Das neue PayPal -> Datenpetze?

Kann mir bitte mal von @shopware jemand erklären, warum 1) permanent für jeden Seitenaufruf scripte von PayPal direkt eingebunden werden, und 2) für jeden Seitenaufruf Daten zur Webseite an PayPal übertragen werden?
Neben der Einbindung vom “kostenlos rücksende banner” über Tracking-Schnüffel-CDN ein weiterer Punkt, wo ich sage: Dieses PayPal-BugIn dürfte wohl von vorne bis hinten nicht mit der DSGVO vereinbar sein.

Im issue-tracker berichtet ja schon einer, dass alleine das Plugin für 20 Punkte Abstrafung bei Pagespeed sorgt.

Hier mal was aus dem Header der Startseite - ohne Banner, Button oder Artikel im Warenkorb:

Tja - was nützt ein Shopsystem ohne Zahlungsplugins? AMAZON: Unbrauchbar - PayPal: geht gar nicht - Shopware-Ende bei 5.4.6?

Würde gerne mal wissen, warum das neue Plugin jeden Seitenaufruf vom Shop nach PayPal verpetzt? Was muss zu diesem BugIn noch extra in die Datenschutzerklärung? Was hat es mit dem " tagmanager" auf sich?

Edit: Kein Wunder, dass ein Testkauf via Sandbox schon nach dem Klick auf Express-Button scheitert, wenn “uBlock origin” per default die PayPal-Scripte blockt :frowning:

Edit2: In die Logs von uBlock geguckt: Es wird genau/nur die pptm.js geblockt

Wir können das gerne mal an unseren Ansprechpartner von Paypal zurück spielen. Letztendlich macht Paypal hier die Vorgaben, an welchen Stellen, was genau eingebunden werden soll. Welchen Zweck das Javascript nun hat - keine Ahnung. Das müsste ein Entwickler beantworten. Aber generell ist einiges an Javascript von Paypal für die Zahlung selbst notwendig. Mehr wird die da spontan auch keiner zu sagen können. Das mit dem Pagespeed schauen wir uns natürlich an - ist ja auch erst gerade reingekommen das Ticket.

Da du aber ohnehin Daten aus deinem Shop an Paypal überträgst (bspw. die Adresse des Kunden) müsstest du die ja ohnehin in deiner Datenschutzerklärung haben.

Ja, die Daten übertrage ich, wenn Kunde PayPal als Zahlungsart auswählt - sei es erst im Checkout oder per ehemals „Express-Button“. Dann ist das ja OK
Aber obige scripte werden ja PERMANENT eingebunden, noch ehe Kunde sich für eine Zahlart entscheidet.

Übrigens: Für die Datenweitergabe an billpay obwohl noch gar nicht als Zahlart ausgewählt (Warenkorbtracking) hat sich ho*e24 vor ein paar Jahren ein Bußgeldverfahren eingefangen. (Da hab ich mich beim Landesdatenschutzbeauftragten des Landes Berlin über die Rocket-Bude beschwert : Registriert => BillPay => Schufa => Echtzeit Warenkorbtracking bei Billpay - obwohl ich ganz anders zahlen wollte)

Solange Kunde nicht PayPal wählt, hat Shop erstmal *NIX* an PayPal zu übertragen.

Zu „checkout.js“ kann man sich ja noch was positives denken - wobei man das auch lokal einbinden könnte!!! Aber was macht „tagmanager/pptm.js“ mit meiner Shopdomain?
Da erwarte ich schon noch eine Pluginbeschreibung zu, muss ich auch ggf. noch gesondert in der Datenschutzerklärung aufführen.
So ist das eine Blackbox, der der Shopbetreiber nicht trauen kann.

Und PayPal hat nix zu tracken, was den Shop angeht - da soll die Zahlung abgewickelt werden, und mehr nicht! Ansonsten gehört da ne fette Warnung in den Store und ins PlugIn

extern nachladende java skripte und andere ressourcen (z.B. fonts) sind immer wieder ein pagespeed thema oder können gar den shop abschiessen wenn diese nicht zur verfügung stehen - alles schon gesehen bei paypal, facebook und co.

Die Webfonts „open sans“ werden ja auch lokal ausgespielt und ab und an aktualisiert.
Wüsste nicht, warum dass mit der checkout.js nicht auch gehen sollte, aber an der störe ich mich ja auch nur bedingt.
Mehr habe ich ein Problem mit der zweiten JS… Was macht die? Wazu übermittelt die bei jedem Aufruf die Shopdomain?
Hier schnüffelt doch PayPal nicht den „Kunden“, sondern den Shopbetreiber für was auch immer aus…

Wie gesagt, kläre ich gerne, wird nur heute nix mehr. Generell bin ich da bei dir - Tracking/Cookies nur dann , wenn sie gebraucht werden. Wird sich aber heute und am Wochenende nicht klären.

 

1 Like

Erwartet ja auch keiner :slight_smile: Hab es nur heute ins Forum geworfen, weil 1) PayPal bei mir einfach nicht funktioniert (Fenster geht auf, Kreis kringelt, Fenster geht zu, im Log eine unvollständige Meldung) und mir 2) die Scripe aufgestossen sind :slight_smile:
Mit Dir rechne Ich ab nächste Woche wieder…   Wink

1 Like

Gut, dass das nicht nur mir aufgefallen ist. Wenn wir gerade dabei sind: Der “Express-Button” ist auch so eine Nettigkeit. Das Ding kommt in einem eigenen iframe, der alles Mögliche einbindet. Muss das wirklich sein? Kann das kein normaler Button sein, den man dann vielleicht noch mit CSS gestalten könnte!? (Nichts Aufwendiges, aber zumindest die Breite anpassen zu können, wäre schon mal was.)

PayPal teilt deine persönlichen Daten wie Name, Adresse, Telefon usw. usw mit über 600 weiteren Firmen. Jeder der einen PayPal Account hat, sollte sich dessen bewusst sein.

Die genaue Liste aller Firmen, mit welchen PayPal deine Daten teilt, findest du hier -> PayPal

Ich glaube da macht ein weiterer Schnüffler keinen Unterschied mehr :smiley:

Ihr habt echt keine anderen Probleme  Grin Lasst die doch Schnüffeln, das tun zig tausend andere große Konzerne doch auch. Viele verkaufen die gewonnenen Daten…ein gutes Geschäft was viele Millionen bringt. 

Tag der Schnallnixe :slight_smile: Lesen und verstehen worum es geht, überfordert hier wirklich einige.
Aber dann jammern se wieder alle rum, weil se na Abmahnung wegen Tracking ohne Optout im Shop haben… Ausser natürlich die ach soooo coooole Vitago GmbH mal wieder *GÄÄÄHN*
Und der christiantrade hat sicherlich auch die ganze Bude voller Alexa-Wanzen und Siri-Lauschdosen und und und… nur weil es Dir nichts ausmacht, abgehört und belauscht zu werden, muss das für Andere auch gelten. Eine Addblock-, Ghostery-, uBlock- Warnung im Shop ist mir persönlich halt schon eine zuviel.

Wüsste jetzt auch nicht, in wie weit die letzten beiden „Beiträge“ etwas zum Thema beisteuern… Sülze halt

2 Likes

@sonic schrieb:

Tag der Schnallnixe :) Lesen und verstehen worum es geht, überfordert hier wirklich einige.
Aber dann jammern se wieder alle rum, weil se na Abmahnung wegen Tracking ohne Optout im Shop haben… Ausser natürlich die ach soooo coooole Vitago GmbH mal wieder *GÄÄÄHN*
Und der christiantrade hat sicherlich auch die ganze Bude voller Alexa-Wanzen und Siri-Lauschdosen und und und… nur weil es Dir nichts ausmacht, abgehört und belauscht zu werden, muss das für Andere auch gelten. Eine Addblock-, Ghostery-, uBlock- Warnung im Shop ist mir persönlich halt schon eine zuviel.

So wie du auf Datenschutz pochst, kannst du nur ein “grüner” sein.  Sticking-out-tongue

Ich weiß schon worauf du hinauswillst, aber sollen jetzt allein in Deutschland Millionen Shops Paypal entfernen nur weil die Daten ausspionieren? Dann darfst du bei Ebay auch nichts mehr verkaufen, was glaubst du machen die mit deinen Daten und die deiner Kunden? Und Amazon? FB? und und und. Weißt du was deine Spedition mit all den Daten macht? 

Vorschlag: Du schreibst an alle 600 Firmen an die Paypal die Daten weitergeibt, und da die sicher auch Daten weitergeben, schreibst du die am besten auch noch alle an, irgendwann hast du alle durch und packst die in SW mit dem Hinweis an wem die Daten alle weitergegeben werden.  Grin Grin Grin

Würdest du und viele andere hier sich mehr damit beschäftigen wie man den Shop verbessern könnte, mehr Kunden anlocken um dem Umsatz zu steigern, würden so manchen die Abmahnungen am Ar… vorbeigehen. 

 

Vitago - ich habs nicht gelesen - Deine Sülze lese ich nicht mehr - aber hör einfach auf, Themen zu denen Du nichts zu sagen hast, voll zu sülzen. OK - dann werden wir von Dir wohl ausser vom „lahmen Lager am Arsch der Welt“ nichts mehr lesen - für mich jedenfalls kein Verlust.
Du gehst mit einfach nur noch auf den Sack.

@sonic schrieb:

Vitago - ich habs nicht gelesen - Deine Sülze lese ich nicht mehr - aber hör einfach auf, Themen zu denen Du nichts zu sagen hast, voll zu sülzen. OK - dann werden wir von Dir wohl ausser vom “lahmen Lager am Arsch der Welt” nichts mehr lesen - für mich jedenfalls kein Verlust.
Du gehst mit einfach nur noch auf den Sack.

Und du bist der Mister Oberschlau der zu allem und jeden was zu mekern hat. Wie wäre es mal wenn du dich mal um dein Unternehmen kümmerst als dich über alles aufzuregen…deine Beiträge sagen ja viel über dich aus, vermute mal so ein grüner Aktivist…Die dich als Nachbarn haben, haben vermutlich die Hölle auf Erden und tun mir echt Leid. 

Anfeindungen könnt ihr beide gerne per PM klären, hat hier nichts zu suchen. Manchmal sagt man auch mehr, indem man einfach mal nichts sagt. 

Daher für heute mal dicht hier. Melde mich morgen aber nochmal Themenbezogen und mache den wieder auf :wink:

Hallo,

ich habe dazu einmal mit einem Entwickler gesprochen. Das Plugin selbst erzeugt keinerlei Cookies, diese werden alle über das Javascript von Paypal erzeugt (gleiches gilt für dieses Tracking). Wir geben das nun einmal an unseren Paypal-Ansprechpartner weiter und dieser soll sich dazu äußern. 

Die Cookies werden aufgrund des Express-Checkouts gesetzt. Wenn ich den deaktiviere, wird garkein Cookie mehr gesetzt. Hintergrund ist wohl hier, dass der Express-Button im Off-Canvas eingebunden wird und der auf jeder Seite geladen wird. Wir schauen mal, ob man das noch granularer definieren kann. Der Express-Checkout ist ein Iframe (Anforderung Paypal) und da werden wohl auf Paypal-Seite Cookies gesetzt bei Aufruf. Wenn ich den komplett deaktiviere, hab ich nur die typischen Shopware-Cookies.

Sobald wir da eine Antwort haben, melde ich mich wieder :slight_smile:

Moritz

2 Likes

Vielleicht kann man PayPal auch noch überzeugen, dass der Button eben nicht als iframe mitkommt. Das ist so eine Kanonen -> Spatzen Situation.

Ähnliches gilt übrigens für das Banner (Kostenlose Retouren) in der Seitenleiste. Das Bild ist total unoptimiert und setzt meines Wissens auch ungefragt Daten in einem Doubleclick-Cookie. Sollte sich das nicht ändern, deaktiviere ich den Spaß. Es soll ja eigentlich nur der Info an den Kunden dienen und nicht als Datenschleuder fungieren.

Muss ich denn das neue Plugin verwenden, wenn ich auf 5.5.1 updaten will? Oder funktioniert es auch mit dem alten?

Ich brauche keinen PayPal-Express-Button, kein PayPal Plus und kein PayPal-Ratenzahlung. Wenn ich alles im Plugin ausschalte und nur das “Basic-PayPal” nutze, erfolgen dann ebenfalls noch die ganzen Javascript-Aufrufe auf jeder Detailseite? Weiß das jemand?

Ich kann übrigens die Kritik von Sonic nachvollziehen. PayPal sollte zumindest die Option anbieten, die ganze Datensammlerei auszuschalten bzw. optional machen, Stichwort Datensparsamkeit. Ich hoffe inständig auf eine Lösung - da sonst ein Update auf 5.5.1 nicht möglich ist und Shopware bei 5.4.6 endet…

Der “Paypal-Button” wird per iframe in den Warenkorb eingebunden. Im Flyout nur, wenn ein Artikel im Warenkorb ist. Leider kann man derzeit den Button nicht gesondert für die Flyout-Cart einstellen. Stellst Du den Button für Warenkorb aus, wird er nicht eingebunden, und es ist an den Stellen “ruhig”. Was später so alles im Checkout passiert: keine Ahnung - soweit war ich noch nicht  Wink

Das iframe setzt auch Unmengen an Cookies - in einem Test z.B.: Artikelseite aufrufen, alle Cookies löschen und reload: Bei mir werden zunächst 5 Kekse von Shopware gesetzt. Lege einen Artikel in den Warnkorb. Das “ajax-nachladen” der Cart bindet nun den Paypal-Button ein - welcher dann schlanke 22 cookies gesetzt hat! Zeitweise hatte ich 33 Cookies gesetzt - 5 davon von Shopware. War allerdings “sandbox”. Ob das “Live” genau so ist… *Schulter zuck*

Zurück zur Frage: Wenn Du PayPal unter SW 5.5.x verwendet möchtest, musst Du das neue Verwenden. Das alte PayPal wird nicht weiter unterstützt - Verwendung auf eigene Gefahr. Du kannst aber den “Express-Button” für Warenkorb und Register-Seite deaktivieren.

1 Like

Ich seh schon. Im Zweifel muss man wohl selbst Hand anlegen, wenn man die Datenschleuder in den Griff bekommen möchte. Ich kann mir nicht vorstellen, dass der iframe absolut notwendig ist. Wird wohl eher wie beim „Facebook-Button“ sein.