XI. Tätigkeitsbericht des Landesbeauftragten für den Datenschutz Sachsen-Anhalt vom 01.04.2011- 31.03.2013

Die Near Field Communication (NFC)-Technologie entwickelt sich zum anbieterübergreifend genutzten Übertragungsstandard zur drahtlosen Bezahlung. Sie erlaubt einen kontaktlosen Datenaustausch im Nahbereich. Dieser beträgt normalerweise nur etwa „3 bis 5“ Zentimeter, aber auch bei einem Anbieter laut Selbstauskunft „bis zu ca. einem halben Meter“. Insbesondere der Handel und die Automatenwirtschaft haben ein großes Interesse an der Nutzung dieses kontaktlosen Bezahlverfahrens. Teilweise bieten sie es bereits an Kassen aller Art an. Banken und Sparkassen bieten Karten mit NFC-Funktion unter verschiedenen Namen an. Bei den Sparkassen werden diese für Geldbeträge bis 20 Euro genutzt. Über eine Handy-App bzw. im Handel mit einem passenden Kartenlesegerät lassen sich die letzten 15 Bezahltransaktionen und die letzten 3 Aufladungen anzeigen. Grundsätzliche Zielstellung ist, dass dies anonym und sicher funktionieren soll. In Zukunft werden weitere Funktionen beispielsweise für die Handy-Apps erwartet. Diese sollen dann auch die kontaktlose Geldbörse aufladen können oder mobile Zahlungsvorgänge via Handy ermöglichen. Auch die Kreditkartenanbieter verfügen über Anwendungen und Verfahren zur kontaktlosen Bezahlung. Mit dem Thema NFC beschäftigen sich sowohl die Arbeitsgruppe Kreditwirtschaft des Düsseldorfer Kreises als auch der Arbeitskreis Technik der Konferenz der Datenschutzbeauftragten des Bundes und der Länder seit längerem.

Mobiles Bezahlen ist mittlerweile auch mit Hilfe von mobilen Kartenlesegeräten möglich. Hier ist der Kartenleser mit dem Smartphone des Händlers verbunden. Die Abrechnung erfolgt über eine Drittfirma. Problematisch ist der Umstand, dass Daten von z. B. Kreditkarten durch Schadsoftware auf dem Smartphone abgefangen werden können. Hier müssen insbesondere die Smartphone-Hersteller dafür sorgen, dass Anwendungen und deren Daten besser vor unberechtigten Zugriffen von Fremdanwendungen abgeschirmt werden.

Das Touch&Travel-System der Deutschen Bahn AG steht allen Kunden seit November 2011 zur Verfügung. Seit Dezember 2012 ist die generelle Nutzung NFC-fähiger Handys neben beispielsweise manuellen oder QR-Code-basierten Eingaben möglich. Leider geht der Komfortgewinn zu Lasten des Datenschutzes, denn es wird ein detailliertes Kundenprofil aufgebaut. Mehr noch, der Reisende muss sein Handy eingeschaltet lassen, damit ein Bewegungsprofil (Mobilfunkzellen bzw. GPS-basiert) erstellt werden kann. Denkbar wäre es alternativ auch, dass ein Kunde ohne Nachverfolgung durch die Deutsche Bahn AG reist und sich nur an Start-, Halte- und Endpunkten am System anmeldet, das Bewegungsprofil aber beim Kunden hinterlegt und nicht an die Bahn transferiert wird. Ein Missbrauch könnte auch durch vorherige Festlegung eines Reiseziels im Handy ausgeschlossen werden. Hier ist die Papierfahrkarte eindeutig im Vorteil. In Japan werden derartige Kundenprofile bereits an andere Unternehmen verkauft. Ein solches Szenario sollte in Deutschland verhindert werden.

Alle drahtlosen (kontaktlosen) Kommunikationsverfahren erlauben mehr oder weniger einfach das unberechtigte Mitlesen des Roh-Datenstroms. Es ist deshalb wichtig, mit technisch-organisatorischen Maßnahmen wie zeitgemäßer Verschlüsselung und Mehrfaktor-Authentisierung zu verhindern, dass personenbezogene Daten offenbart werden. Ansonsten besteht eventuell die Möglichkeit, dass Kartennummern, Geldbeträge oder vergangene Transaktionen unberechtigt auslesbar sind, weil auf angemessene Schutzmaßnahmen verzichtet wurde. Nutzer sollten die NFC-Funktionen der Karten aktivieren und deaktivieren und die Betrags-Limits passend setzen können (hierauf weist auch der Düsseldorfer Kreis in seinem Beschluss vom 18./19. September 2012 hin, vgl. Anlage 31). Als Alternative hierzu bieten zurzeit kontaktbehaftete Verfahren mehr Sicherheit.

Eine datenschutzgerechte Umsetzung von kontaktlosen Bezahlangeboten ist nur möglich, wenn diese bereits bei der Entwicklung entsprechend gestaltet wurden. Ein positiver, auch durch die Datenschutzbeauftragten des Bundes und der Länder begleiteter Prozess, ist die Anwendung des Privacy Impact Assessment (PIA) durch Unternehmen selbst. Hier sind beispielhaft die PIAs der Geldkarte der Deutschen Kreditwirtschaft (girogo), der kontaktlosen Zahlungsverfahren von VISA (PayWave) und von MasterCard (PayPass) zu nennen. Durch eine systematische Analyse der Auswirkungen einer Anwendung oder eines Verfahrens auf die Privatsphäre und den Datenschutz, mittels eines PIA (Datenschutzfolgeabschätzung), besteht bei richtiger Umsetzung die Möglichkeit für Unternehmen, datenschutzgerechte Technologien zu entwickeln. Ziel des PIA ist es auch, die Unternehmen anzuhalten, „Privacy-by-Design“ sicherzustellen.

Die Datenschutzbeauftragten des Bundes und der Länder werden in ihren Arbeitsgremien die Entwicklung weiter konstruktiv beratend, aber auch kritisch begleiten.