HinSchG Vorgaben einfach und effizient umsetzen mit dem Parlabox Hinweisgebersystem
cookiebox logo
payment
Paypal

beliebtester Online-Bezahldienst

data processing services & kategorisierung
paypal logo
PayPal

PayPal ist ein Online-Bezahldienst. Er wird von vielen Websites als zusätzliche Möglichkeit der Bezahlung verwendet.

Inhalt des Beitrags

Was ist PayPal?

PayPal ist ein Online-Bezahldienst, mit welchem du deinen Kunden eine Möglichkeit der Bezahlung bieten kannst. Da du es deinen Kunden natürlich so einfach wie möglich machen möchtest, dich zu bezahlen, werden oftmals eine ganze Reihe an Online-Bezahldiensten eingesetzt, denn auch die Kunden haben dort ihre Präferenzen. PayPal stellt dabei den beliebtesten Online-Bezahldienst dar.

Warum wird PayPal verwendet?

Wenn du PayPal auf deiner Website bzw. deinem Shop anbietest verfolgst du wahrscheinlich mehrere Ziele. Dabei ist das ausschlaggebenste vermutlich die Einfachheit der Bezahlung. Wenn du PayPal verwendest, ist die Bezahlung für den Kunden in nur wenigen Klicks abgeschlossen. In der Regel hat der Kunde schon ein Konto bei PayPal, wenn er diese Bezahlart wählt und muss daher seine Daten nicht nochmal eingeben.

 

Zusätzlich bietet der Dienst Sicherheit für den Kunden, da es sich bei PayPal um ein großes und etabliertes Unternehmen handelt, dem viele Menschen vertrauen und an das man sich wenden kann, sollte es bei der Lieferung oder Erfüllung des Vertrages zu Schwierigkeiten kommen.

 

Es könnte sogar sein, dass du Kunden verlierst, wenn du den bevorzugten Bezahldienst nicht anbietest. Aufgrund dessen, dass PayPal zu den beliebtesten Bezahldiensten gehört, kann es durchaus sein, dass der Druck diese Methode anzubieten, enorm hoch ist.

 

Damit du PayPal allerdings bedenkenlos verwenden kannst und worauf du bei Verwendung unbedingt achten solltest, verrate ich dir.

Welche Daten werden verarbeitet?

Die Daten, welche von PayPal verarbeitet werden, sind eine Kombination aus personenbezogenen Daten, welche unbedingt erforderlich sind um den Dienst anbieten zu können, wie:

  • Name
  • Anschrift
  • Telefonnummer
  • E-Mail-Adresse
  • Kontonummer

als auch Transaktionsdaten, die bei der Bezahlung anfallen:

  • Zahlungsbetrag
  • Geräteinformationen
  • Geolokationsdaten
Na, auf der Suche nach einem ganz bestimmten Service?

Ziel erreicht! 🏁 

In unserem Service-Universum findest du umfassende Informationen zu einzelnen Services – übersichtlich und digital!

Expertenwissen und Profi-Tipps gibt’s on top 😉

data processing services

Rechtliche Grundlage für die Verarbeitung

Die Grundlage für die Verarbeitung der Daten ergibt sich aus der DSGVO in Kombination mit dem TTDSG, wobei die DSGVO vorrangig ist, sollte es mal zu Kollisionen kommen.

 

Die DSGVO regelt die Verarbeitung der personenbezogenen Daten und das TTDSG fokussiert sich auf den Zugriff auf das Endgerät, also z.B. den Einsatz von Cookies.

Wann besteht eine Einwilligungspflicht?

Personenbezogene Daten

Die Verarbeitung personenbezogener Daten ist nur dann rechtmäßig, wenn mindestens eine der Rechtsgrundlagen (a, b, c, d, e, oder f) des Art. 6 Abs. 1 DSGVO erfüllt ist. Die beiden wichtigen lit. sind die folgenden:

  1. Die betroffene Person hat ihre Einwilligung erteilt (lit. a)
  2. Die Verarbeitung ist zur Wahrung deines berechtigten Interesses erforderlich (lit. f)

Cookies

Gem. Art. 25 Abs. 1 TTDSG ist dann eine Einwilligung erforderlich, sobald Cookies gesetzt werden, die technisch nicht unbedingt notwendig sind.

Dabei sollte man wissen, dass damit nicht nur die bekannten, auf dem Endgerät der Nutzer platzierten Cookies gemeint sind, sondern auch sogenannte Zählpixel, die es unter anderem ermöglichen, den Useragent oder das Gerät der Nutzer zu verknüpfen oder herzuleiten.

Einwilligungspflichtig sind also alle Informationselemente, die die Identifizierung einer Person ermöglichen.

Die Anforderungen an die Einwilligungsfreiheit

Um einen einwilligungsfreien Einsatz zu gewährleisten, müssten folgende Bedingungen erfüllt sein:


  1. Sofern eine Datenweitergabe an Dritte stattfindet:
    a) Abschluss eines Auftragsverarbeitungsvertrags (AVV) mit dem Auftragsverarbeiter (AV), sollten Daten von diesem an Dritte weitergegeben werden.
    b) Der Auftragsverarbeiter nutzt die gewonnen Daten nicht für eigene Zwecke.
    c) Der Auftragsverarbeiter verknüpft die Daten nicht über verschiedene Websites oder reichert sie an.
  2. Kein Einsatz von Cookies oder ähnlichen Techniken, die nicht unbedingt erforderlich sind.
  3. Verarbeitung von personenbezogenen Daten ausschließlich in Europa oder in Ländern, für die ein Angemessenheitsbeschluss gemäß Artikel 45 DSGVO gilt.
  4. Möglichkeit des Opt-outs bzw. Widerrufs sowie ausführliche Informationen über die Erhebung personenbezogener Daten in der Datenschutzerklärung.
  5. IP-Anonymisierung („Privacy by Default)
  6. Automatisches Opt-out bei Do-Not-Track-Einstellungen im Browser.
  7. Durchführung einer Interessensabwägung: Das berechtigte Interesse des Websitebetreibers muss die schützenswerten Interessen des Nutzers überwiegen.
  8. Nachweis der erfolgten Punkte 1-7 durch den Website-Betreiber
desktop icon

IP-Adresse

Beachte, dass die IP-Adresse generell ein personenbezogenes Datum darstellt. Falls du verhindern willst, dass personenbezogene Daten übermittelt werden, musst du immer dafür sorgen, dass die IP-Adresse verschleiert wird.

legal icon

Server-Standort

Solange nicht klar ist, ob/dass Daten von einem sicheren Server-Standort aus erhoben werden, ist die Vereinbarkeit mit der DSGVO schwierig.

desktop icon

Firmensitz

Bei amerikanischen Unternehmen und deren Töchter ist es zusätzlich wichtig den Fakt zu berücksichtigen, dass Daten die von Töchtern erhoben werden, auch in die USA weitergeleitet und dort verarbeitet werden. Amerikanische Unternehmen sind seit dem EuGH Urteil zum Privacy Shield einem unsicheren Drittland zugehörig. Sollten die Unternehmen dem derzeitigen Data Privacy Framework (DPF) zugehörig sein, heißt auch das nicht, dass jeder der vom Unternehmen zugehöriger Service unbedenklich zu nutzen ist. Erst recht nicht ohne die Zustimmung der Nutzer.

Warum ist PayPal einwilligungspflichtig?

  • PayPal erhebt personenbezogene Daten was eine Einwilligung gem. Art. 6 Abs. 1 lit. a DSGVO erfordert
  • PayPal setzt Cookies, was gem. Art. 25 Abs. 1 TTDSG Einwilligungspflichtig ist
  • Es kann davon ausgegangen werden, dass der Dienst auch die IP-Adresse der Kunden erfasst, zumindest in den Logfiles
  • Da es sich bei PayPal um ein US-Unternehmen handelt, dürfen eigentlich keine personenbezogenen Daten übermittelt werden
  • Ein AVV muss nicht mit PayPal geschlossen werden, da der Nutzer direkt mit PayPal im Verhältnis steht

 

Damit liegen Verstöße gegen die oben genannten Punkte 2, 3, 7 und 9 vor. Eine Einwilligungsfreiheit kann nicht begründet werden.

 

DISCLAIMER: Dies heißt nicht, dass die nicht genannten Punkte erfüllt sind.

 

Es braucht also eine Einwilligung der Nutzer, aber dass sollte kein Problem sein, denn der Nutzer entscheidet sich bewusst für den Dienst und muss dann, wenn er ihn nutzen will, seine Einwilligung erteilen.

Fazit zur datenschutzkonformen Nutzung von PayPal

Da PayPal personenbezogene Daten von deinen Kunden erhält, wirst du das Einholen der Einwilligung  nicht vermeiden können. Vorteil: Du musst keinen AVV abschließen, da der Kunde selbst einen Vertrag mit PayPal hat.

 

Da es sich bei PayPal um einen US-Dienst handelt, stellt der Einsatz von PayPal eine Grauzone dar. Es könnte aber möglicherweise zum Nachteil für dich werden auf PayPal zu verzichten, da dem Dienst eine massive Beliebtheit zugesprochen wird.

 

Cookiebox-Tipp: Es schadet allerdings nicht, auch andere Zahlungsanbieter zur Verfügung zu stellen, die ebenso komfortabel, aber nicht in den Vereinigten Staaten beheimatet sind.

paypal logo

Du hast Fragen?

Dann ruf uns gerne an. Wir helfen dir bei Fragen zu unserem Produkt und Features oder generell zu allen Datenschutz-Themen:

fragen icon

Du wünschst weitere Infos zum Privacy Hub oder unseren Beratungsleistungen?

jörg ter beek portrait

Jörg ter Beek

Managing Director, Head of Sales & Partnerships