Datenschutz bei Google Pay? · Mobiles Bezahlen auf Android

Google Pay ist eine Möglichkeit, kontaktlos mit Android-Geräten zu bezahlen. Die Pandemie hat diesen Trend hin zu kontaktlose Zahlungslösungen (mobil mit dem Smartphone) beschleunigt. Kann man dem Werbekonzern Google bzw. Alphabet seine sensiblen Finanzdaten anvertrauen? Wie steht es um den Datenschutz bei Google Pay? Bequemlichkeit für den „gläsernen Bürger“?

Was ist Google Pay?

Der Payment-Service Google Pay ist ein Angebot des US-amerikanischen Unternehmens Alphabet. Im Jahr 2018 ging die Marke Google Pay mit der Zusammenführung von Android Pay (2015) und Google Wallet an den Start. Mit einem Android-Gerät und einer hinterlegten Zahlungskarte in der Google Pay-App kann in Läden kontaktlos mittels Near Field Communication (NFC) bezahlt werden. Anders als bei Apple Pay gibt es keine genauen Nutzerzahlen zu Google Pay. Bei weltweit 2,7 Milliarden Android-Nutzern und Verfügbarkeit in 30 Ländern wird der Dienst sicherlich millionenfach in der Welt genutzt. Den deutschen Mart hat man am 26. Juni 2018 (noch vor Apple Pay) betreten. Google profitiert dabei vom „Trend“ weg vom Bargeld hin zum bargeldlosen Bezahlen. Die Pandemie ist für das „schöne neue Geld*“ ein idealer Katalysator. Dabei bestehen Bedenken zu etwaigen Datenschutz bei Google Pay.

Was wird für die Nutzung benötigt?

Um Google Pay zu nutzen, benötigt man zunächst ein Android-Gerät ab Android 5.0 (Lollipop) mit einem eingebauten NFC-Chip. Zur Google Pay-Nutzung ist ein Google-Account erforderlich, der mit dem bürgerlichen Namen und der korrekten Rechnungsadresse hinterlegt ist. Wer zuvor einen „Fake-Account“ genutzt hat, muss entweder auf diesen Service verzichten oder seine Daten transparent offenlegen. Bedenken Sie, dass Alphabet als US-Unternehmen der dortigen Gesetzeslage unterliegt und Teil der globalen Überwachungsstruktur ist. Jeder Nutzer muss selbst entscheiden, ob er diesem Unternehmen seine Daten anvertrauen möchte oder nicht.

Zudem wird eine Zahlungskarte benötigt, die in der Google Pay hinterlegt werden kann. Dies sind in der Regel Kreditkarten. Ob ein kartenausstellendes Institut die Anmeldung bei Google Pay ermöglicht, obliegt dabei der Hoheit des jeweiligen Kartenausstellers. In Zukunft werden immer mehr Banken und Finanzdienstleister Google Pay freischalten (müssen). Alternativ kann man ein PayPal-Konto hinterlegen. Dann wird eine virtuelle Debitkarte (Mastercard) erstellt.

Eine augenscheinliche Erkenntnis: Die anonyme Nutzung von Google Pay ist nicht möglich!

Wie richtet man Google Pay ein?

Um Google Pay einzurichten, besucht man zunächst die Google Play-App und klickt auf den Button „Zahlung“ und fügt über „+ Zahlungsmethode“ eine Kredit- oder Debitkarte oder einen PayPal-Account hinzu. Wie das konkret funktioniert, zeigt ein Video auf YouTube. Eventuell sind weitere Informationen zur Verifizierung nötig. Nun ist der Dienst Google Pay fertig eingerichtet. Zur „Sicherheit“ wird ein Fingerabdruck, das Gesicht oder ein PIN-Code hinterlegt. Biometrische Daten perfektionieren die staatliche Massenüberwachung (z.B. Fingerabdrücke in Ausweisen).

Welche Daten erhalten Banken?

Bereits beim Hinzufügen einer Zahlungskarte wird eine Vielzahl von Daten und Informationen erhoben, gespeichert und geteilt. Google stellt dem kartenausstellenden Institut eine Vielzahl von Informationen bereit, die das Unternehmen über seine Kunden in Erfahrung bringen konnte. Ein etwaiger Betrug zu Lasten von Banken und Zahlungsdienstleistern soll verhindert werden. Bereits aus regulatorischen Anforderungen – soll das Institut Google Pay nicht für kriminelle Aktivitäten (z.B. Kreditkartenmissbrauch, -betrug, Geldwäsche, etc.) genutzt wird. Abseits dieser schutzwürdigen Interessen geben die Banken durch die Freischaltung von Google Pay für die fordernden Nutzer ein großes Stück ihrer Hoheit über den Zahlungsmarkt an Digitalkonzerne ab. Diese Marktliberalisierung war treibendes Motiv hinter der zweiten Zahlungsdiensterichtlinie (PSD2). Auf diesen Deal lassen sich Finanzdienstleister im Kampf um Marktanteile ein. Zumal die Google Payment Corperation keinen Anteil am Gebühren-Kuchen beansprucht. Der Preis: Der Daten-Kuchen im globalisierten Zahlungsmarkt wird in Zukunft von IT-Konzerne gegessen.

Wie funktioniert Google Pay?

Nachdem der Nutzer Google Pay eingerichtet hat, hält dieser sein NFC-fähiges Android-Gerät an das Zahlungsterminal, bestätigt die Zahlung (über 50€?) mittels Touch-ID (Fingerabdruck), Face-ID (Gesichtsscan) oder Zahlencode (PIN). Die Zahlung wird validiert. Ping. Schon bezahlt.

Welche Einkaufs-Daten erhalten Händler?

Der Händler weiß, dass was über den Strichcode der Kasse gezogen wurde. Zahlt jemand mit Bargeld und verzichtet bewusst auf den Einsatz von Kundenbindungsprogrammen (z.B. Payback, DeutschlandCard) kann (ganz abgesehen von der Identifizierung über Video-Kameras und eine Ortung seines Handys) anonym und datenschutzfreundlich bezahlt werden. Verwendet man eine Kreditkarte, bringt der Händler dessen Kreditkartennummer in Erfahrung. Anders, wenn PayPal oder eine Debit- bzw. Kreditkarte bei Google Pay hinterlegt und damit bezahlt wird. In diesem Fall ist dem Händler die Kreditkartennummer unbekannt. Für jede hinterlegte Karte wird ein Token, also eine virtuelle Kartennummer, gespeichert. Für die Umwandlung der Kredit- oder Debitkartennummer in ein Token kooperiert Google Pay mit Herstellern von Smartphones, Anbieter von Zahlungsterminals, Zahlungsnetwerken, Tokenanbietern und kartenausstellenden Banken. Der Token wird im stationären Handel über Nahfeldkommunikation (NFC) mit einem Lesegerät, im Online-Handel via Internet übertragen. Hält man sein Android-Gerät an das Zahlungsterminal, überträgt der Händler den Toke an das zugehörige Bankennetzwerk, das den Token den hinterlegten Kreditkartendaten zuordnen kann. Daraufhin wird dem Händler die Freigabe für die Transaktion übermittelt. Nach Erhalt der Freigabe übermittelt der Händler den zu zahlenden Beitrag und seine ID an das Gerät des Käufers. Der Kunde muss nun die Transaktion (bei Beträgen über 50€) bestätigen. Anschließend wird ein einmaliger Card Validation Code (CVC), der Betrag, der Verkäufer und die Authentifizierung des Google Pay-Nutzers über den Händler an das Bankennetzwerk weitergeleitet und die Zahlung durchgeführt.

Mit Google Pay können Kunden schnell und unkompliziert bezahlen. Gleichzeitig profitieren sie davon, dass Google ihre Daten so speichert, dass sie durch mehrere Sicherheitsebenen geschützt sind. Wenn ein Kunde im Geschäft bezahlt, sendet Google Pay dem Händler auch nicht die tatsächlichen Kartennummer, sondern ein Token, also eine virtuelle Kartennummer, die die tatsächliche Kredit- und Debitkartennummer des Kunden repräsentiert. (Bezahlen mit Google Pay)

Folglich erhält der Händler niemals die tatsächlichen Kreditkartendaten des Kunden, sondern nur die virtuelle Kartennummer (Token) sowie die Bestätigung, dass diese mit einer gültigen Karte verknüpft ist. Anonym ist man für den Händler dennoch nicht, allenfalls pseudonym. Denn diese gleichbleibende Zahlenfolge hat ebenfalls Wiedererkennungswert und wird ausgewertet.

Wie nutzt Google die Pay-Daten?

Für den Dienst Google Pay gilt die Datenschutzerklärung von Google. Da der Service von der hundertprozentigen Tochter der Google LLC namens Google Payment Cooperation betrieben wird, sind zusätzlich die speziellen Datenschutzhinweise für Google Payments anwendbar.

Lesen wir uns gemeinsam einige rechtlichen Passagen durch – am besten mit Kaffee zur Hand.

Neben den in der Datenschutzerklärung von Google aufgeführten Informationen können wir auch folgende Daten erheben: Registrierungsinformationen […], von Dritten bezogene Informationen […] und Transaktionsinformationen […].

Informationen von Drittparteien

Google bezieht Informationen von Drittparteien. Hierzu zieht man Daten von Banken und Finanzdienstleistern, Mobilfunkanbietern, Verbraucherberichten zur Kreditwürdigkeit (USA) sowie Kreditbüros oder Wirtschaftsauskunfteien heran. Zudem hat Google im Jahr 2018 auch massenhaft Kreditkarten-Transaktionsdaten von Mastercard gekauft (Bloomberg), um diese mit den Daten, die Google bereits über jeweilige Account-Inhaber gespeichert hat, zu verknüpfen.

Wir beziehen möglicherweise von Dritten Informationen über Sie, wobei auch Verifizierungsdienste von Drittanbietern verwendet werden können. Hierzu zählen Informationen in Verbindung mit Google Payments-Transaktionen an Händlerstandorten, Angaben von Drittanbietern bezüglich der von Ihnen verwendeten Zahlungsmethoden und Konten, die mit Google Payments verknüpft sind, die Identität Ihres Kartenausstellers oder Ihres Kreditinstituts, Informationen bezüglich des Zugriffs auf Guthaben in Ihrem Google Payments-Konto, Informationen von Mobilfunkanbietern in Verbindung mit Mobilfunkabrechnungen und Verbraucherberichte entsprechend der Definition von „Verbraucherberichten“ („consumer reports“) des US Fair Credit Reporting Act. Wenn Sie Verkäufer sind, holen wir unter Umständen auch Informationen über Sie und Ihr Unternehmen von Kreditbüros oder Wirtschaftsauskunfteien ein.

Zweck dieses Vorgehens ist es, die „Google Payments-Dienste bereitzustellen und um die Rechte, das Eigentum und die Sicherheit von Google, unseren Nutzern und der Öffentlichkeit zu schützen.“

Wir verwenden die Informationen darüber hinaus zur Überprüfung Ihres Google Payments-Kontos. Auf diese Weise ermitteln wir, ob Sie die Nutzungsbedingungen des Kontos weiterhin erfüllen, treffen Entscheidungen hinsichtlich Ihrer weiteren Google Payments-Transaktionen und prüfen die Einhaltung sonstiger rechtmäßiger Geschäftsanforderungen in Verbindung mit den von Ihnen veranlassten Google Payments-Transaktionen.

Stetig evaluiert man, ob weitere Google Payments-Transaktionen getätigt werden können. Kommt es bei Transaktionen zu Problemen, die der Nutzer nicht zu verschulden hat, stellt sich die Frage, wem Google mehr vertraut: Dem Nutzer oder dem Händler? Was ist, wenn man ausgeschlossen wird? Wie kann man sich gegen einen ungerechtfertigten Ausschluss wehren?

Daten-Sharing mit Drittanbietern

(Beteiligten) Finanzunternehmen bzw. Drittanbietern vertraut man. Mit diesen teilt man Daten.

Diese Informationen können auch zur Unterstützung von Drittanbietern bei der Bereitstellung von Produkten oder Diensten genutzt werden, die Sie bei diesen Anbietern angefordert haben. 

Daten-Sharing mit Google LLC Tochterunternehmen

Noch gruseliger: Google Pay Daten werden mit allen Google LLC Tochterunternehmen geteilt.

Die von uns erhobenen Daten, einschließlich der von Drittanbietern eingeholten Informationen, stehen auch unseren Tochtergesellschaften zur Verfügung, also den Unternehmen, die sich im Besitz und unter der Kontrolle von Google LLC befinden. Unsere Tochtergesellschaften, bei denen es sich sowohl um Finanz- als auch um Nicht-Finanzunternehmen handeln kann, verwenden diese Informationen für ihre Standardgeschäftszwecke.

Tipp: Widerspruchsrecht wahrnehmen

Wer nicht will, dass zwischen GPC und Tochtergesellschaften personenbezogene Daten zur Kreditwürdigkeit ausgetauscht oder erhobene und weitergegebene personenbezogene Daten von Tochtergesellschaften zu Vermarktungszwecken genutzt werden oder dass die Google LLC oder seine Tochtergesellschaften Drittanbieter über ein vorhandenes Google Payments-Konto informiert, kann dem widersprechen.

Google wird zur „Super-Bonitäts-Instanz“

Alphabet bzw. Google verdient an den Zahlungen mit Google Pay (direkt) kein Geld. Gebühren werden weder von Nutzern noch von Händlern erhoben. Gleichsam erhält das Unternehmen einen ausführlichen Einblick in das Zahlungsverhalten und die Konsumgewohnheiten seiner Kunden. Das erinnert mich an das chinesische Sozialkredit-System. Das Tochterunternehmen Google Capital (CapitalG) investiert wiederum in aussichtsreiche IPO-Kandidaten – auch aus der Finanzbranche. Im Inventar ist z.B. Credit Karma. Das vollständig erworbene Unternehmen bietet kostenlose Bonitäts- bzw. Kreditauskünfte an. Google arbeitet an einer globalen SCHUFA und ist mit jeder Google Pay-Transaktion einen Schritt näher zur „Super-Bonitäts-Instanz.“

Fazit · Google Pay · Datenschutz (Alptraum)

Zusammengefasst ist Google Pay ein Datenschutz-Alptraum. Erst die durch EU-Lobbyismus vorangetriebene zweite Zahlungsdiensterichtlinie (PSD2) hat das Ex-Monopol der Banken auf Finanzdaten gebrochen und den Zahlungsmarkt für dateninvasive Fintechs und IT-Unternehmen geöffnet. Google Pay positioniert sich in diesem Markt als kostenloser Dienst, der sich eine Vielzahl von Nutzungsrechten an den Finanzdaten einräumt und diese im Rahmen des Firmen-Konstrukts der Google LLC kommerziell verwertet und mit kooperierenden Drittparteien teilt. Ich kann mir sehr gut vorstellen, dass Google auch bald eigene kostenlose Girokonten anbieten wird. Während klassische Banken und Online-Kontomodelle an der Kostenschraube drehen, werden sich IT-Unternehmen als einzige Gratis-Angebote etablieren. Den Preis wird man mit seinen Daten, die Teil einer globalen Bonitäts- und Finanzdatenbank werden, bezahlen. Hier überzeugt weiterhin das Bargeld als anonyme Zahlungsart, ergänzt durch Zahlungen mit ec-Karte. Jede Involvierung einer weiteren Drittpartei birgt ein Risiko für den Datenschutz.


Schönes Neues Geld

Schönes Neues Geld von Norbert Häring setzt sich mit der „digitalen Inklusion“ im Finanzsektor auseinander. Lektüre über Profiteure der Bargeldabschaffung, Staaten und Unternehmen.


LG Mr. Datenschutz – die Adresse für Datenschutz und Freiheit

One Reply to “Datenschutz bei Google Pay? · Mobiles Bezahlen auf Android”

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert