Mobil bezahlen: Mobile Payment-Systeme unter der Lupe

PayPal und Co. sind zu einem festen Bestandteil unseres Online-Lebens geworden. In Zeiten, in denen das Online-Leben mobil geworden ist, testen wir heute drei der beliebtesten Apps im Mobile Payment auf Sicherheit und Komfort.

Mobile Payment-Systeme

Gerade wenn es um den Umgang mit sensiblen Daten geht, setzen wir einen hohen Qualitätsanspruch an den Datenschutz und die Sicherheit voraus. Außerdem soll es einfach gehen – komplizierte Menüführungen und Angebote, die uns beirren, möchten wir nicht. Unsere Testreihe inkludiert diese Woche die Apps PayPal, Yapital und kesh Mobile Payment.

PayPal-App im Test

PayPal hat sich als Payment-Anbieter zweifellos etabliert. In einer Pressemeldung aus Januar 2014 nennt die eBay-Tochter zahlen: 79,2 % der deutschen Online-Händler bieten PayPal mittlerweile als Zahlungsmöglichkeit an; Tendenz steigend. Auf der Verbraucherseite seien es laut dieser Studie mehr als 62 %, die PayPal nutzen. Die meisten Studienteilnehmer haben auch schon die App für sich entdeckt und mindestens einmal benutzt.

Die App kann kostenlos heruntergeladen werden, wurde allerdings für Smartphones optimiert. Während iPad-User die App nutzen können (iOS ab Version 7.0), haben Android-Tablet-Nutzer Pech. Unter Android erfordert die PayPal-App mindestens die Version 2.2. In der aktuellen Version erlaubt es sich PayPal, auf den Geräte- und App-Verlauf zuzugreifen, außerdem auf die Identität, auf Kontakte/ Kalender und auf den Standort, SMS können auch gesendet werden. Außerdem wird der Zugriff auf Fotos/Medien/Dateien gestattet, genauso wie der Zugriff auf Kamera/Mikrofon, WLAN-Verbindungsinformationen, Geräte-ID und Anrufinformationen. Die App kann außerdem Daten aus dem Internet und Netzwerkverbindungen abrufen, auf alle Netzwerke zugreifen, den Ruhezustand deaktivieren und Google-Servicekonfigurationen lesen (Android).

Die App zeigt sich intuitiv bedienbar; der Aufbau ist logisch, der Funktionsumfang entspricht dem, was wir uns erwartet haben. So können wir via PayPal Zahlungen empfangen und senden, das Konto verwalten und Tools nutzen, beispielsweise werden uns Shops in der Nähe angezeigt, in denen wir via PayPal zahlen können. Das Hinzufügen von Kreditkarten und Bankkonten funktionierte in unserem Test problemlos, genauso wie das Zahlen und das Empfangen von Geld. Das funktioniert – wie schon in der Desktop-Variante – denkbar einfach und ohne die nervige Eingabe langer IBAN-Nummern oder dem Anfordern einer TAN. Unter den Einstellungen ist es uns möglich, unsere PIN, unser Foto und unsere Benachrichtigungen zu ändern, außerdem werden wir über Sicherheitsfaktoren aufgeklärt.

Haben Sie noch keinen PayPal-Account, können Sie diesen in der App auch erstellen. Sie können sich die Rechnung mit anderen teilen oder Sie nutzen die Bump-Funktion: Zwei Smartphones mit demselben Betriebssystem liegen nebeneinander und lassen sich mit dieser Funktion so verbinden, dass Transaktionen möglich sind. Funktional gesehen begeistert die App genauso wie die „konventionelle“ PayPal-Variante. Das gilt auch für die Optik der App: Kennen Sie PayPal, können Sie die App prima bedienen. Sind Sie unschlüssig, was eine Funktion bedeutet, können Sie unter „Konto – Info zu dieser App“ nachschauen. Abstürze kamen während unseres Tests nicht vor; die CPU-Auslastung ist gering. Das einzige, was etwas länger dauern kann, sind das Anmelden oder sonstige Datenanforderungen.

Nun wollen wir wissen, ob PayPal wirklich „sichererer“ ist, wie im Slogan versprochen. Neben der Passworteingabe, die bei jedem Appstart erfolgt, gibt es einen optionalen Sicherheitsschlüssel: Zum Einloggen wird Ihnen ein sechsstelliger Zahlencode per SMS zugesendet, der nur einmalig gültig ist. Haben Sie diesen Sicherheitsschlüssel einmal nicht zur Hand, beantworten Sie die Sicherheitsfragen, die Sie bei der Registrierung festgelegt haben. SSL-Protokoll und 128-Bit-Schlüssel schützen Ihre Bankverbindung und Ihre Kreditkartendaten. Die Transparenz der Transaktionen gefällt uns: Da jede Transaktion eine E-Mail nach sich zieht, in der diese noch mal zusammengefasst wird, fallen Ihnen unbekannte Kontobewegungen sofort auf und Sie können handeln. PayPal versichert, Ihnen den vollen Verlust zu erstatten, sollte es doch einem Unbefugten gelingen, sich Zugriff auf Ihr Konto zu verschaffen. Leider können wir den Quellcode nicht darauf untersuchen, ob die Aussagen von PayPal stimmen, aber wir können dem TÜV-Siegel vertrauen, da uns bekannt ist, dass der TÜV genau prüft. Neben dem Datenschutzmanagement nach Bundesdatenschutzgesetzt überprüfte dieser auch die technischen Anforderungen zur Verschlüsselung. Fazit von Guido Hermanowsky von der TÜV Saarland Gruppe: „PayPal hat die strengen Anforderungen an Zahlungssysteme erfüllt. Auch die Informationssicherheit und der Datenschutz sind garantiert.“

Die eBay-Tochter PayPal sitzt in Luxemburg und wird EU-weit als Bank geführt. Datenschutzregelungen, Nutzungsbedingungen, Impressum und AGB sind einfach und schnell – teils über die App, teils nur online – erreichbar. In den Datenschutzregelungen auf der PayPal-Website wird erläutert, dass diese Regelungen für sämtliche Services – also auch für die App – gelten. Mit der Account-Bestätigung nehmen Sie diese Datenschutzregelungen, außerdem die AGB und Nutzungsbedingungen an. Wesentliche Änderungen an all den PayPal-Bestimmungen und -Vereinbarungen werden mindestens 30 Tage vor Gültigkeit per E-Mail an die Kunden gesendet. Während bei der Einrichtung der App nicht nach dem Alter gefragt wird, ist in den Datenschutzrichtlinien zu lesen, dass Minderjährige nicht berechtigt sind, PayPal-Services zu nutzen.

Da es sich bei PayPal um einen Bankkonten- beziehungsweise Kreditkartenkonten-gebundenen Service handelt, müssen naturgemäß sehr sensible Informationen übertragen werden. PayPal vermerkt, dass Geräteregistrierungsdaten inklusive Geräte-ID und Geolokalisierungsdaten erhoben und gespeichert werden. Wer nicht damit einverstanden ist, dass PayPal Kundenkreditberichte von Kreditauskunfteien (z. B. SCHUFA) für jedes beliebige Konto abrufen darf, kann PayPal nicht nutzen. Bei Verkäufern geht PayPal sogar noch einen Schritt weiter: „Wenn Sie Ihr PayPal-Konto zum Verkaufen von Waren nutzen, erheben wir eventuell öffentliche Informationen über Ihr Unternehmen und Ihr Verhalten auf sozialen Netzwerken (wie zum Beispiel die E-Mail-Adresse und die Anzahl von „Likes“ und „Followers“), soweit es für die Bestätigung einer Beurteilung Ihrer Transaktionen und/oder Ihres Unternehmens, einschließlich der Größe und des Kundenstammes, notwendig ist.“ Notwendigkeiten sind immer eine Frage der Definition.

Wenngleich PayPal selbst in Europa sitzt, kann es Händler geben, die nicht im Europäischen Wirtschaftsraum aktiv sind. Auch diese verarbeiten Ihre Daten, die zum Kauf nötig sind. Mit der Bestätigung der Datenschutzvereinbarungen bestätigen Sie auch dies – und PayPal weist darauf hin, dass bei diesem Händler andere Datenschutzvereinbarungen gelten können. Die Transparenz, die PayPal an den Tag legt, ist vorbildlich – auch wenn man sich sicherlich über einzelne Punkte in den Datenschutzvereinbarungen streiten kann. So können Sie eine Liste von Zahlungsabrechnungsstellen einsehen (unter „Offenlegung gegenüber Dritten außer PayPal-Kunden“) und Ihnen wird gezeigt, welche Daten zu welchem Zweck an diese Stellen gehen.

Die PayPal-App zeigt sich einfach und intuitiv im Handling, schränkt die CPU nicht ein und die TÜV-geprüften Sicherheitsaspekte stimmen. Sämtliche Vereinbarungen über Datenschutz, Nutzung und Sicherheit sind bestens auffindbar und verständlich formuliert – Transparenz schreibt PayPal groß. Da es sich bei PayPal um ein bankenähnliches System handelt, müssen sensiblere Daten übertragen werden als es beispielsweise bei den WM-Apps der Fall war. Das Aufspüren von PayPal-Kunden in sozialen Netzwerken sehen wir sehr kritisch, zumal die Notwendigkeit hierzu nicht klar herausgestellt wird. Dass der Social Media-Trend in diese Richtung geht, ist allerdings nicht neu, weshalb wir nicht überrascht über diese Aussage waren. Wenn Sie einfach und sicher bezahlen wollen, achten Sie auch darauf, wo und bei wem Sie kaufen. Prüfen Sie die Datenschutzrichtlinien des Shops, um die Datenverarbeitung und -speicherung zu klären, da PayPal Informationen über Sie weitergibt.

Zusammenfassung PayPal

• Widerruf: unnötig, da kostenfrei
• Datenzugriff: Geräte- und App-Verlauf, Identität, Kontakte/ Kalender, Standort, SMS senden, Fotos/Medien/Dateien, Kamera/Mikrofon, WLAN-Verbindungsinformationen, Geräte-ID, Anrufinformationen, Daten aus dem Internet und Netzwerkverbindungen abrufen, auf alle Netzwerke zugreifen, Ruhezustand deaktivieren und Google-Servicekonfigurationen lesen (Android)
• Entwickler: PayPal Mobile
• Finanzierung: Querfinanzierung durch PayPal-übliche Gebühren
• Land: Luxemburg
• AGB & Datenschutzvereinbarungen: Sprache, Deutlichkeit und Auffindbarkeit sehr gut, einzelne Punkte können kritikwürdig sein, aber sehr transparent
• Weitergabe persönlicher Daten: ja, auch sensible Daten
• Aufklärung über Konditionen: eindeutig
• Individuelle Bestimmung des Datenzugriffs: nein
• Altersbeschränkung: nur in den Datenschutzrichtlinien (Nutzung nur bei Volljährigkeit gestattet)
• Verbindungen soziale Medien: ja, zum Weiterempfehlen der App
• Speicherung persönlicher Daten: ja, verschlüsselt auf Servern in Europa und bei Partnern, die andernorts sitzen können
• Anleitungen, Foren, Support: E-Mail-Support, Funktionserkärungen direkt in der App, FAQ & Kontaktmöglichkeiten auf der Website
• vorhandene Funktionen: Geld empfangen und senden, Kontenübersicht, Bank-/ Kreditkartenkonten hinzufügen, Rechnung teilen, Bump-Funktion
• optionale Kauffunktionen: keine
• CPU: geringe Auslastung
• Kosten: kostenfrei
• sinnvoll in der Gratisversion: ja

Download Android
Download iOS

Yapital im Test

Die zur Otto Group gehörenden Yapital Financial AG hat mit Yapital einen Payment-Dienst aus dem Hut gezaubert, der Konkurrenz für PayPal in ganz Europa bringen soll. iOS-User können die App ab Version 6.0 am iPhone, iPad und iPod touch nutzen, Android-User brauchen mindestens die Version 2.3. Die für Telefone entwickelte App kann – und das ist ein Vorteil gegenüber PayPal – auch mit Tablets verwendet werden. Die rühmliche Ausnahme dieser Regel bildet das Asus Nexus 7 – Anwender dieses Tablets werden häufig mit dieser Einschränkung konfrontiert. Yapital greift auf den Geräte- und App-Verlauf zu, auf Kontakte/Kalender, auf Ihren Standort, auf Fotos/Medien/Dateien, auf Kamera/Mikrofon, erlaubt sich außerdem den Zugriff auf alle Netzwerke, ruft Netzwerkverbindungen ab, steuert die Lichtanzeige und kann die Google-Servicekonfiguration (Android) lesen.

Nach Installation der schlanken App werden wir gefragt, ob wir uns einen neuen Account anlegen oder mit unseren vorhandenem Account einloggen wollen – wir wählen die Otion „Account anlegen“. Wir geben E-Mail-Adresse, Passwort und ein geheimes Wort, das vom Support-Team abgefragt wird, um unsere Identität zu bestätigen, ein. Es folgt die Eingabe diverser persönlicher sowie der Kontaktdaten und wir werden gefragt, ob wir AGB sowie Datenschutzbestimmungen akzeptieren und den Newsletter von Yapital empfangen wollen. AGB und Datenschutzrichtlinien sind von dieser Stelle aus aufrufbar und können heruntergeladen werden. In einer Zusammenfassung sehen wir erneut all unsere eingegebenen Daten und können diese bestätigen oder korrigieren.

Yapital entschuldigt sich nun für die zusätzlichen Schritte, betont dabei, dass unsere Sicherheit sehr wichtig sei. Nachdem der Bestätigungslink per E-Mail eingeht, können wir uns einloggen. Per SMS erhalten wir einen Bestätigungscode, mit dessen Eingabe wir unsere Registrierung abschließen. Zugegeben: Der Weg ist tatsächlich etwas umständlich, da wir aber auch bei Yapital mit sensiblen Daten umgehen, ist er notwendig. Das Freischalten unseres Yapital-Accounts kann nun aber 24 Stunden dauern, zumindest werden wir darum gebeten, solange zu warten, um die Überprüfung unseres Accounts abschließen lassen zu können.

Mit Yapital können Sie mit Ihrem Smartphone bezahlen, Ihr Guthaben aufladen (Verbindung zu einem Bankkonto notwendig; der Betrag wird dann abgebucht), Geld überweisen und Finanzen in Echtzeit anzeigen lassen. Weiter plant Yapital die Funktion, sich auch Geld senden lassen zu können. Überhaupt stellt Yapital spannende Features in Aussicht: „Bald wird es sogar möglich sein, lange Schlangen an den Kassen zu vermeiden und beim Schaufensterbummel Artikel zu kaufen, indem Sie Preisschilder scannen“, heißt es auf der Website.

Das Anlegen eines Yapital-Accounts ist kostenfrei, Kosten können allerdings beim Aufladen des Kontos (Visa & MasterCard), sowie bei Rücklastschriften anfallen. Die Höhe dieser und weiterer Kosten stellt Yapital übersichtlich auf seiner Website bereit. Yapital ist noch ein relativ junger Service; er existiert seit gut zwei Jahren. Wo Sie mit Yapital zahlen können, sehen Sie auf der Website. Zu den weiteren Services des Anbieters gehört die Yapital MasterCard, mit der Sie überall dort zahlen können, wo die MasterCard Akzeptanz findet.

Sie können mit Yapital on- und offline zahlen: Rechnungen, die Ihnen in Papierform zugestellt werden und einen entsprechenden QR-Code bereitstellen, können Sie begleichen, Onlineshops, die einen Yapital-Login oder einen QR-Code bereitstellen, nehmen ebenfalls teil und Sie können die kostenfreie Yapital MasterCard in konventioneller Kartenform nutzen. Derzeit wird Yapital nur für Deutschland und Luxemburg angeboten, langfristig soll die Lösung für den gesamten europäischen SEPA-Zahlungsraum etabliert werden. Die Anwendung zeigt sich angenehm einfach. Haben Sie bereits ein Konto hinterlegt, können Sie es fast schon mit nur einem Handgriff aufladen. Die Optik ist simpel und erscheint uns logisch. Die App ist passwortgeschützt, sodass Sie auch im Falle eines Diebstahls sicher sind – vorausgesetzt, Sie haben ein sicheres Passwort gewählt.

Yapital hat strategische Partnerschaften mit Terminal-Herstellern, etwa easycash oder Ingenico, vereinbart, sodass man davon ausgehen kann, dass sich die Technologie, den QR-Code über den Terminal zu scannen, leichter durchsetzt als NFC-Zahlungen. Nichtsdestotrotz haben wir bei unserem Test festgestellt, dass Akzeptanzstellen noch nicht immer etwas von der Akzeptanz wissen: Wir waren in einem Rewe-Markt und die Kassiererin kannte Yapital nicht. Rewe hat im Dezember 2013 alle konzerneigenen Filialen für Yapital freigeschaltet, offenbar hält sich die Nutzung (zumindest in unserem Test-Rewe) aber noch in Grenzen. Nachdem wir geklärt hatten, was Yapital überhaupt ist und wie wir unseren Einkauf damit zahlen können, ging alles reibungslos: PIN eingeben, QR-Code scannen, fertig. Die Tatsache, dass wir nicht nur vor Ort zahlen können, sondern auch Codes auf Papierrechnungen zur Zahlung nutzen können, begeistert uns – so ist davon auszugehen, dass es Yapital auch noch morgen geben wird. Das Konzept ist klasse durchdacht.

Ein stimmiges Konzept und eine gut zu bedienende App sind aber noch keine Erfolgsgarantien. Wie steht es eigentlich um die Sicherheit bei Yapital? Bei der namhaften Mutter, der Otto Group, dürfen wir hoffentlich davon ausgehen, dass starke und effiziente Sicherheitsfeatures Teil der Payment-App sind. Yapital ist ein zertifiziertes E-Money-Institut. Als solches müssen gewisse Voraussetzungen erfüllt werden, um überhaupt tätig sein zu dürfen. So hält sich Yapital an die Vorgaben des europäischen Rechts und an europäische Sicherheitsstandards. Europäische Rechenzentren sowie Verschlüsselungs- und Sicherheitssysteme sollen dieses Sicherheitsdenken unterstützen. Externe Regierungsbehörden kontrollieren und zertifizieren den Payment-Anbieter. Ähnlich wie PayPal erhalten Sie auch bei Yapital über jede Transaktion eine E-Mail. Sie werden über jede Aktivität Ihres Accounts gesondert informiert, sodass auch hier der unbefugte Kontenzugriff sofort bemerkt wird. Fallen Ihnen Unregelmäßigkeiten auf Ihrem Account auf, können Sie eine kostenfreie Hotline (00800 927 927 10) nutzen, um diese zu melden.

Ebenfalls in den Nutzungsvereinbarungen finden wir die Altersbeschränkung: Wie schon bei PayPal sind nur volljährige Personen berechtigt, Yapital zu nutzen. Änderungen in den Vertragsbedingungen werden Ihnen zwei Monate vor Wirksamkeit mitgeteilt. Erhoben, gespeichert und verarbeitet werden persönliche Daten auf Servern in Luxemburg. Diese Daten können für statistische Zwecke verwendet werden, sie können aber auch „zur Durchführung von Direktmarketing, Leistungsaktualisierungen und Werbeaktionen von Yapital, den Partnern oder Händlern von Yapital“ verwendet werden. Dieser Datennutzung können Sie auf der Login-Seite widersprechen. Treten Änderungen in den Datenschutzvereinbarungen von Yapital auf, informiert Sie der Serivce darüber.

Insgesamt macht Yapital einen sehr guten Eindruck auf uns: Nach einer etwas umständlichen Einrichtung, was allerdings der Sicherheit dient, ist die App sehr simpel bedienbar. Das Zahlen am Terminal klappt, die CPU ist nur geringfügig ausgelastet und die steigende Anzahl an Partnern macht die App interessant. Sämtliche Vereinbarungen sind schnell auffindbar, größtenteils sogar über die App aufrufbar – einzig Details zur Verschlüsselung fehlen uns. Wir nutzen dafür eines der vielen Support-Angebote, die Sie im Menü der Webseite, aber auch in der App selbst finden. Nur wenige Stunden später haben wir eine Antwort: Yapital setzt auf HTTPS-Verschlüsselung mit 2.048 bit.

Update, 31.07.2014:

Yapital hat uns kontaktiert bezüglich unserer Aussage, entgegen zu PayPal übernehme Yapital keine Haftung für Waren und Dienstleistungen, die über die App beziehungsweise das System erworben wurden. Seit Ende Januar 2014 kooperieren Yapital und AXA Assistance Deutschland, wodurch Yapital-Nutzer einen kostenfreien Versicherungsschutz erhalten. Yapital gab uns freundlicherweise einen erklärenden Link an die Hand, in den wir lesen: „Mit Yapital bezahlte Waren sind grundsätzlich für eine Dauer von 30 Tagen gegen Diebstahl und versehentliche Beschädigung geschützt. Im Versicherungsfall haben Yapital-Nutzer damit ein generelles Recht auf Erstattung des Kaufpreises. Alternativ kann der Versicherer den versicherten Gegenstand auch reparieren oder ersetzen lassen. Der Yapital-Einkaufsschutz greift auch dann, wenn die im Internet mit Yapital gekaufte Ware innerhalb von 30 Tagen nicht vom Verkäufer geliefert wird, der bestellten Ware nicht entspricht oder fehlerhaft ist.“ Wir danken für die Aufklärung und finden diesen Schritt nur folgerichtig, um die Sicherheit der Yapital-Kunden deutlich zu erhöhen.

Zusammenfassung Yapital

• Widerruf: unnötig, da kostenfrei
• Datenzugriff: Geräte- und App-Verlauf, Kontakte/Kalender, Standort, Fotos/Medien/Dateien, Kamera/Mikrofon, Zugriff auf alle Netzwerke, Netzwerkverbindungen abrufen, Lichtanzeige steuern, Google-Servicekonfiguration (Android) lesen
• Entwickler: Yapital Financial AG; Tochter der Otto Group
• Finanzierung: Querfinanzierung durch (Händler-)Gebühren
• Land: Luxemburg
• AGB & Datenschutzvereinbarungen: Sprache, Deutlichkeit und Auffindbarkeit sehr gut, transparent
• Weitergabe persönlicher Daten: ja, an Händler und Partner (kann widerrufen werden)
• Aufklärung über Konditionen: eindeutig
• Individuelle Bestimmung des Datenzugriffs: nein
• Altersbeschränkung: nur in den AGB vermerkt; nicht-volljährige Personen dürfen den Service nicht nutzen
• Verbindungen soziale Medien: nein, aber App-Empfehlungen via E-Mail
• Speicherung persönlicher Daten: ja, verschlüsselt auf Luxemburgischen Servern
• Anleitungen, Foren, Support: Support per E-Mail und kostenfreier Rufnummer, FAQ auf der Website
• vorhandene Funktionen: Guthaben aufladen, Transaktionen in Echtzeit sehen, Geld senden, per QR-Code bezahlen, Käuferschutz
• optionale Kauffunktionen: keine (aber eventuell in Planung)
• CPU: geringe Auslastung
• Kosten: kostenfrei
• sinnvoll in der Gratisversion: ja

Download Android
Download iOS

kesh Mobile Payment im Test

„smart bezahlen“, verspricht die App kesh, die Sie unter iOS ab Version 5.0, unter Android ab Version 2.2 nutzen können. Bisher ist die App noch nicht so weit verbreitet, wie die Downloadzahlen in den App-Stores verraten. Die XCOM AG entwickelte in Zusammenarbeit mit der biw AG die App für Smartphones, die ebenfalls von Tablet-User genutzen werden kann. Die Berechtigungen, die Sie der App geben, fallen nicht so umfangreich aus wie bei den anderen beiden Testkandidaten: Die App greift auf Kontakte/Kalender zu, aufs Telefon, auf Kamera/Mikrofon, auf WLAN-Verbindungsinformationen, auf die Geräte-ID & Anrufinformationen, außerdem geben Sie Zugriff auf alle Netzwerke, erlauben der App, den Vibrationsalarm zu steuern und Netzwerkverbindungen abzurufen.

Als wir die App erstmals gestartet hatten und uns registrieren wollten, blickten wir lange auf einen weißen Bildschirm. Geduld lohnt sich aber: Wir können uns registrieren. Wir geben eine Handynummer an, an die später ein SMS-Code gesendet werden soll, weiter sind PIN und E-Mail-Adresse notwendig. Die 6-stellige PIN darf nur aus Nummern bestehen – da erschien es uns soweit bei Yapital sicherer. Wir werden schon in der Registrierung auf die AGB, die Datenschutzerklärung, Informationen zum Fernabsatzgesetz und auf das Gebührenverzeichnis aufmerksam gemacht. Ein Blick auf die Gebührentabelle (PDF) zeigt, dass die Kontoführung kostenfrei ist, genauso wie das Zahlen im Handel und 10 Transaktionen pro Kalendermonat unter Privatpersonen. Einzig ab der elften Transaktion und bei Rücklastschriften sowie Kontosperrungen durch den Kunden entstehen weitere Kosten.

Der 4-stellige SMS-Code ist mittlerweile eingegangen, wir geben ihn ein und ergänzen persönliche Daten: Anrede, ggf. Titel, Vor- und Nachname, Geburtsdatum, Geburtsort und Nationalität. Wenn wir wollen, können wir die App via E-Mail, SMS, Gmail und Facebook teilen. Um die Funktionen in kesh nutzen zu können, wird uns gesagt, wir würden ein kostenloses Upgrade benötigen. Wir stehen wieder an der Stelle, an der wir unsere persönlichen Daten eingegeben haben. Nach Bestätigung dieser persönlichen Daten werden wir aufgefordert, unsere Bankdaten einzugeben, die netter Weise automatisiert in IBAN und BIC umgewandelt werden. Nachdem wir auf „weiter“ gegangen sind, werden wir gebeten, unsere Adresse einzugeben. Zum Verifizieren des Bankkontos wurde ein Cent gesendet. Ein sechsstelliger Aktivierungscode ist im Verwendungszweck integriert, nachdem wir ihn eingegeben haben, können wir mit kesh zahlen.

Die App kesh kommentiert sämtliche Geschehnisse per E-Mail: „die Hinterlegung Ihrer Adress- und Kontodaten war erfolgreich“, heißt es etwa, kurz nachdem wir unsere Bankdaten hinterlegt haben. Wir wollen gucken, ob es einen Händler in der Nähe gibt, bei dem wir die App direkt testen können – leider ist der nächste Händler, der kesh akzeptiert, knappe 180 km entfernt. Wenn Sie nun jemandem eine Zahlung senden wollen, können Sie entweder seinen QR-Code einscannen, das Geld über seine bei kesh hinterlegte Handynummer senden oder aber aus Ihrer Kontaktliste wählen. Auch Sie haben einen eigenen QR-Code, den Sie im ersten Menü-Tab sehen. Ihre kesh-Kontonummer finden Sie direkt darunter. Der zweite Menü-Tab („Home“) ist Ihre Funktionszentrale und im dritten Tab können Sie sich Ihre offenen, überwiesenen sowie abgelehnten Umsätze anschauen.

In den Einstellungen haben Sie die Möglichkeit, einen drei- oder vierstelligen Sperr-Code einzurichten. Zusätzlich dazu können Sie ein Limit setzen, um Ihr Guthaben zu schützen. Der Sperr-Code findet immer dann Einsatz, wenn eine Transaktion dafür sorgt, dass Sie Ihr Umsatzlimit überschreiten. Im Falle von Diebstahl oder Verlust Ihres Smartphones macht das als Sicherheitsfeature definitiv Sinn! Ebenfalls in den Einstellungen finden Sie – neben einigen funktionalen Einstellungen – die Option, die App automatisch vom Server zu trennen. Auch das ist eine sinnvolle Einstellung, um mehr Sicherheit zu erzielen.

Die Supportlösungen von kesh sind aus der App heraus großartig: Sie können die FAQ einsehen, eine E-Mail schreiben oder anrufen. Ebenfalls aus der App heraus gelangen Sie ins Impressum; leider fehlen hier Links zu den Datenschutzvereinbarungen und AGB. Das hätte praktischen Nutzen, wenn Sie etwas nachlesen wollen, aber bestätigen müssen Sie beides bereits während der Registrierung. Außerdem finden Sie beides online auf der kesh-Website. Die Funktionen und die Beträge variieren je nach Kundenkonto, wie die AGB (PDF) zeigen: Ein starter-Kunde kann Transaktionen von bis zu 100 Euro im Monat, ein basic-Kunde bis zu 200 Euro im Monat und ein premium-Kunde unlimitierte Transaktionen durchführen. Minderjährige ab dem 14. Lebensjahr dürfen die starter- und basic-Varianten des Systems nutzen, wenn das hinterlegte Referenzkonto ebenfalls auf ihren Namen läuft.

Den verschiedenen Kontotypen entsprechend, werden auch verschiedene Informationen verlangt. Die App-Entwickler behalten sich das Recht vor, „jederzeit weitere Informationen zu Ihrer Person zu verlangen. Sollten Sie es versäumen oder sich weigern, uns diese Informationen zur Verfügung zu stellen, könnte dies für Sie zu einer Nutzungsbeschränkung oder einer Sperrung Ihres Kontos führen“, heißt es weiter. Obacht ist bei folgender Formulierung geboten: „Schäden, die durch die unberechtigte Nutzung von Dritten entstehen, werden Ihnen zugerechnet.“ Wir erfahren von der biw Bank per E-Mail, dass dies durch die AGB Ziffer 19 relativiert wird: Die Haftung für unautorisierte Zahlungen ist auf 150 Euro beschränkt. Vollumfänglich hingegen haftet der Verbraucher bei betrügerischen Absichten, vorsätzlicher oder grober Fahrlässigkeit sowie unter Missachtung der Sorgfaltspflicht, wie in den AGB unter Ziffer 17 angegeben. Positiv ist, dass kesh über AGB-Änderungen mindestens zwei Monate vor Wirksamkeit informiert.

Die Datenschutzerklärungen (PDF) zeigen, dass Daten wie Name, Mobil-Kunden- und -Händlernummer, Betrag, Datum und Uhrzeit der Zahlung erhoben, verarbeitet und genutzt werden. Die Nutzung diene allerdings ausschließlich allen Vorgängen rund um die Transaktion sowie etwaigen Reklamationsbearbeitungen und dem Erfüllen gesetzlicher Vorschriften. Weiter haben Sie mit Ihrer Registrierung eingewilligt, dass die Akzeptanzstellen Ihre Daten in ein „kesh“-Verzeichnis aufnehmen dürfen, um künftige Transaktionen einfacher abzuwickeln. Wir erfahren, dass Sie durch das Newsletter-Abonnement der Nutzung Ihrer persönlichen Daten für Werbezwecke zustimmen. Sie dürfen per Post und per E-Mail angeschrieben und beworben werden. Wollen Sie das nicht, können Sie dem jederzeit per E-Mail () oder postalisch unter Angabe Ihrer Mailadresse widerrufen.

Datensicherheit wird durch eine SSL-gesicherte Verbindung gewährleistet. Weiter haben Sie jederzeit das Recht, sich Auskunft über Ihre gespeicherten Daten einzuholen – inklusive den Empfängern Ihrer Daten. Die Sicherheit wird auch auf der kesh-Website thematisiert: In Deutschland stehende Server, die nach Bankenstandards abgesichert sind, sowie die Tatsache, dass die biw AG Mitglied im Bundesverband deutscher Banken e. V. ist und damit am Einlagensicherungsfonds teilnimmt, werden benannt.

Insgesamt macht auch unsere dritte getestete App eine gute Figur. Anzuprangern ist, dass Sie als Nutzer auf Verlusten, die durch unbefugte Dritte entstanden sind und den Haftungsbetrag von 150 Euro übersteigen, sitzenbleiben. Vergleichen wir mit PayPal: Der Payment-Anbieter haftet vollumfänglich für Ihre Schäden durch Dritte. Die Sicherheits- und Verschlüsselungsstandards im europäischen Bankenwesen, im Falle von kesh sogar mit Standort in Deutschland, sorgen dafür, dass die Sicherheitsparameter stimmig sind. Noch im 3. Quartal 2014 soll die Kooperation mit der Firma Qnips vonstatten gehen: Dadurch wird die kesh-App um ein Kundenbindungsprogramm und ein Bewertungsfeature und die Qnips-App durch durch das Bezahltool kesh bereichert, erfahren wir im E-Mail-Kontakt mit kesh.

Zusammenfassung kesh Mobile Payment

• Widerruf: unnötig, da kostenfrei
• Datenzugriff: Kontakte/Kalender, Telefon, Kamera/Mikrofon, WLAN-Verbindungsinformationen, Geräte-ID & Anrufinformationen, Zugriff auf alle Netzwerke, Vibrationsalarm steuern, Netzwerkverbindungen abrufen
• Entwickler: XCOM AG & biw AG
• Finanzierung: Querfinanzierung
• Land: Deutschland
• AGB & Datenschutzvereinbarungen: beides gut auffindbar, in Sprache & Deutlichkeit gut, Datenschutzerklärungen zeigt, dass Newsletter-Abonnenten-Daten für Marketingzwecke nicht-anonymisiert weiterverarbeitet werden
• Weitergabe persönlicher Daten: nein, allerdings Weiterverarbeitung für Marketingzwecke
• Aufklärung über Konditionen: ja
• Individuelle Bestimmung des Datenzugriffs: nein
• Altersbeschränkung: unter dem 14. Lebensjahr
• Verbindungen soziale Medien: ja, für App-Empfehlungen
• Speicherung persönlicher Daten: ja, verschlüsselt auf Servern in Deutschland
• Anleitungen, Foren, Support: aus der App heraus und online
• vorhandene Funktionen: bei Händlern bezahlen (wenn Händler in der Nähe sind), Geld senden, Geld empfangen
• optionale Kauffunktionen: keine
• CPU: geringe Auslastung
• Kosten: keine Downloadkosten, ggf. Transaktionskosten, s. Gebührentabelle
• sinnvoll in der Gratisversion: ja

Download Android
Download iOS

Geldbörsen im App-Format: Unser Mobile Payment-Systeme Testsieger ist eindeutig

Yapital gewinnt unseren Test, da der Funktionsumfang unschlagbar ist. In puncto Sicherheit liegen die drei getesteten Apps aufgrund der rechtlichen Lage gleich auf. PayPal verlor Punkte durch die enormen Berechtigungen, die wir der App einräumen mussten, außerdem ist sie nicht auf Tablets nutzbar wie die anderen beiden Apps. Wenngleich PayPal selbst persönliche Daten auf europäischen Servern verschlüsselt, kann der Dienst keine Angaben darüber machen, wie das bei Partnern aussieht, die andernorts sitzen. Wenn Sie selbst also lieber auf PayPal setzen wollen, empfehlen wir Ihnen, sich mit den Datenschutzdetails des Händlers auseinanderzusetzen.

Während PayPal die größte Akzeptanz findet, nähert sich Yapital an und eröffnet einem sogar das Bezahlen von Papierrechnungen via Smartphone. Das ausgeklügelte Konzept von Yapital gibt dem geneigten Nutzer Möglichkeiten, bei denen selbst der etablierte Service PayPal ziemlich blass aussieht. Da die Otto Group als Muttergesellschaft hinter Yapital steckt, ergeben sich deutlich erweiterte Optionen und Erfahrungswerte. Wie das unter dem Dach einer lokalen Bank aussieht, zeigt die kesh-App: Händler, die kesh akzeptieren, müssen bundesweit erst mal gefunden werden. Suchen Sie nur eine App fürs Auszahlen des Taschengelds an Ihren Sprössling, ist kesh hingegen eine prima Alternative, zumal sie die einzige getestete App ist, die auch Minderjährige nutzen dürfen. Missbrauch wird durch den Sperr-Code vorgebeugt – aber Sie müssen mit dem Risiko leben, für Verluste vollumfänglich zu haften.