Keine Handynummer für PayPal

Nicht jetzt und auch nicht später

Jedes Mal, wenn ein großes Unternehmen seine Tentakeln ausstreckt und noch mehr Daten von seinen Kund:innen mit teilweise dreisten Methoden abzugreifen versucht, steigert das meine Motivation, neue Wege zu finden, um diese "Zwänge" zu umgehen.

Am Beispiel von PayPal funktioniert das schon seit Monaten erstaunlich leicht. Wie lange das so bleibt, wird sich zeigen.

* * *

TL;DR

Falls du es gerade eilig hast, hier direkt die Lösung:
Logge dich bei PayPal ein. Sobald das Banner mit der Aufforderung zur Eingabe der Handynummer erscheint, lösche in der URL-Leiste deines Browsers den Text hinter der Domain paypal.com (hier rot unterstrichen) und bestätige mit [ENTER]. Voilà – du wirst auf paypal.com/myaccount/summary weitergeleitet, bist eingeloggt und hast keine Handynummer hinterlegen müssen. Das funktioniert sowohl mit Privat- als auch mit Geschäftsaccounts.

* * *

Update 02.11.2020

Nachdem der Trick auch bei Geschäftsaccounts und einem normalen Login zwischenzeitlich nicht mehr klappt, lautet meine Empfehlung:
PayPal-Account löschen oder die Zweifaktor-Authentifizierung mittels App aktivieren

Letzteres ist unter PSD2-Richtlinie beim Punkt "Wie verknüpfe ich die Authentifizierungs-App mit meinem PayPal-Konto?" genau beschrieben. Man merkt aber schnell, dass es PayPal kein besonderes Anliegen ist, dass man auf diese Alternative hingewiesen wird. Mit einer hinterlegten und gültigen Handy- oder Telefonnummer sind die persönlichen Daten wohl viel besser mit anderen Daten verknüpfbar.

Aktuell kann ich mich nicht in meinen Geschäftsaccount einloggen, um die Zweifaktor-Authentifizierung per App zu aktivieren, weil PayPal schon vorher die hinterlegte Festnetznummer verifizieren möchte. Pro Loginversuch dauert es aufgrund von CAPTCHA-Einblendungen und künstlichen Verzögerungen außerdem gut 60 Sekunden...

Zitat des PayPal-Supports dazu vom 02.11.2020:

Vielen Dank für Ihre Geduld, ich habe jetzt die Ursache gefunden. Weil Sie keine Handynummer hinterlegt haben und deswegen auch nicht verifiziert werden können, hat unser Sicherheitssystem das Einloggen für 72 Stunden geblockt. Diese Blockade muss leider automatisch aufgehoben werden, dies erfolgt nach die 72 Stunden, tut mir leid. Bitte gedulden Sie sich bis Donnerstag Nachmittag, versuchen Sie in dieser Zeit nicht erneut, sich einzuloggen, und nachdem die 72 Stunden um sind, wird Verifizierung nicht nötig sein.

Ich kenne aktuell wirklich kein unattraktiveres Zahlungsunternehmen als PayPal. Ok, vielleicht noch Klarna. :-D

* * *

Update 29.10.2020
Es scheint, als hätte PayPal die Daumenschrauben angezogen, denn der Login unter paypal.com klappt mit diesem Trick zwar noch, aber der Bezahlvorgang nicht mehr. Zumindest konnte ich am 26.10.2020 mit meinem privaten PayPal-Account keine Zahlung in einem Onlineshop mehr tätigen und erhielt stattdessen folgenden Banner, der sich auch nicht "übergehen" ließ:

Der Kommentar von EUdSSR bestätigt leider genau das. Allerdings klappte bei mir der Checkout mit dem geschäftlichen PayPal-Account bei eBay zu diesem Zeitpunkt noch ohne Probleme. Ich bin gespannt, wie sich das weiter entwickeln wird.

* * *

Update 30.09.2020
Beim letzten Test am 30.09.2020 funktionierte der Trick noch ohne Probleme. Allerdings wurde PayPal bereits da immer dreister und blendete seit Kurzem nach dem Login oberhalb des Fensters einen nervigen orangefarbenen Banner ein, den man nicht wegklicken konnte. Dark Pattern vom Feinsten…

* * *

Die ganze Story

Seit Monaten nötigt mich PayPal bei jedem Login, meine Handynummer preiszugeben. Anfangs konnte man einfach unterhalb des Dialogs auf den höchst unscheinbaren Textlink "Später" klicken, um das Banner zu schließen.

Da das scheinbar viele datenschutzbewusste PayPal-Kund:innen so gemacht haben (juhu!), hat sich PayPal vor wenigen Monaten etwas Neues einfallen lassen: Der Dialog ist gleich geblieben, aber der Textlink "Später" erschien nun erst nach 5–10 Sekunden Wartezeit. Auf den ersten Blick gab es also plötzlich keine Umgehungsmöglichkeit mehr. Das fand ich wirklich unverschämt.

Am Handy sah das Ganze noch toller aus. Hier hat das Cookie-Banner den Textlink "Später" einfach komplett verdeckt und noch dazu den halben Bildschirm eingenommen:

Cookie-Banner

Das Cookie-Banner verdeckt am Handy den halben Bildschirm.
* * *

Geschäftskonto

Und dann erhielt ich für mein Geschäftskonto am 12.02.2020 eine E-Mail, die damit "gedroht" hat, dass es möglich wäre, dass man sich ohne Handynummer möglicherweise nicht mehr einloggen könne.

E-Mail von PayPal

Diese E-Mail wurde an meinen geschäftlichen PayPal-Account gesendet.

Logge ich mich nun nach dem 31.03.2020 mit dem Geschäftsaccount ein, gibt es auch nach Wartezeit und genauerem Hinsehen keine Möglichkeit mehr, dieses Banner zu schließen.

Banner PSD2-Richtlinie

Beim geschäftlichen PayPal-Account gibt es augenscheinlich keine Umgehungsmöglichkeit mehr.

Die banale, aber wirksame Lösung dafür:
Einfach über die URL wieder die Startseite aufrufen.

* * *

Die Alternative wird nicht erwähnt

Dieses Vorgehen von PayPal spielt mit der Verunsicherung der Kund:innen, was ich gerade im Geschäftsumfeld mehr als unangebracht finde. Viele sind (leider) von ihrem Geschäftskonto bei PayPal abhängig, d. h., sie werden den Zugriff darauf nicht leichtfertig aufs Spiel setzen. Dabei gäbe es die Möglichkeit, als zweiten Faktor eine E-Mail oder eine App zur 2-Faktor-Authentifizierung zu nutzen.

PayPal erwähnt Letzteres sogar ausdrücklich in seinem FAQ, nur im Popup steht kein Wort davon:

* * *

Warum ist die Angabe deiner Handynummer so problematisch?

Jeder Dienst, bei dem du deine Handynummer angegeben hast, kann dich eindeutig identifizieren. Und das wird auch in vielen Jahren noch so sein. Denn gerade als Unternehmer:in wirst du eines selten bis nie tun: Deine Handynummer wechseln.

Nehmen wir Facebook als Beispiel: Durch die Angabe deiner Handynummer bei Facebook, Instagram und WhatsApp können deine drei Profile vom Konzern mit Leichtigkeit verbunden werden. Das heißt, alle Aktivitäten auf diesen Plattformen tragen ihre gesammelten Daten zu einem großen Nutzerprofil von dir bei (das du übrigens nie zu Gesicht bekommen wirst). Facebook verdient damit durch Werbeeinnahmen und immer treffsicherere Werbeeinblendungen Jahr für Jahr Milliarden von Euro, vom potentiellen Zugriff der Sicherheitsbehörden auf solche Daten ganz zu schweigen. Ganz nebenbei steigt deine Abhängigkeit von diesen Diensten, die so bequem und genau auf dich zugeschnitten sind – und der Teufelskreis schließt sich.

Die Angabe der Handynummer bei deiner Bank (oder – wenn du das anders siehst als ich – auch einem Zahlungsdienstleister) ist das Eine. Denn hier bist du mit deiner Anschrift und anderen Angaben sowieso unter dem Deckmantel des Geldwäsche-Gesetzes als Person eindeutig identifizierbar. Anders sieht das in meinen Augen bei Social Media und anderen Diensten aus. Hier wird die Handynummer oft durch die Hintertür für die Aktivierung der Zweifaktor-Authentifizierung abgefragt. Was auf den ersten Blick einen Sicherheitsgewinn bringt, könnte auch datensparsam und ohne Handynummer mittels TOTP-App abgebildet werden. Da viele Menschen jedoch auf den Vorschlag der Dienstleister vertrauen, geben Sie gutgläubig die Handynummer an und schon hat der Anbieter einen eindeutigen Identifier, den er mit anderen (eingekauften) Daten verbinden kann.

* * *

Meine dringende Bitte an dich

Niemand, wirklich niemand außer deinen Kund:innen und Freund:innen braucht deine Handynummer wirklich. Es gibt im geschäftlichen Umfeld mit E-Mail, Einmal-Token-Generatoren, Apps zur 2-Faktor-Authentifizierung und Hardware-Tokens genügend sichere Alternativen für den zweiten Faktor.

Auch eine Festnetznummer wäre datenschutztechnisch besser, weil man mit dieser im Normalfall keine weiteren Accounts verknüpft hat.

* * *

Du möchtest mir Feedback hinterlassen oder hast eine Anregung?
Schreib mir über Kontakt, per Telegram oder unten in die Kommentare eine Nachricht.

* * *
* * *

Änderungshistorie

28.01.2021, 14:22 – Ergänzung des letzten Absatzes in der Passage Warum ist die Angabe deiner Handynummer so problematisch?
02.11.2020, 11:20 – Ergänzung der Möglichkeiten, das erzwungene Hinterlegen einer Handynummer mittels 2FA-App zu umgehen
29.10.2020, 18:30 – Dokumentieren der geänderten Login-Prozedur von PayPal
30.09.2020, 15:05 – Orangefarbenen Banner ergänzt
08.04.2020, 21:54 – Textkorrekturen
08.04.2020, 21:00 – Artikel erstellt

* * *
Christian Süßenguth Christian Süßenguth @sweetgood

Hi, ich bin Inhaber der Firma SWEETGOOD. Mit dem andersGOOD Blog möchte ich auch dich für datensichere IT-Lösungen begeistern. So bringst du dein Unternehmen voran, ohne großen Konzernen deine wertvollen Daten zu liefern. Probiers mal anders!


Kommentarbereich

Die Kommentare sind für dich noch deaktiviert, da du dem Setzen von Cookies bisher nicht zugestimmt hast.
Klicke oben rechts auf "Ja, klar!" und lade die Seite neu, um die Kommentare anzuzeigen.

Seite neu laden

👾 Magst du Kekse?

Ich würde gerne Cookies setzen

Ist das OK für dich?