PayPal erlaubt nachträgliche Preiskorrekturen
Beim Express-Kauf können Händler mehr Geld kassieren, als auf der PayPal-Zahlseite angezeigt wird. Das kann zwar sinnvoll sein, sollte dem Kunden aber deutlicher angezeigt werden.
Jan Kechel demonstriert auf seiner Webseite eine Eigenschaft der PayPal Express-Kaufabwicklung, die er als "Security Bug" einstuft und als solchen an PayPal gemeldet hat. Beim Express-Kauf mit PayPal landet der Kunde über einen Button auf der Shop-Seite direkt bei PayPal. Dort bestätigt er die Zahlung und wird wieder zurück zum Shop geleitet. Erst hier löst er die Zahlung durch Klick auf einen weiteren Button aus. Allerdings stimmt die Summe, die ihm PayPal beim Abfragen der Zahlungsbestätigung anzeigt, nicht unbedingt mit der überein, die der Händler später über PayPal einzieht. Sie kann erheblich höher ausfallen. Kechel führt das anhand einer kleinen Zahlung auf seiner Seite vor.
PayPal Express Checkout (4 Bilder)
PayPal-Anmeldung
Auf Nachfrage von heise online erläuterte PayPal-Sprecherin Sabrina Winter: "Bei dem von Jan Kechel über das Programm PayPal Bug Bounty gemeldeten Hinweis handelt es sich nicht um einen Fehler oder eine Schwachstelle im PayPal-System. Zwischen dem Auslösen einer Zahlung per PayPal und dem Abschluss des Bezahlvorgangs kann es zu Änderungen kommen, die sich auf den vom Käufer zu zahlenden Gesamtbetrag auswirken und es deshalb erforderlich machen, dass der Händler den finalen Gesamtpreis anpasst.
Ein Beispiel für eine solche Änderung ist die Zahl der gekauften Artikel, das hießt dem Warenkorb neu hinzugefügte Artikel oder eine Erhöhung der Anzahl von bereits im Warenkorb liegenden Artikeln. Ein anderes Beispiel sind Änderungen der Versandart. Entscheidet sich der Kunde beispielsweise für eine teurere Versandmethode oder ergeben sich aus der übermittelten Lieferanschrift Änderungen der Versandkonditionen, so können sich die Versandkosten entsprechend erhöhen. Händler passen in diesen Fällen den vom Kunden zu zahlenden Gesamtbetrag entsprechend an."
Letztlich bestätigt der Kunde also nicht die Zahlung einer bestimmten Summe, wie ihm die PayPal-Seite suggeriert, sondern erteilt dem Händler eine Art Einzugsermächtigung. Das ist im Prinzip unproblematisch, da der Kunde ja nach dem Kauf den tatsächlichen gezahlten Betrag auf der PayPal-Seite oder in der E-Mail, die er erhält, kontrollieren kann. Fällt dieser – etwa durch einen Softwarefehler – zu hoch aus, sollte er sich unverzüglich an PayPal wenden. Allerdings wird vielen Nutzern der Express-Kaufabwicklung diese Notwendigkeit nicht bekannt sein, da sie keinen Unterschied zu einer PayPal-Zahlung erkennen, bei der nur der angezeigte Betrag abgebucht wird. Ein deutlicher Hinweis wäre daher wünschenswert. (ad)
