Der Bezahlvorgang soll immer unkomplizierter und schneller gestaltet werden. Aus diesem Grund sind Geschäfte, die eine Kartenzahlung akzeptieren, seit mehreren Jahren mit Geräten ausgestattet, die eine kontaktlose Bezahlung ermöglichen. An diesen kann eine Zahlung sowohl mithilfe einer Bankkarte als auch eines Smartphones bzw. einer Smartwatch getätigt werden. Dieser Artikel befasst sich mit der Frage, ob Zahlungen mit Smartphones sicher getätigt werden können.
Technische Anforderungen
Nicht jedes Gerät ermöglicht eine kontaktlose Bezahlung. Das Smartphone muss über ein sog. NFC-Chip („Near Field Communication“) verfügen. Dieser gehört heutzutage jedoch zur Standardausstattung moderner Geräte.
Darüber hinaus ist eine für Zahlungen geeignete App erforderlich. Diese wird von Banken als auch von Drittanbietern zur Verfügung gestellt. Um die Zahlung durchzuführen, muss sich das – durch den Fingerabdruck, die Gesichtserkennung oder einen Code – entsperrte mobile Gerät wenige Zentimeter vom aktivierten Kassenterminal befinden.
Zahlung mit der Bank-App
Lädt der Kontoinhaber die App der eigenen Bank herunter, bestehen grundsätzlich zwei Möglichkeiten bei der Gestaltung der Zahlungen:
- Die Kreditkartendaten werden in der Bezahl-App hinterlegt. In diesem Fall funktioniert das Smartphone wie eine Kreditkarte.
- Die Daten des Girokontos werden in der App abgespeichert und die anfallenden Beträge unmittelbar vom Konto abgebucht.
Bei der Transaktion wird die Kreditkartennummer nicht verwendet, übertragen wird ausschließlich ein sog. Token, also ein Platzhalter für die Kreditkartennummer. Mit diesem überprüfen die im Hintergrund arbeitenden Transaktionsdienstleister (z.B. Visa), welches Bankinstitut beziehungsweise welche Kreditkarte mit dem jeweiligen Betrag belastet werden soll. Somit werden die echten Zahlungsdaten ausschließlich durch den Transaktionsdienstleister und die Bank des Kontoinhabers gesehen. Anders als bei einer Kartenzahlung hat weder der Terminal-Dienstleister noch der Händler vor Ort Zugang zu den Zahlungsdaten des Käufers.
Apps von Drittanbietern
Auch Konzerne wie Apple oder Google ermöglichen kontaktlose Zahlungen. Bei dem Einsatz derer Dienste ist jedoch zu beachten, dass diese in der Regel ein großes Interesse an der Speicherung der Userdaten, insbesondere derer Metadaten, haben. Wie die Datenverarbeitungen ausgestaltet sind, ergibt sich regelmäßig aus der Datenschutzerklärung des jeweiligen Anbieters.
Google informiert beispielsweise darüber, dass das erstellte Zahlungsprofil mit dem Google-Account verknüpft wird. Die erhobenen Daten werden ebenfalls den Tochtergesellschaften zur Verfügung gestellt, die die Daten „für ihre Standardgeschäftszwecke“ verwenden. Hierbei ist sowohl eine Kreditwürdigkeitsprüfung als auch eine Werbung zu verstehen. Sofern sich ein Benutzer keine Übermittlung wünscht, ist seinerseits ein aktives Handeln in Form eines Widerspruchs erforderlich.
Darüber hinaus weist Google auf Folgendes hin:
„Neben der in der Datenschutzerklärung von Google erläuterten Nutzung verwenden wir die Informationen, die du uns, Google Payment Corp. (GPC) oder einer unserer anderen Tochtergesellschaften bereitgestellt hast, sowie die personenbezogenen Daten, die wir von Drittanbietern erhalten, zu folgenden Zwecken: (…) Drittanbieter bei der Bereitstellung von Produkten oder Diensten unterstützen, die du bei diesen Anbietern angefordert hast.“
Wie genau diese Unterstützung zu verstehen ist, wird von dem Anbieter nicht näher erläutert.
Auch Apple Pay verarbeitet weitere für die Durchführung der Zahlung nicht zwingend erforderlichen Daten, u.a. Informationen über Geräteeinstellungen. Die Datenverarbeitung erfolgt jedoch gemäß Angabe des Anbieters ausschließlich zur Erhöhung der Transaktionssicherheit. Ferner kann zwecks Betrugsverhinderung ein Gerätenutzungsmuster, d.h. prozentuale Zeit, in der das Gerät in Bewegung ist, sowie eine ungefähre Anzahl von Anrufen pro Woche, ausgewertet werden. Sofern die betroffene Person zustimmt, werden ebenfalls die Standortdaten verarbeitet.
Schutzmaßnahmen
Obwohl bei den NFC-Zahlungen diverse Schutzmaßnahmen durch die Anbieter eingebunden werden, können Nutzer weitere Maßnahmen ergreifen, um das Schutzniveau zu erhöhen.
Regelmäßig stellen Zahlungsdienstleister Leitfaden mit Verhaltenstipp für den Falls eines Verlustes von Zahlungsmitteln zur Verfügung. Es ist ratsam, dass Nutzer diese bereits vor der ersten Verwendung zur Kenntnis nehmen.
Ferner ist es empfehlenswert, nicht nur das mobile Gerät, sondern ebenfalls die Zahlungs-App mit einem PIN, Fingerabdruck oder einer Face-ID zu schützen, um das Risiko einer unerwünschten Zahlung bzw. eines Diebstahls zu minimieren. Somit wird selbst bei abhandengekommenen Geräten kein Dritter über die Möglichkeit verfügen, die Zahlungsmethode zu verwenden.
Schließlich ist es ratsam, die Datenschutzhinweise des Anbieters zur Kenntnis zu nehmen und – sofern möglich – datenschutzsparsame Einstellungen auszuwählen.
Sofern der App-Anbieter eine Benachrichtigung über jede Transaktion ermöglicht, ist die Einschaltung dieser Funktion empfehlenswert, da diese eine schnelle Handlung im Falle unautorisierter Zahlungen ermöglicht.
Fazit
Die NFC-Zahlungen mithilfe mobiler Geräte sind aufgrund eingesetzter Technologien insbesondere der Tokenisierung als sicher einzustufen. Teilweise werden hierbei sogar weniger Daten als bei einer Kartenzahlung verarbeitet. Dennoch ist es empfehlenswert, geeignete App-Einstellungen zwecks Erhöhung des Sicherheitsniveau auszuwählen. Zudem ist im Kontext des Datenschutzes entscheidend, welche App verwendet wird. Nähere Informationen zur Datenverarbeitung sind grundsätzlich den Datenschutzhinweisen des Anbieters zu entnehmen.
27. März 2025 @ 16:09
Reden wir doch mal Klartext: Weder bei Apple-Pay noch bei Google-Pay gibt es „geeignete App-Einstellungen zwecks Erhöhung des Sicherheitsniveaus“ ((habe ein „s“ gekauft)). Bei beiden Herstellern steckt die Datensammlung so tief in der Grundfunktion der App, dass man der Spionage nicht entkommen kann – außer man meidet diese Apps weiträumig. Vermutlich verstoßen beide auch gegen die DSGVO, aber das mögen die Juristen klären. Es wird Zeit, dass mal jemand klagt – Max Schrems (noyb)?
31. März 2025 @ 9:00
Vielen Dank für Ihren Kommentar.
Es trifft zu, dass viele Drittanbieter nicht nur die zwingend für die Zahlung erforderlichen Daten verarbeiten. Aus diesem Grund ist es ratsam, vor der Nutzung der App die Datenschutzhinweise des Anbieters zur Kenntnis zu nehmen. In der Regel sind die Apps der Bankinstitute datensparsamer.