Anonymisiertes bezahlen via Bargeld kommt immer mehr aus der Mode. Wird elektronisch bezahlt, übertragen wir zusätzliche Informationen wie den Zeitpunkt des Einkaufs, den Ort, den Betrag, oftmals sogar, was gekauft wird und vieles mehr. Der Bundesverband deutscher Banken schätzt, dass seit Beginn des Jahres ca. 50% aller Girocard Transaktionen kontaktlos durchgeführt werden. Diese hohe Zahl hängt auch mit der Corona-Krise zusammen, die das kontaktlose Bezahlen via Smartphone oder Handy für viele zur persönlichen Sicherheitsmaßnahme gemacht hat. Aber wie sicher ist diese Bezahlmethode aus Datenschutz-Sicht?
Mit dem Handy bezahlen oder mit der EC-Karte kontaktlos bezahlen – wie geht das?
Die kontaktlose Bezahlung via Smartphone oder EC-Karte läuft mittels einer Technologie namens Near Field Communication oder kurz NFC (zu Deutsch bedeutet dies etwa „Nahfeldkommunikation“) und ist momentan bis zu 25 Euro ohne PIN-Eingabe möglich (geplant ist eine zeitnahe Erhöhung dieses Limits auf 50 Euro). Vereinfacht gesagt ermöglicht diese NFC-Technik, dass sich Daten in einem Abstand, der nur wenige Zentimeter beträgt, von einem Gerät auf ein anderes übertragen lassen. Der Vorgang der Datenübertragung läuft dabei verschlüsselt ab.
Ihre EC-Karte muss für einen solchen Bezahlvorgang von Ihrer Bank freigeschalten werden. Ob Ihre Karte diese Funktion besitzt, erkennen Sie an einem kleinen Funksymbol, das meist neben dem Kartenchip zu finden ist. Wollen Sie mit Ihrem Handy kontaktlos bezahlen, müssen Sie sich erst eine App wie GooglePay oder ApplePay dafür herunterladen und z.B. mit Ihrem PayPal-Konto verknüpfen. Um diese Apps benutzen zu können, ist es notwendig, einige Daten von sich preiszugeben, wie beispielsweise den Namen oder Ihre E-Mail-Adresse – dies sind personenbezogene Daten. Vertrauen Sie Anbietern wie Google in Sachen Datenschutz nicht, ist es empfehlenswert, bei der kontaktlosen Bezahlung per EC-Karte zu bleiben.
Kontaktlos bezahlen: Sicherheit und Sicherheitsrisiken
Die Datenschutzgrundverordnung DSGVO schützt personenbezogene Daten. Auch Kontodaten, die beim kontaktlosen Zahlen übermittelt werden, sind personenbezogene Daten. Diese kontaktlose Datenübertragung kann natürlich Begehrlichkeiten wecken: Verlieren Sie Ihre EC-Karte oder Ihr Smartphone, kann der / die Finder:in so lange weiter damit bezahlen, bis Karte oder Smartphone gesperrt wurden. Ein Sicherheitsrisiko tut sich aber auch an anderer Stelle auf: Das Auslesen der Bezahldaten durch Dritte. Dies wird möglich, wenn potentielle kriminelle Subjekte mit entsprechenden Lesegeräten (es reichen aber auch entsprechend umgebaute Smartphones) nahe an Sie bzw. Ihre EC-Karte / Smartphone herankommen – das kann beispielsweise im dichten Gedränge in der Fußgängerzone oder im Club passieren. Je nachdem, welche Daten Sie in der Bezahl-App hinterlegt haben, sind dann zumindest die Kontodaten abgegriffen. Zwar sind bei der App-Variante die Kontodaten verschlüsselt hinterlegt, wenn das Handy und die Bezahl-App aber aktiv sind, sind Ihre Daten trotzdem in Gefahr.
Wie Sie sich vor Datenklau bei kontaktlosem Bezahlen schützen können
Eines gleich vorweg: Beim Zahlen mit der Kredit- oder EC-Karte fallen erheblich weniger Daten an als beim Zahlen mit dem Handy oder der Smartwatch. Dies sollten Sie in puncto Datenmissbrauch stets im Hinterkopf behalten.
Wenn Sie Sorge vor einem möglichen Datendiebstahl haben, können Sie sich beim kontaktlosen Zahlen via Karte wie folgt schützen:
Lassen Sie bei Ihrer Bank die Möglichkeit des kontaktlosen Bezahlens sperren
Benutzen Sie, wenn die kontaktlos-Bezahlen-Funktion aktiv bleiben soll, spezielle RFID-Blocking-Hüllen, die ein Auslesen des NFC-Chips Ihrer Karten verhindern.
Setzen Sie auf die Variante des kontaktlosen Bezahlens via Smartphone (oder Smartwatch), haben Sie folgende Möglichkeiten:
Achten Sie bereits beim Download der entsprechenden App darauf, welche personenbezogenen Daten Sie dort angeben müssen. Handelt die App nach dem Prinzip der Datensparsamkeit (Art. 5 DSGVO)?
Wichtig ist, stets die aktuelle Software- und Betriebssystem-Version zu nutzen
Sichern Sie Ihr Smartphone durch eine PIN, damit im Falle eines Verlustes nicht auf die Pay-App zugegriffen werden kann
Verleihen Sie Ihr Smartphone nicht – auch nicht mal nur kurz
Schreiben Sie Ihre PIN nicht auf Ihr Smartphone (ja, auch das gibt’s immer noch…)
Wählen Sie einen sicheren Code für Ihr E-Wallet.
Sollte trotz aller Sicherheitsmaßnahmen Ihre EC-Karte ausgelesen oder Ihr Smartphone gestohlen werden und Sie durch den Missbrauch der Funktion des kontaktlosen Bezahlens finanziell geschädigt werden, gibt es Hilfe: Durch die EU-Richtlinie PSD2, die seit Januar 2018 in Kraft getreten ist, haften Sie als Verbraucher:in nur noch bis zu einem Betrag von 50 Euro, nicht mehr wie bis zuvor bis zu einem Betrag von 150 Euro. Wer aber bei seinem Smartphone die Option des kontaktlosen Bezahlens freigeschaltet hat, sein Smartphone verliert und auf der Rückseite seine PIN vermerkt hat, bekommt von seiner Versicherung nichts erstattet – denn dieses Verhalten wird als grob fahrlässig angesehen.
Autorin: Kathrin Strauß
Artikel veröffentlicht am: 18. Mai 2020