Eine Zahlung mit einer Kreditkarte muss wie jede andere Zahlung von Ihnen freigegeben werden. In den meisten Fällen müssen Sie eine Kreditkartenzahlung mittels einer "starken Kundenauthentifizierung" (z. B. Passwort und mTAN) freigeben. Manchmal reicht es aus, den Namen, die Kreditkartennummer, die Gültigkeitsdauer und die Kartenprüfnummer bei einer Zahlung anzugeben. Sie müssen dann aber jedenfalls nicht das Missbrauchsrisiko tragen.
Grundsätzlich müssen Sie eine Kreditkartenzahlung im Internet mit einer „starken Kundenauthentifizierung“ freigeben. Die Eingabe der auf Ihrer Kreditkarte aufgedruckten Daten (Kreditkartennummer, Gültigkeitsdauer, Prüfzahl usw.) ist nicht ausreichend. Stattdessen müssen Sie eine Zahlung mit zwei Faktoren (aus den Kategorien Besitz, Wissen und Inhärenz) freigeben. Zum Beispiel müssen Sie zusätzlich zu den Kreditkartendaten noch ein Passwort (Kategorie Wissen) und eine SMS-TAN (Kategorie Besitz) eingeben, um eine Zahlung zu autorisieren und sich zu authentifizieren. Grundsätzlich ist Ihr Kreditkartenunternehmen bei elektronischen Zahlungen verpflichtet, eine starke Kundenauthentifizierung von Ihnen zu verlangen (§ 87 Abs 1 Z 2 ZaDiG 2018). Bei einer SEPA-Lastschrift ist keine starke Kundenauthentifizierung erforderlich, weil es sich um eine vom Zahlungsempfänger ausgelöste Zahlung handelt.
Es gibt gewisse Ausnahmen von der Pflicht Ihres Kreditkartenunternehmens, eine starke Kundenauthentifizierung von Ihnen zu verlangen, weil in diesen Fällen das Betrugsrisiko als gering eingestuft wird (siehe Art 10 bis 18 der Delegierte Verordnung (EU) 2018/389). Die Händlerbank fordert eine solche Ausnahme während der Zahlungsabwicklung an. Ihr Kreditkartenunternehmen (Issuer) erhält diese Anfrage und prüft das Risiko der Transaktion bzw. ob es der Risikoeinschätzung der Händlerbank vertraut und entscheidet dann, ob die starke Kundenauthentifizierung erforderlich ist.
Wenn ein Onlineshop und dessen Bank diese Ausnahmen in Anspruch nehmen, verzichten sie bewusst auf die Sicherheitsvorkehrung der "starken Kundenauthentifizierung", um die Zahlung für Ihre Kunden so bequem wie möglich zu machen. Sie müssen sich dann nicht mittels "starker Kundenauthentifizierung" (d. h. Passwort und TAN bzw. Fingerabrdruck) authentifizieren, sondern können bezahlen, indem Sie Sie die Informationen eingeben, die auf Ihrer Kreditkarte zu finden sind. Dies wird auch „unterschriftsloses Verfahren oder „MOTO-Transaktion“ („Mail Order Telephone Order“) genannt. Der Onlineshop trägt dann aber auch das Risiko, wenn die Zahlung tatsächlich nicht von Ihnen freigegeben wurde (siehe nachfolgend).
In all den Fällen, in denen keine starke Kundenauthentifizierung von Ihnen verlangt wird, müssen Sie nicht das Risiko eines Missbrauchs Ihrer Kreditkartendaten tragen. Wenn Sie bestimmte Zahlungen nicht freigegeben haben, können Sie deren Rückerstattung verlangen. Ihr Kreditkartenunternehmen muss Ihnen die reklamierten Beträge unverzüglich zurückerstatten, außer Sie verlangen die Rückerstattung in betrügerischer Absicht (siehe "In welchem Fall kann das Kreditkartenunternehmen eine Rückerstattung verweigern?").
Das Kreditkartenunternehmen kann Ihrem Antrag auf Rückerstattung insbesondere nicht entgegenhalten, dass Sie unvorsichtig gewesen seien und Ihre Kreditkartendaten möglicherweise auf einer unseriösen Website eingegeben haben. Es muss selbst dann eine Rückerstattung vornehmen, wenn Sie grob fahrlässig Ihre Sorgfaltspflichten verletzt haben sollten, weil die Zahlung nicht mittels einer starken Kundenauthentifizierung (2-Faktor-Authentifizierung) autorisiert wurde (§ 68 Abs 5 ZaDiG 2018).
Weitere Fragen und Antworten?
Sie suchen weitere Fragen und Antworten (FAQs) zum Thema "Bezahlen im Internet"? Sie haben eine andere Frage?
Letzte Änderung: 21.10.2022