Ratgeber

Google Pay: Was Sie über den Bezahldienst wissen sollten

Ein Artikel von , , veröffentlicht am 02.08.2018, bearbeitet am26.07.2020
Bezahlen an der Kasse ist seit 2018 mit dem Handy möglich. | Foto: iStock

Mit der App Google Pay kann man in Apps und an der Kasse bezahlen. Das kann sicherer sein als per Kreditkarte. Aus Datenschutzsicht ist der Dienst aber nicht empfehlenswert: Google erfasst die gesamte Kaufhistorie, wertet sie aus und teilt sie mit Anderen.

Das ist Google Pay

Google Pay ist der Bezahldienst von Google. In Deutschland startete er im Juli 2018. Um den Dienst zu nutzen, muss man sich die App Google Pay aus dem Google Play-Store oder aus Apples App Store herunterladen. Auf manchen Android-Geräten ist sie schon vorinstalliert.

Um mit der App zu bezahlen, müssen Sie entweder ein aktives PayPal-Konto oder eine Kreditkarte einbinden. Damit Sie eine Kreditkarte in der App hinterlegen können, muss Ihre Bank mit Google Pay kooperieren. Klassische Girokarten (EC-Karten) werden momentan noch nicht unterstützt.

Inzwischen arbeiten etliche Banken mit Google Pay zusammen, darunter Commerzbank, DKB und IngDiba. Die vollständige Liste der Banken und deren akzeptierten Karten finden Sie auf dieser Info-Seite von Google.

Beim Anlegen des Pay-Kontos fragt Google nach Namen, Adresse und Telefonnummer sowie nach der Kreditkartennummer und dem CSV-Code (drei Zahlen auf der Kartenrückseite). Wer sein Google-Konto bisher ohne Adressdaten genutzt oder einen anderen Namen verwendet hat, muss sich jetzt also zu erkennen geben.

Zahlen an der Kasse und in Apps

Wenn Sie eine Kreditkarte oder ein PayPal-Konto in der App hinterlegt haben, können Sie mit Google Pay in Geschäften bezahlen. Dafür muss an der Kasse kontaktloses Bezahlen möglich sein. Das ist inzwischen bei fast allen Einzelhändlern der Fall, die auch die Kartenzahlung mit PIN oder Unterschrift unterstützen.

Außerdem unterstützen viele Apps und Online-Händler das Bezahlen mit Google Pay: zum Beispiel Ryanair, Booking.com, Lieferando und Flixbus. Die ganze Liste finden Sie hier.

Damit das Bezahlen per Smartphone bei diesen Diensten funktioniert, müssen Sie sowohl die App des jeweiligen Dienstleisters als auch die Google-Pay-App installiert haben.

Welche Technik dahintersteckt, lesen Sie hier: Bezahlen mit dem Handy: So funktioniert die NFC-Technik.

Wie sicher ist Bezahlen mit dem Handy?

Prinzipiell hat Google Pay einige Sicherheitsvorteile gegenüber der traditionellen Bankkarte: Die App überträgt niemals die eigentliche Kartennummer, sondern immer nur ein sogenanntes Token. Aus der App selbst lässt sich die Kreditkartennummer nicht auslesen, denn sie ist dort nicht gespeichert.

Google Pay funktioniert nur mit Handys, die eine Bildschirmsperre eingerichtet haben. Bis 50 Euro können Sie ohne Entsperrung des Bildschirms bezahlen - allerdings nur wenige Male hintereinander.

Im Verlustfall ist der Schaden also überschaubar und Ihre eigentliche Bankkarte liegt bestenfalls sicher zu Hause.

Eigene Datenschutzerklärung bei Google Pay

Was viele Nutzer*innen beim Einrichten von Google Pay übersehen könnten: Um den Bezahldienst zu nutzen, muss man eigene Nutzungsbedingungen und eine eigene Datenschutzerklärung akzeptieren. Das ist bei einem Google-Dienst ungewöhnlich: Normalerweise gilt die allgemeine Datenschutzerklärung von Google.

Doch Google Pay wird von der „Google Payment Corp“ angeboten (GPC), einem Tochterunternehmen des Google-Konzerns. Diese Datenschutzerklärung sichert der GPC folgende Rechte zu (die ganzen Zitate zu den einzelnen Punkten finden Sie im Kasten weiter unten):

1. Die GPC hält sich offen, Hintergrundinformationen über einzelne Nutzer*innen hinzuzukaufen.

Das schließt explizit sogenannte consumer reports ein. Gemeint sind damit Hintergrundberichte zu Personen, die von der Kreditwürdigkeit bis zum Strafregister alles mögliche enthalten können.

2. Die GPC darf erfassen, was Nutzer*innen wann bei wem kaufen, wie teuer es ist und wie sie es bezahlen.

Einschränkung: Informationen darüber, was gekauft wurde, fallen beim Bezahlen an der Ladenkasse nur an, wenn der Händler diese Informationen weitergibt. In der Standardausstattung der Kassen werden diese Informationen momentan nicht protokolliert.

3. Die GPC zieht sämtliche Informationen über eine*n Nutzer*in heran, die bei Google oder bei Tochterunternehmen von Google vorhanden sind.

Dabei geht es darum, Betrug oder Fehlverhalten zu bekämpfen und um zu prüfen, ob Nutzer*innen sich an die Geschäftsbedingungen halten. Google unterstützt mit diesen Informationen auch Händler*innen, bei denen man einkaufen will. Was genau „unterstützt“ bedeutet, sagt Google nicht.

4. Die GPC teilt alle erfassten Informationen mit Google und seinen Tochterunternehmen.

Dazu können auch - das sagt das Dokument explizit - Finanzunternehmen gehören. Diese können die Informationen für ihren jeweiligen Geschäftszweck nutzen.

5. Es gibt eine sehr versteckte Widerspruchsmöglichkeit.

In der Datenschutzerklärung sind Opt-out-Möglichkeiten genannt. Zum Beispiel könne man in seinem Google-Konto einstellen, dass keine Informationen zur Kreditwürdigkeit zwischen Tochterunternehmen ausgetauscht werden. Im Umkehrschluss bedeutet das: Ohne Widerspruch werden solche Informationen ausgetauscht.

Die Möglichkeit zum Wiederspruch befindet sich im Google-Payment-Center unter dem Punkt Einstellungen. Der Erklärtext neben dem Widerspruchs-Häkchen weist dabei nur darauf hin, dass Verkäufer*innen von Google nicht mehr erfahren, ob Sie Google-Pay nutzen - was unter Umständen bedeutet, dass diese Zahlungsoption dann wegfällt. Dass man an dieser Stelle auch dem Austausch von Informationen zwischen Googles Tochterunternehmen widerspricht (!), erfahren Nutzer*innen nur beim aufmerksamen Lesen der Datenschutzerklärung.

Zitate zu den genannten Punkten aus der Datenschutzerklärung von Google Payment:

Das ganze Dokument finden Sie hier.

Zitat zu Punkt 1: "Wir beziehen möglicherweise von Dritten Informationen über Sie, wobei auch Verifizierungsdienste von Drittanbietern verwendet werden können. Hierzu zählen Informationen in Verbindung mit Google Payments-Transaktionen an Händlerstandorten, Angaben von Drittanbietern bezüglich der von Ihnen verwendeten Zahlungsmethoden und Konten, die mit Google Payments verknüpft sind, die Identität Ihres Kartenausstellers oder Ihres Kreditinstituts, Informationen bezüglich des Zugriffs auf Guthaben in Ihrem Google Payments-Konto, Informationen von Mobilfunkanbietern in Verbindung mit Mobilfunkabrechnungen und Verbraucherberichte entsprechend der Definition von 'Verbraucherberichten' ('consumer reports') des US Fair Credit Reporting Act."

Zitat zu Punkt 2: "Bei jeder Transaktion über Google Payments können wir Informationen zur Transaktion erheben. Hierzu zählen: Datum, Uhrzeit und Betrag der Transaktion, Händlerstandort und -beschreibung, eine vom Verkäufer bereitgestellte Beschreibung der gekauften Waren oder Dienste, Fotos, die Sie der Transaktion beigefügt haben, der Name und die E-Mail-Adresse des Verkäufers und Käufers bzw. des Absenders und Empfängers, die verwendete Zahlungsmethode, Ihre Beschreibung für den Grund der Transaktion sowie gegebenenfalls das mit der Transaktion verbundene Angebot."

Zitat zu Punkt 3: "Neben der in der Datenschutzerklärung von Google erläuterten Nutzung verwenden wir die Informationen, die Sie uns, GPC oder einer unserer anderen Tochtergesellschaften bereitgestellt haben, sowie die personenbezogenen Daten, die wir von Drittanbietern erhalten, um Ihnen Google Payments-Dienste bereitzustellen und Sie vor Betrug, Phishing oder anderen Verstößen zu schützen.

Diese Informationen können auch zur Unterstützung von Drittanbietern bei der Bereitstellung von Produkten oder Diensten genutzt werden, die Sie bei diesen Anbietern angefordert haben. Wir verwenden die Informationen darüber hinaus zur Überprüfung Ihres Google Payments-Kontos. Auf diese Weise ermitteln wir, ob Sie die Nutzungsbedingungen des Kontos weiterhin erfüllen, treffen Entscheidungen hinsichtlich Ihrer weiteren Google Payments-Transaktionen und prüfen die Einhaltung sonstiger rechtmäßiger Geschäftsanforderungen in Verbindung mit den von Ihnen veranlassten Google Payments-Transaktionen."

Zitat zu Punkt 4: "Die von uns erhobenen Daten, einschließlich der von Drittanbietern eingeholten Informationen, stehen auch unseren Tochtergesellschaften zur Verfügung. Diese Unternehmen befinden sich im Besitz und unter der Kontrolle von Google LLC. Unsere Tochtergesellschaften, bei denen es sich um Finanz- und Nicht-Finanzunternehmen handeln kann, verwenden derartige Informationen für ihre Standardgeschäftszwecke."

Zitat zu Punkt 5: "Wenn Sie nicht möchten, dass zwischen GPC und seinen Tochtergesellschaften personenbezogene Daten zu Ihrer Kreditwürdigkeit ausgetauscht oder von uns erhobene und weitergegebene personenbezogene Daten von unseren Tochtergesellschaften zu Vermarktungszwecken genutzt werden oder dass Google LLC oder seine Tochtergesellschaften Drittanbieter, deren Website oder App Sie besuchen, darüber informieren, ob Sie ein Google Payments-Konto haben, das zur Bezahlung bei diesem Händler genutzt werden kann, melden Sie sich in Ihrem Konto an, rufen Sie die Seite mit den Datenschutzeinstellungen von Google Payments auf und ändern Sie Ihre Einstellungen."

Google als globale Kreditauskunft?

Die obigen fünf Punkte sind höchst problematisch, denn: Mit diesen Daten und Verwertungsrechten könnte aus Google Pay eine globale SCHUFA werden, also ein Unternehmen, das zahlenden Kund*innen Auskunft über die Kreditwürdigkeit von Privatpersonen gibt.

Spätestens dann stellen sich dringende Fragen zu Transparenz und Kontrolle:

  • Welche Faktoren beeinflussen die Kreditwürdigkeit?
  • Was wertet Google als Fehlverhalten?
  • Was geschieht, wenn ich unverschuldet in Misskredit gerate, zum Beispiel, weil jemand meine Bezahldaten missbraucht?
  • Wen rufe ich bei Google an, um die Sache in Ordnung zu bringen?
  • Erfahre ich davon, wenn Google mich als „nicht kreditwürdig“ einstuft, oder verweigern mir einfach alle Verkäufer*innen, die Google Pay anbieten, plötzlich die Zahlung, ohne Angabe von Gründen?

 

Und: An wen könnte Google sein Wissen verkaufen? Für Arbeitgeber*innen, Banken oder Behörden können solche Daten sehr wertvoll sein.

Dass Google seine Informationen aus Google Pay in der Branche „Kreditauskunft und Bonitätsprüfung“ zu Geld macht, ist nicht unwahrscheinlich: So stieg die Investitionsgesellschaft des Konzerns, Google Capital, schon 2014 mit über 40 Millionen US-Dollar bei der Firma Kredit Carma ein, die sich auf Credit-Scoring spezialisiert hat.

Hier geht es zu unserem Video 3 Argumente gegen den Bezahldienst Google Pay

Fazit: Nicht empfehlenswert

Aus Datenschutzperspektive können wir von Google Pay aus diesen Gründen nur abraten.

Es gibt viele andere Möglichkeiten, für Produkte oder Dienstleistungen zu bezahlen. Daten fallen bei bargeldloser Bezahlung zwar immer an – bei der eigenen Bank sind sie jedoch vergleichsweise sicher aufgehoben.

Detaillierte Informationen über das eigene Kaufverhalten an Google weiterzugeben, ist aus unserer Sicht ein zu hoher Preis für ein wenig mehr Service.

Kennen Sie schon unseren Newsletter? Einmal im Monat schicken wir Ihnen aktuelle mobilsicher-Lesetipps direkt ins Postfach. Hier geht's zur Anmeldung.

Die Autorin

E-Mail

m.ruhenstroth@mobilsicher.de

PGP-Key

0x2F021121044527DC

PGP Public Key

Download als .asc

Fingerprint

BC80 45E0 3110 EA00 A880 0827 2F02 1121 0445 27DC

Miriam Ruhenstroth

Begleitet mobilsicher.de seit der Gründung – zuerst als freie Autorin, dann als Redakteurin. Seit Januar 2017 leitet sie das Projekt, das 2020 um den AppChecker erweitert wurde. Davor arbeitete sie viele Jahre als freie Technik- und Wissenschaftsjournalistin.

Weitere Artikel

YouTube-Video 

Handy OHNE UPDATES weiternutzen

Viele Smartphones bekommen keine Updates mehr. Kann mann sein Handy auch ohne Sicherheitsupdates weiternutzen? Oder ist das gefährlich?

Ansehen
Ratgeber 

Streaming-Apps: Musik gegen Daten

Musik-Streaming-Dienste wie Spotify haben die Musikkultur revolutioniert. Mobil können Nutzer jederzeit und an jedem Ort auf (fast) alle Musik der Welt zugreifen. Dabei bilden die Anbieter allerdings Nutzungsprofile – und auch die Künstler werden nicht immer angemessen an den Erlösen beteiligt.

Mehr
Ratgeber 

TimeLimit: Diese Android-Kindersicherung empfehlen wir

Mit der App TimeLimit können Eltern das Smartphone ihrer Kinder einschränken. Apps können blockiert oder nur für eine bestimmte Zeit freigegeben werden. Die Kindersicherung ist werbefrei und sammelt so wenige Daten wie möglich.

Mehr
Ratgeber 

Blue Mail-App im Test: Nicht empfehlenswert

Im Test der Version 1.9.3 übertrug die App das Passwort und den Nutzernamen von einem eingebundenen GMX-Konto TLS-verschlüsselt an Server von Blue Mail. Dies ist extrem problematisch, weil der Dienst damit theoretisch vollständigen Zugriff auf das eigene Mail-Konto haben kann. Update: In Version 1.9.4.2 ist das Problem behoben.

Mehr