Mobiles Zahlen mit dem Handy – hot or not?

Fachbeitrag

Kontaktloses Zahlen geht nicht nur mit der Kreditkarte: Auch mit der passenden App oder Smartwatch kann man mittlerweile bezahlen. Praktisch, wenn man vom Sport kommt oder sonst besonders leicht unterwegs sein will, z.B. am Festivalgelände. Bleiben dafür Sicherheit und Datenschutz auf der Strecke?

Zögerliches Klientel trotz technischer Sicherheit

Drei von fünf deutschen Nutzern sehen beim Zahlen mit dem Handy laut Bitkom-Umfrage die Gefahr, dass Hacker auf ihr Konto zugreifen könnten.

Dabei ist Mobile Payment technisch gesehen eigentlich ein alter Hut: Die ursprünglichen Chipspezifikationen des EMV-Standards sind schon 20 Jahre alt. Man hatte also genügend Zeit, auf größere und kleinere Probleme wie das „2010-Problem“ einzugehen und mögliche Angriffspunkte abzusichern. Dennoch: Viele Nutzer halten Mobile Payment für riskant. Fragt man nach dem Grund, wird meist die beim kontaktlosen Zahlen zum Einsatz kommende Nahfunkübertragung (NFC = Near Field Communication) genannt. Mit einem kleinen Karten-Terminal durch eine Menschenmenge laufen, nah genug an die Taschen halten und mal eben von allen, bei denen die NFC-Funktion der Bankkarte nicht deaktiviert ist, 24,99 Euro abgreifen? Technisch ist das möglich, in der Praxis verwirrt schon eine weitere Karte mit NFC-Funktion (z.B. der neue Personalausweis) im Portemonnaie einfache Empfangsgeräte.

Geringere Datenspur dank Tokenisierung

Bezahl-Apps und Smartphones sind im Vergleich sogar sicherer, da entweder der Bildschirm des Geräts angeschaltet sein muss oder aber die Zahlfunktion erst nach Fingerabdruck oder PIN-Eingabe freigeschaltet wird. Die echten Kartendaten werden nicht übertragen, sondern nur ein sog. Token und ein Kryptoschlüssel. Die Händlerbank sendet beides an das jeweilige Zahlungsnetzwerk (z.B. Visa), welche das Token für die Bank des Kunden in die echte Kartennummer „übersetzt“. Die echten Zahlungsdaten sehen also nur das Zahlungsnetzwerk und die eigene Bank, nicht aber der Terminal-Dienstleister oder der Händler.

Nutzt man also die App der eigenen Bank, ist die Datenspur daher nicht größer als beim herkömmlichen Einsatz der Bankkarte. Man gibt sogar weniger über sich Preis, da die Terminal-Dienstleister und Händler keine „brauchbaren“ Daten bekommen.

Nutzt man Apps von Drittanbietern sieht dies schon anders aus. Natürlich kann bei bargeldlosem Zahlungsverkehr zumindest die eigene Bank immer nachvollziehen, wer wann was und wo gekauft hat. Nutzt man Drittanbieter hat dieser ebenfalls zwangsläufig Zugriff auf die entsprechenden Daten. Dabei interessant sind für „Datensammler“ weniger die reinen Zahlungsinformationen, sondern das „drumherum“, die Metadaten.

Google Pay in Deutschland

Google Pay ist Ende Juni in Deutschland gestartet. Google ist als Datenkrake verschrien und gibt sich daher Mühe, die Datensicherheit und den sparsamen Umgang mit personenbezogenen Daten bei Google Pay zu betonen. Der Dienst nutzt die oben beschriebene „Tokenisierung“: Die Kreditkartendaten werden nicht an das Zahlungsterminal und nicht an den Händler übermittelt. Stattdessen wird ein Token erstellt, der nur einmalig gültig ist und mit dem die Zahlung verifiziert wird.

Die Umstände jeder Transaktion werden natürlich von Google erfasst, aber – derzeit – nicht zu Werbezwecken genutzt:

„Hierzu zählen: Datum, Uhrzeit und Betrag der Transaktion, Händlerstandort und -beschreibung, eine vom Verkäufer bereitgestellte Beschreibung der gekauften Waren oder Dienste, Fotos, die Sie der Transaktion beigefügt haben, der Name und die E-Mail-Adresse des Verkäufers und Käufers bzw. des Absenders und Empfängers, die verwendete Zahlungsmethode, Ihre Beschreibung für den Grund der Transaktion sowie gegebenenfalls das mit der Transaktion verbundene Angebot.“

Eigenen Angaben zufolge liegen die Kartendaten verschlüsselt auf sicheren Servern und die anfallende Nutzerdaten werden nur im Rahmen der Bereitstellung des Dienstes genutzt: Für die Verifizierung der Zahlung, für die Rechnungserstellung und die Anzeige der Käufe in der App. Dies ist in Bezug auf die Transaktionsdaten so auch der Datenschutzerklärung für Google Pay zu entnehmen.

Dass Google mit Geltung der DSGVO nun zum Datenschützer mutiert ist, glaubt allerdings auch keiner.

Google will meine Daten nicht? Doch!

Sieht man genauer hin, findet man in der Datenschutzerklärung zu Google Pay interessante Informationen:

„Neben der in der Datenschutzerklärung von Google erläuterten Nutzung verwenden wir die Informationen, die Sie uns, GPC [Google Payment Corp.] oder einer unserer anderen Tochtergesellschaften bereitgestellt haben, sowie die personenbezogenen Daten, die wir von Drittanbietern erhalten, um Ihnen Google Payments-Dienste bereitzustellen und Sie vor Betrug, Phishing oder anderen Verstößen zu schützen. Diese Informationen können auch zur Unterstützung von Drittanbietern bei der Bereitstellung von Produkten oder Diensten genutzt werden, die Sie bei diesen Anbietern angefordert haben.“

Was diese „Unterstützung“ genau beinhaltet, bleibt offen.

Google erklärt zudem ausdrücklich, dass Hintergrundinformationen über einzelne Nutzer hinzugekauft werden können, einschließlich sogenannte „consumer reports“ gemäß US Fair Credit Reporting Act. Liest man weiter wird es noch eindeutiger:

„Die von uns erhobenen Daten, einschließlich der von Drittanbietern eingeholten Informationen, stehen auch unseren Tochtergesellschaften zur Verfügung. Diese Unternehmen befinden sich im Besitz und unter der Kontrolle von Google LLC. Unsere Tochtergesellschaften, bei denen es sich um Finanz- und Nicht-Finanzunternehmen handeln kann, verwenden derartige Informationen für ihre Standardgeschäftszwecke.“

Es werden also Daten zur Kreditwürdigkeit zwischen einzelnen Google-Unternehmen ausgetauscht. Auch werden sonstige Daten, die Google zur Absicherung des Bezahldienstes eingekauft hat, genutzt, um Werbung für Google Produkte zu machen. Immerhin gibt es hier eine Widerspruchsmöglichkeit. Zitat:

„Sie haben das Recht, der Weitergabe bestimmter Informationen von GPC an Tochtergesellschaften zu widersprechen. Insbesondere haben Sie die Möglichkeit,

  • dem Austausch von Informationen über Ihre Kreditwürdigkeit zwischen GPC und seinen Tochtergesellschaften zu Standardgeschäftszwecken zu widersprechen und/oder
  • abzulehnen, dass unsere Tochtergesellschaften Sie als Kunde für ihre Produkte oder Dienste zu werben versuchen, wenn dies auf der Grundlage der von uns erhobenen und weitergegebenen Daten zu Ihrer Person geschieht. Zu diesen Daten gehört auch Ihr Kontoverlauf bei uns.“

Google erhält damit bereits jetzt reichlich wertvolle Informationen über seine Payment-Nutzer. Bleibt abzuwarten, ob die Einwilligung in die Nutzung der Transaktionsdaten zur Ergänzung des oben beschriebenen Portfolios nicht doch in naher Zukunft folgt.

Sparfuchs-Profile bei Payback Pay

Dass nicht die eigentlichen Zahlungsdaten, sondern die Umstände von Transaktionen das eigentlich spannende sind, zeigt sich deutlich am Beispiel des bereits seit 2016 auf dem deutschen Markt befindlichen Payback Pay.

Nutzer können bei allen Payback Partnern mit dem Smartphone bezahlen. Payback Pay arbeitet dabei hauptsächlich mit QR-Codes: An der Kasse die Payback-App starten, auf das „Bezahlen“-Icon tippen und das Handy aufs Kassenterminal legen. Die Kamera des Terminals liest dann den QR-Code aus, über den die Zahlung verifiziert wird.

Um Payback Pay nutzen zu können, muss man natürlich registriert sein. Im Rahmen der Registrierung wird dann nach einer Einwilligung in die Nutzung der gesammelten Daten zu Werbe- und Marktforschungszwecken gefragt. Dabei möchte Payback die Transaktionsdaten des Nutzers (Zahlbetrag, einschließlich Währung; Ort, einschließlich Name und ggf. Filiale des Partnerunternehmens sowie Identifikationsnummer der Kasse oder des Zahlungsterminals; Zeitpunkt des Vorgangs) sowie dessen Zahlungs- und Konsumverhalten auswerten.

Aus der Kombination von Anschrift (für Rückschlüsse auf die Kaufkraft) sowie Zahlungs- und Konsumverhalten lässt sich ein ausgefeiltes Kundenprofil erstellen. Das Konsumverhalten lässt Rückschlüsse auf Wirtschaftliche Situation, Gesundheit, Persönliche Vorlieben und Interessen, Bonität, allgemein Verhaltensweisen und Aufenthaltsort zu.

Bequemlichkeit vs. Privatsphäre

Dennoch ist Payback Pay aktuell der am meisten genutzte Mobile Payment Anbieter in Deutschland. Daten gegen Rabatt funktioniert in Deutschland. 20% auf Superfood, nach persönlichen Vorlieben ausgesucht. Rezepte dazu? So geht Kundenbindung. Aber auch Kundenmanipulation. Darüber sollten sich die Nutzer im Klaren sein.

Wer Bezahldienste wie Payback Pay, Google Pay & Co. nutzt, gibt wertvolle Informationen über sich preis. Welchem Anbieter man dabei vertraut, muss jeder selbst entscheiden. Ist es cool, einfach die Smartwatch zum Bezahlen ans Terminal zu halten und fertig? Ja, schon. Ist es cool, wenn Dein Nutzerprofil darüber entscheidet, ob Du eine Wohnung oder einen Kredit bekommst? Nein. Heißt es letztlich: Bequemlichkeit oder Privatsphäre?

intersoft consulting services AG

Als Experten für Datenschutz, IT-Sicherheit und IT-Forensik beraten wir deutschlandweit Unternehmen. Informieren Sie sich hier über unser Leistungsspektrum:

Marketing / Werbung

Hinterlassen Sie einen Kommentar

Die von Ihnen verfassten Kommentare erscheinen nicht sofort, sondern erst nach Prüfung und Freigabe durch unseren Administrator. Bitte beachten Sie auch unsere Nutzungsbedingungen und unsere Datenschutzerklärung.