Die Bezahl-App bestimmt, wie das Bezahlen an der Kasse abläuft. © Stiftung Warentest / René Reichelt
Mit Smartphone oder Smartwatch einzukaufen, liegt im Trend. Wir haben uns zwölf populäre Bezahl-Apps genau angesehen.
Alle Testergebnisse für Mobiles Bezahlen 12/2019
Ein kurzes Piepsen und schon gehört die Ware der Kundin. In vielen Geschäften reicht es, das stets griffbereite Smartphone hervorzuholen und an das Kassenterminal zu halten, um zu zahlen. Noch fixer geht es mit der Smartwatch: Es genügt, den Arm im richtigen Winkel zur Kasse zu drehen. Der Vorteil: Es geht rasend schnell. Ist Bargeld im Spiel, dauert ein Zahlvorgang der Statistik nach bis zu 83 Sekunden. Mit Smartphone oder -watch sind es 3 bis 11 Sekunden.
Unser Rat
- Sicherheit.
- Die von uns untersuchten Apps zum Bezahlen bieten hohe Sicherheit. Auf Ihre Daten zuzugreifen, ist für Betrüger kaum möglich: Bei den Zahlungen werden Stellvertreternummern der Kartendaten verwendet (Tokenization). Installieren Sie stets die aktuelle Version Ihres Betriebssystems. Geht Ihr Gerät verloren, melden Sie das Ihrer Bank oder Ihrem Finanzdienstleister.
- Technik.
- Besonders komfortabel ist das Zahlen per Near Field Communication (NFC). Die Technik funktioniert bereits an etwa 800 000 Kassenterminals in Deutschland. Sie müssen dafür klären, ob Ihr Gerät NFC-fähig ist und ob Ihre Bank die App unterstützt, die Sie nutzen möchten (Tabelle Mobiles Bezahlen).
- Kunden-Apps.
- Edeka, Payback und andere Kunden-Apps sammeln Daten. Verwenden Sie sie nur, wenn es Ihnen nichts ausmacht, ein gläserner Kunde zu sein.
Sicherheit und Daten im Check
Keine Frage, das Bezahlen per App ist flott und bequem. Aber ist es auch sicher? Finanztest hat zwölf Bezahl-Apps untersucht, die in Deutschland zum Einsatz kommen. Es ging unter anderem um Sicherheit, Datensendeverhalten, Allgemeine Geschäftsbedingungen (AGB) und Datenschutzerklärungen.
Unser Fazit: Die Bezahl-Apps schützen in hohem Maße vor Betrug. Kunden müssen aber wissen, dass sie beim Zahlen per App Informationen über sich preisgeben. Beim Datensendeverhalten und den Datenschutzbestimmungen liegt noch einiges im Argen. Die Apps von Handelsanbietern wie Edeka, Payback und Netto greifen zudem reichlich Kundendaten ab.
Beim Postbank Finanzassistenten und bei der App der VR-Banken gab es nichts zu beanstanden. Bei der VR-Banken-App konnten wir die Verschlüsselung nicht knacken.
Privates wird sichtbar
Um zu klären, was beim Bezahlen genau passiert, hat eine Testperson jeweils mit einem präparierten Smartphone eingekauft. Wir haben geprüft, ob Daten verschlüsselt übertragen werden und an wen sie fließen.
Sendete die App unnötige Daten, haben wir das Datensendeverhalten als kritisch bewertet. Ein Beispiel dafür sind Informationen über die Position des Nutzers. Die Dienstleister erfahren auf diese Weise, in welcher Filiale eingekauft oder in welchem Restaurant gegessen wurde. Brauchen App-Anbieter solche Informationen über ihre Nutzer? Wir finden: nein.
Speziell geschützt waren die Kundendaten lediglich bei Apple Pay, weil dieser Anbieter ein besonderes Sicherheitsverfahren nutzt und das Schlüsselmaterial (Glossar) in einem gesicherten Bereich auf dem Endgerät lagert. Kunden sollten sich aber bewusst sein, dass bei allen Apps die am Zahlungsvorgang Beteiligten – etwa Kreditkarten-Lizenzgeber oder Finanzdienstleister wie Vimpay – die Transaktionen einsehen können. Experten sind sicher, dass sie das in der Praxis auch tun.
Die Anbieter von Kunden-Apps wie Edeka oder Payback haben ein besonderes Interesse daran, viel über ihre Nutzer zu erfahren. Über die Apps erhalten sie etwa Informationen über Einkäufe und bevorzugte Filialen.
Bei den AGB und Datenschutzbestimmungen gab es teils sehr deutliche Mängel. So behält sich etwa Fitbit das Recht vor, das Konto „zu sperren oder zu deaktivieren“. Bei einigen Anbietern finden Kunden keine AGB, hier gilt insbesondere das Bürgerliche Gesetzbuch (BGB). Für Kunden ist das kein Nachteil: Die BGB-Vorgaben sind streng.
App laden, Geldeinzug bestimmen
Um ohne Portemonnaie zu shoppen, entscheiden sich Kunden zunächst für eine App und richten ein Bezahlverfahren ein. Bei vielen Apps läuft die Abrechnung über bestehende Kreditkartenkonten, manchmal können Kunden eine Girocard als Zahlungsmethode festgelegen.
Apple Pay, Fitbit Pay, Garmin Pay und Google Pay arbeiten mit Finanzdienstleistern wie Paypal oder Boon zusammen, für die sich die Nutzer zunächst registrieren müssen. Bei Kunden-Apps wie Edeka erteilen die Nutzer ein Lastschriftmandat.
Die Bezahl-App bestimmt, wie das Bezahlen an der Kasse abläuft. Es gibt diese Varianten:
Über die NFC-Schnittstelle (z. B. Apple Pay, Google Pay)
Kunden halten ihre Smartwatch oder ihr Fitnessarmband beim Bezahlen an die Kontaktstelle der Kasse. Smartphones werden bei diesem Verfahren in der Regel vor der Zahlung entsichert.
Mit NFC und Karten-Pin (z. B. App der Deutschen Bank, Sparkassen-App)
Kunden entsichern die App oder nur ihr Gerät und halten zum Zahlen ihr Gerät an eine NFC-Kontaktstelle. Zusätzlich müssen sie noch ab einem bestimmten Betrag die Pin ihrer Giro- oder Kreditkarte am Kassenterminal eingeben.
Mit Einmal-Pin (z. B. Netto, Edeka)
Kunden geben in der App an, in welchem Laden sie zahlen möchten. Sie erhalten eine zeitlich begrenzte Einmal-Pin, die sie an der Kasse nennen oder übertragen.
Mit Code (z. B. Payback, Bluecode)
Kunden öffnen zum Bezahlen die App und entsichern sie mit einer Pin oder einem biometrischen Verfahren wie dem Fingerabdruck. Die App erzeugt einen QR- oder Strichcode, den Kunden an die Kontaktstelle der Kasse halten.
Welche Apps welche Bezahlsysteme und Karten unterstützen
Geben Sie an, welche App Sie nutzen möchten. Unsere Übersicht zeigt Ihnen, welches Bezahlverfahren dafür in Frage kommt.
{{data.error}}
| {{col.comment.i}} {{comment.i}} |
|---|
| {{col.comment.i}} {{comment.i}} |
|---|
| {{col.comment.i}} {{comment.i}} |
|---|
- {{item.i}}
- {{item.text}}
Welche Bezahlverfahren mit welcher App möglich sind
Hier können Sie angeben, welches Bezahlverfahren Ihre Bank Ihnen zur Verfügung stellt. Wir sagen Ihnen, welche App Sie nutzen können.
{{data.error}}
| {{col.comment.i}} {{comment.i}} |
|---|
| {{col.comment.i}} {{comment.i}} |
|---|
| {{col.comment.i}} {{comment.i}} |
|---|
- {{item.i}}
- {{item.text}}
Unterschiedliche Technik
Hinter den Zahlvorgängen, die an der Kasse mühelos aussehen, stecken unterschiedliche Technologien. Das Gros der Apps funktioniert über NFC-Schnittstellen. Die Abkürzung NFC (Near Field Communication) steht für drahtlose Übertragungstechnik, die auf Distanzen unter vier Zentimetern funktioniert.
Die Kasse braucht eine NFC-Schnittstelle. Etwa 800 000 Stück gibt es in Deutschland bereits. Auch das verwendete Endgerät muss mit einem NFC-Chip ausgestattet sein, was bei älteren Handys nicht immer der Fall ist. Und schließlich muss die Bank oder Sparkasse des Kunden eine NFC-App unterstützen.
So kommt es, dass iPhone-Besitzer unter den Sparkassenkunden bislang nicht Apple Pay nutzen, da die Sparkassengruppe noch nicht mit dem US-Unternehmen kooperiert. In wenigen Monaten soll es aber so weit sein.
Auch Google Pay funktioniert nicht auf iPhones.
Es klappt auch ohne NFC
Die Zahlung per NFC geht oft besonders zügig, da die Apps mit biometrischen Merkmalen wie dem Fingerabdruck entsperrt werden. Bei Google Pay können Beträge unter 25 Euro bezahlt werden, wenn das Handy nur aktiviert ist. Es ist nicht nötig, eine App zu öffnen.
Auch unabhängig von NFC-Schnittstellen können Besitzer von vielen Smartphones und einigen Smartwatches an der Kasse zahlen. Einige App-Anbieter nutzen andere Technologien (siehe oben).
Hoher Schutz gegen Betrug
Smartwatches werden meist mit einer Pin entsichert. Sie bleiben es 24 Stunden lang, wenn sie am Handgelenk getragen werden. Nach jedem Ablegen ist die Pin erneut einzugeben. © Stiftung Warentest / René Reichelt
Seit dem 14. September 2019 schreibt die Europäische Union (EU) für bargeldlose Zahlungen die Zwei-Faktor-Authentifizierung vor. Es sind mindestens Elemente aus zwei von drei Kategorien einzusetzen: Die Pin-Nummer ist ein Beispiel aus der Kategorie Wissen. Beim Bezahlen mit Apps eignet sich das jeweilige Gerät, also das Smartphone oder die Smartwatch, als Element aus der Kategorie Besitz. Außerdem kommen biometrische Verfahren wie das Entsperren durch Fingerabdruck oder die Gesichtserkennung infrage. Sie fallen in die dritte Kategorie Inhärenz.
Mit einigen Fitnessarmbändern ist es möglich, per App zu zahlen. Sie sind mit dem Smartphone der Besitzer verbunden, so wie Smartwatches. © Stiftung Warentest / René Reichelt
Die von uns untersuchten Bezahl-Apps setzen die EU-Vorgaben um. Kreditkarten- oder Kontonummer der Kunden bleiben stets geheim: Zahlungsdaten sichert die sogenannte Tokenization ab (Glossar).
-
Wer schützt mich vor Passwortklau?
- Die Programme erstellen starke Passwörter und schützen vor Angriffen. Auf sie zu verzichten, kann teuer werden. Doch im Test fanden wir nicht nur zuverlässige Manager.
-
Wo niemand mitliest
- WhatsApp, Signal, Telegram & Co sind aus dem Alltag nicht mehr wegzudenken. Unser Messenger-Vergleich zeigt, welche der 16 Chat-Dienste im Test besonders sicher sind.
-
Auch ohne Internet sicher ans Ziel
- Das Navigieren via Smartphone klappt mit der App Google Maps auch ohne Internet. So funktioniert die Offline-Navigation.
Diskutieren Sie mit
Nur registrierte Nutzer können Kommentare verfassen. Bitte melden Sie sich an. Individuelle Fragen richten Sie bitte an den Leserservice.
Nutzerkommentare können sich auf einen früheren Stand oder einen älteren Test beziehen.
Prinzipiell kann ich entweder einen der großen ausländischen Anbieter wie z.B. Apple oder Google wählen oder alternativ (es scheint ja sicherheitstechnisch in den meisten Fällen gut gelöst zu sein) bei meiner Hausbank die entsprechende App zu verwenden. Mit der EC Karte kann ich fast überall bezahlen. Wie steht es mit der Verbreitung der verschiedenen APPs im Handel? Wieviele Unternehmen im Handel akzeptieren die Apps der verschiedenen Banken (z.B. Sparkassen, VR) im Vergleich zu z.B. Apple / Google Pay? Ich nutze bisher ausschließlich die EC-Karte. Bei ausreichender Verbreitung kann ich mir einen Wechsel vorstellen.
Kommentar vom Administrator gelöscht. Grund: Zugriff auf bezahlte Inhalte ermöglicht
@B.Klaas: Wir haben nicht untersucht, mit welchem Verfahren die Anbieter von Dienstleistungen kostengünstig das mobile Bezahlen ihrer Kunden ermöglichen können. (maa)
Was empfiehlt Test den Dienstanbietern?
Mit welchem System sollten insbesondere Massagepraxen und Physiotherapeuten den Patienten das kontaktlose Bezahlen ermöglichen?
@Manni2505: Vimpay haben wir in unserem Banking App Test (FT 6/20) getestet. Die Bezahlfunktion habe wir nicht getestet. Für einen zukünftigen Test im Bereich Mobiles Bezahlen wäre Vimpay ein potenzieller Anbieter. (PH)