Kontaktlos bezahlen mit dem Android-Smartphone (Foto: Mastercard)

Was zur Hölle… Soll ich wirklich kontaktlos mit Google Pay zahlen?

Im Sommer 2018 poppte kurz, aber heftig das Thema „Kontaktlos bezahlen mit dem Smartphone“ auf, getrieben vor allem durch die massive PR rund um Apple Pay. Als dann Google mit seiner Payment-Lösung nachzog, brachte das deutlich weniger Medienecho. Und die deutschen Verbraucher stiegen auch nicht wirklich massenhaft auf den Pay-Zug auf. Das lag vor allem daran, dass beide Systeme anfangs nur von relativ wenig Banken unterstützt wurden und man nur teilnehmen konnte, wenn man im Besitz einer der unterstützten Kreditkarten war. Das ist bei Apple Pay immer noch so. Bei Google Pay liegt der Fall anders, denn dieses kontaktlose Bezahlsystem kann man seit einiger Zeit auch nutzen, wenn man einen PayPal-Account hat.

Google Pay bankunabhängig mit PayPal nutzen

Valide Zahlen darüber, wie viele User auf Apple Pay oder Google Pay eingestiegen sind und wie viele Bezahlvorgänge durchschnittlich getätigt werden, liegen nicht vor. Bekannt ist noch nicht einmal die genau Anzahl Terminals, an denen man überhaupt kontaktlos bezahlen kann. Aber wenn man stichprobenartig das Verhalten der Kunden an den Kassen der großen Supermärkte, die kontaktloses Bezahlen anbieten, beobachtet, dann stellen diejenigen, die ihr Smartphone mal eben ans Terminal halten, eine sehr, sehr kleine Minderheit dar. Verbraucher, die den Einkauf kontaktlos mit ihrer Bank- oder Kreditkarte sind dagegen gar nicht mehr so selten.

So wird PayPal als Zahlart in Google Pay eingerichtet (Abb.: Google)
So wird PayPal als Zahlart in Google Pay eingerichtet (Abb.: Google)
Dabei ist die Anwendung von Google Pay in Kombination mit einem PayPal-Account wirklich einfach. Voraussetzung ist, dass man die Google-Pay-App heruntergeladen und installiert hat. Und natürlich, dass das Android-Smartphone mit dem eigenen Google-Konto verbunden ist. Innerhalb der App muss wenigstens eine „Karte“ angegeben werden, die beim Zahlen per Google Pay belastet werden soll. Der große Unterschied zu Apple Pay ist nun, dass ein PayPal-Account als „Karte“ angegeben wird – allerdings nur, wenn dieser mit einem deutschen Bankkonto verbunden ist. Weil dieses in PayPal genutzte Bankkonto eben keines einer der Banken sein muss, die Google Pay unterstützen, funktioniert PayPal quasi als Universal-Kreditkarte.

Das Ganze geht nur mit Smartphones mit aktivierter NFC-Funktion, dabei muss das Handy weder mit dem Internet verbunden sein, noch muss die App für den Vorgang gestartet werden. Der normale Ablauf ist dann so: Man entsperrt das Display des Smartphones per Gesichtserkennung, Fingerabdruck, Muster oder PIN und hält das Gerät mit der Rückseite eine Weile an das Terminal. Ist die Zahlung erfolgt, erscheint ein blauer Haken auf dem Display. Zahlungen bis maximal 25 Euro kann man sogar tätigen ohne das Display zu entsperren.

Und wie sicher ist das alles?

Technisch betrachtet wird beim Verknüpfen des PayPal-Accounts mit Google Pay eine virtuelle Mastercard erzeugt, die für den User aber weder auf PayPal, noch bei Google Pay sichtbar wird und für irgendetwas anderes als für das kontaktlose Bezahlen verwendet werden kann. Das heißt, dass eine Kartennummer mit allem Drum und Dran generiert wird, die Google Pay bei Zahlvorgängen belastet. PayPal wiederum gleicht diese Belastung automatisch aus, sodass der Kontostand der Karte nach jedem Bezahlvorgang innerhalb von Sekunden bei 0,00 liegt. Übrigens benutzt PayPal immer zuerst ein eventuelles Guthaben im Konto und belastet dann erst das hinterlegte Bankkonto.

NFC ist aktiviert, wenn dieses Symbol in der  Statusleiste zu sehen ist
NFC ist aktiviert, wenn dieses Symbol in der Statusleiste zu sehen ist
Hat man eine „normale“ Kreditkarte als Zahlart hinterlegt, wird deren Nummer beim Bezahlen NICHT an das Terminal übertragen, sondern ein speziell für den einen Vorgang erzeugter Token. Die benutzte Kreditkartennummer kann also weder unterwegs, noch beim Händler gestohlen werden. Weil das Smartphone zum kontaktlosen Bezahlen entsperrt werden muss, ist die Zahlungssicherheit genauso hoch wie der Schutz gegen die missbräuchliche Verwendung des Handys ganz allgemein. Aber: Weil das Display bei Zahlungen bis 25 Euro nicht entsperrt werden muss, kann prinzipiell jeder, dem das Gerät in die Hände fällt, ohne weiteres in Läden bezahlen, wenn der Betrag unterhalb dieses Limits liegt. Dagegen kann man sich nur schützen, indem man die NFC-Funktion grundsätzlich deaktiviert hält und erst kurz vor dem Bezahlen einschaltet – was die ganze Sache doch eher unbequem macht. Übrigens: Apple-Pay-User sind schlechter dran, weil sich bei iPhones die NFC-Funktion nicht deaktivieren lässt.

Der allgemeine Sperranruf über die Nummer 116116 (24 Stunden lang erreichbar, 365 Tage im Jahr) nutzt leider nichts, weil man damit nur Giro-, Kredit- und SIM-Karten sperren lassen kann. Weil aber Google Pay auch ohne Verbindung mit dem Netz funktioniert, kann man sogar ohne SIM-Karte im Smartphone bezahlen. Und damit ist das größte Sicherheitsrisiko beim Bezahlen mit Google Pay auch schon hinreichend beschrieben.

3 Gedanken zu „Was zur Hölle… Soll ich wirklich kontaktlos mit Google Pay zahlen?“

  1. Sehr schön geschrieben. Kleine Ergänzung: Wenn Du mobile Payment mit CDCVM (Consumer Device Cardholder Validation Method) verwendest (also zum Beispiel die Google/Paypal/vMastercard-Version auf einem Smartphone das per Fingerabdruckscanner entsperrt wird), kannst Du Beträge über 25 € ohne PIN bezahlen. Das Gesicht der Kassierer ist noch unbezahlbar :-) BTW: Das wollen bald auch die Sparkassen für Ihr mobile Payment anbieten.

  2. Gibt es hierfür mittlerweile eine praktikablere Lösung:

    1. Ich stehe an der Kasse
    2. Hole das Handy aus
    3. Entsperre das Handy per Gesichsterkennung.
    4. Muss erst einmal NFC aktivieren
    5. Handy ans Terminal halten.
    6. Handy noch einmal entsperren?
    7. Noch einmal PIN eingeben bei Beträgen über 25€?

    Da bin ich mit GiroCard + manueller PIN-Eingabe tausendmal schneller…

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert