Lange Zeit brauchte man nicht einmal die Kreditkarte selbst, um online einzukaufen oder eine Reise zu buchen. Es reichte, Kartennummer, Prüfnummer und das Ablaufdatum parat zu haben, um an der virtuellen Kasse zu zahlen. Doch Kreditkartendaten können zum Beispiel durch einen Hackerangriff oder Sicherheitslücken beim Onlinehändler in die Hände von Kriminellen geraten. Diese können dann mit den geklauten Kundendaten auf Shoppingtour gehen.
Betrug und Missbrauch wird reduziert
Für den Online-Geldverkehr gelten mittlerweile Regeln, die auch Kreditkarten betreffen. Betrugsrisiken und Missbrauch sollen so reduziert werden. Die Kartendaten alleine reichen nicht mehr fürs Onlineshopping. Wie beim Onlinebanking sind zusätzliche Sicherheitschecks mit einer Zwei-Faktor-Authentifizierung vorgesehen.
So funktionieren die 3D-Secure-Verfahren
Beim Einkauf mit der Kreditkarte kommen sogenannte 3D-Secure-Verfahren zum Zuge, die an die neue EU-Richtlinie angepasst wurden. Bei Visa nennt sich das Verfahren „Visa Secure“, bei Mastercard „Mastercard Identity Check“, bei American Express „Safekey“. In der Regel müssen Kunden Zahlungen mit einer einmal gültigen Transaktionsnummer (Tan) freigeben. Banken bieten verschiedene Verfahren an, die meist übers Mobiltelefon laufen.
Einmalige Registrierung nötig
Kundinnen und Kunden müssen sich in der Regel für die 3D-Secure-Verfahren auf den Websites der Banken registrieren, dort Namen, Adresse und Kreditkartennummer angeben und einen Identifikationscode anfordern. Das geht auf verschiedenen Wegen.
Per Überweisung. Innerhalb von wenigen Tagen erhalten die Kunden eine Gutschrift über einen Cent-Betrag. In der Informationszeile verbirgt sich der Code.
Per Umsatzanzeige. Der Code erscheint auf der Umsatzanzeige der Kreditkartenrechnung – oft schon Minuten später.
Per Post. Der Identifikationscode wird dem Kunden in einem Brief zugeschickt.
Ist der Code da und wird ein Tan-Verfahren für das Smartphone gewählt, müssen Kundin oder Kunde die passende App der Bank laden. Um die Anmeldung abzuschließen, besuchen sie erneut die Registrierungs-Website, geben den Code ein und wählen – sofern es mehrere Varianten gibt – ein Verfahren aus. Ist der Registrierungscode richtig, wird es freigeschaltet.
So läuft Onlineshopping mit Kreditkarte
Technisch passiert nach der Kaufentscheidung Folgendes:
- Der Onlineshop leitet Kunden auf eine Internetseite mit 3D-Secure-Verfahren weiter, die mit der Bank des Kunden in Verbindung steht.
- Bei dem Kunden öffnet sich im Browser ein Eingabefenster, das informiert, auf welchem Weg die Zahlung freigegeben werden muss.
- Läuft die Identifikation korrekt – der Kunde gibt etwa die richtige Tan und falls gefordert auch noch ein Passwort ein –, bestätigt die Bank, dass er der rechtmäßige Karteninhaber ist.
- Damit ist der Kauf abgeschlossen. Die Bankdaten werden nur zwischen der Bank und der 3D-Secure-Website getauscht, der Händler hat währenddessen keinen Zugriff auf die Daten.
Ausnahmen von der Regel
Es kann noch vorkommen, dass nicht alle Transaktionen mit der zusätzlichen Absicherung versehen sind. So können Kunden bei ihrer Bank beantragen, bestimmte Händler davon auszunehmen. Stimmt die Bank zu, setzt sie den Händler auf eine sogenannte Whitelist. Beträge unter 30 Euro müssen auch nicht doppelt abgesichert werden, sofern bis dahin nicht mehr als 5 Transaktionen zusammenkamen oder die Summe unter 150 Euro liegt.
Wenn die Kreditkarte verloren geht
Kommt die Karte abhanden, müssen die Kunden diese nach wie vor umgehend sperren lassen. Neu ist, dass sie die Bank auch benachrichtigen sollten, wenn das Legimitationsmedium abhanden kommt. Das ist in den meisten Fällen das Smartphone. Aber auch einfache Handys, PhotoTan-, ChipTan- und BestSign-Geräte fallen in diese Kategorie. Einige Banken verlangen bei Diebstahl und Verlust von Karte oder Legimitationsmedium eine Anzeige bei der Polizei.
Sinnvoll ist es, bei der Verlustmeldung gleich nachzufragen, ob solch eine Anzeige nötig ist. Kunden sind auch verpflichtet, beim SMS-Tan-Verfahren ihr Handy mit einer Pin-Nummer oder einem Passwort zu schützen. Beim AppTan-Verfahren muss der Kunde dafür sorgen, dass die App nur mit Passwort, Pin oder Fingerabdruck freigegeben werden kann.
Haftung bei grober Fahrlässigkeit
Die neuen Tan-Verfahren versprechen mehr Sicherheit, Betrug ist dennoch nicht ausgeschlossen. Grundsätzlich haftet ein Kunde im Missbrauchsfall nur, wenn er vorsätzlich oder grob fahrlässig handelt. Ein Beispiel für grobe Fahrlässigkeit wäre, dass er Kreditkarte und Handy offen auf dem Büroschreibtisch liegen lässt.
Bei leichter Fahrlässigkeit – etwa, wenn der Kunde seinen Computer mit aktueller Software geschützt hat, aber Hacker trotzdem Daten abgreifen konnten – haftet er bei den meisten Banken nicht. Einige Banken schreiben eine Teilhaftung vor: Kunden zahlen maximal 50 Euro für Schäden bis zur Kartensperrung. Für Schäden, die nach der Sperrung verursacht wurden, haften Kunden nicht.
Manchmal hilft nur ein Kaufabbruch
Sollte bei einem Onlineeinkauf die Kreditkartenzahlung nicht per 3D-Secure-Verfahren abgesichert sein und es deshalb zu einem Missbrauch kommen, haftet nicht der Kunde, sondern der Händler.
Trotzdem sollte es auch für Kunden ein Warnzeichen sein, wenn sie beim Onlineshopping mit der Kreditkarte nicht auf eine 3D-Secure-Seite weitergeleitet werden. Das kann auch beim Onlineshopping in anderen Ländern passieren, denn die Neuregelung betrifft nur den EU-Raum. Wer auf Nummer sicher gehen will, sollte in solch einem Fall den Kauf abbrechen und lieber die gewünschte Ware in einem Geschäft kaufen oder sich einen anderen, sicheren Onlineshop suchen.
Nutzerkommentare können sich auf einen früheren Stand oder einen älteren Test beziehen.
@PotsdamLaird: Zur Frage der Erfahrungen mit der Akzeptanz der Debitkarten von Visa oder Mastercard (und anderen) haben wir einen Leseraufruf gestartet, dessen Auswertung wir veröffentlichen in einer der zukünftigen Ausgaben von Finanztest werden.
@BerlinLaird: In unserem Test zu den Girokonten haben wir neben den normalen Kosten für das Konto auch die Kosten für die Kredit- und oder Debitkarten dargestellt. Wer eine Gesamtschau dazu sucht, findet diese hier:
www.test.de/girokonten
Ein Test, der diesen Unterschied negiert, geht an für den Verbraucher wichtigen Themen vorbei: Wie werden Debitkarten wirklich akzeptiert - auch international? Wie müssen sich Verbraucher umstellen, die Kreditkarten vielleicht auch benutzt haben, um am Ende des Monats dem Dispo zu entgehen? Unter welchen Umständen lohnt es sich, neben der kostenlosen Debitkarte auch weiterhin eine Kreditkarte vorzuhalten, die Kosten verursacht? Was ist mit traditionell an Kreditkarten gekoppelten Zusatzleistungen wie Versicherungen? Das scheinen mir doch die Fragen zu sein, vor die Verbraucher durch die aktuellen Kartenumstellungen der Banken gestellt werden.
Dass die Banken und Kreditkartenunternehmen so tun wollen, als bliebe alles beim Alten, kann ich verstehen. Ich schätze, ohne Kreditvergabe verringert sich deren Risiko.
Schade nur, dass Test.de und Finanztest dem unkommentiert folgen. Gerade diese sollten mit ihrer Expertise Bankkunden Orientierung geben, wenn solche Änderungen erfolgen.
Dass weder Test.de noch Finanztest es schaffen, Debitkarten sauber von Kreditkarten zu unterscheiden, ist sehr bedauerlich. Zwar schreiben beide klar, dass Debitkarten gerade keinen Kredit geben sondern das Konto gleich belastet wird, aber dennoch werden Debitkarten immer wieder mit Kreditkarten gleichgestellt. Das Kreditkartenproblem der Teilzahlung stellt sich bei Debitkarten nicht. Die Tatsache, dass Debitkarten jetzt auch von den traditionellen Kreditkartenfirmen ausgegeben werden, macht Debitkarten aber nicht zu Kreditkarten. Die sofortige Kontobelastung ähnelt viel mehr der traditionellen EC- oder Girokarte. Warum sind diese dann nicht vom Test erfasst? Vielleicht müsste man den Test dann wirklich auf alle am Markt befindlichen Bankkarten erweitern.
Ich habe noch nicht den ganzen Testbericht gelesen, von daher nur ein kleiner Erfahrungsbericht.
Als Soloselbstständiger mit unregelmäßigem Einkommen ist es sehr schwer ein kostenloses Girokonto oder eine Kreditkarte zu bekommen. Vor ein paar Jahren gab es noch ein paar Angebote (ING-DiBa, 1822 u.a.), die jedoch eingestellt wurden. Bei der 1822 war ich nicht einmal für eine Kreditkarte gut genug, worauf ich dort dann, nachdem das kostenlose Konto umgestellt wurde, dort gekündigt habe. Die DKB wollte mir ebenfalls keine Kreditkarte gewähren. Als Zweitkonto, um Geschäftliches abzuwickeln, also vollkommen unbrauchbar.
Dadurch bin ich bei der ADAC-Karte gelandet und habe damit bisher nur gute Erfahrungen gemacht. Relativ hohes Limit, monatliche Abrechnung über mein Girokonto bei der Hausbank, günstig (weil ich die Zusatzoptionen nicht brauche). Auch in der praktischen Handhabung (kontaktloses Zahlen, Mautstationen und Tanken in Frankreich etc.) gab es keine Probleme an den Terminals.