung transparent machen.

    Fehlt diese Transparenz oder ist die Datenschutzerklärung des Händlers unvollständig, verstößt er gegen die DSGVO. Das klingt abstrakt, hat aber praktische Konsequenzen: Datenschutzbehörden haben in den letzten Jahren Bußgelder in Millionenhöhe verhängt – auch gegen Unternehmen im Zahlungsverkehr.

    Datenschutzpflichten der Akteure im Zahlungsverkehr (DSGVO)
    Akteur Datenschutzpflicht Rechtsgrundlage Maximales Bußgeld bei Verstoß
    Kartenausgebende Bank Transparenz, Zweckbindung, Auskunftsrecht Art. 6 Abs. 1 lit. b DSGVO 20 Mio. € oder 4 % Jahresumsatz
    Zahlungsnetzwerk (Visa/Mastercard) Datenminimierung, Weitergabe nur mit Rechtsgrundlage Art. 6 Abs. 1 lit. f DSGVO 20 Mio. € oder 4 % Jahresumsatz
    Online-Händler Datenschutzerklärung, Einwilligung für Marketing Art. 6 Abs. 1 lit. a/b DSGVO 20 Mio. € oder 4 % Jahresumsatz
    Payment Service Provider (PSP) Auftragsverarbeitung, Datensicherheit (Art. 28 DSGVO) Art. 28 DSGVO (AVV) 10 Mio. € oder 2 % Jahresumsatz
    Stationärer Händler Datenschutzhinweis am Terminal, keine unnötige Speicherung Art. 13 DSGVO 20 Mio. € oder 4 % Jahresumsatz

    Wie Händler und Dienstleister technisch mit deinen Kartendaten umgehen müssen, regelt übrigens auch der PCI-DSS-Standard. Mehr dazu in unserem Artikel zur PCI-DSS Compliance und dem Schutz von Kreditkartendaten.

    Deine DSGVO-Rechte als Karteninhaber

    Die DSGVO ist kein zahnloser Tiger – zumindest nicht, wenn du deine Rechte kennst und aktiv einsetzt. Als Karteninhaber stehen dir konkrete Instrumente zur Verfügung.

    Die sechs wichtigsten Betroffenenrechte

    • Auskunftsrecht (Art. 15): Du kannst jederzeit erfahren, welche Daten über dich gespeichert sind.
    • Berichtigungsrecht (Art. 16): Falsche Daten müssen korrigiert werden.
    • Löschrecht (Art. 17): Das sogenannte „Recht auf Vergessenwerden" – mit Einschränkungen durch gesetzliche Aufbewahrungspflichten.
    • Einschränkung der Verarbeitung (Art. 18): Du kannst verlangen, dass deine Daten nur noch gespeichert, aber nicht mehr aktiv genutzt werden.
    • Datenübertragbarkeit (Art. 20): Deine Transaktionsdaten in einem maschinenlesbaren Format – nützlich beim Bankwechsel.
    • Widerspruchsrecht (Art. 21): Gegen Verarbeitung auf Basis berechtigter Interessen, insbesondere für Direktmarketing.
    Gut zu wissen: Das Recht auf Datenlöschung gilt nicht uneingeschränkt. Gesetzliche Aufbewahrungspflichten – etwa die 10-jährige steuerrechtliche Frist – gehen dem Löschrecht vor. Deine Bank darf Transaktionsdaten also nicht sofort löschen, auch wenn du es verlangst. Was sie aber tun muss: die Daten für andere Zwecke sperren.

    Datenschutzrisiken beim Karteneinsatz: Die unterschätzten Gefahren

    Neben den regulatorischen Fragen gibt es handfeste Datenschutzrisiken, die direkt aus dem Karteneinsatz entstehen. Drei davon werden systematisch unterschätzt.

    Profiling durch Transaktionsdaten

    Banken und Zahlungsnetzwerke können aus deinen Transaktionsdaten erstaunlich präzise Profile erstellen. Kaufst du regelmäßig in Bioläden? Besuchst du Spielcasinos? Zahlst du in Apotheken für verschreibungspflichtige Medikamente? All das lässt sich aus Kartendaten ableiten. Für Kreditscoring, Versicherungsprämien oder personalisierte Werbung sind solche Profile wertvoll – und die DSGVO setzt hier klare Grenzen, die nicht immer eingehalten werden.

    Datenweitergabe an Dritte

    Viele Karteninhaber wissen nicht, dass ihre Daten an Dritte weitergegeben werden können – etwa an Kreditauskunfteien, Marketingpartner oder Tochtergesellschaften. Die DSGVO verlangt, dass du darüber informiert wirst und in vielen Fällen zustimmen musst. Lies die Datenschutzerklärung deiner Bank – auch wenn es mühsam ist.

    Internationale Datentransfers

    Zahlungsnetzwerke sind global aufgestellt. Deine Transaktionsdaten können auf Servern in den USA oder anderen Drittländern verarbeitet werden. Nach dem Schrems-II-Urteil des EuGH sind solche Transfers nur unter strengen Bedingungen zulässig. Ob deine Bank diese Bedingungen erfüllt? Eine berechtigte Frage, die du stellen solltest.

    Wie du dich gegen konkrete Angriffe auf deine Kartendaten schützt, zeigt unser Artikel zum Thema Kreditkarte Datendiebstahl und Identitätsdiebstahl.

    Schritt für Schritt: So setzt du deine DSGVO-Rechte durch

    Theorie ist gut, Praxis ist besser. Hier ist eine konkrete Anleitung, wie du deine Datenschutzrechte gegenüber deiner Bank und Kreditkartengesellschaft tatsächlich durchsetzt.

    1. Datenschutzerklärung lesen: Suche auf der Website deiner Bank oder deines Kreditkartenanbieters die aktuelle Datenschutzerklärung. Achte besonders auf die Abschnitte zu Zwecken der Datenverarbeitung, Weitergabe an Dritte und Speicherfristen.
    2. Datenschutzbeauftragten identifizieren: Jede Bank mit mehr als 20 Mitarbeitern in der Datenverarbeitung muss einen Datenschutzbeauftragten benennen. Dessen Kontaktdaten müssen öffentlich zugänglich sein – meist in der Datenschutzerklärung.
    3. Auskunftsantrag stellen: Schreibe eine formlose E-Mail oder nutze das Online-Formular deiner Bank. Berufe dich ausdrücklich auf Art. 15 DSGVO. Die Bank hat 30 Tage Zeit zu antworten – kostenlos.
    4. Antwort prüfen: Überprüfe, ob die Auskunft vollständig ist: Welche Datenkategorien werden verarbeitet? Zu welchem Zweck? Wie lange? An wen werden sie weitergegeben?
    5. Widerspruch einlegen: Werden deine Daten für Direktmarketing oder Profiling genutzt? Lege schriftlich Widerspruch nach Art. 21 DSGVO ein. Die Bank muss die Verarbeitung für diese Zwecke sofort einstellen.
    6. Löschung beantragen: Für Daten, die nicht mehr benötigt werden und keiner gesetzlichen Aufbewahrungspflicht unterliegen, kannst du Löschung nach Art. 17 DSGVO verlangen.
    7. Beschwerde bei der Aufsichtsbehörde: Reagiert die Bank nicht oder unzureichend? Wende dich an die zuständige Datenschutzaufsichtsbehörde deines Bundeslandes. Die Beschwerde ist kostenlos und kann erheblichen Druck erzeugen.
    Tipp: Stelle deinen Auskunftsantrag immer schriftlich und behalte eine Kopie. Setze eine Frist von 30 Tagen (wie von der DSGVO vorgesehen) und dokumentiere, wann du die Anfrage gestellt hast. Im Streitfall ist das dein Nachweis.

    Praktische Schutzmaßnahmen für mehr Datenschutz beim Karteneinsatz

    Neben den rechtlichen Instrumenten gibt es technische und verhaltensbasierte Maßnahmen, die deinen Datenschutz beim Karteneinsatz konkret verbessern.

    Virtuelle Kreditkarten und Einmalkartennummern

    Viele Banken bieten mittlerweile virtuelle Kreditkarten an – temporäre Kartennummern für einzelne Online-Transaktionen. Der Vorteil: Selbst wenn der Händler gehackt wird, ist deine echte Kartennummer nicht kompromittiert. Das ist Datenschutz durch Technik, wie ihn Art. 25 DSGVO (Privacy by Design) eigentlich von allen Diensten fordert.

    Kontaktloses Bezahlen und NFC-Datenschutz

    Kontaktloses Bezahlen ist bequem, wirft aber eigene Datenschutzfragen auf. Welche Daten werden beim NFC-Kontakt übertragen? Können Dritte diese Daten abfangen? Unser Artikel zur kontaktlosen Kreditkarte und NFC-Datenschutz gibt detaillierte Antworten.

    Minimierung der Kartendatenspuren

    Wer weniger Datenspuren hinterlassen möchte, kann strategisch vorgehen: Barzahlung für sensible Einkäufe (Apotheke, politische Spenden), separate Karten für Online- und Offline-Zahlungen, regelmäßige Überprüfung der Kontoauszüge auf unbekannte Händler.

    Wie du deine Kartennummer und den CVV-Code schützt, erklärt unser Artikel zu Kreditkartennummer schützen und CVV-Sicherheit. Und wer seinen PIN wirklich sicher halten will, findet in unserem Beitrag zur Kreditkarte PIN-Sicherheit alle wichtigen Tipps.

    Häufige Fragen: Kreditkarte Datenschutz & DSGVO

    Welche Daten speichert meine Bank bei Kreditkartenzahlungen?

    Deine Bank speichert Betrag, Datum, Uhrzeit, Händlername und -kategorie sowie bei Online-Zahlungen deine IP-Adresse und Gerätedaten. Diese Daten werden für Vertragserfüllung, Betrugsprävention und gesetzliche Aufbewahrungspflichten genutzt.

    Wie lange dürfen Kreditkartendaten nach der DSGVO gespeichert werden?

    Kreditkartendaten dürfen so lange gespeichert werden, wie es der Verarbeitungszweck erfordert. Steuerrechtlich gilt eine 10-jährige Aufbewahrungspflicht. Für Marketingzwecke ist eine Speicherung nur mit deiner Einwilligung und bis zu deren Widerruf zulässig.

    Kann ich verlangen, dass meine Kreditkartendaten gelöscht werden?

    Ja, du hast nach Art. 17 DSGVO ein Recht auf Löschung. Allerdings gehen gesetzliche Aufbewahrungspflichten – etwa die 10-jährige steuerrechtliche Frist – diesem Recht vor. Daten ohne gesetzliche Grundlage müssen auf Antrag gelöscht werden.

    Darf meine Bank meine Transaktionsdaten für Werbung nutzen?

    Nein, nicht ohne deine ausdrückliche Einwilligung. Die Nutzung von Transaktionsdaten für Direktmarketing oder Profiling erfordert nach DSGVO eine separate Zustimmung. Du kannst dieser Nutzung jederzeit widersprechen – schriftlich und ohne Angabe von Gründen.

    Was ist DSGVO-konforme Zahlungsabwicklung?

    DSGVO-konforme Zahlungsabwicklung bedeutet, dass alle Beteiligten – Bank, Zahlungsdienstleister, Händler – Kartendaten nur für festgelegte Zwecke verarbeiten, transparent darüber informieren und technische Schutzmaßnahmen wie Verschlüsselung einsetzen.

    Wie beantrage ich eine DSGVO-Auskunft bei meiner Bank?

    Schreibe eine formlose E-Mail an den Datenschutzbeauftragten deiner Bank und berufe dich auf Art. 15 DSGVO. Die Bank muss innerhalb von 30 Tagen kostenlos antworten und alle gespeicherten Daten, Verarbeitungszwecke und Empfänger offenlegen.

    Werden meine Kreditkartendaten ins Ausland übertragen?

    Ja, das ist möglich. Zahlungsnetzwerke verarbeiten Daten global. Transfers in Drittländer außerhalb der EU sind nach DSGVO nur mit geeigneten Schutzmaßnahmen zulässig, etwa Standardvertragsklauseln. Deine Bank muss dich darüber in der Datenschutzerklärung informieren.

    Meine Empfehlung: Stell noch heute eine DSGVO-Auskunftsanfrage bei deiner Bank. Nicht weil du zwingend etwas Schlimmes erwartest – sondern weil du ein Recht darauf hast zu wissen, was mit deinen Daten passiert. Die meisten Menschen haben das noch nie getan. Wer die Antwort liest, ist oft überrascht, wie viele Daten tatsächlich gespeichert werden und an wie viele Stellen sie fließen. Datenschutz beginnt mit Wissen. Und Wissen beginnt mit Fragen. Wer darüber hinaus seinen gesamten Karteneinsatz datenschutzbewusster gestalten möchte, findet in unserem Überblicksartikel zur Kreditkarte Datenschutz den idealen Einstieg.

    Weitere Artikel

    3D Secure Kreditkarte: So funktioniert der Schutz wirklich

    Die 3D Secure Kreditkarte ist der wichtigste Sicherheitsstandard beim Online-Bezahlen – und die meisten Nutzer wissen kaum, wie er wirklich funktioniert. Kurz gesagt: 3D Secure ist ein Authentifizierungsverfahren, das sicherstellt, dass du tatsächlich der rechtmäßige Karteninhaber bist, bevor eine Online-Zahlung durchgeführt wird. Ob per SMS-TAN, Banking-App oder biometrischem Fingerabdruck – die Methoden haben sich stark weiterentwickelt. Dieser Artikel erklärt, was hinter dem Standard steckt, welche Version deine Karte nutzt und wie du dich optimal schützt.

    Kreditkarte Monitoring: Transaktionsüberwachung richtig nutzen

    Kreditkarte Monitoring ist deine erste Verteidigungslinie gegen Kartenbetrug: Mit der richtigen Transaktionsüberwachung erkennst du verdächtige Abbuchungen oft schneller als deine Bank. Ob Push-Benachrichtigungen, automatische Limits oder spezialisierte Monitoring-Apps – wer seine Kartenbewegungen aktiv im Blick behält, spart im Ernstfall nicht nur Geld, sondern auch Nerven. Dieser Artikel zeigt dir, wie modernes Kreditkarten-Monitoring funktioniert, welche Tools wirklich taugen und wie du dein Konto in wenigen Schritten absicherst.

    PCI-DSS Compliance: Kreditkartendaten wirklich sicher schützen

    PCI-DSS Compliance ist der weltweit verbindliche Sicherheitsstandard für alle Unternehmen, die Kreditkartendaten verarbeiten, speichern oder übertragen – und er schützt letztlich dich als Karteninhaber vor Datenmissbrauch. Wer online mit Kreditkarte zahlt, hinterlässt sensible Spuren: Kartennummer, Ablaufdatum, Prüfziffer. Damit diese Daten nicht in falsche Hände geraten, schreibt der Payment Card Industry Data Security Standard (PCI-DSS) konkrete technische und organisatorische Maßnahmen vor. Was das für Händler, Banken und dich als Verbraucher bedeutet, erfährst du hier.