Wie wir bereits vor einigen Tagen berichteten, strengt der Onlinebezahldienst giropay derzeit eine Klage gegen Mitbewerber und Mitbewerber Sofortüberweisung.de an. Die Meldung sorgte bereits Anfang der Woche für einigen Gesprächsstoff zwischen Anhängern und Kritikern beider Zahlungs-Systeme. Mit Herrn Dr. Lütcke konnten wir nun den für Finanzen, Recht und internationale Entwicklung zuständigen Vorstand des Sofortüberweisung.de-Anbieters Payment Network für ein Interview gewinnen.

Im Folgenden nimmt Herr Dr. Lütcke Stellung zu den Vorwürfen seitens giropay und beantwortet die wichtigsten Fragen in Zusammenhang mit Datenschutz und Sicherheit des Bezahldienstes.

eCommerce Lounge: Was wirft Ihnen giropay im Detail vor?

Dr. Jens Lütcke: Die Giropay GmbH hat Klage gegen die Payment Network AG wegen unlauteren Wettbewerbs eingereicht. Giropay wirf der Payment Network AG im Ergebnis vor, dass diese durch ihr bankenunabhängiges System einen monetären Wettbewerbsvorteil habe. Wir sehen der Klage von Giropay aber gelassen entgegen. Ein profitableres und erfolgreicheres Geschäftsmodell als unlauteren Wettbewerb darzustellen, zeigt, dass Giropay nun auf juristischem Wege versucht, sich am Markt zu etablieren. Dieser Versuch wird aber nicht gelingen. sofortüberweisung.de und Giropay basieren zwar beide auf Online-Banking. Jedoch agiert die Payment Network mit sofortüberweisung.de bankenunabhängig. Dies bedeutet, dass in Deutschland Endverbraucher mit Online-Banking von fast allen Banken mit sofortüberweisung.de bezahlen können. Gerade diese hohe Abdeckung ist, neben den niedrigen Transaktionskosten, der Vermeidung von Forderungsausfällen und der Internationalität, das stärkste Argument für Händler sofortüberweisung.de in ihren Shop zu integrieren, um so dem Endverbraucher ein einfaches, sicheres und schnelles Online-Payment-System anzubieten.

Was geschieht bei sofortüberweisung.de mit den PIN und dem TAN nach der Weitergabe durch den Kunden?

Dr. Jens Lütcke: Während des Überweisungsvorgangs sind sämtliche sensible Daten verschlüsselt. Die Kommunikation zwischen Kunde, unseren Servern und der Bank entspricht banküblichen, bis zu AES-256-Bit starken Verschlüsselungsstandards (SSL). PIN und TAN Daten werden nicht gespeichert. Mitarbeiter haben keinen Zugriff auf diese Daten und können diese auch nicht auslesen.

Rein theoretisch könnte sofortüberweisung.de auch weitere Daten der Kontoinhaber abrufen? Für viele ein Grund zur Sorge…

Dr. Jens Lütcke: Datenschutz und Datensicherheit sind die Basis unseres Geschäftsmodells. Im Gegensatz zu E-Wallets eröffnen wir keinen Account und speichern damit das Kaufverhalten eines Kunden ab. Was wir machen legen wir im Rahmen des Überweisungsvorgangs offen. Angesichts der technischen Ausgestaltung muss kein Kunde Angst um seine Daten haben. Erst Recht muss kein Kunde Angst haben, es würde irgendwelche Daten von ihm für andere Zwecke verwendet. Außerdem überprüft der TÜV Saarland regelmäßig unsere Systeme auf den Datenschutz.

Welche Maßnahmen ergreifen Sie, um hier Zweifel aus dem Weg zu räumen?

Dr. Jens Lütcke: Wir investieren sehr viel Geld in die Sicherheit unserer Systeme, forschen und entwickeln auch weiter neue Produkte, um Händlern und deren Endkunden neben sofortüberweisung.de weitere Optionen anzubieten, Betrugsrisiken in deren Onlinegeschäft zu minimieren. Die Systeme der Payment Network werden regelmäßig durch den TÜV Saarland und die Sicherheitsfirma Cirosec überprüft. Über sofortüberweisung.de wurden bereits mehrere Millionen Transaktionen getätigt, ohne dass ein Endkunde durch PIN- und TAN-Missbrauch zu Schaden gekommen wäre. Vergleicht man dies mit anderen Zahlungssystemen wie Kreditkarte oder e-Wallets wird die überlegene Sicherheit deutlich. Gerade die Berichte über die Sicherheitslücken bei traditionellen Zahlungssystemen wie Kreditkarten haben in den letzten Monaten sofortüberweisung.de neue Nutzer zugeführt. Der Handel braucht ein sicheres, günstiges und internationales Zahlungssystem. sofortüberweisung.de befriedigt dieses Bedürfnis.

Viele Banken untersagen die Weitergabe sensibler Legitimationsdaten an Dritte, was raten Sie Ihren Kunden in diesem Fall?

Dr. Jens Lütcke: Wir verstoßen nicht gegen die AGB der Kreditinstitute. Die Payment Network AG ist nichts anderes als ein Briefträger, der einen Brief mit PIN- und TAN- Daten übermittelt. Der Kunde gibt seine PIN und TAN nicht an uns bekannt, sondern wir leiten diese verschlüsselt an sein Kreditinstitut weiter („Tunnellösung“). Wir sind kein Dritter im Sinne der AGB-rechtlichen Regelungen. Dies ist übrigens auch die Rechtsauffassung der Deutschen Telekom, die seit 2002 das System Online-Überweisung (t-pay) betreibt, das ebenfalls bankenunabhängig ist und im Wesentlichen wie unser System funktioniert.

Auch andere Zahlungssysteme (z.B. ec-Karte, POS-System oder Kreditkarte) wären gar nicht mehr möglich, wenn man ein solch enges Verständnis eines Dritten vertreten würde. Eine solche Auffassung wäre auch technisch antiquiert und würde den heutigen modernen Kommunikationssystemen nicht gerecht. Auch andere Produkte (wie z.B. Quicken von Microsoft oder StarMoney, die sogar von den meisten Banken empfohlen werden) hätten ein Problem, wenn man uns als Dritten ansehen würde. Auch die Banken gehen ganz offensichtlich selbst davon aus, dass ein technischer Mittler nicht als Dritter angesehen werden kann. So übermitteln viele Banken inzwischen die TAN als mobile TAN über Mobilfunkanbieter.

Welche Sicherheit bietet Ihr Unternehmen den Nutzern im Schadensfall?

Dr. Jens Lütcke: Es haben bereits viele Millionen Kunden mit sofortüberweisung.de bezahlt. Es ist zu keinem einzigen Fall gekommen, in dem ein Endverbrauchern durch PIN und TAN- Missbrauch geschädigt worden wäre. Statistisch und faktisch gesehen, gehört sofortüberweisung.de so zu den sichersten Bezahlverfahren im Internet.

Der wichtigste Merkmal für die hohe Sicherheit von sofortüberweisung.de, ist unserer Meinung nach, die Sicherheitsmerkmale der Online-Banking-Systeme selbst: Insbesondere die Transaktionsnummer (TAN) bietet gegenüber anderen Online-Payment- Systemen wie Kreditkarten oder eWallets einen besonderen Schutz vor Missbrauch. Denn die TAN wird durch zwei entscheidende Merkmale charakterisiert:

(a) Die TAN ist nur offline auf Papier, einem Gerät (TAN-Generator) oder einem mobilen Endgerät verfügbar. Damit kann die TAN generell nicht durch einen Angriff auf den Kunden-Rechner erlangt werden – im Gegensatz etwa zu Kreditkartendaten und Passwörter.

(b) Die TAN ist jeweils nur ein einziges Mal einsetzbar und wird beim Einsatz sofort entwertet. Somit könnte selbst dann kein Missbrauch betrieben werden, wenn eine TAN durch unbefugte Dritte gespeichert werden würde.

Auch schützt sofortüberweisung.de vor den üblichen Manipulationsversuchen, die über Schadprogramme auf den Endkundenrechner gesteuert werden. Von unseren Servern aus wird der Betrag und Betreff in das Online-Banking des Endkunden eingestellt. Eine Manipulation durch eine auf dem Endkundenrechner befindliche Schadsoftware ist daher nicht möglich. Die übermittelte TAN ist nur für die eingestellte Transaktion gültig.

Auch wenn es noch nie zu einem Schadensfall gekommen ist, verfügt die Payment Network AG vorsorglich über eine Versicherung, die in Höhe von bis EUR 5.000,– je Schadensfall bei PIN- und TAN-Missbrauch (zu Lasten eines Endkunden, der seine PIN und TAN über unser System eingibt) die Payment Network AG gegen Haftungsfälle versichert. Hierdurch sollen der Endkunde sicher sein können, dass in dem unwahrscheinlichen Fall eines Schadens auch eine Rückdeckung für etwaige Haftungsansprüche gegen die Payment Network AG besteht.

Wird es in naher Zukunft Änderungen oder Verbesserungen an der genutzten Technik geben?

Dr. Jens Lütcke: Wir halten unser System für das derzeit beste und sicherste Online-Zahlungsmittel, das am Markt ist. Dennoch wäre es töricht gerade in einem so schnelllebigen Bereich wie dem Internet nicht an Weiterentwicklungen zu arbeiten. Wir haben einige Projekte in der Pipeline, mit denen wir Online-Händlern und Onlinenutzern das Einkaufen und Bezahlen im Internet noch angenehmer machen wollen. Details werden wir zum jeweiligen Zeitpunkt bekannt geben.

Zum 1.12.2009 ist in unserem Unternehmensverbund eine Bank dazugekommen. Wir werden in enger Zusammenarbeit mit dieser Bank demnächst weitere Produkte anbieten.

Herr Dr. Lütcke, wir danken Ihnen für das Gespräch.

ist Gründer & Geschäftsführer von Leni & Hans, einem Online-Shop für hochwertige Lebensmittel und Delikatessen regionaler Produzenten und ausgewählter Manufakturen.

Conversion & Usability, Online-Marketing

SEO und Conversion-Optimierung: (k)ein Dream-Team?

Jörg Dennis Krüger •

Recht

E-Commerce-Recht – Rückblick auf den Monat Oktober 2014

Rolf Albrecht •