Der Zahlungsdienstleister PayPal ist für unzählige Menschen die einfachste und daher oftmals bevorzugte Zahlungsmethode, sowohl für Käufer wie Verkäufer im E-Commerce. Ob für eine Zahlung im Online-Shop oder an Freunde und Bekannte – 35 Millionen Menschen nutzen hierzulande die Dienste des US-amerikanischen Unternehmens aus San Jose, Kalifornien.
Die Gegner derartiger Zahlungsmittel warnen bereits seit Jahren vor den Gefahren eines digitalen Zahlungsverkehrs und dürften sich nun ausdrücklich bestätigt fühlen. Ein Gutachten des „Netzwerk Datenschutzexpertise“ kommt zu dem Ergebnis, dass das Unternehmen die teilweise hochsensiblen Finanzdaten zweckentfremde. Im Fokus des Unternehmens stehe nicht nur die Zahlungsabwicklung, sondern vielmehr auch die gewinnbringende Verwertung personenbezogener Daten auf Kosten der Privatsphäre der Nutzer:innen.
Dieser Artikel beleuchtet nachfolgend die daraus zu ziehenden, rechtliche Schlussfolgerungen sowie die Risiken, die nicht nur Verbraucher, sondern auch B2B-Kunden aus dem E-Commerce-Bereich im Auge behalten sollten.
Welche Daten verarbeitet PayPal?
Zur Beleuchtung der Datenverarbeitungen durch PayPal haben die Gutachter des „Netzwerk Datenschutzexpertise“ die Datenschutzerklärung auf der Website Unternehmens überprüft. Bei den verarbeiteten Datenkategorien finden sich die wohl erwartbaren „Anmelde- und Kontaktdaten“ oder auch „Zahlungsinformationen“ und „Gerätedaten“ – dies noch wenig überraschend. Des Weiteren werden Informationen genannt, die Nutzer freiwillig in ihrem Profil hinterlegen. Hierzu gehört insbesondere die Beschreibung der Person, die unter anderem auch sensible Daten enthalten kann, die
„Aufschluss über religiöse Überzeugungen, politische oder philosophische Ansichten, Behinderungen, sexuelle Orientierung sowie biometrische Daten geben.“
Zudem verarbeitet das Unternehmen die sogenannten „abgeleitete Daten“ und fasst hierunter:
„Gezogene Schlussfolgerungen aus Ihren Interaktionen mit unseren Diensten sowie aus Werbeanzeigen und Angeboten, um ein Profil über Sie zu erstellen, das Verhaltensmuster und persönliche Vorlieben wie Geschlecht, Einkommen, Surf- und Kaufgewohnheiten und Kreditwürdigkeit widerspiegeln kann.“
Hier dürften einige Personen, die PayPal insbesondere als Zahlungsabwickler verstehen, wohl das erste Mal mit der Stirn runzeln.
Welche Probleme können sich ergeben?
Problematisch sei nach Ansicht des „Netzwerks Datenschutzexpertise“ dabei besonders, dass mitunter personenbezogene Daten verarbeitet werden können, deren Inhalt dem Schutz des Art. 9 DSGVO („besondere Kategorien personenbezogener Daten“) unterfallen.
Die Rede ist beispielsweise von Finanztransaktionsdaten an politische Parteien, religiöse Einrichtungen sowie Rückschlüssen auf sexuelle Dienstleistungen oder die kostenpflichtige Inanspruchnahme psychologischer und medizinischer Hilfe. Diese Daten sind nicht nur höchst sensibel und schützenswert – sie können ferner dazu genutzt werden, kriminelle Handlungen vorzubereiten. Wer sein Opfer kennt, wird dieses schließlich deutlich leichter täuschen können.
Kurzum: Finanztransaktionsdaten können tiefgreifende Einblicke in die Privatsphäre und Lebensgewohnheiten der betroffenen Personen ermöglichen. Das kann bei langfristiger Betrachtung ein großes Missbrauchs- und Diskriminierungsrisiko mit sich bringen. So manche Person wird hier womöglich einwenden, dass auch eine herkömmliche Bank Finanztransaktionsdaten verarbeite, die Rückschlüsse über Lebensgewohnheiten und sensible Informationen zulassen.
Das Problem: PayPal erstellt nicht nur Persönlichkeitsprofile seiner Nutzer, sondern verwendet diese auch zu Werbezwecken. Für den Einzelnen ist daher kaum kontrollierbar, in welcher Art und Weise derart sensible Daten weiterverarbeitet bzw. weitergegeben werden. Der jüngste Datenschutzvorfall (neben weiteren Datenpannen) bei PayPal dürfte das Vertrauen in den Zahlungsdienstleister weiter geschwächt haben. Eine abschließende Datensicherheit erscheint illusorisch.
Was bedeutet das für B2B-Partner von PayPal?
Auch für Verkäufer, die wohl insbesondere im E-Commerce-Bereich mit PayPal zusammenarbeiten dürften, lohnt es sich, das Geschehen weiterhin aufmerksam zu verfolgen. Dies dürfte einerseits daran liegen, dass ein sinkendes Vertrauen in einen derartigen Zahlungsdienstleister vor allem dann Auswirkungen haben kann, wenn dies die einzige verfügbare Zahlungsmöglichkeit darstellt. Dem geneigten Vertriebler dürfte wohl der Begriff „Warenkorbabbruch“ vergegenwärtigt werden.
Datenschutzberatung
Ihr Weg zur Datenschutz-Compliance
Gemeinsame Verantwortlichkeit (Art. 26 DSGVO)?
Das „Netzwerk Datenschutzexpertise“ eröffnet jedoch noch einen weiteren Konfliktpunkt. Nach deren Ansicht sei festzustellen, dass es sich bei dem Zahlungsdienstleister und den jeweiligen B2B-Partnern um „gemeinsame Verantwortliche“ im Sinne des Art. 26 DSGVO handele. Dies würde wiederum einen „Vertrag zur gemeinsamen Verantwortlichkeit“ (eng.: „Joint Control Agreement“) erfordern. So konstatieren die Gutachter:
„die Datenverarbeitung von der Eingabe des Verbrauchers bis zur Gutschrift für den Empfänger ist ein gemeinsam intendierter unteilbarer Verarbeitungsprozess, bei dem PayPal und der Händler jeweils selbständig, aber gemeinsam über Zwecke und Mittel der Datenverarbeitung bestimmen. Sie sind daher gemeinsam Verantwortliche i. S. v. Art. 26 DSGVO.“
Derzeit bleibt festzuhalten: Sowohl für die gemeinsame als auch für die getrennte Verantwortlichkeit der Unternehmen gibt es stichhaltige Argumente. Dass jedoch der gesamte Zahlungsprozess ein „gemeinsam intendierter Prozess“ sei, bei dem man „selbstständig, aber gemeinsam“ über Zwecke und Mittel der Verarbeitung bestimme, ließe sich womöglich auch anders beleuchten. Denn der Shop-Betreiber möchte eine Ware verkaufen und den Kaufpreis erhalten. PayPal möchte dem Käufer gegenüber eine Zahlungsdienstleistung erbringen. Es stellen sich zwei Fragen: Sollte diese eigenständige und regulierte Fachleistung tatsächlich als gemeinsame Zweck- und Mittelentscheidung der Unternehmen ausgelegt werden? Und entspräche dies dem Schutzzwecks des Art. 26 DSGVO, der den Betroffenen vor einer Verantwortungsdiffusion aufseiten der Unternehmen schützen soll?
Diese Entwicklungen sollten Shop-Betreiber, die PayPal nutzen, weiterhin verfolgen. Zudem bietet es sich an, datenschutzrechtliche Unterstützung in Anspruch zu nehmen.
Risiken für Shop-Betreiber
Eine abschließende rechtliche Einschätzung dürfte hier sicherlich nur durch eine justizielle Aufbereitung und Rechtsfortbildung zu erwarten sein. Zwar konnten weder das „Fanpage-Urteil“ noch das „Fashion-ID-Urteil“ des Europäischen Gerichtshofs (EuGH) oder auch die Erwägungen des Europäischen Datenschutzausschusses (EDSA) bislang eine zufriedenstellende Rechtssicherheit herstellen. Weitere Auslegungshilfen dürften gerade deshalb jedoch zwingend notwendig sein.
Mögliche Auswirkung einer gemeinsamen Verantwortlichkeit
In der Folge dürfte sich jedoch die Frage stellen, welche Auswirkung die Annahme einer gemeinsamen Verantwortlichkeit haben könnte. Einerseits würde es dann an einem Vertrag nach Art. 26 DSGVO fehlen. Dies könnte mitunter bußgeldrelevant werden. Andererseits sind die Haftungsregeln des Art. 82 Abs. 4 DSGVO bei Beteiligung mehrerer Verantwortlicher zu beachten. Hat eine betroffene Person einen Schadensersatzanspruch, darf sie sich von mehreren Verantwortlichen, die sie in Anspruch nimmt, einen aussuchen und diesen in voller Höhe in Anspruch nehmen. Das zahlende Unternehmen muss dann wiederum bei der anderen Stelle Regress nehmen. Hier dürfte für Shop-Betreiber riskant sein, dass die jeweiligen Shop-Betreiber die Plug-Ins und Skripte auf ihren Websites einbinden und damit an der Verarbeitung „beteiligt“ sein könnten.
Fazit
Die Diskussion um PayPal zeigt exemplarisch, wie stark sich klassische Zahlungsdienste zu datengetriebenen Geschäftsmodellen entwickeln. Die Verarbeitung und Profilbildung auf Basis sensibler Finanztransaktionsdaten wirft erhebliche datenschutzrechtliche Fragen auf, die über den Verbraucherschutz hinaus auch E-Commerce-Unternehmen unmittelbar betreffen können. Insbesondere die Debatte um eine mögliche gemeinsame Verantwortlichkeit nach Art. 26 DSGVO verdeutlicht den bestehenden rechtlichen Klärungsbedarf. Shop-Betreiber sollten die weiteren Entwicklungen aufmerksam verfolgen und ihre datenschutzrechtliche Einbindung von Zahlungsdienstleistern kritisch überprüfen. Eine fundierte datenschutzrechtliche Beratung kann Shop-Betreiber bei der Einschätzung und Abwägung dahingehender Risiken unterstützen.
Bereit, die Verantwortung an einen externen Datenschutzbeauftragten zu übergeben?
Kontaktieren Sie uns noch heute, um zu erfahren, wie wir Ihr Unternehmen in Fragen des Datenschutzes und der Datenschutz-Compliance unterstützen können.
