Gutachten: Massive Datenschutzverstöße bei PayPal
PayPal steht erneut in der Kritik. Ein Gutachten wirft dem Dienst massive DSGVO-Verstöße und Datenmissbrauch für Werbezwecke vor.
(Bild: Andreas Floemer / heise medien)
Ein Gutachten des Netzwerks Datenschutzexpertise zeichnet ein düsteres Bild vom Umgang des Bezahldienstleisters PayPal mit Nutzerdaten. Die Experten listen eine Vielzahl von Verstößen gegen die DSGVO und das Zahlungsdiensteaufsichtsgesetz (ZAG) auf. Die zentralen Vorwürfe betreffen eine unzulässige Datenverarbeitung für Werbezwecke und unwirksame Einwilligungen.
Das Netzwerk Datenschutzexpertise begründet seine Untersuchung auch mit dem Status von PayPal als US-Unternehmen, dessen Datenpraktiken potenziell politischem Einfluss ausgesetzt sein könnten. Ein Hauptkritikpunkt der Gutachter ist die Nutzung von Transaktionsdaten für das neue Werbegeschäft „Offsite Ads“. PayPal, das in jüngster Vergangenheit mit Störungen zu kämpfen hatte und Konkurrenz durch die datenschutzfreundlichere europäische Wallet Wero bekommen soll, werte dafür „Kaufdaten aus dem eigenen Netzwerk“ aus, um zielgruppengesteuerte Werbung auf Webseiten Dritter und in Apps auszuspielen.
Laut dem Gutachten (PDF) handelt es sich dabei um eine rechtlich unzulässige Zweckänderung. Das ZAG sehe klar vor, dass Zahlungsdienstleister „die für das Erbringen ihrer Zahlungsdienste notwendigen personenbezogenen Daten nur mit der ausdrücklichen Zustimmung der Zahlungsdienstnutzer abrufen, verarbeiten und speichern“ dürfen. Genau diese Zustimmung holt PayPal laut den Experten jedoch nicht wirksam ein. So sei bei der Einrichtung eines Kontos die Einwilligung zur Werbung voreingestellt, was dem Grundsatz „Privacy by Default“ (Art. 25 DSGVO) widerspreche. Eine wirksame Einwilligung setze aber ein aktives Tun voraus. Die Autoren stellen fest: „Beim Einrichten eines PayPal-Accounts erhält der Kunde keine Information über die Bedeutung der vorangekreuzten Einwilligung. Dies entspricht nicht den Anforderungen an eine informierte (ausdrückliche) Einwilligung.“
Videos by heise
Besonders kritisch bewerten die Experten die Weitergabe von Daten an Dritte. In seiner Datenschutzerklärung verlinkt PayPal auf eine Liste mit rund 600 Unternehmen aus „vielen Staaten der Welt“, an die Daten weitergegeben werden können – darunter Kreditauskunfteien, Marketingfirmen und US-Unternehmen wie Google und Facebook. Für Nutzer sei es unmöglich, nachzuvollziehen, welche Daten an wen fließen. Das Gutachten bemängelt, dass die Liste „für viele Nutzende nicht verständlich“ sei, da sie aktuell nur auf Englisch verfügbar und hinter einem Link mit der „irreführenden Überschrift ‚Hinweis zu Bankvorschriften‘“ versteckt ist.
Eine lange Liste an Rechtsverstößen
Die Liste der im Gutachten festgestellten Verstöße ist lang und betrifft nahezu alle Aspekte der Datenverarbeitung. So sei „die Information der Betroffenen über Zwecke, Rechtsgrundlagen, Datenempfänger, über die konzerninterne Kooperation und über die genutzten automatisierten Entscheidungsverfahren“ ungenügend. Der konzerninterne Datenaustausch wird als intransparent kritisiert, und PayPal verleugne entgegen den Vorgaben der DSGVO seine „gemeinsame datenschutzrechtliche Verantwortlichkeit“ mit Händlern und Banken.
Darüber hinaus seien die eingeholten Einwilligungen auch in weiteren Aspekten rechtlich unwirksam, was insbesondere für die gesetzlich geforderte „ausdrückliche Einwilligung“ bei der Verarbeitung sensibler Daten oder für Werbezwecke gelte. Auch der Schutz von Gesundheitsdaten oder Berufsgeheimnissen sei „nicht gewährleistet“. Kritisiert wird zudem die Speicherdauer, die mit pauschal zehn Jahren nach Vertragsende „das rechtlich zulässige Maß“ überschreite. Schließlich werfen die Gutachter „viele offene Fragen“ bezüglich der grenzüberschreitenden Datenverarbeitung auf und äußern Zweifel, dass die dafür genutzten Regeln (Binding Corporate Rules) den Anforderungen der DSGVO zu genügen.
Thilo Weichert vom Netzwerk Datenschutzexpertise kommentiert die Ergebnisse scharf: „US-BigTechs stehen zu Recht wegen ihrer aggressiven und rechtswidrigen Datenverarbeitung in der öffentlichen Kritik. Es ist erschreckend, dass PayPal bisher unter dem öffentlichen Radar geblieben ist. Dies muss sich ändern, insbesondere nachdem der Finanzdienstleister seit Frühjahr 2025 massiv ins Werbegeschäft eingestiegen ist und sensible Zahlungsdaten von Verbrauchern hierfür zweckentfremdet.“ Die Aufsichtsbehörden hätten sich bisher nicht ausreichend gekümmert. Auf eine Bitte um Stellungnahme hat PayPal bisher nicht reagiert. Die Autoren hatten PayPal mit einem umfassenden Fragenkatalog konfrontiert, jedoch wurden – trotz weiterer Nachfrage – nur wenige Fragen beantwortet.
Paypal prüft Gutachten
Paypal prüft das Gutachten derzeit, wie eine Anfrage von heise online ergeben hat. „Wir sind uns des Gutachtens bewusst und prüfen es derzeit eingehend. Die Einhaltung der EU-Datenschutzanforderungen ist für uns sowohl für die Entwicklung als auch den Betrieb unserer Produkte von zentraler Bedeutung, um ein qualitativ hochwertiges Erlebnis und Sicherheit im Zahlungsverkehr für unsere Kund:innen sicherzustellen,“
(mack)
