Mit dem heutigen Tag ändern sich auch für sämtliche deutschen Privat- und Geschäftskunden die Nutzungsbedingungen und Datenschutzgrundsätze des Zahlungsdienstleisters PayPal. Die neuen Vertragsbedingungen sollen ab sofort gelten, ohne dass die Nutzer in irgendeiner Art und Weise zustimmen müssen oder widersprechen können. Viele der Nutzer werden von den Änderungen wohl noch nicht einmal wirklich Kenntnis genommen haben.
Laut der Nutzungsbedingungen der formal von der Luxemburger Firma Paypal Europe SARL angebotenen Dienste sollen die aktualisierten Regeln, die ausgedruckt einen Gesamtumfang von über 100 Seiten umfassen, nunmehr ohne weiteres ab 1.7.2015 gelten. Allein die von Paypal zur Verfügung gestellte Übersicht eintretenden Änderungen hat ausgedruckt einen Umfang von über 20 Seiten.
Wer die Rechtsfolgen dieser Änderung verstehen will, braucht neben viel Zeit für die Lektüre ein erhebliches Maß an juristischem Sachverstand. Faktisch wird allein aufgrund der komplexen Formulierungen und der schieren Masse an Regelungen kaum ein privater Nutzer oder auch Händler des Zahlungsdienstleiters in der Lage sein, zu verstehen, wie die Rechte und Pflichten nun ausgestaltet sind bzw. wie die jeweiligen Daten nun verarbeitet und welche Daten an wen weitergegeben werden können sollen.
Noch gravierender werden die Änderungen durch das von Paypal in der Präambel gewählte Prozedere, dass die Änderungen automatisch durch schlichte Weiternutzung gelten sollen. Wer nicht bereit ist, die Änderungen zu akzeptieren, der möge sich eben abmelden.
Gerade bei einem Zahlungsdienstleister, bei dem im Verhältnis zu vielen anderen Plattformen wie Facebook & Co von einer erheblichen Abhängigkeit der Nutzer auszugehen ist, führt dieses Prozedere dazu, dass die Nutzer kaum auf die Änderungen reagieren (können). Bedenklich sind die Änderungen nicht zuletzt im Hinblick auf die erhebliche Weitergabe von personenbezogenen Daten und Kontoinformationen an einen Vielzahl von europäischen und außereuropäischen Firmen zu unterschiedlichsten Zwecken. Es ist nicht ernsthaft zu erwarten, dass die Mehrzahl der betroffenen Kunden hier noch irgendeine Kontrolle oder Übersicht über die Daten hat.
Wie bereits kürzlich gegenüber dem Handelsblatt ausgeführt, verstoßen die Änderungen mit deren „automatischer“ Wirksamkeit nicht nur gegen das wohl geltende luxemburgische, sondern auch gegen europäisches Datenschutzrecht. Neben einigen anderen Fragen folgt dies nicht zuletzt daraus, dass eine werbliche Verwendung bzw. auch die Weitergabe von personenbezogenen Nutzern in aller Regel eine ausdrückliche Einwilligung der Nutzer fordert, die durch die automatische Wirksamkeit der Änderungen nicht gewährleistet wird.
Das verfassungsrechtlich garantierte Recht der Nutzer auf informationelle Selbstbestimmung, dass jedem eigentlich das Recht der Kontrolle über „seine“ Daten geben soll, wird durch solch komplexe und viele Seiten langen Datenschutzbestimmungen und die automatische Wirksamkeit einfach ausgehöhlt. Der Nutzer ist faktisch nicht mehr in der Lage, seine Daten zu kontrollieren. Nicht einmal eine Widerspruchsmöglichkeit ist in den Datenschutzbedingungen vorgesehen…
Einzelne Änderungen in den Datenschutzgrundsätzen von Paypal
Die nachfolgend exemplarisch aufgeführten Änderungen zeigen jedoch, dass die aktualisierten Datenschutzgrundsätze diverse Regelungen enthalten, die nicht zuletzt auch die Weitergabe einer Vielzahl von Daten an andere Unternehmen legitimieren sollen.
Zunächst räumt sich PayPal in Nr.6 der Datenschutzgrundsätze selbst das Recht ein, die Nutzerdaten für eine kaum nachvollziehbare Vielzahl von verschiedenen Zwecken zu verwenden. Angefangen von der Verarbeitung von Transaktionen und Unterbringung der PayPal-Dienstleistungen, über die Verbesserung der PayPal-Dienste durch Optimierung der Nutzerfreundlichkeit, Messung der Leistung der PayPal-Dienste zur Verbesserung von deren Inhalt und Layout, Verwaltung und Schutz der eigenen IT-Infrastruktur, bis hin zur gezielten Bereitstellung von Marketing- und Werbeinformationen, Serviceupdates und Werbeangeboten dürfen vorliegende Daten verarbeitet werden.
Noch gravierender ist die Weitergabe con Daten an die in dem aufschlussreichen Dokument „Drittanbieterliste“ aufgezählten anderen Unternehmen. Tatsächlich sollten die Betroffenen einmal einen Blick in dieses Dokument werfen, dass die Weitergabe einer kaum überschaubare Vielzahl von unterschiedlichen Daten zu unterschiedlichsten Zwecken beschreibt.
So gehen etwa die zuvor von Paypal als „Kontoinformationen“ definierten Daten an eine Vielzahl von deutschen und auch ausländischen Firmen, von denen viele unbekannt und auch schwer einzuordnen sind. Exemplarisch seien hier eine Zoot Enterprises Inc (USA), eine Zoot Deutschland GmbH, einer Zoot Enterprises Ltd (Großbritannien), eine 1st Data Cooperation in den USA, eine MaxMind Inc. in den USAodet auch verschiedenen Banken zur gemeinsamen Erstellung von Finanzprodukten genannt.
Dabei steht der unspektakuläre Begriff der „Kontoinformationen“ nach eigener in Nr.6 formulierter Definition von Paypal für nicht weniger als die Datenfelder Name, Adresse, eMail-Adresse, Telefonnummer, Benutzername, Foto, IP-Adresse, Geräte-ID, Standortdaten, Kontonummer, Kontoangaben, Angaben zu dem mit dem kontogenutzten Zahlungsinstrumenten, Details der Zahlungsvorgänge, Details zu geschäftlichen Zahlungen, Kundenangaben und Berichte, Kontovoreinstellungen, Angaben zur Identität, die im Rahmen der eigenen „Know your customer“ Prüfung erfassten Daten und die Kundenkorrespondenz.
Noch länger ist die Liste der „Drittanbieter“, an die Daten zu Marketing- und PR-Zwecken weitergegeben werden können sollen. Darunter sind nicht nur zahlreiche Agenturen, Webdienste wie Facebook oder Twitter, sondern auch Datenbroker wie Acxiom.
Zusammenfassend muss man wohl feststellen, dass der Nutzer auch keine Kontrolle mehr über seinen Daten hat.Wie soll ein privater Nutzer der Datenweitergabe aber auch der Datennutzung der Vielzahl von Drittanbietern noch Herr werden.
Von einem Recht auf informationelle Selbstbestimmung kann nicht mehr ernsthaft gesprochen werden, wenn im Hinblick auf die Masse der Informationen, die Masse der Empfänger der Daten und schlussendlich mangels einer Widerspruchsmöglichkeit der Nutzer auf die Datenweitergabe nicht wirklich reagieren kann.
Aushöhlung des Rechts auf informationelle Selbstbestimmung
Das verfassungsrechtlich gewährte Recht auf informationelle Selbstbestimmung soll dem Einzelnen die Befugnis gewähren, „grundsätzlich selbst über die Preisgabe und Verwendung seiner persönlichen Daten zu bestimmen“ und zu wissen, „wer was, wann und bei welcher Gelegenheit über ihn weiß“ (vgl. BVerfGE 65,1 – Volkszählungsurteil). In diesem Volkszählungsurteil hatte das Bundesverfassungsgericht betont, dass „diese Befugnis unter den heutigen und künftigen Bedingungen der automatischen Datenverarbeitung im besonderen Maße des Schutzes bedarf“.
Das Recht auf informationelle Selbstbestimmung soll die Entscheidungsfreiheit des Einzelnen über die „Preisgabe und Verwendung seiner persönlichen Daten“ schützen und ob und inwieweit von Dritten über seine Persönlichkeit mit dieser Verarbeitung verfügt werden kann.
Angesichts immer umfassenderer Datenschutzerklärungen muss konstatiert werden, dass dieses Recht auf informationelle Selbstbestimmung immer weiter aus den Fugen gerät. Die Lebenswirklichkeit ist dem Datenschutzregime weit enteilt.
Tatsächlich ist kaum ein Nutzer mehr in der Lage, die in Datenschutzerklärung enthaltende Hinweise zur Speicherung, Verarbeitung und Weitergabe von Daten überhaupt nur zu verstehen. In der Regel werden sie aufgrund der Komplexität noch nicht einmal mehr gelesen. Gänzlich obsolet wird das Recht auf informationelle Selbstbestimmung, wenn – wie hier – die neuen Datenschutzgrundsätze durch schlichte Weiternutzung eines Dienstes, von dem einige Nutzer als Zahlungsdienstleister abhängig sind, automatisch wirksam werden können sollen.
Fazit und Lösungsvorschläge
Das Recht auf informationelle Selbstbestimmung gewährleistet die Befugnis, grundsätzlich selbst über die Preisgabe und Verwendung der eigenen Daten zu bestimmen. Selbstbestimmte Entscheidungen sind aber nur da möglich, wo der Betroffene überhaupt eine informierte Entscheidung treffen kann. Die ist für die allermeisten Kunden von Paypal nicht gewährleistet. Die Nutzer haben faktisch die Kontrolle und den Einfluss über die eigenen Daten verloren…
Tatsächlich scheint die Einwilligung angesichts wachsender Komplexität nur ein eingeschränkt probates Mittel, um komplexe Datenverarbeitungsvorgänge in Zukunft zu legitimieren. Den Anbietern solcher Dienste ist zugute zu halten, dass eine umfassend und zugleich transparente Darstellung in komplexen Systemen auch kaum mehr möglich ist.
Hier kann wohl nur der nationale oder europäische Gesetzgeber Abhilfe schaffen. Trotz der wachsenden Probleme orientiert sich die Zukunft in Europa wohl geltende Datenschutzgrundverordnung aber weiter vorrangig an dem Grundsatz, dass die Erhebung, Speicherung und Verarbeitung personenbezogener Daten entweder einer gesetzliche Legitimation oder eine informierte Einwilligung bedarf.
Grundvoraussetzung für eine Einwilligung ist zunächst, dass der Nutzer auch tatsächlich eine Entscheidungsmöglichkeit hat. Eine Entscheiodungsmöglichkeit erfordert aber in der Regel ein Zustimmungserfordernis oder zumindest eine vom Anbieter eingeräumte Widerspruchsmöglichkeit.
Unabhängig davon wird man mit für den Laien nicht mehr erfassbaren, immer umfangreicheren Datenschutzhinweisen der zukünftigen datenschutzrechtlichen Probleme auch nicht Herr werden. Dies ist für die Anbieter wie auch die Nutzer unbefriedigend.
Es ist deshalb die Aufgabe des Gesetzgebers gleichermaßen datenschutzkonforme, wie auch praktikable Vorgaben zu machen. Denkbar wäre etwa ein nach der Sensibilität von Daten abgestuftes Legitimationsmodell oder eine gesetzlich angelegte, generalisierte Einwilligung, die alle für den Betrieb einer Internetplattform oder auch eines Zahlungsdienstleister erforderlichen Datenverarbeitungen in einer festgelegten datenschutzfreundlichen Grundeinstellung erklärt. Will der Anbieter über diese Grundeinstellung hinausgehen, so muss er sich die jeweilige Datenverarbeitung individuell vom dem Nutzer im Rahmen einer Einwilligung (Opt-In) freigeben lassen. Denkbar wäre auch das „Risiko“ der jeweiligen zusätzlichen Datenverarbeitung (z.B. bei einer Weitergabe an Dritte) mit standardisierten Icons (z.B. eine Ampel) zu veranschaulichen.
Die Änderungen von Paypal (und vielen anderen Diensten) machen jedenfalls deutlich, dass der bisherige Ansatz und die „Fetischisierung“ der Einwilligung alleine wohl nicht der richtige Weg sein kann. Selbst wenn es in vielen Fällen rechtskonformerweise einer ausdrücklichen Einwilligung im Sinne eines Opt-Ins bedarf, so verhindert die zunehmende Komplexität, dass der „Normalnutzer“ sein Recht auf informationelle Selbstbestimmung noch sinnvoll ausüben kann. So bleiben dem Nutzer nur noch von ihm selbst gelten zu machende, gesetzliche Ansprüche auf Auskunft und Löschung.
Zumindest irgendeine Wahlmöglichkeit hätte Paypal seinen Nutzern durchaus einräumen können, gesetzlich wohl auch müssen. Man wird sehen, wie die Nutzer nun auf die „aufgedrängten“ Änderungen reagieren und nachfolgend ob die zuständige luxemburgische Datenschutzbehörde CNPD Maßnahmen einleitet oder vielleicht Verbraucherschutzverbände wieder gegen Paypal klagen…
Weiterführend:
Bewertung der Änderungen der Instagram AGB aus urheber- und datenschutzrechtlicher Sicht
FOLGEN SIE MIR AUF TWITTER 
Vielen Dank für diesen sehr guten Artikel. Ich habe gestern Abend noch meinen Account gelöscht, auch wenn ich das sehr ungern gemacht habe, da ich viel über PayPal abgewickelt habe in den letzten 7 Jahren.
Bin mit den AGBS auch nicht zufrieden aber das ist immer noch besser als eine Kreditkarte durch die noch weitere Kosten entstehen. Der Gesetzgeber müsste die Zwingen noch mal nach zu bessern aber das wird er niemals tun.