Bezahlen im Internet - neue Regelungen

Mit 14. September wird der Einsatz der starken bzw. 2-Faktor-Authentifizierung großteils verpflichtend. Online-Banking und Bezahlen im Internet werden zur Betrugsprävention nun einerseits komplizierter aber eben auch sicherer. KundInnen müssen nun bei elektronischer Bezahlung und Online-Überweisung ihre Identität doppelt belegen. Während Banken ihr Online-Angebot ab 14. September verpflichtend mit erhöhtem Identitätsnachweis versehen müssen, hat die Europäische Bankenaufsicht für das Bezahlen im E-Commerce Bereich noch einen Aufschub für die zwingende Umsetzung gewährt.

Rechtlicher Rahmen

Eingeführt wurde die starke Kundenauthentifizierung oder SCA (strong customer authentication) durch die zweite EU-Zahlungsdiensterichtlinie (PSD2). Diese Richtlinie verfolgt das Ziel, den rasanten Entwicklungen auf dem Markt der digitalen und kurzlebigen Zahlungsmöglichkeiten zu begegnen, indem umfangreiche Maßnahmen zur Betrugsprävention bei Zahlungsaktivitäten gesetzlich vorgeschrieben werden. Betrügerischem Missbrauch von Zahlungsdaten soll damit soweit wie möglich ein Riegel vorgeschoben werden. Zwar verbleiben zur Handhabung einfacher Zahlungsabläufe auch etliche Ausnahmen (siehe unten), jedoch ist die Richtlinie allgemein genug formuliert, um auch neue technische Entwicklungen am Zahlungsmarkt zukünftig zu erfassen.

Zwei Faktoren für doppelten Betrugsschutz

Die starke Kundenauthentifizierung sieht vor, dass Zahlende sich nicht nur auf einem Weg einloggen, um eine Zahlung zu tätigen, sondern mindestens zwei unabhängige Kriterien erfüllen müssen, um eine Zahlung freizugeben. Diese Kriterien bzw. Faktoren können aus drei verschiedenen Bereichen stammen:

Wissen: etwas, das der Nutzer bzw. die Nutzerin weiß – also ein Passwort, ein PIN, die Antwort auf eine bestimmte Sicherheitsfrage, eine Wischbewegung auf dem Display oder ähnliches.

Besitz: etwas, das der Nutzer bzw. die Nutzerin bei sich hat – zB das Handy oder eine App. Achtung: Der Besitz der Kreditkarte fällt nicht in diese Kategorie. Die Kreditkartendaten könnten bspw. auch Betrüger besitzen. Bei Zahlung mit Kreditkarte müssen daher zwei Faktoren erfüllt sein, die nichts mit den Daten, die auf der Kreditkarte abgedruckt sind, zu tun haben.

Inhärenz: etwas, das den Nutzer bzw. die Nutzerin individuell auszeichnet – abzufragen durch zB Fingerabdruck, Gesichtsscan, Spracherkennung.

Wie und aus welchen beiden Kategorien Banken und Zahlungsdienstleister zukünftig diese starke Kundenauthentifizierung abfragen, bleibt diesen selbst überlassen. Banken verwenden beispielsweise zum Teil eigene Sicherheits-Apps, die zusätzlich zur eigenen Banking-App verwendet werden müssen oder erlauben einen Kontozugang mittels Fingerabdruck. Ohne Smartphone kann bei verpflichtender TAN-Code Abfrage ein TAN-Generator verwendet werden. Erkundigen Sie sich am besten direkt bei Ihrer Bank und Ihrem bevorzugten Zahlungsdienstleister, um über deren konkrete Umsetzung Bescheid zu wissen.

So werden KundInnen bei Online-Banking und Zahlungen im E-Commerce von nun zwar einer etwas aufwendigeren Freigabe ihrer gewünschten Zahlungen gegenüberstehen, erhalten im Gegenzug aber eine erhöhte Sicherheit gegen betrügerische Verwendung ihrer Zahlungsdaten.

Erfordernis und Ausnahmen

Grundsätzlich gilt, dass in folgenden Situationen durch den Zahlungsdienstleister eine solche Authentifizierung immer vorgenommen werden muss:

Wenn ZahlerInnen

  • auf ein Zahlungskonto zugreifen,
  • einen elektronischen Zahlungsvorgang auslösen,
  • über einen Fernzugang eine Handlung vornehmen, die missbrauchs- oder risikoanfällig ist. Hier geht es vor allem um Online-Käufe.

Nicht jeder dieser Vorgänge verlangt in Zukunft jedoch ausnahmslos eine starke Kundenauthentifizierung.

Um Zahlungsdienstleister, HändlerInnen und VerbraucherInnen nicht übergebührlich zu strapazieren, sieht die Richtlinie auch einige Ausnahmen vor. Die wichtigsten Fälle, in denen keine starke Kundenauthentifizierung erfolgen muss, sind

  • der bloße Zugriff auf Zahlungskontoinformationen,
  • von Zahlenden als vertrauenswürdig eingestufte EmpfängerInnen ("white list"),
  • Kleinbetragszahlungen (bis zu 30€),
  • wiederkehrende Zahlungsvorgänge,
  • eine durchgeführte Transaktionsrisikoanalyse hat ein niedriges Risiko der Zahlung ergeben (möglich bei Transaktinoen bis zu 500€).

Diese Ausnahmen sind jedoch nicht verpflichtend zu gewähren – ein Zahlungsdienstleister kann sich daher auch dafür entscheiden für alle Zahlungsvorgänge eine starke Kundenauthentifizierung zu verlangen.

Zeitpunkt

Für Banken gelten die Vorschriften der starken Kundenauthentifizierung bereits ab 14. September verpflichtend. Sie müssen ab diesem Zeitpunkt für die Vornahme von Online-Überweisungen eine starke Kundenauthentifizierung verlangen. Für den E-Commerce Bereich, also Bezahlvorgänge im Internet, hat die Europäische Bankenaufsicht noch einen Aufschub für die zwingende faktische Umsetzung gewährt. Wie lange sich Online-Shops und deren Zahlungsdienstleister noch mit der Implementierung Zeit lassen können, entscheidet sich Ende September.

Ombudsmann hilft

Haben KonsumentInnen Probleme mit der Handhabung oder konkreten Umsetzung der starken Kundenauthentifizierung, können sie beim Internet Ombudsmann ebenfalls eine kostenlose Beschwerde aufgeben oder eine Anfrage stellen. Er leitet daraufhin ein Schlichtungsverfahren ein oder berät sie und hilft Ihnen dabei, eine Problemlösung herbeizuführen.

Fake-Shops: das Geschäft mit der Angst

Betreiber von Fake-Shops – also Websites, die lediglich vorgeben, etwas zu verkaufen - springen auf das Thema auf. Sie locken Konsumentinnen und Konsumenten beispielsweise mit aktuell besonders gefragten medizinischen Produkten zum Schutz vor dem Coronavirus, wie Atemschutzmasken, Desinfektionsmittel oder Schutzkleidung.

Wer solche Artikel online kaufen will, sollte sich genau ansehen, welchem Anbieter er sein Geld zukommen lässt. Generell gilt für das Erkennen von Fake-Shops: Wer bei einem unbekannten Online-Shop einkaufen möchte, sollte zuerst im Internet nach Erfahrungen zu diesem Shop suchen. Oft findet man bei unseriösen Angeboten bereits Warnungen anderer Verbraucherinnen und Verbraucher. Werden noch keine relevanten Suchergebnisse angezeigt, kann das ebenfalls auf einen unseriösen Shop hindeuten, da diese oft nur kurze Zeit online sind.

Skeptisch sollte man auch werden, wenn es keine Angaben zu den Zahlungsbedingungen gibt oder das Impressum fehlt. Allerdings fälschen betrügerische Online-Shops oftmals Firmendaten. Werden auf der Startseite zahlreiche Zahlungsmöglichkeiten angepriesen, doch am Ende bleibt nur die Zahlung durch Vorabüberweisung übrig, deutet das auf Betrug hin.

Sich diese Zeit zur Überprüfung zu nehmen, lohnt sich auf jeden Fall. Denn wer bereits in eine solche Falle getappt ist, hat meist keine Chance mehr, sein Geld zurückzubekommen. Ein Blick auf die Liste betrügerischer Online-Shops der Watchlist Internet (www.watchlist-internet.at/liste-online-shops) ist oft der schnellste Weg, betrügerische Online-Angebote zu entlarven.

Umgekehrt lassen sich seriöse und regelmäßig überprüfte Angebote durch Gütezeichen erkennen. In Österreich werden sie durch das Österreichische E-Commerce-Gütezeichen und durch Trustmark Austria zertifiziert. Auf deren Internetseiten (www.guetezeichen.at/zertifizierte-websites und www.handelsverband.at/trustmark/zertifizierte-shops) sind mehr als 300 seriöse Online-Shops zu finden.

Warnung vor gefährlichen E-Mails

Dass Online-Shopping im Moment den Einkaufsbummel ersetzen kann, ist möglich, weil die gängigen Paketdienstleister weiterhin ihren Dienst verrichten. Diesen Umstand nützen Kriminelle aus, indem sie in deren Namen gefälschte E-Mails versenden, die „aufgrund von CoViD-19-Vorsichtsmaßnahmen“ Probleme bei der Zustellung von Paketen vorgeben. Wer seine Bestellung erhalten möchte, soll auf einer Internetseite persönliche Daten eingeben. Doch dabei handelt es sich um Datendiebstahl.

In einer anderen Variante versenden die Kriminellen E-Mails, in denen die Informationen zum Paketempfang in einer Datei im Anhang zu finden sein sollen. Wer diese Datei öffnet, installiert jedoch Schadsoftware auf seinem Computer oder Smartphone.

Auch Mobilfunkanbieter sind von solchen Phishing-E-Mails betroffen. Betrüger nützen die Tatsache aus, dass viele Menschen jetzt zu Hause sind und vermehrt das Internet verwenden. In gefälschten E-Mails behaupten die Kriminellen, dass es aufgrund des Coronavirus kostenlos verbesserte Angebote gibt. Um diese nutzen zu können, sollen auch hier persönliche Daten eingegeben oder Software installiert werden. Es handelt sich allerdings wiederum um Datendiebstahl bzw. Schadsoftware.

Phishing-E-Mails lassen sich oft schon durch einen Blick auf die Absenderadresse entlarven: Passt die Adresse nicht zum Absender, ist es sehr wahrscheinlich, dass es sich um Betrug handelt. Gleiches gilt für Links in E-Mails. Auf der Watchlist Internet (www.watchlist-internet.at) finden sich Infos und Tipps zu aktuellen Betrugsfallen. Außerdem sind alle aufgerufen, Internetbetrug unter https://www.watchlist-internet.at/melde-formular/ zu melden. Unterstützung bei konkreten Problemen gibt es unter www.ombudsmann.at/beschwerde.

Online-Shopping in Corona-Zeiten – Internet Ombudsmann hilft

Wer aktuell im Internet einkauft, sollte sich nicht nur vor Fake-Shops hüten, sondern sieht sich mit zahlreichen weiteren Fragen konfrontiert. Der Internet Ombudsmann hilft bei Unsicherheiten und Problemen rasch weiter und das juristische Team beantwortet die Anliegen von Konsumentinnen und Konsumenten rund ums Einkaufen im Internet – kostenlos und online. Beschwerden oder Anfragen können jederzeit unter www.ombudsmann.at aufgegeben werden.

Wichtige allgemeine Tipps zum Online-Shopping in Corona-Zeiten finden Sie hier:

  • Lieferzeitpunkt prüfen

    Angesichts des Online-Shopping-Booms wenig überraschend, ist generell zu beobachten, dass sich die Lieferzeiten verlängern. Man sollte daher immer prüfen, was Shops jeweils angeben und nicht blind auf frühere Lieferzeiten vertrauen. Grundsätzlich ist es Vereinbarungssache, bis wann eine Ware geliefert werden muss. Das Unternehmen muss über den Zeitraum informieren, innerhalb dessen die Ware geliefert oder die Dienstleistung erbracht wird. Sofern es keine andere vertragliche Vereinbarung gibt, hat der Anbieter die Ware ohne unnötigen Aufschub, jedenfalls aber nicht später als 30 Tage nach Vertragsabschluss bereitzustellen oder bei der Verbraucherin bzw. beim Verbraucher abzuliefern.
  • Risiken bei Abstellgenehmigungen beachten

    Einen Mindestabstand zu anderen Menschen zu halten, ist derzeit das Gebot der Stunde. Das betrifft in Zusammenhang mit Online-Shopping vor allem die Paketübergabe: auch hier sollte zum Schutz aller Beteiligten Distanz gehalten werden. Zu beachten ist, dass bei der Paketzustellung das Risiko für Verlust oder Beschädigung der Ware erst dann auf die Käuferin oder den Käufer übergeht, wenn diese an den Käufer oder an einen von diesem bestimmten Dritten übergeben wird. Anders liegt der Fall bei einer Abstellgenehmigung: dann geht das Risiko für Verlust und Beschädigung bereits mit dem Abstellen an den Käufer bzw. die von ihm angegebene Stelle über.
  • Über Bezahlmethoden Bescheid wissen

    Bargeldloses und kontaktloses Bezahlen liegt nicht nur im Trend, sondern ist in Zeiten von Corona unbedingt zu bevorzugen. Beim Online-Shopping stehen meist unterschiedliche Zahlungsmittel zur Auswahl, die jeweils Vor- und Nachteile haben können.

    Es empfiehlt sich daher, die verschiedenen Optionen zu prüfen und sich zum Beispiel folgende Fragen zu stellen: Fallen bei der Bezahlung Gebühren an und ist sie einfach abzuwickeln? Was passiert mit den Daten, die ich angeben muss? Wie erhalte ich bei einer etwaigen Rücksendung mein Geld zurück? Bei welchen Bezahlmethoden ist jedenfalls Vorsicht geboten? Was alles beachtet werden sollte, um eine sichere Bezahlung im Internet zu gewährleisten, finden Sie hier zusammengefasst: www.ombudsmann.at/sicheresbezahlen

Stornobedingungen bei Reisebuchungen prüfen

Beim Internet Ombudsmann haben freilich auch die Anfragen rund um Reisebuchungen zugenommen. Meist geht es um die Frage, ob eine Buchung aufgrund der Coronavirus-Pandemie kostenlos storniert werden kann.

Ob eine solche Stornierungsmöglichkeit besteht, ist von einer Reihe von Faktoren abhängig: Wann, wohin und für welchen Zeitraum wurde die Reise gebucht, handelt es sich um eine Pauschal- oder Individualreise etc. Die wichtigsten Fragen und Antworten finden Konsumentinnen und Konsumenten auf der Website des Europäischen Verbraucherzentrums https://europakonsument.at/de/page/coronavirus-fragen-antworten. Der VKI hat außerdem eine Hotline für reiserechtliche Fragen eingerichtet (0800 201 211, Montag bis Sonntag, 9 bis 15 Uhr).

Coronavirus: Online-Shopping boomt - Betrüger nützen Notlage

Dass ein Großteil des stationären Handels vorübergehend geschlossen bleibt und die Menschen zuhause bleiben müssen, ist ein Turbo für den Internet-Handel. ...

Geoblocking-Verordnung in Kraft

Seit dem 3. Dezember 2018 gilt in der Europäischen Union die Geoblocking-Verordnung. Sie bringt für Konsument/innen Verbesserungen im grenzüberschreitenden...

Konsumenteninformation "Sicheres Bezahlen im Internet"

Der Internet Ombudsmann hat eine aktuelle Konsumenteninformation zum Thema „Sicheres Bezahlen im Internet“ erstellt. Darin werden die in Österreich gebräuc...