„Ich zahl dann bitte mit meinem Handy“ – Ist kontaktloses Bezahlen mit dem Datenschutz vereinbar?

NFC

„Ich zahl dann bitte mit meinem Handy“. Diesen Satz dürften einige Kassierer/-innen in der letzten Zeit immer häufiger zu Ohren bekommen haben. Der Grund dafür sind die zunehmend verbreiteten Möglichkeiten des kontaktlosen Bezahlens. Dabei kann nicht nur mit der Kredit- oder EC-Karte, durch einfaches Dranhalten an ein Lesegerät, gezahlt werden, sondern auch ganz einfach via Smartphone oder Smartwatch. Ohne Frage, entstehen hierdurch zahlreiche Vorteile für den Nutzer, vor allem wenn man dadurch weniger unnötigen Ballast mit sich herumtragen muss und trotzdem jederzeit Einkäufe tätigen kann. Nichtsdestotrotz stellt sich hier jedoch die Frage, ob das kontaktlose Bezahlen nicht auch mehr Risiken mit sich bringt und insbesondere mit dem Datenschutz vereinbar ist. Geht hier etwa die Bequemlichkeit – auf Kosten unserer Sicherheit und des Datenschutzes – vor?

Ihr externer Datenschutzbeauftragter informiert Sie über die neue Funktion des kontaktlosen Bezahlens und erklärt, auf was Sie aus Datenschutzsicht achten sollten.

Near Field Communication – NFC

Die Technik, die ein kontaktloses Bezahlen ermöglicht, nennt sich Near Field Communication (kurz „NFC“), was letztendlich übersetzt für Nahfeld-Kommunikation steht. Bei NFC handelt es sich um eine Funk-Technologie, welche es ermöglicht Daten über kurze Strecken, ohne direkten Kontakt, zu übertragen. Die Übertragung selbst erfolgt dabei in zwei Richtungen:

  • Zum einen erfolgt die Übertragung von Daten an ein Lesegerät, welches die Daten ausliest und
  • zum anderen wird eine Rückübertragung der ausgelesenen Daten an das jeweilige Übermittlungsmittel (z. B. App, Bankkarte) zurückgesendet.

Bezahlen mit NFC-Funktion

Wer nun denkt, dass durch das kontaktlose Bezahlen mehr Daten gesammelt werden, als über die generelle Kartenzahlung, der dürfte überrascht sein, dass dies nicht der Fall sein dürfte. Zahlt man mit einer NFC-Bankkarte, fallen hierbei nicht mehr Daten an, als bei einer üblichen Kartenzahlung. Der Unterschied besteht lediglich in der Handhabung. Anders als bei der üblichen Kartenzahlung, bei der die Karte zum Auslesen in das Lesegerät gesteckt werden muss, wird die Bankkarte beim kontaktlosen Bezahlen mit einem Abstand von ca. 4 cm einfach nur an das Lesegerät herangehalten. Damit soll unter anderem. eine versehentliche Zahlung ausgeschlossen werden. Zusätzlich wird in manchen Fällen die Geheimzahl bzw. der PIN abgefragt, womit betrügerische Handlungen weitestgehend verhindert werden sollen. Im Regelfall erfolgt dies bei einer Zahlung über 25 Euro, wohingegen bei einer Zahlung unter 25 Euro die Eingabe der Geheimzahl bzw. der PIN meist entfällt. Gleiches erfolgt via App oder anderer Karten, jedoch ist der Gebrauch eines solchen Angebots von Drittanbietern, meist mit einer Registrierung und dem Anlegen eines Kundenkontos verbunden.

Sichere Zahlung dank Tokenisierung?

Eine Zahlung per App auf dem Smartphone ist nicht nur praktisch, sondern dürfte auch im Vergleich zur üblichen Kartenzahlung sicherer sein, sofern entsprechende Sicherheitsmaßnahmen ergriffen wurden. Um eine Zahlung durchführen zu können, muss in der Regel zumindest der Bildschirm aktiviert sein. Aus diesem Grund empfiehlt es sich, dass andere Sicherheitsmaßnahmen (z.B. Pin oder Fingerabdruck) vorgesehen werden, um den Bildschirm zu entsperren. Bei der kontaktlosen Bezahlung per Smartphone App werden zudem nicht die eigentlichen Kartendaten übertragen, sondern ein Token mit Kryptoschlüssel. Die Händlerbank übersendet Token und Kryptoschlüssel an ein Zahlungsnetzwerk (z. B. Visa) bei Auslösen eines Zahlvorgangs. Das Zahlungsnetzwerk „übersetzt“ die zugeleiteten Informationen und leitet diese an die Bank des Kunden weiter. Bei diesem Vorgang haben lediglich das Zahlungsnetzwerk sowie die eigene Bank Kenntnis über die Zahlungsdaten. Somit wird bei der Zahlung via App der eigenen Bank, keine größere Datenspur gelegt als bei der Zahlung mit der Bankkarte. Es dürften sogar weniger Daten an andere preisgegeben werden, da Dienstleister sowie Händler keine Informationen über die Zahlungsdaten bei der Datenübertragung erhalten.

Werden hingegen Apps von Drittanbietern, wie PayPal oder GooglePay, genutzt, können die Bedenken des „Datenabgreifens“ oder einer nicht gewollten Nutzung der Daten durchaus berechtigt sein. Auch wenn im Grunde genommen dasselbe Verfahren eingesetzt wird, steht der App-Anbieter mit im Informationsfluss.

Möchte man die Apps oder eine Karte des Drittanbieters nutzen, ist dies im Regelfall nur möglich, indem ein Konto beim jeweiligen Anbieter angelegt wird. Mit den Geschäftsbedingungen stimmt der Betroffene in der Regel der Verwertung der eigenen Daten durch den jeweiligen Drittanbieter zu. Die Daten könnten dabei von dem Anbieter auch für eigene Zwecke (z. B. Werbung) genutzt werden. Nichtsdestotrotz können beim kontaktlosen Bezahlen Vorkehrungen getroffen werden, welche eine höhere Sicherheit des Zahlungsvorgangs gewährleisten sollten.

Vorkehrungen beim kontaktlosen Zahlen

Folgende Punkte können für mehr Sicherheit beim kontaktlosen Bezahlen sorgen:

  • Verwenden einer geeigneten Schutzhülle, damit u.a. Funkwellen blockiert werden, die durch unberechtigte Dritte abgefangen werden könnten.
  • Karte oder Smartphone bei Verlust umgehend sperren lassen.
  • Gerätesoftware immer auf den neusten Stand halten, damit ggf. Schwachstellen der alten Version beseitigt werden können.
  • Regelmäßige Kontrolle der Kontoauszüge, um falsche Abbuchungen sofort der Bank zu melden.

Sollten die Sicherheitsbedenken trotz alledem vorhanden sein, dürfte letztlich die einfachste Lösung sein, gänzlich auf das kontaktlose Bezahlen zu verzichten. Wenden Sie sich in diesem Fall an Ihre Bank und bitten Sie diese, die Funktion abzuschalten.

Fazit  

Grundsätzlich bietet das kontaktlose Bezahlen kein höheres Risiko, als das generelle Bezahlen mit der Bankkarte. Aufgrund der weiteren Funktionen, wie beispielsweise Pin- und Fingerabdruckabgabe, kann diese Zahlungsform sogar sicherer sein, als die übliche direkte Zahlung via Bankkarte. Dies dürfte insbesondere dann gelten, sofern man die Dienste der eigenen Bank nutzt. Möchte man jedoch die Dienste eines Drittanbieters einsetzen, sollte man sich auch der Risiken bewusst werden, dass die zur Verfügung gestellten Daten gegebenenfalls auch für eigene Zwecke des Drittanbieters eingesetzt werden könnten.

Haben Sie weitere Fragen zu diesem Thema oder wollen Sie sich im Datenschutz dauerhaft besser positionieren?

Brands Consulting steht Ihnen gerne als kompetenter und fachkundiger Ansprechpartner in Sachen Datenschutz zu Seite. Kontaktieren Sie uns und/oder holen Sie sich ein unverbindliches und kostenloses sowie auf Ihre Bedürfnisse abgestimmtes Datenschutz-Angebot bei uns ein.

Nützliche Dienstleistungen können z. B. sein:

Unser Dienstleistungsangebot offerieren wir:

  • Unternehmen / Firmen [Einzelunternehmen, kleine und mittelständische Unternehmen (KMU) und Konzerne]
  • Behörden und Körperschaften des öffentlichen Rechts
  • Stiftungen bzw. Gesellschaften in kirchlicher Trägerschaft [unter Anwendung des Datenschutzgesetzes der Evangelischen Kirche in Deutschland (DSG-EKD) bzw. das Gesetz über den Kirchlichen Datenschutz (KDG)]
  • Vereinen / Verbänden
  • sowie in Einzelfällen interessierten Privatpersonen