Antwort
Naja ohne Passwort kann er zunächst zumindest keinen Schaden an deinem Konto anrichten, nein. Zudem fragt Paypal beim Login sowieso eine Handynummer ab und diese zu hinterlegen ist ja mittlerweile Pflicht, weshalb ihm sowieso kein Zugang gewährt wird, selbst wenn er das Passwort haben würde.
Was er sonst so mit der Emailadresse anstellen kann? In Newsletter eintragen, an dubiose Unternehmen verkaufen die dir dann noch dubiosere Werbemails schicken, solchen Blödsinn halt. Oder gezielt gucken ob er in den Emailaccount reinkommt - ich empfehle zumindest auch hier eine Zwei-Faktor-Authentifizierung einzurichten damit du auch dort abgesichert bist.