Fingerabdrücke & Co.: Kritik an PayPal wegen genutzter Daten (Update)

Was darf ein Unternehmen, um den Schutz seiner Kunden zu verbessern? Welche Grenzen setzt die neue Datenschutzgrundverordnung? Und ab wann ist Kritik am Datensammeln gerechtfertigt? – Viele Fragen, die ein Clinch zwischen PayPal und Verbraucherschützern aufwirft.

PayPal hat als Zahlungsdienstleister mit jeder Menge sensibler Daten zu tun: Daten, die umfangreiche Informationen über das private Leben von Menschen beinhalten. Zum Beispiel weiß PayPal nicht nur über Konten, Einkäufe, Kaufgewohnheiten oder bevorzugte Händler seiner Nutzer Bescheid. Der Zahlungsdienst nutze auch Standortdaten und sogar biometrische Daten – das heißt zum Beispiel „Fingerabdrücke von den Smartphones oder Tablets seiner 20,5 Millionen deutschen Nutzer“, schreibt die WirtschaftsWoche.

Und genau dieser Zugriff scheint Verbraucherschützern alles andere als zu gefallen. „Aus meiner Sicht verstößt das gegen den Datenschutz, denn Unternehmen dürfen biometrische Daten wie Fingerabdrücke grundsätzlich nur mit ausdrücklicher Zustimmung ihrer Kunden erfassen“, zitiert die WirtschaftsWoche Carola Elbrecht vom Bundesverband der Verbraucherzentralen.

Sicherheit versus Datenschutz

„Aus Sicht von Verbraucherschützerin Elbrecht könnte PayPal seine Finanzdienste auch ohne Fingerabdrücke und Standortdaten anbieten“, heißt es weiter. Auf diese Kritik habe PayPal mit dem Hinweis reagiert, dass Nutzer gemäß der hauseigenen Datenschutzgrundsätze die Möglichkeit haben, entsprechende Einstellungen ihrer Smartphones oder Tablets zu ändern und damit den Zugriff auf ungewollte Informationen zu verwehren oder zu beschränken.

Darüber hinaus sind die entsprechenden Daten für den Zahlungsdienst – auch, wenn sie intim sind – ein Instrument, das unter anderem für mehr Sicherheit sorgen kann. Auf Basis der Daten ließe sich nach Aussagen von PayPal zum Beispiel feststellen, wenn ein Standort nicht zum Profil eines Nutzers passe. Das heißt in der Praxis: Wenn ein Nutzer aus München, der für gewöhnlich nur kleinere Beträge über PayPal bezahlt, auf einmal riesige PayPal-Transaktionen aus Asien oder Osteuropa anweist, könnte dies ein Hinweis auf betrügerische Aktivitäten sein. Für PayPal wäre es auf Grundlage der gesammelten Informationen also möglich, potenzielle Gefahren für seine Nutzer zu erkennen.

Das Thema Datenschutz ist für Hightech-Unternehmen grundsätzlich nicht immer leicht. Einerseits sind Branchenplayer angehalten, eine Datensparsamkeit an den Tag zu legen und nur solche Informationen zu sammeln, die auch wirklich für die Abwicklung von Prozessen oder Verträgen notwendig sind. Andererseits kritisieren Technikexperten auch, dass allzu strenge Regulierungen neue Innovationen und ein Fortschreiten wichtiger Technologien hemmen würden. Mit Blick auf diese Diskrepanz wird es hierzulande sicher noch einige rechtliche Anpassungen geben müssen. 

Update: PayPal verweist darauf, selbst keine Fingerabdrücke zu speichern

PayPal hat in einem Statement explizit darauf hingewiesen, dass der Zahlungsdienst keine Fingerabdrücke speichert. Das Unternehmen schreibt:

„Fingerabdruckdaten verlassen niemals das Gerät und PayPal hat keinen Zugriff auf die tatsächlichen Fingerabdruckdaten. Damit das Einloggen bei PayPal in der PayPal-App per Fingerabdruck funktioniert, generiert PayPal einen Token und speichert den Token lokal auf diesem Gerät. Dieser Token liegt in einer Sandbox-Umgebung, auf die lediglich die PayPal-App zugreifen kann und die lediglich von der PayPal-App gelesen werden kann, wenn der Kunde zum Anmelden seinen Finger auf das Gerät hält. Die PayPal-App oder der PayPal-Server erhalten niemals Zugriff auf die Fingerabdruckdaten.“

Hinweis: In einer früheren Fassung des Textes hieß es mit Verweis auf die WirtschaftsWoche, dass PayPal biometrische Daten wie Fingerabdrücke speichert. Dies ist allerdings nicht der Fall und wurde entsprechend geändert.