Biometric Payment als Alternative zum Mobile Payment im stationären Handel

Inhaltsverzeichnis

Abkürzungsverzeichnis

1 Einleitung
1.1 Relevanz
1.2 Fragestellung und Zielsetzung
1.3 Aufbau der Arbeit

2 Grundlagen
2.1 Mobile Payment
2.2 Biometrie und Sicherheit
2.3 Biometric Payment
2.4 Rechtliche Betrachtung Biometric Payment (PSD2)

3 Praxisbeispiele für Biometric Payment und Systementwurf
3.1 Fingerprint Payment digiPROOF
3.2 Handflächenbezahlung Amazon One
3.3 Alipay mit Gesichtserkennung
3.4 Biometric Payment System

4 Einsatzpotentiale von Biometric Payment und Vergleich mit Mobile Payment
4.1 Chancen von Biometric Payment
4.2 Herausforderungen von Biometric Payment
4.3 Vergleich Biometric und Mobile Payment im stationären Handel

5 Fazit

Literaturverzeichnis

Abkürzungsverzeichnis

Abbildung in dieser Leseprobe nicht enthalten

1 Einleitung

1.1 Relevanz

Unterstützt durch die aktuelle COVID-19-Pandemie hat das kontaktlose Bezahlen, auch aus Sorge vor Ansteckung, im stationären Handel im letzten Jahr stark an Zuspruch gewonnen¹. Einer im Mai und Juni 2020 in Deutschland unter 1.800 Personen über 18 Jahren durchgeführten Befragung zufolge haben 75 % der Befragten schon kontaktlos bezahlt, im Jahr zuvor waren es nur 55 %². Zudem nimmt die Bedeutung von elektroni­schen Zahlungsmitteln der Studie zufolge zu. So nannten nur noch 32 % der Befragten Bargeld als bevorzugtes Zahlungsmittel³. Es gibt also aktuell einen Wandel im Bezahl­verhalten der Menschen. Keine messbare Rolle in diesem Wandel nimmt bisher Biomet­ric Payment ein. So ließen sich zur Verbreitung von Biometric Payment im stationären Handel in Deutschland keine Daten finden, daher ist davon auszugehen, dass Biometric Payment aktuell keinen relevanten Anteil hat. Allenfalls einzelne Händler verwenden in­dividuelle biometrische Zahlungsmethoden, sodass Biometric Payment aktuell keine Re­levanz in Europa besitzt.

Dabei ist es mit Biometric Payment möglich, allein mit biometrischen Identifikationsmerk­malen wie dem Fingerabdruck oder der Handfläche, und damit ohne weitere Zahlungs­mittel wie Girokarten, zu bezahlen. Damit ist diese Bezahlungsmethode komfortabel und bequem, da das Zahlungsmittel immer mit sich geführt wird. Zudem kann es sicherer und schneller als Bargeld oder Girokarten sein. Aufgrund dieser potenziellen Vorteile und auch, weil Biometric Payment bisher kaum erforscht wurde, ist die wissenschaftliche Auseinandersetzung mit diesem Thema relevant.

1.2 Fragestellung und Zielsetzung

Ziel der Arbeit ist es, die in der deutsch- und englischsprachigen Literatur bisher nur wenig erforschte Zahlungsmethode Biometric Payment zu untersuchen. Die zu beant­wortende Fragestellung lautet: Ist Biometric Payment eine aussichtsreiche Alternative zum aktuellen Trend Mobile Payment im stationären Handel? Es gibt einige Vorteile von Biometric Payment, von denen einige im ersten Absatz bereits erwähnt wurden, dennoch hat sich die Technologie bisher in Europa nicht durchgesetzt. Die Gründe dafür hängen mit den Herausforderungen von Biometric Payment zusammen, die in dieser Arbeit er­läutert werden. Daher ist es außerdem Ziel dieser Arbeit, eine Aussage über die Zu­kunftsaussichten dieser Technologie zu treffen. Dabei soll nicht die Biometrie als Au- thentifizierungsmöglichkeit für eine Zahlungsart wie Kreditkartenzahlungen untersucht werden⁴. Stattdessen soll die Biometrie als alleiniges Zahlungsmittel betrachtet werden.

Es ist zudem nicht Ziel dieser Arbeit, die Potentiale von unbaren Zahlungsmethoden gegenüber der Barzahlung zu beleuchten. Stattdessen sollen die Chancen und Risiken von Biometric Payment mit denen der ebenfalls unbaren Zahlungsmethode Mobile Pay­ment verglichen werden. Denn die Barriere von der anonymen Bargeldzahlung auf eine Bezahltechnik mit körpereigenen biometrischen Merkmalen umzusteigen ist deutlich hö­her, als die beim Umstieg von Mobile auf eben dieses Biometric Payment. So lassen sich die Hauptgründe der Barzahlung, wie die Nicht-Zurückverfolgbarkeit, die sofortige Bezahlung durch physische Übergabe und der gesetzlichen Annahmezwang⁵, durch un­bare Bezahltechnologien kaum erfüllen.

1.3 Aufbau der Arbeit

Um die Einsatzpotentiale von Biometric und Mobile Payment im stationären Handel mit­einander vergleichen zu können, werden im Grundlagenteil zunächst die beiden Bezahl­formen erläutert. Dazu wird ihre Verbreitung in Deutschland untersucht und zum Ver­ständnis der Chancen und Risiken von Biometric Payment benötigte Grundlagen wie die Biometrie vermittelt und eine kurze rechtliche Betrachtung unter Einbezug der Zahlungs­dienstleisterrichtlinie PSD II vorgenommen. Anschließend werden aktuelle und histori­sche Praxisbeispiele für den Einsatz von Biometric Payment in den unterschiedlichen geographischen Regionen Deutschland, USA und China zusammengestellt und ein mögliches Biometric Payment System konzipiert, um diese Zahlungsmethode greifbarer zu machen. Zudem basiert jedes dieser Beispiele auf einem anderen biometrischen Merkmal. Darauf aufbauend werden die Chancen und Herausforderungen von Biometric Payment diskutiert und ein Vergleich mit Mobile Payment gezogen. Abschließend wird auf Grundlage des Vergleichs die dieser Arbeit zugrunde liegende Forschungsfrage im Fazit beantwortet.

2 Grundlagen

2.1 Mobile Payment

Es existieren unterschiedliche Definitionsansätze von Mobile Payment (MP). Schon Kornmeier hat in seiner heute veralteten Zusammenstellung 17 verschiedene Verständ­nisweisen aus der Literatur unterschieden⁶. Es ist davon auszugehen, dass sich durch neue technologische Möglichkeiten in den letzten zwölf Jahren weitere Ansätze heraus­gebildet haben. Daher ist es notwendig, das dieser Arbeit zugrunde liegende Verständ­nis von MP zu erläutern. Zunächst ist eine Unterscheidung in der Betrachtung der räum­lichen Distanz zwischen dem Standort des Bezahlvorgangs und dem Leistungsort in Proximity (räumliche Nähe) und Remote (räumliche Ferne) vorzunehmen⁷. Diese räum­liche Nähe der Bezahlung ist im stationären Handel, bei Automaten, oder bei bewegli­chen Orten wie beispielsweise Trödelmärkten gegeben.

Hierl und Ginner definieren MP jeweils als elektronische, monetäre Transaktion zur Be­zahlung von Waren oder Dienstleistungen durch einen Konsumenten im stationären Handel unter Verwendung eines mobilen Endgerätes⁸,⁹. Beide sehen also die Proximity als Bedingung für MP an. Im Gegensatz dazu beziehen Jelassi und Martinez-Lopez re­mote Bezahlvorgänge unter Nutzung eines Smartphones in ihre Definition für MP ein. So definieren sie MP sehr weitgefasst als Zahlungsvorgänge durch mobile Geräte und nennen als Beispiel auch den Geldtransfer zwischen Freunden¹⁰. Dieser Arbeit, die sich mit Zahlungsmethoden im stationären Handel beschäftigt, soll das zuerst vorgestellte Verständnis von MP, das eine physische Anwesenheit des Käufers am Transaktionsort fordert, zugrunde liegen. Einkäufe bei Versandhändlern im Internet über das Smart­phone fallen daher nicht unter diese Definition. Zwar wird die Zahlung über das Mobilge­rät freigegeben, allerdings ist die räumliche Nähe zwischen Verkäufer und Käufer nicht gegeben. In der Praxis für MP relevante Geräte sind damit Smartphones und Smartwat- ches. Geräte wie Tablets können zwar theoretisch auch unter Nutzung des NFC-Stan- dards zum Bezahlen verwendet werden, sind allerdings zu unhandlich.

Die regelmäßige Nutzung von MP hat im letzten Jahr stark zugenommen. So gaben in einer Studie von Forsa, die im Auftrag von Visa durchgeführt wurde, in 2019 6 % der 1.800 befragten Personen in Deutschland an, dass sie MP verwenden¹¹. Seitdem er­leichterten viele Banken die Verwendung von MP Lösungen, indem sie beispielsweise eine Nutzung ohne Kreditkarte ermöglichten. So sollen im Dezember 2020 bereits 1,5 Mio. Sparkassen-Kunden, die seit August 2020 bestehende Möglichkeit genutzt haben, ihre Girocards mit Apple Pay zu verknüpfen¹². Das hat zu einem großen Wachstum der MP Nutzung geführt. So gaben 39 % der 1.002 befragten Personen in einer Befragung von Bitkom Research an, dass sie im Zeitraum von September bis November 2020 min­destens vereinzelt mit einem Smartphone oder einer Smartwatch an der Kasse bezahlt haben¹³.

2.2 Biometrie und Sicherheit

Unter dem Begriff Biometrie, der sich aus den altgriechischen Wörtern bios für Leben und metron für Maß zusammensetzt, wird die Wissenschaft der Körpermessung an Le­bewesen verstanden¹⁴. Damit fällt das Wissen um körpereigene Merkmal von Menschen unter den Begriff der Biometrie. Durch quantitative Vermessung dieser Merkmale kann ein Mensch eindeutig identifiziert und von anderen Menschen unterschieden werden. Biometrische Merkmale werden in aktive und passive Merkmale unterschieden. Aktive biometrische Merkmale ergeben sich aus dem Verhalten einer Person. Beispiele für sol­che aktiven Merkmale sind die Unterschriftendynamik, die Lippenbewegung beim Spre­chen und das Gangzyklusmuster¹⁵. Zu den passiven, nicht verhaltensbezogenen Merk­malen, die für Biometric Payment relevant sind, zählen die Handfläche, die Iris, die Re­tina, die DNA und der Fingerabdruck¹⁶.

Nicht jedes körpereigne Merkmal eignet sich zur Identifikation und Authentifizierung von Personen. So sind Körpergröße und Herzmuskelgröße zwar Teil des Körpers, allerdings sind sie weder beständig, noch lassen sich Personen anhand ihrer unterscheiden. Die grundsätzlichen Voraussetzungen, die ein Merkmal erfüllen muss, um biometrisch zu sein, sind schon seit Jahrzehnten definiert, beispielsweise von Clarke. Diese sind u.a. Universalität, also jede Person muss dieses Merkmal besitzen, Einzigartigkeit, Per- manenz, also die Unveränderlichkeit des Merkmals über die Zeit und quantitative Erfass- barkeit¹⁷. Die Biometrie kann nicht vergessen, verliehen oder gestohlen werden, da sie ein Teil des Körpers ist. Aus diesen Gründen ist die Biometrie sicherer als alle anderen Authentifizierungsmöglichkeiten, die entweder auf Wissen, also beispielsweise ein Pass­wort, oder auf Besitz, also z.B. eine Kreditkarte oder ein Token, aufbauen¹⁸. Theoretisch ist die Fälschung von Biometrischen Merkmalen durch Betrüger jedoch möglich. Die ver­schiedenen Merkmale sind jeweils unterschiedlich sicher. So ist zum Beispiel die Iriser­kennung sicherer als die Gesichtserkennung, auch wenn eine hinreichende Sicherheit bei beiden Verfahren gegeben ist¹⁹. Zusätzlich ist zu bedenken, dass vielen Manipulati­onsversuchen durch sogenannte Lebendtests entgegengewirkt werden kann.

2.3 Biometric Payment

Bisher existiert keine allgemeingültige Definition von Biometric Payment (BP), da dieses bisher nur wenig in der deutsch- und englischsprachigen Literatur untersucht wurde. Wörtlich aus dem Englischen übersetzt bedeutet BP biometrisches Bezahlen. Priya de­finiert BP als eine auf Biometrie basierte Methode zur Autorisierung von Zahlungen. So beschreibt sie BP als eine Möglichkeit zur Autorisierung von Zahlungen im stationären Handel, die zur Verifizierung der Identität einzigartige physikalische Merkmale wie Fin­gerabdrücke vermisst und analysiert²⁰. Damit grenzt Priya ihr Verständnis von BP von einigen Wissenschaftlern ab, welche die Verwendung von biometrischen Merkmalen als Authentifizierungsmethode von beispielsweise Kreditkarten ebenfalls als BP bezeich­nen. So bezeichnet beispielsweise Nasonov die alleinige Zahlungsauthentifizierung über die Biometrie als „biometric-only authentication“²¹ im BP. In dieser Arbeit soll unter BP eine Zahlungsmethode am Point of Sale im stationären Handel verstanden werden, die biometrische Authentifizierung zur Identifizierung des Kunden und Autorisierung der Zahlung von einem Bankkonto verwendet.

Aufgrund der kartenlosen Technologie und der Verwendung der Biometrie kann das Au- torisierungsmittel nicht gestohlen oder vergessen werden. Als Autorisierungsmerkmal kommen dabei alle die in Kapitel 2.2 vorgestellten Bedingungen erfüllenden biometri­schen Merkmale in Frage. Dies sind im Einzelnen das Gesicht, der Fingerabdruck, die Handfläche, die Iris und die Retina. Zusätzlich nennen einige Experten die Unterschrif­tenprüfung und Stimmauthentifizierung, die sich jedoch aufgrund von Nachahmmöglich­keiten und möglicherweise vorhandenen Hintergrundgeräuschen nur eingeschränkt eig­nen²². Mit diesen Merkmalen ist im Hintergrund ein Bankkonto verknüpft. Je nach Si­cherheitsbedürfnis und rechtlicher Lage kann eine PIN-Validierung nach der Authentifi- zierung über das biometrische Merkmal verlangt werden²³.

Der Prozess der Authentifizierung mit einem biometrischen Merkmal lässt sich in ver­schiedene Phasen aufteilen. Beispielhaft wird ein solcher Zyklus folgend anhand der Fingerabdruckerkennung dargestellt. Zunächst wird eine digitale Darstellung des Finger­abdrucks durch einen Scanner erzeugt²⁴. Im nächsten Schritt wird der Fingerabdruck verarbeitet, damit es im dritten Schritt leichter wird, die einzigartigen Merkmale des Fin­gerabdrucks zu extrahieren²⁵. Diese werden als Merkmalsvektoren erzeugt. Zum Ab­schluss erfolgt in der Matching-Phase der Vergleich und die Zuordnung der extrahierten Vektoren zu den Gespeicherten. Bei erfolgreichem Matching kann der Fingerabdruck einer Person zugeordnet werden.

2.4 Rechtliche Betrachtung Biometric Payment (PSD2)

BP zur Autorisierung von größeren Summen mit ausnahmslos nur einem Faktor ist im europäischen Wirtschaftsraum (EWR) nicht zugelassen. Der aktuellen Fassung der Zah­lungsdiensterichtlinie (PSD2) zufolge muss u.a. für die Auslösung jedes elektronische Zahlungsvorgangs ab eines gewissen Volumens eine sogenannte starken Kun- denauthentifizierung oder Zweifaktor-Authentifizierung verlangt werden²⁶. Dabei müssen mindestens zwei Elemente aus den Kategorien Wissen (etwas, das nur der Nutzer weiß), Besitz (etwas, das nur der Nutzer besitzt) und Inhärenz (etwas, das der Nutzer ist) zur Authentifizierung herangezogen werden²⁷. Beispiele für die Kategorie Wissen sind ein Passwort oder PIN-Code, die Besitzanforderung lassen sich beispielsweise durch eine Giro- oder Kreditkarte oder ein Smartphone erfüllen und die Kategorie Inhärenz durch biometrische Merkmale. Um diese starke Kundenauthentifizierung mit BP erfüllen zu können, muss also neben dem biometrischen Merkmal aus der Kategorie Inhärenz ein weiterer Faktor aus den Bereichen Wissen oder Besitz herangezogen werden. Praktika­bel ist hier ein PIN-Code, wie er zur Authentifizierung von Kartenzahlungen heute ver­wendet wird. Bei Beträgen bis 50 Euro ist eine Ausnahme von der starken Kun- denauthentifizierung möglich. So können kontaktlose elektronische Zahlungsvorgänge bis zu 50 Euro bis zu fünf Mal in Folge ohne starke Kundenauthentifizierung ausgelöst werden²⁸. Bei BP ist also im EWR die komfortable Zahlung mit alleiniger Autorisierung durch das biometrische Merkmale in vielen Fällen bis zu einem Zahlungsvolumen von 50 Euro möglich.

[...]

¹ Die formale Gestaltung dieser Arbeit orientiert sich an den Vorgaben des Leitfadens zur formalen Gestaltung wissenschaftlicher Arbeiten (Stand WS 2020) des Hochschulbereichs IT-Management.

² Vgl. Visa (2020), S. 2

³ Vgl. Visa (2020), S. 1

⁴ Siehe dazu z.B. Mastercard (2020), S. 1

⁵ Vgl. Letzgus (2017), S. 68

⁶ Siehe dazu Kornmeier (2009), S. 20

⁷ Vgl. Hierl (2017b), S. 82

⁸ Vgl. Hierl (2017b), S. 83

⁹ Vgl. Ginner (2018), S. 69f.

¹⁰ Vgl. Jelassi, Martinez-Lopez (2020), S. 385

¹¹ Vgl. Visa (2020), S. 2

¹² Vgl. Heuzeroth (2020), S. 1

¹³ Vgl. Bitkom (2021), S. 1

¹⁴ Vgl. Labbude (2017), S. 27

¹⁵ Vgl. Pohlmann (2019), S. 182

¹⁶ Vgl. Pohlmann (2019), S. 182

¹⁷ Vgl. Clarke (1994), S. 21

¹⁸ Vgl. Priya (2017), S 114

¹⁹ Vgl. Pohlmann (2019), S. 186

²⁰ Vgl. Priya (2017), S 117

²¹ Nasonov (2017), S. 6

²² Vgl. Gupta, Sharma, Jangir (2019), S. 2

²³ Vgl. Garg, Garg (2015), S. 111

²⁴ Vgl. Priya (2017), S 115

²⁵ Vgl. Gupta, Sharma, Jangir (2019), S. 2

²⁶ Vgl. Europäisches Parlament und Rat (2015), L 337/106

²⁷ Vgl. Europäisches Parlament und Rat (2015), L 337/59

²⁸ Vgl. Europäische Kommission (2018), L69/32