Die Sicherheit der NFC-Funktion wird nicht nur im Zusammenhang mit kontaktlosen Bezahlvorgängen diskutiert. Ein Transponder lässt sich prinzipiell von jedem NFC-fähigen Gerät auslesen. Das Gleiche gilt für Daten auf NFC-fähigen Smartphones, sofern die Funktion aktiviert ist. Und das ohne, dass ein Anwender die Datenübertragung aktiv initiiert oder genehmigt. Das ruft Datenschützer auf den Plan.
Im Fokus der Diskussion stehen folgende Sicherheitsrisiken und Datenschutzbedenken:
- ein Verlust NFC-fähiger Bankkarten, Mobilgeräte oder anderer Chipträger
- das unbefugte Auslesen der auf dem NFC-Chip gespeicherten Daten durch Dritte
- die Manipulation der Datenübertragung bei kontaktlosen Bezahlvorhängen
- das Erstellen von Verhaltens-, Nutzungs- und Bewegungsprofile aufgrund der kontaktlos ausgelesenen Informationen auf NFC-fähigen Geräten
Diskutiert wurden Maßnahmen zum sicheren und datenschutzgerechten Einsatz der NFC-Funktion und anderer RFID-basierter Technologien unter anderem auf der 72. Konferenz der Datenschutzbeauftragten des Bundes und der Länder am 26. und 27. Oktober 2006. Als Ergebnis der Konferenz veröffentlichte die Bundesbeauftragte für Datenschutz und Informationsfreiheit (BfDI) verbindliche Regelungen für den Einsatz von RFID-Technologien.
Die Forderungen lassen sich folgendermaßen zusammenfassen:
- Transparenz: Kommt RFID-Technologie zum Einsatz, müssen Betroffene darüber informiert werden.
- Kennzeichnungspflicht: Betroffene müssen die Möglichkeit haben, RFID-Tags zu erkennen und deren Kommunikationsvorgänge nachzuvollziehen.
- Keine heimliche Profilbildung: Personenbezogene Verhaltens-, Nutzungs- und Bewegungsprofile dürfen nur mit Zustimmung der Betroffen erstellt werden.
- Verschlüsselung: Anbieter RFID-basierter Anwendungen sind verpflichtet, ein unbefugtes Auslesen gespeicherter Nutzerdaten zu unterbinden – beispielsweise durch Verschlüsselung.
- Deaktivierung: RFID-Tags im Handels- und Dienstleistungssektor müssen bei Bedarf dauerhaft deaktiviert werden können. Werden auf RFID-Chips gespeicherte Daten für den ursprünglichen Zweck der Datenspeicherung nicht mehr benötigt, sind diese zu löschen.
Spezielle Forderungen für den Einsatz der NFC-Technologie im Rahmen kontaktloser Bezahlvorgänge wurden mit dem Beschluss der DSK (Datenschutzkonferenz) vom 23.03.2018 veröffentlicht.
Demnach sind alle Kreditinstitute, die Debit- oder Kreditkarten mit NFC-Chip ausgeben, dazu verpflichtet, ihre Kunden umfassend und verständlich über die Verarbeitung und Speicherung von Daten im Rahmen des kontaktlosen Bezahlens zu informieren. Nutzer von NFC-fähigen Bankkarten sind darauf hinzuweisen, dass Schutzhüllen zur Verfügung stehen, die ein Auslesen des Chips durch unbefugte verhindern. Der NFC-Chip muss in der Standardeinstellung deaktiviert sein. Zudem müssen Kunden die Möglichkeit haben, den Chip Ihrer Bankkarte bei Bedarf zu deaktivieren oder ohne Mehrkosten auf eine Debit- oder Kreditkarte ohne NFC-Funktion zurückzugreifen.
Den Datenschützern zufolge dürfen NFC-Chips keine wiederkehrenden Kennziffern – beispielsweise Kontonummern – bereitstellen, die sich kontaktlos auslesen lassen und so zu Zwecken der Profilbildung herangezogen werden können. Die Arbeit an internationalen Standards zur Verschlüsselung der Near Field Communication ist von der deutschen Wirtschaft weiterhin zu forcieren.
Verbraucher sind speziell auf die Risiken von Mobile-Payment-Apps hinzuweisen. Zudem sollen Anbieter entsprechender Anwendungen Hinweise zu Risikominimierung bereitstellen. Payment-Apps, die ein kontaktloses Bezahlen mit dem Smartphone ermöglichen, müssen durch die Anbieter stets auf dem neusten Stand gehalten werden.