Kreditkarten im Vergleich: Die beste Kreditkarte für Sie

Betrug und Miss­brauch sollen reduziert werden

Nicht mehr lange: Am 14. September 2019 tritt die EU-Richt­linie PSD2 (Payment Services Directive 2) in Kraft. Für den Online-Geld­verkehr gelten dann neue Regeln, die auch Kreditkarten betreffen. Betrugs­risiken und Miss­brauch sollen so reduziert werden. Die Karten­daten alleine reichen nicht mehr fürs Onlineshopping. Wie beim Online­banking sind zusätzliche Sicher­heit­schecks mit einer Zwei-Faktor-Authentifizierung vorgesehen. Beim Einkauf mit Kreditkarte kommen sogenannte 3D-Secure-Verfahren zum Zuge, die an die neue EU-Richt­linie angepasst wurden. Bei Visa nennt sich das Verfahren „Verified by Visa“, bei Mastercard „Mastercard Identity Check“, bei American Express „Safekey“. In der Regel müssen Kunden Zahlungen mit einer einmal gültigen Trans­aktions­nummer (Tan) frei­geben. Banken bieten verschiedene Verfahren an, die meist übers Mobiltelefon laufen. Da viele Onlinehändler auf die Umstellung nicht genügend vorbereitet sind, hat die Bundes­anstalt für Finanz­dienst­leistungs­aufsicht (BaFin) ihnen einen zeitlich befristeten Aufschub gewährt. Auch nach dem 14. September 2019 können Kunden mit der Kreditkarte bei den Händ­lern ohne Eingabe einer Tan zahlen, die noch nicht auf das neue Sicher­heits­verfahren einge­stellt sind. Wann die Über­gangs­regelung endet, steht noch nicht fest.*)

Viele Varianten am Start

Wir haben 35 Banken befragt, an welche Verfahren sich Kunden gewöhnen müssen. Über­wiegend bieten Kredit­institute das SMS-Tan-Verfahren an (auch MobileTan-Verfahren oder mTan genannt), das selbst auf einfachen Handys funk­tioniert, und das AppTan-Verfahren fürs Smartphone. Etwas seltener ist das PhotoTan-Verfahren, das auch mit Extragerät genutzt werden kann.

Weitere Varianten: Die Sparda-Bank Baden-Württem­berg bietet die Erstellung der Tan über einen ChipTan-Generator an, den Kunden vorab erwerben und in der Bank frei­schalten müssen. Bei der Post­bank ist das ähnlich, hier kommen die bank­eigenen BestSign-Geräte zum Einsatz. Besitzer einer American-Express-Karte können sich die Tan auch per E-Mail zuschi­cken lassen. Bei der Hypo­ver­eins­bank wird das SMS-Tan-Verfahren um ein Pass­wort ergänzt, das Kunden vorab fest­legen. Bei der Berliner Volks­bank, der Deutschen Bank, der DKB und der Frank­furter Volks­bank wird keine Tan erstellt. Es genügt, wenn Kunden ihre App mit Finger­abdruck oder Pass­wort öffnen und die Zahlung bestätigen.

Einmalige Registrierung nötig

Kunden müssen aktiv werden, wenn sie ab dem Stichtag mit der Kreditkarte im Netz shoppen wollen. Sie müssen sich für die 3D-Secure-Verfahren auf den Websites der Banken registrieren. Sie füllen eine Onlinemaske aus und geben Namen, Adresse, Kreditkarten­nummer an. Dann fordern sie einen Identifikationscode an. Mögliche Wege sind:

Per Über­weisung. Inner­halb von wenigen Tagen erhalten die Kunden eine Gutschrift über einen Cent-Betrag. In der Informations­zeile verbirgt sich der Code.

Per Umsatz­anzeige. Der Code erscheint auf der Umsatz­anzeige der Kreditkarten­rechnung – oft schon Minuten später.

Per Post. Der Identifikationscode wird dem Kunden in einem Brief zuge­schickt.

Ist der Code da und wird ein Tan-Verfahren für das Smartphone gewählt, muss der Kunde die passende App der Bank laden. Um die Anmeldung abzu­schließen, besucht er erneut die Registrierungs-Website, gibt den Code ein und wählt – sofern es mehrere Varianten gibt – ein Verfahren aus. Ist der Registrierung­scode richtig, wird es frei­geschaltet.

So läuft Onlineshopping jetzt

Registrierte Kunden shoppen nach neuen Regeln. Tech­nisch passiert dabei nach der Kauf­entscheidung Folgendes: Der Onlineshop leitet Kunden auf eine Internetseite mit 3D-Secure-Verfahren weiter, die mit der Bank des Kunden in Verbindung steht. Bei dem Kunden öffnet sich im Browser ein Eingabefenster, das informiert, auf welchem Weg die Zahlung freigegeben werden muss. Läuft die Identifikation korrekt – der Kunde gibt etwa die richtige Tan und falls gefordert auch noch ein Pass­wort ein –, bestätigt die Bank, dass er der recht­mäßige Karten­inhaber ist. Damit ist der Kauf abge­schlossen. Die Bank­daten werden nur zwischen der Bank und der 3D-Secure-Website getauscht, der Händler hat währenddessen keinen Zugriff auf die Daten.

Selbst für mehr Sicherheit beim Onlineshopping sorgen

Kreditkartennutzer müssen sich trotz der neuen Tan-Verfahren weiter selbst vor Betrug schützen. So dürfen sie ihre Kunden­daten nur auf verschlüsselten Internet­seiten eingeben. Zu erkennen sind die Websites daran, dass vor der Adresse https angegeben ist. Die Buch­staben­kombination steht für den eng­lischen Begriff Hyper­text Transfer Protocol Secure – auf Deutsch etwa „sicheres Über­tragungs­protokoll“. Die meisten deutschen Internet­shops sind ohnehin verschlüsselt, aufzupassen ist trotzdem wichtig.

Wenn die Kreditkarte verloren geht

Kommt die Karte abhanden, müssen Kunden diese nach wie vor umge­hend sperren lassen. Neu ist, dass sie die Bank benach­richtigen sollten, wenn das Legimitations­medium abhanden kommt. Das ist in den meisten Fällen das Smartphone. Aber auch einfache Handys, PhotoTan-, ChipTan- und BestSign-Geräte fallen in diese Kategorie. Einige Banken verlangen bei Diebstahl und Verlust von Karte oder Legimitations­medium eine Anzeige bei der Polizei. Sinn­voll ist es, bei der Verlustmeldung gleich nach­zufragen, ob solch eine Anzeige nötig ist. Kunden sind auch verpflichtet, beim SMS-Tan-Verfahren ihr Handy mit einer Pin-Nummer oder einem Pass­wort zu schützen. Beim AppTan-Verfahren muss der Kunde dafür sorgen, dass die App nur mit Pass­wort, Pin oder Finger­abdruck freigegeben werden kann.

Haftung bei grober Fahr­lässig­keit

Die neuen Tan-Verfahren versprechen mehr Sicherheit, Betrug ist dennoch nicht ausgeschlossen. Grund­sätzlich haftet ein Kunde im Miss­brauchs­fall nur, wenn er vorsätzlich oder grob fahr­lässig handelt. Ein Beispiel für grobe Fahr­lässig­keit wäre, dass er Kreditkarte und Handy offen auf seinem Büro­schreibtisch liegen lässt.

Bei leichter Fahr­lässig­keit – etwa wenn der Kunde seinen Computer mit aktueller Software geschützt hat, aber Hacker trotzdem Daten abgreifen konnten – haftet er bei den meisten Banken nicht. Lediglich Advanzia Bank, American Express, Diners Club, DKB, N26 und Post­bank schreiben eine Teilhaftung vor: Der Kunde zahlt maximal 50 Euro für Schäden bis zur Karten­sperrung. Für Schäden, die nach der Sperrung verursacht wurden, haften Kunden nicht.

Manchmal hilft nur ein Kauf­abbruch

Sollte bei einem Online­einkauf die Kreditkartenzahlung nicht per 3D-Secure-Verfahren abge­sichert sein und es deshalb zu einem Miss­brauch kommen, haftet nicht der Kunde, sondern der Händler. Die DKB gibt an, dass sie Zahlungen grund­sätzlich nicht mehr zulässt, wenn diese nicht durch ein 3D-Secure-Verfahren abge­sichert sind.

Auch für Kunden sollte es ein Warnzeichen sein, wenn sie beim Onlineshopping mit der Kreditkarte nicht auf eine 3D-Secure-Seite weitergeleitet werden. Das kann auch beim Onlineshopping in anderen Ländern passieren, denn die Neuregelung betrifft nur den EU-Raum. Wer auf Nummer sicher gehen will, sollte in solch einem Fall den Kauf abbrechen und lieber die gewünschte Ware in einem Geschäft kaufen oder sich einen anderen, sicheren Onlineshop suchen.

*) Aktualisiert am 21. August 2019.