Von Simone Rosenthal
Laut einer Studie von Pricewaterhouse-Coopers liegt der Branchenumsatz im Segment Mobile Payment in Deutschland zurzeit nur bei rund 7,4 Millionen Euro jährlich, soll aber bis 2020 auf rund eine Milliarde Euro anwachsen. Bedingung hierfür sei es jedoch, so die PwC-Analysten, dass die M-Payment-Anbieter „die Sicherheitsbedenken der Nutzer entkräften können und Apps mit Mehrwert über die reine Zahlungsfunktion hinaus bieten.“ Entscheidend sei es daher, dass die Apps „absolute Sicherheit garantieren und ein hohes Maß an Vertrauen“ genießen“. Zu diesem Schluss kommt auch der Bitkom in seinem Positionspapier zum Mobile Payment: „Datenschutzaspekte sind bei der Etablierung eines Mobile Payments-Ökosystems in Deutschland mehr noch als in anderen Ländern von entscheidender Bedeutung.“
Vorbehalte und verwirrende Vielfalt
Ganz unberechtigt sind die Sorgen der Nutzer nicht. Durch die Verknüpfung ihrer Zahlungs- und Einkaufsdaten mit Nutzungs- und Standortdaten können besonders aussagekräftige Nutzerprofile entstehen, die in den falschen Händen eine Gefahr für den Datenschutz und die Privatsphäre der Nutzer darstellen. Hinzu kommt, dass der Nutzer sich zurzeit noch einem unübersichtlichen Angebot von meist anbieterspezifischen M-Payment-Apps und -Konzepten gegenüber sieht.
Beispielsweise kommt in den Apps von Edeka und Netto das app-basierte Postpay-Verfahren von DHL zum Einsatz. Während allerdings die Netto-App eine TAN („Nutzer-ID“) generiert, die der Nutzer an der Kasse mündlich mitteilen oder vorzeigen muss, erzeugt die Edeka-App auf dem Display des Smartphones einen Strichcode, der vom Kassenpersonal wie eine normale Ware gescannt wird. Rewe wiederum setzt auf das primär QR-Code-basierte Verfahren des Start-ups Yapital. Dabei wird auf dem Bildschirm des Kassenterminals ein QR-Code angezeigt, den der Kunde mit der Rewe-App einscannen muss. Gemeinsam haben diese Verfahren, dass der Rechnungsbetrag – wie beim traditionellen E-Commerce – von einem vorab registrierten Girokonto des Nutzers eingezogen wird.
Ein Kooperationsprojekt der Mobilfunkanbieter Telekom, O2 und Vodafone setzt hingegen „klassisch“ auf NFC (Near Field Communication). Ein NFC-fähiges Endgerät vorausgesetzt, werden dabei die Zahlungsdaten des Nutzers (also die Daten, die sonst zum Beispiel auf dem Magnetstreifen der Kreditkarte gespeichert sind) auf dem NFC-Funkchip gespeichert und können drahtlos übertragen werden.
Beacon-basierte Mobile-Payment-Systeme
Schließlich steht nun auch der Launch der ersten Beacon-basierten M-Payment-Systeme kurz bevor. Beacons sind kleine Bluetooth-Funksender, die zum Beispiel von Apple (unter dem Markennamen „iBeacon“) und Paypal (als „PayPal Beacon“) vermarktet werden. Dem Paypal-System werden dabei besonders gute Chancen eingeräumt, nicht zuletzt weil es ein völlig „freihändiges“ Bezahlen ermöglicht: Sobald der Nutzer ein Ladengeschäft betritt, welches an das Paypal-System angeschlossen ist, verbindet sich sein mobiles Endgerät automatisch über eine verschlüsselte Verbindung mit Paypal. Der Nutzer muss dann an der Kasse nur noch sagen, dass er mit Paypal bezahlen möchte – ohne sein Smartphone aus der Tasche nehmen zu müssen. Missbrauch soll ausgeschlossen werden, indem dem Händler auf einem Bildschirm ein Bild sowie weitere Informationen des Nutzers angezeigt werden. Es bleibt abzuwarten, ob dieses Verfahren eine Gefahr für den Datenschutz darstellt.
Datenschutzrechtliche Anforderungen
Die datenschutzrechtlichen Anforderungen an M-Payment-Verfahren, seien es nun App-, QR-, NFC- oder (i)Beacon-basierte Lösungen, ergeben sich in erster Linie aus dem Bundesdatenschutzgesetz (BDSG) und dem Telemediengesetz (TMG). Je nachdem, wie das M-Payment-Verfahren im Einzelfall konzipiert ist, können aber noch weitere Gesetze zur Anwendung kommen, etwa das Telekommunikationsgesetz (TKG) oder das Gesetz über das Kreditwesen. In Zukunft wird auf jeden Fall auch die europäische Datenschutz-Grundverordnung zu beachten sein.
Für konkrete Anforderungen und Empfehlungen verweisen die Datenschutzaufsichtsbehörden die M-Payment-Anbieter auf die Empfehlungen des 3. rheinland-pfälzischen Verbraucherdialogs vom letzten Jahr, der das Thema „Mobile Payment“ zum Gegenstand hatte. Diese Empfehlungen sind für App-Anbieter jedoch nur bedingt hilfreich. So werden beispielsweise – wenig überraschend – sichere Authentifizierungs- und Autorisierungsverfahren und eine lückenlosen Verschlüsselung bei der Verarbeitung von personenbezogenen Daten gefordert.
Auch die Forderung, dass der Nutzer, falls mehr Daten erhoben werden, als für die Durchführung des Zahlungsvorgangs eigentlich erforderlich sind (zum Beispiel Standortdaten, Sensordaten, Nutzungsdaten), im Wege des Opt-in-Verfahrens ausdrücklich hierin einwilligen, stellt keine Besonderheit von M-Payment-Apps dar, sondern gilt vielmehr für alle Arten von Apps. Außerdem wird verlangt, dass die App-Anbieter vor der Einführung von M-Payment-Verfahren eine dokumentierte datenschutzrechtliche Vorabkontrolle gemäß § 4d BDSG durchführen.
Zielgruppenadäquate Informationen: Dem Nutzer helfen
Besonders nachdrücklich betonen die Behörden, dass sie bei M-Payment auf die umfassende Information des Nutzers und einem transparenten Umgang mit personenbezogenen Daten ein ganz besonderes Augenmerk legen. Der Nutzer müsse durch „neutrale Grund- und weiterführende Informationen vor der Teilnahme an einem Mobile Payment Verfahren“ in die Lage versetzt werden, „sich schnell und einfach ein Grundwissen über das angebotene Mobile Payment Verfahren“ anzueignen. Diese Informationen, die auch die Schlussfolgerungen aus der vorab durchzuführenden datenschutzrechtlichen Vorabkontrolle enthalten soll, sollen die App-Anbieter den Nutzern vor dem Vertragsschluss separat überlassen und möglichst auch von den beteiligten Händlern und Partnern für die Nutzer bereit gehalten werden.
Neben den obligatorischen Datenschutzhinweisen, die gemäß § 13 Abs. 1 TMG ohnehin von allen App-Anbietern zum Abruf bereitgehalten müssen, sollen den Nutzern von M-Payment-Apps zusätzlich informiert werden etwa über Schutzmaßnahmen bei Verlust oder Zerstörung seines Endgeräts. Auch fordern die Behörden, dass dem Nutzer alle Lese- beziehungsweise Zahlungsvorgänge optisch oder akustisch kenntlich zu machen sind und dass ihm beispielsweise bei der Wahl eines sicheren Passworts oder Sperr-Codes geholfen wird.
Die Behörden betonen ausdrücklich, dass die Information und Aufklärung der Nutzer zielgruppengerecht sein muss. Das heißt, dass zum Beispiel die Information von Nutzern einer Lebensmittel-Discounter-App oder einer App für Jugendliche anders erfolgen muss als bei einer M-Payment-App für den Business-to-Business-Bereich.
Fokus der Behörden liegt auf NFC
Es ist offensichtlich, dass die Behörden bei der Formulierung ihrer Empfehlungen die Regelung des § 6c BDSG vor Augen gehabt haben. Diese Vorschrift legt Anbietern von sogenannten „Verfahren zur automatisierten Verarbeitung personenbezogener Daten, die ganz oder teilweise auf mobilen personenbezogenen Speicher- und Verarbeitungsmedien ablaufen“, besondere Informationspflichten auf. Entsprechend ihres Zwecks erfasst diese Vorschrift primär NFC- und teilweise auch RFID-basierte Verfahren. Es ist jedoch zweifelhaft, ob diese Vorschrift auch auf QR-Code- und Beacon-basierte M-Payment-Apps anwendbar ist. Hier dürften im Ergebnis wohl weniger strenge Informationspflichten bestehen – auch wenn sich dies aus den Empfehlungen der Behörden und Verbraucherschützer nicht ohne weiteres ergibt. Insoweit muss jedoch daran erinnert werden, dass es sich lediglich um unverbindliche „Empfehlungen“ der Behörden handelt.
Fazit: Datenschutzrechtliche Informationspflichten ernst nehmen
Unternehmen, die ihre Apps mit M-Payment-Funktionen ausstatten wollen, kommen sowohl aus Akzeptanz- als auch aus rechtlichen Gründen um die Themen Datenschutz und Datensicherheit nicht herum. Neben dem technischen Datenschutz müssen vor allem die datenschutzrechtlichen Informations- und Transparenzpflichten ernst genommen werden. Für die Gestaltung von rechtssicheren Datenschutzhinweisen und Einwilligungserklärungen, zum Beispiel in die werbliche Nutzung, ist besonders sorgfältig und zielgruppengerecht vorzugehen; allgemein sollte es vermieden, zu schwammig oder „auf Kante“ zu formulieren. Erfahrungsgemäß steigt jedoch die Einwilligungsbereitschaft von Nutzern in die Datenverarbeitung signifikant, wenn ihnen der Nutzen nachvollziehbar und überzeugend vermittelt wird.
Über die Autorin:
Simone Rosenthal ist Rechtsanwältin bei Schürmann Wolschendorf Dreyer und berät überwiegend zu Fragen des gewerblichen Rechtsschutzes, des IT-Rechts sowie des Handels- und Gesellschaftsrechts.