Apple Pay: Zahlen mit dem iPhone | Mobile Payment und Datenschutz | MRDS

Bezahlen mit dem Handy ist im Zuge der Pandemie immer weiter auf den Vormarsch. Nutzer setzen zunehmend auf kontaktlose Zahlungslösungen wie Apple Pay. Hierbei fallen anders als bei Zahlungen mit Bargeld sensible Finanzdaten an. Wie steht es diesbezüglich um den Datenschutz bei Apple Pay?

Was ist Apple Pay?

Apple Pay ist ein Zahlungssystem des US-amerikanischen Unternehmens Apple. Besitzer von neueren iPhones oder einer Apple Watch können damit in Kombination mit einer hinterlegten Zahlungskarte in der „Wallet“-App von Apple kontaktlos mittels Near Field Communication (NFC) kontaktlos bezahlen.

Derzeit ist Apple Pay auf ca. 507 Millionen Apple Geräten aktiviert (Stand November 2020). Eine beachtliche Zahl, wenn man bedenkt, dass etwa eine Milliarde iPhones weltweit aktiv im Einsatz sind. Zudem ist Apple Pay erst seit Oktober 2014 auf dem Markt und hat noch längst nicht alle Weltmärkte (bisher 60) erschlossen. In Deutschland wird Apple Pay seit dem 11. Dezember 2018 angeboten. Für Apple ist die aktuelle Pandemie-Lage sicherlich ein Katalysator, um das „schöne neue Geld*“ zu fördern.

Was braucht man für die Nutzung von Apple Pay?

Um Apple Pay zu nutzen, benötigt man zunächst Hardware von Apple, namentlich ein iPhone 6 (Plus) oder ein aktuelleres Modell bzw. eine Apple Watch. Diese wiederum setzt zur Nutzung zwangsläufig die Errichtung eines Apple-Accounts voraus. Diesbezüglich müssen – sofern man plant Apple Pay zu nutzen – korrekterweise Name, Passwort, Telefonnummer, E-Mail-Adresse, Geburtsdatum und eine Rechnungsadresse hinterlegt werden. Wenn man bedenkt, dass Apple als US-Unternehmen der dortigen Gesetzeslage unterliegt und selbst Teil der globalen Überwachungsstruktur ist, muss jeder Nutzer selbst entscheiden, ob er diesem Unternehmen seine Daten anvertrauen möchte oder nicht.

Zudem wird eine Zahlungskarte benötigt, die in der Wallet-App von Apple hinterlegt werden kann. In der Regel handelt es sich dabei um eine Kreditkarte. Als deutsche Insellösung bieten die Sparkassen zudem die Möglichkeit eine (virtuelle) Girocard zu hinterlegen. Ob ein kartenausstellendes Institut die Zahlung per Apple Pay ermöglicht, obliegt dabei der Hoheit des jeweiligen Kartenausstellers. Der Trend geht jedoch dahin, dass immer mehr Banken und Finanzdienstleister Apple Pay freischalten.

Bereits an dieser Stelle sei angemerkt: Die anonyme Nutzung ist anders als mit Bargeld nicht möglich.

Wie richtet man Apple Pay ein? Welche Daten werden mit Banken geteilt?

Um Apple Pay einzurichten, geht man zunächst auf die Wallet-App und klickt auf das „+“. Anschließend führt man die Schritte zum Hinzufügen einer neuen Karte aus. Wie das konkret funktioniert zeigt Apple in einem Anleitungsvideo. Nachdem man auf „Weiter“ getippt hat, wird die Bank bzw. der Kartenaussteller die Angaben prüfen und daraufhin entscheiden, ob die Karte mit Apple Pay verwendet werden kann. Eventuell werden weitere Informationen zur Verifizierung benötigt. Nach der Verifizierung der Karte tippt man wieder auf „Weiter“, sodass nun Apple Pay fertig eingerichtet ist.

Bei der Einrichtung wird prominent auf die Option verwiesen, seinen Fingerabdruck (Touch ID) oder sein Gesicht (Face ID) als Authentifizierung zu verwenden. Viele Nutzer mögen sich an einen solchen Komfort (und solche Überwachung) gewöhnt haben. Allerdings darf nicht außer Acht gelassen werden, dass biometrische Daten ein Mittel sind, um die staatliche Massenüberwachung voran zu treiben. Erfreulicherweise wird bei Apple Pay auch die Möglichkeit geboten, einen Zahlencode zu hinterlegen. Wer sich also für Apple Pay, aber gegen die Biometrie entscheidet, findet hiermit einen „Kompromiss“.

Bereits beim Hinzufügen einer Zahlungskarte wird eine Vielzahl von Daten und Informationen erhoben, gespeichert und geteilt. Auskunft darüber gibt der Passus Apple Pay & Datenschutz („So werden deine Daten verwaltet“) in der Wallet-App von Apple. Hier die wichtigsten Aspekte in Auszügen aufgegriffen:

„Kartenbezogene Informationen, Ortsdaten, Informationen über Geräteeinstellungen sowie Gerätenutzungsmuster werden an Apple gesendet und möglicherweise gemeinsam mit deinen Accountinformationen mit dem Kartenaussteller bzw. der Bank geteilt, wenn Apple Pay eingerichtet wird.

Karte zu Apple Pay hinzufügen:

Beim Hinzufügen einer Zahlungskarte wie einer Kunden-, Kredit-, Debit- oder Guthabenkarte zu Apple Pay werden von dir angegebene Karteninformationen und ob bestimmten Geräteeinstellungen aktiviert, an Apple gesendet, um deine Berechtigung zu prüfen, Apple Pay zu aktivieren. Dein Gerät kann auch Gerätenutzungsmuster (z.B. Anteil der Zeit, die das Gerät in Bewegung ist, ungefähre Anzahl von Anrufen pro Woche) auswerten, um zur Verhinderung von Betrug beizutragen. Die von deinem Gerät ausgewerteten Daten werden nicht in einer Art und Weise, die zu dir zurückverfolgt werden kann, mit Apple geteilt.

Folgende Informationen werden möglicherweise von Apple an deinen Kartenanbieter, das Zahlungsnetzwerk oder beliebige Anbieter, die von deinem Kartenanbieter zum Aktivieren von Apple Pay autorisiert wurden, weitergegeben, um die Berechtigung deiner Karte zu bestimmen, deine Karte mit Apple Pay zu konfigurieren und Betrug zu vermeiden:

Die Nummer deiner Kredit-, Debit- oder Guthabenkarte

Der Name und die Rechnungsadresse, die mit deinem Apple-ID, iTunes- oder App Store-Account verknüpft sind

Allgemeine Informationen über Aktivitäten mit deinem Apple-ID, iTunes- oder App Store-Account (z.B. ob du bereits seit langem Transaktionen in iTunes ausführst).

Informationen über dein Gerät und, im Falle einer Apple Watch, das damit gekoppelte iOS-Gerät (z.B. die Geräte-ID, die Telefonnummer sowie der Name und das Modell des Geräts)

Dein Standort zum Zeitpunkt, an dem die Karte hinzugefügt wird (wenn die Ortungsdienste aktiviert sind)

Account- oder Geräteverlauf hinzugefügter Zahlungskarten

Aggregierte Daten im Zusammenhang mit Informationen zu Zahlungskarten, die zu Apple Pay hinzugefügt wurden oder hinzugefügt werden sollten.

Wenn du eine Karte mit einer Drittanbieter-App, etwa einer Banking-App, zu Apple Pay hinzufügst, sendet die App eine Account- oder Karten-ID an dein Gerät. Diese Informationen werden von Apple und deinem Kartenanbieter verwendet, um die Gültigkeit deiner Karte festzustellen, um die Karte mit Apple Pay zu konfigurieren und um Betrug zu verhindern. Um dir beim Einrichten von Karten zu helfen, die du auf anderen Geräten verwendest bzw. verwendet hast, speichert Apple eine Kartenreferenz in deinem iCloud-Account, anhand der die Karte nach dem Eingeben des Sicherheitscodes mithilfe des Kartenanbieters oder Zahlungsnetzwerkes erneut hinzugefügt werden kann. Apple Pay speichert die ursprüngliche Kredit-, Debit- oder Guthabenkartennummer nicht.

Lesen Sie sich diesen Abschnitt bitte noch einmal langsam durch. Die Quintessenz: Apple stellt dem kartenausstellenden Institut eine Vielzahl von Informationen bereit, die das Unternehmen selbst über seine Kunden in Erfahrung bringen konnte. Gewiss haben die Banken und Zahlungsdienstleister ein Interesse etwaigen Betrug zu verhindern, sodass es in deren Interesse ist, dass das Institut Apple Pay nicht für kriminelle Aktivitäten (z.B. Kreditkartenmissbrauch, -betrug, Geldwäsche, etc.) genutzt wird. Abseits dieser schutzwürdigen Interessen ist zu bedenken, dass die Banken durch die Freischaltung von Apple Pay und dessen Akzeptanz durch die Nutzer ein großes Stück ihrer Hoheit über den Zahlungsmarkt an Digitalkonzerne abgeben und dies sogar in Form geteilter Gebühren noch bezahlen. Diese Marktliberalisierung war treibendes Motiv hinter der zweiten Zahlungsdiensterichtlinie (PSD2). Im Gegenzug werden die Banken durch das Bereitstellen von Daten über iPhone-Nutzer seitens Apple intensiviert, sich aufgrund der Datenkooperation für die Freischaltung von Apple Pay stark zu machen.

Deshalb werden beim Eintragen einer neuen Kreditkarte im Wallet neben den konkreten Kartendaten u.a. auch Geräteinformationen wie die letzten Ziffern der Mobilfunknummer oder der Gerätename sowie der ungefähre Standort an die ausgegebene Bank weitergeleitet. Daten-Krümel für die Banken.

Wie funktioniert Apple Pay? Welche Daten erhält der Händler beim Einkauf?

Die Funktionsweise von Apple Pay ist einfach erklärt: Nachdem der Nutzer Apple Pay eingerichtet hat, hält dieser sein NFC-fähiges iPhone bzw. seine Apple Watch an das Zahlungsterminal, bestätigt die Zahlung mittels Touch-ID (Fingerabdruck), Face-ID (Gesichtsscan) oder Zahlencode. Ping. Bezahlt.

Beispiel: Ben kauft bei einem Händler ein Six-Pack Bier. Er benutzt zur Bezahlung Apple Pay. Im Wallet hat er die ihm von der C-Bank ausgestellte Kreditkarte (Visa, Mastercard, American Express) benutzt.

Der Händler weiß, dass ein Six-Pack Bier über den Strichcode der Kasse gezogen wurde. Zahlt Ben mit Bargeld und verwendet keine Kundenbindungsprogramme (z.B. Payback, DeutschlandCard) kann Ben (ganz abgesehen von der Identifizierung über Video-Kameras und Handy-Ortung) anonym bezahlen.

Verwendet er eine Kreditkarte kann der Händler dessen Kreditkartennummer in Erfahrung bringen. Anders ist die Situation, wenn er seine Kreditkarte erst bei Apple Pay hinterlegt hat und damit bezahlt. In diesem Fall ist dem Händler die Kreditkartennummer unbekannt. Für jede hinterlegte Karte wird eine Device Account Number (Geräteaccountnummer) gespeichert. Dies ist eine zufällig generierte 16-stellige Pseudo-Kreditkartennummer, die in einem besonders abgesicherten Speicherbereich des iPhones, der Secure Enclave, gespeichert wird. Ein Betrug mittels manipulierter Terminals bei Kreditkartenzahlungen, bei dem die Kartennummer abgegriffen wurde, ist deshalb hier nicht möglich. Die Geräteaccountnummer wird im stationären Handel über Nahfeldkommunikation (NFC) mit einem Lesegerät, im Online-Handel via Internet übertragen. Hält Ben sein iPhone an das Zahlungsterminal überträgt der Händler die Geräteaccountnummer an das zugehörige Bankennetzwerk, das die Device Account Number den hinterlegten Kreditkartendaten zuordnen kann. Daraufhin wird dem Händler die Freigabe für die Transaktion übermittelt. Nach Erhalt der Freigabe übermittelt der Händler den zu zahlenden Beitrag und seine ID an das Gerät des Käufers, also auf das iPhone. Der Kunde muss nun die Transaktion mittels Touch ID, FaceID, Apple Watch oder PIN-Code bestätigen. Anschließend wird ein einmaliger Card Validation Code (CVC), der Betrag, der Verkäufer und die Authentifizierung des Apple Pay-Nutzers über den Händler an das Bankennetzwerk weitergeleitet und die Zahlung durchgeführt.

„Wenn du etwas kaufst, benutzt Apple Pay eine gerätespezifische Nummer zusammen mit einem einzigartigen Transaktionscode. So werden deine Karten­nummer und deine Kontodaten nie auf deinem Gerät oder Apple Servern gespeichert und Apple teilt sie beim Bezahlen auch niemals mit den Händlern.“

https://www.apple.com/de/apple-pay/

Folglich erhält der Händler niemals die tatsächlichen Kreditkartendaten des Kunden, sondern nur die Geräteaccountnummer sowie die Bestätigung, dass diese mit einer gültigen Karte verknüpft ist.

Was passiert mit den Daten bei Apple?

Doch was passiert mit den Daten bei Apple? Durch die Benutzung von Apple Pay wird eine weitere Partei (Apple) in den Zahlungsvorgang involviert bzw. zwischengeschaltet, der sie vertrauen müssen. Entscheidend ist daher, ob dieses Vertrauen berechtigt ist. Apple selbst speichert laut eigenen Angaben (Datenschutzerklärung) keine Transaktionsdaten, die Rückschlüsse auf die Person zulassen.

„Was du kaufst, wo du es kaufst und wie viel du bezahlst, sind sensible Informationen. Apple speichert diese Informationen nicht, noch verkaufen oder nutzen wir sie. Apple speichert deine Kredit- oder Debitkartennummern nicht und gibt sie auch nicht an Händler weiter. Stattdessen wird für jede Karte, die du in Apple Pay hinzufügst, eine einmalige Device Account Number erstellt.“

„Deine Kredit- und Debitkartennummern sind nicht für Apple einsehbar, und Apple speichert keine Transaktionsdaten, die auf dich zurückzuführen sind.“

Ob man diesen Versprechungen glauben möchte oder nicht, liegt in der Hand eines jeden selbst. Fakt ist, dass Apple seine Geschäftsfelder zunehmend diversifiziert und sich vom Hardware-Unternehmen zum Anbieter digitalgetriebener Geschäftsmodelle bzw. zum Serviceunternehmen wandelt. Doch selbst wenn man den Datenschutz-Versprechen von Apple traut, kann nicht ausgeschlossen werden, dass sich Apple in Zukunft dazu entscheidet, seine Allgemeinen Geschäftsbedingungen anzupassen. Die Konkurrenz – namentlich Google Pay – nimmt sich z.B. das Recht, Einkaufsdaten für personalisierte Werbung zu verarbeiten. Bleiben wir gespannt wie sich der Markt für Zahlungsdienste entwickeln wird.

Fazit zu Apple Pay

Zusammengefasst ist Apple Pay ein populärer Dienst im Bereich Mobile Payment, dem eine Vielzahl von iPhone Nutzern ihr Vertrauen schenken. Dieser positioniert sich selbst als datenschutzfreundliche Alternative. Aufgrund der analysierten Informationen kann dies m.M.n. nicht uneingeschränkt gelten. Nutzer von Apple Pay profitieren davon, dass die Wahrscheinlichkeit von Kreditkartenbetrug reduziert wird und bei Verlust bzw. Diebstahls des iPhones im Regelfall keine Zahlungen getätigt werden können. Gleichsam begeben sich Apple Nutzer in noch stärkere Abhängigkeit von Apple und involvieren eine weitere Partei in ihre Zahlungsvorgänge, der sie die Datenhoheit (un)berechtigterweise anvertrauen. Für Händler ergibt sich die Möglichkeit schnell und kontaktlos Zahlungen abzuwickeln und eine junge technikaffine Zielgruppe anzusprechen. Dies kann deren Absatz durch etwaige Spontankäufe fördern. Größter Verlierer sind die Banken, die zwar einerseits durch Bereitstellung von Apple Pay eventuell junge Kunden an sich binden können, andererseits die Hoheit bzw. das Monopol über Finanzdaten verlieren und nunmehr über Finanztransaktionen erwirtschaftete Erträge mit Apple teilen müssen. Größter Gewinner ist – das mag nicht verwundern – Apple. Das Unternehmen kann mit Apple Pay seine Service-Sparte erweitern und dadurch mehr über seine Kunden erfahren und diese stärker an sich binden. Erwirtschaftete Provisionen schaffen ein weiteres Standbein und sind Segen für Aktionäre. Ob Sie selbst Apple Pay für sich in Betracht ziehen, bleibt ihnen nach diesem Beitrag selbst überlassen.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht.