Wieso ist PayPal eigentlich völlig unfähig?

PayPal hat sich zu einem wichtigen Zahlungsdienstleister entwickelt. Für den Nutzer ist PayPal einfach und sicher. Händler mögen das anders sehen. Für Händler ist PayPal zuerst mal teuer. Selbst das nimmt man vermutlich hin, solange alles funktioniert. Aber wehe, irgendetwas funktioniert nicht.

Aber warum kann so ein riesiges Unternehmen an manchen Stellen einfach nur völlig unprofessionell handeln? Dinge, die man als selbstverständlich erachten würde, interessieren PayPal rein gar nicht.

Aber der Reihe nach. Vor einigen Wochen bekam ich auf einer alten Mailadresse eine Mail von PayPal, ich hätte ein Konto eröffnet und möge meine Mailadresse bestätigen.

Kann passieren, da hat sich sicherlich jemand vertippt. Leider hat die Mail keinerlei Link, über den ich selber „die Mail ging an eine falsche Adresse“ auswählen könnte. Aber auch das ist ja nicht schlimm, denn wenn ich den Verifizierungslink einfach nicht anklicke, wird die Adresse ja auch nicht bestätigt.

Also ja, bei jedem anderen Unternehmen funktioniert das so. Bei PayPal offenbar nicht. Da kommt ein paar Tage später die nächste Mail, dass ich die Adresse doch bitte bestätigen solle. Nein, mache ich nicht. Wirklich nicht!

In der Mail ist unten ein Link zu einem Support-Dokument von PayPal angegeben, welches einem erklärt, dass man sich per Mail an PayPal wenden soll, wenn da irgendwas nicht stimmt.

Okay, wenn es denn sein muss…

Und noch einen Tag später kommt dann die Begrüßung, die mich zu meinem PayPal Konto beglückwünscht.

BITTE WAS!?

Also die Adresse wurde definitiv nicht bestätigt, weswegen man ja auch noch mal nachfragt. Und trotzdem wurde das Konto freigeschaltet. Sind die völlig von allen guten Geistern verlassen?

Zwei Wochen später folgt dann die nächste Mail von PayPal. Diesmal etwas deutlicher. Ich möge doch bitte die Adresse bestätigen.

Und auch dort gibt es natürlich wieder keinen „ich hab mich dort nie angemeldet, lasst mich in Ruhe!“ Link.

Ach Kinder, was für ein Blödsinn!

Aber dann, drei Wochen keimt Hoffnung in mir auf. Man glaubt es kaum, ich bekomme eine Mail von PayPal.

Irgendeiner Automatik scheint aufgefallen zu sein, dass die Mailadresse nach sechs Wochen immer noch nicht bestätigt wurde und das Konto wurde geschlossen. Oder vielleicht hat doch meine Mail geholfen? Ich meine, die Reaktionszeit wäre für einen Finanzladen trotzdem bescheiden, aber immerhin.

Man scheint wohl doch nicht völlig unfähig zu sein bei PayPal.

Nun… leider doch…

Eine Woche später bekomme ich eine Mail von PayPal.

Ja, einen Tag später kommt auch wieder die Mail, dass das Konto eröffnet wurde. Die ganze Geschichte geht von vorne los.

Aber dieses Mal kommt auch noch mehr hinterher…

Ahja. Ich soll also zu einem Konto mit einer nicht verifizierten E-Mail Adresse die Kontodaten hinzufügen. Ja, klingt legitim.

Mal abgesehen davon, dass ich auf PayPal schimpfe, ist natürlich dieser „André Sommer“, der wohl das Konto auf meine Adresse eröffnet hat, ebenfalls nicht die hellste Kerze auf der Torte.

Dass man überhaupt keine Mails von PayPal bekommt, muss einem doch auffallen!?

Obwohl André Sommer also keinerlei Nachrichten von PayPal per Mail bekommt und PayPal keine verifizierte E-Mail Adresse fürs Konto hat, folgt dann wenige Tage später folgende Mail.

Ich komme aus dem Kopfschütteln nicht mehr raus!

Okay, also übernehmen wir das Konto doch einfach mal. PayPal wird mir ja sicherlich ein Passwort zuschicken, auf meine nicht verifizierte E-Mail Adresse.

Würden sie vielleicht, vielleicht auch nicht, aber davor ist eine Zwei-Faktor-Authentifizierung per SMS geschaltet. Und André Sommer hat jetzt ein paar SMS von PayPal…

Jetzt könnte man natürlich denken, ach komm, lass gut sein. Aber was passiert, wenn jemand mit diesem PayPal Konto Unsinn anstellt? Dann steht da eine meiner E-Mail Adressen drin. Und damit bekomme ich zumindest auch Ärger. Meine Daten müssen da also raus!

Und warum mich das so aufregt?

Na schaut mal, was ich 2019 in einem ganz anderen Posteingang zu einer völlig anderen Adresse hatte…

Ja, ich mach den ganzen Spaß jetzt zum zweiten Mal durch!

Was habe ich damals gemacht? Naja, irgendwann habe ich mich an den Kundenservice von PayPal gewendet. Und was hat der gemacht?

Der hat auf meine Mail mit einer Nachricht ins Postfach geantwortet. Also in das im Konto. Auf das ich keinen Zugriff habe. Weil mir das Konto gar nicht gehört. Nachdem ich denen genau dies in meiner Mail geschildert hatte.

Übrigens bekomme ich seit damals auch immer noch jede PayPal AGB Änderung auf dieser Adresse mitgeteilt. Man hat also das Konto damals nicht geschlossen. Und jetzt fängt der ganze Unsinn wieder neu an. Auf einer ganz anderen Adresse.

Da bleibt mir als Fazit nur, PayPal eine komplette Unfähigkeit zu unterstellen. So unglaublich dämlich kann sich doch ein Support eines Finanzdienstleisters nicht anstellen!

Was hilft jetzt? Öffentlichkeit vermutlich nicht, denn es gibt diverse Geschichten im Netz zu katastrophalem Verhalten von PayPal. Auch in Zeitschriften wurde darüber berichtet. Offenbar scheint das an dem Laden alles abzuprallen. Die Kunden kommen ja trotzdem.

Vielleicht hilft die DSGVO. Ich werde mal schauen, inwiefern man in Bezug auf die DSGVO PayPal zur Löschung der Daten zwingen kann.

Hoffentlich baut irgendwann jemand eine deutsche bzw. europäische Alternative zu PayPal auf. Es wird dringend Zeit!

Update 07.05.:

Ich habe mich gestern über die PayPal Webseite an den Datenschutzbeauftragten gewandt und wegen beiden Konten zur Löschung aufgefordert. Das Konto, was 2019 angelegt wurde, wurde dann tatsächlich heute auch gelöscht. Ich bin mal gespannt, ob damit tatsächlich auch die Benachrichtigungen über AGB Änderungen aufhören.

Update 07.05., 14:30:

Jetzt kommt auf einmal richtig Bewegung in die Sache. Auch das Konto von „André Sommer“ wird jetzt stillgelegt.

Und eine Antwort des Supports gibt es auch…

…im Postfach des Kontos. An das ich nicht heran komme. Aber egal, die Hauptsache ist, dass dieses Mal tatsächlich was passiert.

Der passende Link, um das zu erreichen, findet sich übrigens hier:

https://www.paypal.com/de/smarthelp/contact-us?email=privacy

Update 16.05.:

Wer dachte, damit hätte die Geschichte ein gutes Ende gefunden, der irrt natürlich. Der hat die Rechnung ohne PayPal und „Andre Sommer“ gemacht.

Unser „Andre Sommer“ (jetzt ohne Akzent) scheint wohl komplett merkbefreit zu sein. Anders lässt sich das einfach nicht mehr erklären.

Nachdem PayPal das Konto wohl schließen wollte oder evtl. auch schon geschlossen hat, tauchen heute wieder Mails von PayPal auf.

Entweder wurde vor dem Schließen des Kontos „Andre Sommer“ noch mal aufgefordert, die Mailadresse zu verifizieren oder der gute Mann ist wirklich so dämlich und versucht es tatsächlich zum dritten Mal, auf meine Mailadresse ein PayPal Konto neu einzurichten.

Ich mache jetzt erst einmal nichts und erwarte die nächsten lustigen Mails von PayPal. Denn wie wir ja bereits wissen, ist das „Opt-In“ bei PayPal sowieso völlig unwichtig. Es bleibt spannend…

Dieser Beitrag wurde unter Allgemein veröffentlicht. Setze ein Lesezeichen auf den Permalink.

10 Antworten zu Wieso ist PayPal eigentlich völlig unfähig?

  1. ArnF schreibt:

    Klingt ganz danach als wenn jemand das Passwort von deiner alten Email-Adresse hat. Selbst wenn das nicht so ist würde ich als erstes mal das Passwort ändern.
    Wenn das so ist, dann kann man PayPal nur die schlechte Reaktion auf die Kontaktaufnahme vorwerfen. Entweder keine Reaktion oder Antwort ins Postfach. Beides geht natürlich gar nicht.
    Da ich davon ausgehen würde, dass neben deiner Email auch die Bankverbindung missbraucht wird, wird sich der Inhaber des Kontos sicherlich auch für den Fall interessieren. Wie wäre es mit einer Anzeige? Nur Konto sperren lassen ist da zu wenig.

    • Ingo schreibt:

      Nein, ein Zugriff aufs Postfach ist dazu nicht nötig. Und es wären ja zwei Postfächer mit zwei unterschiedlichen Passwörtern. Ich denke, das kann man ausschließen. PayPal prüft die Adressen einfach nicht.

  2. Pingback: Link: Ingos Blog – Wieso ist PayPal eigentlich völlig unfähig? | Der Desasterkreis

  3. Bei mir würden da auch alle Alarmglocken schrillen, ob da nicht jemand absichtlich mit meinem Daten Blödsinn anstellen will. Leider ist man bei aller Vorsicht nie ganz davor gefeit.
    Aber ich hatte dieser Tage auch so ein merkwürdiges Ereignis mit der digitalen Welt, dass ich glücklicherweise schnell klären konnte.
    Bei allen Annehmlichkeiten und Bequemlichkeiten, die uns die Digitalisierung bringt, manchmal ist es echt nur anstrengend und mühsam.

  4. Heinz K. schreibt:

    Welcher Zauber lässt Sie glauben, lieber Ingo, dass da Menschen greifbar seien, die Sie zu irgendeiner Aktion würden bewegen können. Sie führen Ihre Lanze gegen elektronische Nachrichten von PayPal und vermuten unfähige Leute hinter dem Ganzen. Exakt die Story ist seit etlichen Wochen c’t-Lesern bereits vertraut. Die Windmühlen des Don Quijote sind hier die Algorithmen.
    Wer, wie ich, einmal die seltene Chance hatte, bei den „World Skills“ diesen Marsmenschen aus Fernost zuzuschauen, mit welcher rasanten Geschwindigkeit sie einen komplexen Netzwerk-Hack ins Keypad fingern, um die Informatiker-Tagesaufgabe zu lösen, der hat zumindest eine Ahnung, welche Spezies real existiert, die so einen André Sommer erschaffen kann.* Eine Halle weiter waren die Flugzeugmechaniker in ihrer Challenge am Werk.
    Der einzige Ort für heldenhaftes Tätigwerden ist Digitalpolitik auf europäischer Ebene. Für die Menge der Normalbürger gilt es, eine passende Spamregel im e-Postfach einzurichten und im übrigen einen PayPal-Account nur mit einem hinterlegten PrePaid-Kreditkartenkonto oder einem auf Guthabenbasis geführten Bank/SPK-Girokonto zu betreiben, wenn das nach neuesten PayPal-Bedingungen überhaupt noch möglich ist.
    Dating-Plattformen mit Fake-Profilen würde doch auch keiner nutzen, der nicht bedeppert ist, oder? Um nur darauf hinzuweisen, dass man sich PayPal SO zurechtdenken muss, und zwar nicht, weil PayPal Fakeprofile hätte, sondern dass man es eben nicht nutzen muss, wenn die individuelle Risiko-Nutzen-Abwägung**, der Verstand und die Vernunft das so vorgeben. Deswegen ist Ingo’s neuer Eintrag in jedem Falle zur Aufklärung gut geeignet.
    */** Denn da hat sich nicht wirklich ein Andre Sommer mit Ingo Böttchers E-Mail Adresse bei PayPal angemeldet. Wer das noch glaubt, sollte nachsitzen.

    • Ingo schreibt:

      Und wenn das kein Andre Sommer war, wer sollte es sonst sein? Und vor allem, warum? Da wollte ja niemand Zugriff auf meine Daten oder mein Geld. Im Gegenteil. Hätte derjenige nicht aufgepasst, hätte ich noch Zugriff auf sein Geld bekommen.

      • Heinz K. schreibt:

        Der durchschlagende Erfolg von WhatsApp fußte darauf, das sie zu den Ersten gehörten denen es gelungen war, einen medial angereicherte Messenger-Service auf eine mobile Geräteinstanz gegen eine Mobilfunk-Rufnummer zu autorisieren. Eng verbunden mit dem Siegeszug des Smartphones fand dieser einfache u. kostenfreie E-Mail-Ersatz bei Jedermann und Jederfrau weltweit gigantischen Zuspruch.
        Auf einem anderen Feld war es PayPal, was einen vergleichbaren Sog erzeugen konnte, basierend allerdings auf gänzlich anderen Wirk-Mechanismen. Die jedoch muss man verstanden haben, um sich solche zutage tretenden Kapriolen jetzt erklären zu können.

        Die klassische Bank kennt jeder als eine Institution, in der es den Bankier gibt, der Anlagen und Anleihen eigenverantwortlich gegen Fremddarlehen verwaltet. Er ist somit mehr als bloß ein „Bezahlkumpel“, der dein Geld treuhänderisch entgegen nimmt, um es – gegen einen Obolus für diese Auftragserfüllung – an deinen Deal-Partner weiterzuleiten. Nein, beim Bankier musst du klingeln, das Geschäft machst du mit ihm. Und er sein Geschäft mit (dir unbekannten) anderen Dritten.

        PayPal, der „Bezahlkumpel“, ist als Online-Service etwas anderes, nämlich ein NUTZERGESTEUERTES System. So in etwa wie eBay oder eine x-beliebige Peer-to-Peer-Community. Aber eben nicht ganz, denn jetzt schwenken wir auf den wesentlichen Unterschied ein, auf diesen zusätzlichen Layer, dem PayPal seine heute so exponierte Stellung zu verdanken hat: PayPal unterfällt den Regulatorien für Bankgeschäfte. Das wiederum hat eine gravierende Bedeutung.
        Zurück zu den großen Bankhäusern. Deren strukturelles Gerüst der Datenverarbeitung stammte bis unlängst noch aus dem Mainframe-Zeitalter, programmiert mit den Derivaten von I.B.M.’s APL (A Programming Language – engl. Wikipedia hilft weiter), und das nicht ohne Grund. Wenn jemand financial transfer services anbietet, dann MUSS die Programmierung safe und verlässlich sein.

        Wieder mit dem Blick in die Gegenwart bekommen wir eine Ahnung, was, im besonderen, PayPal hier als die Ersten für ein ungeahntes Neuland betreten haben: Nutzerbasierte Webservices lassen sich nicht mit institutionalisierten monolithischen Datenverarbeitungsstrukturen aufsetzen. Die notwendige Verarbeitungssicherheit musste auf einem anderen Weg erreicht u. sichergestellt werden: Zur robusten Ausgestaltung des Verarbeitungssystems führte der Weg über den DEKLARATIVEN Stil der Programmierung. Hierin liegt begründet, weswegen sich PayPal zunächst so unbeholfen auf dieses im Blog-Artikel umzeichnete Phänomene einlässt. Ein robustes System kann nur auf Durchlauf ausgelegt sein. In diese Semantik passen keine Abfragen von Eventualitäten.
        Nichtsdestotrotz besteht Handlungsbedarf. Ich vermute, dass man sich bei PayPal marketingseitig an der Realität verstolpert hat: Es waren womöglich diese „Zahlung-auf-Ziel“-Angebote auf diversen Online-Portalen, die über (klassische) Bankkonten von PayPal treuhänderisch abgewickelt wurden, woraufhin diese Fälle von Anbahnungsmissbrauch eingetreten sind, für die zur Akzeptanz systemseitig, datentechnisch nur/bloß/lediglich eine vorangegangene simple „Anmeldung“ alias Andre Sommer genüge war.
        Amazon, souverän-innovativ, war der Treiber dieser temporären Marketingerscheinung. PayPal, ähnlich potent u. unersättlich, sah keinen Zweifel da mit zu gehen, um seine Marktbasis zu vergrößern – allein sein System konnte mit den Tricksereien nicht umgehen.
        Aus Sicht eines Betrügers wiederum stellt sich das banal dar: Hatte der ein Bankkonto gekapert, kann er zulasten JEDER IBAN Überweisungsaufträge fälschen; nicht jede/r Betroffene kontrolliert regelmäßig seine/ihre Auszüge!! Kenntnis einer IBAN = einer E-Mail-Adresse gleichzusetzen. Folgenreicher wird es mithin, wenn auf der E-Mail-Adresse bereits ein regulärer PayPal-Account besteht. Dann verlagert sich der aussichtslose Kampf gegen Windmühlenflügel im Handumdrehen auf einen anderen Nebel, in dem gestochert wird: Dass sich nämlich PayPal GEGEN seinen „doppelten Nutzer“ auf das Bankgeheimnis und die Wahrung des Datenschutzes berufen kann. Eventuelles eigenes PayPal-Guthaben ist dann mal weg!

      • Ingo schreibt:

        Es geht darum, dass jemand ein Konto bei PayPal anlegt und entweder nicht willens oder nicht fähig ist, seine eigene E-Mail Adresse dazu zu verwenden. Und dann geht es um PayPal, die nicht willens sind, E-Mail Adressen sauber zu verifizieren, bevor sie Konten freischalten.

        Keine Idee, wie du da auf Romane von deklarativer Programmierung und ähnlichem kommst. Lege dir doch bitte ein eigenes Blog zu und veröffentliche deine Gedanken dort. Mit konkreten Kommentaren zu meinem Artikel haben sie ja ganz offensichtlich nichts mehr zu tun. Danke!

  5. Heinz K. schreibt:

    Nun, ich meinte gut daran getan zu haben, wesentliche Argumente dafür anzuführen, wieso PayPal eigentlich NICHT unfähig ist. Eine global angelegte Webanwendung mit Banking Qualifizierung muss wartungsarm und zuverlässig funktionieren. Die Entscheidung, das deklarativ aufzusetzen, wirkt sich durchgreifend auf SÄMTLICHE ASPEKTE aus. Da gibt es auch ganz sicher kein Vertun, etwa eine Verifizierung zu implementieren. Das kollidiert mit der Programmierlogik. „Deklarativ“ bedeutet, JEDE/R Zugriff auf die Webanwendung = auf den Dienst von PayPal kann AUSSCHLIEßLICH money transfer betreffen! Und: Jeder Zugriff löst eine vom Nutzer beabsichtigte FESTGELEGTE Interaktion aus. Jede Interaktion ist mit einer eineindeutigen, nach vorn gerichteten Response des PayPal-Servers konkateniert (sicherheitsverkettet). Wegen der async transparency kann die Kernkomponente Webanwendung einen steckengebliebenen Verifizierungsvorgang nicht einfach drop(p)en (fallen lassen)! Deswegen kaskadiert die Anwendung automatisiert über das Kommunikationsmodul mit dem Ziel, dass der Kunde sich verifiziert, entweder nach einer Neuregistrierung, oder bei einem bereits belegten Account durch dann (theoretisch!) einfach mögliche Anmeldung mit den bekannten Authentifizierungsdaten – aus „Sicht“ der Anwendung. Deklarative Logik ist einerseits sicher, im Ablauf nicht manipulierbar, das ist bei monetären Transaktionen gerade gewünscht – andererseits ist sie dumm und von der Programmierlogik schlicht ungeeignet dafür, eine – siehe eingangs – Filterfunktion implementiert zu bekommen, die ergeben/ermitteln könnte, dass ein Fremder oder Dritter eine für den PayPal-Service vorgesehene E-Mail-Instanz ohne Berechtigung (sei es versehentlich durch Tippfehler oder in betrügerischer Absicht) doppelnutzt. Dieser Vorgang kann nur im Wege einer Eskalation durch manuellen Eingriff beendet oder abgebrochen werden. Das ist ein dem Ablaufprinzip geschuldeter Sicherheitsvorbehalt. Anders gesprochen: Eingeleitete Verarbeitungsprozesse können nicht durch unglücklich-zufällige oder manipulativ in Gang gesetzte Verschränkungskonstellationen beeinträchtigt werden.

    Sicherlich stimmt es, das hierin für PayPal ein echtes Problem offenbar geworden ist. Vermutlich wird das nicht so einfach zu lösen sein – meine Ausführungen – aber bei PayPal werden sie sicherlich daran arbeiten.

    Abschließend: Ich weiß nicht, wie man darauf kommen kann, dass mein geneigter Erklärungsversuch, ein halbwegs verständliches Licht in die Laienperspektive zu bringen, und zwar mit dem Ansinnen, damit hilfreich zu Themen beizusteuern, kein konkreter Kommentar zum Artikel sein soll. Freilich werde ich mir das künftig verkneifen, hier noch einmal aufzutreten. Meine Beiträge mögen bitte gelöscht werden, danke dafür! Manche Dinge sind komplex oder nicht gerade einfach verständlich, dafür muss man etwas ausholen. Dass das nicht in adäquater Weise erfasst werden konnte, ist schade.

  6. Marvin Zurborg schreibt:

    Ach krass, du sprichst mir mit dem PayPal-Ärger echt aus der Seele.
    Bei mir hatte sich vor Jahren mal jemand mit meinem Namen und (alter) E-Mail registriert und Betrug begangen (wie habe ich bis heute nie erfahren).
    Ich selbst habe nie PayPal genutzt.
    Ich darf mich bis heute mit PayPals Rechtsanwälten rumschlagen (!!!), weil ich doch bitte für die entstandenen Schäden von ~180,-€aufkommen soll. Steht ja mein Name drauf und so. Pünktlich monatlich kommt die nächste E-Mail, brav vom Versandbot versendet. Erreichen kann man allerdings niemandem, der das Problem beheben kann *schulterzucken* daher ignorier ich diesen Quatsch seit … mittlerweile glaube ich 5 Jahren oder so.

Kommentar verfassen

Trage deine Daten unten ein oder klicke ein Icon um dich einzuloggen:

WordPress.com-Logo

Du kommentierst mit Deinem WordPress.com-Konto. Abmelden /  Ändern )

Google Foto

Du kommentierst mit Deinem Google-Konto. Abmelden /  Ändern )

Twitter-Bild

Du kommentierst mit Deinem Twitter-Konto. Abmelden /  Ändern )

Facebook-Foto

Du kommentierst mit Deinem Facebook-Konto. Abmelden /  Ändern )

Verbinde mit %s

This site uses Akismet to reduce spam. Learn how your comment data is processed.