PayPal und KreditkartenWer alles weiß, wenn du online bezahlst

Es gibt in Deutschland einen klaren Platzhirschen im Online-Zahlungsmarkt: PayPal. Dazu kommen noch Kreditkarten, also Visa und Mastercard. Neben dem Geld fließen dabei aber auch Daten – und zwar nicht zu knapp.

Eine junge Frau sitzt vor einem Laptop, auf dem ein Einkaufswagen zu sehen ist.
Online bezahlen hinterlässt Daten. – Public Domain erstellt mit Midjourney

Stellen wir uns vor, Helga aus Aachen hat in irgendeinem Webshop alle Produkte ausgewählt, die sie haben will. Sie drückt auf den kleinen Einkaufswagen oben rechts auf der Seite, um den Einkauf abzuschließen. Dann sieht sie die Liste der Optionen, wie sie bezahlen kann – und wird wahrscheinlich auf „PayPal“ klicken.

Deutsche lieben PayPal. Jeder vierte Euro, den sie 2023 im Online-Handel ausgegeben haben, floss durch den Zahlungsdienst. Danach kamen der Kauf auf Rechnung und die Lastschrift, gefolgt von Kartenzahlung. Die dominieren wiederum Visa und Mastercard. Ganz hinten im Feld, weit abgeschlagen, liegen Sofortüberweisung und Giropay.

Deutsche Alternative gescheitert

Das heißt zunächst einmal: Wer in Deutschland einen Zahlungsdienst nutzt, nutzt meist den Dienst eines US-amerikanischen Unternehmens. Sofortüberweisung und Giropay machen zusammen weniger als zwei Prozent des Umsatzes aus. Giropay ist ein Projekt deutscher Banken, mit dem sie eigentlich PayPal Marktanteile ablaufen wollten – das hat offensichtlich nicht geklappt. Die Banken haben deshalb vor einigen Wochen angekündigt, den Dienst wieder einstellen zu wollen.

Giropay sollte eigentlich eine datenschutzfreundliche Option zum Online-Bezahlen sein. Mit „extra sicheren Servern in Deutschland“ wirbt der Dienst: „Das bedeutet für dich besonders guten Datenschutz nach strengsten deutschen Regeln.“ Trotz deutscher Begeisterung für den Datenschutz: Die angepriesenen extra sicheren Server haben offensichtlich nicht gereicht, um sich gegen PayPal, Visa und Mastercard durchzusetzen.

Aber braucht es denn eine datenschutzfreundliche Alternative zu deren Angeboten?

Mit wem teilt PayPal Daten? Ja.

Für diese Frage ist gut zu wissen: PayPal hat eine luxemburgische Banklizenz. Damit muss das Unternehmen sich an luxemburgisches Bankrecht halten. Dazu gehört, dass es eine Liste mit allen Unternehmen veröffentlichen muss, an die Daten von Kund:innen weitergegeben werden.

Diese Liste ist als PDF-Dokument 46 Seiten lang und enthält ungefähr 1.000 Unternehmen. Die sind unterteilt in Zahlungsanbieter, Kreditauskunfteien, Finanzprodukte, Geschäftspartnerschaften, Marketing und Sonstige. Dort findet sich etwa LLC Havas Digital, die russische Tochter des französischen Werbeunternehmens Havas, oder Cheetah Mobile Inc. in China. Auch an Facebook, Twitter und Yahoo gibt PayPal Daten für personalisierte Werbeanzeigen weiter.

Die weitergegebenen Daten sind umfangreich: beispielsweise Name, Anschrift, E-Mail-Adresse, die Art der genutzten PayPal-Dienste, Transaktionsinformationen, IDs von Cookies, Anzeigen und Geräten. Laut seiner Datenschutzerklärung erstellt PayPal auch Profile über seine Kund:innen. Die können „Verhaltensmuster und persönliche Vorlieben wie Geschlecht, Einkommen, Surf- und Kaufgewohnheiten und Kreditwürdigkeit“ widerspiegeln.

PayPal will diese Daten in Zukunft nicht mehr nur an Dritte weitergeben, sondern selber ein Werbegeschäft aufbauen, berichtete das Wall Street Journal. Der „Advanced Offers“-Dienst soll etwa Händlerinnen dabei helfen, Rabatte und andere Angebote für PayPal-Kunden zu personalisieren. Wer seine Daten nicht in dem neuen PayPal-Werbenetzwerk haben will, muss der Benutzung widersprechen. Das Angebot ist momentan für die Vereinigten Staaten geplant.

Auf Anfrage von netzpolitik.org sagte PayPal, man verdiene kein Geld mit Transaktionsdaten. Die Verarbeitung personenbezogener Daten entspreche den maßgeblichen Gesetzen.

Anonymisierte Daten?

Ähnlich sieht es bei Visa und Mastercard aus, den zwei weltweit führenden Anbietern von Kartenzahlungen. Visa sammelt laut seiner Datenschutzerklärung unter anderem Daten, um Werbung auszuspielen. Dazu gehören etwa Daten über Interaktionen und Standorte, oder auch biometrische Daten. Das Unternehmen führt auch andere Analysen durch und erstellt größere Datensätze, um andere Unternehmen zu beraten. Welche Daten darin landen, steht aber nicht in der Erklärung – denn dabei handele es sich nicht mehr um persönliche Daten, meint Visa.

Den Standpunkt teilt Mastercard. „Wir bei Mastercard haben einen ungewöhnlichen Vorteil, und zwar können wir Echtzeitdaten sehen und so erkennen, was funktioniert und was nicht“, so der Marketingchef von Mastercard in einem Interview. „Wir haben sogar ein paar Analyseunternehmen aufgekauft, um die Daten zu untersuchen, die wir haben – dabei respektieren wir völlig die Privatsphäre der Kund:innen. Wir schauen uns also keine persönlichen Daten an, es sind alles aggregierte Daten, die komplett anonymisiert wurden.“ Auch eine Sprecherin des Unternehmens unterstrich gegenüber netzpolitik.org, dass Mastercard anonymisierte und aggregierte Datensätze nutzt.

Nur weil Datensätze keine Klarnamen enthalten, sind sie nicht automatisch anonym. Wenn eine Person laut ihren Bewegungsdaten jeden Tag nachts im gleichen Haus ist, dann lässt sich darauf schließen, dass sie dort wohnt. Mit genug zusammengeführten Daten auch aus anderen Quellen könnten sich Personen eventuell wieder identifizieren lassen.

Mastercard machte vor einigen Jahren einen Werbedeal mit Google, seine Daten waren auch in andere Datenplattformen wie Audience Marketplace von Adobe und Microsofts Xandr verfügbar. Von den Mastercard-Analysen kann man sich online abmelden.

Visa stellte sein bisheriges Werbungsdatengeschäft 2021 überraschend ein. Im Mai kündigte das Unternehmen dann an, man werde die Daten seiner Kund:innen bald durch sogenannte Tokens mit Geschäftskund:innen teilen. Visa antwortete nicht auf eine Anfrage von netzpolitik.org zu seinem Umgang mit Daten.

Keine Auskunft über verarbeitete Daten

Marek Jessen forscht beim Zentrum verantwortungsbewusste Digitalisierung, einem Netzwerk hessischer Hochschulen, zu Finanzen und Daten. (Hinweis: Das Netzwerk hat die Recherche für diese Artikelserie finanziell unterstützt.) „Es ist schwierig, entsprechende Infos zu finden“, sagt er zu netzpolitik.org. „Da können wir nur mit Indizien arbeiten.“

Er hat dabei auch das beste Werkzeug eingesetzt, das Menschen in der EU gegenüber großen Datenunternehmen haben: Artikel 15 der Datenschutzgrundverordnung. Demnach haben Nutzer:innen Anspruch auf eine Kopie der Daten, die ein Unternehmen über sie hält. Diese Kopie hat Jessen dreimal angefordert – zuerst online, dann per Einschreiben an die PayPal-Zentralen in Deutschland und in Luxemburg.

„Das hat in allen drei Varianten, in denen ich es probiert habe, nicht funktioniert“, berichtet Jessen. Zurück kam immer nur ein Standardhinweis auf die Datenschutzerklärung von PayPal. Das sei ernüchternd, aber auch bezeichnend gewesen, meint der Wissenschaftler. Er würde gerne sehen, dass Datenschutzbehörden hier mehr hinter den Rechten von Bürger:innen stehen.

PayPal wies auf Anfrage von netzpolitik.org darauf hin, dass Nutzer:innen ihre Daten über die Webseite des Unternehmens herunterladen können. Die Seite enthält aber einen Hinweis, dass in diesem Download manche gespeicherte Daten nicht enthalten sind. Dazu gehören etwa Marketing-Präferenzen und für „andere Dienste“ genutzte Daten.

Das Problem liegt auch an Banken

Auch Jan Penfrat von European Digital Rights, dem Dachverband der europäischen digitalen Zivilgesellschaft, sieht die Lage auf dem Zahlungsmarkt kritisch. „Der Status Quo ist nicht so gut“, meint er im Gespräch mit netzpolitik.org. „Momentan ist die einzige datensparsame Variante, online zu bezahlen, Bargeld zu schicken – oder eine SEPA-Überweisung.“

Denn die gibt es ja auch noch: Kostenlose, sofortige Überweisungen zwischen Banken im Euroraum, ohne Dienstleister dazwischen. Auch die dümpeln aber bei einem einstelligen Prozentanteil des Onlinehandels herum. Für „sehr enttäuschend“ hält es Penfrat, dass die europäische Bankenindustrie es im letzten Jahrzehnt nicht hinbekommen hat, eine Alternative zu den US-Anbietern aufzubauen. Hier habe es eine Enttäuschung nach der anderen gegeben.

Vielleicht bald eine europäische Alternative

Auch gerade werkeln Banken in einigen europäischen Ländern an einem neuen Projekt. Das heißt European Payments Initiative, kurz EPI. Beteiligt sind Banken aus Belgien, Deutschland, Frankreich, den Niederlanden und Spanien. Deren Dienst, genannt „wero“, soll nun auch grenzübergreifend Online-Zahlungen ermöglichen – im Gegensatz zu Giropay etwa, oder den nationalen Bezahlsystemen in Belgien oder den Niederlanden. In Deutschland ist wero heute gestartet.

Ob diese Initiative aber Erfolg haben wird, wird sich erst noch zeigen müssen. Und auch wenn EPI es einmal auf den Markt schafft: Es sind noch nicht alle Euroländer vertreten, ganz zu schweigen von allen EU-Ländern. Und selbst in den schon beteiligten Ländern machen nicht alle Banken mit, es gibt auch schon ein Konkurrenzprojekt.

Die Europäische Union und die Europäische Zentralbank hatten schon vor einigen Jahren die Nase voll von den Fehlstarts der Bankenbranche. Sie arbeiten gerade an einem staatlichen Projekt: dem Digitalen Euro. Ein öffentliches Zahlungssystem, mit dem Nutzer:innen einfach und datensparsam bezahlen können sollen, im Internet und im echten Leben, auch offline. Wenn der aber überhaupt kommt, soll er frühestens 2028 eingeführt werden.

Dieser Artikel ist Teil einer Reihe zum Digitalen Euro. Die Recherche wurde vom Zentrum verantwortungsbewusste Digitalisierung durch sein Journalist-in-Residence-Programm finanziell unterstützt.

24 Ergänzungen

  1. Und wer Online seine Bank nutzen will, z.B. die Commerzbank/comdirect, stellt fest, ohne Google wird die Nutzung schwierig.

  2. Ein wichtiger Aspekt von Bezahldienstleistern wie PayPal ist die Treuhänderfunktion. Einen Treuhänder gibt es weder bei klassischen Überweisungen noch beim geplanten digitalen Euro.
    Für diese Treuhänderfunktion bezahlen Käufer mit ihren Daten zum Kaufverhalten sowie Informationen zu ihrer Bonität.
    Alternativ können Kunden natürlich auch die Vertrauenswürdigkeit von Verkäufern selbst prüfen und dann per Vorkasse zahlen. Kauf auf Rechnung würde wiederum Vertrauen der Verkäufer in die Käufer voraussetzen.
    Da Onlinehandel ohne Bezahldienstleister und Auskunfteien offensichtlich schwierig ist
    müssen dringend faire und transparente Regeln für die Datenweitergabe und Auskunftspflichten gesetzlich festgelegt werden.

  3. „Diese Liste [der Unternehmen, mit denen PayPal Daten teilt] ist als PDF-Dokument 46 Seiten lang und enthält ungefähr 1.000 Unternehmen“ : hier ist nicht ganz die aktuellste Version verlinkt. Die aktuelle offizielle Version vom 1.7.2024 umfasst als pdf sogar 121 Seiten: https://www.paypal.com/ie/legalhub/third-parties-list . Basierend auf dieser Liste gibt es hier auch eine „schöne“ optische Umsetzung „How PayPal Shares Your Data“: https://rebecca-ricks.com/paypal-data/

  4. Was Banken wirklich machen sollten, statt den nächsten Quatsch zu bauen, ist die Abschaffung der Gebühren für Echtzeitüberweisungen. Dann könnte man endlich per Vorkasse bezahlen und es wäre genau so kostenlos und genau so schnell wie mit PayPal.

      1. Etwas fragwürdig ist die Formulierung dieser Abmeldung schon:

        „Um sich von unserer Anonymisierung Ihrer persönlichen Daten zur Durchführung von Datenanalysen abzumelden,…“

        Wörtlich genommen melde ich mich von der Anonymisierung ab, nicht von den Datenanalysen…. was ja nicht unbedingt besser ist.

  5. Man darf niemals vergessen, dass Visa und Mastercard die Pandemie für Rufmord an ihrer Konkurrenz namens „Bargeld“ missbraucht haben, indem sie den Leuten eingeredet haben, Covid würde sich durch Barzahlung verbreiten.

    Die EZB hat das später (mit niedrigerem Medienecho) widerlegt. Aber wer die Berichterstattung über das Virus verfolgt hat, hätte wissen können, dass das unlogisch ist. Covid verbreitet sich nämlich über die Atemwege, durch das Einatmen von Aerosolen und nicht durch Schmierinfektion.

    Deshalb lebe ich noch immer „obwohl“ ich noch immer nicht kontaktlos bezahle.

    1. Schon auch in geringem Ausmaß durch Schmierinfektion, aber ist für mich kein Grund zur Vermeidung, da durch Handhygiene leicht lösbar.

      1. aber hauptsache den PIN-Code (in der Covid-Zeit) an der Supermarktkassa am Terminal eingeben. Ich weiß von vielen Geschäften dass das auch in der Covid-Zeit nur 1x täglich desinfiziert wurde. Aber hauptsache mit bargeldloser Zahlung werben…

  6. Die fehlende Nutzung der Alternativen zu PayPal und Co. liegt allerdings weniger an den Nutzern. Ich versuche wenn möglich immer per Lastschrift zu zahlen. Nur bietet das kaum jemand an. Auch Giropay ist selbst in Deutschland bei den Händlern kaum verbreitet. Von ausländischen Händlern gar nicht zu reden. Und wenn wir dann in die USA schauen, wird es selbst mit PayPal eng. Dort gibt es häufig nur die Alternative Kreditkarte.

    1. Für mich ist Lastschrift auch unbefriedigend, weil dabei i.d.R. erst mal eine Kreditwürdigkeitsprüfung durch eine Auskunftei (z.B. Schufa) erfolgt, die dadurch Geld verdient und Transaktionsdaten erhält.

      Datenschutzfreundlicher ist Vorkasse. Da ist die Nutzererfahrung allerdings um einiges schlechter:

      – Nutzer müssen sich zuerst im Portal ihrer Bank anmelden, dann aufwendig Empfänger-Name, -IBAN, Betrag und Verwendungszweck eintragen. Vermutlich vergessen Leute manchmal den Verwendungszweck, sodass Zahlungen nicht zugeordnet werden können, was zusätzlichen Aufwand für Verkäufer und Käufer nach sich zieht.
      – Meist registrieren die Verkäufer die Zahlungen erst spät. Bis dahin hat der Käufer ein gewisses Gefühl der Unsicherheit, ob das Geld an den richtigen Empfänger gegangen ist und die Ware noch rechtzeitig verschickt wird.

  7. Ich hatte bisher instinktiv immer die SEPA Überweisung als datensparsamste Variante vermutet. Jetzt da ich diese Liste an Dienstleistern bei PayPal sehe stellt sich mir die Frage: Wer genau erfährt eigentlich was bei einer SEPA Überweisung?

    Die beiden Banken, der Kontobesitzer -das scheint mir noch intuitiv. Gibt es darüber hinaus einen Schnittstellenakteur? Mehrere? Bei PayPal wird ja sogar der Auditor gelistet; im Kontext der SEPA-Überweisung gäbe es vielleicht eine vergleichbare Dienstleistung durch Dritte für die Bank?

    Vor diesem Hintergrund interessiert mich auch sehr wie Wero das lösen wird. Kennt dann der Empfänger nach einer z.B. via Telefonnummer vermittelten Transaktion meine IBAN als Teil seines Kontoauszugs? Welche Dienstleister nutzt Wero dann, zusätzlich zu den anfallenden Daten einer klassischen SEPA-Überweisung? Hab da wirklich gar keine Ahnung von.

    1. Wenn ich eine Zahlung über Paypal bekomme, erfahre ich die Identität des Absenders, idR die Mailadresse, weil die bei Paypal als Nutzer-ID dient.
      Wenn ich eine Zahlung per Banküberweisung bekomme, erfahre ich die Kontonummer bzw. IBAN des Absenders.

  8. Danke für den Artikel. Ich hatte mich schon vor mehr als 5 Jahren über die höchst verstörenden AGBs von paypal erbost, und obwohl immer mehr Menschen es nutzten, gab es quasi keine Medienberichte darüber, selbst im juristischen Nischenbereich wurde man kaum fündig. Besonders bizarr wurde es etwa auf Gebrauchtwaren-Onlinemarktplätzen, wo private Verkäufer neuerdings auf PayPal bestehen und ihre IBAN nicht nennen wollen – aus Datenschutzgründen. Wenn sie wüssten, was sie sich mit PayPal da einfangen… Den wero schaue ich mir gleich mal an.

    1. Auf das Phänomen, dass Privatverkäufer auf Paypal bestehen, bin ich vor Jahren recht unsanft bei einem ebay-Verkäufer aus Großbritannien erstmals gestoßen.

      Damals war Vorkasse in Deutschland noch Standard und Paypal war neu, umständlich und mir suspekt, sodass ich dem Verkäufer per Mail anbot, ihm das Geld per SEPA zu überweisen statt per Paypal. Der reagierte EXTREMST angefressen darauf, er empfand meine Frage nach seiner Kontonummer als Betrugsversuch und teilte mir sinngemäß mit, wenn ich nicht sofort per Paypal zahlen würde, würde er die Transaktion rückgängig machen und mich als unzuverlässigen Käufer melden…. da hab ich erstmals mitbekommen, dass Überweisungen außerhalb Deutschlands oft unbekannt als Zahlungsmittel sind und Kontonummern wie Betriebsgeheimnisse gehütet werden.

      Dass es jetzt auch in Deutschland soweit ist, ist echt absurd und ein grandioser Erfolg des Paypal-Marketings.

  9. > Deutsche lieben PayPal.

    Das ist eine undifferenzierte Behauptung, so wie sie Menschen mit einer vereinfachten Weltsicht gerne haben. Zudem ist sie übergriffig, denn sie beleidigt den Intellekt jener, die es nicht tun.

    Es soll ja auch Deutsche unter den Menschen geben, die nichts zu Reichtum und Macht von Peter Thiel beitragen wollen. Und es gibt auch Deutsche unter den Menschen, die PayPal verlassen haben, nachdem PayPal Spenden für Wikileaks verbot, und aus vielen anderen klugen Gründen, die man da nachlesen könnte, wenn es denn die Bequemlichkeit zuließe:

    https://en.wikipedia.org/wiki/PayPal#Criticism_and_controversies

  10. Alles nur BlaBlaBla… Die allermeisten Menschen nutzen Paypal & Kreditkarte weil dort ein gewisser Betrugsschutz integriert ist. So wie auch schon anderweitig hier beschrieben. Traurig wie hochdekorierte Unternehmenslenker ernsthaft glauben konnten das Sofortüberweisung oder ähnliches jemals eine Chance gehabt hätten. Zwar ist es nicht so wie Paypal es einem glauben lassen möchte, das hinter jedem Angebot ein Betrüger sitzt aber ein paar solche gibt es durchaus im Onlinehandel. Und da greift eben die Treuhänderfunktion…

  11. Maximilian, ich bezahle lieber mit Visa als mit PayPal, weil ich „glaube“, dass Visa nicht mehr als Zahlbetrag, Vertragspartner und Zahlungsort erfährt und entsprechend auch mehr nicht weitergeben kann – was in einer ganz anderen Datenausnutzungsliga als Paypal spielt. Der Artikel konnte dazu aber für mich leider nicht mehr Klarheit schaffen (also Glauben entzaubern oder in Gewissheit verwandel), es wirkt eher so, als wäre beides einfach nur schlecht. Ist das so?

Wir freuen uns auf Deine Anmerkungen, Fragen, Korrekturen und inhaltlichen Ergänzungen zum Artikel. Bitte keine reinen Meinungsbeiträge! Unsere Regeln zur Veröffentlichung von Ergänzungen findest Du unter netzpolitik.org/kommentare. Deine E-Mail-Adresse wird nicht veröffentlicht.