Kategorien
Autor: Marek Jessen eFin-Blog Farbe: gelb

Teilt PayPal meine Daten, nur nicht mit mir? Eine Datenabfrage und die Grenzen des Auskunftsrechts

Teilt PayPal meine Daten, nur nicht mit mir? Eine Datenabfrage und die Grenzen des Auskunftsrechts

Ein Beitrag von Marek Jessen

6. November 2024

Kannst du mir das „paypalen“? – eine Frage, die ihren Weg in unser aller Alltag gefunden hat. Nur wenigen Firmen gelingt es, dass die Verwendung ihrer Dienste mit einem eigenen Verb bezeichnet wird – PayPal gehört dazu. Der Dienst steht sinnbildlich für das einfache und schnelle Versenden von Geld zwischen Freund:innen. PayPal ist allerdings weit mehr und mittlerweile aus dem Konzert digitaler Zahlungsmittel nicht mehr wegzudenken.

Für das Forschungsprojekt Geld als Datenträger, das die Datennutzung verschiedener digitaler Zahlungsmittel untersucht, wollte ich zunächst vermeintlich einfache Wege gehen, um erste Eindrücke von der Datennutzung digitaler Zahlungsanbieter zu gewinnen. PayPal sollte da nicht fehlen. Mit einem guten Schwung Neugierde wollte ich als PayPal-Nutzer mein Auskunftsrecht gemäß Art. 15 DSGVO geltend machen. Ob ich erfolgreich war und was dieser Versuch über die Durchsetzung von Rechten im Rahmen der DSGVO aussagt, darum soll es im Folgenden gehen.

Ein paar Eckpunkte zu PayPal

Die Geschichte von PayPal beginnt 1998, damals noch unter dem Namen Confinity. Aus heutiger Sicht interessant: Einer der Gründer war Peter Thiel, auch bekannt als früher Facebook-Investor (jetzt Meta), Vorstandsvorsitzender von Palantir (einem Anbieter von Software zur Analyse großer Datenmengen) und glühender Anhänger von Donald Trump. Mit der Fusionierung mit X.com im Jahre 2000 verschwindet der Name Confinity und wird durch den des Fusionspartners ersetzt. Elon Musk als einer der Mitgründer von X.com wird nach der Fusionierung Teil des Vorstands und CEO. Wenig später erhält das Unternehmen seinen heutigen Namen: PayPal. Durch die Übernahme von eBay im Jahre 2002 wurde ein weiterer wichtiger Grundstein für die heutige Bekanntheit gelegt.

Stand heute wird im deutschen Onlinehandel der meiste Umsatz über PayPal abgewickelt. Mit 88% der Befragten, die in einer Bundesbankstudie angegeben haben, PayPal zu kennen, ist es auch das bekannteste Web- und App-basierte Bezahlverfahren. Damit liegt es deutlich vor Klarna (74%), Google Pay (55%) sowie Apple Pay (55%). Eine ähnliche Entwicklung zeichnet sich im privaten Bereich ab, also bei sog. Peer-to-Peer (P2P)-Zahlungen. Knapp die Hälfte (48%) bevorzugen dafür „unbare“ Zahlungsmittel, wie es in der Bundesbankstudie heißt. An erster Stelle sind das klassische Überweisungen, diese werden jedoch dicht gefolgt von PayPal-Zahlungen, die insbesondere von jüngeren Leuten genutzt werden. Im europäischen Vergleich bieten in Deutschland die meisten Onlinehändler (93%) PayPal als Zahlungsmethode an. Abhängig von etablierten nationalen Lösungen oder einer Vorliebe für Barzahlungen, kann die Rate innerhalb der europäischen Länder erheblich schwanken. Beispielsweise bieten in Serbien lediglich 4% der Onlinehändler PayPal als Zahlungsmethode an.

Recht auf Auskunft geltend machen, aber wie?

Erfolg und Bekanntheit von PayPal machen es somit zwingend zu einem Teil unserer Untersuchung. Ein erster Anfang sollte mit einer einfachen Abfrage der Daten, also erstmal meiner Daten, gemacht werden.

Denn die Bundesbeauftragte für den Datenschutz und Informationsfreiheit (kurz BfDI) sieht in dem Recht auf Auskunft (Art. 15 DSGVO) ein „bedeutsames Betroffenenrecht“, das mir den Erhalt gespeicherter personenbezogener Daten ermöglicht, auch den „ergänzender Informationen, etwa über die Verarbeitungszwecke, die Herkunft der Daten […] oder über Empfänger“, an die meine Daten geliefert werden. Das Auskunftsrecht bezieht sich außerdem nicht nur auf „sogenannte Stammdaten“, sondern umfasst bspw. alle Daten mit Bezug zu meiner Person, wie z.B. Chatverläufe mit dem Kundensupport oder für PayPal besonders relevant: getätigte Geldsendungen. Es steht mir gemäß Gesetz offen, dieses Recht gegenüber öffentlichen Stellen zu erwirken, ebenso wie gegenüber nichtöffentlichen Stellen, u.a. Wirtschaftsunternehmen – und damit auch von PayPal.

Erstellt durch Adobe Firefly. Silhouette einer männlichen Figur, die von Zeichen für Zahlungsverkehr umgeben und durchzogen ist.

Mithilfe von Suchmaschinen fand ich sehr schnell einen Weg, meine Daten herunterzuladen. Offen gestanden wirkte das recht intuitiv, einer Recherche hätte es womöglich nicht bedurft. Letztendlich führt der folgende Pfad im PayPal-Account dorthin: „Einstellungen“ – „Daten & Datenschutz“ – „Ihre Daten herunterladen“. Bereits nach wenigen Sekunden erschien im eingebetteten Chat meines PayPal-Accounts die Nachricht Sender: CUSTOMER SERVICE mit dem Betreff: Wir haben Ihre Anforderung auf Datenzugriff erhalten. Versehen mit dem Verweis, dass mit der Arbeit begonnen werde und innerhalb von 30 Tagen eine Rückmeldung komme. Nach wenigen Minuten wiederum erhielt ich eine weitere Nachricht Sender: CUSTOMER SERVICE mit dem Betreff: Hier sind ihre Daten.

Beschwingt durch die intuitive Bedienbarkeit und schnelle Abwicklung meiner Anfrage öffnete ich das angehängte Datenpaket bestehend aus zwei Dokumenten: Data Processing Information.pdf und Personal Data File.pdf. Doch schnell wurde mir klar, dass meine Neugier nicht befriedigt, sondern enttäuscht wurde. Das Personal Data File enthielt primär meine Stammdaten (Name, Geburtstag, E-Mailadresse) sowie einige wenige Zusatzinformationen (verknüpftes Bankkonto) und blieb weit hinter meiner Erwartung zurück, eine umfassende Datenauskunft zu bekommen. Der Eindruck, das sei alles nicht zureichend, ließ sich auch deswegen nicht abschütteln, weil offensichtlich mehr Informationen in meinem Account über mich einsehbar als in der Auskunft enthalten waren.

Nun also per Einschreiben…

Mit nun gefasstem Forschungseifer dachte ich über andere, bestenfalls zielführendere, Wege nach. Ich wollte es auf dem Postweg versuchen. Über die Verbraucherzentrale fand ich eine Art Musterschreiben, das ich um weitere Identifikationsmerkmale ergänzte: meinen Benutzernamen und meine Mobile Advertising ID. Denn laut netzpolitik.org erleichtern zusätzliche Informationen bei Datenabfragen, insbesondere bei Datenhändlern, das Finden in deren Datenbanken.

Es blieb nun noch die Frage, an welche Adresse das Schreiben zu richten sei. Aufschluss darüber gibt die Landesbeauftragte für Datenschutz und Akteneinsicht in Brandenburg (lda), die im Grundsatz für PayPal verantwortlich ist. Die PayPal Deutschland GmbH hat nämlich ihren Sitz in Kleinmachnow, einer kleinen Gemeinde ca. 15 km von Potsdam entfernt. Auf der Homepage wird jedoch auf die Zuständigkeit der luxemburgischen Datenschutzbehörde, die Nationale Kommission für den Datenschutz (CNPD), verwiesen. In der deutschen Zweigniederlassung von PayPal findet nach „derzeitigem Kenntnisstand keine relevante Verarbeitung personenbezogener Nutzerdaten statt“. Ich schickte meinen Brief also an den europäischen Sitz des Unternehmens in Luxemburg.

Wenige Tage später bekam ich wieder über das Chatfenster eine Nachricht. Dieses Mal von PayPal Support mit dem Betreff: Postalischer Kontakt. Zur Beschleunigung des Prozesses kam die Nachfrage, ob ich den Datenumfang in Bezug auf Datenkategorien und den Erhebungszeitraum einschränken wolle. Unter Verweis auf das zugeschickte Dokument wies ich darauf hin, bereits eine erschöpfende Liste an Datenkategorien geschickt zu haben und bezüglich des Zeitraums könnten gerne alle Daten seit Accounteröffnung gesammelt werden.

Die Antwort kam prompt und sogar personalisiert durch eine Mitarbeiterin von PayPal. Der mutmaßlich menschliche Gegenpart wirkte zunächst erfrischend und hob sich von vorherigen Kontaktschleifen ab. Leider folgte sehr bald beim Lesen der Nachricht die Ernüchterung. Es fing zunächst eingängig und vielversprechend an:

„Wie in unserer Datenschutzerklärung beschrieben, verwenden wir Ihre personenbezogenen Daten, um Zahlungen zu verarbeiten, Betrug und Missbrauch zu verhindern, Konflikte zu klären, Ihnen eine personalisierte Erfahrung zu vermitteln und Sie über Angebote, Produkte und Dienstleistungen zu informieren.“

Ein Teil meiner Anfrage wurde in sehr groben Zügen aufgenommen. Meine Daten werden also zur Schaffung einer personalisierten Erfahrung genutzt, bspw. durch gezielte Konsumanreize. Aber der entsprechende Datenauszug, der mir eine bessere Nachvollziehbarkeit ermöglicht hätte, fehlte. Ein mit Chuzpe versehener Abschied rundete die Nachricht ab:

„Schön, dass ich Ihnen weiterhelfen konnte und ich wünsche Ihnen ein schönes Wochenende.

Viele Grüße

Name der Mitarbeiterin

PayPal-Kundenservice“

Hier endete der Kontakt mit PayPal, eine weitere Schleife habe ich nicht angestoßen. Ein Blick in die Datenschutzerklärung von PayPal klärt darüber auf, dass sie Daten potenziell mit einer Vielzahl an Partnern teilen. Selbstverständlich nur mit der Erlaubnis ihrer Kund:innen, die allerdings per default gesetzt ist. 

Theoretisch streng, praktisch nachlässig

Der Grundsatz, Auskunft über die gespeicherten Daten erhalten zu können, ist wertvoll, in der Realität aber – wie sich gezeigt hat – begrenzt und damit ausbaubedürftig. So zeichnete Max Schrems, Gründer von noyb – des Europäischen Zentrums für digitale Rechte, ein düsteres Bild, als er Ende Juni 2024 in einer Anhörung des Bundestages zu Potenzialen und Herausforderungen innovativer Datenpolitik zum Thema Recht auf Selbstauskunft Bilanz zog: Die Praxis zeige, dass das Auskunftsrecht „weder flächendeckend eingehalten noch durchgesetzt“ wird. Konkret bedeutet das, dass bei der Hälfte der gestellten Anfragen keine substanzielle Antwort und beim überwiegenden Rest nur Teilantworten zu erwarten seien. Eine vollständige Auskunft, so leitete er aus der Praxis ab, erhalten Auskunftssuchende in lediglich 5% der Fälle.

Theoretisch bliebe in solchen Fällen die Möglichkeit, sich bei der zuständigen Datenschutzbehörde zu beschweren und so eine vollständige Auskunft zu erwirken. Aber auch hier zeigte sich Schrems gerade mit Blick auf Deutschland ernüchtert. In der Anhörung verwies er darauf, dass noyb in der Regel davon absehe, Beschwerden bei deutschen Datenschutzbehörden einzureichen, weil diese schlichtweg nicht „bissig sind, da wird nicht ordentlich durchgesetzt“. Die Ironie liegt darin, dass die „deutsche Innenansicht“, also die Wahrnehmung der deutschen Öffentlichkeit, komplett konträr dazu ist. In der Selbstwahrnehmung trifft die wahrgenommene Strenge im Datenschutz keineswegs auf entsprechende Vollzugsqualitäten und damit auf eine unzureichende praktische Durchsetzung der Betroffenenrechte.

Abschließend bleibt zu sagen, dass dieses Ergebnis insgesamt ernüchternd ist. Auch wenn sich ausgehend von diesem Fall keine pauschale Aussage über andere Zahlungsdienstleister treffen lässt, bleibt festzuhalten, dass Zahlungsverkehrsdaten wegen der Möglichkeit sensible Einblicke in unser Leben zu geben, besonders wertvoll für eine Vielzahl von Interessen sind. Transparenz darüber zu schaffen, welche Daten vorhanden sind, kann da nur der erste Schritt sein. Daher ist es bedenklich, wenn es an der praktischen Durchsetzung des Auskunftsrechts zu hapern scheint.

Zurück zur Startseite des Blogs

Zum Diskursprojekt Demokratiefragen des digitalisierten Finanzsektors