Die Datenschutzkonferenz (DSK) veröffentlichte einen weiteren Beschluss zum kontaktlosen Bezahlen. Dies ist immer mehr in verschiedenen Varianten derzeit möglich. Der Übertragungsstandard NFC (Near Field Communication) wird für Geld- und Kreditkarten sowie für mobiles Bezahlen mit dem Smartphone genutzt.

BEREITS FRÜHERE DATENSCHUTZRECHTLICHE VERORDNUNGEN

Die Datenschutzaufsichtsbehörden begleiten die Entwicklung aus datenschutzrechtlicher und –technischer Sicht. So wurde bereits im Beschluss des Düsseldorfer Kreises vom 19. September 2012 zu „Near Field Communication (NFC) bei Geldkarten“ auf die datenschutzrechtlichen Grundanforderungen hingewiesen. Mittlerweile sind die Verantwortlichen vielen dieser Forderungen nachgekommen bzw. mit deren Umsetzung befasst.

GRUNDSÄTZLICHE FORDERUNGEN ZUM KONTAKTLOSEN BEZAHLEN

Nach Artikel 35 DS-GVO ist die Notwendigkeit einer Datenschutz-Folgeabschätzung gründlich zu prüfen.
Außerdem sind die Karten ausgebenden Institute dazu verpflichtet, den Nutzern/innen umfassende und verständliche Informationen über die Datennutzung, -erhaltung und -verarbeitung bereitzustellen. Bei Bezahlverfahren, die ein Smartphone als Grundlage voraussetzen, ist weiterhin auf die einhergehenden Risiken zu informieren und hinzuweisen. Folglich sind Hinweise zur Risikominimierung bereitzustellen.
Kunden sind darüber zu unterrichten, dass eine kostenlose Schutzhülle zur Verfügung steht.
Es muss sichergestellt sein, dass durch Voreinstellung die NFC-Funktion zunächst deaktiviert ist. Den Kundinnen und Kunden muss ermöglicht werden, die NFC-Funktion jederzeit abschalten zu können. Alternativ können auch Karten ohne NFC- Funktion angeboten werden, ohne dass für Kundinnen und Kunden Mehrkosten entstehen.
Um das unberechtigte Auslesen etwaiger personenbeziehbarer Daten zu verhindern, ist die drahtlose Kommunikation zwischen (virtueller) Karte und Terminal zu verschlüsseln. Die (Kredit-)Wirtschaft wird aufgefordert, die zurzeit laufenden Arbeiten an einer internationalen Spezifikation der Verschlüsselung weiterhin zu forcieren. Auch bleiben weitere Maßnahmen zur technisch-organisatorischen Absicherung von NFC-basierten Konzepten – wie z.B. die Randomisierung der Kartennummer – fortgesetzt aktuell.
Es sollte grundsätzlich keine Möglichkeit des kontaktlosen Auslesens einer wiederkehrenden Kennziffer (z.B. Kartennummer) möglich sein, die unter Umständen zu Zwecken der Profilbildung herangezogen werden kann.
Bei Bezahlverfahren, die ein Smartphone voraussetzen, ist die Bezahl-App von den ausgebenden Kreditinstituten aktuell zu halten. Die Kundinnen und Kunden sind dazu anzuhalten, nur die aktuellen Software- und Betriebssystemversionen
einzusetzen. Bei nicht aktualisierten Software- und Betriebssystemversionen ist mindestens kontinuierlich und unübersehbar darauf hinzuweisen, wenn die Anwendungen zu Sicherheitsrisiken führen.
Die Karten ausgebenden Institute werden darauf hingewiesen, dass etwaige auf der Karte vorhandene Drittanwendungen, die geeignet sind, das Pseudonymisierungskonzept des Bezahlsystems zu unterlaufen, eine neue datenschutzrechtliche Bewertung erforderlich machen. Zudem sind die Drittanbieter darauf hinzuweisen, dass und wie eine mögliche Depseudonymisierung infolge unsachgemäßer Belegung von Datenfeldern zu vermeiden ist.