Stellen wir uns vor, Helga aus Aachen hat in irgendeinem Webshop alle Produkte ausgewählt, die sie haben will. Sie drückt auf den kleinen Einkaufswagen oben rechts auf der Seite, um den Einkauf abzuschließen. Dann sieht sie die Liste der Optionen, wie sie bezahlen kann – und wird wahrscheinlich auf „PayPal“ klicken.
Deutsche lieben PayPal. Jeder vierte Euro, den sie 2023 im Online-Handel ausgegeben haben, floss durch den Zahlungsdienst. Danach kamen der Kauf auf Rechnung und die Lastschrift, gefolgt von Kartenzahlung. Die dominieren wiederum Visa und Mastercard. Ganz hinten im Feld, weit abgeschlagen, liegen Sofortüberweisung und Giropay.
Deutsche Alternative gescheitert
Das heißt zunächst einmal: Wer in Deutschland einen Zahlungsdienst nutzt, nutzt meist den Dienst eines US-amerikanischen Unternehmens. Sofortüberweisung und Giropay machen zusammen weniger als zwei Prozent des Umsatzes aus. Giropay ist ein Projekt deutscher Banken, mit dem sie eigentlich PayPal Marktanteile ablaufen wollten – das hat offensichtlich nicht geklappt. Die Banken haben deshalb vor einigen Wochen angekündigt, den Dienst wieder einstellen zu wollen.
Giropay sollte eigentlich eine datenschutzfreundliche Option zum Online-Bezahlen sein. Mit „extra sicheren Servern in Deutschland“ wirbt der Dienst: „Das bedeutet für dich besonders guten Datenschutz nach strengsten deutschen Regeln.“ Trotz deutscher Begeisterung für den Datenschutz: Die angepriesenen extra sicheren Server haben offensichtlich nicht gereicht, um sich gegen PayPal, Visa und Mastercard durchzusetzen.
Aber braucht es denn eine datenschutzfreundliche Alternative zu deren Angeboten?
Mit wem teilt PayPal Daten? Ja.
Für diese Frage ist gut zu wissen: PayPal hat eine luxemburgische Banklizenz. Damit muss das Unternehmen sich an luxemburgisches Bankrecht halten. Dazu gehört, dass es eine Liste mit allen Unternehmen veröffentlichen muss, an die Daten von Kund:innen weitergegeben werden.
Diese Liste ist als PDF-Dokument 46 Seiten lang und enthält ungefähr 1.000 Unternehmen. Die sind unterteilt in Zahlungsanbieter, Kreditauskunfteien, Finanzprodukte, Geschäftspartnerschaften, Marketing und Sonstige. Dort findet sich etwa LLC Havas Digital, die russische Tochter des französischen Werbeunternehmens Havas, oder Cheetah Mobile Inc. in China. Auch an Facebook, Twitter und Yahoo gibt PayPal Daten für personalisierte Werbeanzeigen weiter.
Die weitergegebenen Daten sind umfangreich: beispielsweise Name, Anschrift, E-Mail-Adresse, die Art der genutzten PayPal-Dienste, Transaktionsinformationen, IDs von Cookies, Anzeigen und Geräten. Laut seiner Datenschutzerklärung erstellt PayPal auch Profile über seine Kund:innen. Die können „Verhaltensmuster und persönliche Vorlieben wie Geschlecht, Einkommen, Surf- und Kaufgewohnheiten und Kreditwürdigkeit“ widerspiegeln.
PayPal will diese Daten in Zukunft nicht mehr nur an Dritte weitergeben, sondern selber ein Werbegeschäft aufbauen, berichtete das Wall Street Journal. Der „Advanced Offers“-Dienst soll etwa Händlerinnen dabei helfen, Rabatte und andere Angebote für PayPal-Kunden zu personalisieren. Wer seine Daten nicht in dem neuen PayPal-Werbenetzwerk haben will, muss der Benutzung widersprechen. Das Angebot ist momentan für die Vereinigten Staaten geplant.
Auf Anfrage von netzpolitik.org sagte PayPal, man verdiene kein Geld mit Transaktionsdaten. Die Verarbeitung personenbezogener Daten entspreche den maßgeblichen Gesetzen.
Anonymisierte Daten?
Ähnlich sieht es bei Visa und Mastercard aus, den zwei weltweit führenden Anbietern von Kartenzahlungen. Visa sammelt laut seiner Datenschutzerklärung unter anderem Daten, um Werbung auszuspielen. Dazu gehören etwa Daten über Interaktionen und Standorte, oder auch biometrische Daten. Das Unternehmen führt auch andere Analysen durch und erstellt größere Datensätze, um andere Unternehmen zu beraten. Welche Daten darin landen, steht aber nicht in der Erklärung – denn dabei handele es sich nicht mehr um persönliche Daten, meint Visa.
Den Standpunkt teilt Mastercard. „Wir bei Mastercard haben einen ungewöhnlichen Vorteil, und zwar können wir Echtzeitdaten sehen und so erkennen, was funktioniert und was nicht“, so der Marketingchef von Mastercard in einem Interview. „Wir haben sogar ein paar Analyseunternehmen aufgekauft, um die Daten zu untersuchen, die wir haben – dabei respektieren wir völlig die Privatsphäre der Kund:innen. Wir schauen uns also keine persönlichen Daten an, es sind alles aggregierte Daten, die komplett anonymisiert wurden.“ Auch eine Sprecherin des Unternehmens unterstrich gegenüber netzpolitik.org, dass Mastercard anonymisierte und aggregierte Datensätze nutzt.
Nur weil Datensätze keine Klarnamen enthalten, sind sie nicht automatisch anonym. Wenn eine Person laut ihren Bewegungsdaten jeden Tag nachts im gleichen Haus ist, dann lässt sich darauf schließen, dass sie dort wohnt. Mit genug zusammengeführten Daten auch aus anderen Quellen könnten sich Personen eventuell wieder identifizieren lassen.
Mastercard machte vor einigen Jahren einen Werbedeal mit Google, seine Daten waren auch in andere Datenplattformen wie Audience Marketplace von Adobe und Microsofts Xandr verfügbar. Von den Mastercard-Analysen kann man sich online abmelden.
Visa stellte sein bisheriges Werbungsdatengeschäft 2021 überraschend ein. Im Mai kündigte das Unternehmen dann an, man werde die Daten seiner Kund:innen bald durch sogenannte Tokens mit Geschäftskund:innen teilen. Visa antwortete nicht auf eine Anfrage von netzpolitik.org zu seinem Umgang mit Daten.
Keine Auskunft über verarbeitete Daten
Marek Jessen forscht beim Zentrum verantwortungsbewusste Digitalisierung, einem Netzwerk hessischer Hochschulen, zu Finanzen und Daten. (Hinweis: Das Netzwerk hat die Recherche für diese Artikelserie finanziell unterstützt.) „Es ist schwierig, entsprechende Infos zu finden“, sagt er zu netzpolitik.org. „Da können wir nur mit Indizien arbeiten.“
Er hat dabei auch das beste Werkzeug eingesetzt, das Menschen in der EU gegenüber großen Datenunternehmen haben: Artikel 15 der Datenschutzgrundverordnung. Demnach haben Nutzer:innen Anspruch auf eine Kopie der Daten, die ein Unternehmen über sie hält. Diese Kopie hat Jessen dreimal angefordert – zuerst online, dann per Einschreiben an die PayPal-Zentralen in Deutschland und in Luxemburg.
„Das hat in allen drei Varianten, in denen ich es probiert habe, nicht funktioniert“, berichtet Jessen. Zurück kam immer nur ein Standardhinweis auf die Datenschutzerklärung von PayPal. Das sei ernüchternd, aber auch bezeichnend gewesen, meint der Wissenschaftler. Er würde gerne sehen, dass Datenschutzbehörden hier mehr hinter den Rechten von Bürger:innen stehen.
PayPal wies auf Anfrage von netzpolitik.org darauf hin, dass Nutzer:innen ihre Daten über die Webseite des Unternehmens herunterladen können. Die Seite enthält aber einen Hinweis, dass in diesem Download manche gespeicherte Daten nicht enthalten sind. Dazu gehören etwa Marketing-Präferenzen und für „andere Dienste“ genutzte Daten.
Das Problem liegt auch an Banken
Auch Jan Penfrat von European Digital Rights, dem Dachverband der europäischen digitalen Zivilgesellschaft, sieht die Lage auf dem Zahlungsmarkt kritisch. „Der Status Quo ist nicht so gut“, meint er im Gespräch mit netzpolitik.org. „Momentan ist die einzige datensparsame Variante, online zu bezahlen, Bargeld zu schicken – oder eine SEPA-Überweisung.“
Denn die gibt es ja auch noch: Kostenlose, sofortige Überweisungen zwischen Banken im Euroraum, ohne Dienstleister dazwischen. Auch die dümpeln aber bei einem einstelligen Prozentanteil des Onlinehandels herum. Für „sehr enttäuschend“ hält es Penfrat, dass die europäische Bankenindustrie es im letzten Jahrzehnt nicht hinbekommen hat, eine Alternative zu den US-Anbietern aufzubauen. Hier habe es eine Enttäuschung nach der anderen gegeben.
Vielleicht bald eine europäische Alternative
Auch gerade werkeln Banken in einigen europäischen Ländern an einem neuen Projekt. Das heißt European Payments Initiative, kurz EPI. Beteiligt sind Banken aus Belgien, Deutschland, Frankreich, den Niederlanden und Spanien. Deren Dienst, genannt „wero“, soll nun auch grenzübergreifend Online-Zahlungen ermöglichen – im Gegensatz zu Giropay etwa, oder den nationalen Bezahlsystemen in Belgien oder den Niederlanden. In Deutschland ist wero heute gestartet.
Ob diese Initiative aber Erfolg haben wird, wird sich erst noch zeigen müssen. Und auch wenn EPI es einmal auf den Markt schafft: Es sind noch nicht alle Euroländer vertreten, ganz zu schweigen von allen EU-Ländern. Und selbst in den schon beteiligten Ländern machen nicht alle Banken mit, es gibt auch schon ein Konkurrenzprojekt.
Die Europäische Union und die Europäische Zentralbank hatten schon vor einigen Jahren die Nase voll von den Fehlstarts der Bankenbranche. Sie arbeiten gerade an einem staatlichen Projekt: dem Digitalen Euro. Ein öffentliches Zahlungssystem, mit dem Nutzer:innen einfach und datensparsam bezahlen können sollen, im Internet und im echten Leben, auch offline. Wenn der aber überhaupt kommt, soll er frühestens 2028 eingeführt werden.
Dieser Artikel ist Teil einer Reihe zum Digitalen Euro. Die Recherche wurde vom Zentrum verantwortungsbewusste Digitalisierung durch sein Journalist-in-Residence-Programm finanziell unterstützt.
Und wer Online seine Bank nutzen will, z.B. die Commerzbank/comdirect, stellt fest, ohne Google wird die Nutzung schwierig.
Ein wichtiger Aspekt von Bezahldienstleistern wie PayPal ist die Treuhänderfunktion. Einen Treuhänder gibt es weder bei klassischen Überweisungen noch beim geplanten digitalen Euro.
Für diese Treuhänderfunktion bezahlen Käufer mit ihren Daten zum Kaufverhalten sowie Informationen zu ihrer Bonität.
Alternativ können Kunden natürlich auch die Vertrauenswürdigkeit von Verkäufern selbst prüfen und dann per Vorkasse zahlen. Kauf auf Rechnung würde wiederum Vertrauen der Verkäufer in die Käufer voraussetzen.
Da Onlinehandel ohne Bezahldienstleister und Auskunfteien offensichtlich schwierig ist
müssen dringend faire und transparente Regeln für die Datenweitergabe und Auskunftspflichten gesetzlich festgelegt werden.
„Diese Liste [der Unternehmen, mit denen PayPal Daten teilt] ist als PDF-Dokument 46 Seiten lang und enthält ungefähr 1.000 Unternehmen“ : hier ist nicht ganz die aktuellste Version verlinkt. Die aktuelle offizielle Version vom 1.7.2024 umfasst als pdf sogar 121 Seiten: https://www.paypal.com/ie/legalhub/third-parties-list . Basierend auf dieser Liste gibt es hier auch eine „schöne“ optische Umsetzung „How PayPal Shares Your Data“: https://rebecca-ricks.com/paypal-data/
Was Banken wirklich machen sollten, statt den nächsten Quatsch zu bauen, ist die Abschaffung der Gebühren für Echtzeitüberweisungen. Dann könnte man endlich per Vorkasse bezahlen und es wäre genau so kostenlos und genau so schnell wie mit PayPal.
Hallo – die EU hat sich neulich auf ein neues Gesetz geeinigt, das genau das tut. SEPA-Echtzeitüberweisungen werden bald kostenlos sein. Mehr Infos hier: https://www.br.de/nachrichten/wirtschaft/sofortueberweisungen-in-euro-sind-ab-2025-kostenlos,U5PniJl
Guter und wichtiger Artikel. Meldet man sich bei MasterCard von der Datenanalyse oder nur von der Anonymisierung ab? https://www.mastercard.de/de-de/datenschutz/datenanalyse-abmeldung.html
Jemand Erfahrungswerte ?
Nein, aber danke für den Link :)
Man darf niemals vergessen, dass Visa und Mastercard die Pandemie für Rufmord an ihrer Konkurrenz namens „Bargeld“ missbraucht haben, indem sie den Leuten eingeredet haben, Covid würde sich durch Barzahlung verbreiten.
Die EZB hat das später (mit niedrigerem Medienecho) widerlegt. Aber wer die Berichterstattung über das Virus verfolgt hat, hätte wissen können, dass das unlogisch ist. Covid verbreitet sich nämlich über die Atemwege, durch das Einatmen von Aerosolen und nicht durch Schmierinfektion.
Deshalb lebe ich noch immer „obwohl“ ich noch immer nicht kontaktlos bezahle.
Die fehlende Nutzung der Alternativen zu PayPal und Co. liegt allerdings weniger an den Nutzern. Ich versuche wenn möglich immer per Lastschrift zu zahlen. Nur bietet das kaum jemand an. Auch Giropay ist selbst in Deutschland bei den Händlern kaum verbreitet. Von ausländischen Händlern gar nicht zu reden. Und wenn wir dann in die USA schauen, wird es selbst mit PayPal eng. Dort gibt es häufig nur die Alternative Kreditkarte.
Für mich ist Lastschrift auch unbefriedigend, weil dabei i.d.R. erst mal eine Kreditwürdigkeitsprüfung durch eine Auskunftei (z.B. Schufa) erfolgt, die dadurch Geld verdient und Transaktionsdaten erhält.
Datenschutzfreundlicher ist Vorkasse. Da ist die Nutzererfahrung allerdings um einiges schlechter:
– Nutzer müssen sich zuerst im Portal ihrer Bank anmelden, dann aufwendig Empfänger-Name, -IBAN, Betrag und Verwendungszweck eintragen. Vermutlich vergessen Leute manchmal den Verwendungszweck, sodass Zahlungen nicht zugeordnet werden können, was zusätzlichen Aufwand für Verkäufer und Käufer nach sich zieht.
– Meist registrieren die Verkäufer die Zahlungen erst spät. Bis dahin hat der Käufer ein gewisses Gefühl der Unsicherheit, ob das Geld an den richtigen Empfänger gegangen ist und die Ware noch rechtzeitig verschickt wird.