Kontaktlos zahlen: NFC, payWave, PayPass und ExpressPay erklärt (2026)

Was ist NFC und wie funktioniert kontaktloses Bezahlen technisch?

Kontaktloses Bezahlen basiert auf NFC – Near Field Communication, zu Deutsch Nahfeldkommunikation. Das ist ein internationaler Übertragungsstandard für den drahtlosen Datenaustausch auf kurze Distanz. Wenn du deine Karte oder dein Smartphone ans Terminal hältst, passiert in weniger als einer Sekunde mehr Technik, als du vielleicht vermutest.

NFC arbeitet auf einer Frequenz von 13,56 MHz und basiert auf der Norm ISO/IEC 14443 – derselben Norm, die auch für kontaktlose Chipkarten gilt. Die Datenübertragungsrate liegt bei rund 424 kbit/s bis 500 kB/s. Das klingt nach wenig, reicht aber für die geringen Datenmengen bei einem Zahlungsvorgang vollkommen aus.

Das Funktionsprinzip ist elegant einfach: Deine Karte oder dein Smartphone erzeugt ein Magnetfeld. Das Kassenterminal empfängt dieses Feld und aktiviert darüber die Datenübertragung. Die maximale Reichweite beträgt in der Praxis 4 bis 6 Zentimeter – technisch wären bis zu 10 cm möglich, aber in realen Umgebungen kaum erreichbar. Diese kurze Distanz ist kein Zufall: Sie ist eine der wichtigsten physischen Sicherheitsbarrieren des Systems.

Ein entscheidender Unterschied zu Bluetooth oder WLAN: NFC braucht keinen aktiven Verbindungsaufbau. Es gibt kein Pairing, keine Netzwerksuche, kein Handshake im klassischen Sinne. Das Gerät muss nicht einmal eingeschaltet sein – manche Karten funktionieren rein passiv über das vom Terminal erzeugte Feld. Das macht den Vorgang so schnell.

Die eigentlichen Zahlungsdaten stecken im EMV-Chip deiner Karte – das ist der goldfarbene Chip, den du auch beim Einstecken nutzt. Beim kontaktlosen Bezahlen greift das Terminal drahtlos auf diesen Chip zu. Du erkennst NFC-fähige Karten am Wellen-Symbol auf der Kartenrückseite oder -vorderseite: Es sieht aus wie ein seitlich gekipptes WLAN-Symbol mit vier geschwungenen Linien.

Bevor der Zahlungsvorgang überhaupt starten kann, muss das Terminal vom Kassenpersonal aktiviert worden sein. Das ist die erste Sicherheitsstufe: Ein Terminal, das niemand freigeschaltet hat, kann keine Zahlung empfangen. Erst danach – wenn du deine Karte in die Nähe hältst – beginnt der eigentliche Datenaustausch. Der gesamte Vorgang dauert, wie gesagt, unter einer Sekunde. Kein Eintippen, kein Warten, kein Quittieren.

Wichtig zu wissen: NFC ist kein proprietäres System eines einzelnen Unternehmens. Es ist ein offener Standard, auf dem alle großen Zahlverfahren aufbauen – von der Girocard über Visa bis zu mobilen Bezahllösungen. Die Unterschiede zwischen den Anbietern liegen nicht in der Übertragungstechnik selbst, sondern in den Schichten darüber: Tokenisierung, Limits und Sicherheitslogik.

payWave, PayPass und ExpressPay: Die Verfahren der Kartenanbieter im Vergleich

Wenn du an der Kasse deine Karte kontaktlos ans Terminal hältst, läuft im Hintergrund eines von drei großen Verfahren ab – je nachdem, welches Kartennetzwerk deine Karte nutzt. Die Namen klingen unterschiedlich, die Technik dahinter ist es kaum.

Visa payWave ist Visas Markenname für kontaktloses Bezahlen. Das Verfahren ist in Deutschland seit Jahren etabliert. Das PIN-freie Limit liegt bei 50 Euro – dieser Wert gilt seit 2017 und hat das frühere 25-Euro-Limit abgelöst. Mastercard PayPass – inzwischen auch als „Mastercard Contactless“ bekannt – funktioniert nach demselben Prinzip mit identischem 50-Euro-Limit. ExpressPay ist das entsprechende Verfahren des dritten großen Kartennetzwerks und orientiert sich ebenfalls am Marktstandard von 50 Euro ohne PIN-Eingabe.

Alle drei Verfahren teilen dieselbe technische Basis: NFC kombiniert mit dem EMV-Standard. EMV steht für Europay, Mastercard und Visa – das ist der internationale Chip-Standard, der seit den 1990er-Jahren Magnetstreifen-Betrug massiv reduziert hat. Kontaktloses Bezahlen ist im Grunde eine drahtlose Erweiterung dieses bewährten Standards.

Die echten Unterschiede liegen in den Details. Beim kumulativen Limit – also dem Gesamtbetrag, den du ohne PIN-Eingabe ansammeln kannst – gibt es Abweichungen: Visa und die Girocard setzen die Grenze bei 150 Euro, Mastercard erlaubt teils bis zu 250 Euro kumuliert. Nach 5 aufeinanderfolgenden kontaktlosen Transaktionen ohne PIN wird bei allen Verfahren die PIN-Eingabe erzwungen – unabhängig vom Einzelbetrag.

Ein weiterer Unterschied liegt im Tokenisierungsprozess. Alle drei Verfahren nutzen Tokenisierung – statt deiner echten Kartennummer wird ein einzigartiger, transaktionsspezifischer Code übertragen. Die proprietären Anpassungen in der Implementierung unterscheiden sich jedoch zwischen den Netzwerken. Das ist für dich als Nutzer unsichtbar, spielt aber für die Sicherheitsarchitektur eine Rolle.

Was die Verbreitung angeht: Visa und Mastercard sind in Deutschland flächendeckend akzeptiert – nahezu jedes Terminal, das kontaktlos kann, unterstützt beide Verfahren. ExpressPay hat eine mittlere Verbreitung; nicht jedes Terminal akzeptiert das Netzwerk, aber in größeren Städten und bei internationalen Händlern ist die Akzeptanz gut.

Für dich als Karteninhaber bedeutet das praktisch: Du hältst die Karte ans Terminal, das Verfahren läuft automatisch ab, und du musst dir keine Gedanken machen, welches Netzwerk gerade aktiv ist. Die Unterschiede sind real, aber im Alltag kaum spürbar.

Mobiles Bezahlen mit Apple Pay, Google Pay und Samsung Pay

Smartphone ans Terminal halten, kurz entsperren – fertig. Mobiles Bezahlen funktioniert technisch genauso wie eine kontaktlose Karte. Der Unterschied liegt in dem, was im Hintergrund passiert: mehr Sicherheitsebenen, mehr Datenschutz, mehr Komfort.

Die Voraussetzungen sind überschaubar: Du brauchst ein NFC-fähiges Gerät, eine Bezahl-App und eine dort hinterlegte Karte. Das war’s. Dein Smartphone oder deine Smartwatch übernimmt dann die Rolle der physischen Karte – mit einigen entscheidenden Vorteilen.

Apple Pay ist seit Winter 2018 in Deutschland verfügbar. Du hinterlegst deine Karte in der Wallet-App auf iPhone, iPad oder Apple Watch. Jede Zahlung erfordert eine biometrische Freigabe – Face ID, Touch ID oder den Geräte-PIN. Apple gibt an, selbst keinen Einblick in deine Bezahlvorgänge zu haben. Die Daten bleiben verschlüsselt in der Wallet-App, ohne dass Apple sie verarbeitet.

Google Pay ist seit Juni 2018 in Deutschland nutzbar. Du brauchst ein Android-Smartphone mit mindestens Android 5.0 und aktiviertem NFC. Die Authentifizierung läuft über Fingerabdruck oder PIN. Hier gibt es einen wichtigen Datenschutzunterschied zu Apple: Google sammelt Transaktionsdaten. Das ist kein Geheimnis, aber ein Aspekt, den du kennen solltest, wenn dir Datenschutz wichtig ist.

Samsung Pay ist der dritte große Anbieter im deutschen Markt. Das Verfahren funktioniert auf Samsung-Geräten und nutzt ebenfalls NFC für die Datenübertragung.

Das entscheidende technische Merkmal aller mobilen Bezahlverfahren ist die Tokenisierung: Statt deiner echten Kartennummer wird ein virtueller Token übertragen – eine einmalige, transaktionsspezifische Nummer, die für den Händler wertlos ist, sobald die Transaktion abgeschlossen ist. Der Händler sieht deine echten Kontodaten nie.

Die Datenspeicherung auf dem Gerät erfolgt entweder über ein Secure Element – einen dedizierten Hardware-Chip im Gerät, der besonders gut gegen Angriffe geschützt ist – oder über HCE (Host Card Emulation), eine Software-basierte Lösung. Beide Varianten gelten als vergleichsweise sicher.

Ein praktischer Komfortvorteil: Du kannst mehrere Karten in einer App hinterlegen und zwischen ihnen wechseln. Digitale Quittungen landen direkt in der App. Und wenn du eine Smartwatch mit NFC trägst, kannst du sogar ohne Smartphone zahlen – einfach Handgelenk ans Terminal.

Laut aktuellen Erhebungen haben im Zeitraum bis Mitte 2025 bereits 36 % der Befragten mindestens einmal mobil per Smartphone oder Smartwatch bezahlt – ein Anstieg von 26 % im Vorjahr. Bei den 18- bis 29-Jährigen zahlen sogar 64 % regelmäßig mit dem Mobiltelefon oder der Smartwatch.

Sicherheit beim kontaktlosen Bezahlen: Schutzmaßnahmen und Haftung

Die häufigste Sorge beim kontaktlosen Bezahlen: Kann jemand unbemerkt Geld von meiner Karte abbuchen? Die kurze Antwort ist nein – zumindest nicht ohne erheblichen Aufwand, der in keinem Verhältnis zum möglichen Ertrag steht. Hier ist der Grund dafür.

Das System arbeitet mit mehreren unabhängigen Sicherheitsebenen. Die erste ist die Verschlüsselung: Alle übertragenen Daten sind auf höchstmöglichem Standard verschlüsselt. Selbst wenn jemand das Funksignal abfangen würde, käme er mit den Rohdaten nichts an.

Die zweite Ebene ist die Tokenisierung. Statt deiner echten Kartennummer wird ein transaktionsspezifischer Token übertragen – eine einmalige Zeichenkette, die nach der Transaktion wertlos ist. Selbst wenn dieser Token abgefangen wird, kann er nicht für eine weitere Zahlung genutzt werden.

Drittens greift die Einzelaktivierung: Jede Transaktion wird separat aktiviert. Mehrfachzahlungen in einem einzigen Vorgang sind technisch ausgeschlossen. Und wenn mehr als zwei gleichzeitige Funksignale erkannt werden, bricht das System die Transaktion automatisch ab.

Die kumulativen Limits sind eine weitere Schutzebene, die oft unterschätzt wird. Nach 5 aufeinanderfolgenden kontaktlosen Transaktionen ohne PIN-Eingabe – oder nach einem kumulierten Betrag von 150 Euro (bei Mastercard teils 250 Euro) – erzwingt das System die PIN-Eingabe. Das gilt auch dann, wenn jede einzelne Transaktion unter 50 Euro lag. Zusätzlich erfolgen sporadische PIN-Abfragen auch bei kleineren Beträgen – zufällig und ohne Vorwarnung, als zusätzliche Sicherheitsebene.

Die Terminals selbst sind ein weiterer Schutzfaktor. Sie müssen gesondert zertifiziert sein und hohe Sicherheitsstandards erfüllen. Außerdem muss das Kassenpersonal das Terminal vor jeder Zahlung aktivieren – ein passives Terminal kann keine Zahlung empfangen.

Was passiert, wenn doch etwas schiefläuft? Die Haftungsregelung ist verbraucherfreundlich: Bei nicht autorisierten Zahlungen haftest du als Karteninhaber maximal 50 Euro. Den darüber hinausgehenden Schaden übernimmt in der Regel die Bank. Voraussetzung ist, dass du nicht grob fahrlässig gehandelt hast – also zum Beispiel deine PIN zusammen mit der Karte aufbewahrt hast.

Bei Verlust oder Diebstahl gilt: Karte sofort über den Sperrnotruf 116 116 sperren. Der Notruf ist kostenlos und rund um die Uhr erreichbar. Je schneller du sperrst, desto geringer das Risiko.

Zum Thema RFID-Blocker-Hüllen: Sie können das unbefugte Auslesen von Kartendaten physisch verhindern. Praktisch ist das Risiko des sogenannten „Skimmings“ jedoch sehr gering – ein Angreifer müsste sich auf wenige Zentimeter annähern, und selbst ausgelesene Daten ohne den CVC-Code sind für Online-Käufe nur eingeschränkt nutzbar. Eine Schutzhülle schadet nicht, ist aber kein Muss.

Kontaktlose Karte vs. Smartphone-Zahlung: Was ist besser?

Beide Methoden nutzen dieselbe NFC-Technologie. Beide sind schnell, bequem und sicher. Trotzdem gibt es echte Unterschiede – und je nach Situation kann die eine Methode klar die bessere Wahl sein.

Der größte Unterschied liegt bei der Authentifizierung. Eine kontaktlose Karte erfordert erst ab 50 Euro oder nach 5 Transaktionen eine PIN-Eingabe. Ein Smartphone hingegen verlangt vor jeder Zahlung eine biometrische Bestätigung – Fingerabdruck, Face ID oder Geräte-PIN. Das ist ein Mehr an Sicherheit, kostet aber eine Sekunde mehr Zeit.

Beim Datenschutz punktet das Smartphone deutlich. Der Händler erhält bei Apple Pay oder Google Pay nur einen virtuellen Token – keine echten Kartendaten, keine Kontonummer, keine Ablaufdaten. Bei einer physischen Karte werden zwar verschlüsselte Kartendaten übertragen, aber die Struktur ist näher an den echten Daten als beim Token-Verfahren.

Das Verlustrisiko ist ein weiterer wichtiger Aspekt. Eine gestohlene Karte kann bis zur Sperrung für PIN-freie Transaktionen bis zu 50 Euro genutzt werden – mehrfach, bis das kumulative Limit greift. Ein gestohlenes Smartphone ist ohne Entsperrung wertlos für Zahlungen. Kein Fingerabdruck, keine Face ID, keine Zahlung. Das ist ein klarer Sicherheitsvorteil für das Smartphone.

Beim Komfort hat das Smartphone die Nase vorn: mehrere Karten in einer App, digitale Belege, Smartwatch-Kompatibilität. Du kannst zwischen Girokonto-Karte, Kreditkarte und Prepaid-Karte wechseln, ohne verschiedene Plastikkarten im Portemonnaie zu jonglieren. Digitale Quittungen landen automatisch in der App – praktisch für die Buchhaltung oder Spesenabrechnung.

Die Voraussetzungen sind beim Smartphone höher: NFC-fähiges Gerät, passende App, hinterlegte Karte, aktuelles Betriebssystem. Wer ein älteres Smartphone ohne NFC hat oder keine App einrichten möchte, ist mit der physischen Karte besser bedient. Die Karte funktioniert einfach – ohne App, ohne Betriebssystem-Update, ohne Akku.

Laut aktuellen Zahlen nutzen bereits 98 % der Deutschen kontaktloses Bezahlen in irgendeiner Form. 69 % tun es regelmäßig. Der stationäre Einzelhandel wickelt mittlerweile 61,8 % seines Umsatzes über Kartenzahlungen ab. Und 40 % der Verbraucher verlassen ein Geschäft oder betreten es erst gar nicht, wenn keine Kartenzahlung möglich ist. Kontaktloses Bezahlen ist längst kein Trend mehr – es ist Standard.

Fazit: Für maximale Sicherheit und Datenschutz ist das Smartphone die bessere Wahl. Für maximale Einfachheit ohne technische Voraussetzungen ist die kontaktlose Karte unschlagbar. Im Alltag ergänzen sich beide Methoden gut.