Mit Paypal kann man jetzt auch in Geschäften zahlen – und sogar auf dem Flohmarkt, wie Schauspieler Will Ferrell in einer Werbekampagne zeigt. In der deutschen Version sagt er zu einem kleinen Jungen, der ihn beim Kauf einer Actionfigur über den Tisch zieht: „Wenigstens meine Daten sind sicher vor euch Abzockern.“ Doch die Aussage ist nicht wahr.
Die Finanztransaktionsplattform PayPal positioniert sich in einer Werbekampagne als Alternative zum Bargeld. Dabei gibt es einen drastischen Unterschied zwischen beiden Zahlungsmitteln. Bargeld wird zwar auch getrackt, aber die Daten, die Paypal erhebt – und an Werbetreibende verkauft – sind viel umfassender als nur die Info, welche Summe von wo nach wo wandert.
Das Netzwerk Datenschutzexpertise hat die Datenschutzpraxis von Paypal im Rahmen eines juristischen Gutachtens untersucht und kommt zu einem vernichtenden Ergebnis. Das Unternehmen erfasst, was du zu welchem Preis kaufst, von welchem Unternehmen du es erwirbst, und wohin du es liefern lässt. Es speichert Standortdaten, die Liste der Apps auf deinem Telefon, welches Gerät und welchen Browser du benutzt und welche Websites du besuchst.
PayPal speichert teils sogar die sexuelle Orientierung
Das Unternehmen erlaubt sich laut Datenschutzerklärung auch, deinen Fingerabdruck zu erfassen, dein Einkommen, deine Telefon- und Steuernummer, deinen Beruf, dein Alter, dein Geschlecht, deine Kreditwürdigkeit und deine finanzielle Situation. In dem Datensatz, den der Konzern über dich anlegt, sind – so die Datenschutzerklärung – womöglich auch religiöse Überzeugungen, politische oder philosophische Ansichten, Behinderungen und die sexuelle Orientierung vermerkt, sowie „Daten aus den von Ihnen verknüpften Drittkonten“.
PayPal kann laut dem Gutachten extrem sensible Informationen sammeln, weil auch Zahlungen an Gesundheitseinrichtungen oder Anwält*innen, sowie Spenden an politische Parteien und religiöse Institutionen über die Plattform abgewickelt werden. PayPal speichert die Daten, so lange das Konto existiert und zehn Jahre darüber hinaus.
Seit dem Frühjahr ist PayPal auch im Werbe-Business
Paypal ist im Internet das populärste Zahlungsmittel. Im Frühjahr 2025 – kurz vor dem Start der Webekampagne mit Will Ferrell – ist der Konzern auch ins Werbegeschäft eingestiegen. Er nutzt dabei Zahlungsdaten, um Werbung zu personalisieren.
Alles netzpolitisch Relevante
Drei Mal pro Woche als Newsletter in deiner Inbox.
Das Netzwerk Datenschutzexpertise schreibt in seinem Gutachten: „Die hohe Aussagekraft der Finanztransaktionsdaten begründet ein hohes Nutzungs- und auch ein hohes Missbrauchspotenzial“. So sei damit beispielsweise manipulative Werbung möglich und auch eine diskriminierende Preisgestaltung.
Dabei muss Zahlungsverkehr in Deutschland und Europa eigentlich anonym ablaufen. Ausnahmen von der Regel sind nur erlaubt, wenn sie eindeutig nötig und gut begründet sind.
PayPal speichert sensible Daten ohne explizite Einwilligung
Laut des Gutachtens informiert PayPal seine Kund*innen nicht hinreichend darüber, wofür, an wen und auf welcher Rechtsgrundlage Daten weitergegeben werden und speichert die Daten unerlaubt lange. Zudem geht das Unternehmen davon aus, dass Menschen mit der Nutzung des Dienstes in die Datenverarbeitung einwilligen. Dabei muss diese Einwilligung – spätestens, wenn es um sensitive Daten, Marketing- und Werbezwecke oder die Weitergabe von Daten geht – tatsächlich bewusst, informiert, genau definiert und unabhängig von der Verfügbarkeit des Dienstes gegeben werden, um rechtmäßig zu sein. Die Kund*innen müssen wissen, wozu sie da eigentlich zustimmen.
Der Konzern bietet Unternehmen die personenbezogenen Informationen laut dem Gutachten in aggregierter Form an. Die Firmen können dann über PayPal auf Webseiten, Apps und Smart-TVs Werbung platzieren, die angeblich die Zielgruppe sehr genau erreicht. Auch der direkte Verkauf der Daten an Werbefirmen war zumindest mal geplant. Über die aktuelle Umsetzung dieses Projekts in Europa ist dem Netzwerk Datenschutzexpertise nichts bekannt.
Einen Teil der Informationen sammelt PayPal angeblich, um betrügerische Kontozugriffe zu verhindern. Im August 2025 waren die Anmeldedaten zu 15 Millionen PayPal-Konten im Darknet aufgetaucht, woraufhin die Zahl der Betrugsversuche massiv in die Höhe ging.
Die Liste der Datenempfänger umfasst 600 Unternehmen
PayPal behält sich vor, die erfassten Daten weiterzugeben, beispielsweise an Behörden, andere Finanzinstitute, Inkassobüros, Auftragsverarbeiter und Partnerunternehmen. Eine Liste mit möglichen Datenempfängern umfasst 600 Firmen aus vielen Staaten der Welt.
Die Datenschutzerklärung, die 7.000 Wörter umfasst, lässt „nicht erkennen, mit welchen Daten auf welcher Rechtsgrundlage welche Zwecke verfolgt werden“, so das Netzwerk Datenschutzanalyse. Problematisch sei, dass sowohl die Kategorien der Daten als auch die Arten der Verarbeitung nur beispielhaft und nicht abschließend aufgeführt werden.
Auch die AGB seien ausgesprochen nutzerunfreundlich. Sie umfassen 17 Dokumente, wobei für Kund*innen nicht ersichtlich sei, welche für sie relevant sind. Hinzu kommen 20.000 Wörter Nutzungsbedingungen ohne Inhaltsverzeichnis. Mit der Eröffnung eines Kontos erklären sich Nutzer*innen mit all diesen Bedingungen einverstanden.
So widerspricht man der Datennutzung zu Werbezwecken
Die Nutzung der Daten zu Werbezwecken ist in PayPal-Konten voreingestellt. Wer das abschalten möchte, muss auf der Website erst auf „Daten und Datenschutz“ und dann auf „personalisierte Angebote und Werbung“ klicken. Dort lässt sich ein Regler zwischen einem grauen und einem schwarzen Feld hin- und herbewegen. Welche die datenschutzfreundliche Option ist, wird nicht erklärt. Der mögliche Opt-Out steht im Widerspruch zur Datenschutzgrundverordnung, wonach die Voreinstellung eine möglichst geringe Datenverarbeitung („Privacy by Default“) vorsehen muss.
Als besonders problematisch sieht das Netzwerk Datenschutzexpertise, dass die personenbezogenen Daten auch nach außerhalb der EU übermittelt werden. Der Hauptsitz von PayPal ist in den USA, dort sind die Daten deutlich schlechter geschützt als in Europa. Zudem ist das Unternehmen gezwungen, Daten an US-Behörden herauszugeben, wenn diese sie anfordern.
Die Datenschutzexpert*innen sehen ihre Analyse der Datenschutzpraxis von PayPal nur als exemplarischen Fall. „Es ist zu vermuten, dass die bei PayPal festgestellten Mängel in ähnlicher Form bei anderen Unternehmen in diesem Bereich bestehen“, schreiben sie. BigTech-Unternehmen würden zunehmend versuchen, auf Finanztransaktionsdaten zuzugreifen, um diese mit Daten aus anderen Anwendungen zu kombinieren und kommerziell zu nutzen. Deshalb fordern die Datenschutz-Expert*innen, die Nutzung von Finanzdaten für Werbezwecke generell zu verbieten.
Laut Heise Online prüft Paypal das Gutachten derzeit. Es lässt sich wie folgt zitieren: „Die Einhaltung der EU-Datenschutzanforderungen ist für uns sowohl für die Entwicklung als auch den Betrieb unserer Produkte von zentraler Bedeutung, um ein qualitativ hochwertiges Erlebnis und Sicherheit im Zahlungsverkehr für unsere Kund:innen sicherzustellen.“
In der ersten Fassung des Artikels hatte ich geschrieben, dass der Werbe-Opt-Out so funktioniert: Schieber rechts, Feld schwarz. Nach zwei Leserkommentaren bin ich jetzt doch unsicher. Schafft der Schwarm es vielleicht, herauszufinden (und zu belegen), welche die korrekte Einstellung für Opt-Out ist? Die Autor*innen des Gutachtens wissen es leider auch nicht. Ich schreibe derweil mal PayPal, um die Frage dort zu klären.
In meiner ersten Antwort wurde „false“ und „true“ nicht korrekt gespeichert. Bitte nicht freigeben oder gerne auch löschen. Hier nun die korrigierte und korrekte Version:
Anhand einer Analyse des Netzwerkprotokolls kann ich dir folgendes dazu sagen:
Schieber rechts (schwarz)
– toggle Wert: „true“
– iBMWalletConsent: FULL_CONSENT
Schieber links (grau)
– toggle Wert: „false“
– iBMWalletConsent: DENY_CONSENT
Da alle anderen übermittelten Werte in beiden Fällen identisch sind, schlussfolgere ich daraus, dass man den Schieber nach links stellen muss, um dem Tracking zu widersprechen.
Die korrekte Einstellung für den Opt-Out sollte es sein, dass der Schieber links ist, also weiße Kugel auf grauem Feld. Schieber rechts, also weiße Kugel auf schwarzem Feld, sollte die Funktion aktivieren. Paypal hat sämtliche Regler auf seiner Website so gestaltet, dass der Regler auf der linken Position Funktionen deaktiviert und auf der rechten Position aktiviert. Eindeutiger wie auf der Website ist es in den jeweiligen Paypal-Apps wo alle Regler das identische Design haben.
Eine Sache zur Erfassung von gekauften Produkten durch PayPal ist ganz interessant. Bei fast allen Onlineshops erfährt PayPal die ganz ganaue Bezeichnung aller gekauften Produkte. Dies kann man hinterher auch im PayPal Account sehen. Eine positive Ausnahme scheint hier Ebay zu sein. Zumindest bei mir steht dort dann immer nur der Gesamtbetrag ohne irgendwelche Produktinfos. Irgendwie muss es also für Unternehmen möglich sein, PayPal auch einfach keine Produktinfos zukommen zu lassen.
Das bekommt man heraus, wenn man eine Sprachausgabe aktiviert und beim Markieren des Elements darauf achtet, was die Sprachausgabe ansagt. Ist es ausgeschaltet, sagt eine Sprachausgabe, dass es ausgeschaltet sei. Ich kann es mangels Sehkraft aber nicht nachvollziehen ob ausgeschaltet nun Schwarz oder Grau ist…
VG
FYI
PayPal (Europe) S.à r.l. et Cie, S.C.A. Financial Statements for the year ended 31 December 2023
https://www.lobbyregister.bundestag.de/media/9d/5f/543998/2023-SFR-Incl-2023-signed-Mgt-Report-and-PWC-Audit-Report.pdf
>> Auch die AGB seien ausgesprochen nutzerunfreundlich
Die Verständlichkeit der AGB bedeutet, dass die AGB keine viel zu komplizierte Sätze, ungewöhnliche Wörter,Fachterminologie,deren Kenntnis vom Durchschnittskunden nicht zu erwarten ist,beinhalten darf. Die einzelnen Klauseln müssen in ihrer Formulierung verständlich sein und auch die mit ihr verbundenen wirtschaftlichen Nachteile und Belastungen verdeutlichen.
Eine Unverständlichkeit kann gegeben sein, weil die Einsichtnahme in den Vertragstext unmöglich ist, weil der Vertragstext unvollständig oder unleserlich ist, einen unverhältnismäßigen Umfang hat, verwirrend gegliedert oder unübersichtlich aufgebaut, inhaltlich unbestimmt oder widersprüchlich ist,in einer unverständlichen Fachsprache oder in einer unbekannten Fremdsprache abgefasst wurde oder unklare Abkürzungen oder zu komplizierte Regelungen enthält, trotz an sich verständlicher Formulierungen den eigentlichen Vertragsinhalt verschleiert oder die Tragweite seiner Regelungen nicht erkennen lässt.
Die Intransparenz kann nicht nur bei einzelner Klausel aus ihrer inhaltlichen Unklarheit, mangelnden Verständlichkeit oder der unzureichender Erkennbarkeit ergeben, sondern auch aus der Gesamtregelung in den AGB.
https://investor.pypl.com/governance/board-of-directors/default.aspx
Wer so nett lächelt, kann doch kein schlechter Mensch sein oder?