Mobile Payment - Das Handy als Geldbörse

Der Markt für App-basierte M-Payment-Lösungen in Deutschland wächst - wenn auch deutlich langsamer als in anderen Ländern. Laut einer kürzlich veröffentlichten PwC-Studie liegt der Branchenumsatz in Deutschland zurzeit nur bei rund 7,4 Millionen Euro jährlich. Im Jahr 2020 soll der Umsatz aber bereits auf rund eine Milliarde Euro anwachsen. Bedingung hierfür sei es jedoch, so die PwC-Analysten, dass die M-Payment-Anbieter "die Sicherheitsbedenken der Nutzer entkräften können und Apps mit Mehrwert über die reine Zahlungsfunktion hinaus bieten."

Entscheidend sei es daher, dass die Apps "absolute Sicherheit garantieren und ein hohes Maß an Vertrauen genießen". Zu diesem Schluss kommt auch der Branchenverband BITKOM in seinem Positionspapier zum Mobile Payment: "Datenschutzaspekte sind bei der Etablierung eines Mobile-Payments-Ökosystems in Deutschland mehr noch als in anderen Ländern von entscheidender Bedeutung."

Ganz unberechtigt sind die Sorgen der Nutzer nicht. Durch die Verknüpfung ihrer Zahlungs- und Einkaufsdaten mit Nutzungs- und Standortdaten können besonders aussagekräftige Nutzerprofile entstehen, die in den falschen Händen eine Gefahr für den Datenschutz und die Privatsphäre darstellen. Hinzu kommt, dass der Nutzer sich zurzeit noch einem unübersichtlichen Angebot von meist anbieterspezifischen M-Payment-Apps und -Konzepten - Insellösungen also - gegenübersieht.

Verwirrende Vielfalt

Beispielsweise kommt in den Apps von Edeka und Netto das App-basierte Postpay-Verfahren von DHL zum Einsatz. Während allerdings die Netto-App eine TAN ("Nutzer-ID") generiert, die der Nutzer an der Kasse mündlich mitteilen oder vorzeigen muss, erzeugt die Edeka-App auf dem Display des Smartphones einen Strichcode, der vom Kassenpersonal wie eine normale Ware gescannt wird.

Rewe wiederum setzt auf das primär QR-Codebasierte Verfahren des Start-ups Yapital. Dabei wird auf dem Bildschirm des Kassenterminals ein QR-Code angezeigt, den der Kunde mit der Rewe-App einscannen muss. Gemeinsam haben diese Verfahren, dass der Rechnungsbetrag - wie beim traditionellen E-Commerce - von einem vorab registrierten Girokonto des Nutzers eingezogen wird.

Ein Kooperationsprojekt der Mobilfunkanbieter Telekom, O2 und Vodafone setzt hingegen "klassisch" auf NFC (Near Field Communication). Ein NFC-fähiges Endgerät vorausgesetzt, werden dabei die Zahlungsdaten des Nutzers (also die Daten, die sonst z. B. auf dem Magnetstreifen der Kreditkarte gespeichert sind) auf dem NFC-Funkchip gespeichert und können drahtlos übertragen werden.

Beacon-basierte Mobile-Payment-Systeme

Schließlich steht nun auch der Launch der ersten Beacon-basierten M-Payment-Systeme kurz bevor. Beacons sind kleine Bluetooth-Funksender, die zum Beispiel von Apple (unter dem Markennamen "iBeacon") und PayPal (als "PayPal Beacon") vermarktet werden. Dem PayPal-System werden dabei besonders gute Chancen eingeräumt - nicht zuletzt weil es ein "freihändiges" Bezahlen ermöglicht: Sobald der Kunde ein Ladengeschäft betritt, das an das PayPal-System angeschlossen ist, verbindet sich sein mobiles Endgerät automatisch über eine verschlüsselte Verbindung mit PayPal.

Der Nutzer muss dann an der Kasse nur noch sagen, dass er mit PayPal bezahlen möchte - ohne sein Smartphone aus der Tasche nehmen zu müssen. Missbrauch soll ausgeschlossen werden, indem dem Händler auf einem Bildschirm ein Bild sowie weitere Informationen des Nutzers angezeigt werden. Es bleibt abzuwarten, ob dieses Verfahren eine Gefahr für den Datenschutz darstellt.

Datenschutzrechtliche Anforderungen

Die datenschutzrechtlichen Anforderungen an M-Payment-Verfahren ergeben sich in erster Linie aus dem Bundesdatenschutzgesetz (BDSG) und dem Telemediengesetz (TMG). Je nachdem, wie das M-Payment-Verfahren im Einzelfall konzipiert ist, können aber noch weitere Gesetze zur Anwendung kommen, etwa das Telekommunikationsgesetz (TKG) oder das Gesetz über das Kreditwesen. In Zukunft wird auf jeden Fall auch die europäische Datenschutz-Grundverordnung zu beachten sein.

Für konkrete Anforderungen und Empfehlungen verweisen die Datenschutzaufsichtsbehörden die M-Payment-Anbieter auf die Empfehlungen des 3. rheinland-pfälzischen Verbraucherdialogs vom letzten Jahr, der das Thema "Mobile Payment" zum Gegenstand hatte. Diese Empfehlungen sind für App-Anbieter jedoch nur bedingt hilfreich.

So werden beispielsweise - wenig überraschend - sichere Authentifizierungs- und Autorisierungsverfahren und eine lückenlosen Verschlüsselung bei der Verarbeitung von personenbezogenen Daten gefordert. Auch die Forderung, dass der Nutzer, falls mehr Daten erhoben werden, als für die Durchführung des Zahlungsvorgangs eigentlich erforderlich sind (etwa Standort-, Sensor- oder Nutzungsdaten), im Wege des Opt-in-Verfahrens ausdrücklich hierin einwilligen, stellt keine Besonderheit von M-Payment-Apps dar, sondern gilt vielmehr für alle Arten von Apps.

Information und Transparenz

Besonders nachdrücklich betonen die Behörden, dass sie bei M-Payment auf die umfassende Information des Nutzers und einem transparenten Umgang mit personenbezogenen Daten ein ganz besonderes Augenmerk legen. Neben den obligatorischen Datenschutzhinweisen, die gemäß § 13 Abs. 1 TMG ohnehin von allen App-Anbietern zum Abruf bereitgehalten werden müssen, sollen die Nutzer von M-Payment-Apps zusätzlich informiert werden etwa über Schutzmaßnahmen bei Verlust oder Zerstörung seines Endgerätes. Auch fordern die Behörden, dass dem Nutzer alle Leseund Zahlungsvorgänge optisch oder akustisch kenntlich zu machen sind und dass ihm beispielsweise bei der Wahl eines sicheren Passworts oder Sperr-Codes geholfen wird.

Fokus der Behörden liegt auf NFC

Es ist offensichtlich, dass die Behörden bei der Formulierung ihrer Empfehlungen die Regelung des § 6c BDSG vor Augen gehabt haben. Diese Vorschrift legt Anbietern von "Verfahren zur automatisierten Verarbeitung personenbezogener Daten, die ganz oder teilweise auf mobilen personenbezogenen Speicherund Verarbeitungsmedien ablaufen", besondere Informationspflichten auf.

Entsprechend ihres Zwecks erfasst diese Vorschrift primär NFC- und teilweise auch RFID-basierte Verfahren. Es ist jedoch zweifelhaft, ob diese Vorschrift auch auf QR-Code- und Beacon-basierte M-Payment-Apps anwendbar ist. Hier dürften im Ergebnis wohl weniger strenge Informationspflichten bestehen - auch wenn sich dies aus den Empfehlungen der Behörden und Verbraucherschützer nicht ohne Weiteres ergibt.

Fazit

Unternehmen, die ihre Apps mit M-Payment-Funktionen ausstatten wollen, kommen sowohl aus Akzeptanz als auch aus rechtlichen Gründen um die Themen Datenschutz und Datensicherheit nicht herum. Neben dem technischen Datenschutz müssen vor allem die datenschutzrechtlichen Informations- und Transparenzpflichten ernst genommen werden.

Für die Gestaltung von rechtssicheren Datenschutzhinweisen und Einwilligungserklärungen, beispielsweise in die werbliche Nutzung, ist besonders sorgfältig und zielgruppengerecht vorzugehen. Allgemein sollte es vermieden werden, zu schwammig oder "auf Kante" zu formulieren. Erfahrungsgemäß steigt jedoch die Einwilligungsbereitschaft von Nutzern in die Datenverarbeitung signifikant, wenn ihnen der Nutzen nachvollziehbar und überzeugend vermittelt wird.