Zum Inhalt springen Zur Navigation springen
Ein Blick in die neue Datenschutzerklärung von PayPal

Ein Blick in die neue Datenschutzerklärung von PayPal

Artikel von Dr. Datenschutz·22. März 2018

Die aktuelle Datenschutzerklärung von PayPal ist vom Umfang her eine Wucht. Leider gilt dies nicht für den gewährten Datenschutz. Hier soll sich ab Mai 2018 einiges ändern. Wir wagen einen ersten Blick.

PayPals Textwüsten

In der Vergangenheit sind PayPals Datenschutzbestimmungen regelmäßig kritisiert worden, so auch von uns. Ein zentraler Kritikpunkt war der massive Umfang, denn die aktuelle „Datenschutzrichtlinie“ vom 27. April 2017 ist als PDF 26 Seiten lang und für den Nutzer somit kaum zu überblicken. Sie wird deshalb in einer Untersuchung von Verbraucherschützern als „formal unverständlich“ bewertet. Begründet wird diese Einschätzung unter anderem damit, dass ein Durchschnittsleser etwa 24 Minuten braucht, um sich die gesamte Erklärung durchzulesen. Im Payment-Anbieter Direktvergleich: Die Datenschutzerklärung von PayPal ist sieben Mal so umfangreich wie die von SOFORT Überweisung.

Sprachliche Unklarheiten

Die Datenschutzerklärung wird mit sprachlichen Unklarheiten verwässert, etwa dem häufigen Gebrauch von unbestimmten Begriffen wie „unter bestimmten Umständen“, „möglicherweise“, „gegebenenfalls“, wodurch dem Nutzer eigentlich nie wirklich klar wird, wann eigentlich welcher Fall vorliegt und mit welchen Datenverarbeitungen tatsächlich gerechnet werden muss.

Ein weiterer Kritikpunkt ist die gigantische Liste von Drittunternehmen, für die sich PayPal das Recht der Datenweitergabe einräumen lässt. Ausgedruckt ist die Liste mittlerweile über 83 Seiten lang. Auch wenn die Liste einen erschreckenden Umfang haben mag, muss man PayPal hier zu Gute halten, dass der Umfang der Datenweitergabe transparent nach außen kommuniziert wird.

Da die Datenübertragung an Marketing- und Werbepartner, wie sie auch hier vorgesehen ist, nur mit der vorherigen Einwilligung des Betroffenen rechtmäßig ist, erteilt sich die aktuelle PayPal Datenschutzerklärung unter Lit. 6 eine solche Einwilligung praktischerweise gleich selbst:

„Sie stimmen ausdrücklich zu und weisen PayPal an, dass mit Ihren Informationen die nachfolgenden Maßnahmen ergriffen werden dürfen: […]“

Ein solches Vorgehen ist unzulässig, da eine Einwilligung nur wirksam ist, wenn sie für den konkreten Fall und in Kenntnis der Sachlage erteilt wird. Vor diesem Hintergrund kann eine in der Datenschutzerklärung versteckte Blanko-Einwilligung keine wirksame Rechtsgrundlage für die Übermittlung an Dritte sein.

Echte Neuerungen durch die DSGVO?

Die aktuellen Datenschutzgrundsätze von PayPal gelten noch bis zum 24. Mai 2018 und werden ab dem 25. Mai 2018 durch die sog. „EWR-Datenschutzgrundsätze“ abgelöst.

Das Geltungsdatum und der Name (EWR ist das Kürzel für Europäischer Wirtschaftsraum) sind ein Hinweis darauf, dass PayPal mit der neuen Datenschutzerklärung vor allem die Vorgaben der DSGVO im Blick haben dürfte.

Nachdem PayPal vor nicht allzu langer Zeit wegen überlanger AGB-Klauseln durch eine Verbraucherschutzzentrale abgemahnt wurde, scheint hier langsam ein Umdenken stattzufinden: Der neue Entwurf der Datenschutzerklärung ist im Vergleich zur aktuellen Fassung (26 Seiten) nur noch 11 Seiten lang. Der Entwurf macht insgesamt auch einen deutlich übersichtlicheren Eindruck. Die Regelungsbereiche sind unter logisch nachvollziehbaren Überschriften festgelegt.

Auffällig ist, dass der Hinweis auf die involvierten Drittunternehmen aus der Datenschutzerklärung verschwunden ist, woraus jedoch nicht der Schluss gezogen werden kann, dass eine Datenübermittlung an unzählige Drittunternehmen nicht mehr stattfindet.

Neue Kontaktmöglichkeiten

Während die aktuelle Datenschutzerklärung hinsichtlich der Kontaktmöglichkeiten zu einem Kontakt-Formular verlinkt, durch den der Nutzer jedoch nur auf eine weitere Hilfsseite ohne richtige Kontaktmöglichkeit gelangt, besteht in der neuen Erklärung nun ein richtiges Kontaktfeld für Fragen zum Datenschutz, um mit dem Unternehmen in Dialog treten zu können. Auch die Kontaktanschrift des Datenschutzbeauftragten ist nunmehr angegeben. Überraschenderweise findet sich der Hinweis über die Beschwerdemöglichkeit gegenüber Datenschutzbehörden (Art. 13 Abs.2 lit. d und Art. 77 DSGVO) nicht unter der Überschrift „10. Welche Rechte haben Sie?“, sondern unter der Überschrift „14. Sprechen Sie uns an.“

Keine versteckten Blanko-Einwilligungen

Eine offenkundige Änderung ist zudem der Hinweis, dass personenbezogene Daten an Dritte nur weitergegeben werden, wenn der Nutzer dazu seine Zustimmung erteilt oder PayPal dazu anweist. In Datenschutzerklärungen versteckte Blanko-Einwilligungen scheinen bei PayPal also bald der Vergangenheit anzugehören.

Während die aktuelle Datenschutzerklärung dem Nutzer weder ein Widerrufs- noch ein Widerspruchsrecht gegen die Verarbeitung einräumt, umfasst die neue Erklärung alle Rechte, welche gem. Art. 12-23 DSGVO für Betroffene vorgesehen sind. Hier wird nun auch ausdrücklich das Widerspruchsrecht gegen Datenverarbeitungen erwähnt.

Sichtlich bemüht

Die Änderungen fallen im direkten Vergleich zu den aktuellen Datenschutzerklärungen positiv aus. Ein wesentlicher Kritikpunkt, in Form der „Unverständlichkeit“ aufgrund des enormen Umfangs, wurde hier durch PayPal adressiert. Im Vergleich zur aktuellen Datenschutzerklärung sind positiv auch die DSGVO-konform gewährten Hinweise auf die Betroffenenrechte und die erleichterten Kontaktmöglichkeiten aufgefallen. Fragwürdig bleibt weiterhin der (nunmehr unklare) Umfang der Datenweitergabe. Auch die Hinweise zu den Widerspruchsmöglichkeiten gegen Tracking und personalisierte Werbung fallen derart wolkig aus, dass Nutzer faktisch auf sich allein gestellt bleiben, wie sie einem (Werbe-)Tracking, beispielsweise durch entsprechende Browser-Einstellungen – Stichwort Inkognito-Modus – entgehen können.

Mehr zum Thema
Informieren Sie sich über unsere praxisnahen Webinare
  • »Microsoft 365 sicher gestalten«
  • »Informationspflichten nach DSGVO«
  • »Auftragsverarbeitung in der Praxis«
  • »DSGVO-konformes Löschen«
  • »IT-Notfall Ransomware«
  • »Bewerber- und Beschäftigtendatenschutz«
Webinare entdecken
Mit dem Code „Webinar2024B“ erhalten Sie 10% Rabatt, gültig bis zum 30.06.2024.
Beitrag kommentieren
Fehler entdeckt oder Themenvorschlag? Kontaktieren Sie uns anonym hier.

  • Muss ich auf meiner Shop-Homepage einen Hinweis in der Datenschutzerklärung machen, dass und welche Daten an Paypal übermittelt werden?

    • Ja, das wäre anzuraten. Wählt der Nutzer während des Bestellvorgangs den Zahlungsdienstleister PayPal aus, werden automatisiert Daten des Nutzers an den Zahlungsdienstleister übermittelt. Darüber hinaus werden Nutzerdaten im Rahmen der Zahlungsabwicklung an PayPal übermittelt. Dies sollte in der Datenschutzerklärung angegeben werden.

  • Unklar und darüber schweigt sich Paypal weiterhin aus, wann und ob welche Auskunftei zur Bearbeitung der Zahlung angefragt wurde. Insbesondere sind natürlich die Auswirkdungen auf den nebulösen Schufascore gemeint.

  • Sehr geehrte Damen und Herren,
    ich habe ein Paypalkonto eröffnet, jetzt sollte ich noch meinen Lichtbildausweis hochladen.
    Ich habe ich beim PaypalSupport von meiner Festnetznummer angerufen und mitgeteilt dass ich die sofortige Löschung meiner Daten wünsche.
    Bankdaten und Festnetznummer müssten als eindeutige Indikatoren reichen.
    Mein PaypalKonto kann ich nicht löschen, da der entsprechende Button deaktiviert ist. Mein Konto würde halt brach liegen, lautete die lapidare Antwort der netten Dame vom Paypal Support?
    Ich wäre Ihnen sehr dankbar, wenn Sie mir weiterhelfen könnten !

Die von Ihnen verfassten Kommentare erscheinen nicht sofort, sondern erst nach Prüfung und Freigabe durch unseren Administrator. Bitte beachten Sie auch unsere Nutzungsbedingungen und unsere Datenschutzerklärung.