Angefragt: Was ist nach dem Ende von paydirekt/giropay mit den Daten passiert?

Der Zahlungsdienst paydirekt/giropay ist seit fast einem Jahr Geschichte. Nachdem er in der Vergangenheit immer wieder in der Kritik stand, zu viele Daten zu sammeln, wollte ich wissen, was nach der Einstellung mit den gespeicherten Daten passiert ist, und habe eine Auskunftsanfrage gestellt. Das Ergebnis ist erfreulich: Alle paydirekt- und giropay-Daten wurden im April 2025 vollständig gelöscht.

Bei paydirekt handelte es sich um einen Online-Bezahldienst, der von deutschen Banken und Sparkassen betrieben wurde und insbesondere als Konkurrenz zu PayPal gedacht war. Ende 2020 übernahm paydirekt auch den Bezahldienst giropay und trat ab 2021 dann als gemeinsamer Dienst unter diesem Namen auf.

Ich hatte paydirekt und später giropay etwa genutzt, um Einkäufe bei einigen Online-Shops zu bezahlen und Bahntickets zu kaufen, aber auch, um die Gebühr für meinen Bibliotheksausweis zu begleichen. Im September 2024 kam dann die E-Mail, die mir mitteilte, dass das Zahlverfahren zum 31. Dezember 2024 eingestellt wird. Nachfolger soll der europäische Bezahldienst Wero werden.

Mittlerweile ist fast ein Jahr seit der Einstellung des Dienstes vergangen und die paydirekt GmbH befindet sich seit Juni 2025 in Liquidation. Ich wollte wissen, was mit den Daten passiert ist, die im Rahmen meiner Nutzung angefallen sind, und habe daher eine Auskunftsanfrage nach der DSGVO gestellt.

Die Antwort kam ein paar Wochen später per Post. Sie wiegt stolze 362 g und wirkt auf den ersten Blick mehr wie ein Buch als ein Brief. Schlummern die paydirekt-Daten also noch auf irgendeinem Server im Büro der Liquidatorin? Ganz im Gegenteil! Die Antwort ist eindeutig:

Gerne bestätigen wir Ihnen, dass die paydirekt GmbH keinerlei personenbezogene Daten von Ihnen […] verarbeitet. Sämtliche gespeicherten Transaktions- und Kundendaten wurden im Rahmen der Liquidation der paydirekt GmbH mit der Unterstützung der Senacor Technologies AG (durch deren Dienstleister noris network GmbH) vollständig und datenschutzkonform gelöscht (einschließlich Sicherungskopien und Backups). […]

Dies gilt gleichermaßen für den Bezahldienst Giropay (ehem.). Auch insofern wurden die Sie betreffenden personenbezogenen Daten vollständig und datenschutzkonform gelöscht.

Warum also der dicke Brief, wenn gar keine Daten mehr vorhanden sind? Damit ich ihnen das glaube, wurden direkt noch zwei Löschprotokolle und -zertifikate angehängt. In diesen bestätigt die noris network AG die Löschung von insgesamt 72 SSDs am 28. April 2025 mit dreifachem Überschreiben.

Dass nun tatsächlich alle Daten nachweislich gelöscht wurden, ist erfreulich. Denn aus Datenschutzperspektive standen paydirekt und giropay in der Kritik. Wurden beim „alten“ giropay zunächst nur minimale für die Zahlung nötige Daten (IBAN, BIC, Kontoinhaber_in und Transaktionsnummer) verarbeitet, sammelten paydirekt (und auch das „neue“ giropay) deutlich mehr Daten, darunter auch Transaktionsdaten inklusive Informationen über die konkret gekauften Artikel und die Lieferadresse. Die Datenschutzorganisation noyb sah hierin einen Verstoß gegen die DSGVO und legte 2022 Beschwerde ein.

Als ich 2021 schon einmal eine Auskunftsanfrage an paydirekt stellte, konnte ich die kritisierte Datenmenge auch bei mir feststellen. Neben Stammdaten (Name, Geburtsdatum, E-Mail, Telefonnummer, Bankdaten) und Accountaktivitäten enthielt die Antwort auch eine Übersicht über alle „E-Commerce-Vorgänge“, die ich seit meiner Registrierung 2019 bei paydirekt getätigt hatte.

Hier fanden sich tatsächlich umfassende Informationen zu den Bestellungen, die ich getätigt habe. So wurde immer die Lieferadresse und teils auch eine Aufschlüsselung über die Warenkorbartikel sowie deren Preise gespeichert.