Lange Zeit brauchte man nicht einmal die Kreditkarte selbst, um online einzukaufen oder eine Reise zu buchen. Es reichte, Kartennummer, Prüfnummer und das Ablaufdatum parat zu haben, um an der virtuellen Kasse zu zahlen. Doch Kreditkartendaten können zum Beispiel durch einen Hackerangriff oder Sicherheitslücken beim Onlinehändler in die Hände von Kriminellen geraten. Sie können dann mit den geklauten Kundendaten auf Shoppingtour gehen.
Betrug und Missbrauch sollen reduziert werden
Seit 14. September 2019 ist die EU-Richtlinie PSD2 (Payment Services Directive 2) schon in Kraft. Für den Online-Geldverkehr gelten seitdem neue Regeln, die auch Kreditkarten betreffen. Betrugsrisiken und Missbrauch sollen so reduziert werden. Die Kartendaten alleine reichen nicht mehr fürs Onlineshopping. Wie beim Onlinebanking sind zusätzliche Sicherheitschecks mit einer Zwei-Faktor-Authentifizierung vorgesehen.
So funktionieren die 3D-Secure-Verfahren
Beim Einkauf mit Kreditkarte kommen sogenannte 3D-Secure-Verfahren zum Zuge, die an die neue EU-Richtlinie angepasst wurden. Bei Visa nennt sich das Verfahren „Verified by Visa“, bei Mastercard „Mastercard Identity Check“, bei American Express „Safekey“. In der Regel müssen Kunden Zahlungen mit einer einmal gültigen Transaktionsnummer (Tan) freigeben. Banken bieten verschiedene Verfahren an, die meist übers Mobiltelefon laufen.
Da viele Onlinehändler auf die Umstellung nicht genügend vorbereitet waren, hatte die Bundesanstalt für Finanzdienstleistungsaufsicht ihnen Aufschub gewährt. Seit 15. März 2021 ist die Schonfrist vorbei und die Behörde überwacht nun alle Zahlungsflüsse.
Einmalige Registrierung nötig
Für die Kunden bedeuten die neuen Regeln etwas mehr Aufwand bei Kreditkartenzahlungen im Internet. Sie müssen aktiv werden und sich für die 3D-Secure-Verfahren auf den Websites der Banken registrieren, dort Namen, Adresse und Kreditkartennummer angeben und einen Identifikationscode anfordern. Das geht auf verschiedenen Wegen.
Per Überweisung. Innerhalb von wenigen Tagen erhalten die Kunden eine Gutschrift über einen Cent-Betrag. In der Informationszeile verbirgt sich der Code.
Per Umsatzanzeige. Der Code erscheint auf der Umsatzanzeige der Kreditkartenrechnung – oft schon Minuten später.
Per Post. Der Identifikationscode wird dem Kunden in einem Brief zugeschickt.
Ist der Code da und wird ein Tan-Verfahren für das Smartphone gewählt, muss der Kunde die passende App der Bank laden. Um die Anmeldung abzuschließen, besucht er erneut die Registrierungs-Website, gibt den Code ein und wählt – sofern es mehrere Varianten gibt – ein Verfahren aus. Ist der Registrierungscode richtig, wird es freigeschaltet.
So läuft Onlineshopping nach den neuen Regeln
Registrierte Kunden shoppen nach neuen Regeln. Technisch passiert dabei nach der Kaufentscheidung Folgendes:
- Der Onlineshop leitet Kunden auf eine Internetseite mit 3D-Secure-Verfahren weiter, die mit der Bank des Kunden in Verbindung steht.
- Bei dem Kunden öffnet sich im Browser ein Eingabefenster, das informiert, auf welchem Weg die Zahlung freigegeben werden muss.
- Läuft die Identifikation korrekt – der Kunde gibt etwa die richtige Tan und falls gefordert auch noch ein Passwort ein –, bestätigt die Bank, dass er der rechtmäßige Karteninhaber ist.
- Damit ist der Kauf abgeschlossen. Die Bankdaten werden nur zwischen der Bank und der 3D-Secure-Website getauscht, der Händler hat währenddessen keinen Zugriff auf die Daten.
Ausnahmen von der Regel
Auch jetzt noch kann es vorkommen, dass nicht alle Transaktionen mit der zusätzlichen Absicherung versehen sind. So können Kunden bei ihrer Bank beantragen, bestimmte Händler davon auszunehmen. Stimmt die Bank zu, setzt sie den Händler auf eine sogenannte Withelist. Beträge unter 30 Euro müssen auch nicht doppelt abgesichert werden, sofern bis dahin nicht mehr als 5 Transaktionen zusammen kamen oder die Summe unter 100 Euro liegt.
Wenn die Kreditkarte verloren geht
Kommt die Karte abhanden, müssen Kunden diese nach wie vor umgehend sperren lassen. Neu ist, dass sie die Bank auch benachrichtigen sollten, wenn das Legimitationsmedium abhanden kommt. Das ist in den meisten Fällen das Smartphone. Aber auch einfache Handys, PhotoTan-, ChipTan- und BestSign-Geräte fallen in diese Kategorie. Einige Banken verlangen bei Diebstahl und Verlust von Karte oder Legimitationsmedium eine Anzeige bei der Polizei.
Sinnvoll ist es, bei der Verlustmeldung gleich nachzufragen, ob solch eine Anzeige nötig ist. Kunden sind auch verpflichtet, beim SMS-Tan-Verfahren ihr Handy mit einer Pin-Nummer oder einem Passwort zu schützen. Beim AppTan-Verfahren muss der Kunde dafür sorgen, dass die App nur mit Passwort, Pin oder Fingerabdruck freigegeben werden kann.
Haftung bei grober Fahrlässigkeit
Die neuen Tan-Verfahren versprechen mehr Sicherheit, Betrug ist dennoch nicht ausgeschlossen. Grundsätzlich haftet ein Kunde im Missbrauchsfall nur, wenn er vorsätzlich oder grob fahrlässig handelt. Ein Beispiel für grobe Fahrlässigkeit wäre, dass er Kreditkarte und Handy offen auf dem Büroschreibtisch liegen lässt.
Bei leichter Fahrlässigkeit – etwa wenn der Kunde seinen Computer mit aktueller Software geschützt hat, aber Hacker trotzdem Daten abgreifen konnten – haftet er bei den meisten Banken nicht. Einige Banken schreiben eine Teilhaftung vor: Der Kunde zahlt maximal 50 Euro für Schäden bis zur Kartensperrung. Für Schäden, die nach der Sperrung verursacht wurden, haften Kunden nicht.
Manchmal hilft nur ein Kaufabbruch
Sollte bei einem Onlineeinkauf die Kreditkartenzahlung nicht per 3D-Secure-Verfahren abgesichert sein und es deshalb zu einem Missbrauch kommen, haftet nicht der Kunde, sondern der Händler.
Trotzdem sollte es auch für Kunden ein Warnzeichen sein, wenn sie beim Onlineshopping mit der Kreditkarte nicht auf eine 3D-Secure-Seite weitergeleitet werden. Das kann auch beim Onlineshopping in anderen Ländern passieren, denn die Neuregelung betrifft nur den EU-Raum. Wer auf Nummer sicher gehen will, sollte in solch einem Fall den Kauf abbrechen und lieber die gewünschte Ware in einem Geschäft kaufen oder sich einen anderen, sicheren Onlineshop suchen.
