Kontaktloses Bezahlen mit Nebenwirkungen
Noch verfügt nicht jeder Käufer über die nötige Technik, doch schon bald dürfte es anders aussehen: Die Banken führen jetzt flächendeckend NFC-Karten ein. So haben etwa die Volksbanken und Raiffeisenbanken in diesem Jahr damit begonnen, ihre insgesamt 26 Millionen Karten auf die Kontaktlosfunktion umzustellen. Mastercard und Visa sind ebenfalls am Start. Sparkassen und Genossenschaftsbanken rüsten bereits seit 2012 ihre Geldkarten nach.
Der Handel stellt seine Bezahlterminals schon jetzt nach und nach um. Aldi Nord, Edeka, Galeria Kaufhof, Netto und Rewe haben ihre Kassensysteme seit letztem Jahr mit NFC aufgerüstet. Der neue, seit 2011 ausgegebene Personalausweis kann ebenfalls NFC. Theoretisch könnte er als Geldkarte genutzt werden, doch es gibt noch keine entsprechende Anwendung.
NFC
NFC steht für „Near Field Communication“ (Nahfeld-Kommunikation) und bezeichnet eine Funktechnologie, bei der Daten über kurze Strecken kontaktlos übertragen werden. NFC ermöglicht den Datenaustausch in zwei Richtungen: Das Lesegerät kann Daten auslesen und zurück an die Karte übermitteln. Basis von NFC ist die als „Radio Frequency Identification“ (RFID) bekannte Technik, bei der Daten allerdings nur empfangen werden können. Neben dem bargeldlosen Bezahlen bei neuen Bankkarten oder mit dem Smartphone kommt die NFC-Technik zum Beispiel bei elektronischen Fahrscheinen zum Einsatz.
Das Bargeld, das aus Perspektive des Datenschutzes als einziges Geldmittel anonymes Zahlen garantiert, ist jedoch immer noch das wichtigste Zahlungsmittel. Jeder Bargeld-Ersatz kann grundsätzlich mit einer Person verknüpft werden. Das mobile Zahlen ist zum Beispiel in Dänemark oder in Schweden erfolgreich, weil die Händler nicht mehr verpflichtet sind, Bargeld anzunehmen. Ob wiederum ein bestimmter Kaufvorgang direkt mit der Person verknüpft werden kann, hängt davon ab, wie der Zahlvorgang im Einzelnen abgewickelt wird. Und hier unterscheiden sich die Bezahlmethoden.
NFC-Bankkarte
Wird der Bezahlvorgang mit Hilfe einer NFC-Bankkarte abgewickelt, fallen dabei nicht mehr Daten an als beim herkömmlichen Einsatz der Bankkarte. Die Karte muss nicht um einen bestimmten Betrag aufgeladen werden, sondern der Betrag wird vom Konto abgebucht. Der einzige Unterschied besteht in der kontaktlosen Auslesemöglichkeit: Ausgelesen werden kann die Karte in einem Abstand von bis zu 4 Zentimetern zum Lesegerät, womit ein versehentliches Zahlen ausgeschlossen wird. Mit der CVC-Prüfziffer kann der Händler betrügerische Zahlungen ausschließen. Sie wird aber nicht immer abgefragt.
Bei einem Bezahlvorgang bis zu 25 Euro fällt die Eingabe einer PIN weg. Der Kartenherausgeber haftet für die Zahlungen wie bei einer Kreditkarte. Das heißt, dass Kunden ihre Kontoauszüge regelmäßig kontrollieren müssen. Auch können die Karten wie gehabt gesperrt werden. Einige Banken verlangen eine PIN, wenn Zahlungen unter 25 Euro schnell aufeinander folgen.
Auf den NFC-Karten werden nicht mehr Daten gespeichert als auf der herkömmlichen Bankkarte. Gespeichert werden der noch verfügbare Restbetrag, die letzten drei Aufladevorgänge sowie die letzten fünfzehn Zahlungsvorgänge mit der Terminalnummer des Händlers sowie Datum und Betrag des Kaufs. Überdies können das Jugendschutzmerkmal „unter/über 18 Jahre“, der Kartentyp und die Kartennummer ausgelesen werden.
NFC-Karten und -Apps vom Händler
Die Anzahl der Anbieter ist inzwischen fast unüberschaubar: Nicht nur Banken bieten EC-Karten mit NFC-Funktionen an, auch diverse Händler haben eigene Bezahlkarten und zugehörige Bezahl-Apps eingeführt. Beispielsweise gibt es bereits seit rund zehn Jahren NFC-Bezahlkarten, die nur an bestimmten Orten gelten. So bietet die Hamburger Firma Payment Solution Services über ihr „Justpay“-System Fankarten mit bargeldloser Bezahlfunktion an. Sie kommen in einigen Stadien der Fußball-Bundesliga zum Einsatz.
Grundsätzlich können die Bezahlkarten ohne eine Verknüpfung zum eigenen Namen erworben werden. Doch sobald die Nutzer die Karte über das Internet aufladen, müssen sie sich persönlich registrieren und damit ihre Identität mit der Karte verknüpfen. Obwohl der NFC-Chip nur eine Zuordnungsnummer enthält, kann die Identität des Nutzers bei entsprechenden Zusatzinformationen ermittelt werden.
Die Datenschutzbehörden fordern bei einer Verknüpfung mit Personendaten die kartenausgebenden Unternehmen auf, „zumindest auf Verlangen“ der Kunden eine Schutzhülle auszugeben, die das Auslesen verhindert. Zu den Transparenzpflichten der Unternehmen gehört es auch, die Kunden über die Risiken und Möglichkeiten der Karte zu informieren. Außerdem sollen sie künftig auf Wunsch die NFC-Funktion an- und abschalten können, wie etwa der Hamburger Datenschutzbeauftragte fordert. Zusätzlich verlangen die Datenschutzbehörden von den Herstellern, Lösungsansätze zu einer angemessenen Verschlüsselung und Randomisierung der Kartennummer zu verfolgen.
Bezahl-Apps von Providern und Handyherstellern
Inzwischen kommen auch immer mehr Smartphones auf den Markt, die bereits über eingebaute NFC-Technologie verfügen. Bezahluhren wie Bellamy von Swatch oder das Armband von Mondaine setzen ebenfalls auf NFC. Die Datenschutzbehörden haben die Sicherheitsrisiken hier noch nicht abschließend bewertetet. Die Lage ist hier unter Umständen komplexer, wenn etwa Drittanbieter auf den Karten eigene Angebote unterhalten können.
Während in Deutschland noch kein Bezahlangebot großer internationaler Player an den Start gegangenen ist, ist Apple Pay seit Juli in der Schweiz im Einsatz. Apple schließt Drittanbieter von der Nutzung der NFC-Funktion seiner iPhones aus und hat auch Datenschutzschranken eingeführt. So erfährt der Händler zum Beispiel nur die Kontonummer des Geräts, nicht aber die hinterlegte Kreditkartennummer. Allerdings verweigern die Banken in der Schweiz noch die Zusammenarbeit mit Apple aufgrund der hohen Gebühren.
Samsung Pay wurde bereits in Spanien eingeführt und soll auch bald in Großbritannien und der Schweiz auf den Markt kommen. Beim Sicherheitskonzept, das unter anderem die Kreditkartennummer vor der Übermittlung an das Händler-Terminal verschlüsselt, wurden vor kurzem Schwachstellen entdeckt.
Gleichwohl bieten in Deutschland die großen Mobilfunkbetreiber schon länger SIM-Karten mit NFC-Funktion an, mit denen man mobil bezahlen kann. Vodafone mit Smartpass, Telekom mit Mywallet und O2 mit dem O2-Wallet bieten sehr ähnliche Systeme an, wie eine Analyse des Instituts für Internet-Sicherheit der Westfälischen Hochschule feststellt. Sie kooperieren mit Kreditkartenunternehmen wie Mastercard oder Visa sowie dem Inhaber einer E-Geld-Lizenz, etwa der Wirecard AG. Die SIM-Karten mit NFC speichern die Daten einer virtuellen Kreditkarte und die Transaktionsdaten verschlüsselt. Die Apps können dabei auch die Nutzungsintensität und Standortdaten verarbeiten, wie die Datenschutzhinweise der Telekom für Mywallet zeigen.
Nutzer zahlen dabei über die App ihres Mobilfunkanbieters, die mit einer PIN gesichert ist. Beträge bis zu 25 Euro können ohne die Eingabe einer PIN bezahlt werden. Eine Empfehlung der Datenschützer, das Smartphone analog zur NFC-Karte mit einer Hülle vor Ausspähung zu schützen, gab es bislang nicht.
Nebenwirkungen bei Kopplung mit Online-Funktionen
Im Grunde ist die NFC-Technologie nicht unproblematischer als herkömmliche Systeme, wie die NFC-Bankkarte zeigt. Kunden sollten allerdings nicht nur auf ihre PIN gut aufpassen, sondern die Karte selbst vor einem ungewollten Auslesen schützen. Untersuchungen von Datenschützern zu den mobilen Bezahlsystemen sind bislang selten. Die Aufsichtsbehörden haben zumindest für die NFC-Bezahlkarten eine erste Liste an Anforderungen zusammengestellt.
Schon jetzt ist allerdings abzusehen, dass die komplexeren Systeme, die mit Smartphone, Bezahl-Apps und Drittanbietern auf den Markt kommen, neue Fragen beim Datenschutz und bei der Datensicherheit aufwerfen, die nicht so einfach zu lösen sein werden. Bezahlen mit NFC ist bei Prepaid-Karten zunächst mehr oder weniger harmlos, wenn das Aufladen möglich ist, ohne dass es einer Person zugeordnet werden kann. Gekoppelt mit diversen Online-Funktionen könnte es aber erhebliche Nebenwirkungen für die Privatsphäre zeitigen. Wieviel Daten Kunden dann preisgeben, hängt immer auch vom Anbieter der Bezahllösung ab.
2 Kommentare
1 Dorena am 8. Oktober, 2018 um 13:03
Hallo!
Ob man will,oder nicht,man muss wohl sich die Mühe machen, sich mit den neuen Bezahlsystemen zu befassen. Es hört sich für uns Kunden alles so einfach und bequem an,aber ganz ohne Risiko ist das nicht. Das fängt ja schon damit an,dass man fragen muss,was passiert bei längerem Stromausfall ? Was ist,wenn ich mich irgendwie vertippt habe oder mir die PIN gerade partout nicht einfällt ? Nein,ich hoffe,ich kann noch lange mit Bargeld bezahlen. Da weiss ich, was ich habe. MfG Dorena
2 wolfgang am 1. Februar, 2019 um 18:35
Hallo,
bisher habe ich es mit meiner Girocard mit NFC noch nie geschafft ohne PIN-Eingabe zu bezahlen. Alle Einkäufe unter 25 €.
MfG Wolfgang
Was sagen Sie dazu?