Die Umfrageserie “IVZ – Internetzahlungssysteme aus Sicht der Verbraucher” wird bereits seit 1998 am Lehrstuhl für Wirtschaftspolitik und Wirtschaftsforschung der Universität Karlsruhe (TH) durchgeführt.

Seit 2004 gibt dann passend dazu auch “IZH – Internet-Zahlungssysteme aus Sicht der Händler”.

Die PDF-Dateien zu ‘IZV’ und ‘IZH’ finden Sie auf der Webseite des Instituts.

PIN und TAN gehören zu den Informationen, die man beim Onlinebanking besser nur so verwendet, wie es die eigene Bank gestattet. (Udo Vetter)

Der Charme dieses Verfahrens liegt nun darin, dass der Händler sofort eine Bestätigung der Überweisung erhält, und er somit die Ware sofort versenden kann.

Rechtlich umstritten ist allerdings, ob und inwieweit der Kunde grob fahrlässig handelt, indem er seine sensiblen Bankdaten Dritten zugänglich macht und damit gegen Bankbestimmungen verstößt.

Die Berliner Volksbank warnt:

• Bitte beachten Sie die für die Nutzung unseres Internet-Bankings akzeptierten “Sonderbedingungen für die Nutzung des ServiceDirekt der Berliner Volksbank eG” (Punkt 6: Sorgfalts- und Mitwirkungspflichten des Nutzers).
• Falls Sie sensiblen Daten wie PIN/TAN außerhalb unseres Internet-Bankings verwenden, können diese möglicherweise von Dritten gespeichert und ohne Ihr Wissen wieder- oder weiterverwendet werden.
• Auch wenn nach der Nutzung der TAN keine Online-Aufträge mehr durchgeführt werden können, haben Dritte die Möglichkeit, unter Verwendung der ServiceDirekt-Nummer und der PIN, auf Ihr Konto zuzugreifen.

Die Payment Network AG – die Firma hinter ‘Sofortüberweisung’ – kenne ich nicht, und trotz TÜV-Zertifizierung bleibt bei mir persönlich ein gewisses Unbehagen. Kritisch ist m.E., dass die Bankdaten – einschließlich PIN und TAN – auf der Webseite eines externen Dienstleisters eingegeben werden müssen.

Auf der Webseite von Conrad – im Beispiel von RA Vetter genannt – heißt es dazu:

Die Sofortüberweisung wird über eine SSL-verschlüsselte Verbindung übertragen. Mit Hilfe Ihrer PIN und TAN autorisieren Sie Ihre Überweisung, die dann von Ihrer Bank ausgeführt werden kann. PIN und TAN werden dabei von Conrad nicht gespeichert. Ihre Kontoauszugsdaten werden weder von Conrad noch von der Payment Network AG als Anbieter der Sofortüberweisung gespeichert, sondern aus dem Überweisungsformular direkt und verschlüsselt zur Bank geschickt.

Mein Tipp: wenn Sie unsicher sind, sprechen Sie mit Ihrem Bankberater.

• es ist einfach: der Händler muss sich um die Transaktion kümmern.
• es ist sicher: eine kurze Anweisung an die eigene Bank genügt, und diese bucht den Betrag zurück.

Etwas Besseres kann man sich als Kunde doch gar nicht wünschen, oder?

Leider ruft diese Zahlungsart auch Betrüger auf den Plan. Denn prinzipiell kann jeder, der die Bankdaten beliebiger Personen kennt, deren Konto belasten.

Weder das einziehende noch das bezogene Kreditinstitut verlangt *zunächst* einen Nachweis, dass der Einreichende überhaupt zum Lastschrifteinzug berechtigt ist.

In diesem *zunächst* liegt das Übel:

Nun hat sich scheinbar in einigen Köpfen der Eindruck festgesetzt, für das Lastschriftverfahren sei eine schriftliche Einwilligung des Zahlungspflichtigen nicht erforderlich.

Das ist falsch! Jeder Kontoinhaber, der über sein Konto Lastschriften einziehen will, muss mit seinem Kreditinstitut eine Inkassovereinbarung abschließen. Diese Vereinbarung enthält u.a. den Passus, dass dem Einziehenden die schriftliche Ermächtigung der Zahlungspflichtigen vorliegen muss! Diese Ermächtigung ist der Bank auf Verlangen vorzulegen.

Der Online Händler tut gut daran, sich die Einzugsermächtigung von den Kunden unterschreiben zu lassen! Dass manche Kunden auf diesen zusätzlichen Bürokratismus schimpfen, kann ich nachvollziehen. Aber leider gibt es zu viele schwarze Schafe …

Ausbaden müssen es die Ehrlichen.

Zahlungsausfälle durch nicht eingelöste oder zurückgeforderte Lastschriften müssen letztendlich alle ehrlichen Kunden mittragen. Deshalb: Lastschriftbetrug ist kein Kavaliersdelikt und sollte m.E. von den betroffenen Online Händlern konsequent zur Anzeige gebracht werden.

Auch müssen m.E. die Banken und Kreditinstitute noch mehr dazu beitragen, dass diese interessante Zahlungsart noch wesentlich sicherer wird.

Da wir Paypal aus guten Gründen nicht länger nutzen wollen, musste eine andere Lösung her, um unseren Kunden auch weiterhin die Zahlung mit ihrer Kreditkarte zu ermöglichen.

Wir haben auch eine Filiale bei Yatego, daher haben wir uns zunächst Elavon Merchant Services und EOS Payment Solutions angesehen – zugegeben, das Angebot von Yatego ist auf den ersten Blick verlockend.

Nach Sichtung verschiedener Angebote haben wir uns allerdings für die Heidelberger Payment GmbH als Partner entschieden. Die Zahlungsabwicklung erfolgt dann zusammen mit dem Acquirer Pago, einer Tochter der Deutschen Bank. Nachteil: wir können bei Yatego noch keine Kreditkarten akzeptieren.

Integration der Schnittstellen-Technik

Mein Dank gilt Herrn Dr. Peter Rudloff von Homer Software und Design für seine Hilfe bei der Integration der Heidelpay-Bezahlschnittstelle in unsere zencart-Shopsoftware. Er hat sich spontan bereit erklärt, die Installationsroutine auf seinem Server ablaufen zu lassen.

Sein Angebot veröffentliche ich gerne auch hier:

Als Service für Zen-Cart unter Linux bieten wir an: Sie teilen uns telefonisch Ihre IP mit und erhalten einen Zugang für diese IP zu unserem FTP-Server. Dann kopieren Sie Ihr /includes-Verzeichnis auf unseren Server. Wir lassen unsere Installation in diesem Verzeichnis ablaufen und Sie können sich die geänderten Dateien zurückkopieren. (nicht geänderte Dateien werden gelöscht). Dieser Service ist kostenlos. Eine Gewährleistung für die Funktion gibt es nicht. Sie müssen für eine aktuelle Datensicherung Ihres /includes Verzeichnisses sorgen. (Dr. Peter Rudloff)

Und ganz besonders danke ich den Herren Peter Reinkensmeier und Martin Wirth von Heidelberger Payment für die schnelle und kompetente Unterstützung bei dem Testlauf und der ‘Live’-Schaltung des Zahlungsmoduls.

3-D-Secure bietet zusätzliche Sicherheit

Aus technischer Sicht ist die Authentifizierung nach dem 3-D-Secure-Standard hervorzuheben. Mit 3-D-Secure bieten wir unseren Kunden eine zusätzliche Sicherheit. So beschreibt die Wikipedia das Verfahren:

Wird im Shop mit der Kreditkarte bezahlt, wird zunächst geprüft, ob die Kreditkartennummer des Kunden an dem Sicherheitsverfahren teilnimmt, das heißt, ob der Kunde von seiner Bank ein entsprechendes Kennwort für den Einkauf im Internet erhalten hat. Registrierten Kunden wird im Anschluss eine Eingabeseite ihrer Bank angezeigt, auf der sie ihr Passwort eingeben müssen. Die Seite ist zusätzlich mit einem „Gruß“ der Bank versehen, damit der Kunde auch sichergehen kann, dass es sich tatsächlich um eine Seite seiner Bank handelt. Stimmt das Passwort, wird die Zahlung durchgeführt.¹⁾

Auf der Website von Mastercard finden Sie die folgende Beschreibung zu MasterCard® SecureCode™

Mit einer neuen Technologie, MasterCard® SecureCode™ wird online einkaufen jetzt noch sicherer. Mit MasterCard SecureCode öffnet sich beim Bezahlen ein zusätzliches Eingabefeld, das Sie mit Ihrer Bank verbindet. Dort geben Sie Ihren persönlichen SecureCode™ ein und identifizieren sich dadurch als der rechtmäßige Karteninhaber. Der SecureCode™ ist ein Sicherheitswert, den nur Sie und Ihre Bank kennen. MasterCard® SecureCode™ wird in Deutschland bereits von vielen Banken angeboten.

Sinngemäß gilt das Verfahren auch für Visa: Sicher online einkaufen mit Verified by Visa.

Die aus meiner Sicht beste Darstellung des 3-D-Secure-Verfahrens habe ich bei Pago gefunden; hier ist ein Zitat von der genannten Webseite:

Eines der größten Probleme beim Kreditkarteneinsatz im E-Commerce liegt in der Tatsache begründet, dass Sie als Händler Ihren Käufer nicht direkt und persönlich identifizieren können. Das bedeutet: Sie wissen nicht, ob der Shopper, der Kreditkartendaten eingibt, tatsächlich der Karteninhaber ist. Mit dem Technologiestandard 3-D- Secure – entwickelt von Visa – ändert sich das, denn der Käufer kann sich mit diesem Verfahren eindeutig als Kartenhalter authentifizieren. Damit wird eine zuverlässige Identifizierung durchgeführt, die Betrugsversuche frühzeitig unterbindet.

Dort finden Sie auch eine bildliche Darstellung des Verfahrens.

Wir bitten unsere Kunden, die die Zahlung via Paypal bisher genutzt haben, um Verständnis; Sie haben einen Anspruch auf eine Erklärung, die ich hier nachreiche:

Die Entscheidung, Zahlungen via Paypal nicht länger zu akzeptieren, ist uns nicht leicht gefallen; ich habe Paypal eine Zeit lang selbst gerne genutzt.

Leider ist es uns nicht gelungen, mit dem Support eine “Konfliktlösung” zu erreichen.

Natürlich habe ich Verständnis dafür, dass Paypal einen Adressnachweis der Konteninhaber einholen muss! Das ist doch keine Frage!

Kein Verständnis habe ich jedoch für eine Bombardierung mit spamartigen Mails mit der Betreffzeile:

“Stellen Sie den regulären Status Ihres Kontos wieder her.”,

ohne dann auf auf unsere diesbzgl. Anfragen und Anmerkungen zu reagieren. Die von mir kritisierte Mail enthält den vielsagenden Passus:

“Bitte antworten Sie nicht auf diese E-Mail. Dieses Postfach wird nicht überwacht, deshalb werden Sie keine Antwort erhalten.”

An die von Paypal genannte Faxnummer haben wir Dokumente geschickt, u.a. auch die Handelsregistereintragung unserer Firma … und auch der Adressnachweis dürfte nicht wirklich schwierig sein. Hierzu wurde z.B. extra das Postident-Verfahren entwickelt:

Das Postident-Verfahren ist eine Methode der sicheren persönlichen Identifikation von Personen, die durch die Mitarbeiter der Deutschen Post AG vorgenommen wird. Das Verfahren wurde zur möglichst bequemen Gewährleistung der Auflagen des Geldwäschegesetzes eingeführt, das Banken gesetzlich verpflichtet, die Identität des Kunden bei der Kontoeröffnung festzuhalten.¹⁾

Aber sei es drum; unsere Dokumente wurden lapidar zurückgewiesen:

“Information erhalten – Nicht akzeptiert, bitte erneut einreichen. Grund: Unterlagen enthalten nicht die erforderlichen Informationen”

Und auf unsere E-Mail hat der Support nicht reagiert. Von einer Kommunikation mit Kunden habe ich eine andere Vorstellung.

Mein Vertrauen in diese Bank ist nachhaltig gestört; ich kann die Zahlung via Paypal nicht länger empfehlen und da ist es nur konsequent, dass wir diese Zahlungsmöglichkeit auch unseren Kunden nicht länger anbieten.

Jetzt bleibt unser Paypal-Konto mit einer Einlage von 0,00EUR in einer Art ‘Dauerschwebezustand’, denn schließen können wir dieses Konto während der “Prüfung” nicht. Ich bin kein Jurist, und ich kann nicht beurteilen, ob es rechtlich zulässig ist, uns die Schließung des Kontos zu verweigern; ich habe allerdings meine Zweifel daran …