PayPal in der Kritik: Werden E-Mail-Adressen der Kunden weitergegeben? [Update]
![PayPal in der Kritik: Werden E-Mail-Adressen der Kunden weitergegeben? [Update] PayPal in der Kritik: Werden E-Mail-Adressen der Kunden weitergegeben? [Update]](https://images.t3n.de/news/wp-content/uploads/2014/11/paypal-e-mail-adressen-1.jpg?class=hero)
Gibt PayPal E-Mail-Adressen an Dritte weiter? (Logo: PayPal Montage: Jochen G. Fuchs )

Geraten die E-Mail-Adressen der Paypal-Kunden in fremde Hände, fragt die FAZ. (Screenshot: PayPal)
FAZ stellt PayPal auf die Probe
FAZ-Redakteur Michael Spehr hat sich für den PayPal-Test ein Szenario ausgedacht, das auf der Tatsache beruht, dass die für PayPal genutzte E-Mail-Adresse sonst nirgendwo in Gebrauch ist. Dazu wird eine E-Mail-Adresse frisch generiert, wie folgt: „eine originelle, garantiert einzigartige E-Mail-Adresse der Form Lbkmitingwtvpayp@provider.de“. Daraus leitet sich dann im FAZ-Test der Schluss ab: „Was in diesem eigens für PayPal angelegten Konto landete, konnte nur von PayPal kommen.“
Das PayPal-Konto ist schnell eingerichtet, der FAZ-Redakteur zahlt ein paar Kleinbeträge mit PayPal, und: die ersten Werbemails von Dritten landen in seinem Postfach. Eine der Werbemails von einem halbseiden wirkenden Anbieter namens „Comebuy.com“. Kontaktrufummer in Frankfurt an der Oder und Sitz in Hongkong.
Paypal-Spam-Kritik: Test-Szenario der FAZ zweifelhaft
Der Test und dessen Interpretation in der FAZ sind zweifelhaft zu bewerten. Ein Argument für den Sprung von der Korrelation, dass Spam-Mails im Postfach landen, hin zum kausalen Zusammenhang, dass PayPal die Adressen selbst an Dritte weitergegeben haben könnte, wird nicht geliefert. Die näheren Umstände des Testszenarios sind nicht bekannt: Wo ist die Test-E-Mail-Adresse angelegt worden? Bei welchen Händlern hat der Redakteur eingekauft? Wie erfolgte die Anmeldung in den Onlineshops der Händler? Die fehlenden Informationen zum Test-Szenario verhindern mindestens eine Einschätzung des tatsächlichen Sachverhalts.
Die Stellungnahme von PayPal zu dem Vorwurf hat die FAZ nicht veröffentlicht sondern nur zitiert. Wir haben deshalb PayPal um eine Stellungnahme zu dem Vorwurf der FAZ gebeten, Paypal hat uns den Original-Text, der auch der FAZ zur Verfügung gestellt wurde, zugesandt:
PayPal verkauft oder vermietet keine persönlichen E-Mail-Adressdaten ohne Zustimmung an Dritte für Marketingzwecke. Daten wie E-Mail- oder Versandadresse werden Händlern ausschließlich zu Abwicklungszwecken zur Verfügung gestellt. Händler können Daten, unter Beachtung des deutschen Datenschutzgesetzes, ebenfalls ausschließlich zu Abwicklungszwecken mit weiteren Drittanbietern teilen.
Paypal Statement zur Frage der Datenweitergabe | Via -E-Mail- 19. November 2014
Ich kann das leider nur bestätigen. Ich verwende eine PayPal-Adresse die nur Affiliate Partner bezahlt und auf dieser Email-Adresse kommt seit dem anlegen des PayPal Kontos in unregelmäßigen Abständen Spam. (Email Provider: Google Apps)
ich habe solche Tests schon mehrmals durchgeführt.dabei habe ich Für den PayPal-Test nur E-Mail-Adressen verwendet, die auf einem eigenen Server liegen. Die Adressen wurden so formuliert, dass sie nicht zufällig entstehen können.
Für PayPal kann ich das Ergebnis des Redakteurs bisher nicht bestätigen. Allerdings zeigt das Ergebnis definitiv, dass bei GMX-E-Mail Adressen solche Fälle regelmäßig vorkommen.
Habe auch extra für paypal ne Email-Adresse, wie auch für andere Dienste um auf dere Spam Faktor zu testen. Ich habe bis jetzt bei ca ein dutzend Transaktionen 1 Spam mail erhalten. Ich glaube allerdings, dass dies an dem Verkäufer lag, bei dem ich etwas erworben hatte. Habe ihn daraufhin angeschrieben und keine weitere spam-mail folgte.
Liegt es wirklich an PayPal? Oder an dem Email-Provider, der ja möglicherweise ebenfalls Kooperationen mit Werbenden hat und die Email-Adressen seiner Kunde in irgendeiner Form weitergibt?
Interessant wäre zu wissen, in welchen Online Shops und welche Produkte bestellt wurden und ob die Spam-Mails zu dem daraus abgeleiteten Interessenprofil passen – oder vielleicht zu dem Interessenprofil, das beim Provider (und sei es nur das Geburtsdatum) angegeben wurde.
Ich nutze ebenfalls explizit für PayPal eine E-Mail-Adresse, welche direkt auf einer meiner Domains läuft. Somit ist die Datenweitergabe durch kostenlose Mailanbieter bei mir ausgeschlossen. Mein Verdacht ist, dass einige Händler die beim Bezahlvorgang übermittelten Daten weiter verwerten – jedoch sollte sich PayPal hierdurch meiner Meinung nach nicht von der Schuld freisprechen dürfen. PayPal bietet einen Bezahldienst an, bei dem hochsensible Daten genutzt werden. Entsprechend groß sollten die Anstrengungen PayPals sein die Daten der eigenen Kunden zu schützen.
Wurde berücksichtigt, das Paypal die E-Mail Adresse auch an den Händler übermittelt? PayPal muss also nicht zwangsläufig selbst die Adressen weitergegeben haben, sondern ein Händler bzw. Zahlungsempfänger das ohne Weiteres über die Schnittstelle erhält:
https://developer.paypal.com/docs/classic/ipn/integration-guide/IPNandPDTVariables/
Man kann bei PayPal übrigens auch leicht mehrere E-Mail Adressen verwenden. So kann man bei exotischen Shops mit spezieller E-Mail-Adresse arbeiten. Ich mag es Adressen mit den entsprechenden Shopnamen zu verwenden (z. b. MEINEID_shopname@meinmaildienstleister.tld)
Nichtsdestotrotz sollte auch PayPal die Emailadresse keinesfalls an den Verkäufer weitergeben.
Das können ja andere auch mit Hilfe einer zwischengeschalteten Interimsadresse, die in diesem Fall bei PayPal liegt und einfach weitergeleitet wird. Über diese Adresse werden dann *nur* Emails des Händlers an den Käufer weitergeleitet.
Welches problem hat denn PayPal da?
Hallo Thomas,
das ist ein weiteres Problem, dass ich mit dem Test der FAZ habe, der Test ignoriert das jeder Händler die E-Mail-Adresse hat und den Kunden zuspammen (lassen) kann: Bei jeder Transaktion wird die E-Mail-Adresse des Kunden an den Händler weitergegeben, sieht man auch an der Transaktions-E-Mail.
Das Paypal-System ist eben logisch so konzipiert, dass die E-Mail-Adresse deine Paypal-Zahlungs-Adresse darstellt. Das hat in der Anfangszeit des Dienstes und auch heute noch ermöglicht das Zahlungen direkt an eine E-Mail-Adresse gesandt werden können.
Man bezahlt wortwörtlich mit seiner E-Mail-Adresse.
Das ist ja eigentlich keine Sicherheitslücke, sondern schlicht die Funktionsweise des Systems.
Mir kam auch schon der Gedanke, dass eine zwischengeschaltete E-Mail-Adresse das Problem lösen würde – aber gleichzeitig führt es die Logik des Systems ad absurdum.
Viele Grüße aus der Redaktion,
Jochen
Hallo Jochen,
Das ist im Prinzip schon ganz richtig. Trotzdem müsste PayPal die Emailadresse nicht weitergeben.
Und für Zahlungseingänge bräuchte ja auch nicht die Hauptadresse verwendet werden. Dafür würde ja auch eine der zusätzlichen Adressen reichen, die man bei PayPal einrichten kann.
Noch eine Bemerkung am Rande: Ich muss immer schmunzeln, wenn ich bei eBay und PayPal lese, dass Sicherheit im Interesse des Kunden bei denen ganz oben steht. Dort steht nur eins ganz oben: Profit, Profit und noch einmal Profit. Das zeigt auch die realitätsfremde Methode des Bewertungssystems etc. pp. (und natürlich die „satten“ Gebühren mit ihrer Struktur).
@Thomas
„Und für Zahlungseingänge bräuchte ja auch nicht die Hauptadresse verwendet werden. Dafür würde ja auch eine der zusätzlichen Adressen reichen, die man bei PayPal einrichten kann.“
Wie meinst du das? Du kannst das doch selbst steuern? Wenn du dir eine Spezial-Adresse für Paypal anlegst und die bei Paypal unter weitere E-Mails einträgst, die kann doch dann für Zahlungseingänge verwendet werden? Da steht bei Paypal unter der Adresse: „Als Standard-E-Mail-Adresse für Benachrichtigungen verwenden“
Oder hab ich dich falsch verstanden?
Ich würde es so lösen wie bei Amazon. Da bekommt man als Händler keine Kundenmail-Adresse, sondern nur eine temporäre Zwischenadresse.
Zu jeder Transaktion dann eine temporäre Zwischenadresse.. so einfach wäre es.
Der FAZ-Redakteur hat irgendwie gar nicht verstanden, wie PayPal funktioniert. Vermutlich bei irgendeinem windigen Händler was bestellt und dann PayPal die Schuld geben.
Man könnte es zumindest mit einer temporären Mail wie Amazon lösen. Aber ansonsten gebe ich dir Recht.
Paypal ist so oder so der letzte Rotz!
Wer das benutzt, ist selbst Schuld!
Eine Begründung, warum Dir das so scheint und woran man selbst Schuld sein soll, wäre das Mindeste an erwachsener Kommunikation, Du Spartroll!
Habe leider auch schon öfters Spam an meine exklusive Paypal-Adresse bekommen. Ich musste diese sogar auch schon ändern, da das Spam-Aufkommen zu hoch war.
Ich denke jedoch, das die Händler die Adressen weitergeben, da sie die E-Mail-Adresse leider ebenfalls erhalten. Eine anonymisierte Adresse wie es bei Amazon zwischen Händler und Kunden üblich ist wäre hier auf jeden Fall sinnvoll.
Auch wenn der Spam bei der FAZ vermutlich auch nicht direkt von Paypal kam könnte Paypal ja dennoch darüber nachdenken ob die Weitergabe der Original-Adresse an den Händler sinnvoll ist.
Ich lehne seit Jahren Paypal komplett ab. Warum? Man hat mir vor Jahren das Paypal-Konto gesperrt. Angeblich haben Dritte darauf zugegriffen. Dann ging es los. Um es wieder freizuschalten sollte ich erst eine Kopie des Ausweises schicken – habe ich gemacht – keine Freischaltung. Dann sollte ich eine Kopie meines Energieanbieters schicken – habe ich gemacht – keine Freischaltung. Jetzt wollten sie weitere Kopien von allem möglichen. Paypal wird das Konto nie freischalten, sie wollen nur Daten sammeln um diese gewinnbringend einzusetzen. Ich pfeiffe auf Paypal und nutze auch keine Firmen die als Zahlungsmittel ausschließlich Paypal anbieten.
Ich habe vor kurzem meine E-Mail-Adresse bei PayPal geändert, weil so viel Spam auf die alte Adresse kam. Seitdem bekomme ich mehrmals täglich Spam-Mails auf die neue Adresse!
Und ich habe seitdem noch nicht einmal irgendwo mit PayPal bezahlt, die Adresse kann also definitiv nicht von irgendeinem Händler weitergegeben worden sein !!!
Als ich den Titel gelesen hatte musste ich kommentieren, ist mir gerade letzte Woche auch aufgefallen.
Dass Paypal sich durchgesetzt hat, lag auch nur an der Zeit in der es etabliert wurde. Während es noch keine Konkurrenz in Sachen Bezahl-Systemen gab, konnte PP die Vormachtstellung einnehmen und alle akzeptierten es…Mittlerweile sind die Vorgehensweise des Konzerns aber mehr als Fragwürdig: Käuferschutz ist eine reine Grauzone, in der regeltreue Verkäufer ruiniert werden können, über ein Kontosaldo wird man spartanisch per Email informiert (die natürlich im Spamfilter landet) und nach einigen Wochen bekommt man einen Inkassobrief und Anrufe von irischen Callcentern… Auch die Kontaktaufnahme gestaltet sich schwieriger als gedacht:
Will man mit Paypal in Kontakt treten, gestaltet sich das schwieriger als erwartet – die angebliche Hilfe und Support Emailadresse bei der eine Antwortzeit von 48 Stunden vorausgesagt wird, entpuppt sich als eine nutzlose Adresse bei der man mit vorgefertigten Baukastenantworten aufs übelste abgefertigt wird. Auch nach mehrfachen Versuchen, bleibt die einzige Kontaktmöglichkeit mit Zugriff auf Kontoeinstellungen (und damit Befähigung bei Kontoproblemen) das irische Callcenter in deutsch-gebrochener oder englisch-irischer Sprache…