Von den Verbrauchern weitgehend unbemerkt hat der Zahlungsdienstleister PayPal angekündigt, mit Wirkung zum 1. Juli dieses Jahres die Allgemeinen Geschäftsbedingungen (AGBs) zu ändern. AGBs insbesondere von Banken und anderen mit der Abwicklung von Zahlungen betrauten Firmen sind in der Regel noch umfangreicher und unleserlicher als die anderer Internetfirmen, mit denen man Tag für Tag arbeitet. Wer liest sich diese schon noch durch? Kaum jemand.
Diesmal haben es die Änderungen aber in sich. Die ZEIT und die Wirtschaftswoche griffen bereits beide einen Handelsblatt-Artikel auf, in dem einige kritische Punkte aufgelistet sind.
Zeit also, einen genaueren Blick auf die neuen AGBs zu werfen. Die Vollversion ist dabei über 200 Seiten lang, aber PayPal hat eine Übersicht über die kommenden Änderungen veröffentlicht, die zwar immer noch ansehnlich, aber doch besser verdaulich ist.
Kritisch sind dabei vier Datenschutzaspekte: welche Daten werden gesammelt, wo werden die Daten gespeichert, die Verwendung der Daten, also das, was PayPal mit den Kundendaten tut, und die Weitergabe der Daten: an wen und wohin gehen die Daten.
Welche Daten sammelt PayPal?
PayPal sammelt grundsätzlich alle Daten, die die Kunden ihnen im Rahmen ihrer Nutzung des Dienstes mitteilen. Zusätzlich lässt es sich eine Generalvollmacht geben, Daten auch von anderen Unternehmen zu sammeln sowie von anderen PayPal-Konten, „wenn wir davon ausgehen können, dass diese (zum Teil oder vollständig) unter Ihrer Kontrolle stehen“. Man beachte, dass ein Nachweis, dass ich als Kunde A Kontrolle über Konto B habe, nicht notwendig ist; es genügt, wenn PayPal „davon ausgehen kann“. Da kann man als Kunde nur hoffen, keinen Allerweltsnamen in einer Großstadt mit einem anderen PayPal-Kunden zu teilen, der betrügerisch unterwegs ist, denn dann könnte PayPal auf die Idee kommen, dass das eigene Konto mit dem Betrüger etwas zu tun hat, und dies so speichern. Pech gehabt!
Interessant sind auch die Mittel, mit denen das Surfverhalten der Nutzer erhoben wird. Es werden Cookies verwendet; die kennt der Verbraucher mittlerweile. Aber auch Pixel-Tags oder Flash-Cookies lässt PayPal sich genehmigen. Das sind Varianten der Cookies, die der Normalnutzer oft nicht kennt und daher nicht entfernt oder blockt. Man kennt diese Methoden eigentlich eher von klassischen Trackingunternehmen, deren Geschäftsmodell das Ausforschen der User ist.
Ziel dieser Maßnahmen ist „Sie als Kunde zu erkennen, PayPal-Dienste, Inhalte und Werbung zu personalisieren, die Effektivität von Werbung auszuwerten“. Man darf diese Cookies zwar blockieren, aber nur, „sofern diese Cookies nicht zur Betrugsprävention oder zur Gewährleistung der Sicherheit der von uns verwalteten Websites erforderlich sind.“
Nebenbei bemerkt: meine Hausbank kann diese Dienstleistungen erbringen, ohne dass ich auch nur einen einzigen Cookie akzeptieren muss.
Wo speichert PayPal unsere Daten?
Das ist ein besonders interessanter Punkt. In PayPals Richtlinien findet sich dazu Folgendes: „Wir erfassen, speichern und verarbeiten Ihre Informationen auf Servern in den USA und an anderen Standorten weltweit, an denen sich PayPal-Niederlassungen befinden.“
Von einer ortsnahen Speicherung der Daten, zum Beispiel in Europa für europäische Kunden, ist gar nicht die Rede. Könnte man, wenn man hinreichend blauäugig ist, hinsichtlich der USA noch mit dem „Safe Harbor“-Abkommen argumentieren, so geht PayPal gleich darüber hinaus und erlaubt sich die Speicherung europäischer Kundendaten weltweit, wo auch immer PayPal seine Rechenzentren aufstellt.
Das bedeutet natürlich, dass sich PayPal an die dortigen rechtlichen Regeln halten muss. Landen Kundendaten also in Russland, Saudi-Arabien oder China, tja, dann kann man sich ja ausrechnen, wer da alles mitliest. Legal. Und PayPal wäscht seine Hände in Unschuld, weil das ja alles in den AGB dokumentiert ist.
Verwendung der Daten
PayPal muss selbstverständlich Daten verwenden, die für das Geschäft, also die Abwicklung von Zahlungen, notwendig sind. Daneben muss es auch gesetzliche Anforderungen erfüllen, wie die Verhinderung von Geldwäsche und das Verhindern von Zahlungen an Terroristen.
Zusätzlich zu den oben geschilderten Gründen erlaubt sich PayPal aber die Speicherung und Weitergabe der Kundendaten für die folgenden Zwecke (Ausschnitt):
- „Risikomanagement zur Erkennung, Vermeidung und/oder Schadensbegrenzung von Betrug oder anderen potenziell illegalen oder verbotenen Aktivitäten“ (man beachte hier das Schlüsselwort „potenziell“),
- „Gezielte Bereitstellung von Marketing- und Werbeinformationen, Service-Updates und Werbeangeboten auf Grundlage der Einstellungen, die Sie in Ihrem PayPal-Konto und für Ihre Nutzung der PayPal-Dienste für den Erhalt von Informationen definiert haben“,
- „Überprüfung der Kreditwürdigkeit und Zahlungsfähigkeit, Überprüfung von Informationen auf Genauigkeit, auch unter Einbeziehung von Dritten“, wobei hier der letzte Teil „unter Einbeziehung von Dritten“, problematisch ist.
Weitergabe der Daten
Das ist ein spannender, aber auch sehr umfangreicher Teil in den neuen AGBs.
Grundsätzlich darf PayPal alle Informationen, die sie offenlegen müssen, an Strafverfolger, Sicherheitskräfte, staatliche und zwischenstaatliche Behörden etc. pp. weitergeben. Man erinnere sich: PayPal behält sich vor, die Daten überall auf der Welt zu speichern. Die Kunden können also gar nicht abschätzen, wer da was gegen sie verwendet. Bekomme ich ein Problem, wenn ich mit PayPal eine Kiste Wein bezahle, und die Daten im Rechenzentrum in Saudi-Arabien liegen?
Daneben gestattet sich PayPal, an eine lange Liste von Dienstleistern Daten zu übermitteln: Zahlungsverkehrsabwickler, Kreditratingagenturen, Marketing- und PR-Firmen …
PayPal listet dann über etliche Seiten Drittanbieter auf, an die Kundendaten weitergeleitet werden. Die Liste ist zu umfangreich, um sie hier im Detail zu besprechen; ein paar Highlights sind folgende Transfers:
- Stammdaten (Name, Adresse, Kontoinformationen) an praktisch alle größeren europäischen und amerikanischen Banken, die als Zahlungsabwickler auftreten: American Express, JP Morgan Chase, Allied Irish Bank und andere.
- Namen, Konto- und Buchungsdaten an Firmen, die den Kundenservice abwickeln.
- Name, Adresse, Geburtsdatum, Telefonnummer, E-Mail, Identitätsnachweis, Konto- und Kreditkartendaten an Kreditauskunfteien, die neben der Kreditwürdigkeit auch Geldwäsche-, Betrugs- und Insolvenzfälle prüfen, und zwar an Auskunfteien weltweit.
- „Name, Firma, Adresse und Registerdaten des Händlers/Partners, Name, Beruf, E-Mail-Adresse, Telefonnummer der Kontaktperson des Händlers, Händler-URL, PayPal-Kontonummer, Anwendungen Dritter, die beim Händler verwendet werden, Verhalten auf der PayPal-Dienste-Website“ an Marketing- und PR-Firmen, sowie an Firmen wie SalesForce.com, Oracle, Adobe Systems (das sind die mit den Flash-Cookies) und Teradata.
Zwischenfazit
Fassen wir zusammen: PayPal speichert die Kundendaten weltweit, ohne sich irgendwelche Beschränkungen etwa für europäische Kunden auferlegen zu lassen. Die Daten stammen dabei nicht nur aus dem eigentlichen Geschäftsbetrieb, der Abwicklung von Zahlungen, sondern auch aus Trackingmaßnahmen mit verschiedenen Arten von Cookies. Die Daten werden auch für Marketingzwecke verwendet. Und sie werden mit einer extrem langen Liste von Geschäftspartnern zu den unterschiedlichsten Zwecken geteilt, darunter auch Kreditwürdigkeits- und Risikoanalysen durch Dienstleister außerhalb des Geltungsbereiches des europäischen Datenschutzes.
Was kann man tun?
Wirkliche Alternativen zu PayPal mit belastbarem Datenschutz nach europäischen Standards gibt es dann, wenn man auch Zahlungen außerhalb des Euroraums tätigt, kaum. Vielleicht amerikanische Prepaid-Kreditkarten, aber die sind für viele Zwecke nicht praktikabel und auch nicht für jedermann zu beschaffen.
Tätigt man lediglich europäischen Zahlungsverkehr, kann man bei seiner Hausbank bleiben. Aber auch hier ist der Einzelne ohne tiefe Rechts- und Fachkenntnis nicht in der Lage, AGBs von Banken hinsichtlich Datenschutz komplett zu verstehen. Auch Fachanwälte haben hier Probleme, weil man neben juristischem Wissen auch Marktkenntnis braucht, um Verbindungen zwischen Banken und Dienstleistern auf Probleme analysieren zu können. PayPal hat z.B. eine Geschäftsbeziehung mit einem Institut, die auf den ersten Blick auch sehr bedenklich scheint, in der Praxis aber vollkommen harmlos ist; dies erschließt sich aber nur Experten.
Es braucht so etwas wie ein Gütesiegel, das der Verbraucher versteht, vergleichbar mit Umwelt- oder Ernährungssiegeln, die sich im Markt etabliert haben. Nur wenn der Verbraucher in der Lage ist, auf Basis verlässlicher Prüfstandards, vergleichbar dem CMA-Gütesiegel, vergebene Bewertungen zu erkennen, kann er informierte Entscheidungen treffen.
Was PayPal angeht: die Wahrscheinlichkeit, dass PayPal so ein Gütesiegel bekäme, erscheint auf Basis der aktuellen AGBs so hoch wie die Wahrscheinlichkeit, dass McDonalds ein Siegel für ökologisch nachhaltige, lokal produzierte, gesundheitlich hochwertige Nahrung bekommt – für den Big Mac.