NFC: Berührungslos, aber nicht risikolos

21. März 2013, 08:51
8 Postings

Bezahlen im Vorbeigehen ermöglicht die Technologie - Sie wirft auch knifflige Rechtsfragen auf

Kein verzweifeltes Suchen nach dem Parkschein im Parkhaus, keine endlose Schlange an der Kasse des Supermarktes oder am Check-in Schalter eines Flughafens, keine unzähligen Kundenkarten im Portemonnaie - NFC soll es ermöglichen.

Hinter dem Begriff "Near Field Communication" (kurz NFC) verbirgt sich eine drahtlose Übertragungstechnik auf Induktionsbasis, die zum kontaktlosen Datenaustausch zwischen Geräten mit nur wenigen Zentimetern Abstand dient.

Grundsätzlich ist kabelloser Datenaustausch nichts Neues. Schon bisher war dies beispielsweise mittels Bluetooth und WLAN möglich. Voraussetzung hierfür ist allerdings, dass der Nutzer den Datenaustausch mittels Passworteingabe zulassen muss. Im Unterschied hierzu erfolgt die Datenübertragung im Rahmen von NFC ausschließlich aufgrund der physischen Nähe des Nutzers zu einem Endgerät.

Multifunktionsgeräte

Zahlreich Smartphones sind mit NFC-Technologie ausgestattet, die das Handy zum Multifunktionsgerät verwandelt. So soll dadurch etwa bargeldloses Bezahlen möglich sein, indem allein durch die Nähe des Smartphones zum Kassengerät der Betrag vom Konto des Kunden abgebucht wird. Händler erkennen in NFC zudem ein großes Potenzial für Marketing. Kunden, die sich im Geschäft aufhalten oder an diesem vorbeigehen, kann binnen Sekundenschnelle zielgenaue Werbung auf das Display übermittelt werden. Auch Kundenkarten sollen in Zukunft über das Smartphone digitalisiert und durch dieses ersetzt werden. NFC bietet somit beinahe grenzenlose Möglichkeiten, jedoch aus rechtlicher Sicht auch zahlreiche Gefahren, die beim Einsatz der neuen Technologie zu beachten sind.

Datensicherheit

Sowohl Händler als auch Zahlungsdienstleister und Banken, die NFC im Rahmen des Geschäftsbetriebes nutzen wollen, sollten deren Risiken im Auge behalten und bei der Ausgestaltung der jeweiligen Kooperationsverträge berücksichtigen. Hinzuweisen ist zunächst auf den Grundsatz der Datensicherheit nach § 14 Datenschutzgesetz. Demnach ist jedermann, der Daten erhebt oder verwendet, verpflichtet, diese vor unbefugtem Zugriff oder Zerstörung zu schützen. Neben der Notwendigkeit der vertraglichen Regelung, wer für die technische Sicherheit der Endgeräte verantwortlich sein soll, ist auch festzulegen, wer gegenüber dem Kunden für einen Datenverlust oder Missbrauch einzustehen hat.

Pilotprojekte im Einsatz mit NFC haben gezeigt, dass es durch die unverschlüsselte Datenübertragung im Rahmen des bargeldlosen Bezahlens zu Hacking und unbefugten Transaktionen kommen kann. Hier stellt sich die Frage, wer dem "geprellten Kunden" zur Rückzahlung verpflichtet sein soll.

Eine Haftung des Händlers scheidet mangels Vertragsbeziehung regelmäßig aus, übrig bleibt ein bereicherungsrechtlicher Anspruch gegenüber dem Datendieb, der selten zu ermitteln sein wird. Im Raum steht jedenfalls eine Ersatzpflicht des Zahlungsdienstleisters (z. B. Kreditkartenfirmen) des Kunden nach § 44 Zahlungsdienstegesetz.

Bereicherungsanspruch

Nicht auszuschließen ist auch, dass der zu bezahlende Betrag aufgrund eines technischen Fehlers vom Konto des Nachbarn in der Kassenschlange abgebucht wird. Dies würde wohl zu einem bereicherungsrechtlichen Anspruch des Geschädigten gegenüber dem Zahlungsdienstleister des Händlers führen.

Laut Wall Street Journal hat Google eine Allianz mit MasterCard und CitiBank hinsichtlich der Bezahlung über NFC geschlossen. Brisantes Detail am Rande: Google erwartet keine Umsatzbeteiligung von den Kooperationspartnern, sondern sieht offensichtlich eine andere, ausreichende Einnahmequelle: Kundendaten. Statt an der Zahlung direkt zu verdienen, beabsichtigt Google, dem Kunden zielgenaue Werbung und Informationen zuzusenden, abhängig von dessen jeweiligem Standort. Während also eine Bezahlung über NFC vorgenommen wird, werden persönlichen Daten (Transaktionsdaten, gekaufte Ware, Uhrzeit) unter Umständen an Dritte übermittelt und dort weiterverarbeitet - ein Faktum, das vielen Nutzern oftmals nicht bewusst ist und rechtliche Folgen für den Händler haben kann.

Die erwähnte Kooperation von Google impliziert ein wesentliches datenschutzrechtliches Problemfeld, nämlich den Austausch von Kundendaten zwischen verschiedenen Unternehmen zu kommerziellen Zwecken. Aus marketingtechnischer Sicht ermöglicht dies zwar eine maßgeschneiderte Werbung gegenüber den einzelnen Verbrauchern, zu beachten ist dabei jedoch, dass eine Übermittlung von Daten an Dritte im Regelfall nur aufgrund einer ausdrücklichen Zustimmung des Kunden zulässig ist. Die Rechtsprechung des OGH knüpft an die Gültigkeit einer solchen Zustimmung strenge Voraussetzungen.

Nur wenn der Verbraucher darüber informiert wird, welche seiner Daten für welche konkreten Zwecke erhoben werden und wer Empfänger dieser Daten sein soll und nur, wenn er dieser Vorgehensweise im Voraus zugestimmt hat, ist eine Übermittlung zulässig. Eine "versteckte" Zustimmung, etwa über Allgemeine Geschäftsbedingungen, ist hierfür grundsätzlich nicht ausreichend.

Kunde muss zustimmen

Sollte somit ein Datenaustausch mit anderen Unternehmen geplant sein, ist auf die gültige Zustimmungserklärung des Kunden Bedacht zu nehmen. Zudem könnte für den Datentransfer auch eines Melde- oder Genehmigungsverfahren bei der österreichischen Datenschutzkommission nötig sein.

Abgesehen von den angeführten datenschutzrechtlichen Implikationen birgt Direktwerbung an den Kunden via der NFC-Technologie ein weiteres Gefahrenpotenzial. Nach § 107 Telekommunikationsgesetz bedarf elektronische Post (E-Mail, SMS) zu Werbezwecken ebenfalls regelmäßig der vorherigen, ausdrücklichen und jederzeit widerruflichen Zustimmung des Empfängers. Eine Nichtbeachtung dieser Vorschrift kann zu erheblichen Verwaltungsstrafen sowie zu Klagen auf Unterlassung und Schadenersatz nach dem Gesetz gegen den unlauteren Wettbewerb (UWG) führen.

Wenngleich NFC somit eine für Unternehmer attraktive Technologie mit großem Potenzial ist, sollte ihr Einsatz wohlüberlegt werden. (Von Johannes Juranek und Lelio Colloredo-Mannsfeld, DER STANDARD, 21.3. 2013)

  • Bild nicht mehr verfügbar
Share if you care.