Internet Explorer: Unsere Empfehlung

×
Sie nutzen noch den Interenet Explorer 11 (IE11) und wir empfehlen Ihnen, bis zum 15. Juni 2022 auf den neuen Browser „Microsoft Edge“ oder eine aktuelle Version eines anderen gängigen Internet-Browsers (Firefox, Chrome, usw.) umzusteigen. Wir folgen damit den Empfehlungen des Unternehmens Microsoft, das ebenfalls schrittweise begonnen hat, die Unterstützung dieser Browserversion einzustellen. Bei Fragen wenden Sie sich bitte an unsere Hotline unter der Telefonnummer 089-38189-421.
CHB_RSW_Logo_mit_Welle_trans
Zeitschrift für Datenschutz | Banner

Datenschutz bei PayPal

Thilo Weichert war von 2004 bis 2015 Leiter des Unabhängigen Landeszentrums für Datenschutz Schleswig-Holstein und arbeitet seitdem u.a. für das Netzwerk Datenschutzexpertise.

ZD 2026, 121   Beim Streben nach digitaler Souveränität in Deutschland und Europa geht es um die Befreiung der Abhängigkeit von den US-Clouds der AWS & Co., von Microsofts Verwaltungssoftware, von Amazons Online-Marktplatz, von Apples und Googles Smartphone-Betriebssystemen uvm. Nur langsam dringt die Abhängigkeit Europas von nicht-europäischen Zahlungsdiensten ins Bewusstsein. Die Platzhirsche des Kreditkartengeschäfts heißen Mastercard und Visa. Das Zahlen mit dem Smartphone wird vom US-amerikanischen PayPal dominiert. In Deutschland bieten 92% der Akzeptanzstellen PayPal als digitale Zahlungsmöglichkeit an. Beim Umsatz im Online-Handel liegt PayPal mit ca. 30% klar an der Spitze.

Während europäische Datenschützer seit Jahrzehnten heftige Gefechte mit den US-amerikanischen IT-Konzernen bei Social Media ausfechten und inzwischen vor Gericht austragen, haben sie sich bisher nicht wesentlich um die US-Dominanz beim digitalen Bezahlen gekümmert. Einen Schrecken bekamen sie, als im August 2025 Millionen PayPal-Nutzerdaten im Darknet zum Verkauf standen und kurz danach von PayPal initiierte Lastschriften wegen Betrugs- und Missbrauchsverdacht im zweistelligen Milliarden-Euro-Bereich gestoppt werden mussten.

Gutachten über schlechten Datenschutz

Wieder kurz danach veröffentlichte das Netzwerk Datenschutzexpertise ein 50-seitiges Gutachten zum „Datenschutz bei PayPal“ (https://www.netzwerk-datenschutzexpertise.de/dokument/finanzdatenschutz), das zu wenig schmeichelhaften Ergebnissen kommt: „Die Information der Betroffenen über Zwecke, Rechtsgrundlagen, Datenempfänger und über die genutzten automatisierten Entscheidungsverfahren ist ungenügend und verstößt gegen Art. 13 DS-GVO. Der konzerninterne _£Datenaustausch ist intransparent; die rechtlichen Grundlagen hierfür sind nicht ersichtlich. PayPal verleugnet entgegen den Vorgaben der DS-GVO seine gemeinsame datenschutzrechtliche Verantwortlichkeit im Hinblick auf die Datenverarbeitung bei den Zahlungsempfängern (Verkäufern), den eingebundenen Banken und Konzernunternehmen. Die nach Art. 26 DS-GVO geforderte Transparenz zu den in gemeinsamer Verantwortlichkeit geführten Verfahren wird nicht hergestellt. Soweit Einwilligungen eingeholt werden, entsprechen diese nicht den rechtlichen Anforderungen (Art. 7 DS-GVO), schon gar nicht an eine, ausdrückliche Einwilligung`. Dies gilt für die Verarbeitung von sensitiven Daten, für die Cookie-Nutzung und die Nutzung für Marketing- bzw. Werbezwecke. Der Schutz von besonderen Kategorien personenbezogener Daten, etwa von Gesundheitsdaten, sowie von Berufsgeheimnissen ist nicht gewährleistet (Art. 9 DS-GVO, § 203 StGB).“

PayPal hüllt sich in Schweigen

Die Bitte von Fachmedien um inhaltliche Stellungnahme hierzu ließ PayPal unbeantwortet. Die Reaktion beschränkte sich auf die Erklärung, das Unternehmen nehme den Datenschutz ernst, und später wies es die Vorwürfe pauschal zurück. Eine Datenschutzdiskussion über PayPal sollte dessen Weihnachtsgeschäft nicht beeinträchtigen. PayPal nahm kurzfristig seine Datenschutzerklärung, auf die sich das Gutachten des Netzwerks Datenschutzexpertise wesentlich berief, von seiner Webseite. Diese wurde erst wieder online gestellt, nachdem sich gezeigt hatte, dass die Tagespresse die Gutachtenveröffentlichung nicht aufgegriffen hatte. Das Unternehmen änderte zudem umgehend eine Voreinstellung bei der Eröffnung eines PayPal-Accounts: Sang- und klanglos verschwand dort die bisher vorangekreuzte Einwilligung in die Werbenutzung. Zu offensichtlich unzulässig war diese - technisch leicht zu beseitigende - Praxis.

Das Wegducken von PayPal in Sachen Datenschutz hatte sich für die Gutachtenautoren abgezeichnet: Ihr im September analog per Post sowie digital versandter umfangreicher Fragenkatalog mit 23 Themen blieb weitgehend ohne Antwort: Da die digitale Kontaktaufnahme mit dem bei PayPal zuständigen Datenschutzverantwortlichen nur über einen Nutzer-Account angeboten und deren Umfang begrenzt war, bedurfte es mehrerer hintereinander geschalteter Anfragen, um sämtliche 23 Themen zu adressieren. Verblüffend war, dass die erste Fragerunde innerhalb von wenigen Stunden über den eingerichteten Account beantwortet wurde. Diese Antwort enthielt grammatikalische Fehler und englische sowie falsche Fachbegriffe. Dies nährt die Vermutung, dass hier kein „Datenschützer aus Fleisch und Blut“ tätig war, sondern sog. Künstliche Intelligenz. Die Hoffnung auf weitere Antwortbrocken erwies sich als unbegründet. Offenbar hatte dann ein Mensch die weitere KI-Beantwortung abgeschaltet. Seitdem herrscht Sendepause.

Wer bisher auch nicht liefert, sind die Datenschutzaufsichtsbehörden. Für die gemäß der DS-GVO federführend zuständige Behörde - die Nationale Kommission für den Datenschutz in Luxemburg (Commission Nationale pour la Protection des Données - CNPD) - ist PayPal bisher offenbar kaum ein Thema: In ihren jährlichen Tätigkeitsberichten findet sich zu diesem weltweit tätigen Datenverarbeiter nichts. Die Webseite der CNPD weist lediglich darauf hin, dass sie die Binding Corporate Rules (BCRs) des Konzerns genehmigt habe. In Deutschland hatte PayPal bis Ende 2025 seinen Sitz in Brandenburg. Die dortige Landesbeauftragte für Datenschutz teilt zumindest mit, dass sich die Zahl der Eingaben zu dem Unternehmen jährlich im mittleren zweistelligen Bereich bewegt. Diese würden nach Luxemburg zur weiteren Bearbeitung weitergegeben. So vermitteln die Publikationen der Aufsichtsbehörden den Eindruck, dass es sich bei PayPal um ein aus Datenschutzsicht geradezu vorbildliches Unternehmen handelt.

Finanzdaten sind hochsensibel

Dieser Eindruck steht im diametralen Widerspruch zum Gutachten der kleinen Nichtregierungsorganisation: Das weltweit tätige Unternehmen mit 434 Mio. Nutzenden, das mit über 100 unterschiedlichen Währungen hantiert und dabei im Jahr 2024 1,68 Bio. USD umgesetzt hat, schert sich nicht um den Datenschutz seiner Kunden und auch nicht um europarechtliche Vorgaben. Zwar widmet PayPal dem Datenschutz viel Text. Darin genehmigt sich das Unternehmen aber alles, was Profit bringt und Verluste vermeidet. Der Katalog der erfassten Daten umfasst gänzlich, was iRd Finanztransaktionen anfallen könnte, nicht nur Zahlung und Zahlungsempfänger, sondern das erworbene Produkt und was sonst zum Kunden in Erfahrung gebracht werden kann, vom Standort über Gerätedaten bis hin zu Konsum- und Bonitätsprofilen.

Zwecks Abwicklung seiner Geschäfte lässt sich PayPal den weltweiten Datenaustausch mit sämtlichen Konzernunternehmen genehmigen, ohne offenzulegen, um welche es sich handelt, natürlich mit Banken und technischen Dienstleistern, mit Kreditschutzunternehmen, Facebook, Google und sonstigen Datenvermarktern. Welche Daten des Kunden wo für welche Zwecke landen - darum geht es bei informationeller Selbstbestimmung -, bestimmt PayPal und behält es für sich.

Dafür erteilt sich das Unternehmen im Kleingedruckten und dort gut verteilt „ausdrückliche Einwilligungen“. Auch in den Kontoeinstellungen sind diese gut versteckt und bleiben ein Rätsel: Wofür die schwarz bzw. grau gefärbten Schiebereinstellungen stehen, ist unklar und mehr Glücksspiel als Datenschutz. Besonders brisant ist die unbeantwortete Frage, welche Daten wie zweckfremd genutzt werden: Digitale Zahlungen verdrängen immer mehr das anonyme Bargeld. Dadurch erhalten die eingeschalteten Zahlungsdienstleister ein präzises Bild frei Haus davon geliefert, wo sich Menschen wann aufgehalten haben und für was sie wie viel bezahlt haben. Spenden für politische Parteien, die Beschaffung von erotischem Spielzeug, der Erwerb von Arzneimitteln und der von Büchern oder frischen Brötchen usw alles gespeichert. Für die Abwicklung der finanziellen Transaktionen ist dies kurzfristig auch in Ordnung, die jahrelange Aufbewahrung dieser Daten und Nutzung für Werbezwecke oder gar für die an die Zahlungsfähigkeit angepasste individuelle Preisgestaltung aber wohl nicht.

Der Irrtum über das Bankgeheimnis

Das Gutachten des Netzwerks Datenschutzexpertise kann nur der Auftakt sein für ein größeres Reinemachen: PayPal ist ein Beispiel von vielen. Was andere Unternehmen, etwa Visa oder Mastercard, mit ihrem Schatz der Transaktionsdaten machen, ist ebenso nicht bekannt. Es ist zu wünschen, dass Datenschutzaufsicht und Verbraucherschutz diesen Fragen künftig näher nachgehen. Es verwundert, dass dies bis heute ein weitgehend blinder Fleck geblieben ist.

Diese Unkenntnis mag auf ein weit verbreitetes Vertrauen in die Finanzwirtschaft zurückgehen: Solange die Finanzdaten in den Tresoren der einheimischen Banken und Sparkassen verwahrt sind, meinen die Menschen diese in vertrauenswürdigen - vom Bankgeheimnis geschützten - Händen. Die Digitalisierung des Zahlungsverkehrs im Internet sowie vor Ort am Point-of-Sale und die Einschaltung von Intermediären hat schon längst zum Systemwechsel geführt.

Naives Vertrauen besteht nicht nur in der Öffentlichkeit allgemein. Es scheint auch bei denen zu herrschen, die es - berufshalber - besser wissen müssten. Die nicht zutreffende Annahme, das Bankgeheimnis habe eine gesetzliche Grundlage, ist weit verbreitet. Tatsächlich handelt es sich hierbei - abgesehen von wenigen Spezialitäten - um nichts anderes als ein vertragliches Vertraulichkeitsversprechen. Welche weiten Auslegungen die Vertragsgestaltungen nehmen können, führt PayPal vor.

Die Unkenntnis beim Bankgeheimnis ist gepaart mit der weit verbreiteten Unkenntnis vom Datenschutz bei Zahlungsdienstleistern. Die hierfür einschlägige europäische Richtlinie - die zweite Payment Services Directive (PSD2) - ist der Fachwelt aus Sicherheitsgründen vertraut, etwa wenn es um die Zweifaktor-Authentifizierung geht. Tatsächlich ist die PSD2 und deren nationalgesetzliche Umsetzung im Zahlungsdiensteaufsichtsgesetz (ZAG) auch eine Spezifizierung der uns wohl bekannten DS-GVO.

Souveränität bei Finanzdaten

Der Hauptgrund dafür, dass ZAG und DS-GVO im Finanzsektor mehr Aufmerksamkeit verdienen, liegt darin, dass sich hier immer mehr US-amerikanische und jüngst auch chinesische Unternehmen tummeln. Diese sind dafür bekannt, europäische Normen zu missachten. Aufsicht und Verbraucherorganisationen sollten damit beginnen, diese Regeln ebenso im Finanzbereich durchzusetzen. Auch den Verbrauchern, wenn sie schon digital bezahlen wollen, sollte Souveränität ein Anliegen sein, nicht zuletzt, um zu verhindern, dass ihre Daten im Einflussbereich von Trump oder Xi landen. Zu PayPal steht als europäische Alternative Wero am Start und mittelfristig gar ein digitaler Euro. Mit der Nutzung europäischer Alternativen tun die Verbraucher auch den Händlern einen Gefallen, zumal deren Gebühren - bei PayPal mit ca. 2,5% des Umsatzes - exorbitant hoch sind. Letztlich sollte es aber nicht nur um ökonomische, sondern auch um freiheitlich und demokratisch kontrollierte Souveränität über die eigenen Daten gehen.

Anzeigen:

 

beck-online DatenschutzR

Teilen:

Menü