Der US-amerikanische Zahlungsdienstleister Paypal steht in Deutschland unter Druck. Ein aktuelles Gutachten des Netzwerks Datenschutzexpertise offenbart schwerwiegende Verstöße gegen die europäische Datenschutz-Grundverordnung (DSGVO). Besonders im Fokus: die intransparente Verarbeitung personenbezogener Daten, unzureichende Einwilligungen und der weitreichende Austausch mit über 600 Partnerunternehmen weltweit.
Kritik an systematischen Datenschutzverstößen
Die im Gutachten aufgelisteten Verstöße betreffen nahezu alle Bereiche der Datenverarbeitung. So informiert Paypal seine Nutzer nicht ausreichend über die Zwecke der Datennutzung, die zugrundeliegenden Rechtsgrundlagen oder die eingesetzten automatisierten Entscheidungsverfahren – ein klarer Verstoß gegen Artikel 13 DSGVO. Auch der konzerninterne Datenaustausch ist laut den Experten intransparent, die rechtlichen Grundlagen bleiben unklar.
Brisant ist zudem, dass Paypal seine gemeinsame datenschutzrechtliche Verantwortung mit Verkäufern, Banken und Konzernunternehmen offenbar nicht anerkennt. Eine solche Ko-Verantwortung wäre laut Artikel 26 DSGVO verpflichtend und müsste für alle Beteiligten klar erkennbar dokumentiert sein – was nicht der Fall ist.
Gewinnen in der Plattform-Ökonomie
Sensible Daten und undurchsichtige Werbung
Besonders kritisch fällt das Gutachten beim Thema Einwilligung aus. Laut den Verfassern erfüllt Paypal nicht einmal die grundlegenden Anforderungen an eine wirksame Zustimmung gemäß Artikel 7 DSGVO – insbesondere nicht bei der Verarbeitung sensibler Daten. Dazu zählen Informationen zu Gesundheit, psychologischer Betreuung, sexuellen Vorlieben oder der Nutzung finanzieller Hilfsangebote. Diese dürfen laut DSGVO nur mit ausdrücklicher Zustimmung verarbeitet werden – eine solche liegt jedoch nicht vor.
Auch bei Cookies und Marketingzwecken mangele es an Transparenz. Besonders das im Frühjahr gestartete Werbeprogramm „Offsite Ads“ steht in der Kritik. Hier nutzt Paypal Transaktionsdaten für personalisierte Werbung außerhalb der eigenen Plattform – ohne aktive Zustimmung. Die voreingestellte Einwilligung bei Kontoeröffnung genügt rechtlich nicht und stellt nach Einschätzung der Datenschutzexperten eine klare Umgehung der gesetzlichen Anforderungen dar.
Über 600 Partnerunternehmen erhalten Zugriff
Paypal behält sich laut Gutachten das Recht vor, erhobene Daten mit rund 600 Unternehmen weltweit zu teilen – darunter nicht nur Behörden und Finanzinstitute, sondern auch Inkassobüros und Werbepartner. Besonders problematisch: Für Nutzer sei nicht nachvollziehbar, welche Daten an welche Empfänger weitergeleitet werden. Auch die Dauer der Datenspeicherung sei überzogen und überschreite vielfach die zulässige Frist gemäß Artikel 17 DSGVO.
Zudem äußert das Gutachten Zweifel daran, dass die von Paypal genutzten Binding Corporate Rules für die grenzüberschreitende Datenverarbeitung den rechtlichen Vorgaben der EU tatsächlich genügen. Dies sei insbesondere mit Blick auf den Transfer in die USA relevant, wo ein vergleichbares Datenschutzniveau nicht gewährleistet sei.
Politik und Aufsicht gefordert
Datenschützer Thilo Weichert vom Netzwerk Datenschutzexpertise zeigt sich besorgt: Während andere US-Techkonzerne längst im Fokus der öffentlichen Debatte stehen, sei Paypal bislang weitgehend unbeachtet geblieben. Dies müsse sich ändern – nicht zuletzt wegen der hohen Sensibilität von Finanztransaktionsdaten, die tiefgreifende Rückschlüsse auf das Privatleben der Nutzer zulassen.
Das Gutachten kommt zu einem klaren Schluss: Paypal sei ein Beispiel für systemisches Versagen beim Schutz personenbezogener Daten im digitalen Zahlungsverkehr. Weder Aufsichtsbehörden noch Verbraucherorganisationen hätten das Thema bislang angemessen aufgegriffen. Die Autoren fordern daher eine stärkere gesetzliche Regulierung und vor allem eine strikte Trennung zwischen Zahlungsdaten und deren Nutzung für andere kommerzielle Zwecke wie Werbung.
Paypal teilte mit, man prüfe das Gutachten. Laut Golem seien Frage der Autoren jedoch nur sehr knapp oder gar nicht beantwortet worden.
