Mastercard Securecode- rechtlich bedenklich?

[Nudelesser]

Hallo miteinander,

 

wie steht Ihr zu Mastercard Securecode dem neuen Sicherheitssystem für Online-Kreditkartenzahlungen? Wer noch nie davon gehört hat, kann bei WIKIPEDIA nachlesen.

 

Mir ist dieses System in letzter Zeit häufiger über den Weg gelaufen, weil mehr und mehr Shops mit Methoden, die an Abofallen erinnern, versuchen einem dieses unterzujubeln. Vermehrt werden Zahlungen nur noch akzeptiert, wenn man sich gleichzeitig als Securecode Nutzer anmeldet. Bislang habe ich in solchen Fällen die Zahlung abgebrochen und den Kauf storniert.

 

Ein Problem scheint wohl zum einen die eher bescheidene Sicherheit vor allem aber die damit einhergehende Beweislastumkehr im Mißbrauchsfall zu sein. Mir scheint dies ein klassicher Fall von Risikoabwälzung zu sein. Risiken die bislang von Händlern und Kreditkartengesellschaften getragen wurden, sollen stillschweigend auf die Schultern der Kunden umgelegt werden. Eine Google-Suche bringt zu meiner Überraschung kaum fundierte Beiträge und auch Verbraucherzentralen, Stiftung Warentest, etc. scheinen kaum auf dieses Thema anzuspringen.

 

Hat sich mal jemand mit Securecode befasst? Mich würde vor allem interessieren, ob

 

a. der Kunde grundsätzlich zu einer Verwendung des neuen Systems gezwungen werden darf? Wenn man sich die Praxis vieler Online Shops und die teilweise aggressiven und tendenziösen Aufklärungs-kampagnen von Banken ansieht, dann soll Securecode für Mastercard Nutzer wohl bald zur Pflicht zu werden.

 

b. die zur Zeit übliche, an Abofallen erinnernde, Praxis überhaupt zulässig ist. Sehr vielen Kunden werden im Zweifelsfall gar nicht merken, dass sie gleichzeitig eine Kartenzahlung authorisieren und einen Securecode-Nutzungsvertrag abschliessen.

[Nudelesser]

Hier noch ein WISO Artikel zum Thema

 

Der Schwarze Peter liegt beim Kunden Neues Sicherheitssystem für Kreditkarten beim Online-Shopping gut für Shop-Betreiber und Banken

[xolgo]

wie steht Ihr zu Mastercard Securecode dem neuen Sicherheitssystem für Online-Kreditkartenzahlungen? Wer noch nie davon gehört hat, kann bei WIKIPEDIA nachlesen.

 

Betrifft unter dem Namen "Verified by Visa" übrigens nicht nur die MasterCard.

 

Hat sich mal jemand mit Securecode befasst?

 

Nicht wahnsinnig intensiv. Ich habe noch eine Kreditkarte, die auch ohne funktioniert.

 

Mich würde vor allem interessieren, ob

 

a. der Kunde grundsätzlich zu einer Verwendung des neuen Systems gezwungen werden darf? Wenn man sich die Praxis vieler Online Shops und die teilweise aggressiven und tendenziösen Aufklärungs-kampagnen von Banken ansieht, dann soll Securecode für Mastercard Nutzer wohl bald zur Pflicht zu werden.

 

Im Verhältnis zum Händler: Es herrscht Vertragsfreiheit. Du kannst den Händler nicht zwingen, eine andere Zahlungsweise zu akzeptieren, wenn er nicht möchte.

 

Im Verhältnis zur Bank: Das ist sicherlich kniffliger, aber Du musst damit rechnen, dass die Bank den Vertrag kündigt, wenn Du der Änderung nicht zustimmst.

 

b. die zur Zeit übliche, an Abofallen erinnernde, Praxis überhaupt zulässig ist. Sehr vielen Kunden werden im Zweifelsfall gar nicht merken, dass sie gleichzeitig eine Kartenzahlung authorisieren und einen Securecode-Nutzungsvertrag abschliessen.

 

Mmh, was meinst Du mit "an Abofallen erinnernde Praxis"? Es wird doch weder vorgegaukelt, dass etwas kostenlos sei (was es aber nicht ist), noch entstehen regelmäßige Zahlungen. Das sind für mich die wesentlichen Merkmale einer Abofalle.

[Nudelesser]

 

b. die zur Zeit übliche, an Abofallen erinnernde, Praxis überhaupt zulässig ist. Sehr vielen Kunden werden im Zweifelsfall gar nicht merken, dass sie gleichzeitig eine Kartenzahlung authorisieren und einen Securecode-Nutzungsvertrag abschliessen.

 

Mmh, was meinst Du mit "an Abofallen erinnernde Praxis"? Es wird doch weder vorgegaukelt, dass etwas kostenlos sei (was es aber nicht ist), noch entstehen regelmäßige Zahlungen. Das sind für mich die wesentlichen Merkmale einer Abofalle.

 

Dem Kunden wird durch geschickte Seitengestaltung der Eindruck vermittelt, er würde lediglich eine ganz normale Kreditkartenzahlung autorisieren. Tatsächlich schliesst er jedoch zusätzlich einen Nutzungsvertrag für Securecode ab und stimmt damit einer weitgehenden Beweislastumkehr zu.

 

Der Vergleich mit einer Abofalle mag etwas übertrieben sein. Trotzdem halte ich eine solche Verquickung von zwei nicht zusammengehörenden Rechtsgeschäften für mindestens unseriös und im Zweifel wohl auch rechtswidrig.

[xolgo]

Mmh, was meinst Du mit "an Abofallen erinnernde Praxis"? Es wird doch weder vorgegaukelt, dass etwas kostenlos sei (was es aber nicht ist), noch entstehen regelmäßige Zahlungen. Das sind für mich die wesentlichen Merkmale einer Abofalle.

 

Dem Kunden wird durch geschickte Seitengestaltung der Eindruck vermittelt, er würde lediglich eine ganz normale Kreditkartenzahlung autorisieren. Tatsächlich schliesst er jedoch zusätzlich einen Nutzungsvertrag für Securecode ab und stimmt damit einer weitgehenden Beweislastumkehr zu.

 

In meinem Fall (Verified-by-VISA) stand davon nichts in dem Schreiben per Post. An einen entsprechenden Hinweis auf der Zahlungsseite kann ich mich nicht erinnern. So ganz ohne Hinweis glaube ich kaum, dass irgendeine Beweislastumkehr wirksam vereinbart werden kann. Ich habe meine Bank um Stellungsnahme gebeten. Mal sehen...

[Nudelesser]

Wenn man über eine solche Vertragsänderung per Post informiert wird, dann kann man zumindest darüber nachdenken und beschließen, die Kreditkarte zu kündigen oder nicht mehr online einzusetzen.

 

Mein Beispiel bezog sich auf Onlineshops wie etwa www.technikdirekt.de, wo einem Securecode mit den oben beschriebenen Methoden untergejubelt wird. Das mag letztlich kein rechtswirksamer Vertrag sein, aber wer macht schon Screenshots, um das später einmal zu beweisen?

[xolgo]

Wenn man über eine solche Vertragsänderung per Post informiert wird, dann kann man zumindest darüber nachdenken und beschließen, die Kreditkarte zu kündigen oder nicht mehr online einzusetzen.

 

Mein Beispiel bezog sich auf Onlineshops wie etwa www.technikdirekt.de, wo einem Securecode mit den oben beschriebenen Methoden untergejubelt wird.

 

Naja, aber hast Du nicht vorher von Deiner Bank ein entsprechendes Schreiben bekommen? Zum Beispiel im Zusammenhang mit der "Ausgabe" der Zugangsdaten?

 

In meinem Fall wurden übrigens lange vorher schon die AGB entsprechend angepasst.

[B3n]

Wenn man über eine solche Vertragsänderung per Post informiert wird, dann kann man zumindest darüber nachdenken und beschließen, die Kreditkarte zu kündigen oder nicht mehr online einzusetzen.

 

Mein Beispiel bezog sich auf Onlineshops wie etwa www.technikdirekt.de, wo einem Securecode mit den oben beschriebenen Methoden untergejubelt wird. Das mag letztlich kein rechtswirksamer Vertrag sein, aber wer macht schon Screenshots, um das später einmal zu beweisen?

 

 

Banken wie auch Kartenanbieter ( Visa,Mastercard etc) könnten natürlich das alte System abschaffen, das ist aber doch sehr unwahrscheinlich solange es genügend Kunden nutzen.

Die Händler sind der Auschlaggeber. Kein Händler kann verpflichtet werden bestimmte Zahlunsmodalitäten ( wie Kreditkarte) anzubieten, außer Bargeldzahlung. Sollten sich die Händler also auf das neue System umstellen und nurnoch dieses akzeptieren entsteht für die Kunden zwangsläufig der Wechsel.

[Nudelesser]

Naja, aber hast Du nicht vorher von Deiner Bank ein entsprechendes Schreiben bekommen? Zum Beispiel im Zusammenhang mit der "Ausgabe" der Zugangsdaten?

 

In meinem Fall wurden übrigens lange vorher schon die AGB entsprechend angepasst.

 

Nein, ein solches Schreiben oder eine Anpassungsmitteilung der AGB habe ich nicht bekommen. So etwas lese ich immer sehr genau.

 

Übrigens habe ich gerade festgestellt, dass man bei Zustimmung zu Mastercard Securecode einen Vertrag mit einer amerikanischen Firma namens Arcot Inc. abschließt. Da läßt es sich doch gleich viel schöner mit Kundendaten spielen, da die Mastercard-internen halbwegs akzeptablen Datenschutzrichtlinien offenbar nicht gelten.

[insanetrader]

Ich kenne jetzt nicht genau die Umstände im Falle von SecureCode und Arcot Inc., aber Arcot Inc. ist wohl, wie man auf den Seiten einiger deutscher kartenausgebenden Banken lesen kann, der Issuer-Dienstleister, der den Abgleich der gespeicherten Kartendaten (also hier insbes. des selbstgewählten Passwortes) mit dem von Dir für die aktuelle Transaktion eingegebenen Daten (Password) abgleicht. Also gibt die Bank (also der Issuer - sprich Kartenausgeber) seine Aufgabe, den Datenabgleich, an einen Dienstleister ab; wohl aus Kosten- oder organisatorischen Gründen.

 

Wie auch immer, das ist im Kartengeschäft absolut übliche Praxis: bei fast jeder Kartenzahlung, die man tätigt, egal ob am Geldautomat, im Geschäft (POS) oder im Internet (e-commerce), egal ob girocard (ehemals ec-Karte), Kreditkarte oder GeldKarte, es sind eigentlich immer einer oder mehrere Dienstleister beteiligt, weil die Banken die notwendigen Prozesse bei der Kartentransaktionsabwicklung nicht selbst leisten wollen oder können. Natürlich müssen von den Dienstleistern zur korrekten Transaktionsabwicklung auch bestimmte Karten- und Karteninhaberdaten gespeichert werden. Dies unterliegt entsprechenden Richtlinien, im Falle von Kreditkartenzahlungen also hauptsächlich PCI-DSS.

 

Missbrauch kann natürlich nie ganz ausgeschlossen werden, da hilft nur Barzahlung.

[xolgo]

Missbrauch kann natürlich nie ganz ausgeschlossen werden, da hilft nur Barzahlung.

 

Der Knackpunkt ist die Beweislast. Und mir reicht es, wenn im Missbrauchsfall die Bank/der Händler/der Dienstleister in der Pflicht ist, mir meine Kartennutzung nachzuweisen. Genau das scheint aber bei obigem Verfahren nicht (mehr) der Fall zu sein.

[cantaloupe]

 

 

Banken wie auch Kartenanbieter ( Visa,Mastercard etc) könnten natürlich das alte System abschaffen, das ist aber doch sehr unwahrscheinlich solange es genügend Kunden nutzen.

 

 

Das halte ich doch für sehr wahrscheinlich - Händler und Banken profitieren doch von dem neuen System. Nach und nach werden immer mehr Händler umstellen, unwissend werden viele Kunden entsprechend nachziehen, und irgendwann ist das alte Kreditkartensystem Geschichte....

 

Danke, Nudelesser, dass Du das Thema aufgeworfen hast! Bin nun gewarnt.... (und werde beim guten alten "Kauf auf Rechnung" bleiben, wo das geht....)

[insanetrader]

Missbrauch kann natürlich nie ganz ausgeschlossen werden, da hilft nur Barzahlung.

 

Der Knackpunkt ist die Beweislast.

...

 

Da hast Du natürlich völlig Recht! Genau diese Beweislastumkehr ist wohl der eigentliche Grund der 3D-Secure-Einführung bei MC und VISA, nicht die vermeintlich größere Sicherheit. Ob im Zweifelsfalle allerdings diese, in der Praxis vom Kunden unmöglich zu erbringende, Beweisschuld vor einem deutschen Gericht Bestand hätte, darf noch bezweifelt werden.

 

Ich bin mit meinem obigen Post lediglich darauf eingegangen, dass die Zwischenschaltung von Dienstleistern im Kartengeschäft üblich ist.

[Nudelesser]

Finde es gar nicht überraschend, dass Banken dieses Verfahren stillschweigend und unauffällig einführen wollen, da es für alle Beteiligten (außer den Kunden!) eine Menge Vorteile hat.

 

Das eigentlich Überraschende ist für mich, dass der deutsche Verbraucherschutz so zahnlos ist und das Thema praktisch ignoriert. Stattdessen kümmert man sich lieber um bürokratische Schnapsideen, wie die Registrierung aller Bankberater beim Bafin. Als ob das die Beratung verbessern würde...

[Andreas R.]

Finde es gar nicht überraschend, dass Banken dieses Verfahren stillschweigend und unauffällig einführen wollen, da es für alle Beteiligten (außer den Kunden!) eine Menge Vorteile hat.

 

Wo hast du als Kunde einen Nachteil?

 

Wird deine Kartennummer im Internet ausgelesen, muss der Datendieb neben Nummer und Ablaufdatum auch noch dein persönliches Kennwort wissen.

Wenn nicht -> kein Einkauf. Vorteil Kunde.

 

Akzeptiert der Händler kein 3D-Secure und es wird mit gestohlenen Daten eingekauft, hat er keine Chance gegen ein Chargeback. Vorteil Kunde.

[xolgo]

Finde es gar nicht überraschend, dass Banken dieses Verfahren stillschweigend und unauffällig einführen wollen, da es für alle Beteiligten (außer den Kunden!) eine Menge Vorteile hat.

 

Wo hast du als Kunde einen Nachteil?

 

Es ist oben eigentlich dargestellt.

 

Wird deine Kartennummer im Internet ausgelesen, muss der Datendieb neben Nummer und Ablaufdatum auch noch dein persönliches Kennwort wissen.

Wenn nicht -> kein Einkauf. Vorteil Kunde.

 

Es geht um den anderen Fall. Der "Datendieb" hat auch Dein Kennwort mitgehört und nutzt dieses. Dann steht der Kunde in der Beweispflicht. Nachteil Kunde.

 

Akzeptiert der Händler kein 3D-Secure und es wird mit gestohlenen Daten eingekauft, hat er keine Chance gegen ein Chargeback. Vorteil Kunde.

 

Das ist der Status quo. Hier ergibt sich kein Vorteil für den Kunden durch die Einführung.

[Andreas R.]

Es geht um den anderen Fall. Der "Datendieb" hat auch Dein Kennwort mitgehört und nutzt dieses. Dann steht der Kunde in der Beweispflicht. Nachteil Kunde.

 

Das ist der Status quo. Hier ergibt sich kein Vorteil für den Kunden durch die Einführung.

 

Um hier "mitzuhören" muss der Abgriff während des Einkaufs passieren.

Angriffspunkt Kundenrechner oder der Händler.

Für seine eigene Sicherheit sollte jeder Einkäufer im Internet sorgen.

 

Status quo ist, dass man bei einem beleglosen Einkauf im Internet gegen den Händler keine Chance hat.

Erst mit 3D-Secure kann hier Druck auf den Händler aufgebaut werden.

[xolgo]

Es geht um den anderen Fall. Der "Datendieb" hat auch Dein Kennwort mitgehört und nutzt dieses. Dann steht der Kunde in der Beweispflicht. Nachteil Kunde.

 

Das ist der Status quo. Hier ergibt sich kein Vorteil für den Kunden durch die Einführung.

 

Um hier "mitzuhören" muss der Abgriff während des Einkaufs passieren.

Angriffspunkt Kundenrechner oder der Händler.

Für seine eigene Sicherheit sollte jeder Einkäufer im Internet sorgen.

 

Das ist richtig, ändert aber nichts daran, dass solche Angriffe möglich sind und hier eine Beweislastumkehr stattfindet.

 

Status quo ist, dass man bei einem beleglosen Einkauf im Internet gegen den Händler keine Chance hat.

Erst mit 3D-Secure kann hier Druck auf den Händler aufgebaut werden.

 

Das kann ich so nicht bestätigen. In den Geschäftsbedingungen meiner Bank hat sich für diesen Fall nichts geändert.

[Nudelesser]

Um hier "mitzuhören" muss der Abgriff während des Einkaufs passieren.

Angriffspunkt Kundenrechner oder der Händler.

Für seine eigene Sicherheit sollte jeder Einkäufer im Internet sorgen.

 

Nehmen wir ein simples Beispiel: Ein Internetnutzer hat sich einen Virus mit einem eingebauten Keylogger eingefangen (sowas soll bei Leuten ohne Informatikstudium durchaus vorkommen). Dadurch kommen Kriminelle in Besitz der Kreditkartendaten inklusive Securecode PIN und buchen Beträge von der Kreditkarte ab.

 

Nach bisherigem Recht mußte die Kreditkartengesellschaft dem Kunden nachweisen, dass er die Zahlung selbst vorgenommen hat. Bei Nutzung des Securecode Systems steht erst einmal im Raum, dass der Kunde mit der PIN grob fahrlässig umgegangen ist und er muss der Kreditkartengesellschaft beweisen, dass er die Zahlung NICHT vorgenommen hat.

 

Viel Spaß bei der Beweissicherung und bei der Bezahlung der Gutachter.

[Andreas R.]

Wer ist für die Sicherheit deines Rechners verantwortlich?

Der Händler?

Die Bank?

Die Kreditkartenorganisation?

Oder vielleicht du selbst?

[Delphin]

Wer ist für die Sicherheit deines Rechners verantwortlich?

Der Händler?

Die Bank?

Die Kreditkartenorganisation?

Oder vielleicht du selbst?

Natürlich du selbst. Nur gibt es keine Möglichkeit einen Angriff auszuschließen, da hilfte der beste Virenscanner und Firewall nix - es ist eine Illusion, einen ganz sicheren Computer garantieren zu können. In so einem Fall möchte natürlich keiner der beiden Parteien die fiannzielle Verantwortung tragen müssen. Da der Schaden aber für den Kunden i.d.R. ungleich größer wäre (relativ zu seinem Vermögen), liegt es Nahe, dass die Bank anbietet für einen solchen, zum Glück ja recht seltenen Fall, den Schaden zu übernehmen - nur so, kann sie Kunden zum Online-Banking bewegen. Sie kann diese Risiko nach dem gesetz der großen Zahl bewältigen, der Kunde kann sich das nicht leisten. Kreditkarten wären niemals so weit verbreitet, wenn die Anbieter das nicht immer so gehandhabt hätten. Klar versuchen die sich mittelfristig darum zu drücken, das ist auch schlau, denn inzwischen hat sich ein Großteil der Bevölkerung ziemlich abhängig gemacht, von diesen Karten.

 

Meiner Ansicht nach wäre es mittelfristig der Tod für Kreditkarten, wenn der Kunde für die Betrugsfälle aufkommen müsste (ich meine im Einzelfall). Leider sind viele Verbraucher alles andere als mündig und denken immer sie müssten einfach alles schlucken, was eine große Firma macht, weil der Widerstand eh zwecklos wäre. (Was im Einzelfall sicher stimmt.)

[Andreas R.]

Meiner Ansicht nach wäre es mittelfristig der Tod für Kreditkarten, wenn der Kunde für die Betrugsfälle aufkommen müsste (ich meine im Einzelfall). Leider sind viele Verbraucher alles andere als mündig und denken immer sie müssten einfach alles schlucken, was eine große Firma macht, weil der Widerstand eh zwecklos wäre. (Was im Einzelfall sicher stimmt.)

 

Gut erkannt. Es geht beim System nicht gegen den Kunden, sondern gegen den sorglosen Händler, der auf ungesicherten Seiten ohne sinnvolles System Kreditkarten akzeptiert und sich aufgrund der Beleglosigkeit von jeder Schuld freispricht und auch noch Recht bekommt.

[xolgo]

Wer ist für die Sicherheit deines Rechners verantwortlich?

Der Händler?

Die Bank?

Die Kreditkartenorganisation?

Oder vielleicht du selbst?

 

Auch wenn Du die Frage noch öfter wiederholst, ändert das nichts an der Tatsache, dass mit der Änderung eine Beweislastumkehr stattfindet, die zum Nachteil des Kunden ist.

 

Gut erkannt. Es geht beim System nicht gegen den Kunden, sondern gegen den sorglosen Händler, der auf ungesicherten Seiten ohne sinnvolles System Kreditkarten akzeptiert und sich aufgrund der Beleglosigkeit von jeder Schuld freispricht und auch noch Recht bekommt.

 

Dass die Maßnahme "nich gegen den Kunden, sondern gegen den ... Händler" ist, finde ich eine etwas überspitzte Sicht der Dinge. Der Händler akzeptiert Kreditkarten auf die Art und Weise, die die Kreditkartenfirmen unterstützen und jahrelang befürwortet haben.

[xolgo]

Verbraucherschutzzentrale warnt vor 3D-Sicherheitsverfahren bei Kreditkarten

[Nudelesser]

@ xolgo

 

Danke für die Info. Hier die Pressemeldung im Original:

 

Pressemitteilung der Verbraucherzentrale Nordrhein-Westfalen

11.08.2011

Verbraucherzentrale NRW warnt: Gefahr beim Einsatz von Kreditkarten mit 3D-Sicherheitsverfahren

 

Die Verbraucherzentrale NRW warnt vor dem Einsatz von Kreditkarten, die das sogenannte 3D-Sicherheitsverfahren benutzen. Dieses Verfahren heißt bei Visa "Veryfied by Visa" und bei Mastercard "MasterCard securecode". Es bestehen Zweifel an der Sicherheit des Systems, zudem drohen Kunden finanzielle Nachteile, wenn unberechtigte Abbuchungen auf dem Konto auftauchen.

 

Die Lage ist paradox. Eigentlich sollte das 3D-Sicherheitsverfahren von Visa und Mastercard die Zahlung mit der Kreditkarte im Internet sicherer machen. Dazu sollten Kunden beim Kauf eine ihnen zugewiesene persönliche Geheimzahl angeben, um sich gegenüber dem Kreditkartenunternehmen zu autorisieren.

 

Was auf den ersten Blick vorteilhaft scheint, birgt für Kunden jedoch erhebliche Risiken. So könnten Betrüger, die lediglich die Kartennummer und den Namen des Karteninhabers kennen, einen 3D-Sicherheitscode im Internet beantragen und damit auf Kosten des Kunden einkaufen. Andere Kriminelle wiederum könnten auf Web-Shoppingtour gehen, wenn es ihnen gelingt, den Sicherheitscode abzufangen.

 

Ärgerlich dabei: Bisher mussten Kunden nicht damit rechnen, dass sie im Fall eines Kreditkarten-Missbrauchs beim Onlineshopping auf dem Schaden sitzen bleiben. Schließlich wurde kein Beleg unterschrieben.

 

Das sieht bei Zahlungen mit dem 3D-Sicherheitsverfahren anders aus. Hier besteht die Gefahr, dass sich Unternehmen auf den sogenannten Anscheinsbeweis berufen. Dabei wird angenommen, dass der Miss¬brauch nur deshalb entstehen konnte, weil der Kunde fahrlässig mit dem 3D-Sicherheitsverfahren umgegangen sei. Die Folge: Der Kunde bleibt auf dem finanziellen Schaden ganz oder teilweise sitzen, wenn er keine Manipulation nachweisen kann.

 

Zwar haben Visa und Mastercard sowie die kartenausgebenden Banken erklärt, dass sie sich im Gegensatz zu den EC-Karten-Fällen nicht auf den für die Verbraucher nachteiligen Anscheinsbeweis berufen wollen. Doch in der Praxis hält sich nicht jedes Geldinstitut an das Versprechen. So weigert sich beispielsweise die Advanzia Bank im Fall einer Lehrerin, die das 3D-Verfahren nutzte, den Schaden zu ersetzen.

 

Deshalb rät die Verbraucherzentrale NRW, zunächst auf den Einsatz des Sicherheitscodes zu verzichten, bis sämtliche Zweifel an der Sicherheit des Systems und der Haftungsfrage ausgeräumt sind.