Ein Blick in die neue Datenschutzerklärung von PayPal

Fachbeitrag

Die aktuelle Datenschutzerklärung von PayPal ist vom Umfang her eine Wucht. Leider gilt dies nicht für den gewährten Datenschutz. Hier soll sich ab Mai 2018 einiges ändern. Wir wagen einen ersten Blick.

PayPals Textwüsten

In der Vergangenheit sind PayPals Datenschutzbestimmungen regelmäßig kritisiert worden, so auch von uns. Ein zentraler Kritikpunkt war der massive Umfang, denn die aktuelle „Datenschutzrichtlinie“ vom 27. April 2017 ist als PDF 26 Seiten lang und für den Nutzer somit kaum zu überblicken. Sie wird deshalb in einer Untersuchung von Verbraucherschützern als „formal unverständlich“ bewertet. Begründet wird diese Einschätzung unter anderem damit, dass ein Durchschnittsleser etwa 24 Minuten braucht, um sich die gesamte Erklärung durchzulesen. Im Payment-Anbieter Direktvergleich: Die Datenschutzerklärung von PayPal ist sieben Mal so umfangreich wie die von SOFORT Überweisung.

Sprachliche Unklarheiten

Die Datenschutzerklärung wird mit sprachlichen Unklarheiten verwässert, etwa dem häufigen Gebrauch von unbestimmten Begriffen wie „unter bestimmten Umständen“, „möglicherweise“, „gegebenenfalls“, wodurch dem Nutzer eigentlich nie wirklich klar wird, wann eigentlich welcher Fall vorliegt und mit welchen Datenverarbeitungen tatsächlich gerechnet werden muss.

Ein weiterer Kritikpunkt ist die gigantische Liste von Drittunternehmen, für die sich PayPal das Recht der Datenweitergabe einräumen lässt. Ausgedruckt ist die Liste mittlerweile über 83 Seiten lang. Auch wenn die Liste einen erschreckenden Umfang haben mag, muss man PayPal hier zu Gute halten, dass der Umfang der Datenweitergabe transparent nach außen kommuniziert wird.

Da die Datenübertragung an Marketing- und Werbepartner, wie sie auch hier vorgesehen ist, nur mit der vorherigen Einwilligung des Betroffenen rechtmäßig ist, erteilt sich die aktuelle PayPal Datenschutzerklärung unter Lit. 6 eine solche Einwilligung praktischerweise gleich selbst:

„Sie stimmen ausdrücklich zu und weisen PayPal an, dass mit Ihren Informationen die nachfolgenden Maßnahmen ergriffen werden dürfen: […]“

Ein solches Vorgehen ist unzulässig, da eine Einwilligung nur wirksam ist, wenn sie für den konkreten Fall und in Kenntnis der Sachlage erteilt wird. Vor diesem Hintergrund kann eine in der Datenschutzerklärung versteckte Blanko-Einwilligung keine wirksame Rechtsgrundlage für die Übermittlung an Dritte sein.

Echte Neuerungen durch die DSGVO?

Die aktuellen Datenschutzgrundsätze von PayPal gelten noch bis zum 24. Mai 2018 und werden ab dem 25. Mai 2018 durch die sog. „EWR-Datenschutzgrundsätze“ abgelöst.

Das Geltungsdatum und der Name (EWR ist das Kürzel für Europäischer Wirtschaftsraum) sind ein Hinweis darauf, dass PayPal mit der neuen Datenschutzerklärung vor allem die Vorgaben der DSGVO im Blick haben dürfte.

Nachdem PayPal vor nicht allzu langer Zeit wegen überlanger AGB-Klauseln durch eine Verbraucherschutzzentrale abgemahnt wurde, scheint hier langsam ein Umdenken stattzufinden: Der neue Entwurf der Datenschutzerklärung ist im Vergleich zur aktuellen Fassung (26 Seiten) nur noch 11 Seiten lang. Der Entwurf macht insgesamt auch einen deutlich übersichtlicheren Eindruck. Die Regelungsbereiche sind unter logisch nachvollziehbaren Überschriften festgelegt.

Auffällig ist, dass der Hinweis auf die involvierten Drittunternehmen aus der Datenschutzerklärung verschwunden ist, woraus jedoch nicht der Schluss gezogen werden kann, dass eine Datenübermittlung an unzählige Drittunternehmen nicht mehr stattfindet.

Neue Kontaktmöglichkeiten

Während die aktuelle Datenschutzerklärung hinsichtlich der Kontaktmöglichkeiten zu einem Kontakt-Formular verlinkt, durch den der Nutzer jedoch nur auf eine weitere Hilfsseite ohne richtige Kontaktmöglichkeit gelangt, besteht in der neuen Erklärung nun ein richtiges Kontaktfeld für Fragen zum Datenschutz, um mit dem Unternehmen in Dialog treten zu können. Auch die Kontaktanschrift des Datenschutzbeauftragten ist nunmehr angegeben. Überraschenderweise findet sich der Hinweis über die Beschwerdemöglichkeit gegenüber Datenschutzbehörden (Art. 13 Abs.2 lit. d und Art. 77 DSGVO) nicht unter der Überschrift „10. Welche Rechte haben Sie?“, sondern unter der Überschrift „14. Sprechen Sie uns an.“

Keine versteckten Blanko-Einwilligungen

Eine offenkundige Änderung ist zudem der Hinweis, dass personenbezogene Daten an Dritte nur weitergegeben werden, wenn der Nutzer dazu seine Zustimmung erteilt oder PayPal dazu anweist. In Datenschutzerklärungen versteckte Blanko-Einwilligungen scheinen bei PayPal also bald der Vergangenheit anzugehören.

Während die aktuelle Datenschutzerklärung dem Nutzer weder ein Widerrufs- noch ein Widerspruchsrecht gegen die Verarbeitung einräumt, umfasst die neue Erklärung alle Rechte, welche gem. Art. 12-23 DSGVO für Betroffene vorgesehen sind. Hier wird nun auch ausdrücklich das Widerspruchsrecht gegen Datenverarbeitungen erwähnt.

Sichtlich bemüht

Die Änderungen fallen im direkten Vergleich zu den aktuellen Datenschutzerklärungen positiv aus. Ein wesentlicher Kritikpunkt, in Form der „Unverständlichkeit“ aufgrund des enormen Umfangs, wurde hier durch PayPal adressiert. Im Vergleich zur aktuellen Datenschutzerklärung sind positiv auch die DSGVO-konform gewährten Hinweise auf die Betroffenenrechte und die erleichterten Kontaktmöglichkeiten aufgefallen. Fragwürdig bleibt weiterhin der (nunmehr unklare) Umfang der Datenweitergabe. Auch die Hinweise zu den Widerspruchsmöglichkeiten gegen Tracking und personalisierte Werbung fallen derart wolkig aus, dass Nutzer faktisch auf sich allein gestellt bleiben, wie sie einem (Werbe-)Tracking, beispielsweise durch entsprechende Browser-Einstellungen – Stichwort Inkognito-Modus – entgehen können.

intersoft consulting services AG

Als Experten für Datenschutz, IT-Sicherheit und IT-Forensik beraten wir deutschlandweit Unternehmen. Informieren Sie sich hier über unser Leistungsspektrum:

Externer Datenschutzbeauftragter

2 Kommentare zu diesem Beitrag

  1. Muss ich auf meiner Shop-Homepage einen Hinweis in der Datenschutzerklärung machen, dass und welche Daten an Paypal übermittelt werden?

    • Ja, das wäre anzuraten. Wählt der Nutzer während des Bestellvorgangs den Zahlungsdienstleister PayPal aus, werden automatisiert Daten des Nutzers an den Zahlungsdienstleister übermittelt. Darüber hinaus werden Nutzerdaten im Rahmen der Zahlungsabwicklung an PayPal übermittelt. Dies sollte in der Datenschutzerklärung angegeben werden.

Hinterlassen Sie einen Kommentar

Die von Ihnen verfassten Kommentare erscheinen nicht sofort, sondern erst nach Prüfung und Freigabe durch unseren Administrator. Bitte beachten Sie auch unsere Nutzungsbedingungen und unsere Datenschutzerklärung.