Es gibt wenige Unternehmen, die noch keinen Vertrag zur Auftragsverarbeitung (AV) ihrer Geschäftspartner oder Dienstleister im Briefkasten hatten, oder aber selbst an alle ihre Geschäftskontakte einen herausgeschickt haben. Dass in vielen Fällen der AV nach Art. 28 DSGVO gar nicht das richtige Rechtsinstrument ist, ist meist erst einmal zweitrangig. Frei nach dem Motto: Lieber ein AV zu viel, als einer zu wenig. Wer soll da aber auch durchblicken, bei all den vielfältigen Geschäftsbeziehungen, die das Leben zeichnet – schließlich verarbeitet man doch immer irgendwie auch personenbezogene Daten!
Bringen wir doch zumindest in Bezug auf eine Rechtsbeziehung ein wenig Licht ins Dunkel: Ist PayPal ein Auftragsverarbeiter nach der DSGVO? Muss ich also, wenn ich als Händler die Dienste des Internetriesen in Anspruch nehme, einen Vertrag zur Auftragsverarbeitung nach Art. 28 DSGVO mit ihm abschließen?
Nein. PayPal ist kein Auftragsverarbeiter, sondern ein eigenständiger Verantwortlicher im Sinne des Datenschutzrechts. Ein datenschutzrechtlicher Vertrag für diese Rechtsbeziehung ist durch die DSGVO nicht vorgesehen.
Aber schauen wir uns zunächst an, wie PayPal funktioniert:
PayPal (deutsch: Bezahlkumpel) ist ein E-Gelddienstleister mit Bankzulassung in Luxemburg, der Onlinebezahlvorgänge vereinfachen und beschleunigen soll. Sowohl Privatpersonen als auch Händler können bei PayPal ein Konto erstellen. Dafür muss man bestimmte Daten, wie z.B. den vollständigen Namen, eine E-Mailadresse und ein Bankkonto, von dem PayPal Geld per Lastschriftmandat abbuchen soll, angeben. Hat man sich dann bei einem Onlinehändler den letzten Schrei ausgesucht, dann kann man die Ware relativ einfach über die PayPal-Funktion bezahlen, die mittlerweile die meisten großen Händler als Zahlmethode anbieten.
PayPal schreibt nun sogenanntes E-Geld vom eigenen PayPal-Konto dem Händler-PayPal-Konto gut. Das funktioniert nur, wenn man zuvor sein Konto mit entsprechendem E-Geld „aufgeladen“ hat, oder aber, wenn man PayPal einen Lastschriftauftrag erteilt, um sich das Geld vom Bankkonto zu ziehen und in E-Geld umzuwandeln. Der Vorteil dabei: Der Händler bekommt das Geld schneller als bei regulären Lastschriftverfahren (nämlich sofort), und: Man muss als Käufer keine Kontodaten auf der – eventuell unsicheren – Webseite des Händlers eingeben und per Internetformular verschicken; denn man wird bei Anklicken der Zahlungsoption „PayPal“ auf die gesicherten Seiten von PayPal weitergeleitet, wo man sich nur mit seiner E-Mailadresse und seinem Passwort anmelden muss. Letztlich bekommen also nicht mehr viele einzelne Händler die Zahlungsdaten des Käufers; im Gegenzug erhält PayPal bei häufiger Nutzung jedoch einen ziemlich genauen Überblick über das Kaufverhalten des Kunden im Internet.
Keine Auftragsverarbeitung nach Art. 28 DSGVO
Eine Auftragsverarbeitung im Sinne der DSGVO wird als Verarbeitung von personenbezogenen Daten definiert, bei der der Auftragsverarbeiter streng daran gebunden ist, wie ihm der Verantwortliche die Datenverarbeitung vorschreibt (sog. Weisungsgebundenheit). Dieses Rechtsinstrument wurde geschaffen, um es Verantwortlichen zu ermöglichen, die Verarbeitung von Daten „outzusourcen“, also ein externes Unternehmen mit Aufgaben zu betrauen, für die es selbst keine Kapazitäten hat. Damit dieses Outsourcing von Datenverarbeitungen zulässig ist, muss aber der Verantwortliche den Auftragsverarbeiter durch einen AV an sich binden und ihm Anweisungen erteilen können, wie konkret mit den erhaltenen Daten zu verfahren ist. Der Auftragsverarbeiter wird durch diese Weisungsgebundenheit dann im Grunde Teil des Verantwortlichen selbst, vergleichbar mit einem Angestellten in einem Unternehmen. Im AV wird daher z.B. geregelt, dass der Einsatz von weiteren Unterauftragnehmern zuvor durch den Verantwortlichen schriftlich genehmigt werden muss, dass der Auftragsverarbeiter verpflichtet ist, dem Verantwortlichen nachzuweisen, dass er explizite Maßnahmen zur Gewährleistung des Schutzes der personenbezogenen Daten ergriffen hat, und dass der Verantwortliche das sogar durch Inspektionen beim Auftragsverarbeiter nachprüfen darf. Verantwortlicher für die Datenverarbeitung im Sinne von § 4 Nr. 7 DSGVO bleibt dabei immer nur der Auftraggeber.
Es wird nun schnell klar, dass diese Konstellation auf PayPal nicht übertragen werden kann. PayPal agiert wie ein eigenständiger Zahlungsdienstleister, der vom Käufer den Auftrag annimmt, Geld zu überweisen, und dieses dem Konto des Verkäufers gutschreibt. Das ist vergleichbar mit einem herkömmlichen Bankinstitut, das nach allgemeiner Auffassung auch nicht als Auftragsverarbeiter fungiert (so z.B. auch das Bayerische Landesamt für Datenschutz).
Als weitere Argumente seien genannt:
- PayPal schließt mit dem Kunden und dem Händler zwei vollkommen unabhängige Verträge. Dabei wird der Vertrag mit dem Kunden in der Regel auch zeitlich vor demjenigen mit dem Händler geschlossen, d.h. PayPal agiert mit den Daten des Kunden nicht erst nach Auftragserteilung durch den Händler, sondern auf einen Auftrag des Kunden selbst hin. Es verarbeitet dabei auch und gerade KEINE Daten des Käufers im Auftrag des Händlers; wenn überhaupt, erfolgt die Datenverarbeitung im Auftrag des Käufers.
- PayPal gibt nicht alle Daten des Käufers, die es im Rahmen einer Transaktion erhält, auch an den Verkäufer weiter. Der Dienst agiert bei der Zahlung zwar als Auftragnehmer im klassischen Sinne, da er eine Zahlmethode für den Händler darbietet und somit eine Dienstleistung stellt. Er handelt dabei aber selbstständig und nimmt auch keine Weisungen im datenschutzrechtlichen Sinne an. Die einzige Weisung, die der Händler an PayPal gibt, ist: „Kassiere folgende Geldsumme ab“. Darauf, wie PayPal mit dieser Anweisung umgeht und welche Daten damit in Verbindung gebracht werden, hat der Verkäufer keinen Einfluss.
- PayPal sichert sich in seinen Nutzungsbedingungen ein Pfandrecht an dem auf dem Konto hinterlegten E-Geld zu, um etwaige eigene Forderungen gegen den Kontoinhaber befriedigen zu können.
- In Einzelfällen führt PayPal selbständig Bonitätsprüfungen (beim Käufer) durch.
- PayPal behält sich vor, die erhaltenen Daten weiterzugeben (z.B. an verbundene Unternehmen, an andere Finanzeinrichtungen, sowie an „andere Dritte aus geschäftlichen Gründen“.
Gemeinsame Verantwortlichkeit gem. Art. 26 DSGVO?
Bei PayPal handelt es sich auch nicht etwa um einen zusammen mit dem Händler Gemeinsamen Verantwortlichen nach Art. 26 DSGVO. Bei der Gemeinsamen Verantwortlichkeit (Joint Controllership) legen zwei selbständig Verantwortliche (also ohne Weisungsgebundenheit) die Zwecke der Datenverarbeitung zusammen so fest, dass sie beide in ungefähr gleicher Weise für die Datenverarbeitung zuständig und damit auch verantwortlich sind. Kurz gesagt, handelt es sich um eine datenschutzrechtliche Arbeitsteilung. Wegen der oben beschriebenen unabhängigen Arbeitsweise von PayPal ist eine Arbeitsteilung zwischen Händler und PayPal hier aber gerade nicht gegeben; der Händler verarbeitet insofern nicht mit PayPal zusammen die personenbezogenen Daten des Käufers.
6. Oktober 2021 @ 19:16
und welche Datenschutzrechtlichen Anforderungen haben die beiden Vertragsparteien im Sinne einer getrennten Verantwortlichkeit dann vertragliche festzuhalten? Welche Pflichten über die sorgfältige Auswahl eines Zahldienstleisters haben sie?
23. August 2019 @ 14:26
Und bei Nutzung von Zusatzleistungen? Soweit bekannt, lässt sich ja auch die Adresse des Kunden als mögliche Lieferadresse im Rahmen des Zahlungsvorgangs an den Versandhändler übermitteln. Das dürfte sehr wohl eine Auftragsverarbeitung sein.
22. August 2019 @ 14:41
Zu dem Abschnitt
PayPal behält sich vor, die erhaltenen Daten weiterzugeben (z.B. an verbundene Unternehmen, an andere Finanzeinrichtungen, sowie an „andere Dritte aus geschäftlichen Gründen“.
kann man eine schöne Visualisierung anfügen
https://netzpolitik.org/2018/visualisiert-mit-diesen-600-firmen-teilt-paypal-deine-daten/
darin
Seit dem 1. Januar 2018 gewährt der Online-Zahlungsdienst PayPal Einblick in die Liste der Firmen, mit denen er „möglicherweise“ persönliche Informationen seiner Nutzer teilt.
Rebecca Ricks hat die sage und schreibe
600 Firmen visualisiert (Link).
http://rebecca-ricks.com/paypal-data/
22. August 2019 @ 7:57
Guter und verständlicher Artikel. Vor allem kann man sich am Beispiel „Paypal“ die Anforderungen an Auftragsverarbeitung und Gemeinsame Verantwortlichkeit an diesem „Negativbeispiel“ (pun intended) klar machen und dann auf andere Fälle übertragen.