Die Sicherheitsbedenken im Zusammenhang mit Mobile-Payment-Lösungen beziehen sich in erster Linie auf drei Fragen:
- Was passiert, wenn das Smartphone gestohlen wird?
- Wie manipulationssicher sind kontaktlose Transaktionen?
- Wer garantiert Datensicherheit und den Schutz der Privatsphäre?
Grundsätzlich ist Mobile Payment nicht unsicherer als andere bargeldlose Bezahlverfahren. Unter Umständen biete die neue Technologie sogar mehr Schutz als die etablierten Systeme.
Beim Verlust des Smartphones sind ungewollte Transaktionen durch Dritte quasi ausgeschlossen. Alle gängigen Bezahl-Apps erfordern die Aktivierung der Display-Sperre. Ein unbefugter Dritter müsste sich somit zunächst als Besitzer authentifizieren, um die Bezahlfunktionen des Geräts verwenden zu können. Bankdaten werden zudem (wenn überhaupt) nur verschlüsselt auf dem Endgerät gespeichert. Anders hingegen sieht es bei der klassischen Kreditkarte aus. Auf ihr sind die Kartenummern für jeden sichtbar direkt in die Karte eingestanzt.
Auch dass der Nutzer einer Mobile-Payment-App eine Transaktion versehentlich initiiert, gilt als unwahrscheinlich. Die Übertragung via NFC funktioniert lediglich über eine Distanz von wenigen Zentimetern. Wer mit dem Smartphone bezahlen möchte, muss dieses direkt an das POS-Terminal halten. Darüber hinaus muss der Anwender den NFC-Chip und in der Regel auch die Payment-App aktiviert haben. Die geringe Reichweite der NFC-Technologie schützt den Nutzer auch vor einem Zugriff durch Dritte. Sämtliche Transaktionsdaten werden zudem ausschließlich verschlüsselt übermittelt und sind für Unbefugte somit wertlos.
Was den Datenschutz betrifft, fällt die Bewertung der Mobile-Payment-Lösungen je nach Anbieter unterschiedlich aus. Allerdings verschlüsseln alle der vorgestellten Anbieter die Transaktionsdaten und verbergen sie damit zumindest vor dem Händler, an dessen POS-Terminal die App genutzt wird. In diesem Punkt bietet Mobile Payment einen deutlich besseren Schutz als die klassische Kartenzahlung. Nutzer sollten jedoch in Erfahrung bringen, in welchem Umfang der App-Anbieter Zugriff auf die Daten erhält und wie diese verarbeitet werden: Während beispielsweise Apple Transaktionsdaten nach eigenen Angaben nur verschlüsselt an den jeweiligen Zahlungsdienstleister durchreicht, behält sich Google gemäß der Datenschutzhinweise für Google-Payments vor, umfangreiche Daten zu den Transaktionen zu erheben und für den Betrieb der eigenen Dienste zu verwenden. Das betrifft unter anderem folgende Daten:
- Datum
- Uhrzeit
- Betrag der Transaktion
- Händlerstandort und -beschreibung
- Beschreibung der gekauften Waren
- Namen und E-Mail-Adressen von Käufern und Verkäufern
- Verwendete Zahlungsmethode
- Grund der Transaktion
- Mit Transaktion verbundene Angebote
Auch das Geschäftsmodell von Payback basiert darauf, Nutzerdaten zu sammeln und für personalisierte Angebote auszuwerten. Auch mit der Payback-App erhebt das Unternehmen diverse Daten – unter anderem zu den erworbenen Waren- und Dienstleistungen sowie zum Standort. Theoretisch erhält Payback dabei sogar Zugriff auf das Mikrofon, um Umgebungsgeräusche für die Standortbestimmung auszuwerten. In der Praxis macht das Unternehmen von dieser Möglichkeit nach eigenen Angaben allerdings keinen Gebrauch.
Wer sich für Google Pay oder Payback Pay entscheidet, nimmt einen solchen Eingriff in die Privatsphäre somit in Kauf. Doch wer denkt, dass die eigenen Daten bei der Mobile-Payment-App der eigenen Hausbank besser aufgehoben sind, der irrt. Die meisten Apps deutscher Kreditinstitute setzen bei der Datenanalyse auf Google-Dienste und geben somit ebenfalls Daten an das US-Unternehmen weiter.