Nutzt Ihre Website Drittanbieter-Dienste? Werden Sie in wenigen Minuten DSGVO-konform.

PayPal

Was macht PayPal?

PayPal ist eine führende Online-Zahlungsplattform, die es Unternehmen ermöglicht, Zahlungen ohne Speicherung von Kartendaten zu empfangen. Für EU-Händler fungiert PayPal (Europe) S.à r.l. et Cie, S.C.A. (Luxemburg) als Zahlungsdatenverantwortlicher für die Transaktion. Die eigentliche PayPal-Kaufabwicklung basiert auf Vertragserfüllung. Das PayPal-JavaScript-Button-Skript kann jedoch zusätzliche Tracking-Cookies über die reine Zahlungsfunktionalität hinaus setzen, die außerhalb von Checkout-Seiten ein Einwilligungsmanagement erfordern.

Was ist PayPal?

PayPal ist eine globale Online-Zahlungsplattform, die es Verbrauchern und Unternehmen ermöglicht, digital Zahlungen zu senden und zu empfangen. Für den E-Commerce bietet PayPal Checkout-Lösungen (PayPal Checkout, PayPal Buttons, Pay Later), die es Kunden erlauben, zu bezahlen, ohne Kartendaten mit dem Händler zu teilen. PayPal bietet auch Geschäftstools an, darunter Rechnungsstellung, Abonnements und Zahlungslinks.

Die EU-Entität: PayPal (Europe)

Für europäische Transaktionen ist PayPal (Europe) S.à r.l. et Cie, S.C.A. der lizenzierte Zahlungsdienstleister und Datenverantwortliche für die Zahlungstransaktion. Diese luxemburgische Entität wird von der Commission de Surveillance du Secteur Financier (CSSF) reguliert und unterliegt dem EU-Recht einschließlich der DSGVO. Das Vorhandensein einer EU-regulierten Entität vereinfacht die DSGVO-Compliance im Vergleich zu reinen US-gehosteten Alternativen erheblich.

PayPal Cookies und Tracking

Das PayPal-Checkout-Button-JavaScript lädt Skripte von paypal.com, die Cookies setzen, sobald sie auf einer beliebigen Seite geladen werden, nicht nur auf Checkout-Seiten. Wenn der PayPal-Button auf Produktseiten oder der Startseite eingebettet ist, können Tracking-Cookies (tsrce, x-csrf-jwt, PYPF) gesetzt werden, bevor eine Kaufabsicht besteht. Das Laden des PayPal-Skripts ausschließlich auf Checkout-Seiten, auf denen Vertragserfüllung gilt, reduziert die Einwilligungskomplexität erheblich.

Get GDPR compliant in 10 minutes

Free plan available · No credit card required

Try FlowConsent free

Datentransfers und Rechtsgrundlage

Die Rechtsgrundlage für die eigentliche Zahlungsverarbeitung ist Vertragserfüllung (Art. 6(1)(b) DSGVO). Für Betrugserkennungsdienste gilt berechtigtes Interesse. Einige Daten können zur Betrugserkennung auf die US-Infrastruktur übertragen werden. Die Händlerbedingungen von PayPal enthalten SCCs. Die Luxemburger Entität bietet eine stärkere Position als reine US-Alternativen.

Praktische Compliance-Schritte

Laden Sie das PayPal-JavaScript ausschließlich auf Checkout-Seiten (nicht siteübergreifend). Akzeptieren Sie den Händlervertrag von PayPal, der DSGVO-DPA-Bedingungen für EU-Händler enthält. Geben Sie PayPal in Ihrer Datenschutzerklärung als Zahlungsverarbeiter an, einschließlich der Tatsache, dass PayPal als eigenständiger Verantwortlicher für die Betrugserkennung agiert. Für den PayPal-Button außerhalb des Checkouts nutzen Sie eine CMP, die blockiert, bis eine Zahlungs- oder Funktionseinwilligung vorliegt.

GDPR consent category

Essenziell

Websites using PayPal must obtain user consent under GDPR regulations.

Legal basisContract performance (Art. 6(1)(b)) for payment processing — no consent required for the core PayPal checkout transaction. Legitimate interest for fraud detection and security. Consent required for PayPal marketing cookies and cross-site tracking if the PayPal button script loads tracking beyond payment functionality on non-checkout pages.

Risk levellow

Applicable regulationsGDPR, PCI DSS Level 1, EU Payment Services Directive (PSD2). PayPal (Europe) operates under Luxembourg financial regulation.

DPIA considerations

Eine DSFA ist für die Standard-PayPal-Zahlungsintegration nicht erforderlich. PayPal übernimmt die PCI-DSS-Compliance für Zahlungskartendaten und reduziert damit den Compliance-Aufwand des Händlers für die eigentlichen Zahlungsdaten.

Sample consent text

Diese Website verwendet PayPal für die sichere Zahlungsabwicklung. PayPal verarbeitet Ihre Zahlungsinformationen zur Abwicklung Ihrer Transaktion. Für Zahlungen ist PayPal (Europe) der Datenverantwortliche. Details finden Sie in der Datenschutzerklärung von PayPal.

Technical details

Tracking methodPayment processing, PayPal checkout button JavaScript, cookies for fraud detection, cross-site tracking for logged-in PayPal users

Server locationUnited States (PayPal Inc., Luxembourg entity for EU)

Data transferred outside the EUPayPal is a US payment company with a European entity (PayPal (Europe) S.à r.l. et Cie, S.C.A., Luxembourg). For EU transactions, PayPal (Europe) is the data controller for payment processing under Luxembourg law. Some data may still be transferred to US infrastructure for fraud detection and global risk management. PayPal provides GDPR-compliant terms for EU merchants.

Third-party domains contacted

paypal.comwww.paypal.comjs.braintreegateway.com

Cookies placed

Name	Type	Duration	Purpose
ENFORCE_POLICY	session	Session	PayPal payment session enforcement cookie strictly necessary for secure checkout processing
tsrce	session	Session	PayPal telemetry and session cookie for maintaining the active payment session

PayPal ist ein essenzieller Dienst, aber Transparenz ist wichtig. Verwalten Sie Ihre gesamte Einwilligung mit FlowConsent.

Kostenlos starten Website scannen

Häufig gestellte Fragen

Ist für die PayPal-Zahlungsverarbeitung eine Einwilligung erforderlich?

Nein. Vertragserfüllung gilt als Rechtsgrundlage. Wenn der PayPal-Button jedoch auf Nicht-Checkout-Seiten geladen wird, können Tracking-Cookies gesetzt werden, die ein Einwilligungsmanagement erfordern.

Was ist PayPal (Europe) und warum ist es relevant?

PayPal (Europe) S.à r.l. et Cie, S.C.A. ist luxemburgisch lizenziert und der EU-Datenverantwortliche für Zahlungstransaktionen, direkt dem EU-Recht und der DSGVO unterworfen.

Welche Cookies setzt der PayPal-Button?

tsrce (Betrugserkennung), x-csrf-jwt (Sicherheit), PYPF (Browser-Fingerprint zur Betrugserkennung), l7_az (Session-Routing). Notwendig auf Checkout-Seiten; können außerhalb einer Einwilligung bedürfen.

Benötige ich einen DPA mit PayPal?

Der Händlervertrag von PayPal enthält Datenverarbeitungsbedingungen für EU-Händler. Unternehmenskunden können einen formellen DPA anfordern. Die Standardakzeptanz deckt die meisten Anforderungen ab.

Wie sollte ich PayPal in meiner Datenschutzerklärung angeben?

Geben Sie an: PayPal verarbeitet Zahlungen, PayPal (Europe) ist ein eigenständiger Verantwortlicher, welche Daten geteilt werden, dass PayPal eine eigene Datenschutzerklärung hat, und verlinken Sie auf die PayPal-Datenschutzerklärung.

Unterliegt PayPal Pay Later den automatisierten Entscheidungspflichten der DSGVO?

Ja. Ratenkauf beinhaltet eine automatisierte Kreditbeurteilung gemäß DSGVO Art. 22. PayPal verwaltet dies als Kreditgeber. Händler sollten dies in ihrer Datenschutzerklärung offenlegen.

Verarbeitet PayPal Daten in den USA?

Einige Daten können zur Betrugserkennung auf US-Infrastruktur übertragen werden. Die Händlerbedingungen von PayPal enthalten SCCs. Die luxemburgische Entität bietet eine stärkere Position als reine US-Alternativen.

Welche EU-basierten PayPal-Alternativen gibt es?

Stripe (irische Entität), Adyen (niederländisch), Mollie (niederländisch), Klarna (schwedisch). Für maximalen EU-Datenaufenthalt sind Mollie und Adyen die stärksten EU-First-Optionen.

DSGVO-konform werden — FlowConsent kostenlos testen

mobileCta.note