Zum Inhalt springen Zur Navigation springen
Neue PayPal-AGBs: Verstoß gegen Europäisches Datenschutzrecht

Neue PayPal-AGBs: Verstoß gegen Europäisches Datenschutzrecht

Mit Wirkung zum 01.07.2015 hat der luxemburgische Zahlungsdienstleister PayPal Europe SARL sowohl seine Nutzungsbedingungen, als auch seine Datenschutzbestimmungen geändert.

Das ist normalerweise keine große Sache und geschieht tausendfach. Allerdings hat PayPal mit seiner aktuellen Änderung erhebliche, für den durchschnittlichen Nutzer nicht sofort offensichtliche, Änderungen vorgenommen, die einen schweren Einschnitt in den Datenschutz und das Recht auf informationelle Selbstbestimmung bedeuten.

Kritikpunkte

Wer soll das noch Überblicken?

Die von PayPal veröffentlichten Nutzungsbedingungen fassen – leserlich ausgedruckt – einen Umfang von 100 DIN-A-4 Seiten. Und selbst die hierzu veröffentlichten „Übersichtspapiere„, die die wesentlichen Änderungen enthalten sollen und dem Nutzer als erste Information dienen, umfassen noch mindestens ausgedruckte 20 DIN-A-4 Seiten. Selbstverständlich sind diese Bestimmungen in juristisch korrekter Formulierung verfasst, was für den durchschnittlichen PayPal-Nutzer als Nichtjuristen ebenfalls eine nicht zu unterschätzende Hürde bei der Erarbeitung des Inhaltes darstellen dürfte. Hier muss ein interessierter Nutzer also viel Zeit und Muße mitbringen, um sich durch das darin enthaltene Juristen-Kaudawelsch zu erarbeiten. Manche Änderungen werden sich ihm auch nach mehrmaligem Lesen nicht in Gänze erschließen.

Keine ausdrückliche Zustimmung der Nutzer erforderlich

Erschwerend kommt noch hinzu, dass sich PayPal, ebenso wie dies bei Facebook gängige Praxis ist, dazu entschlossen hat, die Nutzungsänderungen automatisch im Rahmen der Weiternutzung und ohne eine ausdrückliche Zustimmungshandlung der Nutzer in Kraft treten zu lassen. Viele Nutzer werden von den Änderungen daher kaum Notiz nehmen.

Verstoß gegen Datenschutzrecht

Und, was noch viel schwerer wiegt, dieses Vorgehen verstößt, wie es der Kollege Ulbricht gegenüber dem Handelsblatt treffend ausführte, neben dem für die Firma PayPal zuständigen luxemburgischen Datenschutzrecht auch gegen europäisches Datenschutzrecht. Denn danach ist insbesondere die werbliche Nutzung von personenbezogenen Daten nur mit vorheriger Zustimmung des Betroffenen zulässig. Diese wird hier allerdings gerade umgangen. Dadurch wird dem Nutzer das Recht zur freien Bestimmung über die Nutzung seiner Daten faktisch entzogen.

Eine Möglichkeit, der Nutzung der Daten durch PayPal zu widersprechen, wurde ebenfalls nicht in die Bestimmungen aufgenommen. Nutzern, die mit diesen Änderungen nicht einverstanden sind, bleibt es überlassen, so PayPal in seiner Präambel, ihr Nutzerkonto aufzulösen.

Weitere Kritikpunkte

Dieses Vorgehen ist, nicht zuletzt vor dem Hintergrund, dass es sich bei PayPal nicht um ein reines soziales Netzwerk wie Facebook oder Xing handelt, sondern um einen vielfach genutzten Bezahldienst, in erheblichem Maße Besorgnis erregend. Hier besteht eine erheblich größere und zum Teil auch wirtschaftlich relevante Abhängigkeit des Nutzers vom Dienst, als bei reinen sozialen Netzwerken. Hier seien nur die zahlreichen Webshop-Betreiber genannt, die einen Großteil Ihres Zahlungsverkehrs über PayPal abwickeln. Einfach „auszusteigen“ würde zwangsläufig wirtschaftliche Einbußen bedeuten.

Wo bleibt der Datenschutz

Ein Nutzer ist nur dann noch „Herr seiner Daten“ und kann sein ihm gesetzlich garantiertes Recht auf Informationelle Selbstbestimmung ausüben, wenn er umfassend über die im Unternehmen erfolgte Datennutzung und –verarbeitung informiert wird. Das wird mit den durch PayPal zur Verfügung gestellten Informationen sicherlich versucht. Nachfolgend wollen wir am Beispiel der Datenweitergabe an Dritte allerdings darstellen, wie weitreichend einzelne Formulierungen sein können und wie auch eine „umfassende Information“ sich in ihr Gegenteil verkehren kann.

Datenweitergabe an Dritte

Nach Nr. 6 der Datenschutzgrundsätze hat PayPal das Recht – und der Nutzer willigt hierin automatisch ein – , “Kontoinformationen“ für eine Vielzahl von verschiedenen Zwecken zu verwenden. Dieses sind zum einen die Nutzung zur Durchführung von Transaktionen und Unterbringung der PayPal-Dienstleistungen (Nr. 6 lit. c.) aber auch die typischen Service-Optimierungs-Zwecke, wie z.B. Messung der Leistung der PayPal-Dienste und Auswertung des Nutzerverhaltens. Zum anderen bedingt sich PayPal in Nr. 6 lit. d. das Recht aus, die Nutzerdaten gezielt zur Nutzung durch Marketing- und Werbepartnern zur Verfügung zu stellen.

Um welche Firmen es sich hierbei handelt veröffentlicht Paypal in einer – nicht abschließenden -„Drittanbieterliste“. Ein Blick in dieses Dokument lässt das Ausmaß der Datenweitergabe bereits erahnen. Denn hier tummeln sich eine Vielzahl von unterschiedlichsten Unternehmen (Banken, e-Dienstleister, Servicepartner, aber auch Wirtschaftsprüfer, Analysedienste, Auskunfteien, Marketingpartner, Cloud-Dienstleister, Retargeting-Anbieter, verbundene Unternehmen) die die erhaltenen Daten zu sehr unterschiedlichen Zwecken nutzen dürften.

Der Begriff der „Kontoinformationen“ wird nach Nr.6 definiert als die Datenfelder

  • Name,
  • Adresse,
  • eMail-Adresse,
  • Telefonnummer,
  • Benutzername,
  • Foto,
  • IP-Adresse, Geräte-ID, Standortdaten,
  • Kontonummer, Kontoangaben, Angaben zu dem mit dem kontogenutzten Zahlungsinstrumenten,
  • Details der Zahlungsvorgänge, Details zu geschäftlichen Zahlungen,
  • Kundenangaben und Berichte,
  • Kontovoreinstellungen,
  • Angaben zur Identität, die im Rahmen der eigenen „Know your customer“ Prüfung erfassten Daten und die
  • Kundenkorrespondenz.

Fazit

Im Ergebnis ist festzustellen, dass der Nutzer auch bei einer umfassenden Darstellung der involvierten Drittanbieter keine Kontrolle mehr über seinen Daten haben kann, wenn ihm, wie hier, das stärkste Schwert im Kampf gegen den ausufernden Datenmissbrauch, die Pflicht zur Einholung einer umfassend informierten, konkreten Einwilligung im Vorfeld der Datenweitergabe genommen wird.

Wie soll ein privater Nutzer angesichts dieser Flut an Informationen und der Vielzahl von Drittanbietern noch Herr seiner Daten bleiben?

Und soll er nun ggf. bei jedem Einzelnen, von PayPal aufgeführten Unternehmen ggf. eine Datenlöschung selbst herbeiführen?

Sicherlich ist es kein probates Vorgehen für einen Großanbieter wie PayPal, von jedem Kunden explizite Einwilligungen einzuholen. Eine realistische Ausübung des Rechts auf informationelle Selbstbestimmung kann jedoch dann nicht mehr angenommen werden, wenn der Verbraucher mit einer derartigen Flut an Informationen, einer derartigen Vielzahl von Empfängern und schlussendlich mangels Bestehens eines Widerspruchsrechts die Datenweitergabe nicht steuern kann. Hier kommt es zu einem Unterlaufen eines verfassungsrechtlich garantierten Grundrechtes. Das ist nicht hinnehmbar.

Und die Lösung?

Dieses Dilemma wird wohl nur der Gesetzgeber lösen können und auch müssen. Ob dies im Rahmen der zu verabschiedenden europäischen Datenschutzgrundverordnung gelingt, ist fragwürdig, wird auch hierin weiterhin allein auf die individuelle Einwilligung des Betroffenen abgestellt, was für viele Unternehmen wirtschaftlich schwierig umzusetzen sein dürfte.

Vorschläge in diesem Bereich wären z.B. die Nutzung von nach der Sensibilität von Daten abgestuftes Legitimationsmodell oder die Schaffung einer gesetzlich angelegten, generalisierten Einwilligung, die alle für den Betrieb einer Internetplattform oder auch eines Zahlungsdienstleister erforderlichen Datenverarbeitungen in einer festgelegten datenschutzfreundlichen Grundeinstellung erklärt.

So führt er hier aus:

Will der Anbieter über diese Grundeinstellung hinausgehen, so muss er sich die jeweilige Datenverarbeitung individuell vom dem Nutzer im Rahmen einer Einwilligung (Opt-In) freigeben lassen. Denkbar wäre auch das „Risiko“ der jeweiligen zusätzlichen Datenverarbeitung (z.B. bei einer Weitergabe an Dritte) mit standardisierten Icons (z.B. eine Ampel) zu veranschaulichen.

Zu Guter Letzt

Auch nach unserer Auffassung hätte PayPal dem Kunden zumindest eine irgend geartete Reaktionsmöglichkeit, abseits der Account-Löschung, bereitstellen müssen. Dieses wäre z.B. durch die Einräumung eines Widerspruchsrechts oder eines irgend gearteten Opt-out möglich gewesen.

Informieren Sie sich über unsere praxisnahen Webinare
  • »Microsoft 365 sicher gestalten«
  • »Informationspflichten nach DSGVO«
  • »Auftragsverarbeitung in der Praxis«
  • »DSGVO-konformes Löschen«
  • »IT-Notfall Ransomware«
  • »Bewerber- und Beschäftigtendatenschutz«
Webinare entdecken
Mit dem Code „Webinar2024B“ erhalten Sie 10% Rabatt, gültig bis zum 30.06.2024.
Beitrag kommentieren
Fehler entdeckt oder Themenvorschlag? Kontaktieren Sie uns anonym hier.
  • Wo ist das Problem? Ist denn PayPal der einzige Anbieter auf der Welt? Sicherlich nein. Ich habe noch nie PayPal genutzt und bin bisher sehr gut zurecht gekommen. Ich brauche PayPal also nicht und muss mir diesbezüglich auch um meine Daten keine Sorgen machen.

Die von Ihnen verfassten Kommentare erscheinen nicht sofort, sondern erst nach Prüfung und Freigabe durch unseren Administrator. Bitte beachten Sie auch unsere Nutzungsbedingungen und unsere Datenschutzerklärung.