Persönliche Finanzdaten: Paypal geht lax mit dem Datenschutz um
Der Zahlungsdienstleister Paypal verstößt einem Gutachten zufolge in mehrfacher Hinsicht gegen die Vorgaben des Datenschutzes. So sei unter anderem der Schutz von besonders sensitiven Daten wie Gesundheitsdaten und Berufsgeheimnissen nicht gewährleistet, heißt es in der 55-seitigen Analyse(öffnet im neuen Fenster) (PDF) des Netzwerks Datenschutzexpertise. Zudem liege für die Verarbeitung solcher Daten nicht die erforderliche Einwilligung der Nutzer vor, schreiben die Datenschutzexperten Karin Schuler und Thilo Weichert.
Den wenigsten der 35 Millionen deutschen Nutzer dürfte klar sein, welche Daten Paypal regelmäßig erhebt. Die Liste der Kategorien in der Datenschutzerklärung(öffnet im neuen Fenster) ist lang. Neben den Daten zur Person und zu den Transaktionen umfasst dies auch Gerätedaten. "Zu diesen Daten gehören unter anderem der Typ, die Netzwerkverbindungen, der Name, die IP-Adresse und Informationen zum Webbrowser Ihres Geräts sowie Informationen zur Internetverbindung, mit denen Sie auf die Seiten oder Dienste zugreifen, Geolokalisierungsdaten, Informationen zu Apps, die auf Ihr Gerät heruntergeladen wurden, sowie biometrische Daten."
Aus der Datenschutzerklärung geht nicht hervor, mit welchen Anwendungen welche Daten jeweils erhoben werden. Die Informationen aus Kontaktlisten, die Paypal ebenfalls verarbeitet, lassen sich jedoch nur über die App importieren.
Datenweitergabe an 600 Unternehmen
Das Gutachten verweist darauf, dass Paypal die erhobenen Daten mit rund 600 Unternehmen weltweit teilen könne. Die Liste sei über einen Link mit der irreführenden Überschrift Hinweis zu Bankvorschriften für Nutzer im EWR und in Großbritannien(öffnet im neuen Fenster) zugänglich. Darüber hinaus teilt Paypal die Daten mit berechtigten "Behörden", "anderen Finanzinstitute und Kartennetzwerken", "Betrugsbekämpfungs- und Identitätsprüfungsbehörden", "Inkassobüros" und Auftragsverarbeitern.
Darüber hinaus kooperiert Paypal beim Datenaustausch mit "Partnern und Händlern, deren Dienstanbietern und sonstigen Transaktionsbeteiligten". Paypal kann demnach "Informationen über Sie und Ihr Konto an die anderen Parteien weitergeben, die an der Abwicklung Ihrer Transaktionen beteiligt sind". Dies gelte auch, "wenn Sie mit Werbeanzeigen oder Angeboten interagieren, die wir in Bezug auf einen unserer Partner oder Händler bereitstellen".
Rückschlüsse auf persönliche Vorlieben
Vor allem die Transaktionsdaten können Rückschlüsse auf sehr persönliche Lebensverhältnisse geben. "Spenden für politische, karitative oder religiöse Zwecke, Zahlungen für sexuelle Dienstleistungen, die kostenpflichtige Inanspruchnahme psychologischer, medizinischer, sozialer oder finanzieller Hilfe, das Entgelt für privat- oder gesellschaftsschädlichen Konsum – in all diesen Fällen lassen sich sehr weit gehende Rückschlüsse auf die Persönlichkeit der Betroffenen ziehen", heißt es in dem Gutachten.
Schuler und Weichert verweisen in dem Gutachten darauf, dass Paypal im Frühjahr 2025 sein Portfolio auch in Deutschland erweitert habe. Unter dem Namen Offsite Ads sei ein Werbeangebot für Unternehmen gestartet worden. Werbetreibende sollen darüber "Medienentscheidungen treffen" und ihre Werbung zielgruppengesteuert adressieren können. Die Daten werden laut Paypal anonymisiert und aggregiert. Ziel sei es, "ein handelszentriertes Werbeökosystem zu schaffen, das sowohl Kunden als auch Händlern zugutekommt".
Nutzer müssen aktiv widersprechen
Nutzer können der Nutzung ihrer persönlichen Daten für Werbezwecke in den Einstellungen widersprechen. Unter dem Punkt Daten & Datenschutz gibt es den Unterpunkt Personalisierte Angebote und Werbung. Dort gibt es zwei Schieberegler, um der Verwendung der Daten für personalisierte Werbung durch Paypal oder durch Werbepartner abzulehnen.
Bei Einrichtung eines Paypal-Kontos ist dem Gutachten zufolge die Einwilligung zur Werbung voreingestellt. Dies stehe jedoch im Widerspruch zu Artikel 25 der DSGVO, wonach die Voreinstellung eine im Umfang möglichst geringe Datenverarbeitung vorsehen müsse, was als Privacy by Default bezeichnet wird.
Paypal verweigert Beantwortung von Fragen
Das Gutachten listet neun konkrete Verstöße gegen den Datenschutz auf. Demnach ist die Information der Betroffenen über Zwecke, Rechtsgrundlagen, Datenempfänger und über die genutzten automatisierten Entscheidungsverfahren ungenügend und verstößt gegen Artikel 13 der EU-Datenschutz-Grundverordnung (DSGVO). Soweit Einwilligungen eingeholt würden, entsprächen diese nicht den Anforderungen Artikel 7 der DSGVO, vor allem nicht an eine "ausdrückliche Einwilligung".
Darüber hinaus wirft das Gutachten dem Unternehmen vor, die Daten über das rechtlich zulässige Maß hinaus zu speichern. Bislang räumt sich Paypal ein, die Daten für die Dauer der Vertragsbeziehung und weitere zehn Jahre zu speichern. Die gesetzlichen Fristen liegen den Gutachtern zufolge jedoch nur bei sechs oder acht Jahren. "Sonstige umfangreich bei Paypal gespeicherte Daten (z. B. Werbeprofile, Daten aus Bonitätsprüfungen) müssten unverzüglich nach Wegfall der Erforderlichkeit gelöscht werden", heißt es weiter.
Paypal antwortete den Gutachtern nur sehr knapp auf einen umfangreichen Fragenkatalog. Eine gewährte Fristverlängerung sei verstrichen, ohne dass die Fragen beantwortet worden seien, heißt es.
- Anzeige Hier geht es zu Hacking & Security: Das umfassende Handbuch bei Amazon Wenn Sie auf diesen Link klicken und darüber einkaufen, erhält Golem eine kleine Provision. Dies ändert nichts am Preis der Artikel.