Sofortüberweisung

aus Wikipedia, der freien Enzyklopädie
Wechseln zu: Navigation, Suche

Sofortüberweisung ist ein Online-Zahlungssystem der Sofort AG zur bargeldlosen Zahlung im Internet. Das Verfahren entspricht einer Pseudo-Vorkasse[1], da der Händler nicht die Zahlung, aber eine Zahlungsbestätigung sofort erhält. Dadurch agieren die meisten Händler wie bei Vorkasse und geben Waren oder Downloads sofort frei[2].

Bei der Sofortüberweisung übermittelt der „Zahlende“ neben seinen Kontoinformationen seine persönliche Bank-PIN sowie eine gültige TAN über ein gesichertes Zahlformular (AES-256Bit-gesicherte Verbindung) an die Sofort AG, woraufhin diese bei der Bank die eigentliche Transaktion im Namen des Kunden ausführt. Dabei ruft die Sofort AG neben dem Kontostand noch weitere Daten zur Prüfung der Kontodeckung ab.

Manche Banken untersagen ihren Kunden jedoch die Weitergabe dieser Daten an Dritte gemäß deren AGB. Aufgrund der möglichen Haftungsrisiken aus diesem Verstoß des Nutzers gegen seinen Vertrag mit der Bank und der Tatsache, dass es sich um eine Form der Vorkasse handelt und damit keine Rückbuchbarkeit der Zahlung möglich ist, und weil die Weitergabe der PIN den Zugriff auf sensible persönliche Daten ermöglicht, ist das Verfahren umstritten. Einige Banken wie die Deutsche Kreditbank und die Raiffeisenbank in Österreich arbeiten seit Anfang 2014 mit Sofort zusammen und erlauben ihren Kunden ausdrücklich die Verwendung von Sofortüberweisung. Das Gros der Banken hat ihre AGB inzwischen aktualisiert und den Passus mit dem Verbot entfernt.

Wegen der fehlenden Möglichkeit einer Rückbuchung durch den Kunden gilt das System für Online-Händler als extrem sicher, in der Praxis können jedoch auch für Händler Probleme auftreten, da die Sofort AG im Falle einer Nicht-Überweisung durch die Bank nicht für den Schaden des Händlers haftet. Trotzdem nutzten 2014 nach eigenen Angaben über 25.000 Anbieter das Verfahren,[3] darunter bekanntere Onlineshops wie das Elektronikversandhaus Conrad Electronic[4], Reichelt Elektronik[5] oder der Fahrzeugteilehändler A.T.U.[6]

Das Zahlungsverfahren ist unsicher gegenüber Man-in-the-middle-Angriffen. Da ITAN-Verfahren hiergegen typischerweise nicht schützen, funktionieren diese mit Sofortüberweisung. Mittlerweile unterstützt das Zahlungsverfahren nach Anbieterangaben alle gängigen TAN-Verfahren, also auch die sichereren wie HBCI (mit TAN, nicht mit Chipkarte), mTAN oder Sm@rtTAN.[7]

Betreiberunternehmen[Bearbeiten]

Die Sofort AG (vormals PayNet AG und Payment Network AG[8]) ist ein beim Amtsgericht München eingetragenes Unternehmen. Die Aktiengesellschaft wurde von den Personen Christoph Klein und Markus Neun als Ableger der Computerhandelsgesellschaft Eurosoft im Februar 2006 in Gauting bei München gegründet.[9] Neben dem Hauptstandort in Gauting besitzt die Sofort AG noch weitere Standorte in Köln und Wetzlar sowie Vertriebsbüros in Wien, Poznán und Brüssel.[10]

Das Unternehmen bietet Online-Zahlungssysteme an.[11] Darunter befinden sich das Direktüberweisungssystem SOFORT Überweisung [12], SOFORT Ident (ein Verfahren zur Altersverifikation)[13], SOFORT Überweisung Paycode (Form der SOFORT Überweisung für Rechnungen mit klickbarem Link oder Kurz-Code zur Eingabe auf der Website der SOFORT AG) [14] und SOFORT XXL (internationale Erweiterung der SOFORT Überweisung).[15]

Verfahren[Bearbeiten]

Abb. 1: Klassisches Onlinebanking im Internet

Bei einer Überweisung im Fall des klassischen Onlinebanking im Internet (vgl. Abb. 1) besteht eine unmittelbare Verbindung zwischen dem Zahlenden (d. h. dem Kontoinhaber oder einer bevollmächtigten Person) und seinem kontoführenden Institut, z. B. über eine gesicherte Website der Bank. Hier übermittelt der Zahlende sowohl die Legitimationsdaten (beispielsweise seine PIN und eine gültige TAN) als auch die „Überweisungsdaten“ (Zahlungsempfänger, Betrag, Verwendungszweck) selbst.

Abb. 2: Beispiel für elektronischen Einkauf im Internet

Neben dem oben beschriebenen klassischen Verfahren gibt es weitere Zahlungssysteme (z. B. giropay), bei denen die Überweisungsdaten nicht durch den Zahlenden selbst an die Bank übermittelt werden, sondern bei denen diese Daten auf einem anderen Wege, z. B. initiiert durch einen Onlineshop, an das kontoführende Institut übermittelt werden. Die Bank präsentiert dem Zahlenden dann beispielsweise ein bereits vorausgefülltes Überweisungsformular auf einer Webseite. Die Legitimation findet (unverändert zum klassischen Fall) zwischen Zahlendem und dem kontoführenden Institut statt (vgl. Abb. 2).

Abb. 3: Funktionsprinzip der „Sofortüberweisung“

Im Fall von Sofortüberweisung findet die Legitimation nicht mehr direkt zwischen dem Zahlenden und dem kontoführenden Institut statt. Die Sofort AG tritt gegenüber dem kontoführenden Institut als Zahlender auf, nachdem es von diesem die Legitimationsdaten erhalten hat (vgl. Abb. 3). Im Gegensatz zum Anbieter giropay, steht Sofortüberweisung Kunden unabhängig davon offen, bei welcher Bank sie ihr Girokonto haben.[16] Dies liegt daran, dass es für die Bank nicht erkennbar ist, dass die Überweisung nicht vom Kunden, sondern von der Sofort AG vorgenommen wird, und daher keine Vereinbarung zwischen Bank und der Sofort AG vorliegen muss.

Sicherheit[Bearbeiten]

Im Gegensatz zu Online-Überweisungen, bei denen die Überweisung unter Benutzung von Webseiten der jeweiligen Bank des Zahlenden ausgeführt werden, muss der Zahlende bei Sofortüberweisung sensible Daten einem technischen Dienstleister zur Verfügung stellen.

Mit den Zugangsdaten zum Konto hat der Betreiber theoretisch Zugriff auf die über die Onlinebankingschnittstelle sichtbare Transaktionsübersicht, den Kontostand, erteilte Daueraufträge, Depotbestände etc.. 2011 sagte Frank-Christian Pauli vom „Verbraucherzentrale Bundesverband“. dazu: „Der Kunde muss wissen, wozu er seine Einwilligung gibt, und das ist hier womöglich nicht gegeben“. [17]

Manche Banken verbieten in ihren AGB die Nutzung der PIN außerhalb der von den Banken für sicher angesehenen Verfahren. Die Nutzung der Sofortüberweisung kann danach eine Sorgfaltspflichtverletzung sein und gegebenenfalls negative Konsequenzen mit sich bringen. Das Bundeskartellamt hält dieses Verbot der Weitergabe der PIN dagegen aus Sicherheitsgründen für nicht gerechtfertigt und prüft, ob es sich dabei um eine Wettbewerbsbeschränkung handelt.[18] Seit dem Kartellverfahren haben die meisten Banken ihre AGB geändert. Einige Banken wie die Deutsche Kreditbank und die Raiffeisenbank in Österreich empfehlen ihren Kunden inzwischen gar offiziell die Nutzung von Sofortüberweisung.

Der Betreiber wirbt auf seiner Website zu Sofortüberweisung u. a. mit folgenden Argumenten zum Thema Sicherheit:

  • Die Eingabe der Online-Banking-Zugangsdaten (wie PIN) und der TAN erfolgt ausschließlich im gesicherten Zahlformular der SOFORT AG und nicht beim Händler.
  • Sensible Daten wie PIN und TAN werden nicht gespeichert.
  • Die SOFORT AG besitzt das TÜV-Siegel „Geprüfter Datenschutz“ und das Bezahlsystem SOFORT Überweisung das Zertifikat „Geprüftes Zahlungssystem“ des TÜV Saarland.[19]

Stiftung Warentest dagegen warnt in einem Artikel von 2010: „Machen Sie sich vor Transaktionen im Internet immer klar, dass Betrüger mit PIN und TAN Ihr Konto plündern können.“[20]

Ältere Kritik von Internetnutzern und Shopbetreibern findet sich in einigen Foren und Blogs (z. B. bei Ecombase, XING oder im Blog von Jörg Hoschnitz von 2008[21]). In der jüngeren Vergangenheit werden solche Einträge immer seltener. Trotzdem müssen sich Kunden darüber im Klaren sein, dass auch ein sich korrekt verhaltender Betreiber Opfer eines Hackerangriffs werden kann, in dessen Rahmen Daten gestohlen oder Transaktionen manipuliert werden können.

Aufgeführte Kritikpunkte sind unter anderem:

  • Die betroffenen Banken haben dem Verfahren nicht zugestimmt (siehe obige Anmerkungen zu den AGB). Trotzdem werden Transaktionen ausgeführt, da es praktisch für die Banken nicht zu ermitteln sei, dass die Transaktion nicht durch den Kontoinhaber oder eine bevollmächtigte Person durchgeführt wird, sondern durch einen Dritten. Verschiedene Banken (insbesondere Sparkassen) warnen daher explizit vor dem Verfahren.
  • Die oben genannte Versicherung besteht nicht direkt zwischen dem Versicherungsunternehmen und dem Zahlenden. Im Schadensfall ersetzt das Versicherungsunternehmen der Sofort AG ihre entstandenen Schäden.
  • Das Verfahren führe zu einer Herabsetzung der Hemmschwelle von Internetnutzern zur Weitergabe von PINs und TANs im Internet. Dadurch komme es zu einer Erhöhung des Phishing-Risikos im Internet.

Belege[Bearbeiten]

  1. Exakter Ablauf des Überweisungsprozesses, abgerufen am 22. Dezember 2013
  2. Echtzeitbestätigung der Transaktion, abgerufen am 28. August 2014
  3. Firmeneigene Übersicht von teilnehmenden Anbietern
  4. http://www1.conrad.de/information/sofortueberweisung/ Abgerufen am 21. Oktober 2007
  5. http://www.reichelt.de/Infocenter/55/12/55/index.html?;ACTION=12;LA=12;PAGE=55 Abgerufen am 23. Juni 2013
  6. http://www.atu.de/pages/common/agb.html. Abgerufen am 21. Oktober 2007.
  7. FAQs – welche TAN-Verfahren unterstützt die Sofortüberweisung. Abgerufen am 23. Mai 2014.
  8. Payment Network AG wird zur Sofort AG, abgerufen am 1. November 2012
  9. http://www.sofortueberweisung.de/cms/index.php?plink=impressum&fs= Abgerufen am 21. Oktober 2007
  10. https://www.sofort.com/ger-DE/general/allgemeines/ueber-die-sofort-ag/ Abgerufen am 15. Juli 2014
  11. https://www.xing.com/companies/sofortag Abgerufen am 22. August
  12. https://www.sofort.com/ger-DE/kaeufer/su/online-zahlen-mit-sofort-ueberweisung/ Abgerufen am 15. Juli 2014
  13. https://www.sofort.com/ger-DE/kaeufer/si/alter-verifizieren-mit-sofort-ident/ Abgerufen am 15. Juli 2014
  14. https://www.sofort.com/ger-DE/kaeufer/sp/rechnung-sofort-ueberweisung-paycode/
  15. https://www.sofort.com/ger-DE/verkaeufer/su/e-payment-europaweit-mit-sofort-xxl/ Abgerufen am 15. Juli
  16. H. Peitsmeier: In: FAZ vom 8. Juni 2012, Wirtschaft, S. 19
  17. sueddeutsche.de Ein Klick – und weg sind die Daten auf sueddeutsche.de
  18. Mehr Auswahl beim Überweisen – Der Tagesspiegel, 2. April 2013 – http://www.tagesspiegel.de/wirtschaft/online-bezahlen-mehr-auswahl-beim-ueberweisen/8006918.html
  19. https://www.sofort.com/ger-DE/kaeufer/su/so-sicher-ist-sofort-ueberweisung/ Abgerufen am 08. Oktober 2014
  20. Stiftung Warentest: Sofortueberweisung.de ist umstritten, in: Finanztest: 03/2010 (online abgerufen am 4. Februar 2013)
  21. Archivierte Seite vom 19. Februar 2008 unter [1]