Kreditkartenzahlung per RFID: Bei vier Zentimetern ist der Datenschutz passé

Wen lange Schlangen und ewiges Warten an der Kasse nerven, der dürfte sich über die neue Methode zum schnellen Bezahlen freuen. Als "Near Field Communication (NFC)" wird der neue Standard bezeichnet, der bargeldloses Bezahlen ermöglicht und für einigen Wirbel sorgt. Grund ist die Technik dahinter, denn NFC basiert auf RFID-Chips zum drahtlosen Funken. Auf diesen Funkchips sind bei den neuen Kreditkarten die Kartennummer sowie das Ablaufdatum unverschlüsselt gespeichert. Hält man die Karte zum Bezahlen vor das Terminal, in dem sich die Sende- und Empfangsantenne befinden, werden die Chips von den Funkwellen zum Leben erweckt und die Kartendaten ausgelesen. Beträge bis 25 Euro können so ohne Eingabe von PIN oder Unterschrift bezahlt werden. Abgerechnet wird später über die Kreditkartenrechnung.

Die NFC-Technik birgt aber Risiken und lädt Kriminelle zum Missbrauch ein. Zum einen können die ungeschützten Karten zu finanziellen Schäden führen. Zum anderen spielen Persönlichkeitsrechte und damit der Datenschutz eine entscheidende Rolle.

Datenschutzrechtlich problematisch ist, dass die Kreditkartennummern unverschlüsselt auf den Funkchips gespeichert sind und die Zuordnung zum Karteninhaber theoretisch leicht ist, weil die Nummern in zahlreichen Kundenprofilen gemeinsam mit Name und Adresse des Karteninhabers gespeichert sind. Kreditkartennummern sind daher bestimmbar und gelten als personenbezogene Daten. Sie müssen geschützt werden, so verlangt es das Bundesdatenschutzgesetz (BDSG). Ein ausreichender Schutz der Daten ist bei der neuen Bezahlmethode aber schwierig.

Aus Bequemlichkeit offene Daten

Der Handel freut sich über die flächendeckende Einführung, weil Bezahlen schneller und einfacher ablaufen soll als bisher. Bequemlichkeit ist Trumpf, nicht Sicherheit. Probeläufe in Fußballstadien haben gezeigt, dass die Fans deutlich flotter an Bratwurst und Bier gelangen, wenn kein Wechselgeld nötig ist und jeder passend zahlt. In Geschäften sparen sich Kunden die PIN-Eingabe und das Warten auf die Mitteilung, dass die Karte wieder entnommen werden kann.

Aber dass das neue Bezahlen ohne PIN-Eingabe erfolgt, ist Fluch und Segen zugleich. Die PIN fällt weg, damit NFC schnell und bequem ist. Ohne PIN-Eingabe können aber die Kartennummer und das Ablaufdatum nicht verschlüsselt werden. Das heißt, sie müssen im Klartext gefunkt werden. Aus der Sicht der Anbieter Visa und Mastercard eine gewünschten Funktion, keine Sicherheitslücke.

Die offene Speicherung ist jedoch bedenklich, weil Dritte die Kreditkartennummer auslesen und für Bestellungen im Internet missbrauchen können. Zwar sind es die Online-Händler, die haften, wenn sie auf die Abfrage der nicht per Funk auslesbaren Sicherheitsnummer verzichten. Denn ihnen verbleibt die Pflicht, die Legitimation eines Kreditkartenzahlers mit allen nötigen Mitteln zu prüfen. Verbraucherschützer kritisieren aber zu Recht, dass der Kunde sich immerhin darüber erklären muss, dass nicht er die Bestellung getätigt hat.

RFID nicht ohne Transparenz zulässig

Außerdem ist nicht ausgeschlossen, dass Karteninhaber in der Öffentlichkeit automatisch identifiziert und Bewegungsprofile von ihnen erstellt werden. Datenschutz bedeutet auch, solche Szenarien bereits im Keim zu ersticken. Ob tatsächlich ein Händler aus Vermarktungsinteressen nachverfolgt, wer wann und wie oft das Geschäft oder die Umkleide aufsucht, spielt keine Rolle. Jeder Fleck, dem sich die Kreditkarte im Portemonnaie oder in der Handtasche auf bis zu vier Zentimetern nähert, könnte als Antenne dienen und lauschen – seien es Drehkreuze an Ein- und Ausgängen, Regale in Kaufhäusern, Fahrstühle oder Smartphones in dichtem Gedränge. Vier Zentimeter sind keine sichere Distanz für ein Datenschutzkonzept, das allein auf räumlichem Abstand basiert.

Schuld ist die Freigiebigkeit der RFID-Chips. Diese können nicht unterscheiden, ob eine autorisierte Antenne die aktivierenden Wellen aussendet. Gesetzliche Vorgaben, um RFID in den Griff zu bekommen, gibt es derzeit wenige. Aus dem Jahr 2001 stammt § 6c BDSG, der zumindest einen Teilbereich der RFID-Problematik abdeckt, aber ursprünglich für nichtfunkende Chipkarten geschaffen wurde.

Hinter der Norm verbirgt sich das allgemeine Transparenzgebot. Kreditinstitute und andere Unternehmen, die auf RFID setzen, müssen ihre Kunden umfassend informieren. Die Karteninhaber müssen über die Funktionsweise, die Arten der betroffenen Daten und ihre Rechten aufgeklärt werden.

Unternehmen müssen auch RFID-Daten schützen

Hinzu kommt in jedem Fall die Pflicht für Kreditinstitute und andere Unternehmen, gespeicherte personenbezogene Daten mit den nötigen Maßnahmen zu schützen. Selbst wenn der Kunde den Datenspeicher in Form der Kreditkarte mit sich herum trägt, bleibt das Unternehmen verpflichtet, für die nötige Datensicherheit zu sorgen. Der Kunde kann den Chip nicht kontrollieren. Um die Verschlüsselung führt kein Weg herum. Dass vier Zentimeter Distanz keinen vergleichbaren Schutz bieten, hat das Fernsehmagazin "Report München" in Praxisbeispielen bewiesen.

Eine größere Rolle spielen könnte die Vorgabe aus § 6c Abs. 3 BDSG. Danach muss der Betroffene erkennen können, ob Kommunikationsvorgänge eine Datenverarbeitung auslösen. Im Klartext: Wenn der Chip arbeitet, soll der Kunde dies sehen oder hören können. Beim Bezahlen erledigen dies die NFC-Kartenterminals durch Blinkleuchten und Geräusche.

Allerdings dürften nur in den seltensten Fällen die Daten über ordnungsgemäß blinkende Kartenterminals ausgespäht werden. Wirksamer wäre eine Signalpflicht für den passiven Part, nämlich die RFID-Chips. Könnten die Chips der Kreditkarten selbst vermelden, dass die Daten gerade verlustig gehen, wäre bei unverschlüsselten Funkchips wenigstens eines gewahrt: Die Transparenz.

Rechtsanwalt Dr. Karsten Kinast, LL.M., ist Partner der auf Datenschutzrecht spezialisierten Kanzlei Kinast & Partner in Köln und als externer Datenschutzbeauftragter für eine Vielzahl national und international agierender Unternehmen bestellt.

Sebastian Schreiber ist Wissenschaftlicher Mitarbeiter der Kanzlei Kinast & Partner und promoviert derzeit mit einer zivilrechtlichen Arbeit unter anderem im Bereich des Datenschutzrechts.