Neu Paypal Checkout - Wann werden Vebindungen zu Paypal aufgebaut bzw. fließen Daten zu Paypal? (Datenschutz)

Verkäuferlein

Sehr aktives Mitglied
29. April 2012
2.563
1.033
Hallo zusammen,

aktuell habe ich mich mal mit dem Paypal-Checkout-Plugin im JTL Shop 5 beschäftigt und versucht, dies vernünftig zu konfigurieren.

Dabei ist mir aufgefallen, dass die Nicht-Erteilung der Zustimmung im Consent-Manager scheinbar nur greift, bis der Kunde in den Bestell-Prozess wechselt.
Soll heißen, sobald der Kunde sich im Bestellprozess befindet und auf die Versand- und Zahlungsarten-Seiten wechselt, werden im Hintergrund fleißig Verbindungen zu Paypal-Servern aufgebaut.

Teilweise werden nur Logos geladen, es scheint aber auch getracked (z.B. auch über ein Tracking-Pixel) zu werden, da Links aufgerufen werden, in denen auch die Bildschirmauflösung als Parameter mit angefügt sind und t.paypal.com kontaktiert wird. Nach welcher Logik das erfolgt, ist mir nicht ganz klar. Es scheint aber teilweise auch der Fall zu sein, ohne dass der Käufer eine Paypal-Zahlungsart angewählt hat und z.B. auch wenn keine zusätzlichen Paypal-Zahlungsarten aktiviert sind.

Nun folgende Fragen dazu:
1.) Wie kann das sein, ohne dass der Kunde (und auch ich) dem explizit zugestimmt haben, dass das Paypal-Checkout-Plugin meinen Checkout tracked?
2.) Wie lässt sich dies abschalten bzw. auch im Checkout zunächst der Consent einholen, um (weitere) Paypal-Zahlungsarten anzuzeigen?
3.) Wann und welche Daten fließen da zu welchem Zweck ab (wo wird dies näher erläutert)?

Wie sind Eure Erfahrungen damit und was sagt JTL dazu (z.B. @FPrüfer @FMoche @JulianG )?

Danke und Grüße
Verkäuferlein
 

NoOne

Aktives Mitglied
16. März 2024
229
88
Der Consent ist nur für die Ratenzahlung/PayLater- und Express-Buttons. Alles andere fällt unter technisch notwendige Angaben, soweit ich weiß. Die Bildschirmauflösung vermutlich, für die korrekte Größe der Logos. t.paypal.com hat allgemein was mit den Transaktionen und der Sicherheit derer zu tun, meine ich. Geht also nicht ohne. Was PayPal ggf. erhebt, steht in deren Datenschutzerklärung: https://www.paypal.com/de/webapps/mpp/ua/privacy-full?locale.x=de-DE

Abschalten lässt sich das gar nicht, vom deaktivieren/deinstallieren des Plugins mal abgesehen, weil technisch notwendig.
 
  • Gefällt mir
Reaktionen: Verkäuferlein

John

Sehr aktives Mitglied
3. März 2012
3.263
731
Berlin
...um das ohne Datenabfluss zu realisieren, bräuchte es eine explizite Funktion, um das PP Plugin erst bei der Zahlungsauswahl zu aktivieren. Das ist aber bisher nicht umgesetzt, da spätestens bei Aufruf der Zahlungsauswahl die ZAs aus dem Plugin kommen.

Ich sags mal so: Wo keine Abmahnung, da kein Änderungsdruck, isofern hab ich wenig Hoffnung.
 
  • Gefällt mir
Reaktionen: Verkäuferlein

Verkäuferlein

Sehr aktives Mitglied
29. April 2012
2.563
1.033
Der Consent ist nur für die Ratenzahlung/PayLater- und Express-Buttons. Alles andere fällt unter technisch notwendige Angaben, soweit ich weiß. Die Bildschirmauflösung vermutlich, für die korrekte Größe der Logos. t.paypal.com hat allgemein was mit den Transaktionen und der Sicherheit derer zu tun, meine ich. Geht also nicht ohne. Was PayPal ggf. erhebt, steht in deren Datenschutzerklärung: https://www.paypal.com/de/webapps/mpp/ua/privacy-full?locale.x=de-DE

Abschalten lässt sich das gar nicht, vom deaktivieren/deinstallieren des Plugins mal abgesehen, weil technisch notwendig.

Danke für Deine Antwort und Mühe!

Aber für technisch notwendig halte ich das überhaupt nicht. Das ist natürlich die Rechtfertigung für die DSGVO, widerspricht aber dem Grundsatz der Datensparsamkeit bzw. "Privacy by Design". Ein Logo kann ich auch selber hosten und wenn der Kunde Paypal nicht auswählt und alle "extern geholten" Zahlarten deaktiviert sind, geht es Paypal auch nichts an, wer oder wie meinen Shop nutzt und sich im Checkout befindet und ich möchte diese Daten auch Paypal nicht einfach so zur Verfügung stellen.

Selbst bei den zusätzlich geholten Zahlarten fände ich es schöner, wenn hier dennoch die Einwilligung des Kunden eingeholt würde bzw. ich die Konfigurationshoheit habe, wann dort externe Verbindungen aufgebaut werden, da der Checkout durch die externen Abfragen teilweise ganz schön hakelig ist, insbesondere, wenn die Versandart geändert wird.

Die Datenschutzerklärung erklärt ja aber nicht die Funktionsweise des Plugins und wann genau welche Daten / Verbindungen zu Paypal (insbesondere außerhalb der reinen Transaktionsabwicklung) aufgebaut werden. Das müsste ja eigentlich eher JTL als Plug-In-Hersteller beantworten können und ggf. unterbinden.

...um das ohne Datenabfluss zu realisieren, bräuchte es eine explizite Funktion, um das PP Plugin erst bei der Zahlungsauswahl zu aktivieren. Das ist aber bisher nicht umgesetzt, da spätestens bei Aufruf der Zahlungsauswahl die ZAs aus dem Plugin kommen.

Ich sags mal so: Wo keine Abmahnung, da kein Änderungsdruck, isofern hab ich wenig Hoffnung.

Aber dafür gibt es ja eigentlich Standard-Lösungen, z.B. sowas wie die Shariff-Buttons und es wird ja sowieso ständig per jQuery auf Veränderungen im Checkout reagiert und nachgeladen.

Ich habe leider im Plug-In selber noch nicht die Stelle gefunden, wo die Verbindungen erzeugt werden. Es gibt da nur sowas wie eine Betrugs-Prävention (FraudNet), die auch allerhand Daten erfasst, aber die wird meines Erachtens erst ausgelöst, wenn wirklich die Transaktion autorisiert werden soll. Vielleicht ist es aber auch genau der Auslöser für die Verbindungen.

Der Ablauf scheint aber laut Netzwerkaufrufen folgender zu sein:
Die paypal.browser.min.js
ruft folgendes auf:

Code:
https://www.paypal.com/sdk/js?client-id=XXXXX&currency=EUR&commit=true&components=buttons,funding-eligibility,marks,hosted-fields,payment-fields&locale=de_DE&enable-funding=paylater

Danach wird dann folgende Abfrage ausgelöst:
Code:
https://www.paypal.com/tagmanager/pptm.js?id=XXXXX&t=xo&v=5.0.457&source=payments_sdk&client_id=XXXXX&comp=buttons,funding-eligibility,marks,hosted-fields,payment-fields&disableSetCookie=true&vault=false

Und anschließend dann:
Code:
https://www.paypal.com/xoplatform/logger/api/logger?disableSetCookie=true

Und danach dann durch pptm.js ein 1x1px großes gif:
Code:
https://t.paypal.com/ts?pgrp=muse:generic:analytics::merchant&page=muse:generic:analytics::merchant:::&tsrce=tagmanagernodeweb&comp=tagmanagernodeweb&sub_component=analytics&s=ci&fltp=analytics-generic&pt=XXXXX&dh=123&dw=456&bh=789&bw=456&cd=11&sh=123&sw=456&v=NA&pl=pdf&rosetta_language=de,en-US,en&e=im&t=XXXXX&g=XXXXX&completeurl=XXXXX/Bestellvorgang&sinfo={"partners":{"ecwid":{},"bigCommerce":{},"shopify":{},"wix":{},"bigCartel":{}}}&disableSetCookie=true

Paypal Pay Later bzw. Paypal später bezahlen ist aber als Zahlungsart deaktiviert, genau wie alle anderen Zahlungsarten die unter "Aktivierte Zahlungsarten" im Paypal-Plugin aktivierbar sind.
 
Zuletzt bearbeitet:

NoOne

Aktives Mitglied
16. März 2024
229
88
Ich kann dir hier keine sichere Antwort geben, aber ich glaube, dass das Plugin mit dem PayPal-Javascript-SDK arbeitet. Darauf wird JTL nicht viel Einfluss haben. Vermutlich wird hier über das SDK die Anfrage aufgebaut, und wenn das dafür Verbindung zu PayPal aufbaut, ist das vermutlich nichts, was sich so einfach unterdrücken lässt. Daher -> Technisch notwendig. Und was das SDK in letzter Konsequenz alles macht (und warum) kann vermutlich tatsächlich nur PayPal beantworten. Entschuldige das viele "vermutlich", aber mehr könnten dann tatsächlich nur die Entwickler sagen, denke ich.
 
  • Gefällt mir
Reaktionen: Verkäuferlein

Verkäuferlein

Sehr aktives Mitglied
29. April 2012
2.563
1.033
Ich kann dir hier keine sichere Antwort geben, aber ich glaube, dass das Plugin mit dem PayPal-Javascript-SDK arbeitet. Darauf wird JTL nicht viel Einfluss haben. Vermutlich wird hier über das SDK die Anfrage aufgebaut, und wenn das dafür Verbindung zu PayPal aufbaut, ist das vermutlich nichts, was sich so einfach unterdrücken lässt. Daher -> Technisch notwendig. Und was das SDK in letzter Konsequenz alles macht (und warum) kann vermutlich tatsächlich nur PayPal beantworten. Entschuldige das viele "vermutlich", aber mehr könnten dann tatsächlich nur die Entwickler sagen, denke ich.

Erstmal noch vielen Dank für Deine Rückmeldung.

Schade, dass von JTL hier noch keine Rückmeldung gekommen ist. Vieles am JTL- Shop ist ja momentan scheinbar auch im Umbau befindlich, vielleicht ist das auch ein Überbleibsel aus der Vergangenheit.

Aus meiner Sicht braucht das Paypal-Javascript-SDK aber an diesem Punkt eben gar nicht geladen / eingebunden werden und sollte deshalb eben auch nicht ohne Consent einfach geladen werden.
 

frankell

Sehr aktives Mitglied
9. September 2019
724
287
Flensburg
Ich kann dir hier keine sichere Antwort geben, aber ich glaube, dass das Plugin mit dem PayPal-Javascript-SDK arbeitet. Darauf wird JTL nicht viel Einfluss haben. Vermutlich wird hier über das SDK die Anfrage aufgebaut, und wenn das dafür Verbindung zu PayPal aufbaut, ist das vermutlich nichts, was sich so einfach unterdrücken lässt. Daher -> Technisch notwendig. Und was das SDK in letzter Konsequenz alles macht (und warum) kann vermutlich tatsächlich nur PayPal beantworten. Entschuldige das viele "vermutlich", aber mehr könnten dann tatsächlich nur die Entwickler sagen, denke ich.
Sidenote: Da das Plugin von JTL kommt und nicht von PayPal (zumindest nach der Darstellung), tue ich mich etwas schwer, JTL aus der Verantwortung zu lassen. Es ist absolut richtig, dass man nicht immer selbst einsehen kann, was die Software anderer macht, aber wenn ich ein Plugin anbiete, das die Software anderer nutzt, dann bin ich in der Pflicht, mich darüber zu informieren, was die Software anderer macht. Daher wäre es in der Tat angemessen, wenn JTL sich dazu äußern würde.
Gleichzeitig weiß ich natürlich auch, dass sich das nicht selten sehr viel einfacher sagt, als es getan ist, und man sich oft einfach darauf verlassen muss, dass Aussagen wie "unsere Software ist sicher" oder "100 % DSGVO-konform" auch wirklich stimmen. Nur als Anbieter eines Plugins macht man sich halt die Aussagen anderer zu eigen.
 
  • Gefällt mir
Reaktionen: wo0dle
Ähnliche Themen
Titel Forum Antworten Datum
Neu Dringende Hilfe Paypal Checkout Plugins für JTL-Shop 0
Neu Zahlungsarten werden nicht angezeigt... Secupay, Paypal Checkout und Shop-Zahlungsarten gleichzeitig möglich? Plugins für JTL-Shop 0
Neu PayPal Checkout -> Der Zahlungsanbieter hat eine erneute Bestätigung der Kaufsumme angefordert Plugins für JTL-Shop 0
Neu Neueste Version Paypal Checkout: Rechnungskauf mit Ratepay und Paypal-Kreditkarte sind nicht verfügbar. Plugins für JTL-Shop 21
Kunden aufträge werden nicht übernommen Paypal JTL-Wawi 1.9 0
Neu Skonto-Abzug trotz PayPal-Zahlung – Wie können wir das verhindern? User helfen Usern - Fragen zu JTL-Wawi 0
Neu 1.9.6.5 Zahlungsmodul Paypal Verwendungszweck wird nicht angezeigt. JTL-Wawi - Fehler und Bugs 5
Neu Paypal Plugin wird von akutellen IOS Geräten nicht geladen Plugins für JTL-Shop 17
1.9.6.5 Paypal Zahlungsabgleich Warnung T1501 und T0400 JTL-Wawi 1.9 1
Neu Probleme mit paypal / ZAhlung als nicht autorisiert zurückgewiesen JTL-Shop - Fehler und Bugs 6
Neu Warnung bei Paypal Plugin Plugins für JTL-Shop 4
Neu PayPal Anbindung Zahlungsmodul 1.9.6.5 User helfen Usern - Fragen zu JTL-Wawi 7
Neu Zahlung Kreditkarte nicht möglich (Paypal Plugin) JTL-Shop - Fehler und Bugs 5
Neu [Entwarnung] ACHTUNG: JTL Shop 5.3.3 | Nach Update des JTL PayPal Commerce Plugins kein Backend mehr verfügbar (FATAL ERROR) Installation / Updates von JTL-Shop 2
paypal zahlunbgsabgleich bringt fehler JTL-Wawi 1.9 0
Nach Umstieg auf V5 Paypal express weg. Einrichtung JTL-Shop5 5
Neu Erstattungen per Paypal bei Stornierungen wird öfter nicht ausgezahlt Arbeitsabläufe in JTL-Wawi 0
Neu Probleme mit PayPal-Plugin: Bestellungen "pending" & doppelte Zahlungen nach Direktzahlung Plugins für JTL-Shop 0
Paypal Alternativen JTL-Wawi 1.9 4

Ähnliche Themen