Was hinter Meldungen über „externe Anbieter“ steckt – und wie sich PayPal-Kund:innen jetzt schützen
PayPal-Datenleck oder Drittanbieter-Panne? Einordnung der Schlagzeilen
Berichte über ein mögliches PayPal-Datenleck sorgen derzeit für Aufsehen – zumal in sozialen Netzwerken schnell und zugespitzt formuliert wird. So kursiert im Darknet ein brisantes Datenpaket mit angeblich 15,8 Millionen Zugangsdaten zu PayPal-Konten. In ersten Meldungen heißt es oft, PayPal selbst sei nicht „schuld“, sondern ein externer Anbieter habe das Leck verursacht. Laut spiegel.de bietet ein Hacker angebliche Zugangsdaten von Millionen PayPal-Konten als Billigware an. Juristisch und praktisch lohnt jedoch eine differenzierte Sicht:
Mögliche Szenarien:
Datenpanne bei einem Auftragsverarbeiter: Etwa bei einem externen Cloud-, Analyse- oder Support-Dienstleister, den PayPal beauftragt hat.
Credential-Stuffing: Angreifer nutzen anderswo erbeutete Zugangsdaten, um sich bei PayPal einzuloggen. Das wäre kein klassisches „Datenleck“ bei PayPal selbst, kann aber zur Kompromittierung von Konten führen.
Phishing/Smishing: Nutzerdaten fließen durch betrügerische E-Mails oder SMS direkt beim Kunden ab – der technische Angriffspunkt liegt beim Nutzer, nicht bei PayPal.
Datenabfluss bei einem angebundenen Händler: Ein Leak könnte auch innerhalb der Payment-Supply-Chain bei einem Shop oder Drittanbieter auftreten, der mit PayPal-Transaktionen verknüpft ist.
Selbst wenn ein externer Dienstleister betroffen ist, bleibt das verantwortliche Unternehmen (hier PayPal) nach DSGVO für die sorgfältige Auswahl und Kontrolle von Auftragsverarbeitern mitverantwortlich (Art. 28, 32 DSGVO). Die populäre Formulierung „nicht schuld“ ist daher irreführend – die Accountability (Rechenschaftspflicht) kann nicht vollständig ausgelagert werden.
Hinweis: Da der konkrete Vorfall bislang nicht durch offizielle Quellen bestätigt ist, bleiben im Folgenden vorsichtige Formulierungen angebracht („Berichten zufolge“, „soll“, „könnte“). Die rechtlichen Ausführungen sind allgemein gültig und fachlich belastbar, unabhängig vom konkreten Ausgang des Falls.
Kommt es nun zu einem Sicherheitsvorfall mit personenbezogenen Daten, greifen unter anderem folgende Vorgaben der Datenschutz-Grundverordnung (DSGVO):
33 DSGVO – Meldung an die Aufsichtsbehörde: Der Verantwortliche (z.B. PayPal Europe) muss innerhalb von 72 Stunden nach Bekanntwerden eines erheblichen Datenlecks die zuständige Datenschutzaufsichtsbehörde informieren, sofern ein Risiko für die Rechte und Freiheiten der Betroffenen besteht.
34 DSGVO – Benachrichtigung der Betroffenen: Wenn das Leck ein hohes Risiko mit sich bringt (etwa Gefahr des Identitätsdiebstahls), müssen die betroffenen Nutzer unverzüglich informiert werden – in klarer und verständlicher Sprache. Dies erfolgt in der Regel per E-Mail oder in der Kundenkommunikation, sobald der Vorfall bestätigt und bewertet ist.
28, 32 DSGVO – Auftragsverarbeiter & Sicherheit: Auch wenn ein externer Dienstleister involviert ist, bleibt PayPal als Auftraggeber in der Pflicht, geeignete technische und organisatorische Maßnahmen (TOM) umzusetzen. Dienstleister sind sorgfältig auszuwählen, vertraglich zu binden (Stichwort Auftragsverarbeitungsvertrag) und laufend zu überwachen. Sicherheitsstandards wie Verschlüsselung, Zugriffsbeschränkungen und regelmäßige Audits sind hier der Maßstab.
Für PayPal in der EU ist regelmäßig die PayPal (Europe) S.à r.l. et Cie, S.C.A. mit Sitz in Luxemburg verantwortlich; die Datenschutzaufsicht obliegt der luxemburgischen CNPD. Parallel gelten die Vorgaben aus dem Zahlungsdiensterecht (PSD2), insbesondere die starke Kundenauthentifizierung (SCA), für Zahlungsprozesse. Diese können unautorisierte Transaktionen zwar erschweren, sind aber kein Allheilmittel gegen Datenpannen oder gestohlene Zugangsdaten.
Welche Daten sind im Worst Case betroffen?
Je nach Art des Vorfalls können unterschiedliche Datenkategorien betroffen sein. In einem Worst-Case-Szenario (großes Datenleck) stehen typischerweise Stammdaten wie Name, E-Mail-Adresse, Anschrift und Telefonnummer von Kunden im Fokus, eventuell auch Teile der Zahlungs- oder Transaktionshistorie. Im aktuell diskutierten Fall geht es vor allem um Login-Daten (E-Mail/Passwort-Kombinationen). Vollständige Kreditkartendetails oder Bankdaten sind bei seriöser Zahlungsabwicklung in der Regel tokenisiert oder separat gesichert und wären daher wahrscheinlich nicht im Klartext in einem solchen Leak zu finden.
Welche Schadensrisiken ergeben sich? Selbst wenn keine Zahlungsdaten direkt offenliegen, können Kombinationen aus E-Mail und Passwort gefährlich sein. Angreifer könnten versuchen, damit PayPal-Konten zu übernehmen oder andere Dienste zu kompromittieren (falls Passwörter wiederverwendet wurden). Außerdem drohen Folgeangriffe: gezielte Phishing-Wellen an die geleakten E-Mail-Adressen, Social-Engineering und im schlimmsten Fall Identitätsmissbrauch, wenn aus Kontoinformationen genug persönliche Details gezogen werden können.
Schutz für PayPal-Kunden: Sofortmaßnahmen & Best Practices
Unabhängig davon, wie der konkrete Fall ausgeht, sollten PayPal-Nutzer:innen jetzt ihre Kontosicherheit überprüfen. Die folgenden Maßnahmen sind sinnvoll und reduzieren das Risiko erheblich:
Passwort sofort ändern: Setzen Sie umgehend ein neues PayPal-Passwort. Wählen Sie ein einzigartiges, langes und zufälliges Passwort; auf keinen Fall dasselbe Passwort bei mehreren Diensten verwenden!
Passwort-Manager nutzen: Verwenden Sie einen vertrauenswürdigen Passwortmanager, um komplexe Passwörter zu generieren und sicher zu speichern, anstatt sich Passwörter mehrfach zu „merken“.
Passkeys aktivieren (falls verfügbar): Einige Konten unterstützen bereits Passkeys/FIDO2. Wenn PayPal diese Option für Ihr Konto anbietet, aktivieren Sie sie – Login ohne Passwort (per Gerät/BIOMETRIE) ist sicherer und verhindert Passwortdiebstahl.
Zwei-Faktor-Authentifizierung einschalten: Stellen Sie sicher, dass an Ihrem PayPal-Konto die 2FA aktiviert ist – bevorzugt via App (TOTP-Generator wie Google Authenticator oder Microsoft Authenticator) oder Hardware-Token. SMS-TAN ist besser als nichts, aber App-basierte Codes sind sicherer. So ist ein bloß gestohlenes Passwort allein wertlos, da ein zweiter Faktor zum Login nötig ist.
Verknüpfte Dienste prüfen: Kontrollieren Sie alle mit Ihrem PayPal verbundenen Informationen und Berechtigungen. Stimmen die hinterlegte E-Mail-Adresse und Telefonnummer? Sind Bankkonto oder Kreditkarte aktuell und korrekt? Durchforsten Sie die Einstellungen nach Drittanbieter-Zugriffen (Apps oder Services, die Berechtigungen für Ihr PayPal-Konto haben) und entziehen Sie unnötigen Diensten den Zugriff.
Kontobewegungen überwachen: Behalten Sie Ihr PayPal-Konto in den nächsten Wochen genau im Auge. Aktivieren Sie Benachrichtigungen für Login-Versuche und Zahlungen, damit Sie sofort informiert werden. Prüfen Sie regelmäßig die Umsatzhistorie und Ihren E-Mail-Eingang auf Hinweise zu neuen Logins oder Transaktionen. Reagieren Sie bei Unregelmäßigkeiten sofort – melden Sie verdächtige Aktivitäten umgehend über die PayPal-Konfliktlösungsseite oder den Kundensupport und lassen Sie im Zweifel das Konto vorübergehend sperren. Dokumentieren Sie auffällige Vorgänge (Screenshots, Zeiten, Details), um einen Nachweis zu haben.
Vorsicht vor Phishing: Nach bekannten Vorfällen steigt oft die Gefahr von Betrugsversuchen durch Trittbrettfahrer. Klicken Sie keine Links oder Anhänge(!) aus verdächtigen E-Mails oder SMS an – selbst wenn sie angeblich von PayPal stammen. Öffnen Sie die PayPal-Webseite immer manuell im Browser oder der offiziellen App, anstatt auf mitgeschickte Links zu vertrauen. Achten Sie auf die Absenderadresse von E-Mails und die URL der Website: leichte Abweichungen oder Rechtschreibfehler können auf Fälschungen hindeuten.
Andere Accounts absichern: Falls Sie irgendwo dasselbe Passwort wie bei PayPal genutzt haben, ändern Sie es dort unverzüglich. Überprüfen Sie außerdem, ob Ihre E-Mail-Adresse in bekannten Leaks auftaucht. Nutzen Sie dafür seriöse Leak-Checker wie den HPI Identity Leak Checker oder Have I Been Pwned. Diese Dienste zeigen an, ob Ihre Mailadresse Teil bereits bekannter Datenlecks ist – ein Indikator, ob Sie generell von vergangenen Leaks betroffen sind.
Gerätehygiene beachten: Halten Sie Ihre Geräte und Software auf dem neuesten Stand. Installieren Sie die aktuellen Updates für Betriebssystem, Browser und PayPal-App, um bekannte Sicherheitslücken zu schließen. Stellen Sie sicher, dass ein aktuelles Antivirenprogramm aktiv ist. Entfernen Sie alte oder wenig genutzte Browser-Erweiterungen, vor allem wenn Sie nicht absolut vertrauenswürdig sind – solche Plugins könnten im Worst Case Daten mitschneiden.
Kennen Sie Ihre Rechte?
Falls trotz aller Vorsicht unautorisierte Zahlungen über Ihr PayPal-Konto stattfinden, greifen die Regeln des Zahlungsdiensterechts (in der EU z.B. § 675v BGB für Schadensbegrenzung). Melden Sie einen betrügerischen Abbuchungsvorgang sofort Ihrer Bank und PayPal. Je schneller die Meldung, desto größer die Chance auf vollständige Erstattung. In vielen Fällen haften Verbraucher bei zeitnaher Meldung und nachweislich eigenem korrekten Verhalten nicht für den Schaden. Bewahren Sie dabei alle relevanten Nachweise (Kommunikation mit PayPal, Bank, Polizeianzeige etc.) sorgfältig auf.
Kommunikation & Transparenz: Was man von PayPal erwarten darf
Sollte sich ein PayPal-Sicherheitsvorfall oder ein Datenleck bei einem externen Dienstleister tatsächlich bestätigen, sind von Seiten des Unternehmens folgende Schritte zu erwarten:
Klare Kundeninformation: Betroffene Kunden würden voraussichtlich eine Mitteilung gemäß Art. 34 DSGVO erhalten. Darin müssen die Art der betroffenen Daten, der Zeitraum des Vorfalls sowie mögliche Folgen verständlich erläutert werden. Zudem gehören empfohlene Maßnahmen in so eine Nachricht – z.B. Passwort-Reset, Aktivierung von 2FA und verstärkte Kontoüberwachung.
Kontaktstelle für Rückfragen: In einer solchen Mitteilung sollte PayPal eine Anlaufstelle benennen, etwa den Datenschutzbeauftragten oder einen speziellen Support-Kontakt, an den sich Kunden mit Fragen wenden können.
Warnung vor Folgeangriffen: Oft weisen Unternehmen nach Datenlecks darauf hin, dass in der nächsten Zeit verstärkt Phishing-Mails im Umlauf sein könnten, die das Ereignis thematisieren. So würden Kunden sensibilisiert, dass z.B. nicht plötzlich Passwörter via Link geändert oder weitere Daten preisgegeben werden sollten, nur weil eine E-Mail dies behauptet.
Transparenz über die Ursache: In den Wochen nach einem Vorfall ist es üblich, dass Unternehmen zumindest in Grundzügen offenlegen, was passiert ist (z.B. „ein externer Serviceprovider war betroffen“ oder „es gab einen unautorisierten Zugriff durch Phishing bei Kunden“). Außerdem wird erwartet, dass sie darlegen, welche Schritte zur Verbesserung der Sicherheit unternommen werden, um Vertrauen zurückzugewinnen.
Fehlen solche Informationen über längere Zeit, ist eine gewisse Skepsis gegenüber kursierenden Social-Media-Behauptungen angebracht. Anders ausgedrückt: Solange PayPal keine offizielle Bestätigung herausgibt, bleibt unklar, ob tatsächlich ein neues Datenleck vorliegt oder ob es sich um einen Betrugsversuch bzw. eine Falschmeldung handelt. Im aktuellen Fall hat sich PayPal bis dato nicht öffentlich geäußert – die Warnungen beruhen vorerst auf Beobachtungen von Sicherheitsexperten.
„Externer Anbieter schuld?“ – was das wirklich bedeutet
Unternehmen betonen bei Datenvorfällen häufig, die Ursache liege bei einem Drittanbieter. Dafür gibt es durchaus nachvollziehbare Gründe: Moderne Dienste binden zahlreiche spezialisierte Services ein (von Cloud-Hosting über Analyse-Tools bis zum E-Mail-Versand). Ein technisches Leck kann daher tatsächlich außerhalb der eigenen IT-Infrastruktur auftreten. Doch rechtlich gilt:
Verantwortung bleibt beim Unternehmen: Die Rechenschaftspflicht (Accountability) nach Art. 5 Abs. 2 DSGVO liegt immer beim verantwortlichen Unternehmen. Dieses muss seine Dienstleister sorgfältig auswählen, Vertragsbedingungen zur Datensicherheit vereinbaren und deren Einhaltung überwachen. Wenn ein beauftragter IT-Dienst Fehler macht, entbindet das den Verantwortlichen nicht von seiner Pflicht, für angemessenen Schutz zu sorgen.
Sorgfaltspflichten erfüllen: Best Practices wie regelmäßige Penetrationstests, Verschlüsselung sensibler Daten, solide Zugriffskonzepte (Least-Privilege-Prinzip), umfassende Logs und Incident-Response-Pläne sollten vorab etabliert sein. Sie gelten sowohl für das Unternehmen selbst als auch vertraglich für die Dienstleister. Werden Schwachstellen bei einem Partner bekannt, muss das Unternehmen reagieren (z.B. Patch-Management einfordern oder notfalls den Anbieter wechseln).
Lernkurve nach Vorfällen: Nach einem Sicherheitsvorfall – egal ob intern oder extern verursacht – sind eine gründliche Root-Cause-Analyse und transparente Kommunikation wichtig. PayPal (bzw. jedes Unternehmen) müsste also prüfen, wie es zu dem Leck kam, und daraus lernen. Oft erwarten Kunden und Aufsichtsbehörden einen Maßnahmenplan, der künftige Vorfälle verhindern soll. Nur so kann verloren gegangenes Vertrauen zurückgewonnen werden.
Kurz gesagt: Der Hinweis auf einen „externen“ technischen Fehler mag inhaltlich stimmen, verschiebt aber nur den Ort des Problems. Die datenschutzrechtliche Verantwortung kann ein Unternehmen nicht einfach auslagern – sie bleibt beim ursprünglichen Verantwortlichen, der die externen Dienstleister beauftragt hat.
SBS LEGAL rät: Besonnen handeln, Fakten prüfen, Konto absichern
Ob wirklich ein neues PayPal-Datenleck im großen Stil stattgefunden hat, lässt sich ohne offizielle Bestätigung derzeit nicht sicher sagen. Die kursierenden Datensätze mit Millionen Kombinationen könnten teilweise echt, teilweise Fälschung sein – doch für PayPal-Kund:innen ändert das an den empfohlenen Schritten wenig: Ändern Sie vorsichtshalber Ihr Passwort, aktivieren Sie 2FA, beobachten Sie Ihr Konto und meiden Sie verdächtige Nachrichten. Diese Best Practices sollten immer gelten, ganz unabhängig von Schlagzeilen.
Für Unternehmen – ob PayPal oder andere – zeigt sich erneut, wie entscheidend ein professionelles Vendor-Risikomanagement, die Einhaltung von Melde- und Informationspflichten sowie eine offene Kommunikationsstrategie sind, um Schäden einzudämmen.
SBS LEGAL - Experte für das PayPal-Recht und Anwalt für IT-Recht
Wenn Sie als PayPal-Kundin oder -Kunde von einem Sicherheitsvorfall betroffen sind oder Unregelmäßigkeiten auf Ihrem Konto feststellen, zögern Sie nicht, rechtlichen Rat einzuholen. Unsere Kanzlei SBS Legal unterstützt Betroffene bei Bedarf dabei, ihre Rechte geltend zu machen – sei es gegenüber Unternehmen (z.B. Anspruch auf Schadensersatz nach Art. 82 DSGVO bei Datenschutzverletzungen) oder gegenüber Zahlungsdienstleistern im Falle unautorisierter Abbuchungen. Wir stehen Ihnen mit unserer datenschutzrechtlichen und verbraucherschutzrechtlichen Expertise zur Seite und helfen beispielsweise beim Vorgehen gegen verantwortliche Stellen oder bei der Kommunikation mit Aufsichtsbehörden.
Haben Sie Probleme mit einer PayPal-Kontosperrung oder Fragen zum IT-Recht?
Hinweis: Dieser Beitrag bietet allgemeine Informationen zu Datenschutz und IT-Sicherheit und ersetzt keine Rechtsberatung im Einzelfall. Wenn Sie konkret betroffen sind oder rechtliche Fragen haben, sollten Sie individuellen Rechtsrat einholen – gerne beraten wir Sie hierzu persönlich. Kontaktieren Sie uns einfach via Direktkontaktformular oder schreiben uns eine E-Mail an mail@sbs-legal.de
