Icon Datenschutzbeauftragter
Datenschutz

Mobile Payment

Arne Wolff
Verfasst von: Arne Wolff
Berater für Datenschutz und IT-Sicherheit

Weihnachten steht vor der Tür und damit vielfach ein Anlass, vermehrt Geld den Besitzer wechseln zu lassen. Um das möglichst leichtzumachen, drängen immer mehr neuartige Bezahlsysteme auf den Markt, doch diese haben es im technologie-konservativen Deutschland schwer. Selbst die 18-34-jährigen „Millennials“ wollen nach einer Umfrage des britischen Meinungsforschungsunternehmens YouGov mehrheitlich die Bezahlmöglichkeit per Handy nicht nutzen. Ist diese Skepsis angebracht?

Was ist Mobile Payment überhaupt?

Unter dem Begriff „Mobile Payment“ werden alle Formen des bargeldlosen Bezahlens mit mobilen Endgeräten, also meistens einem Smartphone, zusammengefasst. Es geht dabei sowohl um den klassischen Einkauf im Laden, dem Point Of Sale (POS), als auch um Online-Shopping im Internet. Das Bezahlen beim stationären Händler erfolgt mit einer App auf dem Smartphone des Kunden, das mittels NFC (Near-Field-Communication) oder Bluetooth mit dem Kassenterminal (das mit Kontaktlos-Funktion ausgestattet sein muss) kommuniziert. Das Handy emuliert dabei eine „normale“ Bezahlkarte – das Terminal weiß nicht einmal, dass es mit einem Smartphone Daten austauscht. Manche Apps (z.B. Payback Pay, der Mobile-Payment-App des Bonusprogrammes Payback) zeigen die Daten auch in Form eines QR-Codes auf dem Display an, der dann vom Terminal gescannt werden muss.

Es gibt inzwischen eine ganze Reihe von Apps, mit denen man am POS zahlen kann, ohne dabei beispielsweise an eine bestimmte Supermarktkette gebunden zu sein.

Wie funktioniert das technisch?

Auf dem Endgerät wird eine speziell generierte Nummer (ein „Token“) gespeichert – bei Apple-Geräten in einem sog. Secure Element (einem Spezialchip), bei Android im Gerätespeicher mit Hilfe einer „Host Card Emulation“ (HCE) genannten Technologie, bei der die Kreditkartendaten aus der Cloud nachgeladen werden. Ein Token kann immer nur einmal verwendet werden und enthält nicht die „echten“ Kreditkartendaten. Um auch offline funktionieren zu können, werden bei HCE immer einige Token „auf Vorrat“ gespeichert. Die Anbieter sichern die Apps auf unterschiedliche Weise ab, um zu verhindern, dass das Handy von Unbefugten zum Bezahlen genutzt wird.

Dieser Token kann ausschließlich für das kontaktlose Bezahlen mit dem zugehörigen Mobiltelefon verwendet werden und ist auch nicht indirekt auslesbar. Die Zahlungsdaten werden direkt via NFC oder optisch an das Lesegerät des Händlers übertragen und nicht über das Mobilfunknetz/Internet.

Bei allen Anbietern muss ein Referenz-Bankkonto oder eine Kreditkarte verknüpft sein, von der letztlich der fällige Betrag abgebucht bzw, wie bei Prepaid-Apps wie „boon.“ zum Aufladen genutzt wird.

Ein am 14.11.2019 vom Bundestag verabschiedeter Gesetzentwurf soll übrigens dafür sorgen, dass Hardwarehersteller ihre Geräte nicht zu Gunsten der eigenen Dienste gegenüber konkurrierenden Anbietern abschotten.

Welche Risiken gibt es?

Die Risiken entsprechen im Prinzip denen des Bezahlens mit der emulierten Karte, also Diebstahl des Smartphones und Ausnutzung von Sicherheitslücken zur Verwendung gestohlener Kreditkartendaten – es gilt also, in gleicher Weise Vorsorge gegen unbefugten Zugriff zu treffen, also sichere Passwörter zu verwenden und diese nicht etwa aufzuschreiben und mit dem Gerät zu verwahren.

Bei der Verwendung von „Payback Pay werden natürlich in gleichem Maße Daten gesammelt, wie bei Benutzung der Karte – ob die Bonuspunkte, die im Gegenzug vergeben werden, den Verzicht auf Privatsphäre beim Einkauf rechtfertigen, sei jedem selbst überlassen.

Wer haftet bei Verlust des Handys oder Missbrauch?

Genau wie beim Einsatz von EC- oder Kreditkarten muss ein Nutzer von Mobile Payment nur für solche Transaktionen geradestehen, die er auch selbst veranlasst hat. Hat sich also ein Dritter des Handys bemächtigt und hiermit Zahlungen getätigt, kann der Kunde grundsätzlich vom Zahlungsdienstleister verlangen, dass dieser die Abbuchungen wieder gutschreibt.

Es gibt jedoch zwei Ausnahmen:

  1. Das Zahlungsinstrument (also die Karte oder das mit NFC-Chip ausgestattete Handy) wurde gestohlen oder ist auf andere Weise abhanden gekommen. Nun muss der Nutzer unverzüglich seinen Zahlungsdienstleister über den Verlust informieren. Wenn ein Dritter bis zur Verlustmeldung bereits Zahlungen vorgenommen hat, haftet der Kontoinhaber hierfür bis zu einem Betrag von 150,- €. Dies gilt unabhängig davon, ob den Karteninhaber bzw. Handybesitzer ein Verschulden trifft oder nicht.
  2. Der Nutzer missachtet seine Sorgfaltspflicht grob fahrlässig oder sogar vorsätzlich. Zu diesen Sorgfaltspflichten gehört es, das Handy und die PIN vor unbefugtem Zugriff zu schützen.

Die Beweislast für eine Verletzung der Sorgfaltspflicht liegt im Streitfall beim Zahlungsdienstleister.

Fazit

Mobile Payment bedeutet zunächst einmal keine signifikante Erhöhung des Risikos beim Bezahlen – wichtig ist aber, das mobile Endgerät angemessen abzusichern und bei Verlust den Zahlungsdienstleister unverzüglich zu informieren.

chevron_left zurück zur Übersicht

Melden Sie sich für unseren Newsletter an.

Erhalten Sie immer die neuesten und wichtigsten Informationen zum Thema Datenschutz, Informationssicherheit und IT-Sicherheit und Compliance.