Kreditkarten und Onlineshopping

Onlineshopping. Zusätzliche Sicher­heit­schecks werden nötig. Meist fordern Kunden dafür eine Tan auf ihr Mobiltelefon an.

Ab dem 14. September 2019 gelten neue Regeln für das Onlineshopping per Kreditkarte. Da viele Onlinehändler auf die Umstellung nicht genügend vorbereitet sind, hat die Bundes­anstalt für Finanz­dienst­leistungs­aufsicht (BaFin) ihnen einen zeitlich befristeten Aufschub gewährt. Wann die Über­gangs­regelung endet, steht noch nicht fest. *) Hier lesen Sie im Detail, was sich für Kunden ändert. Mit einem bequemen Tool können Sie zudem ganz schnell heraus­finden, welche Bank welches Tan-Verfahren einsetzt und welche Kosten für das Online-Shopping anfallen. Und für Schnell­leser haben wir Ihnen das neue Verfahren beim Onlineshopping in einer Grafik aufbereitet.

*) Aktualisiert am 21. August 2019.

Online-Einkauf mit Kreditkarte – alle Details

Wer bisher über seine Kreditkarte online einkauft oder eine Reise bucht, braucht nicht einmal die Karte selbst. Es reicht, Karten­nummer, Prüf­nummer und das Ablaufdatum parat zu haben, um an der virtuellen Kasse zu zahlen. Doch Kreditkarten­daten können zum Beispiel durch einen Hacker­angriff oder Sicher­heits­lücken beim Onlinehändler in die Hände von Kriminellen geraten. Die haben dann leichtes Spiel und können mit den geklauten Kunden­daten im Internet auf Shopping­tour gehen.

Betrug und Miss­brauch sollen reduziert werden

Nicht mehr lange: Am 14. September 2019 tritt die EU-Richt­linie PSD2 (Payment Services Directive 2) in Kraft. Für den Online-Geld­verkehr gelten dann neue Regeln, die auch Kreditkarten betreffen. Betrugs­risiken und Miss­brauch sollen so reduziert werden. Die Karten­daten alleine reichen nicht mehr fürs Onlineshopping. Wie beim Online­banking sind zusätzliche Sicher­heit­schecks mit einer Zwei-Faktor-Authentifizierung vorgesehen. Beim Einkauf mit Kreditkarte kommen sogenannte 3D-Secure-Verfahren zum Zuge, die an die neue EU-Richt­linie angepasst wurden. Bei Visa nennt sich das Verfahren „Verified by Visa“, bei Mastercard „Mastercard Identity Check“, bei American Express „Safekey“. In der Regel müssen Kunden Zahlungen mit einer einmal gültigen Trans­aktions­nummer (Tan) frei­geben. Banken bieten verschiedene Verfahren an, die meist übers Mobiltelefon laufen. Da viele Onlinehändler auf die Umstellung nicht genügend vorbereitet sind, hat die Bundes­anstalt für Finanz­dienst­leistungs­aufsicht (BaFin) ihnen einen zeitlich befristeten Aufschub gewährt. Auch nach dem 14. September 2019 können Kunden mit der Kreditkarte bei den Händ­lern ohne Eingabe einer Tan zahlen, die noch nicht auf das neue Sicher­heits­verfahren einge­stellt sind. Wann die Über­gangs­regelung endet, steht noch nicht fest.*)

Unser Rat

Umstellung. Auch wenn nach dem 14. September 2019 noch nicht alle Händler die neuen Sicher­heits­verfahren anwenden, sollten Sie möglichst schnell auf ein 3D-Secure-Verfahren wie „Mastercard Identity Check“ und „Verified by Visa“ umstellen. Registrieren können Sie sich über die Internetseite Ihrer Bank. *)

Tan-Verfahren. Die Banken bieten Ihnen unterschiedliche Tan-Verfahren an. Einen schnellen Check können Sie mit unserem Tool weiter unten machen. Die entsprechenden Angaben finden Sie zudem auch in der großen Tabelle unseres Kreditkarten-Tests. Das SMS-Tan-Verfahren funk­tioniert auch auf älteren Hand­ymodellen.

Sicherheit. Als Kreditkartennutzer müssen Sie sich nach wie vor selbst vor Betrug schützen. Shoppen Sie nur auf Seiten, auf denen vor der Adresse https steht. Sichern Sie Handy und Apps mit Pin, Pass­wort oder Finger­abdruck.

Abbruch. Wenn Ihnen ein Onlineshop keine Zwei-Faktor-Authentifizierung anbietet, ist es sicherer, den Kauf abzu­brechen.

Viele Varianten am Start

Wir haben 35 Banken befragt, an welche Verfahren sich Kunden gewöhnen müssen. Über­wiegend bieten Kredit­institute das SMS-Tan-Verfahren an (auch MobileTan-Verfahren oder mTan genannt), das selbst auf einfachen Handys funk­tioniert, und das AppTan-Verfahren fürs Smartphone. Etwas seltener ist das PhotoTan-Verfahren, das auch mit Extragerät genutzt werden kann.

Weitere Varianten: Die Sparda-Bank Baden-Württem­berg bietet die Erstellung der Tan über einen ChipTan-Generator an, den Kunden vorab erwerben und in der Bank frei­schalten müssen. Bei der Post­bank ist das ähnlich, hier kommen die bank­eigenen BestSign-Geräte zum Einsatz. Besitzer einer American-Express-Karte können sich die Tan auch per E-Mail zuschi­cken lassen. Bei der Hypo­ver­eins­bank wird das SMS-Tan-Verfahren um ein Pass­wort ergänzt, das Kunden vorab fest­legen. Bei der Berliner Volks­bank, der Deutschen Bank, der DKB und der Frank­furter Volks­bank wird keine Tan erstellt. Es genügt, wenn Kunden ihre App mit Finger­abdruck oder Pass­wort öffnen und die Zahlung bestätigen.

Tan-Verfahren – so behalten sie den Über­blick

Die gängigen 3D-Secure-Verfahren sind zum Teil auch unter anderen Namen bekannt. SMS-Tan wird auch MobileTan oder mTan genannt, AppTan wird auch als VR-Secu­reGo, EasyTan, Tan2Go, PushTan und SpardaSecureApp angeboten. Mehr über die EU-Richt­linie PSD2, die unterschiedlichen Tan-Verfahren und ihre Sicherheit erfahren Sie kostenlos in unserem großen Test Girokonten und Onlinebanking.

Einmalige Registrierung nötig

Kunden müssen aktiv werden, wenn sie ab dem Stichtag mit der Kreditkarte im Netz shoppen wollen. Sie müssen sich für die 3D-Secure-Verfahren auf den Websites der Banken registrieren. Sie füllen eine Onlinemaske aus und geben Namen, Adresse, Kreditkarten­nummer an. Dann fordern sie einen Identifikationscode an. Mögliche Wege sind:

Per Über­weisung. Inner­halb von wenigen Tagen erhalten die Kunden eine Gutschrift über einen Cent-Betrag. In der Informations­zeile verbirgt sich der Code.

Per Umsatz­anzeige. Der Code erscheint auf der Umsatz­anzeige der Kreditkarten­rechnung – oft schon Minuten später.

Per Post. Der Identifikationscode wird dem Kunden in einem Brief zuge­schickt.

Ist der Code da und wird ein Tan-Verfahren für das Smartphone gewählt, muss der Kunde die passende App der Bank laden. Um die Anmeldung abzu­schließen, besucht er erneut die Registrierungs-Website, gibt den Code ein und wählt – sofern es mehrere Varianten gibt – ein Verfahren aus. Ist der Registrierung­scode richtig, wird es frei­geschaltet.

So läuft Onlineshopping jetzt

Registrierte Kunden shoppen nach neuen Regeln. Tech­nisch passiert dabei nach der Kauf­entscheidung Folgendes: Der Onlineshop leitet Kunden auf eine Internetseite mit 3D-Secure-Verfahren weiter, die mit der Bank des Kunden in Verbindung steht. Bei dem Kunden öffnet sich im Browser ein Eingabefenster, das informiert, auf welchem Weg die Zahlung freigegeben werden muss. Läuft die Identifikation korrekt – der Kunde gibt etwa die richtige Tan und falls gefordert auch noch ein Pass­wort ein –, bestätigt die Bank, dass er der recht­mäßige Karten­inhaber ist. Damit ist der Kauf abge­schlossen. Die Bank­daten werden nur zwischen der Bank und der 3D-Secure-Website getauscht, der Händler hat währenddessen keinen Zugriff auf die Daten.

Selbst für mehr Sicherheit beim Onlineshopping sorgen

Kreditkartennutzer müssen sich trotz der neuen Tan-Verfahren weiter selbst vor Betrug schützen. So dürfen sie ihre Kunden­daten nur auf verschlüsselten Internet­seiten eingeben. Zu erkennen sind die Websites daran, dass vor der Adresse https angegeben ist. Die Buch­staben­kombination steht für den eng­lischen Begriff Hyper­text Transfer Protocol Secure – auf Deutsch etwa „sicheres Über­tragungs­protokoll“. Die meisten deutschen Internet­shops sind ohnehin verschlüsselt, aufzupassen ist trotzdem wichtig.

Wenn die Kreditkarte verloren geht

Kommt die Karte abhanden, müssen Kunden diese nach wie vor umge­hend sperren lassen. Neu ist, dass sie die Bank benach­richtigen sollten, wenn das Legimitations­medium abhanden kommt. Das ist in den meisten Fällen das Smartphone. Aber auch einfache Handys, PhotoTan-, ChipTan- und BestSign-Geräte fallen in diese Kategorie. Einige Banken verlangen bei Diebstahl und Verlust von Karte oder Legimitations­medium eine Anzeige bei der Polizei. Sinn­voll ist es, bei der Verlustmeldung gleich nach­zufragen, ob solch eine Anzeige nötig ist. Kunden sind auch verpflichtet, beim SMS-Tan-Verfahren ihr Handy mit einer Pin-Nummer oder einem Pass­wort zu schützen. Beim AppTan-Verfahren muss der Kunde dafür sorgen, dass die App nur mit Pass­wort, Pin oder Finger­abdruck freigegeben werden kann.

Haftung bei grober Fahr­lässig­keit

Die neuen Tan-Verfahren versprechen mehr Sicherheit, Betrug ist dennoch nicht ausgeschlossen. Grund­sätzlich haftet ein Kunde im Miss­brauchs­fall nur, wenn er vorsätzlich oder grob fahr­lässig handelt. Ein Beispiel für grobe Fahr­lässig­keit wäre, dass er Kreditkarte und Handy offen auf seinem Büro­schreibtisch liegen lässt.

Bei leichter Fahr­lässig­keit – etwa wenn der Kunde seinen Computer mit aktueller Software geschützt hat, aber Hacker trotzdem Daten abgreifen konnten – haftet er bei den meisten Banken nicht. Lediglich Advanzia Bank, American Express, Diners Club, DKB, N26 und Post­bank schreiben eine Teilhaftung vor: Der Kunde zahlt maximal 50 Euro für Schäden bis zur Karten­sperrung. Für Schäden, die nach der Sperrung verursacht wurden, haften Kunden nicht.

Manchmal hilft nur ein Kauf­abbruch

Sollte bei einem Online­einkauf die Kreditkartenzahlung nicht per 3D-Secure-Verfahren abge­sichert sein und es deshalb zu einem Miss­brauch kommen, haftet nicht der Kunde, sondern der Händler. Die DKB gibt an, dass sie Zahlungen grund­sätzlich nicht mehr zulässt, wenn diese nicht durch ein 3D-Secure-Verfahren abge­sichert sind.

Auch für Kunden sollte es ein Warnzeichen sein, wenn sie beim Onlineshopping mit der Kreditkarte nicht auf eine 3D-Secure-Seite weitergeleitet werden. Das kann auch beim Onlineshopping in anderen Ländern passieren, denn die Neuregelung betrifft nur den EU-Raum. Wer auf Nummer sicher gehen will, sollte in solch einem Fall den Kauf abbrechen und lieber die gewünschte Ware in einem Geschäft kaufen oder sich einen anderen, sicheren Onlineshop suchen.

*) Aktualisiert am 21. August 2019.

nach oben

Schnell­check Verfahren und Kosten: Welche Bank bietet was?

Hier können Sie für 30 Kredit­institute ganz schnell erfahren, welche Sicher­heits­verfahren zum Einsatz kommen und welche Kosten unter Umständen anfallen. Barclaycard, die BW Bank, die Fidor Bank, die Hanseatic Bank, die Ikano Bank, die Santander Consumer Bank und die Volks­wagen Bank konnten uns zum Zeit­punkt unseres Tests noch keine Angaben zu den Sicher­heits­verfahren machen. Wir werden den Schnell­check ergänzen, wenn die Informationen vorliegen. Die entsprechenden Angaben finden Sie zudem auch in der großen Tabelle unseres Kreditkarten-Tests.

{{data.error}}

Felder mit einem * müssen ausgefüllt werden.

nach oben

Grafik: So läuft das Onlineshopping mit Karte

Ab dem 14. September 2019 gelten neue Sicher­heits­vorschriften für den Internet­einkauf per Kreditkarte. Hier sehen Sie, wie das Onlineshopping jetzt abläuft. Da viele Onlinehändler auf die Umstellung nicht genügend vorbereitet sind, hat die Bundes­anstalt für Finanz­dienst­leistungs­aufsicht (Bafin) ihnen einen zeitlich befristeten Aufschub gewährt.

nach oben

Jetzt freischalten

TestKreditkarten im VergleichStand der Daten: 20.03.2019
3,50 €
Zugriff auf Informationen für 32 Produkte (inkl. PDF).

Wie möchten Sie bezahlen?

  • Unser Tipp
    test.de-Flatrate

    Freier Zugriff auf alle Testergebnisse und Online-Artikel für 7,90 € pro Monat oder 54,90 € im Jahr. Abonnenten von test oder Finanztest zahlen die Hälfte.

    Flatrate neu erwerben

  • Diesen Artikel per Kreditkarte kaufen
  • Diesen Artikel per PayPal kaufen
  • Diesen Artikel per Handy kaufen
  • Gutschein einlösen
Preise inkl. MwSt.
  • kauft alle Testprodukte anonym im Handel ein,
  • nimmt Dienstleistungen verdeckt in Anspruch,
  • lässt mit wissenschaftlichen Methoden in unabhängigen Instituten testen,
  • ist vollständig anzeigenfrei,
  • erhält nur rund 6 Prozent ihrer Erträge als öffentlichen Zuschuss.

Dieser Artikel ist hilfreich. 219 Nutzer finden das hilfreich.