Kreditkarten machen das Leben einfacher. Millionen Menschen zahlen mit ihnen, unterwegs oder zu Hause, im Internet, in Restaurants oder an der Tankstelle. Wer mit ihnen seine Rechnungen begleicht, genießt oft Vorteile wie Versicherungen oder Rabatte. Kreditkarten gelten als sicher. Doch wie sicher sind sie wirklich? Was kann man tun, wenn die eigenen Kreditkartendaten in fremde Hände gelangt sind? Und können Kreditkartendaten der neueren Generation wirklich per Funk von Betrügern ausgelesen werden?

Können Karten und Konten einfach verwechselt werden? Experten sagen: Nein. Doch hier beginnt die Geschichte einer Verwechselung, einer Geschichte bei der einfach nur ein Zahlendreher für eine falsche Buchung sorgt. Eine Verwechselung, die Fachleute für unmöglich halten, die aber offenbar doch kein Einzelfall ist - erzählt von einer Betroffenen selbst.      

Eigentlich ist auf meiner Kreditkartenabrechnung nicht viel los - im Regelfall werden mir nur  „Peanuts“ abgebucht. Als Studentin bin ich bemüht, stets eine große Distanz zwischen mir und dem Minusbetrag zu halten, der die Karte zum “Glühen” bringt. Dementsprechend emotionslos greife ich zu dem grauen Umschlag mit der Rechnung, um die Posten auf der Buchungsübersicht kurz zu überfliegen. Dann der Schock: Eine Ferienhaus-Firma aus Freiburg hat 1343 Euro abgebucht. Doch: Ich habe gar kein Ferienhaus gebucht.  

Ich sehe auf meiner Abrechnung nur eine Buchung über eine Summe, die ich mir eigentlich gar nicht leisten kann. Von der Ferienhaus-Vermietung aus Freiburg habe ich noch nie zuvor gehört. Für mich gibt es nur eine Erklärung: Betrüger haben sich an meinem Konto vergriffen.

Ich rufe bei meiner Bank an. Die Dame am Service-Telefon beruhigt mich: „Wir können den Betrag zurück buchen, das ist kein Thema. Aber vielleicht rufen Sie erst mal bei der Firma an und erkundigen sich, was da schief gelaufen ist.“ Gut. Erleichtert, sehr erleichtert, suche ich per Google nach der Ferienhaus-Firma.

Ich frage mich indessen, was da passiert sein kann. Wann hatte ich die Karte das letzte Mal in der Hand? Wer kann meine Daten abgefischt haben? Oder...habe ich die Karte vielleicht sogar verloren?! Ich hechte zu meiner Handtasche. Wo ist mein Portemonnaie? Typisch Frau, ganz unten drin. Ich klappe die Geldbörse auf. Gott sei Dank, da ist sie noch! Dann muss ich wohl doch bei einer Buchung im Internet unvorsichtig gewesen sein?

Schnell ist klar: Es sind keine Betrüger, die sich an meinem Ersparten bedient haben. Die Webseite der Ferienhaus-Vermietung hat diverse Güte-Siegel zu bieten. Stiftung Warentest verleiht dem Online-Portal die Note “Gut”, das Deutsche Institut für Service-Qualität aus Hamburg sogar ein “Sehr gut”.

Ich rufe bei der Service-Hotline der Ferienhaus-Firma an und werde mit der Buchhaltung verbunden. Dort erfahre ich, dass eine Familie Meier den Betrag abbuchen ließ – für ihr Ferienhaus in Frankreich. „Machen Sie sich keine Sorgen, Sie bekommen das Geld auf jeden Fall zurück. Ich werde jetzt aber mal nachforschen, was da schief gelaufen ist“, sagt die Buchhalterin. Das tut sie tatsächlich. „Es scheint sich um eine Verwechslung zu handeln. Obwohl das eigentlich unmöglich ist“, sagt die Buchhalterin einige Stunden später. Unmöglich hin oder her, ich möchte mein Geld zurück. „Geben Sie mir Ihre Bankverbindung, ich überweise Ihnen den Betrag direkt auf Ihr Konto. Wir klären das dann mit Familie Meier“, bietet die Buchhalterin an. „Ich kann allerdings nicht verstehen, dass die Bank diese Abbuchung hat durchgehen lassen.“

Drei Tage später: Das gepflegte Einfamilienhaus in Iserlohn liegt etwas abgelegen in einer Sackgasse. Frau Meier*, eine Dame Ende 50, kommt mir entgegen. Sie trägt Hausschlappen, die Haare modisch kurz geschnitten. Das ist sie also, die Frau, die auf meine Kosten Urlaub gemacht hat. Die meine Kreditkarte mit 1343,30 Euro belastet hat. Eine Abbuchung, laut meiner Bank gar nicht möglich ist.

Frau Meier und ihr Mann haben zwei Wochen Urlaub in Frankreich gemacht. Eigentlich hatten sie vor, beide Wochen an dem gleichen Ort zu verbringen. Kurzfristig entscheiden sie sich um, reisen weiter – und buchen über ihr Tablet ein anderes Ferienhaus. Ihre Kreditkarte hat Frau Meier allerdings nicht dabei. Also lässt sie sich die Daten von ihrer Tochter am Telefon durchgeben - die ihr auch alle Zahlen richtig nennt. „Nur dann habe ich einen Zahlendreher im Kopf gehabt – und die letzten beiden Ziffern der Kreditkartennummer vertauscht.“

Das Resultat dieses Zahlendrehers sehe ich erschrocken auf meiner Kreditkartenabrechnung: eben die Abbuchung von 1343,30 Euro von meinem mageren Studentenkonto.  

Und jetzt?

*Name geändert

Auch meine Bank kann sich diese Verwechslung nicht erklären. „So etwas habe ich noch nie gehört. Das ist eigentlich unmöglich“, sagt die Dame in der Zentrale der Märkischen Bank in Hagen.  

Die  Abteilung der Bank, die auf Online-Geschäfte spezialisiert ist, weiß auch nicht weiter. „Unmöglich,“ heißt es dort ebenfalls. „Selbst wenn die Kartennummer durch einen Zahlendreher gestimmt hätte – dann müssten ja auch Prüfnummer und Kreditkarten-Laufzeit gleich gewesen sein. Solche Zufälle gibt es nicht!“

Die gibt es auch nicht - zumindest nicht in diesem Fall.

Das stellen Frau Meier und ich einige Tage später fest, als ich sie in Iserlohn besuche. Sie empfängt mich vor ihrem Haus und führt mich durch einen großen Garten auf eine Terrasse. Wir laufen an einem großzügigen Swimming-Pool vorbei, bevor ich mich in einen der schweren Gartenstühle fallen lasse. Frau Meier holt ihre Kreditkarte. Dann vergleichen wir die Daten: Die Nummern unserer Visa-Karten stimmen tatsächlich fast überein. Einzig die beiden letzten Ziffern haben eine andere Reihenfolge – und diese beiden hatte Frau Meier bei ihrer Ferienhaus-Buchung verwechselt. Auch die Laufzeit ist identisch, ebenso unsere Vornamen. Aha. Doch zwei Dinge sind nicht gleich: Die Nachnamen und die Kartenprüfnummer.

Diese Prüfnummer hat Frau Meier auch bei der Buchung ihres Ferienhauses angeben. Wie kann es dann sein, dass die Abbuchung trotzdem erfolgt ist?

Thomas Hesse von der Märkischen Bank soll mir eine Erklärung liefern. Er ist Leiter der Abteilung „WebBank und Payments“. Hesse holt mich vor der Zentrale in Hagen ab, damit wir uns gemeinsam auf den Weg zu seinem Büro machen können. Drei Sicherheitstüren muss der 53-Jährige mit einem Chip öffnen, bevor er sich hinter seinem breiten Schreibtisch nieder lässt.

Hesse erklärt, dass die Verwechslung von Kreditkartendaten nicht unmöglich ist. Sie ist nicht mal ein Einzelfall.

„Versehen passieren, die kann man nicht zu 100 Prozent ausschließen”, sagt Thomas Hesse zu dem Fall. “Aber es ist sehr selten, das so etwas geschieht.”

Der Fehler liegt laut Hesse beim Verkäufer, also in meinem Fall bei der Ferienhaus-Vermietung. Denn wenn von einem Online-Shop die Kreditkartennummer und die Prüfnummer bei einem Kauf abgefragt werden, dann sei das noch lange nicht das sicherste Abbuchungs-Verfahren. Jetzt bin ich vollkommen verwirrt. Und frage Nadine Alles-Berberich von der Firma PlusCard danach. PlusCard unterstützt Banken dabei, ihre Kreditkartengeschäfte abzuwickeln. Das Problem liege auf jeden Fall beim Händler, sagt auch sie. „Denn es ist die Verantwortung des Verkäufers, die Kreditkartendaten zu prüfen.“  

Denn selbst wenn der Händler neben der Kreditkartennummer auch die 3-stellige Prüfnummer an die Bank übermittelt, ist noch nicht gesagt, dass die Daten dort auch noch einmal gegengecheckt werden. Der Verkäufer muss nämlich festlegen, dass die Bank die Prüfnummer noch einmal kontrollieren soll. Tut er das nicht, wird nur abgeklopft, ob die Kreditkartennummer existiert. Gibt es die Nummer und das zugehörige Konto, wird das Geld praktisch „blind“ abgebucht. „Namen sind dabei sowieso egal, die werden nicht verglichen,“ so Nadine Alles-Berberich.

Auch Martin Schechtel vom Deutschen Institut für Service-Qualität (DISQ) ist sich sicher, dass der Fehler bei der Ferienhaus-Firma liegt – obwohl das Unternehmen zu den vom DISQ getesteten Portalen gehört. „Der Händler hat das Geld ja direkt zurück überwiesen, dadurch ist er in Vorleistung getreten. Das deutet schon darauf hin, dass er sich einer Schuld bewusst ist.“ Ihn wundert es, dass die Buchhaltung nicht erst abgewartet hat, bis sie das Geld von Familie Meier erhalten hätte.

Der Händler bleibt auf den Kosten sitzen

Doch ganz egal, ob sich der Händler einer Schuld bewusst ist oder nicht: Schlägt eine Buchung fehl, bleibt er immer auf den Kosten sitzen. „Der Händler trägt das Risiko, dass sehen die Regularien so vor,“ erklärt Nadine Alles-Berberich von PlusCard. Denn: Die Banken bieten in der Regel das sicherste Abbuchungs-Verfahren „3D-Secure“ an: Für die Mastercard nennt es sich „Mastercard Secure Code“, für Visacard-Kunden heißt es „Verified by Visa“. Dabei erhält der Kunde einen Legitimations-Code als SMS auf das Handy, ähnlich dem Pin-Tan-Verfahren mancher Banken beim Onlinebanking. Wer das sichere Verfahren anbietet, ist – zumindest größtenteils - von der Haftung ausgeschlossen.

Banken bieten in der Regel dieses sichere Verfahren an. „Deshalb haften unsere Kunden bei einer fehlerhaften Belastung höchstens mit 150 Euro, in der Regel sogar überhaupt nicht“, erklärt Thomas Hesse von der Märkischen Bank.

Auch der Händler hat die Wahl, ob er seinem Kunden das Bezahlverfahren 3D Secure anbietet. Tut er das nicht, weil ihm das zu aufwändig oder zu teuer ist, erhält der Kunde keine SMS mit Code - die Akzeptanz wird ohne weitere Prüfung ausgeführt. Das heißt: Der Händler bietet in diesem Moment nicht das sicherste Bezahlverfahren an. Wenn es ein Problem mit der Abbuchung gibt, muss er haften. Gleiches gilt natürlich auch, wenn er nicht einmal die Prüfnummer auf der Rückseite der Kreditkarte gegenchecken lässt.

Frau Meier und ich werden also auch in Zukunft gerne mit Kreditkarten bezahlen. “Es ist so praktisch”, sagt Frau Meier. Das stimmt. Trotzdem werde ich in Zukunft meine Kreditkartenabrechnung kontrollieren, sobald sie ins Haus flattert. Und für das “Verified by Visa”-Verfahren habe ich mich auch schon über die Webseite meiner Bank registriert. Weil mir meine Bank zugesagt hat, dass sie bei Zweifeln die Einzelfälle prüft.

Im vorliegenden Fall lag der Fehler ganz klar bei dem Händler, also der Ferienhausvermietung, die die Angaben von Frau Meier nicht überprüft hatte. Es war eine Verwechselung, kein Betrug. Wir haben uns aber auch gefragt: Welche Arten von Kreditkartenbetrug gibt es und wann haftet der Kunde?

Fall 1: Jemand bezahlt in einem Geschäft mit einer gestohlenen Karte und einer gefälschten Unterschrift - der Kunde haftet nicht. Er hat nichts gekauft und auch nichts authorisiert.

Fall 2: Jemand bezahlt mit einer gestohlenen Karte und der richtigen, ebenfalls gestohlenen Pin - der Besitzer haftet unter Umständen.

Fall 3:  Jemand bezahlt im Internet mit den gestohlenen Daten einer Kreditkarte - der Kartenbesitzer haftet nicht.  

Markus Feck, Bankjurist der Verbraucherzentrale NRW in Düsseldorf erklärt die Varianten:

Wann haftet der Kunde?

Die Haftung bei „missbräuchlicher Nutzung” ist laut Bürgerlichen Gesetzbuch (BGB) im § 675v allerdings auch ohne Haftungsrückverkehr geregelt. Das bedeutet: Ein Kreditkartenbesitzer haftet immer nur bis 150 Euro – auch, wenn er seine Karte verliert oder sie ihm gestohlen wird. Voraussetzung ist allerdings, dass man sich nicht grob fahrlässig verhalten hat: Das wäre zum Beispiel der Fall, wenn man seine Kreditkarte zusammen mit dem PIN aufbewahrt und Diebe somit leichtes Spiel haben.

Viele Banken erlassen ihren Kunden auch die Haftung komplett.

Beim 3D-Secure-Verfahren kann der Kunde laut Verbraucherzentrale jedoch unter Umständen zur Haftung herangezogen werden. Daher raten Verbraucherzentrale und Stiftung Warentest, dieses Verfahren nur dann anzuwenden, wenn die Bank wie im Fall oben zusagt, die Haftung auch in diesem Fall zu übernehmen. Die Verbraucherschützer berufen sich auf - allerdings länger zurück liegende - Gerichtsurteile, die in einem solchen Fall gegen den Kunden entschieden haben. Denn durch die Pin wird die Transaktion legitimiert, der Code gilt als Unterschrift.  

Können Kreditkartendaten wirklich per Funk von Betrügern ausgelesen werden? Ja. Kreditkarten der neueren Generation können per Funk einfach ausgelesen werden - das haben schon vor vier Jahren Recherchen und ein Versuch von Journalisten gezeigt. Das Magazin “Report München” beauftragte einen Computerspezialisten damit, Kreditkartendaten zu stehlen. Der las die Kreditkartennummern und Ablaufdaten mit seinem Smartphone aus - mit diesen Daten konnte dann im Netz einfach eingekauft werden.

Hintergrund ist ein Verfahren, das es ermöglicht, mit den Karten kontaktlos per Funk zu bezahlen. Die Kreditkarten werden vier Zentimeter nah an Lesegeräte gehalten und dann ausgelesen. So lassen sich kleinere Beträge bis zu 25 Euro ohne Unterschrift und Pin bezahlen. Das Paywave (Visa) oder PayPass (Maestro) genannte Verfahren ist in der Vergangenheit von Verbraucherschützern oft kritisiert worden.

Bankjurist Markus Flecke von der Verbraucherzentrale NRW sieht das hinsichtlich der Haftung nicht kritisch, anders ist es mit dem Datenschutz.

Wie funktioniert der Datenklau per Smartphone und warum ist er für Experten kein großes Problem?    

• Auch im Fall des Datenklaus per Funk haftet der Kartenbesitzer nicht für den Missbrauch. Problematisch ist jedoch der Datenschutz.
  
• Da in Deutschland nur kleinere Beträge bis 25 Euro per Funk bezahlt werden können, ist das Risiko nicht hoch.
• Zudem argumentieren Kartenanbieter, dass Missbrauch oder Doppelbezahlungen technisch unmöglich sind.

1. Kontoauszüge kontrollieren - Fehler schnell melden

Selbst wenn man sich darauf verlässt, dass man am Ende nicht oder kaum haftet – eine Verantwortung hat man als Kunde dennoch: Bei einer fehlerhaften Belastung der Kreditkarte bleiben in der Regel 45 Tage Zeit, um Einspruch gegen den Vorgang einzulegen - schließlich ist die Abbuchung noch nicht vollzogen, sondern nur “vorgemerkt”. Allerdings haben die einzelnen Kartenunternehmen jeweils besondere Fristen - daher rät Markus Feck von der Verbraucherzentrale: Immer direkt nach der Rechnungsstellung bzw. nach Kenntnissnahme Einspruch erheben. Kontrolliert man die Buchungen zu spät, ist das Geld bereits vom Konto verschwunden – wie im oben beschriebenen Fall geschehen.

2. Karte umgehend sperren lassen

Genauso ist es die Verantwortung des Kunden, seine Kreditkarte bei einem „Missbrauchs-Verdacht“ umgehend sperren zu lassen – das ist ebenfalls im BGB geregelt. Das kann man unter der Telefonnummer 116 116 (kostenlos, aus dem Ausland kostenpflichtig +49 116 116) tun.

3. Wann man das Secure-Verfahren nutzen sollte

Unter den Begriffen 3-D-Secure, Secure-Verfahren oder Safe-Key bieten verschiedene Kreditkartenanbieter Verfahren an, mit denen das Betrugsrisiko und der Kartenmissbrauch verhindert werden sollen. Dabei gibt der Verkäufer zunächst seine Kreditkartennummer ein, abschließend wird eine Verbindung zum Kartenherausgeber hergestellt, bei dem der Kunde seine Karte verifizieren muss. Das kann durch Codes oder Passwörter erfolgen, die nur dem Kunden bekannt sind. Allerdings können auch Betrüger im Besitz der Keditkartendaten unter Umständen diese Passwörter und Codes erzeugen. Und dann wird es brenzlig.

Deshalb empfehlen die Verbraucherzentrale NRW und auch die Stiftung Warentest, dieses Verfahren nur dann anzuwenden, wenn der Kartenherausgeber die Haftung auch für den Missbrauch solcher Verfahren übernimmt.  

Die von der EZB beschlossene Abschaffung des 500-Euro-Scheins ab 2018 und die aktuellen Überlegungen in Deutschland, Obergrenzen für Barzahlungen einzuführen, werfen die Frage auf, ob Bargeld überhaupt eine Zukunft hat. Gibt es bald nur noch Handys, Kredit- oder Geldkarten als Zahlungsmittel? Markus Feck ist sich sicher: “Wir Deutschen werden das Bargeld nicht abschaffen.” Dazu seien die Deutschen im Gegensatz etwa zu den Schweden zu sehr Bargeld-affin.

Eine Obergrenze für Bargeldgeschäfte soll es Kriminellen und Terroristen schwieriger machen, ihre Vorhaben zu finanzieren. In Deutschland diskutiert wird eine 5000-Euro-Grenze, viele andere europäische Länder haben bereits Beschränkungen.

In Schweden ist jemand, der mit Bargeld bezahlt, inzwischen eher ein Außenseiter. Selbst in Kirchen sammeln Kollektomaten, etwa im Dom von Uppsala, Spenden bargeldlos ein. “Das liegt auch an der Infrastruktur”, glaubt Feck. In Gegenden, wo der nächste Geldautomat oder die nächste Bankfiliale Kilometer weit entfernt sind, mache bargeldloses Bezahlen mehr Sinn, als etwa in Deutschland.

Feck: “Es wird irgendwann einmal eine mobile Bezahlvariante geben, die von vielen Leuten genutzt wird. Nur aktuell gibt es so viele verschiedene Systeme, so viele Anbieter, da hat sich noch gar nichts richtig durchgesetzt. In dem Moment, wo so große Player um die Ecke kommen, Telekommunikationsunternehmen, Banken, Sparkassen, und sich auf ein bestimmtes System einigen, in dem Moment wird mobiles Bezahlen auch in der Realität sichtbar.” Doch bis dahin bleibe mobiles Bezahlen eine Nische, Bargeld unverzichtbar. Wie sehr, das macht auch ein Experiment deutlich, dass der Bayrische Rundfunk 2015 in einem Supermarkt durchführte:

Die Verbraucherzentrale NRW zum Datenklau per Funk

Süddeutsche Zeitung: Größter Datenklau bei Kreditkarten seit Jahren im Januar 2016

Bayrischer Rundfunk: Bargeld in Gefahr

Finanztipp: Mobiles Bezahlen macht das Leben noch nicht leichter

Plusminus: Deutsche lieben Bargeld - die Schweden zahlen mit Karte

Wirtschaftswoche: Warum Schweden beim bargeldlosen Zahlen vorne liegt

Ruhr Nachrichten: Paydirekt - Deutsche Banken starten neues Bezahlsystem

Texte: Claudia Wiggenbröker, Wiebke Karla
Fotos: dpa (5) / Dieter Menne / Wiebke Karla / privat
Redaktion, Grafik, Audios: Wiebke Karla

Verlag Lensing-Wolff GmbH & Co. KGWestenhellweg 86-88, 44137 DortmundSitz Dortmund, Amtsgericht Dortmund, HRA 12780Komplementärin: Verlag Lensing-Wolff Verwaltungsgesellschaft mbHSitz Dortmund, Amtsgericht Dortmund, HRBGeschäftsführer: Lambert Lensing-Wolff, Christoph Sandmann, Hans-Christian HaarmannVerantwortlich i.S.v. § 55 RStV: Dr. Wolfram Kiwit

Online-Streitbeilegung

Die Europäische Kommission stellt unter http://ec.europa.eu/consumers/odr/ eine Plattform zur außergerichtlichen Online-Streitbeilegung (sog. OS-Plattform) bereit.

Keine Bereitschaft zur Teilnahme an Streitbeilegungsverfahren

Der Unternehmer ist grundsätzlich nicht bereit und verpflichtet, an Streitbeilegungsverfahren vor Verbraucherschlichtungsstellen im Sinne von § 36 Abs. 1 Verbraucherstreitbeilegungsgesetz (VSBG) teilzunehmen. Davon unberührt ist die Möglichkeit der Streitbeilegung durch eine Verbraucherschlichtungsstelle im Rahmen einer konkreten Streitigkeit bei Zustimmung beider Vertragsparteien (§ 37 VSBG).