Datensicherheit im Alltag: Sicher kontaktlos bezahlen
9. September 20204. Mai 2022
1
In Compliance, Fakten

Datensicherheit im Alltag: Sicher kontaktlos bezahlen

Der stetig wachsende technologische Fortschritt eröffnet uns Möglichkeiten, die in früheren Zeiten nicht gegeben waren. Insbesondere in wiederkehrenden Situationen, wie dem Einkaufen, finden sich Erleichterungen. Das kontaktlose Zahlen, welches sich zunehmender Beliebtheit erfreut, stellt in diesem Kontext ein Beispiel dar. Im Regelfall kann die Zahlung mittels EC-Karte oder per Smartphone-App erfolgen. Die Vorteile der kontaktlosen Zahlung liegen überwiegend in der einfachen und bequemen Handhabung. Im Zuge der Corona-Pandemie hat diese Zahlungsweise, im Vergleich zur Barzahlung, zudem speziell aus hygienischen Gründen stark zugenommen.

Durch eine Technologie namens Near Field Communication (NFC), im deutschen Sprachgebrauch auch bekannt als Nahfeldkommunikation, wird die kontaktlose Zahlungsart via Smartphone oder EC-Karte ermöglicht. Die Übertragung selbst erfolgt dabei in zwei Richtungen:

  • Zunächst erfolgt die Übertragung von Daten an ein Lesegerät, welches die Daten ausliest und
  • danach wird eine Rückübertragung der ausgelesenen Daten an den jeweiligen Übermittlungsgegenstand (App/EC-Karte) zurückgesendet.

Im folgenden Beitrag soll erläutert werden, inwieweit die kontaktlosen Zahlungsmethoden datenschutzkonform ausgestaltet sind und in welchem Umfang die übertragenen Daten geschützt werden.

Bevor die Möglichkeit der kontaktlosen Zahlung mittels EC-Karte in Anspruch genommen werden kann, muss diese Funktion zunächst von der Bank freigeschaltet werden. Bei der elektronischen Zahlungsmethode ist zwingend zu bedenken, dass nicht nur die zahlungsrelevanten Daten übertragen werden, sondern auch zusätzliche Informationen, wie beispielsweise Zeitpunkt, Ort, Betrag und teilweise auch der Inhalt des Einkaufes. Hierbei fallen aber nicht mehr Daten an als bei einer üblichen Kartenzahlung mittels Kartenlesegeräts und PIN-Eingabe. Der Unterschied beider Zahlungsmöglichkeiten liegt in der unterschiedlichen Handhabung, indem bei der elektronischen Zahlung die Karte an das Lesegerät gehalten wird und bei der üblichen Kartenzahlung die PIN eingegeben werden muss. Bei der kontaktlosen Zahlung beträgt der Abstand zwischen der EC-Karte und dem Lesegerät nur wenige Zentimeter. Die Datenübertragung läuft bei diesem Vorgang verschlüsselt ab.

Ferner besteht die Option, die Zahlung mittels einer App über das Smartphone zu tätigen. Hierfür wird zunächst die App auf das Smartphone heruntergeladen und mit einem Konto, beispielsweise PayPal, verbunden. Bei der Nutzung der App müssen zwingend personenbezogene Daten wie Name und E-Mail-Adresse des Nutzers angegeben werden, wobei die übermittelten Kontodaten hierbei ebenfalls unter die Kategorie der personenbezogenen Daten fallen. Bei der Zahlung durch die App werden nicht die eigentlichen Kartendaten, sondern ein Token mit Kryptoschlüssel übertragen. Die jeweilige Händlerbank sendet in dem Zuge bei Auslösen eines Zahlungsvorganges Token und Kryptoschlüssel an ein Zahlungsnetzwerk, beispielsweise Visa. Das Zahlungsnetzwerk „übersetzt“ die übersendeten Informationen und leitet diese an die Bank des Kunden weiter. In dem kompletten Zahlungsverlauf erlangen lediglich das Zahlungsnetzwerk und die Bank des Kunden Kenntnis über die Daten.

Im Gegensatz zur kontaktlosen Zahlung per EC-Karte werden bei der Zahlung per App keine größeren Datenspuren gelegt. Es ist davon auszugehen, dass eher weniger Daten an Dritte preisgegeben werden, da Diensthändler wie beispielsweise Google oder Apple, sowie Händler wie beispielsweise der Einzelhändler des Supermarktes, keine Informationen über die Zahlungsdaten bei der Datenübertragung erhalten. Bedenken des Datenabgreifens oder einer ungewollten Nutzung der Daten bestehen allerdings, sofern Apps von Drittanbietern genutzt werden. Es handelt sich prinzipiell um dasselbe Verfahren, aber eben ergänzt um einen weiteren, ggf. unseriösen Teilnehmer, der Zugriff auf den Informationsfluss hat.

Sicherheitsrisiken im Hinblick auf den Datenschutz bestehen bei beiden Zahlungsmöglichkeiten. Denn der Verlust einer EC-Karte oder des Smartphones kann zu Zahlungen durch Dritte führen, sofern keine Sperrung vorgenommen wurde. Zusätzlich besteht die Möglichkeit des Auslesens der Bezahldaten durch Dritte oder des Abgreifens von hinterlegten Daten. Bei beiden Zahlungsmöglichkeiten sollten Sicherheitsvorkehrungen getroffen werden, sodass bei der EC-Karte beispielsweise die Karte für kontaktloses Zahlen gesperrt werden kann oder spezielle RFID-Blocking-Hüllen verwendet werden können, welche ein Auslesen des NFC-Chips verhindern. Bei der App Nutzung sollte u.a. darauf geachtet werden, welche personenbezogenen Daten angegeben werden müssen, dass die aktuelle Software- und Betriebssystemversion genutzt wird und dass das Smartphone durch eine PIN geschützt wird.

Durch die EU-Richtlinie PSD2, welche 2018 in Kraft getreten ist, gibt es unter gewissen Voraussetzungen Hilfe im Fall eines Diebstahls mit einhergehender finanzieller Schädigung, sodass Verbraucher nur noch bis zu einem Betrag von 50 Euro haften. Bei grob fahrlässigen Verhalten beträgt der Haftungswert hingegen keine 50 Euro, sondern liegt höher.

Grundsätzlich birgt das kontaktlose Bezahlen mittels beider genannten Möglichkeiten kein höheres Risiko als die klassische Zahlungsweise durch EC-Karte mit PIN-Eingabe. Aufgrund der weiteren Funktion, dass das Gerät oder die App bei Beträgen über 25 Euro stets durch PIN oder Fingerabdruck entsperrt werden muss, wird zusätzliche Sicherheit gewährt. Beim Einsatz von Diensten eines Drittanbieters sollten Nutzer sich aber des Risikos bewusst sein, dass Daten gegebenenfalls für eigene Zwecke des Drittanbieters eingesetzt werden könnten.

Essentials:

  • kontaktlose Zahlungsmöglichkeiten mittels EC-Karte oder Smartphone App
  • bei der EC-Kartenzahlung werden sowohl zahlungsrelevante Daten als auch zusätzliche Informationen (Zeitpunkt/Ort/Betrag etc.) übertragen
  • bei der Zahlung mittels Smartphone App werden nicht die Kartendaten, sondern ein Token mit Kryptoschlüssel übertragen
  • Risiken bestehen durch Verlust der Karte oder des Smartphones, Auslesen von Bezahldaten oder Abgreifen von hinterlegten Daten
  • Erhöhen der Sicherheit durch Handysicherung, Installation eines Virenschutzes, Verwendung einer RFID-Blocking-Hülle oder Sperrung der Karte für die Option der kontaktlosen Zahlung
  • kein erhöhtes Risiko der kontaktlosen Zahlungsmöglichkeiten im Vergleich zur klassischen Zahlungsweise