Banking und Bezahlen

Google Pay: Mobile Geldbörse oder globale Kreditauskunft?

Ein Artikel von , veröffentlicht am 02.08.2018, bearbeitet am05.11.2019

Mit der App Google Pay kann man an der Kasse per Handy bezahlen. Das kann sicherer sein als per Kreditkarte. Aus Datenschutzsicht ist der Dienst aber nicht empfehlenswert: Google erfasst die gesamte Kaufhistorie, wertet sie aus und teilt sie mit Tochterunternehmen.

Das ist Google Pay

Google Pay ist der Bezahldienst aus dem Hause Google. In Deutschland startete er im Juli 2018 – in anderen Ländern ist er schon länger verfügbar. Um den Dienst zu nutzen, muss man sich die App „Google Pay“ herunterladen.

Um mit der App an der Kasse in Geschäften zu bezahlen, müssen Sie Kund*in einer Bank sein, die mit Google Pay kooperiert. Dann können Sie die Daten Ihrer Bankkarte in der App hinterlegen. Klassische Girokarten (EC-Karten) werden momentan noch nicht unterstützt. Zumindest comdirekt arbeitet aber nach eigener Aussage daran.

Inzwischen kooperieren etliche Banken mit Google Pay, darunter auch Commerzbank, DKB und IngDiba. Die vollständige Liste der Banken und der akzeptierten Karten dieser Institute finden Sie auf Googles Support-Seiten. Auch ein PayPal-Konto können Sie inzwischen hinterlegen.

Um Google Pay zu nutzen, müssen Sie – verständlicherweise – Ihre echten Daten angeben. Wer sein Google-Konto bisher ohne Adressdaten genutzt oder einen anderen Namen verwendet hat, muss sich jetzt also zu erkennen geben. Beim Anlegen des Kontos fragt Google nach Namen, Adresse und Telefonnummer sowie nach der Kartennummer und dem CSV-Code (die drei Zahlen auf der Rückseite der Karte).

Partnerbank oder Kreditkarte

Wenn Sie eine der Karten von teilnehmenden Banken in der App hinterlegen, können Sie mit Google Pay an der Kasse in Geschäften bezahlen. Dafür muss an der Kasse kontaktloses Bezahlen möglich sein. Das ist inzwischen bei fast allen Kassen der Fall, die auch die Kartenzahlung mit PIN oder Unterschrift unterstützen.

Mehr Infos zu NFC haben wir hier zusammengetragen: Bezahlen mit dem Handy: So funktioniert die NFC-Technik.

Google Pay akzeptiert aber auch einige Kreditkarten, unabhängig von der eigenen Bank. Derzeit sind das die Kartentypen Visa, Visa Electron, MasterCard und AmericanExpress.

Hinterlegen Sie eine solche Karte, können Sie mit Google Pay bei verschiedenen Online-Händlern und in bestimmten Apps bezahlen, zum Beispiel in den Apps von Ryanair, Booking.com, Deliveroo und Flixbus. Dazu müssen Sie sowohl die App des jeweiligen Dienstleisters als auch die Google-Pay-App installiert haben.

Kaufhistorie und Kreditwürdigkeit

Was viele Nutzer*innen beim Einrichtungsprozess leicht übersehen könnten: Um Google Pay zu nutzen, muss man eigene Nutzungsbedingungen und eine extra Datenschutzerklärung akzeptieren. Denn der Dienst wird von der „Google Payment Corp“ angeboten (GPC), einem Tochterunternehmen des Google-Konzerns.

Diese Datenschutzerklärung hat es in sich:

1. Die GPC hält sich offen, Hintergrundinformationen über einzelne Nutzer*innen hinzuzukaufen. Das schließt explizit sogenannte consumer reports ein. Gemeint sind damit Hintergrundberichte zu Personen, die von der Kreditwürdigkeit bis zum Strafregister alles mögliche enthalten können. Das ganze Zitat hier.

2. Die GPC darf erfassen, was Nutzer*innen wann bei wem kaufen, wie teuer es ist und wie sie es bezahlen. Das ganze Zitat hier. Informationen darüber, was gekauft wurde, fallen beim Bezahlen an der Ladenkasse allerdings nur an, wenn der Händler diese Informationen weitergibt.

3. Die GPC zieht sämtliche Informationen über eine*n Nutzer*in heran, die bei Google oder bei Tochterunternehmen von Google vorhanden sind, um unter anderem Betrug und Fehlverhalten zu bekämpfen und um zu prüfen, ob Nutzer*innen sich an die Geschäftsbedingungen halten. Google unterstützt mit diesen Informationen auch Händler*innen, von denen man etwas kaufen will. Was genau „unterstützt“ bedeutet, sagt Google nicht. Das ganze Zitat hier.

4. Die GPC teilt alle erfassten Informationen mit Google und seinen Tochterunternehmen. Dazu können auch, das sagt das Dokument explizit, Finanzunternehmen gehören. Diese können die Informationen für ihren jeweiligen Geschäftszweck nutzen. Das ganze Zitat hier.

5. Interessant: In der Datenschutzerklärung sind Opt-out-Möglichkeiten genannt. Zum Beispiel könne man in seinem Google-Konto einstellen, dass keine Informationen zur Kreditwürdigkeit zwischen Tochterunternehmen ausgetauscht werden. Im Umkehrschluss bedeutet das: Ohne Opt-out werden solche Informationen ausgetauscht. Das ganze Zitat hier.

Die Opt-out-Möglichkeit befindet sich im Google-Payment-Center bei den Einstellungen. Bemerkenswert: Der Erklärtext neben dem Opt-out-Häkchen weist nur darauf hin, dass Verkäufer*innen von Google nicht mehr erfahren, ob Sie Google-Pay nutzen - was ja ganz offensichtlich von Nachteil wäre. Dass man an dieser Stelle auch dem Austausch von Informationen zwischen Googles Tochterunternehmen widerspricht, erfahren Nutzer*innen nur beim aufmerksamen Lesen der Datenschutzerklärung.

Kreditscoring made by Google?

Es braucht keine Gedankenakrobatik, um zu erkennen, warum die obigen fünf Punkte problematisch sind. Denn mit diesen Daten und Verwertungsrechten könnte aus Google Pay eine globale SCHUFA werden, also ein Unternehmen, das zahlenden Kund*innen Auskunft über die Kreditwürdigkeit von Einzelpersonen gibt.

Spätestens dann stellen sich dringende Fragen zu Transparenz und Kontrolle: Was genau wertet Google als Fehlverhalten? Welche Faktoren beeinflussen die Kreditwürdigkeit? Was, wenn ich unverschuldet in Misskredit gerate, zum Beispiel, weil jemand anderes meine Bezahldaten missbraucht?

Wen rufe ich bei Google an, um die Sache in Ordnung zu bringen? Erfahre ich davon, wenn Google mich als „nicht kreditwürdig“ einstuft, oder verweigern mir einfach alle Verkäufer*innen, die Google Pay anbieten, plötzlich die Zahlung, ohne Angabe von Gründen?

Und an wen könnte Google sein Wissen verkaufen? Für Arbeitgeber*innen, Banken oder Behörden können solche Daten sehr wertvoll sein. Dass Google seine Informationen aus Google Pay in der Branche „Kreditauskunft und Bonitätsprüfung“ zu Geld machen könnte, ist keine Verschwörungstheorie. Der Konzern ist in diesem Bereich durchaus schon tätig. So stieg die Investitionsgesellschaft des Konzerns, „Google Capital“, schon 2014 mit über 40 Millionen US-Dollar bei der Firma „Kredit Carma“ ein, die sich auf Credit-Scoring spezialisiert hat.

Aus Datenschutzperspektive können wir von Google Pay aus diesen Gründen nur abraten. Es gibt viele andere Möglichkeiten, für Produkte oder Dienstleistungen zu bezahlen. Daten fallen bei bargeldloser Bezahlung zwar immer an – bei der eigenen Bank sind sie jedoch vergleichsweise sicher aufgehoben. Detaillierte Informationen über das eigene Kaufverhalten an Google weiterzugeben, ist aus unserer Sicht ein zu hoher Preis für ein wenig mehr Service.

Wie sicher ist Bezahlen mit dem Handy?

Prinzipiell hat Google Pay ein paar Sicherheitsvorteile gegenüber der traditionellen Karte: Die App überträgt niemals die eigentliche Kartennummer, sondern immer nur ein sogenanntes Token.

Auch aus der App selber lässt sich die Kreditkartennummer nicht auslesen, denn sie ist dort nicht gespeichert. Anders ist das bei NFC-fähigen Kreditkarten, die sich meistens ganz einfach mit jedem Handy auslesen lassen.

Selbst im Verlustfall gibt es einen kleinen Vorteil gegenüber der Karte: Ist das Handy richtig konfiguriert, gibt es zumindest eine Chance, es zu orten. Bezahlen kann ein Dieb mit Google Pay genauso wie mit der Kreditkarte bis zu einem Limit von 25 Euro ohne PIN.

Wenn Sie wissen wollen, wie Handyortung funktioniert, dann lesen Sie unseren Text Handy orten – wie geht das?

Zitate aus der Datenschutzerklärung von Google Payment

Das ganze Dokument finden Sie hier.

Zitat zu Punkt 1:

Wir beziehen möglicherweise von Dritten Informationen über Sie, wobei auch Verifizierungsdienste von Drittanbietern verwendet werden können. Hierzu zählen Informationen in Verbindung mit Google Payments-Transaktionen an Händlerstandorten, Angaben von Drittanbietern bezüglich der von Ihnen verwendeten Zahlungsmethoden und Konten, die mit Google Payments verknüpft sind, die Identität Ihres Kartenausstellers oder Ihres Kreditinstituts, Informationen bezüglich des Zugriffs auf Guthaben in Ihrem Google Payments-Konto, Informationen von Mobilfunkanbietern in Verbindung mit Mobilfunkabrechnungen und Verbraucherberichte entsprechend der Definition von "Verbraucherberichten" ("consumer reports") des US Fair Credit Reporting Act.

Zitat zu Punkt 2:

"Bei jeder Transaktion über Google Payments können wir Informationen zur Transaktion erfassen. Hierzu zählen: Datum, Uhrzeit und Betrag der Transaktion, Händlerstandort und -beschreibung, eine vom Verkäufer bereitgestellte Beschreibung der gekauften Waren oder Dienste, Fotos, die Sie der Transaktion beigefügt haben, der Name und die E-Mail-Adresse des Verkäufers und Käufers bzw. des Absenders und Empfängers, die verwendete Zahlungsmethode, Ihre Beschreibung für den Grund der Transaktion sowie gegebenenfalls das mit der Transaktion verbundene Angebot.

Zitat zu Punkt 3:

"Neben der in der Datenschutzerklärung von Google erläuterten Nutzung verwenden wir die Informationen, die Sie uns, GPC oder einer unserer anderen Tochtergesellschaften bereitgestellt haben, sowie die personenbezogenen Daten, die wir von Drittanbietern erhalten, um Ihnen Google Payments-Dienste bereitzustellen und Sie vor Betrug, Phishing oder anderen Verstößen zu schützen. Diese Informationen können auch zur Unterstützung von Drittanbietern bei der Bereitstellung von Produkten oder Diensten genutzt werden, die Sie bei diesen Anbietern angefordert haben. Wir verwenden die Informationen auch zur Überprüfung Ihres Google Payments-Kontos...."

Zitat zu Punkt 4:

"Die von uns erhobenen Daten, einschließlich der von Drittanbietern eingeholten Informationen, stehen auch unseren Tochtergesellschaften zur Verfügung. Diese Unternehmen befinden sich im Besitz und unter der Kontrolle von Google LLC. Unsere Tochtergesellschaften, bei denen es sich um Finanz- und Nicht-Finanzunternehmen handeln kann, verwenden derartige Informationen für ihre Standardgeschäftszwecke."

Zitat zu Punkt 5:

"Wenn Sie nicht möchten, dass zwischen GPC und seinen Tochtergesellschaften personenbezogene Daten zu Ihrer Kreditwürdigkeit ausgetauscht oder von uns erhobene und weitergegebene personenbezogene Daten von unseren Tochtergesellschaften zu Vermarktungszwecken genutzt werden oder dass Google LLC oder seine Tochtergesellschaften Drittanbieter, deren Website oder App Sie besuchen, darüber informieren, ob Sie ein Google Payments-Konto haben, das zur Bezahlung bei diesem Händler genutzt werden kann, melden Sie sich in Ihrem Konto an, rufen Sie die Seite mit den Datenschutzeinstellungen von Google Payments auf und ändern Sie Ihre Einstellungen."

Die Autorin

E-Mail

m.ruhenstroth@mobilsicher.de

PGP-Key

0xAC27FCDCF277F1E4

Fingerprint

E479 C1CD 0FC9 E373 A4B3 F5DB AC27 FCDC F277 F1E4

Miriam Ruhenstroth

Projektleiterin. Miriam Ruhenstroth hat mobilsicher.de seit Beginn des Projektes begleitet – zuerst als freie Autorin, später als Redakteurin. Seit Januar 2017 leitet sie das Projekt. Davor arbeitete sie viele Jahre als freie Technik- und Wissenschaftsjournalistin.

Weitere Artikel

YouTube-Video 

Google-Dienste richtig einstellen: So geht’s!

Google ermöglicht Android-Nutzern eine ziemlich detaillierte Einstellung seiner Dienste, doch nicht jeder weiß, wo die Punkte im Handy und im verknüpften Google-Konto zu finden sind. Wir zeigen in diesem Video Schritt für Schritt, wie Sie alles richtig einstellen und dabei die Kontrolle über Ihre Daten behalten.

Ansehen
Ratgeber 

Navi-Apps im Check: Apples „Karten“

Die Navi-App für iOS heißt schlicht "Karten". Apple verwendet dafür Geodaten anderer Anbieter. Das hat Nachteile: zum Beispiel dauert es länger, Darstellungsfehler zu beheben. Apple plant daher ein großes Update mit eigenem Kartenmaterial ab Herbst 2018. Nutzerdaten bleiben laut Apple immer anonym.

Mehr
YouTube-Video 

Ecosia: Wie privat ist die grüne Suchmaschine?

Die Suchmaschine Ecosia wirbt damit, die Privatsphäre der Suchenden zu achten. Doch die App ist eine Enttäuschung: Es fehlt an grundlegenden Einstellmöglichkeiten und Tracking-Schutz. Als Standardsuchmaschine in einem sicheren Browser wie Firefox finden wir Ecosia aber in Ordnung.

Ansehen
Ratgeber 

Hard Reset: Gerät über Außentasten zurücksetzen (Android)

Ihr Smartphone oder Tablet hat sich komplett aufgehängt oder Sie haben den PIN für die Displaysperre vergessen? Über die Außentasten lassen sich viele Geräte auf Werkseinstellungen zurücksetzen. Aber Vorsicht: Alle Daten werden dabei gelöscht.

Mehr