PayPal steht wegen massiver Datenschutzverstöße in der Kritik. Der Bezahldienst gibt persönliche Finanzdaten seiner Nutzer ohne ausreichende Rechtsgrundlage an Hunderte Werbenetzwerke weiter. Eine aktuelle Studie des Netzwerks Datenschutzexpertise belegt: Die Praktiken verstoßen gegen die DSGVO – und betreffen allein in Deutschland 30 Millionen Menschen.
PayPal wirbt auf seiner Website mit Sicherheit und Datenschutz. Doch die Realität sieht ganz anders aus. Eine Untersuchung des Netzwerks Datenschutzexpertise offenbart gravierende Missstände: Der US-Konzern teilt hochsensible Finanzdaten seiner Kunden mit über 600 externen Unternehmen. Darunter Tech-Giganten wie Facebook, TikTok und Google, aber auch unzählige weniger bekannte Werbefirmen und Tracking-Dienste.
Welche Daten werden weitergegeben?
Die Weitergabe beschränkt sich nicht auf harmlose Informationen. PayPal übermittelt detaillierte Einblicke in das Finanzleben seiner Nutzer:
- Komplette Kaufhistorien mit genauen Angaben zu erworbenen Produkten und Dienstleistungen
- Transaktionsdaten inklusive Zahlungsbeträgen und Zeitpunkten
- Finanzielles Verhalten wie Zahlungsfrequenz und bevorzugte Einkaufskategorien
- Geräteinformationen und Standortdaten beim Bezahlvorgang
Aus diesen Informationen lassen sich erschreckend präzise Profile erstellen. Wer regelmäßig bei Apotheken-Onlineshops zahlt, könnte als gesundheitlich angeschlagen gelten. Wer Kredite aufnimmt oder Inkassodienste nutzt, offenbart finanzielle Schwierigkeiten. Käufe bei Dating-Plattformen, in Sex-Shops oder für Alkohol – all das erfassen die Werbenetzwerke und nutzen es für gezielte Werbung.
Consent Management als Täuschungsmanöver
Besonders problematisch: PayPal versteckt die Datenweitergabe hinter sogenannten „berechtigten Interessen“. Diese Rechtsgrundlage ist in der DSGVO zwar vorgesehen, darf aber nur in engen Grenzen angewendet werden – insbesondere nicht für hochsensible Finanzdaten. Eine explizite Einwilligung der Nutzer liegt nicht vor.
Stattdessen präsentiert PayPal beim Login ein sogenanntes Consent Management System, bei dem bereits 593 Partner vorausgewählt sind. Wer dem widersprechen möchte, muss jeden einzelnen Partner manuell abwählen. „Sich durch diese Liste zu klicken dauert über eine Stunde“, kritisiert das Netzwerk Datenschutzexpertise. Die meisten Nutzer kapitulieren vor dieser mühsamen Aufgabe – genau darauf scheint PayPal zu setzen.
Diese Praxis verstößt gegen grundlegende Datenschutzprinzipien. Die DSGVO schreibt vor, dass Einwilligungen freiwillig, spezifisch und unmissverständlich sein müssen. Ein System, das Nutzer durch schiere Komplexität zur Zustimmung drängt, erfüllt diese Anforderungen nicht.
Fragwürdige Rechtsgrundlage
Die europäische Datenschutz-Grundverordnung erlaubt die Verarbeitung sensibler Daten auf Basis „berechtigter Interessen“ nur unter strengen Bedingungen. Bei Finanzdaten – die zu den besonders schützenswerten Informationen zählen – ist die Hürde besonders hoch. Die Interessen des Unternehmens dürfen die Rechte der Betroffenen nicht überwiegen.
PayPal argumentiert, die Datenweitergabe diene der „Verbesserung des Service“ und der „Betrugsprävention“. Doch die Realität entlarvt diese Begründung als vorgeschoben: Die 600 Partner-Unternehmen nutzen die Informationen vorrangig für personalisierte Werbung und Tracking. Mit Betrugsbekämpfung hat das wenig zu tun. Für diese Zwecke wäre auch keine Weitergabe an Social-Media-Plattformen und Werbedienstleister erforderlich.
PayPal nimmt Stellung
Auf Anfrage äußert sich eine PayPal-Sprecherin zu den Vorwürfen: „Wir sind uns des Gutachtens bewusst und prüfen es derzeit eingehend. Die Einhaltung der EU-Datenschutzanforderungen ist für uns sowohl für die Entwicklung als auch den Betrieb unserer Produkte von zentraler Bedeutung, um ein qualitativ hochwertiges Erlebnis und Sicherheit im Zahlungsverkehr für unsere Kund:innen sicherzustellen.“
Diese Stellungnahme bleibt allerdings vage. Konkrete Angaben dazu, wie PayPal die massenhaften Datenweitergaben rechtfertigen will oder ob Änderungen geplant sind, fehlen. Die Formulierung klingt eher nach Standardkommunikation als nach echter Auseinandersetzung mit den Vorwürfen.
Millionen Deutsche betroffen
In Deutschland nutzen rund 30 Millionen Menschen PayPal – viele davon täglich für Online-Einkäufe. Die meisten dürften nicht ahnen, dass ihre Finanzdaten als Währung im digitalen Werbegeschäft dienen. Besonders brisant: Auch Minderjährige können PayPal-Konten nutzen. Ihre Kaufgewohnheiten landen ebenfalls in den Datenbanken der Werbeindustrie.
Die irische Datenschutzbehörde DPC, die für PayPal Europe zuständig ist, hat die Beschwerde des Netzwerks Datenschutzexpertise bestätigt und ein Verfahren eingeleitet. Allerdings ist Irland für seine zurückhaltende Durchsetzung des Datenschutzes bekannt. Kritiker werfen der Behörde vor, Tech-Konzerne zu schonen, um den attraktiven Wirtschaftsstandort nicht zu gefährden. Ob und wann ernsthafte Konsequenzen folgen, bleibt daher fraglich.
Was Nutzer jetzt tun können
Wer seine Daten schützen will, sollte aktiv werden. In den PayPal-Einstellungen unter „Cookies und Datenschutzeinstellungen“ lässt sich die Weitergabe an Partner einschränken – allerdings nur mit erheblichem Zeitaufwand. Jeder der fast 600 Partner muss einzeln abgewählt werden. Vollständig verhindern lässt sich die Datensammlung nur durch den Verzicht auf PayPal.
Alternativ können Betroffene Beschwerde bei den Datenschutzbehörden einreichen. Das Recht auf Auskunft nach DSGVO erlaubt zudem, bei PayPal eine Übersicht sämtlicher gespeicherter Daten anzufordern – inklusive der Information, an welche Partner sie weitergegeben wurden.
Der Fall zeigt einmal mehr: Datenschutz-Versprechen großer Tech-Konzerne und die Realität klaffen oft weit auseinander. Solange Behörden nicht konsequent durchgreifen, bleibt der Schutz persönlicher Daten Aufgabe jedes Einzelnen. Kritisches Bewusstsein und aktive Gegenwehr sind unverzichtbar.
