zurück zurück
Sicherheit

Online-Bezahldienstleister: Unkompliziert und unsicher?

PayPal, Klarna, paydirekt – auf den ersten Blick wirken sie gleich, doch wer genau hinschaut, bemerkt gravierende Unterschiede.
2020 07 FINT Artikel Quer Retina Intransparenz bei Online Zahlungsdienstleistern 01 pexels 925067
Photo by Ankush Rathi on Pexels
14.07.2020

Immer mehr Menschen nutzen PayPal und Co., ohne sich vorher über vertragliche Inhalte zu informieren. Doch selbst wer die AGBs liest, findet zur Datensicherheit nur wenig. Dabei gibt es bei den Anbietern zum Teil gravierende Unterschiede, wie Fraud-Experte Andreas Hermann erklärt.

Zwischen 1999 und 2019 ist der Umsatz des deutschen Online-Versandhandels von 1,1 auf 59,2 Milliarden Euro gestiegen. Das veranschaulicht, wie wichtig das E-Commerce-Geschäft geworden ist. Zahlungsmethoden spielen dabei eine zentrale Rolle. Sie entscheiden darüber, wie einfach und sicher der gesamte Online-Kauf abläuft und wie schnell der Kunde seine Ware erhält. Vor diesem Hintergrund sind die herkömmlichen Zahlungsarten – Vorkasse, Nachnahme, Rechnung, Lastschrift und Kreditkarte – mittlerweile durch eine Reihe von reinen Online-Bezahlmöglichkeiten ergänzt worden.

2020 07 FINT Artikel Hoch Retina Intransparenz bei Online Zahlungsdienstleistern 03 unsplash 7fs Ba Ada JFM Photo by Patrycja Chociej on Unsplash

Zwar stellt der Rechnungskauf mit einem Anteil von 28 Prozent des deutschen Online-Umsatzes noch immer die beliebteste Zahlungsart im Internet dar, doch mit PayPal (20,5 Prozent) hat sich bereits ein Anbieter von reinen Online-Dienstleistungen an zweiter Stelle positioniert. Das Unternehmen aus Kalifornien, das sein Geschäft schon seit den Anfängen des Online-Handels 1998 betreibt, hat sich in den vergangen 20 Jahren stetig weiterentwickelt: Vom Branchenpionier und aufstrebendem Technologieführer zu einem milliardenschweren Weltkonzern. 2019 erwirtschaftete PayPal einen Jahresumsatz von fast 17,8 Milliarden Dollar, 2012 waren es noch 5,6 Milliarden. Ein Erfolg, der weitere Anbieter in den Markt gelockt hat: Sofort (ehemals Sofortüberweisung), Klarna, Amazon Pay, giropay, Apple Pay und paydirekt sind nur einige der Dienstleister, die heute an den Online-Kassen um die Gunst des Kunden werben.

Doch welche Unterschiede gibt es zwischen den Anbietern? Eine Frage, die sich für Kunden im Online-Store kaum beantworten lässt, da sich die Dienstleister hier nur mit einem einfachen Logo präsentieren, das wenig über die genauen Vertragsinhalte aussagt. Dabei gibt es bei den verschiedenen Angeboten durchaus einiges zu beachten, wie Fraud-Manager Andreas Hermann weiß. In seinem Arbeitsalltag kümmert er sich für die deutschen Genossenschaftsbanken um Sicherheitsfragen im Online-Banking und studiert dafür unter anderem die AGBs von Bezahldienstleistern. Die Vielzahl der Online-Bezahldienstleister unterteilt er dabei in drei verschiedene Gruppen: Die einfachen Zahlungsabwickler, wie PayPal, die bankfachlichenDienstleister, wie paydirekt und giropay, und die nicht-bankfachlichen Anbieter mit Finanzierungsdienstleistungen, wie die Klarna Gruppe. Die Unterschiede erklärt er am Beispiel der meistgenutzten Anbieter.

PayPal: Mehr Komfort, bei ungeklärtem Datenschutz

PayPal ist ein reiner Zahlungsabwickler, bei dem Kunden auf ihrem Konto kein reales Geld haben, sondern dem Unternehmen lediglich eine Einzugsberechtigung für ihre Bank geben. So kann PayPal per Kreditkarten- oder Lastschrifteinzug das Bankkonto des Nutzers in regelmäßigen Abständen belasten, ohne dass dieser in einen direkten Austausch mit den verschiedenen Händlern treten muss. Den Händlern sichert PayPal dabei die fristgerechte Überweisung des Kaufbetrags zu bzw. überweist ihn unmittelbar nach der Bestellung. Das bringt dem Käufer und dem Händler mehrere Vorteile. Der Käufer kann in verschiedenen Online-Stores einkaufen, ohne jedem Händler eine Einzugsberechtigung geben zu müssen. Das ist bequemer und verringert die Möglichkeiten für Missbräuche. Der Händler bekommt dagegen von PayPal das Geld sofort auf sein Konto gutgeschrieben, was Zahlungsausfälle ausschließt. Mit dieser Sicherheit kann er direkt nach einer Bestellung den Versand der Ware auslösen und so die Kaufabwicklung beschleunigen. Da PayPal international in den meisten Shops vertreten und eine Anmeldung sehr einfach ist, stellt der Anbieter für viele Kunden eine beliebte Alternative zu der Zahlung mit Kreditkarte oder Überweisung dar. Und da der Zahlungsabwickler außer der Kontonummer, E-Mail-Adresse und Handynummer keine weiteren Daten erhält, bleiben vertrauliche Informationen wie zum Beispiel der Kontostand sicher.

2020 07 FINT Artikel Quer Retina Intransparenz bei Online Zahlungsdienstleistern 02 pexels 230544 Photo by PhotoMIX Company on Pexels

Dennoch ist die Nutzung eines einfachen Zahlungsabwicklers wie PayPal nicht ganz ohne Risiko. Denn als Intermediär erhält PayPal sehr genaue Auskunft über das Kaufverhalten seiner Nutzer. Das liegt auch daran, dass das Unternehmen dazu in der Lage ist, von Händlern neben den Transaktionsdaten auch die Lieferadresse und die Positionen des Warenkorbs der Bestellung zu erhalten. Daten, die PayPal mit Drittanbietern teilt. Gleichzeitig gibt PayPal, wenn vom Käufer die Express-Funktion genutzt wird, auch persönliche Daten wie die E-Mail-Adresse oder die Handynummer an die Shops weiter. Der Fraud-Experte Hermann sieht hier durchaus eine Gefahr für den Datenschutz: „Wer mit PayPal zahlt, kann sich zwar sicher sein, dass das eigene Konto vor der Einsicht von Dritten geschützt ist, doch was mit den persönlichen und den Transaktionsdaten sowie dem von PayPal erstellten Verhaltensprofil des Nutzers passiert, ist unklar. Die AGBs geben hier keine wirklich belastbaren Aussagen her.“ So sei nicht nachvollziehbar, in welchen Ländern die Server stehen, auf denen PayPal seine Daten speichert, und für wen sie zugänglich sind. Das führt dazu, dass der Nutzer nicht einmal weiß, in welchem rechtlichen Geltungsbereich sich die Daten befinden. „PayPal ist ein amerikanisches Unternehmen, das global agiert, und dementsprechend ist davon auszugehen, dass sich Daten auch auf nicht EU-Servern befinden, womit sie so gut wie öffentlich sind.“ Im Vergleich zu Zahlungsdienstleistern, die nach hohen Datenschutz- und bankfachlichen Standards arbeiten, sei PayPal hier im Nachteil.

Giropay und paydirekt: Mehr Sicherheit bei geringerer Marktdurchdringung

Wer bei Online-Käufen sicherstellen möchte, dass seine Daten im rechtlichen Geltungsbereich der EU bleiben, kann mit giropay und paydirekt zwei Dienstleister nutzen, die von den deutschen Banken und Sparkassen ins Leben gerufen wurden. Sie müssen sich an die gleichen Sicherheitsstandards und Transparenz-Richtlinien halten wie eine Bank, was im Ergebnis bedeutet, dass alle Transaktionen über EU-Server abgewickelt werden und Dritte keinen Einblick in die Zahlungsvorgänge bekommen. Die Konten der Nutzer werden dabei direkt belastet, so wie bei einer SEPA-Überweisung. Der Unterschied: Die Händler bekommen bereits beim Kauf die Zahlung mit einer Garantie zugesichert, sodass der Versand der Ware direkt gestartet werden kann. Die Anwendung von paydirekt ist für die Nutzer dabei identisch zu der von PayPal. Nach Angabe des Nutzernamens und des Passworts an der Kasse wird die Bestellung an den Händler abgeschickt und die Überweisung eingeleitet. Bei giropay werden Nutzer dagegen noch einmal auf die Website ihrer Bank umgeleitet, um sich dort mit ihren Kontodaten zu verifizieren.

2020 07 FINT Artikel Quer Retina Intransparenz bei Online Zahlungsdienstleistern 03 unsplash i I Jr Uoe Ro CQ Photo by Philipp Katzenberger on Unsplash

Giropay verwendet damit die exakt gleiche IT-Infrastruktur, die die Banken auch für ihr Online-Banking nutzen. Bei paydirekt wird für die Kommunikation mit dem Online-Store noch ein zusätzlicher Server zwischengeschaltet, der sich jedoch auch unter Bankenregie befindet. „Bei den bankfachlichen Anbietern haben sie kein Schlupfloch, aus dem Daten noch einmal in ein anderes Hoheitsgebiet oder auf einen anderen Provider gelangen können. Die Finanzaufsicht BaFin kontrolliert hier die Einhaltung des deutschen Datenschutzrechts, was bei den anderen Dienstleistern nicht der Fall ist. Ein klarer Vorteil, was die Sicherheit der Online-Zahlung angeht“, so Andreas Hermann. Doch dieser Vorteil verbindet sich gegenüber dem Angebot von PayPal auch mit einem klaren Nachteil: Bisher begrenzt sich die Verfügbarkeit von paydirekt und giropay auf Händler aus Deutschland und Österreich.

Online-Zahlungen mit Zusatzleistungen

Als dritte und letzte Gruppe der Online-Bezahldienstleister nennt Hermann Zahlungsabwickler mit Zusatzleistungen. Hier ist die schwedische Klarna Gruppe in Deutschland marktführend. Ihren Nutzern bietet sie neben Rechnungskäufen und Sofortüberweisungen auch Ratenkäufe, also Finanzierungsgeschäfte, an. Eine Dienstleistung, die das 2005 gegründete Finanz-Unternehmen im Internethandel als erster eingeführt hat. Das Geschäft mit Ratenkäufen läuft dabei wie folgt: Klarna begleicht für den Kunden die Rechnung des Online-Kaufs und übernimmt den Zahlungsanspruch des Händlers. Den vorfinanzierten Kauf kann der Kunde dann über einen längeren Zeitraum bei Klarna abbezahlen. Eine Praxis, die als Factoring bezeichnet wird. Der Vorteil für den Kunden liegt auf der Hand: Einkäufe können auch ohne entsprechendes Kontoguthaben getätigt werden. Doch eine solche Dienstleistung beinhaltet auch Risiken. So kann es bei Factoring-Modellen durchaus vorkommen, dass Rückabwicklungen etwas komplizierter werden. Käufer, die ihre Ware zum Händler zurückschicken, müssen damit rechnen, dass ihr Kreditor, das Factoring-Unternehmen, ihnen den Kaufpreis nicht unmittelbar zurückzahlt bzw. erlässt, da es über den Status der Bestellung nicht immer gleichermaßen aufgeklärt ist. In einigen Fällen ist es dadurch sogar zu Zahlungsaufforderung oder Mahnungen für bereits retournierte Waren gekommen, was dem eigentlichen Sinn eines Ratenkaufs klar entgegensteht.

Darüber hinaus gibt es bei Klarna auch datenschutzrechtliche Risiken, die den Kunden bei Vertragsabschluss im Online-Store oft nicht klar sind. Denn bevor Klarna einen Kauf vorfinanziert, prüft das Unternehmen die Kreditwürdigkeit seiner Kunden über externe Firmen. Wer diese Firmen genau sind und welche Daten Klarna mit ihnen tauscht, bleibt dabei mehr oder weniger im Verborgenen. Zur Klarna Gruppe gehören mehrere Unternehmen, die zusammen ein größeres Netzwerk von Online-Bezahldienstleistern bilden, darunter auch die Sofort GmbH mit Sitz in Deutschland. Andreas Hermann, der sich die AGBs des Anbieters genauer angeschaut hat, sieht die Gefahr, dass sich Daten innerhalb und auch außerhalb der Gruppe bewegen: „Da es bei der Prüfung der Kreditwürdigkeit zu einem Austausch mit Dritten kommt, besteht das Risiko, dass Daten sehr weit gestreut werden. Das Impressum der Datenschutzrechte gibt hier keine belastbare Auskunft darüber, auf welchen Servern die Daten innerhalb und außerhalb der Klarna Gruppe gehostet sind. Somit bleibt auch hier offen, in welchem rechtlichen Hoheitsgebiet sie sich befinden.“

2020 07 FINT Artikel Hoch Retina Intransparenz bei Online Zahlungsdienstleistern 01 pexels 3535550 Photo by Daria Shevtsova on Pexels


Ein Problem, das vor allem in Hinblick auf die Sofort GmbH problematisch ist, da Nutzer hier die PIN ihres Bankkontos weitergeben müssen. Die deutsche Klarna-Tochter ist damit theoretisch in der Lage Einblick in das Konto desNutzers zu erhalten und zum Beispiel den Kontostand oder andere vertrauliche Informationen abzulesen. Ein Modell, das zusammen mit der unklaren Rechtslage in Sachen Datenschutz wenig Sicherheit bietet. Andreas Hermann rät bei der Nutzung solcher Services deshalb dazu die Online-Zugangsdaten des eigenen Bankkontos regelmäßig zu ändern, um der Gefahr eines möglichen Datenklaus durch Dritte und der unbefugten und missbräuchlichen Nutzung vorzubeugen.

14.07.2020