Neu Paypal Checkout - Wann werden Vebindungen zu Paypal aufgebaut bzw. fließen Daten zu Paypal? (Datenschutz)

[Verkäuferlein]

Hallo zusammen,

aktuell habe ich mich mal mit dem Paypal-Checkout-Plugin im JTL Shop 5 beschäftigt und versucht, dies vernünftig zu konfigurieren.

Dabei ist mir aufgefallen, dass die Nicht-Erteilung der Zustimmung im Consent-Manager scheinbar nur greift, bis der Kunde in den Bestell-Prozess wechselt.
Soll heißen, sobald der Kunde sich im Bestellprozess befindet und auf die Versand- und Zahlungsarten-Seiten wechselt, werden im Hintergrund fleißig Verbindungen zu Paypal-Servern aufgebaut.

Teilweise werden nur Logos geladen, es scheint aber auch getracked (z.B. auch über ein Tracking-Pixel) zu werden, da Links aufgerufen werden, in denen auch die Bildschirmauflösung als Parameter mit angefügt sind und t.paypal.com kontaktiert wird. Nach welcher Logik das erfolgt, ist mir nicht ganz klar. Es scheint aber teilweise auch der Fall zu sein, ohne dass der Käufer eine Paypal-Zahlungsart angewählt hat und z.B. auch wenn keine zusätzlichen Paypal-Zahlungsarten aktiviert sind.

Nun folgende Fragen dazu:
1.) Wie kann das sein, ohne dass der Kunde (und auch ich) dem explizit zugestimmt haben, dass das Paypal-Checkout-Plugin meinen Checkout tracked?
2.) Wie lässt sich dies abschalten bzw. auch im Checkout zunächst der Consent einholen, um (weitere) Paypal-Zahlungsarten anzuzeigen?
3.) Wann und welche Daten fließen da zu welchem Zweck ab (wo wird dies näher erläutert)?

Wie sind Eure Erfahrungen damit und was sagt JTL dazu (z.B. @FPrüfer @FMoche @JulianG )?

Danke und Grüße
Verkäuferlein

 

[NoOne]

Der Consent ist nur für die Ratenzahlung/PayLater- und Express-Buttons. Alles andere fällt unter technisch notwendige Angaben, soweit ich weiß. Die Bildschirmauflösung vermutlich, für die korrekte Größe der Logos. t.paypal.com hat allgemein was mit den Transaktionen und der Sicherheit derer zu tun, meine ich. Geht also nicht ohne. Was PayPal ggf. erhebt, steht in deren Datenschutzerklärung: https://www.paypal.com/de/webapps/mpp/ua/privacy-full?locale.x=de-DE

Abschalten lässt sich das gar nicht, vom deaktivieren/deinstallieren des Plugins mal abgesehen, weil technisch notwendig.

 

[John]

...um das ohne Datenabfluss zu realisieren, bräuchte es eine explizite Funktion, um das PP Plugin erst bei der Zahlungsauswahl zu aktivieren. Das ist aber bisher nicht umgesetzt, da spätestens bei Aufruf der Zahlungsauswahl die ZAs aus dem Plugin kommen.

Ich sags mal so: Wo keine Abmahnung, da kein Änderungsdruck, isofern hab ich wenig Hoffnung.

 

[Verkäuferlein]

Der Consent ist nur für die Ratenzahlung/PayLater- und Express-Buttons. Alles andere fällt unter technisch notwendige Angaben, soweit ich weiß. Die Bildschirmauflösung vermutlich, für die korrekte Größe der Logos. t.paypal.com hat allgemein was mit den Transaktionen und der Sicherheit derer zu tun, meine ich. Geht also nicht ohne. Was PayPal ggf. erhebt, steht in deren Datenschutzerklärung: https://www.paypal.com/de/webapps/mpp/ua/privacy-full?locale.x=de-DE

Abschalten lässt sich das gar nicht, vom deaktivieren/deinstallieren des Plugins mal abgesehen, weil technisch notwendig.

Danke für Deine Antwort und Mühe!

Aber für technisch notwendig halte ich das überhaupt nicht. Das ist natürlich die Rechtfertigung für die DSGVO, widerspricht aber dem Grundsatz der Datensparsamkeit bzw. "Privacy by Design". Ein Logo kann ich auch selber hosten und wenn der Kunde Paypal nicht auswählt und alle "extern geholten" Zahlarten deaktiviert sind, geht es Paypal auch nichts an, wer oder wie meinen Shop nutzt und sich im Checkout befindet und ich möchte diese Daten auch Paypal nicht einfach so zur Verfügung stellen.

Selbst bei den zusätzlich geholten Zahlarten fände ich es schöner, wenn hier dennoch die Einwilligung des Kunden eingeholt würde bzw. ich die Konfigurationshoheit habe, wann dort externe Verbindungen aufgebaut werden, da der Checkout durch die externen Abfragen teilweise ganz schön hakelig ist, insbesondere, wenn die Versandart geändert wird.

Die Datenschutzerklärung erklärt ja aber nicht die Funktionsweise des Plugins und wann genau welche Daten / Verbindungen zu Paypal (insbesondere außerhalb der reinen Transaktionsabwicklung) aufgebaut werden. Das müsste ja eigentlich eher JTL als Plug-In-Hersteller beantworten können und ggf. unterbinden.

...um das ohne Datenabfluss zu realisieren, bräuchte es eine explizite Funktion, um das PP Plugin erst bei der Zahlungsauswahl zu aktivieren. Das ist aber bisher nicht umgesetzt, da spätestens bei Aufruf der Zahlungsauswahl die ZAs aus dem Plugin kommen.

Ich sags mal so: Wo keine Abmahnung, da kein Änderungsdruck, isofern hab ich wenig Hoffnung.

Aber dafür gibt es ja eigentlich Standard-Lösungen, z.B. sowas wie die Shariff-Buttons und es wird ja sowieso ständig per jQuery auf Veränderungen im Checkout reagiert und nachgeladen.

Ich habe leider im Plug-In selber noch nicht die Stelle gefunden, wo die Verbindungen erzeugt werden. Es gibt da nur sowas wie eine Betrugs-Prävention (FraudNet), die auch allerhand Daten erfasst, aber die wird meines Erachtens erst ausgelöst, wenn wirklich die Transaktion autorisiert werden soll. Vielleicht ist es aber auch genau der Auslöser für die Verbindungen.

Der Ablauf scheint aber laut Netzwerkaufrufen folgender zu sein:
Die paypal.browser.min.js
ruft folgendes auf:

https://www.paypal.com/sdk/js?client-id=XXXXX&currency=EUR&commit=true&components=buttons,funding-eligibility,marks,hosted-fields,payment-fields&locale=de_DE&enable-funding=paylater

Danach wird dann folgende Abfrage ausgelöst:

https://www.paypal.com/tagmanager/pptm.js?id=XXXXX&t=xo&v=5.0.457&source=payments_sdk&client_id=XXXXX&comp=buttons,funding-eligibility,marks,hosted-fields,payment-fields&disableSetCookie=true&vault=false

Und anschließend dann:

https://www.paypal.com/xoplatform/logger/api/logger?disableSetCookie=true

Und danach dann durch pptm.js ein 1x1px großes gif:

https://t.paypal.com/ts?pgrp=muse:generic:analytics::merchant&page=muse:generic:analytics::merchant:::&tsrce=tagmanagernodeweb&comp=tagmanagernodeweb&sub_component=analytics&s=ci&fltp=analytics-generic&pt=XXXXX&dh=123&dw=456&bh=789&bw=456&cd=11&sh=123&sw=456&v=NA&pl=pdf&rosetta_language=de,en-US,en&e=im&t=XXXXX&g=XXXXX&completeurl=XXXXX/Bestellvorgang&sinfo={"partners":{"ecwid":{},"bigCommerce":{},"shopify":{},"wix":{},"bigCartel":{}}}&disableSetCookie=true

Paypal Pay Later bzw. Paypal später bezahlen ist aber als Zahlungsart deaktiviert, genau wie alle anderen Zahlungsarten die unter "Aktivierte Zahlungsarten" im Paypal-Plugin aktivierbar sind.

 

[NoOne]

Ich kann dir hier keine sichere Antwort geben, aber ich glaube, dass das Plugin mit dem PayPal-Javascript-SDK arbeitet. Darauf wird JTL nicht viel Einfluss haben. Vermutlich wird hier über das SDK die Anfrage aufgebaut, und wenn das dafür Verbindung zu PayPal aufbaut, ist das vermutlich nichts, was sich so einfach unterdrücken lässt. Daher -> Technisch notwendig. Und was das SDK in letzter Konsequenz alles macht (und warum) kann vermutlich tatsächlich nur PayPal beantworten. Entschuldige das viele "vermutlich", aber mehr könnten dann tatsächlich nur die Entwickler sagen, denke ich.