23.04.2022 - Von Dennis Keke
Der Bezahldienst PayPal ist vor allem im digitalen Zahlungsverkehr heutzutage nicht mehr wegzudenken. Egal, ob es um den Kauf des neuen Paars Schuhe, die Bestellung des Tickets für das nächste Konzert oder den Online-Nachhilfe-Unterricht geht: Immer öfter kommt PayPal als Bezahlmethode zum Einsatz. Hierbei spielt es keine Rolle, ob eine Transaktion zwischen einem Privaten und einem Händler oder nur zwischen Privaten abgewickelt wird. PayPal scheint in beiden Konstellationen ein gleichermaßen beliebtes Zahlungsmittel zu sein.
Doch wie geht PayPal mit den, an vielen Stellen sensiblen, Daten seiner Kunden um? Schließlich weiß PayPal so einiges über seine Kunden. Dieser Artikel soll diesbezüglich etwas Licht ins Dunkel bringen.
Laut der Datenschutzerklärung von PayPal sammelt das Unternehmen neben Informationen zur Registrierung und Nutzung auch Transaktions- und Erfahrungsdaten. Während ersteres unauffällig und nicht zu beanstanden ist, da ohne das Erfassen dieser Daten der Abschluss eines Registrierungsprozesses nicht möglich wäre, muss einem in Bezug auf die erfassten Transaktions- und Erfahrungsdaten klar sein, dass PayPal diesbezüglich schon einiges über den Nutzer in Erfahrung bringt. In der Datenschutzerklärung von PayPal heißt es hierzu:
"[...] Wenn Sie unsere Dienste nutzen oer auf unsere Seiten zugreifen, z.B. um bei Händlern einzukaufen, Geld zu erhalten, Zahlungen abzuwickeln oder Geld an Freunde und Familien zu senden, erheben wir Informationen über die Transaktion sowie andere mit der Transaktion verbundene Informationen, wie z.B. den gesendeten oder angeforderten Betrag, den für Produkte oder Dienstleistungen gezahlten Betrag, Informationen über den Händler, einschließlich Informationen über die zur Durchführung der Transaktion verwendeten Zahlungsmittel, Geräteinformationen, technische Nutzungsdaten und Geolokationsdaten. [...]"
Es versteht sich von selbst, dass PayPal diejenigen Daten erfasst, die im Zusammenhang mit der Transaktion als solcher stehen. Hierzu gehört insbesondere der Zahlbetrag, um den es geht. Auch gehören in diese Kategorie Informationen über das verwendete Zahlungsmittel, das der Nutzer in PayPal verwendet. Auffälliger sind an dieser Stelle jedoch die ebenfalls erfassten Erfahrungsdaten. Zu diesen gehören Geräteinformationen, technische Nutzungsdaten und Geolokationsdaten.
Geräteinformationen definiert PayPal selbst als:
"[...] Daten, die automatisch von einem beliebigen Gerät erhoben werden können, das für den Zugriff auf die Seite oder Dienste verwendet wird. Zu diesen Daten gehören unter anderem Ihr Gerätetyp, die Netzwerkverbindungen Ihres Geräts, Name und IP-Adresse Ihres Geräts, Informationen zum Webbrowser Ihres Geräts und zur Internetverbindung, mit denen Sie auf die Seite oder Dienste zugreifen, Geolokationsdaten, Informationen zu Apps, die auf Ihr Gerät heruntergeladen wurden, sowie biometrische Daten. [...]"
Auffällig ist hierbei zunächst, dass Geolokationsdaten gesammelt werden. Dies bedeutet, dass PayPal, wenn der Nutzer dessen Dienste nutzt, stets bemüht sein wird, den Standort des Nutzers so konkret wie möglich herauszufinden. Insbesondere in Bezug auf die Nutzung der PayPal-App auf Smartphones führt dies dazu, dass eine Lokalisierung des Nutzers leicht möglich ist. Hinzu kommt jedoch, dass über diese Informationen hinaus auch Informationen zu Apps, die der Nutzer auf sein Gerät herunterlädt, gesammelt werden. Hier stellt sich die Frage, inwiefern diese Informationen erforderlich sind, damit PayPal seine Dienste erbringen kann. Es wird PayPal bei diesen Daten vielmehr darum gehen, möglichst viel über seine Nutzer in Erfahrung zu bringen. Bei biometrischen Daten (beispielsweise dem Fingerabdruck oer dem Gesicht des Nutzers) ist es nachvollziehbar, dass diese von PayPal erfasst werden, da ohne das Erfassen dieser Daten beispielsweise das Entsperren beispielsweise mittels Touch- oder Face-ID unter dem Mobil-Betriebssystem iOS nicht möglich wäre.
Auch der Umstand, dass PayPal wissen möchte, welche Apps der Nutzer auf sein Gerät heruntergeladen hat, zeigt, dass PayPal so viel wie möglich über den Nutzer in Erfahrung bringen möchte. PayPal möchte also sämtliche Apps kennen, die der Nutzer auf seinem Smartphone installiert hat.
Technische Nutzungsdaten, die von PayPal auch gesammelt werden, definiert PayPal selbst als:
"[...] Daten, die wir von Ihrem Telefon, Computer oder anderen Geräten erheben, die Sie für den Zugriff auf die Seiten oder Dienste nutzen. Technische Nutzungsdaten geben uns Aufschluss darüber, wie Sie die Seiten und Dienste verwenden, beispielsweise wonach Sie gesucht und was Sie auf den Seiten angesehen haben. Auch Ihre IP-Adresse, Statistiken dazu, wie Seiten geladen oder angezeigt werden, welche Websites Sie vor dem Aufruf unserer Seiten besucht haben und andere durch Cookies erfasste Nutzungs- und Browsing-Informationen zählen zu diesen Daten. [...]"
Nachvollziehbar ist an dieser Stelle noch, dass PayPal das Nutzerverhalten auf den Seiten von PayPal bzw. in dessen App analysiert. Das Sammeln solcher Telemetriedaten dient regelmäßig dem Zweck, die eigenen Produkte und Dienstleistungen zu verbessern. Dem Nutzer muss jedoch auch klar sein, dass über diese Informationen hinaus auch erfasst wird, welche Websites der Nutzer vor dem Aufruf der Paypal-Website besucht hat. Hat sich der Nutzer beispielsweise vor dem Besuch der PayPal-Website auf der Website seiner Hausbank aufgehalten, weiß PayPal dies.
Laut Datenschutzerklärung wird PayPal auch Informationen über andere Transaktionsbeteiligte sammeln, wenn der Nutzer über PayPal Geld sendet oder anfordert oder seinem Konto Guthaben hinzufügt. Überweist der Nutzer zum Beispiel von dem Girokonto seiner Hausbank Geld auf seine digitale PayPal-Wallet, so wird PayPal in Erfahrung bringen, dass der Nutzer ein Girokonto beispielsweise bei der Sparkasse unterhält. Auch die Kontodaten des Nutzers wird PayPal in diesem Fall in Erfahrung bringen. Da PayPal diese Informationen jedoch bei diesen Vorängen zwangsläufig benötigt, ist es nicht zu beanstanden, dass PayPal diese Daten sammelt.
In sonstiger Hinsicht erfasst PayPal die Daten des Nutzers dann, wenn letzterer Informationen zu seinem öffentlichen Profil oder zu seinen Freunden und Kontakten hinzufügt. Auch sammelt PayPal diejenigen Daten, die im Zusammenhang mit der sonstigen Nutzung der Websites und Dienste von PayPal (Telemetriedaten) anfallen oder die von Dritten wie Händlern und Kreditauskunfteien an PayPal weitergegeben werden.
In seiner Datenschutzerklärung gibt PayPal ausdrücklich auch an, Daten beispielsweise von Datenanbietern zu erhalten. Dies sind regelmäßig Händler, die personenbezogene Daten von Menschen zu Werbezwecken weiterverkaufen.
PayPal verwendet die erfassten Daten zunächst zum Betreiben der Seiten und zur Bereitstellung der Dienste. Hierunter fasst PayPal auch, dass das Nutzerverhalten analysiert und Recherchen über die Verwendung der PayPal-Dienste (Telemetrie) durchgeführt werden. Wortwörtlich heißt es in der Datenschutzerklärung von PayPal hierzu:
"[...] Zum Beispiel analysieren wir das Nutzerverhalten und führen Recherchen über die Verwendung unserer Dienste durch. [...]"
PayPal verwendet die Daten außerdem, um Betrug und Missbrauch der PayPal-Dienste aufzudecken und zu verhindern.
Ferner verwendet PayPal die Daten, um die Verpflichtungen zu erfüllen, denen PayPal unterliegt. Außerdem will PayPal die Daten auch zur Durchsetzung der Bedingungen der PayPal-Seiten und -Dienste verwenden.
Des Weiteren spricht PayPal auch davon, dass Daten zur Wahrnehmung der berechtigten Interessen von PayPal verarbeitet werden. Hieunter fällt laut PayPal insbesondere auch, dass anonymisierte personenbezogene Daten in Form zusammengefasster Statistikdaten an Dritte weitergegeben werden, um zu ermitteln, wie, wann und warum PayPal-Kunden auf die PayPal-Seiten zugreifen und die PayPal-Dienste nutzen. Wortwörtlich heißt es insofern in der PayPal-Datenschutzerklärung:
"[...] Zur Wahnehmung unserer berechtigten Interessen [verarbeitet PayPal personenbezogene Daten, Anmerkung des Verfassers], einschließlich Anonymisieren personenbezogener Daten, um zusammengefasste Statistiken an Dritte, einschließlich anderer Unternehmen und der Öffentlichkeit, weitergeben zu können, aus denen hervorgeht, wie, wann und warum PayPal-Kunden auf unsere Seiten zugreifen und unsere Dienste nutzen; [...]".
Beispiel 1: Wenn PayPal dies wünscht, kann es Daten über das Nutzerverhalten erfassen, um diese Daten an das Unternehmen Google weitergeben zu können, damit PayPal erfährt, wie, wann und warum PayPal-Kunden auf die PayPal-Seiten zugreifen und die Dienste nutzen. Google wird dann die Daten entsprechend auswerten.
PayPal nutzt die erfassten Nutzerdaten ferner für personalisierte Anzeigen, Funktionen und Angebote auf Websites Dritter. Hierzu schreibt PayPal:
"[...] Zur Wahrnehmung unserer berechtigten Interessen [verarbeitet PayPal personenbezogene Daten, Anmerkung des Verfassers], einschließlich Bereitstellung personalisierter Dienste (auch als interessenbasierte Werbung bezeichnet) durch PayPal über Websites Dritter und Onlinedienste. Wir können Sie betreffende personenbezogene Daten und sonstige Informationen, die wir gemäß dieser Datenschutzerklärung erhoben haben, nutzen, um Ihnen personalisierte Anzeigen, Funktionen oder Angebote auf Websites von Dritten bereitzustellen. [...]".
Beispiel 2: PayPal erkennt aufgrund des Kaufverhaltens eines Nutzers und den daraus resultierenden Nutzungsdaten im Zusammenhang mit PayPal-Zahlungen, dass sich dieser Nutzer für Reitsport interessiert. PayPal kann somit auf Websites Dritter, von denen PayPal weiß, dass sich der Nutzer dort aufhält, gezielt Werbung für Reitsportartikel schalten.
Für die Schaltung bestimmter weiterer interessenbasierter Werbung holt PayPal die Zustimmung des Nutzers ein. Dies gilt auch für Cookies und andere Nachverfolgungstechnologien. Auch wird PayPal eine Zustimmung des Nutzers einholen, um diesem ortsspezifische Funktionen und Angebote bereitzustellen. Auch werden personenbezogene Daten des Nutzers dann verarbeitet, wenn der Nutzer eine Anfrage an das Kundenservice-Team gerichtet hat, um den Nutzer wegen dieser Anfrage kontaktieren zu können.
Es fällt somit auf, dass PayPal personenbezogene Daten des Nutzers teilweise nur mit Einwilligung des Nutzers zur Schaltung interessenbasierter Werbung nutzt, teilweise eine solche Datenverarbeitung jedoch auf seine berechtigten Interessen stützt. Aus der Datenschutzerklärung geht indes nicht hervor, wann was von beidem konkret der Fall ist.
PayPal erläutert in seiner Datenschutzerklärung auch konkret, an wen personenbezogene Daten zu welchem Zweck weitergegeben werden. Zunächst behält sich PayPal vor, diese Daten an andere Mitglieder der PayPal-Unternehmensgruppe weiterzugeben. Dies erfolgt, um unter Anleitung und im Auftrag von PayPal Dienstleistungen und Funktionen zu erbringen. PayPal sagt hierzu selbst in seiner Datenschutzerklärung:
"[...] Diese Drittanbieter stellen Ihnen beispielsweise Dienste bereit, verifizieren Ihre Identität, unterstützen uns bei der Verarbeitung von Transaktionen, senden Ihnen Werbung für unsere Produkte und Dienste oder bieten Kundenservice. [...]".
Auch erfolgt eine Weitergabe der Nutzerdaten an andere Finanzinstitute, mit denen PayPal eine Partnerschaft eingegangen ist, um gemeinsame Produkte zu entwickeln und anzubieten. PayPal stellt indes klar, dass ohne die ausdrückliche Einwilligung des Nutzers diese Finanzinstitute die Informationen nur dazu verwenden dürfen, um PayPal-Produkte zu vermarkten und anzubieten.
Letztlich gibt PayPal personenbezogene Daten des Nutzers und auch andere Informationen über den Nutzer weiter, wenn dieser hierin eingewilligt oder PayPal dazu entsprechend angewiesenhat.
Ferner behält sich PayPal auch vor, zusammengefasste statistische Daten über die Art und Weise, die Zeiträume und die Gründe des Besuchs der PayPal-Seiten und der Verwendung der PayPal-Dienste durch Nutzer an Dritte weiterzugeben.
Beispiel 3: Wie bereits in Beispiel 3 angerissen, können die gesammelten Nutzerdaten sodann an Google weitergeben werden. Dies beinhaltet, wie, wann und warum PayPal-Kunden auf die PayPal-Seiten zugreifen und die Dienste nutzen.
Schließlich gibt PayPal Nutzerdaten auch für Marketing-Zwecke an Dritte weiter, die nicht Bestandteil der PayPal-Unternehmensgruppe sind. Hierunter fällt jedes beliebige Drittunternehmen, das interessierenbasierte Werbung schalten möchte. Erforderlich ist hierfür indes die Einwilligung des Nutzers. In der Datenschutzerklärung von PayPal heißt es hierzu:
"[...] Wir geben Ihre personenbezogenen Daten ohne Ihre Einwilligung nicht an Dritte für deren Marketingzwecke weiter. [...]".
Beispiel 4: Willigt der Nutzer hierein ein, darf PayPal die personenbezogenen Daten des Nutzers und auch Nutzerdaten an Google weitergeben, damit Google auf Grundlage dieser Daten interessenbasierte Werbung schalten kann.
PayPal erfasst nicht nur solche Daten, die für den Betrieb von PayPal erforderlich sind, sondern auch solche, die dem Tracking des Nutzerverhaltens und der Feststellung der persönlichen Vorlieben des Nutzers dienen. Auf den Nutzer maßgeschneiderte Werbung spielt PayPal in einigen Fällen auch dann an den Nutzer aus, wenn es den Nutzer zuvor nicht um Erlaubnis gefragt hat, sondern dies vielmehr auf seine berechtigten Interessen stützt. Nutzer von PayPal müssen sich überdies darüber im Klaren sein, dass im Zusammenhang mit PayPal erfasste Daten überdies nicht nur an Unternehmen der PayPal-Unternehmensgruppe, sondern auch an Drittunternehmen übermittelt werden. Diese können die Daten sodann dazu nutzen, um im Auftrag von PayPal Nutzerdaten zu analysieren oder maßgeschneiderte Werbung an den Nutzer auszuspielen. Paypal möchte jedoch ohne Einwilligung des Nutzers keine personenbezogenen Daten zu Marketingzwecke an Dritte weitergeben.