PayPal.com ist zweifellos der bekannteste Bezahldienstleister im Internet und mit den meisten Zahlungs­abwicklungen. 73% der Internutzer in Deutschland verwenden PayPal für Bezahlungen. Die Firma wurde von Peter Thiel gegründet, der u.a. den Datensammler Rapleaf.com aufgebaut hat, als einer der Hauptinvestoren die Entwicklung von Facebook und Ebay maßgeblich mitbestimmt hat und zum Steering Committee der Bilderberg Konferenzen gehört. Das Credo von P. Thiel ist eine totale Personalisierung des Internet.

Die Nutzung von PayPal.com ist das Gegenteil von anonym. Bei jedem Zahlungs­vorgang wird eine Verknüpfung von persönlichen Daten (Konto­verbindung, E-Mail Adresse) und gekauften Waren hergestellt. Die Daten werden an mehr als 400 Firmen übertragen zwecks Monitoring der Geldüberweisungen und der Erkennung von Betrug.

PayPal.com nutzt seine Marktposition für die Durchsetzung politischer Interessen der USA. Gemäß den US-Embargos werden Internetnutzer in über 60 Ländern ausgesperrt. Aufsehen erregte die Sperrung der Konten von Wikileaks. Daneben gibt es viele weitere Fälle. Mehr als 30 deutschen Online-Händlern wurden die Konten gesperrt, weil sie kubanische Produkte (Zigarren, Rum, Aschen­becher) in Deutschland anboten. Die Sperre wurde mit einem amerikanischen Handelsembargo gegen Kuba begründet, das für Europäer belanglos ist.

Aufgrund der politischen Instrumentalisierung hat Anonymous zum Boykott von PayPal.com auf­gerufen und an Nutzer appelliert, ihre Accounts bei diesem Bezahl­dienst zu kündigen.

Zukünftig möchte PayPal.com auch in der realen Welt präsent sein. Das Bezahl­system soll die Geld­börse in ersetzen, wie John Donahoe sagte (mit den üblichen Schnüffeleien):

Beim Einsatz von PayPal in den Geschäften könnten die Einzelhändler mehr über Vorlieben ihrer Kunden erfahren und sie entsprechend besser bedienen.


Rechnung oder Überweisung (Vorkasse) sind privacy-freundliche Bezahlmethoden, da nur die beiden Kreditinstitute von Käufer und Verkäufer in den Bezahlprozess eingebunden sind. Außerdem sind es sichere Bezahlmethoden, die nicht durch (unzulässige) Speicherung von Daten kompromittiert werden können. Via Online Banking ist es einfach am PC nutzbar.

Leider werden diese Methoden nicht überall in allen Webshops angeboten.


Kreditkarten werden von einer Bank ausgegeben. Die Abwicklung des Bezahlvorgangs wird von sogenannten Payment Processoren übernommen. Teil­weise sammeln diese Payment Processoren Daten über online und offline Einkäufe und verkaufen die Daten an Daten­Sammler wie Acxiom oder BlueKai, wo sie mit anderen Daten zusammengeführt werden.

Außerdem haben VISA und Mastercard selbst Programme zu Datensammlung, um Firmen anhand der Bezahlvorgänge bei der Auswertung von Werbekampagnen zu unterstützen. Bei VISA ist es das Visa Advertising Solutions. Für alle, die ihre Daten nicht zur Verfügungstellen wollen:

Die Kreditkartenfirma Mastercard demonstriert mit einem Patent (veröffentlicht Dez. 2016), wie man sich die Monetarisierung des angesammelten Datenreichtums zukünftig vorstellen könnte. In dem Patent wird beschrieben, wie die Kredit­karten­firmen aus den Einkäufen anhand der Konfektions- und die Schuh­größen die Größe und das Gewicht des Karten­inhabers ermittlen können. Diese Daten könnten an Fluggesellschaften verkauft werden, die damit die Sitzverteilung für die Passagiere optimieren könnten.

(Das ist ein sehr schönes Beispiel für die neuen Produkte, die laut Bundeskanzlerin Merkel aus Daten­reichtum generiert werden könnten, wenn wir uns endlich von den überholten Konzepten des vergangenen Jahrhunderts wie Datenschutz und Privatsphäre verabschieden würden.) 

Die Sicherheit von Kreditkarten als Zahlungsmittel wird öfters durch unsachgemäße Daten­speicherung beim Verkäufer oder einem Partner des Verkäufers kompromittiert. Eine drei­stellige Prüfziffer soll den Missbrauch von Kredit­karten­nummern für unberechtigte Ein­käufe zu Lasten des Karten­inhabers verhindern. Wenn aber der Payment Processor oder sein Sub-Kontraktor die Prüfziffer zusammen mit der Kartennummer dauerhaft speichert und die Daten­bank unzureichend gesichert ist... - dann haben Kunden möglicherweise ein Problem, z. B. Millionen Hotelgäste, die via Booking.com oder Expedia gebucht hatten (Nov. 2020).


Virtuelle Kreditkarten werden inzwischen von vielen Geldinstituten angeboten. Wenn man bereits einen verifizierten Account bei dem Kreditinstitut hat, ist die Erstellung einer virtuellen Kreditkarte online mit wenigen Klicks erledigt. Man bekommt die Kartennummer, Ablaufdatum und Prüfziffer sofort digital zugestellt aber keine Plastikkarte. In der Regel handelt es sich dabei um Debit Karten, die man vor der ersten Verwendung erstmal aufladen muss.

Die Kosten für virtuelle Kreditkarten sind meist geringer als vergleichbare echte Kreditkarten vom gleichen Anbieter aber sehr unterschiedlich. Bei KREDU kosten sie 149,- € pro Jahr zuzüglich Zinsen für den Kredit, bei der Sparkasse 24,- € für zwei Jahre...

Virtuelle Kreditkarten könnte man regelmäßig wechseln (z. B. jährlich) und damit einige Sicherheits­probleme bei der Nutzung von Kreditkarten im Internet reduzieren. Außerdem kann man den Datensammlern die Verknüpfung von Online- und Offline Aktivitäten erschweren, wenn man unterschiedliche Kreditkarten Online und Offline nutzt.

Disposable Virtual Cards werden von besonders innovativen Kreditinstitute angeboten. Bei diesen Kreditkarten ändert sich die Karten­nummern automatisch. Nach jeder Transaktion wird eine neue Kartennummer generiert. Falls die Daten­banken der Online-Händler später von Hackern kompromittiert werden, sind alte Kreditkartennummern wertlos. Außerdem wird die Auswertung bei den Daten­sammlern erschwert, da einzelen Einkäufe nicht anhand von Kredit­karten­nummern verknüpft werden können.

Die Schweizer Revolut bietet Disposable Virtual Cards für ihre Premiumkunden, ecoPayz bietet dieses Feature ab Silver Level, Eno von Capital One... u.a.m.

Disposable Virtual Cards sind sicherer und privacy-freundlicher aber nicht anonym.


Google Pay, Apple Pay oder Amazon Pay sind aus technischer Sicht ebenfalls Payment Processoren für Kreditkarten. In der Google Datensch(m)utz Policy wird benannt, welche Daten dabei Nutzung dieser Bezahlmethode gesammelt werden:
Bei jeder Transaktion über Google Pay können wir Informationen zur Transaktion erheben. Hierzu zählen: Datum, Uhrzeit und Betrag der Transaktion, Händlerstandort und -beschreibung, eine vom Verkäufer bereitgestellte Beschreibung der gekauften Waren oder Dienste, Fotos, die Sie der Transaktion beigefügt haben, der Name und die E-Mail-Adresse des Verkäufers und Käufers bzw. des Absenders und Empfängers, die verwendete Zahlungsmethode, [...]
Kein weiterer Kommentar nötig - ist ein ganz normaler Google Service.

SOFORT Überweisung ist ein Online-Zahlungs­system zur bargeldlosen Zahlung im Internet. Bei dem Bezahl­vorgang stellt der Kunde dem Zahlungs­dienst­leister Sofort GmbH die notwendigen Credentials für den Online Zugriff (PIN usw.) auf sein Konto zur Verfügung. Die Sofort GmbH nutzt diese Informationen, um sich Daten über Kontostand u.ä. zu holen und danach die Transaktion auszuführen.

Würde man das Verfahren in die Offline-Welt übertragen, könnte man die Dienst­leistung der SOFORT Überweisung wie folgt beschreiben: Weil man selbst zu faul ist, gibt man einem Fremden auf der Straße die EC-Karte und PIN, damit er zum Bankautomaten geht, sich über den Kontostand und die letzten Transaktionen informiert um danach die gewünschte Überweisung auszuführen.

Das Landgericht Frankfurt am Main hatte es in einem Urteil überraschend klar formuliert, das die Nutzung des Dienstes eigentlich unzumutbar ist, egal welche Sicherheitsgarantien von der Sofort GmbH versprochen werden:
Die Nutzung des Dienstes "Sofortüberweisung" ist unabhängig von seiner Bewertung durch Kreditinstitute für den Verbraucher unzumutbar, da er hierzu nicht nur mit einem Dritten in vertragliche Beziehungen treten muss, sondern diesem Dritten auch noch Kontozugangsdaten mitteilen muss und in den Abruf von Kontodaten einwilligen muss. Hierdurch erhält ein Dritter umfassenden Einblick in die Kunden-Kontoinformationen. Hierbei handelt es sich um besonders sensible Finanzdaten, die auch zur Erstellung von Persönlichkeits­profilen genutzt werden könnten. Daneben muss der Kunde dem Zahlungs­dienst­leister seine personalisierten Sicherheitsmerkmale (zum Beispiel PIN und TAN) mitteilen. Dies birgt erhebliche Risiken für die Datensicherheit und eröffnet erhebliche Missbrauchsmöglichkeiten. Dabei kommt es im Ergebnis nicht auf die konkrete Sicherheit des Dienstes "Sofortüberweisung" an, sondern auf die grundsätzliche Erwägung, dass der Verbraucher nicht gezwungen werden kann, seine Daten diesem erhöhten Risiko auszusetzen.
Der Bundesgerichtshof hat in dem Urteil Az.: KZR 39/16 diese Rechtsauffassung letzt­instanzlich bestätigt.

Zum Bezahlsysteme der Deutschen Bahn veröffentlichte die Leaking Plattform Cryptom.org im Sept. 2011 in der Liste der Online Spying Guides einen "Leitfaden zum Datenzugriff" der General­staats­anwaltschaft München. Das Dokument wurde umfangreich analysiert und belegt systematische Rechts­verstöße der Ermittlungsbehörden.

Das Dokument zeigt auch, wie das Bezahlsystem der Deutschen Bahn in die Überwachung eingebunden wird. Für das e-Ticketing der Deutschen Bahn gibt es ein Überwachungs­szenario. Durch die Abrechnung übers Mobiltelefon verfüge die Deutsche Bahn über die Daten sämtlicher Funkzellen, die der Nutzer durchfahren hat. Diese Daten werden langfristig gespeichert und können von den Behörden auf Gundlage von §100g StPO abgerufen werden. Der Zugriff auf die Reiseprofile ist damit nicht nur bei schweren Straftaten möglich, sondern auch bei allen Straftaten, die mittels Telekommunikationstechnik begangen wurden.

Das Beispiel zeigt, wie bei Nutzung Handy-basierter Bezahlmethoden neue Daten­bestände anhäufen. Teilweise können diese Daten als Rechnungsdaten abgerufen werden ohne die juristischen Hürden des Zugriffs auf Kommunikationsdaten.

Als Konsequenz kann man Reisenden mit der Deutschen Bahn nur zu anonymen Bargeld­zahlungen raten. Wie schnell man ein Terrorist werden kann, zeigte das Beispiel A. Holm.