Der Flaschenhals bei einem datensparsamen Onlineleben ist das Zahlungsmittel: Fast immer hängt eine eindeutige ID an den möglichen Bezahloptionen. Vor allem Kreditkarte oder Kontonummer können nicht so einfach neu besorgt werden wie eine E-Mail-Adresse. Kein Wunder, dass wir immer wieder gefragt werden, was denn eigentlich weit verbreitete und datenschutzfreundliche Bezahlmethoden sind.
Leider gibt es dafür keine einfache gute Lösung. Die gute Nachricht: In der Praxis werden Kontonummern und Kreditkartennummern nicht als Werbetracking-ID verwendet, das verbieten auch Richtlinien wie PCI-DSS. Andererseits können Transaktionen dennoch in statistische Marktdaten einfließen, die dann doch wieder gehandelt werden können. Im Rahmen diese Frage habe ich mir deshalb mal Paypal genauer angeschaut. Denn man kann Paypal durchaus ohne Konto benutzen – und so ein bisschen mehr Datenschutz erreichen. Der Aufwand ist aber nicht gerade gering.
1. Das Problem: Die Paypal-E-Mail ist eine langlebige ID
Wer bei einem Unternehmen mit Paypal einkauft, gibt seine E-Mail zweimal her. Einmal beim Shop und einmal bei Paypal. Wer in seinem Leben nur eine private und eine berufliche E-Mail benutzt, für den ist das kein Unterschied: Die beiden E-Mails sind ja die gleichen. Aber viele Datenschutzinteressierte nutzen für jeden Shop eine neue E-Mail-Adresse. Der Grund: Bei der verhaltensbasierten Werbung werden eindeutige IDs wie die E-Mail-Adresse immer wichtiger. Daran werden jahrelange Profile geknüpft, gehandelt und abgeglichen.
Und eine einzigartige Bestelladresse hilft bei Verwendung von Paypal nicht mehr: Unternehmen sehen die bei Paypal hinterlegte E-Mail-Adresse des Kunden auch in ihrem Paypal-Reporting (man sieht das schön in diesem Screencast von einer amerikanischen Händlerin als Piped-Video). Wir haben das auch nochmals bei einem deutschen Shop nachprüfen lassen:
Die Ansicht einer Transaktion im Business-Konto von Paypal. Diese Einträge können auch als Liste heruntergeladen werden. Mit dabei ist die bei Paypal hinterlegte E-Mail des Kunden.
Und weil das Reporting auch als CSV-Datei heruntergeladen werden kann, lassen sich damit im großen Stil maschinenlesbare Daten erstellen und als Kundenliste bei den einschlägigen Datenhändlern wie Facebook hochladen. In der Praxis kann das interessant sein, um diese Kunden vom Marketing auszuschließen oder die Zielgruppe an andere Shops mit ähnlicher Zielgruppe zu verkaufen („Kaufte Treppenlift, hat auch Interesse an Seniorenheimen“).
Datenschutz bei Paypal
Das sind die Gefahren auf Seite der Händler’innen. Aber muss man auch Bedenken haben, dass Paypal die Transaktionen auswertet? Aus der Datenschutzerklärung von Paypal ergibt sich nicht ausdrücklich, dass die Einkaufshistorie für verhaltensbasierte Werbung Dritter verwendet werden. Wohl lässt sich Paypal aber einen gewissen Spielraum als „berechtigtes Interesse“. Transaktionsdaten dürfen an Partner, Händler und deren Dienstanbieter gehen. Paypal selbst gibt an, mit den Daten interessensbezogene Werbung für Paypal zu schalten oder mit den E-Mail-Adressen der Nutzenden bei dem Datenhändler Acxiom Marktforschung zu betreiben.Wem Datenschutz wichtig ist, der meidet Paypal – das hat sich in den letzten Jahren schon herumgesprochen. Aber manchmal braucht man eben doch einen Paypal-Account. Dann gibt es folgende Möglichkeiten.
2. Registrierung ohne Bankdaten
Das brauchst man als Minimum für eine Paypalanmeldung:
- E-Mail-Adresse
- Vorname und Nachname
- Adresse
- Mobilnummer
Eine Kontoverbindung ist also zunächst gar nicht erforderlich. Vorname, Nachname und Adresse kann man sich frei ausdenken, denn es wird nicht kontrolliert. Auch wenn man im Versandhandel richtige Angaben machen muss, kann es bei der Bezahlung eine andere Angabe sein, denn die Angaben im Paypal-Account sind ja auch in vielen anderen Fällen nicht notwendigerweise identisch mit der Lieferadresse. Solange es nicht in Betrugsabsicht geschieht, gibt es auf Pseudonyme sogar ein Recht, denn TTDSG §19 verspricht:
Anbieter von Telemedien haben die Nutzung von Telemedien und ihre Bezahlung anonym oder unter Pseudonym zu ermöglichen, soweit dies technisch möglich und zumutbar ist.
Ob sich das wiederum mit den AGBs von Papyal verträgt, in denen die Angabe von falschen Informationen nicht erlaubt ist, kann ich nicht sagen. Ein Pseudonym ist vielleicht nicht notwendigerweise falsch. Aber da auch bei völlig legalen Aktionen Paypal-Konten gesperrt werden und alle Forderungen auf Auszahlung an verschiedenen Hotlines und Chatbots abperlen, dürfte man sich mit einem Pseudonym zumindest mit dem Gedanken anfreunden, dass das Geld auf dem Paypal-Konto auch mal plötzlich weg sein kann.
Bei der Mobilnummer wird es etwas mühsamer: Diese kann man für geringe Kosten am Kiosk besorgen. Ich nehme gerne Lyca oder Lebara, weil man hier für 5€ bereits eine Karte erhält, die für mindestens drei Monate SMS empfängt (oder danach mit Aufladungen und gelegentlichen kostenpflichtigen Anrufen weiter am Leben gehalten werden kann). Für SIM-Karten braucht man in Deutschland einen Ausweis. Das kann man mit etwas Mühe umgehen, wenn man einen (Online-)Händler findet, der bereits registrierte Karten verkauft. Aber notwendig ist das gar nicht, denn für das Werbetracking spielen die Daten der SIM-Karte keine Rolle. An diese Information kommt weder Paypal noch ein Händler ran. Ich nutze auch für meine Recherchen regelmäßig Wegwerf-SIM, die ich mit meinem Ausweis besorge.
Aber wie lange geht das gut, wenn irgendwann die SIM-Karte verfällt? Die Telefonnummer wird eigentlich nur einmalig für die Registrierung benötigt. Aber theoretisch kann sie auch neu abgefragt werden, wenn Paypal aus irgendwelchen Gründen beim Login misstrauisch wird, z.B. wenn man sich plötzlich vom Ausland oder per VPN anmeldet. Gegen die erneute Abfrage gibt es keinen sicheren Schutz, aber man kann das Risiko verringern: Und zwar mit einer Zwei-Faktor-Authentifizierung, die das Konto auch ohne Mobilnummer sicherer macht. Dafür braucht man eine OTP-App auf dem Smartphone, bei F-Droid gibt es z.B. FreeOTP+ oder Aegis. Das verringert generell die Gefahr, dass das Konto von Hacker’innen angegriffen wird. Und damit auch die Wahrscheinlichkeit, dass Paypal nochmal die Telefonnummer abfragt.
Ein Paypal-Account ohne verknüpfte Bankdaten ist etwas schlechter gestellt, weil er als nicht verifiziert geführt wird. Es könnte auch von Paypal so eingeschätzt werden, dass kein Paypal-Käuferschutz besteht. Wenn ein Händler also nichts sendet, dann könnte man kein Geld zurückbekommen.
3. Geld aufs Konto bekommen
Die nächste Hürde: Wie bekommt man Geld auf das Konto? Aus Geldwäschegründen sind eigentlich alle anonymen Methoden nicht möglich, auch mit Prepaid-Bezahlkarten, virtuellen Kreditkarten oder mit Tricksereien wie Retouren braucht man es nicht probieren (Retouren gehen immer wieder auf die ursprüngliche Zahlungsmethode zurück). Also bleiben im Wesentlichen drei Methoden:
1. Das Konto von Freunden über deren Paypalkonto aufladen lassen.
2. Ein eigenes Paypalkonto führen, mit dem man seine pseudonymen Konten auflädt.
3. Geld über Verkäufe generieren
Die Methoden 1 und 2 reichen für unseren Zweck aus. Obwohl Paypal den Geldfluss zurückverfolgen kann, ist der Zusammenhang nicht mehr ausreichend, um für Tracking bei Paypal verwendet zu werden. Die zwei Methoden schützen also bereits ausreichend vor Profilbildung, sowohl bei Paypal selbst als auch bei den zwischengeschalteten Dienstleistern wie Stripe und bei den Händlern, die nun immer andere E-Mail-Adressen bekommen.
Ob Methode 3 wirklich funktioniert, habe ich nicht getestet. Das bekannteste Portal, Kleinanzeigen.de, hat keine Paypal-Option, aber man kann natürlich immer versuchen, Käufer’innen zu einer solchen Zahlung per Nachricht zu überreden. Ebay hat mich nach Kontoerstellung mit dem unverifizierten Konto gesperrt, so dass ich davon auch eher abrate. Einmailadressen, unverifizierte Paypalaccounts und fehlende Bankverbindung sind vermutlich ziemlich starke Trigger für die Betrugskonrolle von Ebay.
4. Geld ausgeben: Einmalzahlung ja, Abo nein
Hat man ein bisschen Geld auf dem Konto, kann man auf Shoppingtour gehen. Ich habe einige Shops ausprobiert und dabei ein klares Muster festgestellt: Einmalzahlungen funktionieren, solange der benötigte Betrag auf dem Konto ist. Dafür muss man nur einmalig bei Paypal das eingegangene Guthaben als priorisierte Zahlungsmethode einstellen.
Erst wenn das Guthaben als bevorzugte Quelle von Zahlungen eingestellt wurde, klappt es mit einer Bezahlung ohne Konto.
Einmalzahlungen haben bei allen Shops, die ich getestet habe, funktioniert:
✅ Deutsche Bahn (wir bringen demnächst noch einen gesonderten Beitrag zu dem Thema Bahn und Anti-Tracking-Maßnahmen)
✅ Ebay (Account am nächsten Tag gesperrt)
✅ Saturn
✅ Mullvad
✅ Metager
✅ Bandcamp
Ohne Problem: Eine S-Bahn-Fahrkarte bei der Deutschen Bahn wurde mit pseudonymen Account bezahlt.
Es kann allerdings sein, dass manche Shops strenger beurteilen: Denn sie bekommen durchaus angezeigt, dass ein Account nicht verifiziert ist. Als verifiziert gilt nur, wer ein Bankkonto oder eine Kreditkarte hinterlegt hat.
Bei den Abonnements scheiterte ich durchgehend:
❌ Netflix
❌ Contentpass
❌ Golem
❌ Heise
Das Produkt „Paypal Subscriptions“ funktioniert also grundsätzlich nicht ohne Bankdaten.
Wenn Abonnements bestellt werden, erscheint diese Aufforderung nach dem Login bei Paypal. Ohne Konto oder Karte kommt man mit der Bestellung nicht mehr weiter.
Amazon und Kleinanzeigen.de hatten keine Option für Paypal. Aber ein Tipp am Rande: Amazon kann man mit Geschenkgutscheinen aus dem Supermarkt anonym nutzen, was für digitale Güter eine interessante anonyme Alternative ist.
5. Zu kompliziert? Dieser Trick hilft auch (ein bisschen)
Wem die ständiger Neuerstellung von Konten bei Paypal zu mühsam ist, der hat immerhin eine weitere einfache Möglichkeit zur Spurenverringerung: Man kann in seinem Paypal mit echtem Namen und Kontonummer auch regelmäßig die E-Mail-Adresse ändern. Dann erhält zwar Paypal weiterhin alle Zahlungsvorgänge, aber der Onlinehandel bekommt keine langlebige ID mehr für das Tracking. Denn Namen und Anschriften sind für das Werbetracking kaum in Gebrauch, dazu gibt es zu viele Doppelungen. Den Namen bei Paypal hin und wieder zu ändern ist hingegen nicht möglich: Paypal will jede Änderung mit einem Scan vom Ausweis kontrollieren.
Unterstütze den Blog mit einem Dauerauftrag!
Unabhängig. Kritisch. Informativ. Praxisnah. Verständlich.
Die Arbeit von kuketz-blog.de wird vollständig durch Spenden unserer Leserschaft finanziert. Sei Teil unserer Community und unterstütze unsere Arbeit mit einer Spende.
6. Fazit
Man kann Paypal ohne Konto nutzen, aber die Anwendungsmöglichkeiten sind sehr beschränkt: Man muss sich das pseudonyme Konto von einem anderen Paypal-Accounts mit Bank-Account aufladen (lassen), man kann generell keine Abonnements nur mit Guthaben bezahlen und man lebt in ständiger Angst, dass das Konto gesperrt wird. Die ganze Sache ist durch die Mobilnummer, die angeschafft werden muss, zusätzlich mühsam und mit Kosten verbunden. Allerdings ist es die einzige weit verbreitete Möglichkeit, um gegenüber den meisten Shops komplett pseudonym und ohne langlebige Daten wie Kontonummer oder Kreditkarte zu bezahlen. Der beste Mittelweg für alle, die nicht auf die Bequemlichkeit von Paypal verzichten wollen: Regelmäßig nach einigen Einkäufen die bei Paypal hinterlegte E-Mail-Adresse ändern – dann haben die Händler auch über das Paypal-Reporting keinen Zugriff mehr auf eine langlebige ID und es kann keine zentrale Profilbildung durch Datenhändler damit betrieben werden.
Bildquellen:
Logo basiert auf: Cryptocurrency icons created by Flat-icons-com – Flaticon
Über den Autor | Eberl
Matthias Eberl ist freiberuflicher Multimedia-Journalist und schreibt außerdem für verschiedene Publikationen über Datenschutz-Themen. Für Journalisten gibt er auch Kurse im Bereich Informantenschutz. Er ist als Datenschutzbeauftragter von der IHK zertifiziert.
Unterstützen
Die Arbeit von kuketz-blog.de wird zu 100% durch Spenden unserer Leserinnen und Leser finanziert. Werde Teil dieser Community und unterstütze auch du unsere Arbeit mit deiner Spende.
Wenn du über aktuelle Beiträge informiert werden möchtest, hast du verschiedene Möglichkeiten, dem Blog zu folgen:
Klimaschutz mit Datenschutz? Der große Elektroauto-Ladeapp-Test
Phishing: Das Abfischen von Zugangsdaten vermeiden
Deutsche Bahn und das Ende des anonymen Spartickets? Diese Optionen bleiben
Pi-hole: Einrichtung und Konfiguration mit Fritz!Box – AdBlocker Teil1
Ich freue mich auf Deine Beteiligung zum Artikel
Abschließender Hinweis
Blog-Beiträge erheben nicht den Anspruch auf ständige Aktualität und Richtigkeit wie Lexikoneinträge (z.B. Wikipedia), sondern beziehen sich wie Zeitungsartikel auf den Informationsstand zum Zeitpunkt des Redaktionsschlusses.Kritik, Anregungen oder Korrekturvorschläge zu den Beiträgen nehme ich gerne per E-Mail entgegen.