Version: 11 Feb 2026
1. Einleitung
1.1 Anwendungsbereich
Diese Datenschutzerklärung informiert über die Verarbeitung personenbezogener Daten (wie in der EU Datenschutz-Grundverordnung („DSGVO“) definiert, einschließlich sinngleicher Begriffe nach internationalen Datenschutzgesetzen) durch die in Ziffer 1.3 genannten Mitglieder der IXOPAY Group („IXOPAY Group“ oder „IXOPAY“, „wir“, „uns“ oder „unser“) in Bezug auf die folgenden Kategorien betroffener Personen:
Besucher unserer Websites www.ixopay.com („Website“) und Besucher der Social-Media-Präsenzen von IXOPAY (z.B. LinkedIn, Facebook, X, „Social Media Sites“), einschließlich Personen, die Kontaktdaten angeben, um Mitteilungen von uns zu erhalten. Der Begriff Website umfasst www.ixopay.com sowie jede andere Website der IXOPAY Group, die auf diese Datenschutzerklärung verlinkt;
Geschäftskontakte: Mitarbeiter und Vertreter aktueller oder potenzieller Kunden, Partner und Lieferanten, deren Daten wir für Zwecke des Managements von Geschäftsbeziehungen (CRM) verarbeiten;
Kunden: Unternehmen, die IXOPAY SaaS-Lösungen („Services“) beauftragen, sowie Personen, die in deren Auftrag handeln;
Autorisierte Nutzer: Personen, die in der Sphäre des Kunden auf Services zugreifen; sowie
Bewerber: Personen die IXOPAY Group auf eine Stelle der IXOPAY Group der bewerben.
„IXOPAY“ wird als gruppenweiter Überbegriff verwendet. Welches IXOPAY Unternehmen (als Verantwortlicher oder Auftragsverarbeiter) datenschutzrechtlich agiert, hängt vom jeweiligen Verarbeitungskontext ab und wird in Ziffer 1.2 beschrieben. Soweit mehrere Gesellschaften der IXOPAY Group für eine bestimmte Verarbeitungstätigkeit gemeinsam Zwecke und Mittel festlegen, handeln sie für diese Verarbeitungstätigkeit als gemeinsam Verantwortliche.
1.2 Rollenverteilung
Um die Rollenverteilung transparent darzustellen, wird – je nach Art der Tätigkeit – zwischen zwei Hauptrollen unterschieden:
1.2.1. Wir handeln als Verantwortlicher für personenbezogene Daten von Besuchern, Geschäftskontakten und Bewerbern. Das bedeutet, dass wir die Zwecke und Mittel der Verarbeitung dieser Daten festlegen. Welche Gesellschaft der IXOPAY Group im Einzelfall verantwortlich ist, hängt vom jeweiligen Verarbeitungskontext ab:
Website & Marketing: IXOPAY, Inc., 333 E Main St #396, Lehi, Utah 84043, Vereinigte Staaten, ist allein Verantwortlicher für den Betrieb der Website und die Erhebung von Daten von Besuchern.
Globale Geschäftsbeziehungen: Jene IXOPAY-Gesellschaft, die die jeweilige Geschäftsbeziehung betreut, ist Verantwortlicher für Daten von Geschäftskontakten. Soweit zwei oder mehr Gesellschaften der IXOPAY Group die Geschäftsbeziehung gemeinsam betreuen (z.B. über ein gemeinsames CRM und koordinierte Vertriebs-, Partner- und Customer-Success-Aktivitäten), handeln diese Gesellschaften für diese konkrete Verarbeitung als gemeinsam Verantwortliche. Auf Anfrage unter [email protected] stellen wir das Wesentliche der Vereinbarung der gemeinsam Verantwortlichen bereit.
Recruiting: Bewerberdaten unterliegen unserer Datenschutzhinweise für Bewerber.
1.2.2. Wir handeln als Auftragsverarbeiter für personenbezogene Daten, die von oder in Bezug auf Kunden und autorisierte Nutzer bereitgestellt werden, insbesondere im Rahmen der Serviceerbringung verarbeitete personenbezogene Daten („Service Data“, z.B. Transaktionsdetails oder Payment Tokens). In dieser Rolle verarbeiten wir Daten ausschließlich im Auftrag unserer Kunden nach deren Weisungen und gemäß unserem Data Processing Addendum (DPA). Unsere Rolle ist vertraglich festgelegt:
Vertragsschließende Gesellschaft: Jene IXOPAY-Gesellschaft, die mit dem Kunden kontrahiert, handelt als Auftragsverarbeiter im Auftrag des Kunden.
Unterauftragsverarbeitung: Je nach Serviceerbringung handeln andere IXOPAY-Gesellschaften als Unterauftragsverarbeiter (Subprocessor), wie auf unserer Subprocessors-Seite dargestellt. So kann etwa ein EU-basierter Kunde, der mit einer Gesellschaft der IXOPAY Group kontrahiert, Tokenization-Services nutzen, die technisch von einer anderen Gesellschaft der IXOPAY Group erbracht werden (die dann als Unterauftragsverarbeiter handelt).
Grenze der Auftragsverarbeitung: Wir verarbeiten Service Data in personenbezogener Form ausschließlich, um unsere Services nach den dokumentierten Weisungen des Kunden bereitzustellen, zu schützen, zu unterstützen und zu warten. Service Data werden somit nicht für Benchmarking, allgemeine Analysen oder Produktentwicklung für eigene Zwecke verwendet. Soweit solche Tätigkeiten erfolgen, geschieht dies ausschließlich auf Basis irreversibel anonymisierter Daten gemäß Ziffer 3.
1.3 Gesellschaften der IXOPAY Group
Für Zwecke dieser Datenschutzerklärung umfasst die „IXOPAY Group“:
IXOPAY, Inc., eine Delaware Corporation, 333 E Main St #396, Lehi, Utah 84043, USA;
IXOPAY GmbH, FN 451099g (Handelsgericht Wien), Vorgartenstraße 206c, A-1020 Wien, Österreich; sowie
Congrify Payment Intelligence GmbH, HRB 296561 (Amtsgericht München), Oskar-von-Miller-Ring 20, 80333 München, Deutschland.
2. Kategorien personenbezogener Daten, Zwecke und Rechtsgrundlage
Wir verarbeiten personenbezogene Daten abhängig davon, wie mit uns interagiert wird – als Besucher, Geschäftskontakt, Kunde oder autorisierter Nutzer der Services. Personenbezogene Daten werden (a) direkt erhoben, wenn mit der Website, dem AI Assistant oder unseren Sales-Teams interagiert wird oder anderweitig Kommunikation erfolgt; (b) automatisch über technische Logs und Tracking-Technologien über unsere Websites und Social Media Sites (z.B. Cookies, Nutzungslogs); oder (c) von Dritten, z.B. Empfehlungen oder öffentlichen Quellen, jeweils wie nachstehend beschrieben.
2.1 Besucher und Geschäftskontakte
Wenn Sie unsere Website besuchen, einen Newsletter abonnieren, sich für eine Demo registrieren oder ein Benutzerkonto verwaltet wird, verarbeiten wir:
Identitäts- & Kontaktdaten: Name, Username, geschäftliche E-Mail-Adresse, Telefonnummer, Jobtitel, Firmenname und geschäftliche Anschrift.
Zugangsdaten: Passwörter und ähnliche Sicherheitsinformationen zur Authentifizierung und zum Zugang zum IXOPAY Experience Portal.
Kommerzielle Daten: Informationen über Services, die gekauft oder angefragt wurden, Abrechnungsdetails, UID-Nummern und Kommunikationspräferenzen.
Technische Nutzungsdaten: IP-Adresse, Browsertyp und -version, Betriebssystem, Referrer-URLs, Geräteinformationen und weitere Server-Logfile-Informationen sowie Interaktionslogs (z.B. besuchte Seiten, Verweildauer, Clickstream-Daten wie in „Cookies & Tracking Technologies“ unten beschrieben; Analysen von Lesegewohnheiten in Newslettern).
Risiko & Compliance Informationen: Daten von Drittanbietern im Bereich Compliance & Risiko (z.B. Sanktionslisten, Kreditauskunfteien) zur Unterstützung von Know-Your-Customer-(KYC)-Pflichten und zur Betrugsprävention.
Sales Intelligence: Informationen, die mit Angaben aus IXOPAY-Formularen kombiniert werden, mit Informationen von Drittanbietern für Sales Intelligence (z.B. LinkedIn, ZoomInfo), um die Services besser an potenzielle Kunden zu vermarkten und die Identität von Geschäftskontakten zu verifizieren.
Diese Verarbeitung ist erforderlich zur Erfüllung eines Vertrags (z.B. zur Verwaltung eines Accounts, zur Beantwortung von Anfragen, zur Bereitstellung angeforderter Unterlagen) oder zur Durchführung vorvertraglicher Maßnahmen.
Für E-Mail-Marketing (soweit erforderlich) oder Tracking-Technologien erfolgt die Verarbeitung auf Grundlage einer Einwilligung (die jederzeit über Cookie Settings oder durch Abbestellen widerrufen werden kann).
Soweit erforderlich, erfolgt die Verarbeitung auf Grundlage berechtigter Interessen von uns oder Dritten, einschließlich der globalen Accountverwaltung, B2B-Direktmarketing, für interne Verwaltungszwecke innerhalb der IXOPAY Group, Informationssicherheit und Betrugsprävention, Compliance sowie zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen.
Soweit Daten von Geschäftskontakten von Dritten bezogen werden (z.B. aus beruflichen Netzwerken oder von Sales-Intelligence-Anbietern), erfolgt die Nutzung aufgrund unseres berechtigten Interesses an B2B-Relationship- und Identitätsmanagement, und Marketing. So können etwa Angaben aus einem IXOPAY-Kontaktformular mit Informationen kombiniert werden, die von beruflichen Netzwerken oder Sales-Intelligence-Anbietern stammen – wogegen Sie jederzeit wie unten beschrieben widersprechen können.
2.2 Über die Services verarbeitete Daten
Im Rahmen der Bereitstellung der Services verarbeiten wir Daten im Auftrag und auf Weisung der Kunden. Der genaue Umfang hängt von der Integration und Konfiguration der Services durch den Kunden ab. Typischerweise umfasst dies Name, E-Mail-Adresse und weitere Kontaktdaten, Finanz- und Zahlungsinstrumentdaten (gemäß PCI DSS-Anforderungen), Transaktionsdetails (z.B. Betrag, Währung, Zeitstempel, Merchant ID), technische Transaktionsdaten (z.B. Acquirer-Response-Codes, 3-D Secure-Authentifizierungsdaten) sowie Risiko- und Betrugsindikatoren (z.B. Transaktionsfrequenz, IP-Geolokation und Abweichungen zwischen Versand-/Rechnungsadresse zur Betrugserkennung), technische Logs sowie Diagnosedaten für Support und Debugging.
Diese Verarbeitungstätigkeiten werden als Auftragsverarbeiter durchgeführt. Folglich legen ausschließlich die Kunden, nicht IXOPAY, die Zwecke und Mittel der Verarbeitung fest.
2.3 Cookies & Tracking Technologien
Wir verwenden Cookies und andere Trackingtechnologien zur Informationsgewinnung für verschiedene Zwecke, z.B. um Informationen über das Surfverhalten der Besucher zu erhalten, um die Sicherheit unserer Services zu gewährleisten und um Marketingaktivitäten zu unterstützen.
2.3.1 Verwaltung der Präferenzen
Vollständig Informationen und Einstellungen zu Cookies & Trackingtechnologien sind über den Link „Cookie Settings“ im Cookiebanner (ausgestrahlt beim ersten Besuch) oder über das Zahnrad-Symbol unten links auf unserer Website jederzeit zugänglich.
Das Cookie Settings-Tool ermöglicht auch die Verwaltung der Einwilligung für folgende Kategorien:
Technisch unbedingt erforderlich ("Essential"): Diese Technologien sind erforderlich, um die Kernfunktionalität unseres Services zu aktivieren (z.B. Sicherheit, Netzwerkmanagement und Barrierefreiheit). Ein Opt-out ist nicht möglich.
Funktional bzw Reporting ("Functional"): Diese Technologien ermöglichen die Analyse des Nutzungsverhaltens (z.B. Besucherverhalten, Dauer), um die Performance zu messen und zu verbessern.
Marketing: Diese Technologien werden insbesondere von Werbetreibenden genutzt, um Anzeigen bereitzustellen, die für Ihre Interessen relevant sind.
2.3.2 Browser-Einstellungen & Opt-Outs
Zusätzlich zu den Einstellungen über unser Cookie Settings-Tool können Cookies & Tracker grundsätzlich über Browser-Einstellungen gesteuert oder über Your Online Choices deaktiviert werden. Bei Nutzung eines Opt-out-Mechanismus kann ein „Opt-out-Cookie“ im Browser gespeichert werden, um die Auswahl zu merken. Dieser Vorgang entfernt das Opt-out-Cookie nicht; es muss auf dem Gerät verbleiben, damit das Opt-out erfolgreich funktioniert. Der Vorgang muss in jedem genutzten Browser wiederholt werden und wenn alle Cookie-Daten vom Gerät gelöscht werden.
Bestimmte Funktionen der Website erfordern Die Verarbeitung von technisch unbedingt erforderlichen Cookies erfolgt auf Grundlage berechtigter Interessen. Personenbezogene Daten werden über „Reporting“- und „Marketing“-Cookies und Tracking-Technologien nur erhoben, wenn und solange eine Einwilligung vorliegt.
2.4 Social Media
Wir betreiben Social Media Sites, um mit Kunden und Interessenten zu kommunizieren. Details (einschließlich plattformspezifischer Rollen, Page-Insights-Vereinbarungen und der Ausübung von Rechten) enthält unsere separate Datenschutzerklärung Social Media Sites Privacy Notice.
2.5 AI Assistant
Wir stellen auf der Website (einschließlich auf adapters.ixopay.com) einen AI Assistenten (Chatbot) bereit, um Informationen über unterstützte Zahlungsmethoden und Funktionalitäten von Payment Service Provider Integrationen bereitzustellen. Bei Nutzung des AI Assistenten verarbeiten wir den Prompt und technische Verbindungsdaten. Der Prompt wird an unseren Auftragsverarbeiter OpenAI (OpenAI LLC, San Francisco, USA) übermittelt, um eine Antwort zu generieren. IXOPAY und OpenAI verwenden Prompts nicht für das Training von Modellen. Eingabebeschränkung: Bitte geben Sie keine personenbezogenen Daten (z.B. Namen, E-Mail-Adressen oder Kontodaten) und keine vertraulichen Geschäftsinformationen in den AI Assistenten ein.
Diese Verarbeitung erfolgt auf Grundlage unseres berechtigten Interesses an effizienter Informationsbereitstellung für Marketing- und Dokumentationszwecke.
3. Data Aggregation and Anonymization
To improve security, stability, performance, and support of the Services, we process Service Data under Customer instructions (processor activity).
Separately, we may irreversibly anonymize Service Data so that it can no longer be linked to an identified or identifiable natural person and cannot reasonably be re-identified. After anonymization, the resulting data is no longer personal data and may be used by the IXOPAY Group entities for legitimate business purposes such as benchmarking, analytics, product development and machine learning.
We do not use Service Data as personal data to develop, train, or fine-tune generative AI models. Where we use machine learning on Service Data as personal data, it is solely to support service delivery (for example fraud scoring, anomaly detection, or routing optimization) and remains within Customer instructions. We may also use irreversibly anonymized data for machine learning as described above.
4. Disclosure of Personal Data
We disclose personal data only where necessary for the purposes described in this Privacy Notice:
4.1. Within the IXOPAY Group: We share personal data within IXOPAY Group on a strict need-to-know basis for internal administration, global account management, Website operation, recruitment (as applicable per our Privacy Notice for Applicants), and to provide, secure, support, and maintain the Services. Where an IXOPAY Group entity processes Service Data, it does so as (sub-)processor under the Customer’s instructions and the DPA.
4.2. Service providers: We use (sub-)processors that support our operations, such as hosting and IT providers, security providers, customer support tools, CRM and communication platforms, and providers of cookie and tracking technologies (see Section 2.3). For the Website’s AI Assistant, we use OpenAI as a processor as described in Section 2.5. These recipients are contractually bound to process personal data only pursuant to our instructions and in compliance with applicable confidentiality, data protection, and security measures. Where a recipient acts as our processor, it may process personal data only to provide services to us and not for its own purposes.
4.3. Legal and protection purposes: We disclose personal data to public authorities or other third parties where required by law, regulation, or a valid legal process, or where necessary to establish, exercise, or defend legal claims, or to protect our rights and the security of our systems.
4.4. Corporate transactions: We may disclose personal data in connection with an actual or proposed merger, acquisition, sale of assets, financing, change in control, insolvency, or reorganization of all or part of our business. In that case, we disclose personal data only to the extent necessary, subject to appropriate confidentiality and security measures, and (where required) subject to applicable legal obligations.
5. International Data Transfers
Where personal data is transferred to recipients in countries outside the European Economic Area (EEA) and not subject to an adequacy decision of the European Commission, we implement appropriate safeguards (in particular EU Standard Contractual Clauses and the UK Addendum, plus supplementary measures where required). If you have any questions about or need further information concerning the relevant safeguards, please contact us at [email protected].
6. Retention
We store your personal data for no longer than is necessary for the purposes for which the personal data are processed. Depending on the respective legal basis this generally means
for as long as it is required to perform our contractual obligations;
when processed based on legitimate interest, for as long as they are not overridden by the interests or fundamental rights and freedoms of the data subject;
when processed based on consent, for as long as the consent is not withdrawn and the purposes are not fulfilled; or
for as long as necessary to comply with statutory provisions, particularly according to legal retention periods (which is typically 7 years).
Key retention periods are:
Server log files: up to 15 days.
AI Assistant chat transcripts: up to 30 days.
Newsletter/marketing data: until you unsubscribe or withdraw consent.
Account and commercial records: for the duration of the relationship and then as required by statutory retention rules.
7. Your Rights
7.1. Rights & Submission Process: Depending on applicable law (including the GDPR), you have the right to:
Access your personal data;
Correct inaccurate or incomplete personal data;
Erase your personal data;
Restrict our processing of your personal data,
Receive a copy of certain personal data you provided to us in a portable format (data portability);
Object to processing based on our or third parties’ legitimate interests, in which case we will no longer process your personal data unless we can demonstrate compelling legitimate grounds for the processing. You can object to direct marketing at any time, and we will stop processing your data for that purpose immediately;
Withdraw consent at any time, where we rely on consent (e.g., see Section 2.3), with effect for the future; and
not to be subject to a decision based solely on automated processing (including profiling) that produces legal effects concerning you or similarly significantly affects you. Currently, we do not engage in such processing for our own controller purposes. Within the Services, fraud/risk scoring can exist under Customer instructions.
To exercise your rights, contact us at [email protected]. To help us process your request, please include: your name, your business email address, your company name, and a clear description of the right you want to exercise. Before we complete a data subject rights request, we need to verify that the request comes from the person whose personal data is at issue. If you submit a request on behalf of another individual, we may request proof of authorization and/or verification by the data subject, as required by applicable law.
7.2. Appeals & Supervisory Authority Complaints: If you live in a jurisdiction that provides an appeal right for denied rights requests, you can appeal our decision by replying to the email that informs you of the denial or by sending an appeal request to [email protected] with the subject line “Appeal”. We respond to appeals within the timeframe required by applicable law.
If you are in the EEA, the UK, or Switzerland, you also have the right to lodge a complaint with a supervisory authority.
7.3. Requests relating to Service Data: If your request relates to Service Data processed through the Services (where we act as a processor under a Customer’s instructions), the Customer controls the purposes and legal basis for that processing. We will (where appropriate) forward your request to the relevant Customer or ask you to contact the Customer directly.
8. Notice to California Residents
This section applies only to California residents for purposes of compliance with the California Consumer Privacy Act of 2018, as amended by the California Privacy Rights Act (collectively, the “California Privacy Laws”). In the previous twelve (12) month period, we have collected, used, and shared certain personal data of California consumers solely for business purposes and strictly in the manner described within this Privacy Notice. California consumers have the right to request access, correction, and deletion to and of their personal data, opt out of the sale of their personal data, opt out of the sharing of their personal data, and not be discriminated against for exercising the rights afforded to them under California privacy laws. In the event of such a request from a California consumer, we will provide all relevant information about our collection, use, and sharing of your personal data.
All requests should include appropriate information to allow us to verify your identity, such as your name, email address, and company name. If we cannot verify your identity, we may request information to allow us to complete the validation process. Personal data provided to us for the purpose of identifying you will be used solely for that purpose.
We do not sell personal data of any California consumers and we do not discriminate against California consumers for exercising their privacy rights.
9. Contact Information
If you have questions regarding this Privacy Notice, or wish to exercise any of the data protection rights outlined above, contact us at [email protected]
Postal addresses of IXOPAY Group entities are listed in Section 1.3.
For processing activities where IXOPAY, Inc. is subject to the GDPR, IXOPAY GmbH acts as EU representative: Vorgartenstraße 206c, A-1020 Vienna, Austria; [email protected]
10. Data security
Information security is critical to our business. We implement appropriate technical and organisational security measures as outlined on our Art 32 GDPR TOMs page, taking into account the state of the art, the costs of implementation and the nature, scope, context and purposes of processing as well as the risk of varying likelihood and severity for the rights and freedoms of natural persons pursuant to Art 32 GDPR and other applicable Data Protection Laws.
For further information on how we ensure that we maintain appropriate technical and organizational measures, please see our Security & Trust page.
11. Amendments of our Privacy Notice
We will amend our Privacy Notice as necessary to reflect changes to the legal landscape as well as the development of our Services and the internet. Amendments will be published on our Website, so you should visit this Privacy Notice regularly to stay informed about the current status.