Banking und Bezahlen

Google Pay: Was Sie über den Bezahldienst wissen sollten

Ein Artikel von , veröffentlicht am 02.08.2018, bearbeitet am26.07.2020
Bezahlen an der Kasse ist seit 2018 mit dem Handy möglich. | Foto: iStock

Mit der App Google Pay kann man in Apps und an der Kasse bezahlen. Das kann sicherer sein als per Kreditkarte. Aus Datenschutzsicht ist der Dienst aber nicht empfehlenswert: Google erfasst die gesamte Kaufhistorie, wertet sie aus und teilt sie.

Das ist Google Pay

Google Pay ist der Bezahldienst von Google. In Deutschland startete er im Juli 2018. Um den Dienst zu nutzen, muss man sich die App Google Pay aus dem Google Play-Store oder aus Apples App Store herunterladen. Auf manchen Android-Geräten ist sie schon vorinstalliert.

Um mit der App zu bezahlen, müssen Sie entweder ein aktives PayPal-Konto oder eine Kreditkarte einbinden. Damit Sie eine Kreditkarte in der App hinterlegen können, muss Ihre Bank mit Google Pay kooperieren. Klassische Girokarten (EC-Karten) werden momentan noch nicht unterstützt.

Inzwischen arbeiten etliche Banken mit Google Pay zusammen, darunter Commerzbank, DKB und IngDiba. Die vollständige Liste der Banken und deren akzeptierten Karten finden Sie auf dieser Info-Seite von Google.

Beim Anlegen des Pay-Kontos fragt Google nach Namen, Adresse und Telefonnummer sowie nach der Kreditkartennummer und dem CSV-Code (drei Zahlen auf der Kartenrückseite). Wer sein Google-Konto bisher ohne Adressdaten genutzt oder einen anderen Namen verwendet hat, muss sich jetzt also zu erkennen geben.

Zahlen an der Kasse und in Apps

Wenn Sie eine Kreditkarte oder ein PayPal-Konto in der App hinterlegt haben, können Sie mit Google Pay in Geschäften bezahlen. Dafür muss an der Kasse kontaktloses Bezahlen möglich sein. Das ist inzwischen bei fast allen Einzelhändlern der Fall, die auch die Kartenzahlung mit PIN oder Unterschrift unterstützen.

Außerdem unterstützen viele Apps und Online-Händler das Bezahlen mit Google Pay: zum Beispiel Ryanair, Booking.com, Lieferando und Flixbus. Die ganze Liste finden Sie hier.

Damit das Bezahlen per Smartphone bei diesen Diensten funktioniert, müssen Sie sowohl die App des jeweiligen Dienstleisters als auch die Google-Pay-App installiert haben.

Welche Technik dahintersteckt, lesen Sie hier: Bezahlen mit dem Handy: So funktioniert die NFC-Technik.

Wie sicher ist Bezahlen mit dem Handy?

Prinzipiell hat Google Pay einige Sicherheitsvorteile gegenüber der traditionellen Bankkarte: Die App überträgt niemals die eigentliche Kartennummer, sondern immer nur ein sogenanntes Token. Aus der App selbst lässt sich die Kreditkartennummer nicht auslesen, denn sie ist dort nicht gespeichert.

Google Pay funktioniert nur mit Handys, die eine Bildschirmsperre eingerichtet haben. Bis 50 Euro können Sie ohne Entsperrung des Bildschirms bezahlen - allerdings nur wenige Male hintereinander.

Im Verlustfall ist der Schaden also überschaubar und Ihre eigentliche Bankkarte liegt bestenfalls sicher zu Hause.

Eigene Datenschutzerklärung bei Google Pay

Was viele Nutzer*innen beim Einrichten von Google Pay übersehen könnten: Um den Bezahldienst zu nutzen, muss man eigene Nutzungsbedingungen und eine eigene Datenschutzerklärung akzeptieren. Das ist bei einem Google-Dienst ungewöhnlich: Normalerweise gilt die allgemeine Datenschutzerklärung von Google.

Doch Google Pay wird von der „Google Payment Corp“ angeboten (GPC), einem Tochterunternehmen des Google-Konzerns. Diese Datenschutzerklärung sichert der GPC folgende Rechte zu (die ganzen Zitate zu den einzelnen Punkten finden Sie im Kasten weiter unten):

1. Die GPC hält sich offen, Hintergrundinformationen über einzelne Nutzer*innen hinzuzukaufen.

Das schließt explizit sogenannte consumer reports ein. Gemeint sind damit Hintergrundberichte zu Personen, die von der Kreditwürdigkeit bis zum Strafregister alles mögliche enthalten können.

2. Die GPC darf erfassen, was Nutzer*innen wann bei wem kaufen, wie teuer es ist und wie sie es bezahlen.

Einschränkung: Informationen darüber, was gekauft wurde, fallen beim Bezahlen an der Ladenkasse nur an, wenn der Händler diese Informationen weitergibt. In der Standardausstattung der Kassen werden diese Informationen momentan nicht protokolliert.

3. Die GPC zieht sämtliche Informationen über eine*n Nutzer*in heran, die bei Google oder bei Tochterunternehmen von Google vorhanden sind.

Dabei geht es darum, Betrug oder Fehlverhalten zu bekämpfen und um zu prüfen, ob Nutzer*innen sich an die Geschäftsbedingungen halten. Google unterstützt mit diesen Informationen auch Händler*innen, bei denen man einkaufen will. Was genau „unterstützt“ bedeutet, sagt Google nicht.

4. Die GPC teilt alle erfassten Informationen mit Google und seinen Tochterunternehmen.

Dazu können auch - das sagt das Dokument explizit - Finanzunternehmen gehören. Diese können die Informationen für ihren jeweiligen Geschäftszweck nutzen.

5. Es gibt eine sehr versteckte Widerspruchsmöglichkeit.

In der Datenschutzerklärung sind Opt-out-Möglichkeiten genannt. Zum Beispiel könne man in seinem Google-Konto einstellen, dass keine Informationen zur Kreditwürdigkeit zwischen Tochterunternehmen ausgetauscht werden. Im Umkehrschluss bedeutet das: Ohne Widerspruch werden solche Informationen ausgetauscht.

Die Möglichkeit zum Wiederspruch befindet sich im Google-Payment-Center unter dem Punkt Einstellungen. Der Erklärtext neben dem Widerspruchs-Häkchen weist dabei nur darauf hin, dass Verkäufer*innen von Google nicht mehr erfahren, ob Sie Google-Pay nutzen - was unter Umständen bedeutet, dass diese Zahlungsoption dann wegfällt. Dass man an dieser Stelle auch dem Austausch von Informationen zwischen Googles Tochterunternehmen widerspricht (!), erfahren Nutzer*innen nur beim aufmerksamen Lesen der Datenschutzerklärung.

Zitate zu den genannten Punkten aus der Datenschutzerklärung von Google Payment:

Das ganze Dokument finden Sie hier.

Zitat zu Punkt 1: "Wir beziehen möglicherweise von Dritten Informationen über Sie, wobei auch Verifizierungsdienste von Drittanbietern verwendet werden können. Hierzu zählen Informationen in Verbindung mit Google Payments-Transaktionen an Händlerstandorten, Angaben von Drittanbietern bezüglich der von Ihnen verwendeten Zahlungsmethoden und Konten, die mit Google Payments verknüpft sind, die Identität Ihres Kartenausstellers oder Ihres Kreditinstituts, Informationen bezüglich des Zugriffs auf Guthaben in Ihrem Google Payments-Konto, Informationen von Mobilfunkanbietern in Verbindung mit Mobilfunkabrechnungen und Verbraucherberichte entsprechend der Definition von 'Verbraucherberichten' ('consumer reports') des US Fair Credit Reporting Act."

Zitat zu Punkt 2: "Bei jeder Transaktion über Google Payments können wir Informationen zur Transaktion erheben. Hierzu zählen: Datum, Uhrzeit und Betrag der Transaktion, Händlerstandort und -beschreibung, eine vom Verkäufer bereitgestellte Beschreibung der gekauften Waren oder Dienste, Fotos, die Sie der Transaktion beigefügt haben, der Name und die E-Mail-Adresse des Verkäufers und Käufers bzw. des Absenders und Empfängers, die verwendete Zahlungsmethode, Ihre Beschreibung für den Grund der Transaktion sowie gegebenenfalls das mit der Transaktion verbundene Angebot."

Zitat zu Punkt 3: "Neben der in der Datenschutzerklärung von Google erläuterten Nutzung verwenden wir die Informationen, die Sie uns, GPC oder einer unserer anderen Tochtergesellschaften bereitgestellt haben, sowie die personenbezogenen Daten, die wir von Drittanbietern erhalten, um Ihnen Google Payments-Dienste bereitzustellen und Sie vor Betrug, Phishing oder anderen Verstößen zu schützen.

Diese Informationen können auch zur Unterstützung von Drittanbietern bei der Bereitstellung von Produkten oder Diensten genutzt werden, die Sie bei diesen Anbietern angefordert haben. Wir verwenden die Informationen darüber hinaus zur Überprüfung Ihres Google Payments-Kontos. Auf diese Weise ermitteln wir, ob Sie die Nutzungsbedingungen des Kontos weiterhin erfüllen, treffen Entscheidungen hinsichtlich Ihrer weiteren Google Payments-Transaktionen und prüfen die Einhaltung sonstiger rechtmäßiger Geschäftsanforderungen in Verbindung mit den von Ihnen veranlassten Google Payments-Transaktionen."

Zitat zu Punkt 4: "Die von uns erhobenen Daten, einschließlich der von Drittanbietern eingeholten Informationen, stehen auch unseren Tochtergesellschaften zur Verfügung. Diese Unternehmen befinden sich im Besitz und unter der Kontrolle von Google LLC. Unsere Tochtergesellschaften, bei denen es sich um Finanz- und Nicht-Finanzunternehmen handeln kann, verwenden derartige Informationen für ihre Standardgeschäftszwecke."

Zitat zu Punkt 5: "Wenn Sie nicht möchten, dass zwischen GPC und seinen Tochtergesellschaften personenbezogene Daten zu Ihrer Kreditwürdigkeit ausgetauscht oder von uns erhobene und weitergegebene personenbezogene Daten von unseren Tochtergesellschaften zu Vermarktungszwecken genutzt werden oder dass Google LLC oder seine Tochtergesellschaften Drittanbieter, deren Website oder App Sie besuchen, darüber informieren, ob Sie ein Google Payments-Konto haben, das zur Bezahlung bei diesem Händler genutzt werden kann, melden Sie sich in Ihrem Konto an, rufen Sie die Seite mit den Datenschutzeinstellungen von Google Payments auf und ändern Sie Ihre Einstellungen."

Google als globale Kreditauskunft?

Die obigen fünf Punkte sind höchst problematisch, denn: Mit diesen Daten und Verwertungsrechten könnte aus Google Pay eine globale SCHUFA werden, also ein Unternehmen, das zahlenden Kund*innen Auskunft über die Kreditwürdigkeit von Privatpersonen gibt.

Spätestens dann stellen sich dringende Fragen zu Transparenz und Kontrolle:

  • Welche Faktoren beeinflussen die Kreditwürdigkeit?
  • Was wertet Google als Fehlverhalten?
  • Was geschieht, wenn ich unverschuldet in Misskredit gerate, zum Beispiel, weil jemand meine Bezahldaten missbraucht?
  • Wen rufe ich bei Google an, um die Sache in Ordnung zu bringen?
  • Erfahre ich davon, wenn Google mich als „nicht kreditwürdig“ einstuft, oder verweigern mir einfach alle Verkäufer*innen, die Google Pay anbieten, plötzlich die Zahlung, ohne Angabe von Gründen?

 

Und: An wen könnte Google sein Wissen verkaufen? Für Arbeitgeber*innen, Banken oder Behörden können solche Daten sehr wertvoll sein.

Dass Google seine Informationen aus Google Pay in der Branche „Kreditauskunft und Bonitätsprüfung“ zu Geld macht, ist nicht unwahrscheinlich: So stieg die Investitionsgesellschaft des Konzerns, Google Capital, schon 2014 mit über 40 Millionen US-Dollar bei der Firma Kredit Carma ein, die sich auf Credit-Scoring spezialisiert hat.

Fazit: Nicht empfehlenswert

Aus Datenschutzperspektive können wir von Google Pay aus diesen Gründen nur abraten.

Es gibt viele andere Möglichkeiten, für Produkte oder Dienstleistungen zu bezahlen. Daten fallen bei bargeldloser Bezahlung zwar immer an – bei der eigenen Bank sind sie jedoch vergleichsweise sicher aufgehoben.

Detaillierte Informationen über das eigene Kaufverhalten an Google weiterzugeben, ist aus unserer Sicht ein zu hoher Preis für ein wenig mehr Service.

Kennen Sie schon unseren Newsletter? Einmal im Monat schicken wir Ihnen aktuelle mobilsicher-Lesetipps direkt ins Postfach. Hier geht's zur Anmeldung.

Die Autorin

E-Mail

m.ruhenstroth@mobilsicher.de

PGP-Key

0xAC27FCDCF277F1E4

Fingerprint

E479 C1CD 0FC9 E373 A4B3 F5DB AC27 FCDC F277 F1E4

Miriam Ruhenstroth

Projektleiterin. Miriam Ruhenstroth hat mobilsicher.de seit Beginn des Projektes begleitet – zuerst als freie Autorin, später als Redakteurin. Seit Januar 2017 leitet sie das Projekt. Davor arbeitete sie viele Jahre als freie Technik- und Wissenschaftsjournalistin.

Weitere Artikel

Kinder und Jugendliche 

Kids Zone im Test: Diskrete Kindersicherung

Mit der App Kids Zone können Eltern die Smartphone-Nutzung ihres Kindes beschränken. Die App hat keine Überwachungsfunktion und überträgt keine Daten an den Anbieter. Aus Datenschutzperspektive schneidet sie daher gut ab. Der Funktionsumfang ist jedoch nur für kleinere Kinder ausreichend.

Mehr
Ratgeber 

Kurz vorgestellt: Passwort-Manager KeePass fürs Smartphone

Passwort-Manager helfen, viele verschiedene sichere Passwörter im Alltag zu verwalten. Wir empfehlen dafür das Programm KeePass, da es Passwörter nicht im Internet speichert und als offenes Projekt von vielen Beteiligten kontrolliert wird. Das Programm können Sie auch auf dem Smartphone nutzen.

Mehr
Ratgeber 

WarnWetter: Diese Wetter-App empfehlen wir

Während andere Wetter-Apps mit Werbung und Trackern vollgestopft sind, lässt sich die Datenanalyse in "WarnWetter" komplett abstellen. In Sachen Privatsphäre ist die App damit unschlagbar. Anbieter ist der Deutsche Wetterdienst.

Mehr
Kinder und Jugendliche 

Cyber-Grooming bei TikTok: Neue App, alte Probleme

Die Playback-App TikTok ist der Nachfolger von musical.ly. Wie schon beim Vorgänger finden sich auch hier zahllose Videos von sehr jungen Mädchen in aufreizenden Posen und ein Netzwerk von Nutzern, die sie ansprechen und mehr Haut sehen wollen. Wirksame Gegenmaßnahmen des Anbieters fehlen noch immer.

Mehr