Indignatie redactie 
Er is een duidelijke tophond op de online betaalmarkt in Duitsland: PayPal. Er zijn ook creditcards, namelijk Visa en Mastercard. Naast geld stroomt er ook data – en niet te weinig.
PayPal Stel je voor dat Helga uit Aken in een online winkel alle producten heeft geselecteerd die ze wil hebben. Ze drukt op het kleine winkelwagentje rechtsboven op de pagina om de aankoop af te ronden. Vervolgens ziet ze de lijst met betaalmogelijkheden – en klikt ze waarschijnlijk op ‘PayPal’.
Duitsers houden van PayPal. Elke vierde euro die zij in 2023 aan online handelen besteedden, ging via de betaaldienst . Daarna volgde de aankoop op rekening en de automatische incasso, gevolgd door de kaartbetaling. Zij domineren op hun beurt Visa en Mastercard. Achterin het veld, ver daarachter, staan Sofortüberweisung en Giropay.
Het Duitse alternatief faalde
Dit betekent allereerst dat iedereen die in Duitsland een betaaldienst gebruikt, doorgaans gebruik maakt van de dienst van een Amerikaans bedrijf. Sofortüberweisung en Giropay zijn samen goed voor nog geen twee procent van de omzet. Giropay is een project van Duitse banken waarmee ze eigenlijk marktaandeel van PayPal wilden afpakken – dat werkte uiteraard niet. De banken maakten daarom enkele weken geleden bekend de dienst weer te willen stopzetten .
Giropay was eigenlijk bedoeld als een privacyvriendelijke optie voor online betalingen. De dienst adverteert met “extra beveiligde servers in Duitsland” : “Dit betekent voor u een bijzonder goede gegevensbescherming volgens de strengste Duitse regels.” Ondanks het Duitse enthousiasme voor gegevensbescherming: de geadverteerde extra beveiligde servers waren duidelijk niet voldoende om tegen PayPal op te staan. Visa en om Mastercard af te dwingen.
Maar is er behoefte aan een gegevensbeschermingsvriendelijk alternatief voor hun aanbod?
Met wie deelt PayPal gegevens? Ja.
Voor deze vraag is het goed om te weten: PayPal beschikt over een Luxemburgse banklicentie. Dit betekent dat het bedrijf moet voldoen aan de Luxemburgse bankwetgeving. Hieronder valt onder meer het publiceren van een lijst van alle bedrijven waaraan klantgegevens worden doorgegeven.
Deze lijst is als PDF-document 46 pagina’s lang en bevat ongeveer 1.000 bedrijven. Ze zijn onderverdeeld in betalingsproviders, kredietinformatiebureaus, financiële producten, zakelijke partnerschappen, marketing en andere. Daar vindt u LLC Havas Digital, de Russische dochteronderneming van het Franse reclamebedrijf Havas, of Cheetah Mobile Inc. in China. PayPal geeft ook gegevens door aan Facebook, Twitter en Yahoo voor gepersonaliseerde advertenties.
De gedeelde gegevens zijn uitgebreid: bijvoorbeeld naam, adres, e-mailadres, het type PayPal-services dat wordt gebruikt, transactie-informatie, cookie-, advertentie- en apparaat-ID’s. Volgens zijn privacybeleid maakt PayPal ook profielen aan over zijn klanten. Deze kunnen “gedragspatronen en persoonlijke voorkeuren zoals geslacht, inkomen, surf- en koopgedrag en kredietwaardigheid” weerspiegelen.
In de toekomst wil PayPal deze gegevens niet langer alleen aan derden doorgeven, maar zelf een advertentiebedrijf opzetten, meldt de Wall Street Journal . De service ‘Geavanceerde aanbiedingen’ is bedoeld om verkopers te helpen kortingen en andere aanbiedingen voor PayPal-klanten te personaliseren. Iedereen die zijn gegevens niet in het nieuwe PayPal-advertentienetwerk wil hebben, moet bezwaar maken tegen het gebruik ervan. Het aanbod is momenteel gepland voor de Verenigde Staten.
Op vraag van netzpolitik.org zei PayPal dat het geen geld verdient met transactiegegevens. De verwerking van persoonsgegevens is in overeenstemming met de relevante wetten.
Geanonimiseerde gegevens?
De situatie is vergelijkbaar met Visa en Mastercard, de twee grootste aanbieders van kaartbetalingen ter wereld. Volgens haar privacybeleid verzamelt Visa onder meer gegevens om advertenties weer te geven. Dit omvat gegevens over interacties en locaties, maar ook biometrische gegevens. Het bedrijf voert ook andere analyses uit en creëert grotere datasets om andere bedrijven te adviseren. Welke gegevens daarin terechtkomen, staat niet in de aangifte – het zijn immers geen persoonsgegevens meer, zegt Visa.
Mastercard deelt dit standpunt. “We hebben een ongebruikelijk voordeel bij Mastercard, namelijk dat we realtime gegevens kunnen zien en kunnen zien wat werkt en wat niet”, zei de marketingchef van Mastercard in een interview . “We hebben zelfs een paar analysebedrijven overgenomen om de gegevens die we hebben te onderzoeken – met volledige respect voor de privacy van klanten. We kijken dus niet naar persoonlijke gegevens, het zijn allemaal geaggregeerde gegevens die volledig geanonimiseerd zijn.” Een woordvoerster van het bedrijf benadrukte tegenover netzpolitik.org ook dat Mastercard geanonimiseerde en geaggregeerde datasets gebruikt.
Het feit dat records geen echte namen bevatten, betekent niet dat ze automatisch anoniem zijn . Als een persoon zich volgens zijn bewegingsgegevens elke nacht in hetzelfde huis bevindt, kan worden geconcludeerd dat hij daar woont. Als er voldoende gegevens uit andere bronnen worden verzameld, kunnen mensen mogelijk opnieuw worden geïdentificeerd.
Mastercard sloot een paar jaar geleden een advertentiedeal met Google en zijn data waren ook beschikbaar op andere dataplatforms zoals Adobe’s Audience Marketplace en Microsoft’s Xandr . U kunt zich online afmelden voor Mastercard-analyses .
Visa heeft in 2021 onverwacht zijn eerdere activiteiten op het gebied van advertentiegegevens stopgezet . In mei maakte het bedrijf bekend dat het binnenkort de gegevens van zijn klanten gaat delen met zakelijke klanten via zogenaamde tokens . Visa heeft niet gereageerd op een verzoek van netzpolitik.org over de omgang met gegevens.
Geen informatie over verwerkte gegevens
Marek Jessen doet onderzoek naar financiën en data bij het Center for Responsible Digitalization, een netwerk van Hessische universiteiten. (Opmerking: het netwerk heeft het onderzoek voor deze serie artikelen financieel ondersteund.) “Het is moeilijk om relevante informatie te vinden”, vertelt hij aan netzpolitik.org. “We kunnen alleen werken met indirect bewijs.”
Hij gebruikte ook het beste instrument dat mensen in de EU hebben tegen big data-bedrijven: artikel 15 van de Algemene Verordening Gegevensbescherming . Dienovereenkomstig hebben gebruikers recht op een kopie van de gegevens die een bedrijf over hen bewaart. Jessen heeft dit exemplaar drie keer aangevraagd: eerst online en daarna per aangetekende post naar het hoofdkantoor van PayPal in Duitsland en Luxemburg.
“Het werkte niet in alle drie de versies die ik probeerde”, meldt Jessen. Het enige dat werd teruggestuurd was een standaardverwijzing naar de gegevensbeschermingsverklaring van PayPal. Dat was ontnuchterend, maar ook veelbetekenend, zegt de wetenschapper. Hij zou graag zien dat de gegevensbeschermingsautoriteiten hier meer achter de rechten van burgers staan.
In antwoord op een verzoek van netzpolitik.org wees PayPal erop dat gebruikers hun gegevens kunnen downloaden via de website van het bedrijf . De pagina bevat echter een opmerking dat sommige opgeslagen gegevens niet zijn opgenomen in deze download. Dit omvat marketingvoorkeuren en gegevens die worden gebruikt voor “andere diensten”.
Het probleem ligt ook bij de banken
Ook Jan Penfrat van European Digital Rights, de koepelorganisatie van de Europese digitale civil society, kijkt kritisch naar de situatie op de betaalmarkt. “De status quo is niet zo goed”, zegt hij in een interview met netzpolitik.org. “Op dit moment is de enige databesparende optie online betalen, contant geld sturen – of een SEPA-overboeking.”
Omdat ze nog steeds bestaan: gratis, directe overboekingen tussen banken in het eurogebied, zonder tussenliggende dienstverleners. Maar ook zij kwijnen weg met een eencijferig percentage van de online handel. Penfrat vindt het “zeer teleurstellend” dat de Europese bankensector er de afgelopen tien jaar niet in is geslaagd een alternatief te ontwikkelen voor Amerikaanse aanbieders. Hier volgde de ene teleurstelling na de andere.
Misschien binnenkort een Europees alternatief
Banken in een aantal Europese landen werken momenteel aan een nieuw project. Dit heet het European Payments Initiative , of kortweg EPI. Banken uit België, Duitsland, Frankrijk, Nederland en Spanje zijn hierbij betrokken. Hun dienst, genaamd “wero”, is nu bedoeld om grensoverschrijdende online betalingen mogelijk te maken – in tegenstelling tot bijvoorbeeld Giropay of de nationale betalingssystemen in België of Nederland. Wero is vandaag in Duitsland gelanceerd .
Het valt echter nog te bezien of dit initiatief succesvol zal zijn. En zelfs als EPI op de markt komt, zijn nog niet alle eurolanden vertegenwoordigd, laat staan alle EU-landen. En zelfs in de landen die er al bij betrokken zijn, doen niet alle banken mee; er is al een concurrerend project .
De Europese Unie en de Europese Centrale Bank hadden een paar jaar geleden al genoeg van de valse starts in de banksector. Momenteel werk je aan een overheidsproject: de Digitale Euro. Een openbaar betaalsysteem waarmee gebruikers eenvoudig en data-efficiënt kunnen betalen, op internet en in het echt, zelfs offline. Maar als het er al komt, zou het op zijn vroegst in 2028 ingevoerd moeten worden.
