Ich bin seit über 16 Jahren “Kunde” bei PayPal. Nach einem Disput mit PayPal selbst hat PayPal nun plötzlich meinen Account in einen “eingeschränkten Zustand” versetzt.
Als jemand, der beruflich im Bereich IT-Sicherheit unterwegs ist, liegt mir dieses Thema natürlich gerade auch bei einem Finanzdienstleister wie PayPal sehr am Herzen. Daher benutze ich seit Einführung bei PayPal einen “Sicherheitsschlüssel” (allgemein “Zwei-Faktor-Authentifizierung”, “two-factor authentication”, 2FA, TFA, MFA genannt) als zusätzliche Sicherung meines Accounts. (Zu diesem Thema gibt es auch einige Artikel hier in meinem Blog!) Zunächst einen Hardware-Schlüssel in Form eines kleinen feuerzeuggroßen elektronischen Geräts, später dann einen Software-Schlüssel in Form einer Handy-App.
Im Laufe der vielen Jahre der Nutzung von PayPal habe ich entsprechend oft einen neuen Sicherheitsschlüssel im PayPal-Account registriert, da ich diese Schlüssel jeweils auf meinen beiden (Privat- u. Dienst-) Handys benutze, und diese jeweils alle zwei Jahre durch neue Geräte ersetzt werden, so dass ich auch eine neue Schlüssel-App installieren und registrieren muss.
Dieser Fall war nun wieder eingetreten, und überraschenderweise konnte ich nicht mehr einen neuen Schlüssel registrieren. Der PayPal-Support teilte mir zunächst mit, diese Software-Schlüssel würden in Deutschland nicht mehr unterstützt, daher könne man keine neuen Schlüssel registrieren.
Nach längerem Hinundher fand ich jedoch heraus (u. a. durch Unterstützung von Lesern meines eigenen Blogs und eigene Untersuchungen), dass mir PayPal offensichtlich (bewusst!) die Unwahrheit gesagt hatte. Die wahre Ursache ist ein Problem auf Seiten von PayPal, nämlich eine willkürliche Beschränkung auf zehn Sicherheitsschlüssel. Man kann diese Schlüssel deaktivieren, z. B. wenn sie defekt sind oder verloren gingen, aber man kann sie nicht aus dem Account “löschen”. Erreicht man dadurch das Limit von zehn Schlüsseln, so kann man keine neuen Schlüssel registrieren.
Daher bat ich den Support, dass dieser die alten, bereits von mir deaktivierten Schlüssel löschen möge. Dazu verlangte der Support, dass ich dort anrufen möge. Warum, das wurde mir auch auf ausdrückliche Nachfrage bis heute nicht erklärt. Insbesondere hat PayPal durch meinen Anruf keine größere Gewissheit, dass es sich tatsächlich um meine Person handelt. Ich teilte PayPal mit, dass ich nach 20 min. in der Warteschleife aufgegeben habe, und dass ich ohnehin aus Beweisgründen eine Korrespondenz per Nachricht innerhalb meines PayPal-Accounts bevorzuge.
Nun hat PayPal plötzlich meinen Account in einen eingeschränkten Zustand versetzt und verlangt von mir, dass ich ein Ausweisdokument hochlade sowie ein Dokument, welches meine aktuelle Adresse belegt. Ich lehne das Hochladen meines Personalausweises grundsätzlich ab wegen der drohenden Missbrauchsgefahr (siehe der aktuelle “Mariott”-Skandal, wo Daten von 500 Mio. Kunden gestohlen wurden, u. a. Ausweisnummern!). Außerdem ist es mir unverständlich, wieso PayPal nun plötzlich — fast sieben Jahre nach meinem letzten Umzug — meine Adresse verifiziert haben möchte. Bei Umzügen habe ich bisher immer einfach meine Adresse in meinem Account geändert, damit war der Fall erledigt.
Ich kann mich PayPal gegenüber nach wie vor durch Einloggen in meinen Account authentifizieren, da ich noch über ein Handy verfüge, welches dort registriert ist. PayPal kann also keine ernsthaften Zweifel an meiner Identität haben. Sehr negativ aus Sicherheitsgesichtspunkten ist die Tatsache, dass PayPal es erlaubt, den Sicherheitsschlüssel durch die Beantwortung von zwei Fragen (“Geburtsname meiner Mutter” und “Wohnort als “Kind) zu ersetzen. Es gibt eine Reihe von Personen außer mir selbst, die diese Fragen beantworten können. Die Sicherheit meines Accounts wird also stark geschwächt, und das Verfahren des Sicherheitsschlüssels ad absurdum geführt.
Das Verhalten von PayPal — immerhin eine “Bank”, da das Unternehmen meines Wissens über nach eine Bankenlizenz verfügt! — finde ich unglaublich, geradezu “nach Gutsherrenart”. Daher werde ich mich nun bei diversen Organisationen des Verbraucherschutzes und der Finanzaufsicht über PayPal beschweren.