Google Pay: Was Sie über den Bezahldienst wissen sollten

Screenshot youtube.com Screenshot youtube.com

Mit der App Google Pay kann man in Apps und an der Kasse bezahlen. Das kann sicherer sein als per Kreditkarte. Aus Datenschutzsicht ist der Dienst aber nicht empfehlenswert: Google erfasst die gesamte Kaufhistorie, wertet sie aus und teilt sie mit Anderen.

___________________

Von Miriam Ruhenstroth & Inga Pöting

___________________

Das ist Google Pay

Google Pay ist der Bezahldienst von Google. In Deutschland startete er im Juli 2018. Um den Dienst zu nutzen, muss man sich die App Google Pay aus dem Google Play-Store oder aus Apples App Store herunterladen. Auf manchen Android-Geräten ist sie schon vorinstalliert.

Um mit der App zu bezahlen, müssen Sie entweder ein aktives PayPal-Konto oder eine Kreditkarte einbinden. Damit Sie eine Kreditkarte in der App hinterlegen können, muss Ihre Bank mit Google Pay kooperieren. Klassische Girokarten (EC-Karten) werden momentan noch nicht unterstützt.

Inzwischen arbeiten etliche Banken mit Google Pay zusammen, darunter Commerzbank, DKB und IngDiba. Die vollständige Liste der Banken und deren akzeptierten Karten finden Sie auf dieser Info-Seite von Google.

Beim Anlegen des Pay-Kontos fragt Google nach Namen, Adresse und Telefonnummer sowie nach der Kreditkartennummer und dem CSV-Code (drei Zahlen auf der Kartenrückseite). Wer sein Google-Konto bisher ohne Adressdaten genutzt oder einen anderen Namen verwendet hat, muss sich jetzt also zu erkennen geben.

Wie sicher ist Bezahlen mit dem Handy?

Prinzipiell hat Google Pay einige Sicherheitsvorteile gegenüber der traditionellen Bankkarte: Die App überträgt niemals die eigentliche Kartennummer, sondern immer nur ein sogenanntes Token. Aus der App selbst lässt sich die Kreditkartennummer nicht auslesen, denn sie ist dort nicht gespeichert.

Google Pay funktioniert nur mit Handys, die eine Bildschirmsperre eingerichtet haben. Bis 50 Euro können Sie ohne Entsperrung des Bildschirms bezahlen – allerdings nur wenige Male hintereinander.

Im Verlustfall ist der Schaden also überschaubar und Ihre eigentliche Bankkarte liegt bestenfalls sicher zu Hause.

Eigene Datenschutzerklärung bei Google Pay

Was viele Nutzer*innen beim Einrichten von Google Pay übersehen könnten: Um den Bezahldienst zu nutzen, muss man eigene Nutzungsbedingungen und eine eigene Datenschutzerklärung akzeptieren. Das ist bei einem Google-Dienst ungewöhnlich: Normalerweise gilt die allgemeine Datenschutzerklärung von Google.

Doch Google Pay wird von der „Google Payment Corp“ angeboten (GPC), einem Tochterunternehmen des Google-Konzerns. Diese Datenschutzerklärung sichert der GPC folgende Rechte zu (die ganzen Zitate zu den einzelnen Punkten finden Sie im Kasten weiter unten):

1. Die GPC hält sich offen, Hintergrundinformationen über einzelne Nutzer*innen hinzuzukaufen.

Das schließt explizit sogenannte consumer reports ein. Gemeint sind damit Hintergrundberichte zu Personen, die von der Kreditwürdigkeit bis zum Strafregister alles mögliche enthalten können.

2. Die GPC darf erfassen, was Nutzer*innen wann bei wem kaufen, wie teuer es ist und wie sie es bezahlen.

Einschränkung: Informationen darüber, was gekauft wurde, fallen beim Bezahlen an der Ladenkasse nur an, wenn der Händler diese Informationen weitergibt. In der Standardausstattung der Kassen werden diese Informationen momentan nicht protokolliert.

3. Die GPC zieht sämtliche Informationen über eine*n Nutzer*in heran, die bei Google oder bei Tochterunternehmen von Google vorhanden sind.

Dabei geht es darum, Betrug oder Fehlverhalten zu bekämpfen und um zu prüfen, ob Nutzer*innen sich an die Geschäftsbedingungen halten. Google unterstützt mit diesen Informationen auch Händler*innen, bei denen man einkaufen will. Was genau „unterstützt“ bedeutet, sagt Google nicht.

4. Die GPC teilt alle erfassten Informationen mit Google und seinen Tochterunternehmen.

Dazu können auch – das sagt das Dokument explizit – Finanzunternehmen gehören. Diese können die Informationen für ihren jeweiligen Geschäftszweck nutzen.

5. Es gibt eine sehr versteckte Widerspruchsmöglichkeit.

In der Datenschutzerklärung sind Opt-out-Möglichkeiten genannt. Zum Beispiel könne man in seinem Google-Konto einstellen, dass keine Informationen zur Kreditwürdigkeit zwischen Tochterunternehmen ausgetauscht werden. Im Umkehrschluss bedeutet das: Ohne Widerspruch werden solche Informationen ausgetauscht.

Die Möglichkeit zum Wiederspruch befindet sich im Google-Payment-Center unter dem Punkt Einstellungen. Der Erklärtext neben dem Widerspruchs-Häkchen weist dabei nur darauf hin, dass Verkäufer*innen von Google nicht mehr erfahren, ob Sie Google-Pay nutzen – was unter Umständen bedeutet, dass diese Zahlungsoption dann wegfällt. Dass man an dieser Stelle auch dem Austausch von Informationen zwischen Googles Tochterunternehmen widerspricht (!), erfahren Nutzer*innen nur beim aufmerksamen Lesen der Datenschutzerklärung.

Google als globale Kreditauskunft?

Die obigen fünf Punkte sind höchst problematisch, denn: Mit diesen Daten und Verwertungsrechten könnte aus Google Pay eine globale SCHUFA werden, also ein Unternehmen, das zahlenden Kund*innen Auskunft über die Kreditwürdigkeit von Privatpersonen gibt.

Spätestens dann stellen sich dringende Fragen zu Transparenz und Kontrolle:

  • Welche Faktoren beeinflussen die Kreditwürdigkeit?
  • Was wertet Google als Fehlverhalten?
  • Was geschieht, wenn ich unverschuldet in Misskredit gerate, zum Beispiel, weil jemand meine Bezahldaten missbraucht?
  • Wen rufe ich bei Google an, um die Sache in Ordnung zu bringen?
  • Erfahre ich davon, wenn Google mich als „nicht kreditwürdig“ einstuft, oder verweigern mir einfach alle Verkäufer*innen, die Google Pay anbieten, plötzlich die Zahlung, ohne Angabe von Gründen?

Und: An wen könnte Google sein Wissen verkaufen? Für Arbeitgeber*innen, Banken oder Behörden können solche Daten sehr wertvoll sein.

Dass Google seine Informationen aus Google Pay in der Branche „Kreditauskunft und Bonitätsprüfung“ zu Geld macht, ist nicht unwahrscheinlich: So stieg die Investitionsgesellschaft des Konzerns, Google Capital, schon 2014 mit über 40 Millionen US-Dollar bei der Firma Kredit Carma ein, die sich auf Credit-Scoring spezialisiert hat.

Fazit: Nicht empfehlenswert

Aus Datenschutzperspektive können wir von Google Pay aus diesen Gründen nur abraten.

Es gibt viele andere Möglichkeiten, für Produkte oder Dienstleistungen zu bezahlen. Daten fallen bei bargeldloser Bezahlung zwar immer an – bei der eigenen Bank sind sie jedoch vergleichsweise sicher aufgehoben.

Detaillierte Informationen über das eigene Kaufverhalten an Google weiterzugeben, ist aus unserer Sicht ein zu hoher Preis für ein wenig mehr Service.

 


Dieser Artikel steht unter der Lizenz Creative Commons Namensnennung-Keine Bearbeitung 3.0 Deutschland.