Ratgeber

Google Pay: Mobile Geldbörse oder globale Kreditauskunft?

Ein Artikel von , veröffentlicht am 02.08.2018, bearbeitet am05.11.2019

Mit der App Google Pay kann man an der Kasse per Handy bezahlen. Das kann sicherer sein als per Kreditkarte. Aus Datenschutzsicht ist der Dienst aber nicht empfehlenswert: Google erfasst die gesamte Kaufhistorie, wertet sie aus und teilt sie mit Tochterunternehmen.

Das ist Google Pay

Google Pay ist der Bezahldienst aus dem Hause Google. In Deutschland startete er im Juli 2018 – in anderen Ländern ist er schon länger verfügbar. Um den Dienst zu nutzen, muss man sich die App „Google Pay“ herunterladen.

Um mit der App an der Kasse in Geschäften zu bezahlen, müssen Sie Kund*in einer Bank sein, die mit Google Pay kooperiert. Dann können Sie die Daten Ihrer Bankkarte in der App hinterlegen. Klassische Girokarten (EC-Karten) werden momentan noch nicht unterstützt. Zumindest comdirekt arbeitet aber nach eigener Aussage daran.

Inzwischen kooperieren etliche Banken mit Google Pay, darunter auch Commerzbank, DKB und IngDiba. Die vollständige Liste der Banken und der akzeptierten Karten dieser Institute finden Sie auf Googles Support-Seiten. Auch ein PayPal-Konto können Sie inzwischen hinterlegen.

Um Google Pay zu nutzen, müssen Sie – verständlicherweise – Ihre echten Daten angeben. Wer sein Google-Konto bisher ohne Adressdaten genutzt oder einen anderen Namen verwendet hat, muss sich jetzt also zu erkennen geben. Beim Anlegen des Kontos fragt Google nach Namen, Adresse und Telefonnummer sowie nach der Kartennummer und dem CSV-Code (die drei Zahlen auf der Rückseite der Karte).

Partnerbank oder Kreditkarte

Wenn Sie eine der Karten von teilnehmenden Banken in der App hinterlegen, können Sie mit Google Pay an der Kasse in Geschäften bezahlen. Dafür muss an der Kasse kontaktloses Bezahlen möglich sein. Das ist inzwischen bei fast allen Kassen der Fall, die auch die Kartenzahlung mit PIN oder Unterschrift unterstützen.

Mehr Infos zu NFC haben wir hier zusammengetragen: Bezahlen mit dem Handy: So funktioniert die NFC-Technik.

Google Pay akzeptiert aber auch einige Kreditkarten, unabhängig von der eigenen Bank. Derzeit sind das die Kartentypen Visa, Visa Electron, MasterCard und AmericanExpress.

Hinterlegen Sie eine solche Karte, können Sie mit Google Pay bei verschiedenen Online-Händlern und in bestimmten Apps bezahlen, zum Beispiel in den Apps von Ryanair, Booking.com, Deliveroo und Flixbus. Dazu müssen Sie sowohl die App des jeweiligen Dienstleisters als auch die Google-Pay-App installiert haben.

Kaufhistorie und Kreditwürdigkeit

Was viele Nutzer*innen beim Einrichtungsprozess leicht übersehen könnten: Um Google Pay zu nutzen, muss man eigene Nutzungsbedingungen und eine extra Datenschutzerklärung akzeptieren. Denn der Dienst wird von der „Google Payment Corp“ angeboten (GPC), einem Tochterunternehmen des Google-Konzerns.

Diese Datenschutzerklärung hat es in sich:

1. Die GPC hält sich offen, Hintergrundinformationen über einzelne Nutzer*innen hinzuzukaufen. Das schließt explizit sogenannte consumer reports ein. Gemeint sind damit Hintergrundberichte zu Personen, die von der Kreditwürdigkeit bis zum Strafregister alles mögliche enthalten können. Das ganze Zitat hier.

2. Die GPC darf erfassen, was Nutzer*innen wann bei wem kaufen, wie teuer es ist und wie sie es bezahlen. Das ganze Zitat hier. Informationen darüber, was gekauft wurde, fallen beim Bezahlen an der Ladenkasse allerdings nur an, wenn der Händler diese Informationen weitergibt.

3. Die GPC zieht sämtliche Informationen über eine*n Nutzer*in heran, die bei Google oder bei Tochterunternehmen von Google vorhanden sind, um unter anderem Betrug und Fehlverhalten zu bekämpfen und um zu prüfen, ob Nutzer*innen sich an die Geschäftsbedingungen halten. Google unterstützt mit diesen Informationen auch Händler*innen, von denen man etwas kaufen will. Was genau „unterstützt“ bedeutet, sagt Google nicht. Das ganze Zitat hier.

4. Die GPC teilt alle erfassten Informationen mit Google und seinen Tochterunternehmen. Dazu können auch, das sagt das Dokument explizit, Finanzunternehmen gehören. Diese können die Informationen für ihren jeweiligen Geschäftszweck nutzen. Das ganze Zitat hier.

5. Interessant: In der Datenschutzerklärung sind Opt-out-Möglichkeiten genannt. Zum Beispiel könne man in seinem Google-Konto einstellen, dass keine Informationen zur Kreditwürdigkeit zwischen Tochterunternehmen ausgetauscht werden. Im Umkehrschluss bedeutet das: Ohne Opt-out werden solche Informationen ausgetauscht. Das ganze Zitat hier.

Die Opt-out-Möglichkeit befindet sich im Google-Payment-Center bei den Einstellungen. Bemerkenswert: Der Erklärtext neben dem Opt-out-Häkchen weist nur darauf hin, dass Verkäufer*innen von Google nicht mehr erfahren, ob Sie Google-Pay nutzen - was ja ganz offensichtlich von Nachteil wäre. Dass man an dieser Stelle auch dem Austausch von Informationen zwischen Googles Tochterunternehmen widerspricht, erfahren Nutzer*innen nur beim aufmerksamen Lesen der Datenschutzerklärung.

Kreditscoring made by Google?

Es braucht keine Gedankenakrobatik, um zu erkennen, warum die obigen fünf Punkte problematisch sind. Denn mit diesen Daten und Verwertungsrechten könnte aus Google Pay eine globale SCHUFA werden, also ein Unternehmen, das zahlenden Kund*innen Auskunft über die Kreditwürdigkeit von Einzelpersonen gibt.

Spätestens dann stellen sich dringende Fragen zu Transparenz und Kontrolle: Was genau wertet Google als Fehlverhalten? Welche Faktoren beeinflussen die Kreditwürdigkeit? Was, wenn ich unverschuldet in Misskredit gerate, zum Beispiel, weil jemand anderes meine Bezahldaten missbraucht?

Wen rufe ich bei Google an, um die Sache in Ordnung zu bringen? Erfahre ich davon, wenn Google mich als „nicht kreditwürdig“ einstuft, oder verweigern mir einfach alle Verkäufer*innen, die Google Pay anbieten, plötzlich die Zahlung, ohne Angabe von Gründen?

Und an wen könnte Google sein Wissen verkaufen? Für Arbeitgeber*innen, Banken oder Behörden können solche Daten sehr wertvoll sein. Dass Google seine Informationen aus Google Pay in der Branche „Kreditauskunft und Bonitätsprüfung“ zu Geld machen könnte, ist keine Verschwörungstheorie. Der Konzern ist in diesem Bereich durchaus schon tätig. So stieg die Investitionsgesellschaft des Konzerns, „Google Capital“, schon 2014 mit über 40 Millionen US-Dollar bei der Firma „Kredit Carma“ ein, die sich auf Credit-Scoring spezialisiert hat.

Aus Datenschutzperspektive können wir von Google Pay aus diesen Gründen nur abraten. Es gibt viele andere Möglichkeiten, für Produkte oder Dienstleistungen zu bezahlen. Daten fallen bei bargeldloser Bezahlung zwar immer an – bei der eigenen Bank sind sie jedoch vergleichsweise sicher aufgehoben. Detaillierte Informationen über das eigene Kaufverhalten an Google weiterzugeben, ist aus unserer Sicht ein zu hoher Preis für ein wenig mehr Service.

Wie sicher ist Bezahlen mit dem Handy?

Prinzipiell hat Google Pay ein paar Sicherheitsvorteile gegenüber der traditionellen Karte: Die App überträgt niemals die eigentliche Kartennummer, sondern immer nur ein sogenanntes Token.

Auch aus der App selber lässt sich die Kreditkartennummer nicht auslesen, denn sie ist dort nicht gespeichert. Anders ist das bei NFC-fähigen Kreditkarten, die sich meistens ganz einfach mit jedem Handy auslesen lassen.

Selbst im Verlustfall gibt es einen kleinen Vorteil gegenüber der Karte: Ist das Handy richtig konfiguriert, gibt es zumindest eine Chance, es zu orten. Bezahlen kann ein Dieb mit Google Pay genauso wie mit der Kreditkarte bis zu einem Limit von 25 Euro ohne PIN.

Wenn Sie wissen wollen, wie Handyortung funktioniert, dann lesen Sie unseren Text Handy orten – wie geht das?

Zitate aus der Datenschutzerklärung von Google Payment

Das ganze Dokument finden Sie hier.

Zitat zu Punkt 1:

Wir beziehen möglicherweise von Dritten Informationen über Sie, wobei auch Verifizierungsdienste von Drittanbietern verwendet werden können. Hierzu zählen Informationen in Verbindung mit Google Payments-Transaktionen an Händlerstandorten, Angaben von Drittanbietern bezüglich der von Ihnen verwendeten Zahlungsmethoden und Konten, die mit Google Payments verknüpft sind, die Identität Ihres Kartenausstellers oder Ihres Kreditinstituts, Informationen bezüglich des Zugriffs auf Guthaben in Ihrem Google Payments-Konto, Informationen von Mobilfunkanbietern in Verbindung mit Mobilfunkabrechnungen und Verbraucherberichte entsprechend der Definition von "Verbraucherberichten" ("consumer reports") des US Fair Credit Reporting Act.

Zitat zu Punkt 2:

"Bei jeder Transaktion über Google Payments können wir Informationen zur Transaktion erfassen. Hierzu zählen: Datum, Uhrzeit und Betrag der Transaktion, Händlerstandort und -beschreibung, eine vom Verkäufer bereitgestellte Beschreibung der gekauften Waren oder Dienste, Fotos, die Sie der Transaktion beigefügt haben, der Name und die E-Mail-Adresse des Verkäufers und Käufers bzw. des Absenders und Empfängers, die verwendete Zahlungsmethode, Ihre Beschreibung für den Grund der Transaktion sowie gegebenenfalls das mit der Transaktion verbundene Angebot.

Zitat zu Punkt 3:

"Neben der in der Datenschutzerklärung von Google erläuterten Nutzung verwenden wir die Informationen, die Sie uns, GPC oder einer unserer anderen Tochtergesellschaften bereitgestellt haben, sowie die personenbezogenen Daten, die wir von Drittanbietern erhalten, um Ihnen Google Payments-Dienste bereitzustellen und Sie vor Betrug, Phishing oder anderen Verstößen zu schützen. Diese Informationen können auch zur Unterstützung von Drittanbietern bei der Bereitstellung von Produkten oder Diensten genutzt werden, die Sie bei diesen Anbietern angefordert haben. Wir verwenden die Informationen auch zur Überprüfung Ihres Google Payments-Kontos...."

Zitat zu Punkt 4:

"Die von uns erhobenen Daten, einschließlich der von Drittanbietern eingeholten Informationen, stehen auch unseren Tochtergesellschaften zur Verfügung. Diese Unternehmen befinden sich im Besitz und unter der Kontrolle von Google LLC. Unsere Tochtergesellschaften, bei denen es sich um Finanz- und Nicht-Finanzunternehmen handeln kann, verwenden derartige Informationen für ihre Standardgeschäftszwecke."

Zitat zu Punkt 5:

"Wenn Sie nicht möchten, dass zwischen GPC und seinen Tochtergesellschaften personenbezogene Daten zu Ihrer Kreditwürdigkeit ausgetauscht oder von uns erhobene und weitergegebene personenbezogene Daten von unseren Tochtergesellschaften zu Vermarktungszwecken genutzt werden oder dass Google LLC oder seine Tochtergesellschaften Drittanbieter, deren Website oder App Sie besuchen, darüber informieren, ob Sie ein Google Payments-Konto haben, das zur Bezahlung bei diesem Händler genutzt werden kann, melden Sie sich in Ihrem Konto an, rufen Sie die Seite mit den Datenschutzeinstellungen von Google Payments auf und ändern Sie Ihre Einstellungen."

Die Autorin

E-Mail

m.ruhenstroth@mobilsicher.de

PGP-Key

0xAC27FCDCF277F1E4

Fingerprint

E479 C1CD 0FC9 E373 A4B3 F5DB AC27 FCDC F277 F1E4

Miriam Ruhenstroth

Projektleiterin. Miriam Ruhenstroth hat mobilsicher.de seit Beginn des Projektes begleitet – zuerst als freie Autorin, später als Redakteurin. Seit Januar 2017 leitet sie das Projekt. Davor arbeitete sie viele Jahre als freie Technik- und Wissenschaftsjournalistin.

Weitere Artikel

YouTube-Video 

Video: iPhone zurücksetzen trotz Sperr-Code

Warum sind iPhones eigentlich für Diebe so wertvoll? Ganz einfach: Auch mit PIN-Code gesperrte Handys können über die äußeren Tasten gelöscht und neu in Betrieb genommen werden. Wie das geht und wie Sie es verhindern können, erfahren Sie im Video.

Ansehen
YouTube-Video 

5 Sicherheitstipps für Android

Per Voreinstellung lassen Android-Handys auch dann persönliche Informationen nach außen dringen, wenn der Bildschirm gesperrt ist. Mit unseren Tipps können Sie Ihr Smartphone sicherer machen - damit es die Geheimnisse, die Sie ihm anvertrauen, auch wirklich für sich behält.

Ansehen
Ratgeber 

Tracking im Internet: Cookies, Cache & Co.

Wer im Internet surft, hinterlässt Spuren. Es gibt viele Möglichkeiten, diese Datenspuren zu sammeln. Welche Informationen dabei zu wem gelangen, ist für Nutzer meist nicht transparent. Wir zeigen die wichtigsten Tracking-Arten, und wie man sich davor schützen kann.

Mehr
Schwerpunkt 

Der Start mit Android: Alles Wichtige für den Einstieg

Sie fangen gerade erst an, sich mit Sicherheit und Datenschutz auf Ihrem Android-Handy zu beschäftigen? Dann finden Sie hier die Grundlagen für den Start: Wie Sie ein Gerät richtig einrichten, die wichtigsten Sicherheitseinstellungen und Tipps zu Bildschirmsperre und Passwort.

Mehr