.

Rundschreiben Nr. 25/2020
Einsatzmöglichkeiten von PayPal bei kirchlichen Körperschaften der EKvW

Vom 2. Juli 2020

#
Mit diesem Rundschreiben möchten wir Sie auf die Einsatzmöglichkeiten von PayPal als Dienstleister aufmerksam machen.
Historie
In der Vergangenheit wurde die Verwendung des Bezahldienstes PayPal im kirchlichen Haushaltswesen kritisch eingestuft. Dabei waren zwei Argumente führend, die heute anders eingeschätzt werden. Zum einen wurde bemängelt, dass bei Spenden unterschiedliche Gebühren fällig wurden, die Spenden in der Ausweisung schmälern konnten. Hier ist es inzwischen aber so, dass Zuwendungsbescheinigungen an den Spender von zahlreichen Finanzämtern über den vollen Spendenbetrag akzeptiert werden. Zum anderen schienen die Server und der Anbieter mit ihrem Standort in den USA nicht datenschutzkonform arbeiten zu können. Soweit die Vergangenheit.
Aktuell
Die Bezahlung mit PayPal wird für immer mehr Bundesbürger selbstverständlich: sei es beim Einkauf bei Internetbörsen, der Bestellung beim örtlichen Pizzadienst oder eben bei Spenden im Non-Profit-Bereich. Aktuell wird PayPal von 23 Millionen Kunden in Deutschland benutzt. Auch kommt PayPal vermehrt in anderen Landeskirchen zum Einsatz und es stellt sich die Frage – können sich die EKvW und ihre Körperschaften demgegenüber weiter verschließen oder bieten sich hier nicht vielleicht neue Möglichkeiten der Spendeneinnahmen? Wir haben unsere Haltung deshalb überdacht.
Datenschutz
Die Benutzung der Plattform PayPal wurde zwischenzeitlich vollumfänglich vom Datenschutzbeauftragten der EKD bewertet. Dort kommt man zu der Einschätzung, dass hinsichtlich der einzelnen Funktionen von PayPal Folgendes gilt:
Die „Geld anfordern“-Funktion stellt eine elektronische Rechnung mit der Möglichkeit der sofortigen Bezahlung dar. Die Funktion „Geld anfordern“ ist nicht datenschutzkonform umsetzbar. Denn beim „Geld anfordern“ müsste ein Dritter mit der kirchlichen Stelle in Kontakt treten und nach einer kostenpflichtigen Leistung verlangen. Im nächsten Schritt würde die kirchliche Stelle diesem Dritten eine digitale Rechnung an seine PayPal-Adresse schicken. Die PayPal-Adresse ist immer die E-Mail-Adresse, mit der sich der Dritte bei PayPal angemeldet hat. Darüber hinaus ist eine Weitergabe (Offenlegung) der E-Mail-Adresse an PayPal nicht von der Erlaubnisnorm des § 9 Abs. 1 DSG-EKD1# gedeckt. Gem. § 9 Abs. 5 Satz 1 DSG-EKD2# darf PayPal als empfangende Stelle die von der kirchlichen Stelle offengelegten Daten nur für den Zweck nutzen, zu dessen Erfüllung sie übermittelt worden sind. Dies ist bei PayPal nicht der Fall, da der Dienstleister die Kunden- und Zahlungsdaten auch dazu nutzt, um gezielt Werbung zu schalten und Kundenprofile zu erstellen. Da es keine Rechtsgrundlage gibt, welche die Nutzung der „Geld anfordern“-Funktion gestattet, wären von allen betroffenen Personen Einwilligungen einzuholen.
Dieselben Überlegungen greifen auch für die „Geld senden“-Funktion, da hierbei ebenfalls die E-Mail-Adresse des Zahlungsempfängers von der kirchlichen Stelle an PayPal übermittelt wird. Die „Geld senden“-Funktion ist daher ebenfalls entbehrlich, da für Zahlungen kirchlicher Körperschaften andere Bezahlwege (Überweisung, in Sonderfällen Kreditkarten) zur Verfügung stehen.
Insoweit bleibt als sinnvolle und zugleich datenschutzkonforme gestaltbare Lösung nur die „Geld empfangen“-Funktion. Eine Einwilligung in die Datenspeicherung / Nutzung durch PayPal benötigt die verantwortliche kirchliche Stelle nicht, da die oder der Dritte den Weg über PayPal von sich aus und in Kenntnis der Datenschutzerklärungen von PayPal aktiv und freiwillig wählt, während die verantwortliche Stelle selbst keine personenbezogenen Daten gegenüber PayPal offenlegt. Damit ist die betroffene kirchliche Stelle für die Übermittlung der Daten an PayPal nicht verantwortlich. Diese Freiwilligkeit kann allerdings nur vorausgesetzt werden, solange der einzahlenden Person ein alternativer Zahlungsweg (Überweisung / Bankeinzug) zur Verfügung steht. Bei der Einbindung von PayPal in Online-Bezahlmöglichkeiten ist dafür zu sorgen.
Internes Kontrollsystem (IKS) / 4-Augen-Prinzip
Um beim Zugang verstärkt personenunabhängig zu sein und einem etwaigen Missbrauch vorzubeugen, empfehlen wir als Registrierungs-E-Mail-Adresse bei PayPal ausdrücklich die Einrichtung einer Funktions-E-Mail-Adresse (bspw. „spenden.kirchenkreis-muster@ekvw.de“). Sie ist vor der Anmeldung bei PayPal im eigenen E-Mail-System als Gruppenadresse mit Weiterleitung auf mindestens zwei Personen (bspw. Leiter der Finanzbuchhaltung und Verwaltungsleitender) einzurichten. Da die Registrierungs-E-Mail-Adresse auch in Mitteilungen von PayPal an die Einzahlenden erscheint, sollte in jedem Fall eine verständliche Benennung erfolgen, die den kirchlichen Hintergrund erkennen lässt. Die Maßnahme sorgt dafür, dass mindestens zwei Personen Kenntnis von Geldeingängen oder Veränderungen der Bankverbindungen (Empfänger) erhalten.
Auch bei der Einrichtung sollte darauf geachtet werden, dass das Passwort und der Kundenservice-PIN mindestens an zwei Personen auszuhändigen und an geeigneter Stelle zu hinterlegen und dokumentieren ist. Zudem empfehlen wir die regelmäßige Abrufung des aktuellen Guthabenbestandes / Kontostandes (bspw. wöchentlich durch Mitarbeitende der Finanzbuchhaltung).
Notwendig ist ebenfalls die Benennung einer einzelnen für das Konto verantwortlichen, natürlichen Person bei der Registrierung im PayPal-System (bspw. die Leitung der Finanzbuchhaltung). Die Benennung kann nicht durch die Angabe der Körperschaft ersetzt werden; sie sollte zudem durch einen Beschluss des zuständigen Leitungsorgans abgesichert sein.
Daneben sollten diese Spendeneingänge ausschließlich über ein zentrales Spendenkonto im Kirchenkreis (bspw. Buchungsprimus der KD-Bank) vereinnahmt werden; die Möglichkeit über die Einrichtung von Unterkonten für zugehörige Körperschaften besteht davon unbenommen. Durch die Verwendung des Spendenportals bei der KD-Bank ist zudem eine Eintragung des genauen Verwendungszweckes / Benennung des zu fördernden Projektes und somit Zuordnung möglich.
Zudem sei an dieser Stelle auf die Vorschriften des § 95 Abs. 2 VwO.d3# verwiesen: Zahlungsverkehr und Buchung dürfen nicht in einer Hand liegen, weshalb Mitarbeitende der Finanzbuchhaltung, die das PayPal-Konto verbuchen, nicht auch an Zahlungen mitwirken sollen (vgl. auch die weitergehenden Vorschriften des § 100 / 101 VwO.d4#).
Gebühren
PayPal erhebt keine monatlichen Gebühren, Einrichtungsgebühren oder Stornogebühren für gemeinnützige Organisationen. Gleichwohl wird von jeder Spende eine Transaktionsgebühr in Höhe von derzeit 1,5 % der Spende sowie einer sog. „Festgebühr“ von 0,35 € je Transaktion erhoben. Wir empfehlen daher auch auf den Internetseiten der kirchlichen Körperschaften darauf hinzuweisen und zusätzlich den alternativen Spendenweg über ein herkömmliches Konto anzugeben.
Auch möchten wir darauf hinweisen, dass selbstverständlich der Grundsatz der „Bruttoveranschlagung“ gilt: buchungstechnisch ist der Aufwand der Gebühren („Nebenkosten des Geldverkehrs“) mit aufzunehmen und darf nicht vorweg abgezogen werden – siehe sog. „Bruttoprinzip“ (vgl. § 72 Abs. 1 VwO.d5#).
Handelsregisterauszug nicht notwendig
Die Erfahrungen aus anderen Landeskirchen zeigen, dass bei der Registrierung eines Geschäftskontos bei PayPal üblicherweise nach einem Handelsregisterauszug gefragt wird. Für Körperschaften des öffentlichen Rechts ist dieses selbstverständlich nicht notwendig und sollte auch entsprechend angezeigt werden. Alternativ besteht die Möglichkeit, einen Freistellungsbescheid für Kapitalerträge (vgl. § 44 a Abs. 4 EstG) als Nachweis des Körperschaftsstatus einzureichen.
Zusammenfassend ist der Einsatz von PayPal ähnlich der einer Kreditkarte zu werten. Ein vorsätzlicher Missbrauch kann nie völlig ausgeschlossen werden. Mit den hier beschriebenen Maßnahmen sollte eine kontrollierte Handhabung aber möglich sein. Durch transparente Darstellung der Spendenwege und ggf. anfallender Gebühren über die unterschiedlichen Medien der kirchlichen Körperschaften dürfte sich der Spender zudem ausreichend informiert sehen.

#
1 ↑ Nr. 850.
#
2 ↑ Nr. 850.
#
3 ↑ Nr. 800-d.
#
4 ↑ Nr. 800-d.
#
5 ↑ Nr. 800-d.