Digitale Zahlungen sind längst Alltag – ob mit Karte, Handy oder PayPal. Doch jedes Mal hinterlassen wir Datenspuren. In dieser Auftaktfolge der Staffel „Sicheres Geld im Netz“ fragen wir: Wer sieht diese Daten eigentlich? Warum sind Zahlungsdaten so viel sensibler als andere digitale Spuren? Und wie werden sie insbesondere von den derzeitigen Akteuren am Zahlungsmarkt genutzt? Ist diffuses Unbehagen oder Gleichmut berechtigt – denn konkretes Wissen darüber, was im Hintergrund passiert, ist nicht gang und gäbe.
Die Folge diskutiert den Unterschied zwischen Security und Privacy, und wer Zahlungsdaten für personalisierte Angebote, Services oder anderweitig verwertet. Sie beleuchtet die Datennutzung und die Geschäftsmodelle von PayPal, Klarna, Mastercard, Visa, Google und Apple Pay, von klassischen Geschäftsbanken und der Wero-Initiative, fragt, welche Bezahloption eher „datenarm“, welche eher „datenintensiv“ sind. Schließlich fragen wir, welche Risiken aus der Konzentration von Zahlungs- und Nutzerdaten bei Big Tech entstehen könnte – und warum der Umgang mit Zahlungsdaten nicht nur individuell, sondern auch gesellschaftlich relevant ist.
Digitalgelddickicht Staffel Sicheres Geld – Wer unsere Zahlungen sieht und sie wie nutzt| 30. Oktober 2025
Gäste
Marek Jessen war Mitarbeiter im ZEVEDI-Projekt Geld als Datenträger und arbeitet inzwischen als Referent für Strategie und Business des Digitalen Euro beim Deutschen Sparkassen- und Giroverband (DSGV). Zudem war er beim Bundesverband deutscher Banken (BdB) und dem Europäischen Datenschutzbeauftragten (EDSB) beschäftigt.
Carolina Melches ist Ökonomin und Referentin für Digitalisierung und Finanzinnovation beim Investigativteam Finanzwende Recherche der Bürgerbewegung Finanzwende. Unter anderem hat sie sich in der StudieMehr Geld, mehr Macht: Big-Techs im Finanzwesen (2024) mit dessen Risiken und Regulierungslücken befasst. Ihr Fokus liegt sonst auch auf den Themen Digital Payments und Banking und digitalem Zentralbankgeld. Zuvor war sie wissenschaftliche Mitarbeiterin im Bundestag und für den Finanzausschuss zuständig.
Markus Montz ist Redakteur bei c’t (Heise) und berichtet dort schwerpunktmäßig zu Finanz-IT, elektronischem Bezahlen, Online-Banking und Betrugsmaschen im Zahlungsverkehr.
Dr. Markus Unternährer ist Post Doc am Soziologischen Seminar der Universität Luzern und Mitarbeitender im SNF-Projekt Digital payments: Making payments personal and social. Bereits in seiner Promotion mit der digitalen Ökonomie befasst, forscht er jetzt zur Konvergenz von Geld- und Datentransfers, zur Rolle von FinTechs und Zahlungsinfrastrukturen sowie zu den Aushandlungsprozessen zwischen Banken, Payment-Anbietern und Nutzenden.
Teilt PayPal meine Daten, nur nicht mit mir? Eine Datenabfrage und die Grenzen des Auskunftsrechts
Ein Beitrag von Marek Jessen
6. November 2024
Kannst du mir das „paypalen“? – eine Frage, die ihren Weg in unser aller Alltag gefunden hat. Nur wenigen Firmen gelingt es, dass die Verwendung ihrer Dienste mit einem eigenen Verb bezeichnet wird – PayPal gehört dazu. Der Dienst steht sinnbildlich für das einfache und schnelle Versenden von Geld zwischen Freund:innen. PayPal ist allerdings weit mehr und mittlerweile aus dem Konzert digitaler Zahlungsmittel nicht mehr wegzudenken.
Für das Forschungsprojekt Geld als Datenträger, das die Datennutzung verschiedener digitaler Zahlungsmittel untersucht, wollte ich zunächst vermeintlich einfache Wege gehen, um erste Eindrücke von der Datennutzung digitaler Zahlungsanbieter zu gewinnen. PayPal sollte da nicht fehlen. Mit einem guten Schwung Neugierde wollte ich als PayPal-Nutzer mein Auskunftsrecht gemäß Art. 15 DSGVO geltend machen. Ob ich erfolgreich war und was dieser Versuch über die Durchsetzung von Rechten im Rahmen der DSGVO aussagt, darum soll es im Folgenden gehen.
Ein paar Eckpunkte zu PayPal
Die Geschichte von PayPal beginnt 1998, damals noch unter dem Namen Confinity. Aus heutiger Sicht interessant: Einer der Gründer war Peter Thiel, auch bekannt als früher Facebook-Investor (jetzt Meta), Vorstandsvorsitzender von Palantir (einem Anbieter von Software zur Analyse großer Datenmengen) und glühender Anhänger von Donald Trump. Mit der Fusionierung mit X.com im Jahre 2000 verschwindet der Name Confinity und wird durch den des Fusionspartners ersetzt. Elon Musk als einer der Mitgründer von X.com wird nach der Fusionierung Teil des Vorstands und CEO. Wenig später erhält das Unternehmen seinen heutigen Namen: PayPal. Durch die Übernahme von eBay im Jahre 2002 wurde ein weiterer wichtiger Grundstein für die heutige Bekanntheit gelegt.
Stand heute wird im deutschen Onlinehandel der meiste Umsatz über PayPal abgewickelt. Mit 88% der Befragten, die in einer Bundesbankstudie angegeben haben, PayPal zu kennen, ist es auch das bekannteste Web- und App-basierte Bezahlverfahren. Damit liegt es deutlich vor Klarna (74%), Google Pay (55%) sowie Apple Pay (55%). Eine ähnliche Entwicklung zeichnet sich im privaten Bereich ab, also bei sog. Peer-to-Peer (P2P)-Zahlungen. Knapp die Hälfte (48%) bevorzugen dafür „unbare“ Zahlungsmittel, wie es in der Bundesbankstudie heißt. An erster Stelle sind das klassische Überweisungen, diese werden jedoch dicht gefolgt von PayPal-Zahlungen, die insbesondere von jüngeren Leuten genutzt werden. Im europäischen Vergleich bieten in Deutschland die meisten Onlinehändler (93%) PayPal als Zahlungsmethode an. Abhängig von etablierten nationalen Lösungen oder einer Vorliebe für Barzahlungen, kann die Rate innerhalb der europäischen Länder erheblich schwanken. Beispielsweise bieten in Serbien lediglich 4% der Onlinehändler PayPal als Zahlungsmethode an.
Recht auf Auskunft geltend machen, aber wie?
Erfolg und Bekanntheit von PayPal machen es somit zwingend zu einem Teil unserer Untersuchung. Ein erster Anfang sollte mit einer einfachen Abfrage der Daten, also erstmal meiner Daten, gemacht werden.
Denn die Bundesbeauftragte für den Datenschutz und Informationsfreiheit (kurz BfDI) sieht in dem Recht auf Auskunft (Art. 15 DSGVO) ein „bedeutsames Betroffenenrecht“, das mir den Erhalt gespeicherter personenbezogener Daten ermöglicht, auch den „ergänzender Informationen, etwa über die Verarbeitungszwecke, die Herkunft der Daten […] oder über Empfänger“, an die meine Daten geliefert werden. Das Auskunftsrecht bezieht sich außerdem nicht nur auf „sogenannte Stammdaten“, sondern umfasst bspw. alle Daten mit Bezug zu meiner Person, wie z.B. Chatverläufe mit dem Kundensupport oder für PayPal besonders relevant: getätigte Geldsendungen. Es steht mir gemäß Gesetz offen, dieses Recht gegenüber öffentlichen Stellen zu erwirken, ebenso wie gegenüber nichtöffentlichen Stellen, u.a. Wirtschaftsunternehmen – und damit auch von PayPal.
Mithilfe von Suchmaschinen fand ich sehr schnell einen Weg, meine Daten herunterzuladen. Offen gestanden wirkte das recht intuitiv, einer Recherche hätte es womöglich nicht bedurft. Letztendlich führt der folgende Pfad im PayPal-Account dorthin: „Einstellungen“ – „Daten & Datenschutz“ – „Ihre Daten herunterladen“. Bereits nach wenigen Sekunden erschien im eingebetteten Chat meines PayPal-Accounts die Nachricht Sender: CUSTOMER SERVICE mit dem Betreff: Wir haben Ihre Anforderung auf Datenzugriff erhalten. Versehen mit dem Verweis, dass mit der Arbeit begonnen werde und innerhalb von 30 Tagen eine Rückmeldung komme. Nach wenigen Minuten wiederum erhielt ich eine weitere Nachricht Sender: CUSTOMER SERVICE mit dem Betreff: Hier sind ihre Daten.
Beschwingt durch die intuitive Bedienbarkeit und schnelle Abwicklung meiner Anfrage öffnete ich das angehängte Datenpaket bestehend aus zwei Dokumenten: Data Processing Information.pdf und Personal Data File.pdf. Doch schnell wurde mir klar, dass meine Neugier nicht befriedigt, sondern enttäuscht wurde. Das Personal Data File enthielt primär meine Stammdaten (Name, Geburtstag, E-Mailadresse) sowie einige wenige Zusatzinformationen (verknüpftes Bankkonto) und blieb weit hinter meiner Erwartung zurück, eine umfassende Datenauskunft zu bekommen. Der Eindruck, das sei alles nicht zureichend, ließ sich auch deswegen nicht abschütteln, weil offensichtlich mehr Informationen in meinem Account über mich einsehbar als in der Auskunft enthalten waren.
Nun also per Einschreiben…
Mit nun gefasstem Forschungseifer dachte ich über andere, bestenfalls zielführendere, Wege nach. Ich wollte es auf dem Postweg versuchen. Über die Verbraucherzentrale fand ich eine Art Musterschreiben, das ich um weitere Identifikationsmerkmale ergänzte: meinen Benutzernamen und meine Mobile Advertising ID. Denn laut netzpolitik.org erleichtern zusätzliche Informationen bei Datenabfragen, insbesondere bei Datenhändlern, das Finden in deren Datenbanken.
Es blieb nun noch die Frage, an welche Adresse das Schreiben zu richten sei. Aufschluss darüber gibt die Landesbeauftragte für Datenschutz und Akteneinsicht in Brandenburg (lda), die im Grundsatz für PayPal verantwortlich ist. Die PayPal Deutschland GmbH hat nämlich ihren Sitz in Kleinmachnow, einer kleinen Gemeinde ca. 15 km von Potsdam entfernt. Auf der Homepage wird jedoch auf die Zuständigkeit der luxemburgischen Datenschutzbehörde, die Nationale Kommission für den Datenschutz (CNPD), verwiesen. In der deutschen Zweigniederlassung von PayPal findet nach „derzeitigem Kenntnisstand keine relevante Verarbeitung personenbezogener Nutzerdaten statt“. Ich schickte meinen Brief also an den europäischen Sitz des Unternehmens in Luxemburg.
Wenige Tage später bekam ich wieder über das Chatfenster eine Nachricht. Dieses Mal von PayPal Support mit dem Betreff: Postalischer Kontakt. Zur Beschleunigung des Prozesses kam die Nachfrage, ob ich den Datenumfang in Bezug auf Datenkategorien und den Erhebungszeitraum einschränken wolle. Unter Verweis auf das zugeschickte Dokument wies ich darauf hin, bereits eine erschöpfende Liste an Datenkategorien geschickt zu haben und bezüglich des Zeitraums könnten gerne alle Daten seit Accounteröffnung gesammelt werden.
Die Antwort kam prompt und sogar personalisiert durch eine Mitarbeiterin von PayPal. Der mutmaßlich menschliche Gegenpart wirkte zunächst erfrischend und hob sich von vorherigen Kontaktschleifen ab. Leider folgte sehr bald beim Lesen der Nachricht die Ernüchterung. Es fing zunächst eingängig und vielversprechend an:
„Wie in unserer Datenschutzerklärung beschrieben, verwenden wir Ihre personenbezogenen Daten, um Zahlungen zu verarbeiten, Betrug und Missbrauch zu verhindern, Konflikte zu klären, Ihnen eine personalisierte Erfahrung zu vermitteln und Sie über Angebote, Produkte und Dienstleistungen zu informieren.“
Ein Teil meiner Anfrage wurde in sehr groben Zügen aufgenommen. Meine Daten werden also zur Schaffung einer personalisierten Erfahrung genutzt, bspw. durch gezielte Konsumanreize. Aber der entsprechende Datenauszug, der mir eine bessere Nachvollziehbarkeit ermöglicht hätte, fehlte. Ein mit Chuzpe versehener Abschied rundete die Nachricht ab:
„Schön, dass ich Ihnen weiterhelfen konnte und ich wünsche Ihnen ein schönes Wochenende.
Viele Grüße
Name der Mitarbeiterin
PayPal-Kundenservice“
Hier endete der Kontakt mit PayPal, eine weitere Schleife habe ich nicht angestoßen. Ein Blick in die Datenschutzerklärung von PayPal klärt darüber auf, dass sie Daten potenziell mit einer Vielzahl an Partnern teilen. Selbstverständlich nur mit der Erlaubnis ihrer Kund:innen, die allerdings per default gesetzt ist.
Theoretisch streng, praktisch nachlässig
Der Grundsatz, Auskunft über die gespeicherten Daten erhalten zu können, ist wertvoll, in der Realität aber – wie sich gezeigt hat – begrenzt und damit ausbaubedürftig. So zeichnete Max Schrems, Gründer von noyb – des Europäischen Zentrums für digitale Rechte, ein düsteres Bild, als er Ende Juni 2024 in einer Anhörung des Bundestages zu Potenzialen und Herausforderungen innovativer Datenpolitik zum Thema Recht auf Selbstauskunft Bilanz zog: Die Praxis zeige, dass das Auskunftsrecht „weder flächendeckend eingehalten noch durchgesetzt“ wird. Konkret bedeutet das, dass bei der Hälfte der gestellten Anfragen keine substanzielle Antwort und beim überwiegenden Rest nur Teilantworten zu erwarten seien. Eine vollständige Auskunft, so leitete er aus der Praxis ab, erhalten Auskunftssuchende in lediglich 5% der Fälle.
Theoretisch bliebe in solchen Fällen die Möglichkeit, sich bei der zuständigen Datenschutzbehörde zu beschweren und so eine vollständige Auskunft zu erwirken. Aber auch hier zeigte sich Schrems gerade mit Blick auf Deutschland ernüchtert. In der Anhörung verwies er darauf, dass noyb in der Regel davon absehe, Beschwerden bei deutschen Datenschutzbehörden einzureichen, weil diese schlichtweg nicht „bissig sind, da wird nicht ordentlich durchgesetzt“. Die Ironie liegt darin, dass die „deutsche Innenansicht“, also die Wahrnehmung der deutschen Öffentlichkeit, komplett konträr dazu ist. In der Selbstwahrnehmung trifft die wahrgenommene Strenge im Datenschutz keineswegs auf entsprechende Vollzugsqualitäten und damit auf eine unzureichende praktische Durchsetzung der Betroffenenrechte.
Abschließend bleibt zu sagen, dass dieses Ergebnis insgesamt ernüchternd ist. Auch wenn sich ausgehend von diesem Fall keine pauschale Aussage über andere Zahlungsdienstleister treffen lässt, bleibt festzuhalten, dass Zahlungsverkehrsdaten wegen der Möglichkeit sensible Einblicke in unser Leben zu geben, besonders wertvoll für eine Vielzahl von Interessen sind. Transparenz darüber zu schaffen, welche Daten vorhanden sind, kann da nur der erste Schritt sein. Daher ist es bedenklich, wenn es an der praktischen Durchsetzung des Auskunftsrechts zu hapern scheint.
Ihre Privatsphäre liegt uns am Herzen – deshalb setzen wir auf volle Transparenz.
Auf unserer Webseite nutzen wir ausschließlich Matomo, ein datenschutzfreundliches Analysetool, um zu verstehen, wie unsere Seite genutzt wird. Dabei werden Ihre Daten weder für kommerzielle Zwecke verwendet noch weitergegeben und bleiben ausschließlich auf unseren Servern.
Danke, dass Sie uns mit Ihrer Einwilligung helfen!
Funktional
Immer aktiv
Die technische Speicherung oder der Zugang ist unbedingt erforderlich für den rechtmäßigen Zweck, die Nutzung eines bestimmten Dienstes zu ermöglichen, der vom Teilnehmer oder Nutzer ausdrücklich gewünscht wird, oder für den alleinigen Zweck, die Übertragung einer Nachricht über ein elektronisches Kommunikationsnetz durchzuführen.
Vorlieben
Die technische Speicherung oder der Zugriff ist für den rechtmäßigen Zweck der Speicherung von Präferenzen erforderlich, die nicht vom Abonnenten oder Benutzer angefordert wurden.
Statistiken
Die technische Speicherung oder der Zugriff, der ausschließlich zu statistischen Zwecken erfolgt.Die technische Speicherung oder der Zugriff, der ausschließlich zu anonymen statistischen Zwecken verwendet wird. Ohne eine Vorladung, die freiwillige Zustimmung deines Internetdienstanbieters oder zusätzliche Aufzeichnungen von Dritten können die zu diesem Zweck gespeicherten oder abgerufenen Informationen allein in der Regel nicht dazu verwendet werden, dich zu identifizieren.
Marketing
Die technische Speicherung oder der Zugriff ist erforderlich, um Nutzerprofile zu erstellen, um Werbung zu versenden oder um den Nutzer auf einer Website oder über mehrere Websites hinweg zu ähnlichen Marketingzwecken zu verfolgen.
RSS-Feed zum eFin-Blog abonnieren
