Niklas Klee (links) und Tim Philipp Schäfers (rechts) beschäftigen sich sowohl beruflich als auch privat mit Cyber Security und Datenschutz. In der Vergangenheit haben sie gemeinsam ethische IT-Sicherheitsforschung durchgeführt und halten regelmäßig Vorträge darüber. Im Mai 2024 führten sie eine Sicherheitsanalyse der Bezahlkarten und der dazugehörigen Apps durch. Sie sind beide Mitgründer der Mint Secure GmbH.
Tim und Niklas, wie kamt ihr darauf eine Sicherheitsanalyse der Bezahlkarten durchzuführen?
Niklas Klee: Ich fand es spannend zu sehen, wie der Staat die Bezahlkarte technisch umsetzt. In Deutschland kann man davon ausgehen, dass nicht alles aalglatt sein wird. Das hat sich im Nachhinein bewahrheitet.
Tim Philipp Schäfers: Mich stört es, wenn Technik mit Einschränkungen hergeht. Aus meiner Sicht ist dies bei der Bezahlkarte durchaus der Fall. Gerade, weil es um sozial schwächer gestellte Personen geht.
Laut Anbieter der Bezahlkarte “Publk GmbH” unterscheidet sich das Design der Socialcard nicht von herkömmlichen Visa-Debit-Karten und ermöglicht damit eine würdevolle Teilhabe am öffentlichen Leben. Wie bewertet ihr diese Aussage?
Tim: Von den Funktionen her sieht man definitiv Einschränkungen. Die bundeseinheitlichen Mindeststandards sind sehr restriktiv und auch nicht vergleichbar mit einer normalen Visa-Debit-Card. Beispielsweise lassen sich zum Teil nur gewisse Geldbeträge abheben und darüber hinaus fallen enorme Kosten an.
Niklas: Ja, das ist ein bisschen Quatsch. Sie sieht aus wie eine Visa-Debit-Card, aber meine Bank hat mir noch nie verboten, im Kiosk einzukaufen.
Unterscheiden sich Bezahlkarten-Apps von einer regulären Online-Banking-App? Ihr habt in eurer Sicherheitsanalyse die Verwendung von kommerziellen Trackern entdeckt. Ist das bei meiner Visa-Karten-App nicht auch der Fall?
Tim: In Deutschland sind normale Banking-Apps von der Bundesanstalt für Finanzdienstleistungsaufsicht und anderen Behörden reguliert. Da gibt es Mindeststandards für Informationssicherheit und Datenschutz, die eingehalten werden. Zum Beispiel weiß ich bei meinen persönlichen Banking-Apps, dass ich gefragt werde, ob sie für Analysezwecke Tracker einsetzen dürfen. Klar, viele Leute klicken einfach auf “alles akzeptieren” – aber wenn man möchte, kann man ablehnen. Das ist sowohl bei der alten Socialcard als auch bei der App der neuen Bezahlkarte nicht der Fall.
Wie bedenklich ist denn der Einsatz von Google- und Facebook-Trackern in den Bezahlkarten-Apps? Können Nutzerdaten von Facebook und Google durch die Socialcard ausgelesen werden?
Tim: Nee, eigentlich nicht. In der Datenschutz-Grundverordnung (DSVGO) ist vorgesehen, dass es immer eine Rechtsgrundlage geben muss, wenn man personenbezogene Informationen bearbeitet. Wir haben festgestellt, dass bei der Hamburger Socialcard-App Informationen an Google und Facebook gegangen sind, obwohl niemand jemals auf “einwilligen” geklickt hat. Das heißt aber nicht, dass Facebook oder Google direkt damit Daten abrufen können. Es ist eher so, dass diese indirekt zum Beispiel in Werbeschnittstellen bei Google landen. Außerdem wird in beiden Versionen der Socialcard-App die sogenannte Google Firebase eingesetzt. Das ist ein Verwaltungs- und Überblickstool, wo man sieht, auf wie vielen Geräten die App erfolgreich installiert wurde. Darüber können weitere Informationen über das Mobilgerät und dessen Nutzer*in gesammelt werden.
Der große Unterschied ist also, dass es zwar üblich ist, diese Tracker in Apps zu nutzen, ich aber die Wahl habe, nicht einzuwilligen?
Tim: Ein paar Unternehmen setzen Google Firebase ein, aber diesen Facebook-Tracker habe ich zum Beispiel noch nie in einer Banking-App gesehen. Das liegt glaube ich daran, dass die Entwickler für die Socialcard App eine White-Label-Lösung – eine App, die von einem Drittanbieter entwickelt und dann als Vorlage an andere Unternehmen verkauft wird – aus dem Ausland einsetzen, die sie einfach von der Stange erworben und ihr Logo darauf gemacht haben.
„Es kommt einem so vor, als würde hier eine sehr schlechte Lebenssituation stark ausgenutzt werden“
Ist das den Menschen klar, die die Bezahlkarte nutzen?
Tim: Den Menschen, die die Bezahlkarte kriegen, ist aus meiner Sicht vieles nicht so klar, weil sie sich erstmal freuen, dass sie eine Möglichkeit haben, digital zu bezahlen – bis sie dann merken, was für Einschränkungen damit einhergehen. Absurd war aus unserer Sicht damals auch, dass die Datenschutzbestimmungen oder allgemeine Informationen primär nur auf Deutsch verfügbar waren.
Niklas: Es kommt einem so vor, als würde hier eine sehr schlechte Lebenssituation stark ausgenutzt werden.
Welche Konsequenzen hat es, wenn eine Person die Socialcard-, Facebook- und Google-App auf einem Handy installiert hat?
Tim: Man wird gewissermaßen gläsern. Das sind wir zwar eh alle, wenn wir das Internet unbedarft benutzen. Geflüchtete Personen haben jedoch möglicherweise einen noch höheren Schutzbedarf. Mich macht es besonders sauer, dass unsere Steuergelder dafür aufgewendet werden, dass Big-Tech-Unternehmen noch besser in der Lage sind, Personen zu tracken. Das ist so, als wären im Personalausweis auf einmal Funktionen von Google oder Facebook verbaut. Bei der Bezahlkarte handelt es sich um eine staatliche Aufgabe, die nicht so stark privatwirtschaftlichen oder werblichen Einflüssen ausgesetzt sein sollte. Bei diesem Tracking-Thema muss es entweder ganz klare Löschfristen geben, die gerade nicht aus den Datenschutzbestimmungen hervorgehen, oder es darf gar nicht erst in dem Ausmaß getrackt werden.
Niklas: Es gibt auch grundlegend das Problem, dass sich gerade Big-Tech-Unternehmen wie Google und Facebook durch das Sammeln dieser Daten einen komplett neuen Pool an Informationen erschließen. Durch die Bezahlkarte wissen die Unternehmen: Es sind höchstwahrscheinlich Geflüchtete, denn sonst lädt sich ja keiner die dazugehörige App herunter.
Was ist das Problem dabei?
Tim: Den Leuten könnte ganz bestimmte Werbung angeboten werden. Zum Beispiel Sprachkurse auf Deutsch. Hört sich erstmal toll an, kennt man ja auch selbst: Wenn du Katzen hast, dann sollst du Werbung für Katzenartikel kriegen. Aber die Idee dieser Apps ist eine staatliche Aufgabe und nicht, dass man besser Werbung damit machen kann.
Niklas: Ja, genau. Mit diesen Werbeschaltungen verdienen die großen Unternehmen noch mehr Kohle. Es wird einfach zweckentfremdet. Das hätte man als Unternehmen und als Programmierer auch checken können, sollen und müssen. Tracker zu erkennen, gehört eigentlich zum kleinen Einmaleins der Programmierung.
Wenn die Daten in falsche Hände gelangen sollten, zum Beispiel durch einen Hackerangriff: Was für ein Risiko gäbe es für die Empfänger*innen der Bezahlkarte?
Tim: Im Kontext der Bezahlkarte kommt es darauf an, warum eine Person geflüchtet ist. Auch in Deutschland wurden schon Menschen von anderen Geheimdiensten oder im weitesten Sinne staatlichen Akteuren umgebracht. Wenn man Zugriff auf Daten der Bezahlkarte hat, kann man Rückschlüsse auf Bewegung und Gewohnheiten ziehen. Die Idee von Asyl ist es, dass Menschen politischen Schutz erhalten können, weil sie aus repressiven Regimen nach Deutschland flüchten. Dann ist es sehr problematisch, wenn – und das haben wir im Rahmen unserer Untersuchung festgestellt – sensible Informationen an große Konzerne übermittelt werden.
„Es sieht nach einem Feldversuch mit Asylsuchenden aus“
Würdet ihr sagen, dass der Asylschutz durch die Ausgestaltung der Socialcard-App gewährleistet ist?
Tim: Ich würde nicht sagen, dass er nicht gewährleistet ist – aber er kann negativ beeinträchtigt werden und das halte ich schon für problematisch. Es sieht ein bisschen nach einem Feldversuch mit Asylsuchenden aus. Ich kann mir gut vorstellen, dass in einigen Jahren oder so auch Bürgergeldempfänger*innen nur noch digitale Bezahlkarten erhalten. Damit kann die staatliche Repression immer größer werden, weil man Leute technisch einschränken kann. Ein weiterer wichtiger und neuer Aspekt ist, dass das Geld nicht mehr den Leuten selbst gehört, sondern der Kommune. Vorher hat man Bargeld bekommen, die Menschen konnten darüber verfügen. Durch die Umstellung auf die Bezahlkarte wird die Person vielleicht sogar dazu animiert, das Geld möglichst schnell auszugeben, denn erst dann gehört ihr die Ware wirklich.
Seht ihr auch Vorteile in einer Bezahlkarte für Geflüchtete?
Tim: Ja, mobiles Bezahlen oder allgemein Bezahlung mit Karte ist förderungswürdig. Aber es darf nicht so stark eingeschränkt sein. In Deutschland haben deutsche Staatsbürger*innen das Recht auf ein sogenanntes Basiskonto, das gar nicht abgelehnt werden kann. Deswegen kann und darf die Bezahlkarte nur ein absolutes Übergangsinstrument sein, bevor man ein richtiges Basiskonto bei einer richtigen Bank hat. Ich verstehe auch das Thema mit dem Handling des Bargeldes in den Kommunen. Das ist nicht cool, wenn da Zehntausende von Euros vor Ort liegen und man Angst haben muss, dass ein Überfall passiert.
Niklas: Die Weiterentwicklung der Digitalisierung ist super cool. Nur ist es am Ende des Tages ein Tanz mit dem Teufel. Man fragt sich: Kann das nicht selbst auch irgendwann auf einen selbst zutreffen? Die politische Lage in Deutschland ist sehr angespannt. Viele Leute werden wahrscheinlich sagen: "Oh ja, ist doch ganz cool, dass das Geld nicht für Glücksspiel und so weiter drauf gehen kann.” Nur, wo fängt es an und wo hört es auf? Am Anfang sind es “nur” Geflüchtete, dann sind es Bürgergeldempfänger*innen, dann sind es irgendwann Studierende, die BAföG bekommen. Und irgendwann hat der Staat potenziell die komplette Kontrolle darüber.
Ihr habt die vorgefundenen Datenschutzprobleme auch bei den App-Anbietern gemeldet. Hat sich daraufhin etwas verbessert?
Tim: Ich würde sagen, wir konnten auf jeden Fall sensibilisieren. Wir haben Rückmeldungen von allen App-Anbietern bekommen. Die haben auch alle sehr ernsthaft darstellen können, dass ihnen Datenschutz wichtig ist und dass sie sich darum kümmern werden. Keiner hat allerdings die Notwendigkeit gesehen, den Datenschutzaufsichtsbehörden Bescheid zu geben. Das ist spannend, weil eigentlich ein Gesetzesverstoß vorliegt, wenn man ohne Einwilligung personenbezogene Informationen sammelt. Das Problem ist: Es gibt keine Rechtsprechung dazu, dass das problematisch ist und es ist auch nicht davon auszugehen, dass eine betroffene Person, also eine Asylbewerberin, zu einer Datenschutzaufsichtsbehörde geht und sich beschwert.
Niklas: Und selbst verurteilen werden sie sich auch nicht.
Tim: Ja. Ansonsten haben aber alle Anbieter die Datenschutzbestimmungen verbessert, verändert und vor allem auch übersetzt, was eine zentrale Forderung von uns war. Am Ende war sie bei allen Anbietern auf Englisch verfügbar.
Der Bezahlkarten-Anbieter Publk GmbH reagierte auf unsere Anfrage, dass mit der neuen Version der Bezahlkarte eine App ohne Tracker entwickelt wurde. Habt ihr das überprüft?
Tim: Grundsätzlich stimmt es, dass keine Werbetracker mehr integriert sind. Es finden sich allerdings weiterhin Tracker wie Google Firebase. Man muss allerdings sagen, dass diese Tracker tatsächlich eher die Analyse zum Ziel haben, um die App zu verbessern und nicht um Werbung oder ähnliches auszuspielen.
Welche Sicherheitsbedenken habt ihr zu der neuen Möglichkeit, mit der Bezahlkarte Überweisungen oder Lastschriften zu tätigen?
Es gibt aus unserer Sicht Datenschutzprobleme, da durch die gezielte Freischaltung von Empfänger möglicherweise wieder Rückschlüsse auf die Nutzung denkbar sein können. Wenn eine Person beispielsweise bei bestimmten Ärzten ist und Überweisungen an sie freigeschaltet werden, ist es möglich Rückschlüsse zu ziehen, die - bei Wahrung der Datenschutzrechte - nicht möglich sein sollten. Ansonsten sehen wir, dass es bereits erste Tendenzen gibt, die Bezahlkarte in Hamburg auszuweiten.
Der Hamburger Senat antwortete auf eine Kleine Anfrage der Linken Anfang Juli 2025, dass die Stadt derzeit an einem “Vorprojekt” arbeiten würde, den Anwendungsbereich der Bezahlkarte auszuweiten. Erste Sozialarbeiter*innen sind bereits mit Karten ausgestattet, um bargeldlos Taschengeld an Jugendliche in betreuten Einrichtungen auszahlen zu können, teilte Netzpolitik.org aus einer Anfrage an die Finanzbehörde mit.