Werbung
Ein Gutachten des Netzwerks Datenschutzexpertise wirft dem Zahlungsdienstleister Paypal zahlreiche Verstöße gegen datenschutzrechtliche Vorgaben vor. In der 55 Seiten umfassenden Analyse kommen die Autoren zu dem Ergebnis, dass insbesondere der Umgang mit sensiblen Daten nicht den Anforderungen der Datenschutz-Grundverordnung entspricht. Kritisiert wird unter anderem, dass für die Verarbeitung besonders schutzwürdiger Informationen wie Gesundheitsdaten oder Daten aus Berufsgeheimnissen keine wirksame Einwilligung der Nutzer vorliege und geeignete Schutzmechanismen fehlten.
Nach Einschätzung der Gutachter ist vielen der rund 35 Millionen Nutzerinnen und Nutzer in Deutschland nicht bewusst, in welchem Umfang Paypal Daten erhebt und verarbeitet. Die Datenschutzerklärung listet eine Vielzahl von Datenkategorien auf, darunter personenbezogene Stammdaten, detaillierte Transaktionsinformationen sowie umfangreiche Gerätedaten. Erfasst werden unter anderem Gerätetyp, IP-Adresse, Netzwerkverbindungen, Browserinformationen, Angaben zur Internetverbindung, Geolokalisierungsdaten, Informationen über installierte Apps und biometrische Merkmale.
Ein weiterer Schwerpunkt des Gutachtens liegt auf der Weitergabe der erhobenen Informationen. Paypal behält sich vor, Nutzerdaten mit rund 600 Unternehmen weltweit zu teilen. Die entsprechende Empfängerliste ist über einen externen Verweis zugänglich und umfasst neben Geschäftspartnern auch Behörden, Finanzinstitute, Kartennetzwerke, Betrugspräventions- und Identitätsprüfstellen, Inkassodienstleister sowie weitere Auftragsverarbeiter. Darüber hinaus können Daten an Partner, Händler und weitere an Transaktionen beteiligte Stellen übermittelt werden, etwa wenn Nutzer mit Werbeanzeigen oder Angeboten interagieren, die im Zusammenhang mit diesen Partnern stehen.
Die Gutachter betonen, dass insbesondere Transaktionsdaten weitreichende Rückschlüsse auf persönliche Lebensumstände erlauben. Zahlungen für politische, religiöse oder karitative Zwecke, für medizinische oder psychologische Leistungen oder für andere sensible Angebote könnten detaillierte Profile über Einstellungen, Bedürfnisse und Lebenssituationen der Betroffenen ermöglichen. Diese Informationen seien aus datenschutzrechtlicher Sicht besonders schützenswert.
Zusätzliche Relevanz erhält das Thema durch die Erweiterung des Angebots von Paypal im Frühjahr 2025. Mit Offsite Ads hat das Unternehmen ein Werbeprodukt eingeführt, das es Werbetreibenden erlaubt, Zielgruppen auf Basis aggregierter und anonymisierter Nutzerdaten anzusprechen. Paypal beschreibt das System als handelszentriertes Werbeökosystem, das auf Transaktions- und Nutzungsdaten aufbaut, um Medienentscheidungen zu unterstützen und Werbung zielgerichtet auszuspielen.
Zudem kritisieren die Autoren die langen Speicherfristen: Paypal behalte sich vor, Daten über die Vertragslaufzeit hinaus bis zu zehn Jahre zu speichern, obwohl gesetzliche Aufbewahrungsfristen nach Ansicht der Gutachter meist bei sechs oder acht Jahren liegen. Weitere Datenbestände wie Werbeprofile oder Ergebnisse von Bonitätsprüfungen müssten nach Wegfall der Erforderlichkeit unverzüglich gelöscht werden.
Laut Gutachten hat Paypal auf einen umfangreichen Fragenkatalog der Autoren nur sehr eingeschränkt reagiert. Eine gewährte Fristverlängerung sei abgelaufen, ohne dass eine inhaltliche Beantwortung der Fragen erfolgt sei.
