Mobile Payment: Sicherheit oder Risiko durch Gesetz?

Fachbeitrag

Mobile Bezahlsysteme (Mobile Payment) werden in Zukunft wohl häufiger genutzt werden, da sie schnelles und einfaches Bezahlen ermöglichen. Die Anbieter mobiler Bezahlsysteme nehmen zu, der Handel möchte in diese Technologie mehr investieren und Konsumenten sind dafür bereit. Alle Beteiligten haben jedoch auch enorme Sicherheitsbedenken. Hilft hier der Gesetzgeber weiter?

Was ist Mobile Payment?

Durch Mobile Payment können Güter oder Dienstleistungen mithilfe eines mobilen Endgerätes bezahlt werden, wobei zwischen mobiler Nahzahlung am Point-of-Sale (sog. Proximity Payments) oder räumlich getrennter Zahlung (sog. Remote Payments) unterschieden werden kann.

Bei mobiler Nahzahlung des Kunden (Customer Enabled) kann der Kunde sein mobiles Endgerät aktiv nutzen (User-Initiated-Payments) oder auch nicht (Automatically-initiated Payments). Bei räumlich getrennter Zahlung kann der Kunde wählen, ob die Abrechnung über die Bank (Bank-based) oder etwa über seinen Telefonanbieter (Carrier-based) erfolgen soll.

Auch ein Händler kann sich für das mobile Bezahlen entscheiden (Merchant-based), indem er seinen Kunden entsprechende Hardware (Propierty hardware) oder entsprechende Software zur Verfügung stellt.

Wie funktioniert Mobile Payment und welche Anbieter gibt es?

Mobile Bezahlsysteme gibt es heutzutage bereits in vielfältiger Form und von unterschiedlichen Anbietern:

  • Vielen dürfte hier zunächst die klassische Möglichkeit zur Zahlung mittels TAN-Code-Verfahren einfallen, wie dies etwa von Aperto move oder mpass angeboten wird.
  • Auch Remote-Payment-Lösungen von PayPal, ZONG oder boku sind bekannt.
  • Barcode- bzw. QR-Code-Lösungen (LevelUp) kommen ebenfalls zum Einsatz, auch wenn sich zuletzt nicht jeder Anbieter behaupten konnte, wie etwa Yapital.
  • Über Beacon-Technologie (Digicash, PayPal) und insbesondere Near Field Communication (Google Wallet, MyWallet, mpass, PayPass von Mastercard, paywave von Visa oder girogo der Sparkassen) werden weitere Möglichkeiten ins Feld geführt.
  • Selbst P2P-Lösungen werden mittlerweile angeboten, auch wenn klassische Zahlungsauslösedienste wie etwa von SOFORT-Überweisung im Mobile-Payment-Markt noch dominieren.

Risiken mobiler Bezahlsystem

Die Risiken mobiler Bezahlsystem liegen häufig bei Manipulation und Missbrauch, wie etwa:

  • Angst vor Idenditätsdiebstahl
  • Phishing
  • Tracking
  • Erstellung von Kundenprofilen
  • Unbefugte Weitergabe von Daten an Dritte
  • Ausspähen von Daten
  • Datamining
  • Unerwünschte Werbung durch Kaufdaten

Daher wird Datenschutz und Datensicherheit gefordert.

Rechtlicher Rahmen

Der rechtliche Rahmen ist komplex und kann an dieser Stelle nur skizziert werden:

  • Allen voran das Datenschutzrecht ist zu beachten. Bei Zahlungstransaktionen werden personenbezogene Daten im Sinne des § 3 Abs. 1 BDSG übermittelt. Daran ändert grundsätzlich auch eine Verschlüsselung nichts. Zahlungs- und Kreditkartendaten gelten dabei als besonders schützenswerte personenbezogene Daten, wie etwa die Mitteilungspflicht im Falle des Datenverlusts nach § 42a BDSG zeigt. Demzufolge steht in diesem Zusammenhang auch insbesondere die Datensicherheit bzw. IT-Sicherheit im Vordergrund, die durch technische und organisatorische Maßnahmen gewährleistet sein muss (vgl. § 9 BDSG). Zahlungsdienstleister oder auch Händler müssen bei Einsatz mobiler Zahlungssysteme zudem zahlreiche weitere datenschutzrechtliche Vorschriften beachten, wie etwa Informationspflichten (§ 4 oder 6 c BDSG, § 13 TMG), damit Nutzer ihre Rechte wahrnehmen können. Datenschutzbeauftragte und die zuständigen Aufsichtsbehörden stellen sicher, dass datenschutzrechtliche Vorgaben eingehalten werden.
  • Das Telekommunikationsgesetz stellt darüber hinaus etwa über § 100 TKG sicher, dass Daten zur Störungsbeseitigung und Missbrauchsbekämpfung genutzt werden können.
  • Sicherheit und Kontrolle soll gleichzeitig dadurch gewährleistet werden, dass insbesondere auch im Bereich des Mobile Payments Erlaubnispflichten und aufsichtsrechtliche Kontroll- und Sicherheitsmaßnahmen schützen sollen. Dies soll beispielsweise das Gesetz über die Beaufsichtigung von Zahlungsdiensten (ZAG) gewährleisten. Die Bundesanstalt für Finanzdienstleistungsaufsicht hat mit Rundschreiben vom 05.05.2015 Mindestanforderungen an die Sicherheit von Internetzahlungen (MaSI) veröffentlicht. Auch die Europäische Bankenaufsichtsbehörde hat zur Vorbereitung der Zahlungsdiensterichtlinie II am 09.12.2014 Leitlinien zur Sicherheit von Internetzahlungen bekanntgegeben (EBA Guidelines on the security of internet payments).

Gesetzgeber und Aufsichtsbehörden bemühen sich also gemeinsam darum, ein verlässliches Schutzniveau herzustellen. Gleichwohl ist die Sorge und Skepsis groß, wie auch das Interesse an mobilen Bezahlsystemen.

Empfehlung

Wichtig ist, dass Nutzer vorallem vorsichtig sind. Darauf zu achten, wer was wann und bei welcher Gelegenheit weiß, ist heutzutage besonders wichtig – Vorsicht ist also die Devise.

Händler und Anbieter von Mobile-Payment-Lösungen sollten darauf achten, dass sie in Fragen rund um den Datenschutz und die Datensicherheit kompetent unterstützt werden. Nur dadurch ist gewährleistet, dass sie den mitunter komplexen rechtlichen Anforderungen genügen und nachhaltig auf das Vertrauen ihrer Kunden setzen können.

Sie haben Fragen?

Unsere Berater helfen Ihnen dabei, den Umgang mit personenbezogenen Daten in Ihrem Unternehmen rechtssicher und praxisgerecht zu gestalten. Dabei unterstützen wir Sie u.a. bei folgenden Themen:

  • Aufbau, Optimierung und Überprüfung der IT-Sicherheit nach anerkannten Standards
  • Vorbereitung auf eine Zertifizierung nach ISO 27001 oder IT-Grundschutz
  • Stellung von externen IT-Sicherheitsbeauftragten

Informieren Sie sich hier über unser Leistungsspektrum: IT-Sicherheit

Hinterlassen Sie einen Kommentar

Die von Ihnen verfassten Kommentare erscheinen nicht sofort, sondern erst nach Prüfung und Freigabe durch unseren Administrator. Bitte beachten Sie auch unsere Nutzungsbedingungen und unsere Datenschutzerklärung.