Wer hat ApplePay das verraten?

Dieses Bild hat ein leeres Alt-Attribut. Der Dateiname ist LidlApplePay.jpg

…Geodaten? Woher nimmt Apple die Transaktionsdaten, die ApplePay-Nutzer nach der Bezahlung angezeigt bekommen? Klar, vom Kartenscheme – also von Mastercard, Visa, Amex oder welche Karte auch immer hinterlegt wurde. Oder von der kartenausgebenden Bank (Issuer) oder direkt vom Prozessor, der die Transaktion technisch abwickelt. Denkste! Ein paar eigenwillige Tx-Anzeigen lassen etwas ganz anderes vermuten. Und das könnte böse Folgen haben.

Cupertino, we have a problem. Bisher dachte ich – und vermutlich viele andere auch -, dass die Transaktionsdaten, die das Handy im Anschluss an einen Bezahlvorgang angezeigt, vom Kreditkartenscheme kommen. Jedenfalls aber, dass sie aus dem tatsächlich stattfindenden Zahlungsvorgang generiert werden, der dafür sorgt, dass das Geld von der Bank des Kunden an die Händlerbank fließt. Valide Daten eben.

Pustekuchen. Ein Bekannter schickte mir nachfolgendes Bild. Zu sehen: Ein Kassenbon über 2,07 Euro vom Lidl im Nürnberger Hauptbahnhof, wo er mit ApplePay und einer virtuellen Visakarte von Comdirect zahlte. Auf dem Handy wird als Zahlort jedoch eine „Metzgerei Meier“ mit der Transaktion von 2,07 Euro angegeben. Die befindet sich zufälligerweise auch im HBF Nürnberg, Bahnhofsplatz 9 – allerdings fast am anderen Ende.

It´s a long way to… vom Discounter zum Metzger. (Quelle: Goolge Maps, 21.2.19)

Jürgen Weiß berichtet von einem ähnlichen Fall. Eine ApplePay-Zahlung, nun mit Mastercard (!) in der Salzkammer in Frankfurt am Main; angezeigt wurde auf dem Handy allerdings als Bezahlort das Restaurant Walden – quasi gegenüber. Auf dem späteren Kontoauszug wird der tatsächliche Transaktionsort dann schließlich korrekt angegeben.

Bild und Erläuterungen von Jürgen Weiß
(Quelle: Google Maps 21.2.2019)

Dritter Fall: Der Hinweis von Marc-Oliver-Schaake auf Twitter zu einer „Sanifair WC“-Bezahlung im Zentralbahnhof von Den Haag, die von ApplePay kurzerhand in die Satébar im selben Bahnhof verlegt wurde.

Transaktionsdaten aus Lokalisierung per Apple Maps?!

Die auf dem iPhone angezeigten Transaktionsinformationen werden also offenbar jeweils aus Daten von Apple Maps (POI) und der Lokalisierung des Smartphones per GPS-Tracking und Funknetz generiert. Dabei kommt es dann wohl zu Ungenauigkeiten, wie man sie von der Handyortung gewohnt ist. Das ist jedenfalls die vorläufige Schlussfolgerung meiner geschätzten Twitter-Payment-Blase (Vielen Dank für die Hinweise und Erläuterungen!).

Blöd werden solche Fehlortungen halt, wenn eine Transaktion in der Bahnhofsgegend beispielsweise mal flugs ins Rotlichtviertel irrlichtert. Das könnte den armen ApplePay-Nutzer schnell in Erklärungsnot bringen. Überdies fragt man sich aber, ob sensible Daten zu Bezahlvorgängen überhaupt einfach mal so grob geschätzt werden sollten; selbst wenn der tatsächliche Zahlvorgang natürlich korrekt zugeordnet und abgerechnet wird. Apple kann dem Kunden doch nicht einfach mal so eine grobe Schätzung/Peilung auf dem Handy als Zahlungsdaten verkaufen. Das ist doch unseriös und grob fahrlässig – Zahlungsdaten „Pi x Daumen“. Das kann zu lebhaften Diskussionen am POS und drumherum führen.

Was lernen wir daraus? Das Fürchten. Eine Kreditkartengesellschaft kann angeblich den Zeitpunkt der Scheidung eines Karteninhaber ziemlich genau vorhersagen, wie böse Zungen behaupten. Apple sammelt noch mal ein paar Terabyte-Datenvolumen mehr über iPhone-Nutzer – natürlich nur zu unserem Besten. Vermutlich zeigt das Smartphone aus der Kombination von Bewegungsdaten, Wetterdaten („Schlechter Luftqualität“), Zahlungsinformationen und Telefonverbindungen demnächst ungefragt solcher Art Warnhinweise an: „Sie haben noch 1 Jahr, 2 Monate und 5 Stunden zu leben“. Im digitalen Zeitalter gilt bekanntlich die Weisheit: Wer hat uns verraten? Metadaten.

Lesetipp

(1) Apple zündet derweil die nächste Stufe von ApplePay in Richtung eigener Zahlungskosmos – und bringt gemeinsam mit Goldman Sachs eine Kreditkarte u.a. mit einem Bonussystem heraus. Das berichtet das Wall Street Journal und Heise übersetzt die Basic Facts dazu.

(2) (ergänzt am 1.3.2019) Eine interessante Analyse zu dieser Kooperation findet sich bei PaymentsSource. Zitat: „So what’s in it for Apple? Much has been made about how this card will revitalize Apple Pay and provide an improved interchange driven revenue stream higher than the 15 basis points that Apple currently gets from issuers. Given that cardholders are expected to get back 2 percent of spending in rewards, we do not think the interchange economics allow for much sharing with Apple.“ … „Beyond the financial returns, we think the real value for Apple is in the underlying consumer and spending data — Apple already has a tremendous amount of consumer data via its phones and will gain the ability to pair that with consumer spending. That will deepen its role and influence within both physical and digital commerce, including content and entertainment.“

Aktualisierung 22.2.2019: Ursprünglich hatte ich geschrieben, dass auch GooglePay die angezeigten Tx-Daten offenbar in ähnlicher Weise generiert. Das stimmt aber wohl nicht. GooglePay nimmt echte Tx-Daten (vom Issuer oder Prozessor) und reichert diese für die Anzeige dann mit eigenen Geodaten (Händlertelefonnummer, etc.) an. Jedenfalls konnte noch keiner über eine vergleichbare Fehlortung berichten, wie sie hier dreifach bei ApplePay dokumentiert ist. Ich lasse mich aber immer gerne eines Besseren belehren. 🙂

Nachklapp 23.2.2019

Die Apple-Fachpresse iPhone-Ticker hat diesen Post aufgeriffen und kommentiert. Die Leser-Kommentare – hier wie dort – zeigen: Apple-Fanboys finden es ganz toll, dass ApplePay Transaktionsdaten falsch zuordnet. Erstens zeige dies, dass Apple die echten Tx-Daten eben nicht kennt und zweitens sei eine Beziehung ohnehin nicht intakt, wenn man angebliche Ausgaben im Rotlichtviertel daheim nicht erklären kann.

Das ist ja schön und gut, liebe Leute. Als Nutzer einer Bezahllösung wüsste ich aber gerne, dass die auf dem Handy angezeigten Tx-Daten nicht die echten Zahldaten sind und falsche Zuordnungen stattfinden können. Alles andere ist IMHO ein No-Go. Das will ich auch nicht erst irgendwo versteckt in den AGB von Apple lesen müssen und ich will auch nicht erst selbst darauf kommen müssen, die Ortungsdienste vor der ApplePay-Bezahlung abzuschalten. Und ja, der „Was lernen wir daraus“-Absatz oben war eher ein satirischer Abspann. Motto: Das kommt als Nächstes auf uns zu.

8 thoughts on “Wer hat ApplePay das verraten?

  1. Dass die Geräte per Geolocation schätzen müssen, wo man vielleicht gerade etwas gekauft haben könnte, ist doch eigentlich ein guter Hinweis, dass sie sonst so wenig über die Transaktion wissen, dass man außer dem Preis gar nichts Sinnvolles anzeigen könnte. Mich beruhigt das eher.

    Im Übrigen sammelt Apple nicht Terabyte an Transaktionsdaten über iPhone-Nutzer. Die Transaktionshistorie wird als extrem sensibel behandelt und verlässt das iPhone nie, d.h. wird nicht über iCloud synchronisiert und landet noch nicht einmal in Backups (egal ob über iCloud oder iTunes). Apple hat per Design keine Möglichkeit, an diese Daten zu gelangen.

  2. Ich verstehe die Aufregung nicht so ganz. Man hat Bedingungen akzeptiert, die jederzeit unter den Apple Pay Einstellungen nachzulesen sind:
    „Wenn die Ortungsdienste aktiviert sind, wird der Standort deines Gerätes zum Zeitpunkt, an dem du das Gerät für Käufe in Geschäften verwendest, anonym an Apple gesendet und von Apple Pay dazu verwendet…“

  3. Der Standort wo man eingekauft hat wird LOKAL via Ortungsdienst geschätzt und in der Transaktion in der Wallet hinzugefügt und steht so (richtig oder falsch) auch nur in der Wallet. Auf der Kreditkartenrechnung steht es dann korrekt und ich denke die Ehefrau checkt eher die Kreditkartenrechnung denn sich in die Tiefen der ApplePay-Transaktionen der Wallet hinab zu wagen 🙂
    Nutze ich für ApplePay sowohl AppleWatch und iPhone, habe ich zwei unabhängige Wallets. D.h., Transaktionen die ich per Watch getätigt habe, kann ich auf dem iPhone nicht sehen und umgekehrt.
    Alles in allem beruhigt mich das mehr und bestätigt das Apple keine Infos darüber hat wo ich etwas eingekauft habe.
    Alternativ könnte Apple die Ortsangaben auch einfach weglassen und lediglich Betrag, Datum und Uhrzeit der Transaktion im Wallet speichern.
    Ich persönlich schaue überhaupt nicht in diese Transaktionsliste weil ich unmittelbar nach Bezahlen eine Pushnachricht meiner Kreditkartenbank bekomme und die Transaktion in der App der Bank verbucht wird. Und da sind alle Daten korrekt.

  4. Pingback: Apple Pay hat Probleme mit Orts-Zuweisungen von Zahlungen | iTopnews

  5. Starke These, die doch reichlich unglaubwürdig klingt, so oft wie der richtige Merchant zugeordnet wird (gerade auch in mehrstöckigen Kaufhäusern).

    Ziemlich einfach lässt sich die These jedoch widerlegen:
    1. Ortungsdienste deaktiviert und Flugmodus eingeschaltet (damit keine Ortung per WLAN möglich ist)
    2. Zahlung per ApplePay getätigt
    -> es erscheint die Wallet-Benachrichtigung, dass eine Zahlung getätigt wurde (ohne Angabe von Betrag und Merchant)
    3. Flugmodus deaktiviert
    -> Wallet-Benachrichtigung mit korrektem Merchant und Betrag erscheint

    Es bleibt also ein Mysterium woher ApplePay die Daten zieht und warum es dabei zu Fehlern kommt, aber auf Basis von Geodaten lässt sich wohl höchstwahrscheinlich ausschließen.

  6. Lieber Herr Bender, liebe Paymentfans & ApplePay-Fanboys,

    da ist ja mal ein richtig großer Coup gelungen. „Was lernen wir daraus“, war die Frage:

    1. Gewisse Stadtteile meiden
    2. Ortung ggf ausschalten
    3. Auf Android wechseln

    Alle drei Dinge sind für die meisten wohl keine Option. Wir können jetzt aber auf 5G hoffen. Damit wird alles besser, auch die Lokalisierung. In der Zwischenzeit suchen wir weiter in den Krümmlen. Dafür lassen wir die Zeit hinter uns, in der Magnetstreifen kopiert werden konnten…. Skimming ade. ✌

    Beste Grüße und ein 3-faches Alaaf!
    mwm

  7. Pingback: Bits und so #618 (Abrissparty) | Bits und so

  8. Pingback: SSNIPpets (25): Höher, schneller, reicher | D'Kart

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.