Mit über 30 Millionen aktiven Nutzern in Deutschland ist PayPal der meistgenutzte Online-Zahlungsdienst des Landes. Vom schnellen Einkauf im Netz bis zur Überweisung an Freunde gehört der Dienst längst zum Alltag. Doch so unkompliziert PayPal für Nutzer wirkt, so komplex ist das regulatorische Umfeld dahinter.
Allein in den letzten Jahren sind mit der PSD2, dem EU-Anti-Geldwäsche-Paket und der MiCA-Verordnung gleich mehrere Regelwerke hinzugekommen, die den Zahlungsdienst unmittelbar betreffen. Gleichzeitig zeigen Fälle wie massenhafte Phishing-Angriffe oder die OFAC-Strafe von 2015, dass Regulierung allein nicht vor Risiken schützt.
Regulatorischer Rahmen und Lizenzierung
PayPal operiert in Europa über die PayPal Europe S.à r.l. et Cie, S.C.A. mit Sitz in Luxemburg. Das Unternehmen besitzt eine Lizenz als Kreditinstitut und unterliegt der Aufsicht durch die luxemburgische Finanzaufsicht CSSF. Damit ist das Unternehmen kein bloßer Zahlungsvermittler, sondern ein vollreguliertes Finanzinstitut.
Die rechtlichen Grundlagen sind vielschichtig. Die europäische Zahlungsdiensterichtlinie PSD2, die den Zahlungsverkehr innerhalb der EU einheitlich regelt, das deutsche Zahlungsdiensteaufsichtsgesetz ZAG und die E-Geld-Richtlinie bilden das regulatorische Fundament. Unter anderem führte die PSD2 die sogenannte starke Kundenauthentifizierung ein, die seit dem 14. September 2019 verpflichtend gilt. Jede Transaktion muss seitdem durch mindestens zwei unabhängige Faktoren verifiziert werden.
Wie komplex diese Vorgaben in der Praxis werden können, zeigt der deutsche Glücksspielmarkt. PayPal zog sich 2019 vollständig aus dem Online-Glücksspiel in Deutschland zurück. Die rechtliche Lage war vor dem Glücksspielstaatsvertrag 2021 schlicht zu unklar. Erst 2022 kehrte der Zahlungsdienst zum regulierten Markt zurück. Voraussetzung ist eine gültige GGL-Lizenz. Nur lizenzierte Anbieter dürfen als PayPal Casino auftreten.
PayPal prüft jeden Partner selbst und gilt deshalb als verlässlicher Indikator für ein legal operierendes Casino. Einen guten Überblick über die aktuelle Lage rund um das Thema Online Casino mit PayPal gibt die Berliner Morgenpost. Seit dem 1. Juli 2021 regelt der GlüStV den Zahlungsverkehr im Online-Glücksspiel. Die Gemeinsame Glücksspielbehörde der Länder, kurz GGL, überwacht die Einhaltung dieser Vorgaben.
Sicherheitsarchitektur und ihre Grenzen
Technisch setzt der Dienst auf mehrere Schutzebenen. Jede Zahlung wird durch eine Zwei-Faktor-Authentifizierung abgesichert. Hinzu kommen eine 256-Bit-TLS-Verschlüsselung und automatisierte Betrugserkennungssysteme, die Transaktionen in Echtzeit analysieren. Verdächtige Aktivitäten werden sofort markiert und geprüft. Das gilt für den normalen Online-Einkauf genauso wie für jedes Casino mit PayPal.
Trotz dieser Vorkehrungen bleibt PayPal ein bevorzugtes Ziel für Cyberkriminelle. Das Unternehmen gehört seit Jahren zu den am häufigsten für Phishing-Angriffe missbrauchten Marken weltweit. Gefälschte E-Mails und nachgebaute Login-Seiten zielen darauf ab, Zugangsdaten abzugreifen. Im Januar 2023 bestätigte PayPal selbst einen Vorfall, bei dem rund 35.000 Konten durch sogenanntes Credential Stuffing kompromittiert wurden.
Bei Sicherheitsvorfällen greifen strenge Meldepflichten.
Käuferschutz vs. gesetzliche Gewährleistung
Der PayPal-Käuferschutz gehört zu den bekanntesten Versprechen des Zahlungsdienstes. Erhalten Käufer eine Ware nicht oder weicht sie erheblich von der Beschreibung ab, erstattet PayPal den vollen Betrag. Viele Verbraucher halten das für einen rechtlichen Anspruch. Das ist es nicht. Der Käuferschutz ist eine freiwillige, vertragliche Kulanzleistung.
Der BGH stellte das im November 2017 klar. In seinem Urteil vom 22.11.2017 (VIII ZR 83/16) entschied das Gericht, dass eine Erstattung über den Käuferschutz die gesetzliche Gewährleistung nicht ersetzt. Konkret bedeutet das: Erstattet PayPal den Kaufpreis, erlischt dadurch nicht die Zahlungspflicht des Käufers gegenüber dem Verkäufer. Beide Ansprüche bestehen unabhängig voneinander.
Kritisch sind auch einseitige Kontosperrungen. PayPal behält sich in den AGB vor, Konten bei Verdacht auf Regelverstöße einzufrieren. Betroffene verlieren dann vorübergehend den Zugriff auf ihr Guthaben. Bei Kreditkarten sieht das anders aus. Dort können Verbraucher unautorisierte Zahlungen nach §§ 675u ff. BGB über ihre Bank zurückbuchen lassen.
Beim PayPal-Käuferschutz gibt es diesen gesetzlichen Anspruch nicht. PayPal entscheidet nach eigenem Ermessen, ob eine Erstattung erfolgt. Lehnt PayPal den Antrag ab, bleibt dem Verbraucher nur der reguläre Rechtsweg.
Geldwäscheprävention und Sanktions-Compliance
Als lizenziertes Kreditinstitut unterliegt PayPal den Vorgaben des Geldwäschegesetzes. Dazu gehören umfassende KYC-Pflichten. Jeder Nutzer muss bei der Kontoeröffnung identifiziert und verifiziert werden. Bei höheren Transaktionsvolumina oder auffälligen Mustern verlangt PayPal zusätzliche Nachweise.
Neben der Identitätsprüfung ist PayPal verpflichtet, sämtliche Transaktionen laufend gegen Sanktionslisten abzugleichen. Dazu zählen die Listen der EU, der US-amerikanischen OFAC und weiterer internationaler Behörden. Dass dieses System Lücken hat, zeigte sich 2015. Der Konzern zahlte damals rund 7,7 Millionen Dollar an das OFAC, weil Zahlungen an sanktionierte Personen nicht rechtzeitig blockiert worden waren.
Das neue EU-Anti-Geldwäsche-Paket von 2024 verschärft die Pflichten weiter. Bei grenzüberschreitenden Transaktionen müssen Zahlungsdienstleister künftig genauer prüfen, wer hinter einer Zahlung steht. Absender und Empfänger sind vollständig zu identifizieren, auch bei kleineren Beträgen.
Neue regulatorische Anforderungen
Mit dem Stablecoin PYUSD hat PayPal 2023 erstmals eine eigene Kryptowährung auf den Markt gebracht. Der an den US-Dollar gekoppelte Token soll digitale Zahlungen schneller und günstiger machen. Innerhalb der EU fällt PYUSD unter die MiCA-Verordnung, die seit Juni 2024 für Stablecoins gilt. Als Emittent gelten strenge Rücklagen- und Transparenzanforderungen.
Parallel drängt PayPal mit Buy Now Pay Later stärker in den Kreditbereich. Nutzer können Einkäufe in Raten zahlen, ohne einen klassischen Kreditvertrag abzuschließen. Regulatorisch bewegt sich dieses Modell in einem Graubereich. Dass solche Grauzonen schwerwiegende Folgen haben können, hat der Wirecard-Skandal gezeigt.
Zusätzlich greifen der Digital Services Act und der Digital Markets Act. Beide Verordnungen stellen neue Anforderungen an Transparenz, Datenschutz und den Umgang mit Nutzerdaten. Damit wachsen die gesetzlichen Anforderungen an den Zahlungsdienst an mehreren Fronten gleichzeitig. Kein anderer Anbieter ist aktuell von so vielen unterschiedlichen EU-Regulierungen betroffen.
