PayPal und Datenschutz – Was Webseitenbetreiber wissen müssen

Setzt ein Webseitenbetreiber PayPal als Zahlungsdienstleister ein, verarbeitet er Zahlungsdaten (Konto, Betrag, Empfänger, Käuferdaten) zum Zweck der Zahlungsabwicklung, Betrugsprävention und Compliance auf Basis einer Vertragserfüllung und rechtlichen Verpflichtung. PayPal (Europe) S.à r.l. et Cie, S.C.A. agiert dabei nicht nur als Auftragsverarbeiter, sondern auch als eigenständiger Verantwortlicher für Zahlungsdaten, was die datenschutzrechtliche Einordnung entscheidend prägt.

Diese Anleitung richtet sich an Webseitenbetreiber, die PayPal-Checkout-Lösungen, Payment Buttons oder PayPal-Zahlung als Zahlungsart anbieten und daher eine DSGVO-konforme Datenschutzerklärung benötigen.

A. Zweck und Funktionsweise von PayPal

PayPal ist ein weltweit führender Online-Zahlungsdienstleister für E-Commerce-Transaktionen. Ein Webseitenbetreiber integriert PayPal typischerweise über einen PayPal-Button (»Checkout Button«), ein Zahlung-Widget oder eine API auf seiner Website.

Beim Checkout-Prozess wird der Käufer auf PayPal weitergeleitet oder sieht ein eingebettetes PayPal-Formular. Der Käufer gibt seine PayPal-Anmeldedaten, Zahlungsinstrument und Versandadresse ein. PayPal verarbeitet diese Daten, überprüft die Zahlungsfähigkeit, prüft auf Betrugssignale und führt die Zahlung durch. Nach erfolgreicher Zahlung erhält der Webseitenbetreiber eine Zahlungsbestätigung (IPN = Instant Payment Notification oder Webhook-Callback).

Die PayPal-Anbindung erfolgt über eine Merchant-Integration – der Webseitenbetreiber wird Partner von PayPal (Merchant) und unterzeichnet die PayPal-Vertragsbedingungen sowie die Datenschutzerklärung.

B. Pflichtangaben in der Datenschutzerklärung zu PayPal

Die DSGVO verlangt, dass eine Datenschutzerklärung folgende Angaben zu jedem Empfänger oder jeder Empfängerkategorie enthält: Zwecke (Art. 13 Abs. 1 lit. c), Rechtsgrundlagen (Art. 13 Abs. 1 lit. a), berechtigte Interessen (Art. 13 Abs. 1 lit. d, sofern relevant), Empfängerkategorien (Art. 13 Abs. 1 lit. e), Drittlandtransfers (Art. 13 Abs. 1 lit. f) und Speicherdauer (Art. 13 Abs. 2 lit. a).

Sichtweise auf PayPal-Integration: Viele Webseitenbetreiber fügen zu PayPal einen bloßen Textbaustein ein wie »PayPal erhebt und verarbeitet Zahlungsdaten«. Dies widerspricht Art. 12 Abs. 1 DSGVO, der fordert, dass Datenschutzerklärungen in »klarer und einfacher Sprache« zu verfassen sind. Toolspezifische Textbausteine sind häufig zu kurz, zu vage oder nicht an die konkrete Integrationskonfiguration des Webseitenbetreibers angepasst.

Besser: Ordnen Sie PayPal in Ihren themenorientierten Datenschutzsektionen ein:

• »Zahlungsverarbeitung« – hier beschreiben Sie, welche Zahlungsdienstleister Sie nutzen, welche Daten fließen und warum
• »Vertragsabwicklung« – Rechtsgrundlage Art. 6 Abs. 1 lit. b DSGVO
• »Sicherheit und Betrugsprävention« – Rechtsgrundlage Art. 6 Abs. 1 lit. f DSGVO (berechtigte Interessen)
• »Datenschutzerklärungen von Drittanbietern« – Verweis auf PayPals eigene Privacy Policy

C. Anbieter von PayPal: PayPal (Europe) S.à r.l. et Cie, S.C.A.

Juristischer Name: PayPal (Europe) S.à r.l. et Cie, S.C.A.

Anschrift: 22–24 Boulevard Royal, L-2449 Luxemburg, Luxemburg

Sitzland: Luxemburg (Europäische Union / EWR)

Rechtsform: Limited Liability Company / Commandite simple

Datenschutzerklärung: https://www.paypal.com/de/webapps/mpp/ua/privacy-full

DPF-Status: PayPal (Europe) S.à r.l. et Cie, S.C.A. ist eine EU-Gesellschaft und unterliegt nicht dem Data Privacy Framework (DPF). Das DPF gilt nur für US-Unternehmen. PayPal bedient sich jedoch Standard Contractual Clauses (SCC) und Binding Corporate Rules (BCR) für Drittlandtransfers an PayPal-Konzerngesellschaften in den USA. Prüfen Sie im Einzelfall, welche Drittlandtransfers für Ihr Setup relevant sind.

Datenschutzvereinbarung (AVV/DPA): PayPal bietet eine Data Protection Addendum an (siehe https://www.paypal.com/us/legalhub/paypal/data-protection). Diese definiert PayPal als eigenständigen Verantwortlichen für Zahlungsdaten und nicht als reinen Auftragsverarbeiter. Das hat zur Folge, dass PayPal für Zahlungsdaten unabhängig von der Datenschutzerklärung des Webseitenbetreibers handelt.

D. Datenverarbeitung durch PayPal – Ablauf

E. Erhobene Daten beim Einsatz von PayPal

Bei der Integration von PayPal als Zahlungsdienstleister verarbeitet der Webseitenbetreiber (als gemeinsam Verantwortlicher mit PayPal) und PayPal selbst folgende Datenarten:

Erhobene Daten bei der Zahlungsabwicklung:

• Name und E-Mail-Adresse des Käufers
• Rechnungsadresse und Lieferadresse
• Telefonnummer
• Betrag, Währung, Transaktionsreferenz
• Betrag und Artikel-Beschreibung (vom Webseitenbetreiber an PayPal übermittelt)
• IP-Adresse des Käufers
• Geräte- und Browserinformationen (User-Agent, Betriebssystem, Bildschirmauflösung)
• Zahlungsmitteltyp (Kreditkarte, Kontoverbindung, PayPal-Guthaben)
• Geburtsdatum (falls vom Webseitenbetreiber oder PayPal erforderlich)

Diese Daten lassen sich in folgende standardisierte Datenarten-Klassen einordnen:

• Webserver-Protokolldaten: IP-Adresse, Datum/Uhrzeit, Browser/OS, technische Metadaten
• Nutzungskonto-Daten: E-Mail-Adresse, Name, Rechnungs- und Lieferadressen, Passwort (einwegverschlüsselt bei PayPal)
• Grobe Standortdaten: IP-basierter Standort auf Stadt-/Gemeindeebene
• Endgeräte-Daten: Gerätetyp, Betriebssystem, Bildschirmauflösung, Browser
• Browserinformationen: Browsername, -version, installierte Plug-ins
• Konversionsereignisse: Produktkauf, Betrag, Transaktionszeitpunkt, Erfolg/Fehler
• Technische Telemetriedaten: Ladezeiten bei Checkout, Fehlerquoten, Session-Dauer

F. Nutzungszwecke beim Einsatz von PayPal

Bei der Zahlungsabwicklung mit PayPal werden Daten zu folgenden Zwecken verarbeitet:

Hauptzwecke:

• Funktionsbereitstellung: Ermöglichung des Checkout-Prozesses, Darstellung des PayPal-Buttons und des Bezahlformulars
• Vertragsdurchführung: Zahlungsabwicklung, Bestätigung von Transaktionen, Rechnungslegung gegenüber Käufer und Merchant
• Sicherheit und Missbrauchsschutz: Betrugserkennung durch Scoring, Identitätsprüfung, AML-Compliance (Geldwäschebekämpfung), Prüfung gegen Sanktionslisten
• Allgemeine Produktverbesserung: Verbesserung der Zahlungsabwicklungsgeschwindigkeit, Fehleranalyse beim Checkout, Nutzerfreundlichkeit
• Compliance: Einhaltung von AO (Abgabenordnung), HGB (Handelsgesetzbuch), GwG (Geldwäschegesetz), AIFMD und anderen Finanzvorschriften
• Rechtsdurchsetzung: Streitbeilegung, Rückbuchungsschutz, Nachweis von Transaktionen
• Kommunikation: Bestätigung der Zahlung, Rechnungen, Kundensupport bei Zahlungsproblemen

G. Rechtsgrundlagen für PayPal

Schritt 1: Kategorisierung von PayPal PayPal ist ein Zahlungsdienstleister, den der Webseitenbetreiber als eigenständigen Verantwortlichen und partiellen Auftragsverarbeiter beauftragt. Die Rollenverteilung ist gemischt:

• Der Webseitenbetreiber ist Verantwortlicher für die Entscheidung, PayPal zu nutzen
• PayPal ist Verantwortlicher für die Zahlungsabwicklung und Betrugsprävention
• Im Zahlungsfluss fungiert PayPal zugleich als Auftragsverarbeiter für vom Webseitenbetreiber übermittelte Daten (z.B. Artikel-Beschreibung)

Schritt 2: Anwendbare Rechtsgrundlagen

1. Vertragsdurchführung (Art. 6 Abs. 1 lit. b DSGVO):

   • Notwendig zur Erfüllung eines Kaufvertrags zwischen Käufer und Webseitenbetreiber
   • Zahlungsabwicklung, Rechnungslegung, Versandbestätigung
   • Dies ist die primäre Rechtsgrundlage

2. Rechtliche Verpflichtung (Art. 6 Abs. 1 lit. c DSGVO):

   • GwG (Geldwäschegesetz): KYC-Prüfung des Käufers bei PayPal
   • AO (Abgabenordnung): 6-jährige Speicherung von Rechnungsunterlagen
   • HGB (Handelsgesetzbuch): Buchhaltungspflichten
   • AIFMD (Finanzmarktrichtlinie): Falls PayPal auch Finanzprodukte verwaltet

3. Berechtigte Interessen (Art. 6 Abs. 1 lit. f DSGVO):

   • Betrugsprävention und Sicherheit der Zahlungen
   • Schutz des Webseitenbetreibers vor Chargeback-Ansprüchen
   • Verhinderung von Geldwäsche und Terrorismusfinanzierung
   • Verbesserung der Zahlungsabwicklungsgeschwindigkeit
   • Gegenüberstellung: Die Interessen des Webseitenbetreibers und von PayPal überwiegen die Interessen der Betroffenen, da ohne Betrugsprävention der E-Commerce unmöglich wäre

4. Einwilligung (Art. 6 Abs. 1 lit. a DSGVO):

   • Nicht erforderlich, da Verträge und Rechtspflichten ausreichend sind
   • Optional: Falls der Webseitenbetreiber Marketing über PayPal-Daten plant (z.B. Kundenlisten), ist Einwilligung oder ein anderer Grund nötig

Besonderheit – § 25 TDDDG (Telemediengesetz): Falls der Webseitenbetreiber einen PayPal-Button oder ein Tracking-Pixel auf der Website hat, das auch außerhalb des Checkout-Prozesses lädt (z.B. zur Conversion-Verfolgung), ist gemäß § 25 TDDDG eine Opt-in-Einwilligung erforderlich. Dies gilt für Cookies und Tracking-Technologien, nicht für die Zahlungsabwicklung selbst.

H. Besonderheiten und Hinweise zu PayPal

1. PayPal ist eigenständiger Verantwortlicher PayPal verarbeitet Zahlungsdaten nicht nur auf Weisung des Webseitenbetreibers, sondern trifft eigene Entscheidungen über Sicherheitsscores, Betrugsprävention und Aufbewahrung. Das bedeutet, dass PayPals eigene Datenschutzerklärung (https://www.paypal.com/de/webapps/mpp/ua/privacy-full) direkt auf den Käufer anwendbar ist, unabhängig von Ihrer Datenschutzerklärung.

2. Duales Datenschutzregime Der Käufer hat Rechte gegenüber beiden Verantwortlichen:

• Gegenüber dem Webseitenbetreiber: Auskunft, Berichtigung, Löschung über die Webseitendaten
• Gegenüber PayPal: Auskunft, Berichtigung, Löschung über die Zahlungs- und Sicherheitsdaten

Sie sollten in Ihrer Datenschutzerklärung darauf hinweisen, dass PayPal Betroffenenrechte entgegennimmt.

3. Datenschutzvereinbarung (DPA/AVV) PayPal bietet eine Data Protection Addendum (https://www.paypal.com/us/legalhub/paypal/data-protection). Diese beschreibt:

• Die Rolle des Webseitenbetreibers als Co-Verantwortlicher
• Die Behandlung von Subprozessoren
• Die Verwendung von Standard Contractual Clauses (SCC) für Drittlandtransfers
• Die Verpflichtung zur Zusammenarbeit bei Datenschutzanfragen

Sie sollten diese DPA unterzeichnet haben, falls Sie PayPal einsetzen.

4. Drittlandtransfers und Transfermechanismen PayPal transferiert Daten in die USA. Gemäß Art. 13 Abs. 1 lit. f DSGVO müssen Sie dies offenlegen:

• Data Privacy Framework (DPF): PayPal Inc. (USA) ist DPF-zertifiziert (prüfen Sie dies auf https://www.dataprivacyframework.gov/s/participant-search)
• Standard Contractual Clauses (SCC): Als Fallback und für weitere Transfers
• Binding Corporate Rules (BCR): PayPal unterliegt eigenen BCR für Intragruppen-Transfers

Sie sollten in Ihrer Datenschutzerklärung offenlegen: »Zahlungsdaten werden teilweise in die USA übermittelt. PayPal ist zertifiziert unter dem Data Privacy Framework und nutzt Standard Contractual Clauses.«

5. § 25 TDDDG und PayPal-Tracking Falls der PayPal-Button nicht nur beim Checkout, sondern auch zur Conversion-Verfolgung trackt (»PayPal Pixel«), ist Opt-in-Einwilligung nötig (§ 25 Abs. 1 TDDDG). Dies ist unabhängig von der Zahlungsabwicklung.

I. FAQ zu PayPal

J. Fazit und Empfehlung zu PayPal

PayPal ist als Zahlungsdienstleister für E-Commerce unverzichtbar, stellt aber erhebliche datenschutzrechtliche Anforderungen an den Webseitenbetreiber: Dual-Verantwortlichkeit, Drittlandtransfers in die USA, 6-jährige Aufbewahrung für Compliance, und verschiedene Rechtsgrundlagen je nach Verarbeitungsphase.

Toolspezifische Textbausteine (»PayPal verarbeitet Zahlungsdaten«) sind häufig zu kurz und erfüllen nicht die Anforderung der Art. 12 Abs. 1 DSGVO (»klare und einfache Sprache«).

Empfehlung: Nutzen Sie einen themenorientierten Aufbau Ihrer Datenschutzerklärung:

• Sektion »Zahlungsverarbeitung« mit Kurzbeschreibung aller Zahlungsanbieter
• Sektion »Sicherheit und Betrugsprävention« für den Zweck
• Sektion »Drittlandtransfers« mit Verweis auf DPF und SCC
• Anhang mit Empfängerlisten und Subprozessoren

Dies ist für Lesbarkeit und DSGVO-Konformität deutlich besser als Toolspezifische Boxen.