Ein Teil der Daten wird dabei verschlüsselt übertragen, ein anderer Teil aber nicht: die Nummer und das Verfallsdatum der Kreditkarte. Diese Daten griff nun ein von ARD-"Report München" beauftragter Sicherheitsexperte mithilfe eines Smartphones ab, dass er den Karten auf knapp vier Zentimetern näherte. Denkbar wäre also etwa, dass Kriminelle in vollen Zügen oder Bussen auf diese Weise Daten abfangen —und dann zu Onlineeinkäufen nutzen.

"Das ist ein rein theoretisches Modell, das nicht geeignet ist, missbräuchliche Transaktionen zu Lasten von Verbrauchern durchzuführen", sagte der Mastercard-Sprecher. Allein in Deutschland nutzten 1,2 Millionen Mastercard-Kunden die kritisierten modernen Karten, es seien aber keine Probleme bekannt. Eine Visa-Sprecherin betonte, mit den per NFC abgefragten Daten könnten keine Kartenkopien erstellt werden. Visa will bis Jahresende rund 500.000 Pay-Wave-Karten in Deutschland ausgeben.

Onlineeinkäufe nur mit Nummer und Verfallsdatum der Kreditkarte sind zudem bei den meisten Onlinehändlern nicht mehr möglich. Sie setzen auf zusätzliche Sicherheitsmechanismen wie den dreistelligen Sicherheitscode auf der Rückseite der Kreditkarte oder Passwörter. Verzichtet ein Händler aber darauf und begnügt sich mit Kreditkarten-Nummer und Verfallsdatum, haftet er nach Angaben von Mastercard und Visa für den Einkauf. Der betroffene Kartenbesitzer muss den Schaden also nicht zahlen.

Dass ein Teil der Daten leicht auslesbar ist, liegt der Technologie des kontaktlosen Bezahlens sozusagen zugrunde: "Es ist keine Sicherheitslücke", sagte der Mastercard-Sprecher. "Verbraucher müssen sich hier nicht verunsichern lassen."