Bild: Albert Hulm

Gute Karten

Wie elektronische Zahlungen funktionieren

Viele Kunden nutzen täglich eine Karte an der Kasse, offline und online. Wer die Prozesse, Akteure und Regeln dahinter kennt, versteht nicht nur mögliche Risiken, sondern weiß auch, an wen man sich bei Ärger wenden muss.

Von Markus Montz

Nicht erst seit Corona zahlen immer mehr Menschen beim Einkauf mit der Karte. Doch wie funktionieren die hierzulande gebräuchlichsten Karten überhaupt und wie läuft eine Zahlung sicher ab? Wir erklären, welche Spielregeln gelten und welche Kosten dafür anfallen können, aber auch, welche Akteure mitspielen, wie diese in den meisten Fällen für einen reibungslosen Ablauf sorgen und was Sie tun können, falls jemand Ihre Kartendaten missbraucht.

Kreditkarten

Im internationalen Kreditkartengeschäft konkurrieren mehrere große Finanzunternehmen. Die größten sind Visa und Mastercard. Ursprünglich als Zweckverbände von Banken gegründet, kümmern sie sich heute als eigenständige Unternehmen um technische und organisatorische Standards. Vor allem aber vergeben sie Lizenzen an Banken, damit diese Kreditkarten an Privat- und Geschäftskunden herausgeben („Issuing“) und Händler als Akzeptanzpartner gewinnen dürfen („Acquiring“). Weder Mastercard noch Visa geben selbst Karten heraus; Kreditkartennutzer schließen ihren Vertrag mit dem Issuer ab, also oftmals einer Bank. Mastercard und Visa nehmen auch kein Geld der Kunden entgegen. Das macht der Acquirer, also die Bank des Händlers, bei dem Sie einkaufen. Stattdessen finanzieren sich die beiden Kreditkartenfirmen über Entgelte von Banken und Händlern.

Anders als bei diesem Vier-Parteien-Modell schließen American Express und auch Diners Club meist direkt mit Händlern und Kunden Akzeptanz- respektive Kartenverträge (Drei-Parteien-Modell). Bei ihnen ist dabei die Kartenfirma Ihr Ansprechpartner, bei Mastercards und Visa-Karten dagegen die herausgebende Bank.

In vielen Ländern sind aus Karten, die zunächst der Legitimation bei Scheckzahlungen oder der Nutzung von Geldautomaten dienten, eigene Varianten für den elektronischen Zahlungsverkehr entstanden. In Deutschland entwickelte sich so die Girocard als Debitkarte (zu Kartenarten siehe Kasten auf S. 121) unter dem Dach des Banken-Spitzenverbandes Deutsche Kreditwirtschaft. Ihr größtes Manko ist immer noch die fehlende Online-Bezahlfunktion, auch wenn Onlinehändler gelegentlich anderes suggerieren. Technisch handelt es sich dann aber um eine Online-Lastschrift [1].

Damit Kunden die Girocard international nutzen können, gehen nahezu alle Kreditinstitute eine Kooperation mit Mastercard oder Visa ein. Dabei nutzen sie deren Debitkartendienste Maestro oder V-Pay. Erkennbar ist dies am entsprechenden Aufdruck auf der Karte; man spricht von „Cobranding“. Bezahlen oder Geld abheben kann man damit überall, wo das entsprechende Logo an der Kasse oder auf dem Automaten zu finden ist. Über die jeweiligen Zahlungsnetzwerke wird dann direkt über das Girokonto abgerechnet.

In Ländern ohne nationale Debitkarten sind Bankkarten – abgesehen von der Fähigkeit, Bargeld am Automaten zu bekommen – oft anders ausgestattet. Während in Österreich Debitkarten von Mastercard und Visa verbreitet sind, setzen die Schweizer oft auf Maestro. Bei den Eidgenossen bietet außerdem die PostFinance als einzelne Bank ein eigenes Debitkarten-System an.

Gib her die Karten!

Heute gebräuchliche Zahlungskarten bestehen normalerweise aus Plastik im ID-1-Format nach ISO 7810. Auf den Karten von Visa, Mastercard und American Express befinden sich auf der Vorderseite meist die Kartennummer („Primary Account Number“, PAN), der Name des Inhabers und das Ablaufdatum. Auf der Girocard steht anstelle der PAN normalerweise die IBAN. Hinzu kommen die Logos von Bank und Zahlungsnetzwerk sowie zuweilen ein Hologramm. Auf der Rückseite vieler Kredit- und Debitkarten befindet sich außer dem Unterschriftsfeld noch eine drei- oder vierstellige Kartenprüfnummer, die man beim Online- oder Telefoneinsatz der Karte zusätzlich angeben muss. Sie nennt sich „Card Validation Code 2“ (CVC2, Mastercard), „Card Verification Value 2“ (CVV2, Visa) oder „Card Identification Number“ (CID, American Express, dort auf der Vorderseite).

Die Kreditkartennummer (PAN) folgt einem festgelegten System: Die ersten sechs Ziffern geben Bank, Kreditkartengesellschaft und Kartenart an, die restlichen zehn die Kontonummer, wobei die letzte Ziffer eine Prüfziffer nach dem Luhn-Algorithmus ist. Auf der Rückseite befindet sich meistens die Kartenprüfnummer.

Bild: Mastercard

Bild: Visa

Die digitalen Daten speichern und verarbeiten der Magnetstreifen und der Prozessorchip, erkennbar an seinen Metallkontakten. Auf Magnetstreifen und Chip sind die relevanten Daten der Kreditkarte digital gespeichert; Girocards speichern die PAN nur auf dem Chip. Alle Chips enthalten einen kleinen Computer mit RAM, ROM, EEPROM und Mikroprozessor sowie Betriebssystem. Sie konnten anders als der Magnetstreifen nach unserem Kenntnisstand bisher noch nicht manipuliert werden, die Karten sind dadurch nahezu fälschungssicher.

Die Chips arbeiten international mit Kartenlesegeräten zusammen. Dazu hatten die drei großen Zahlungskarten-Organisationen Europay International (heute Teil von Mastercard), Mastercard und Visa ab 1998 den sogenannten EMV-Standard zum Datenaustausch geschaffen. Ihn nutzen auch Girocard, American Express und weitere Zahlungskartennetzwerke. Weil die weltweite Umstellung noch nicht abgeschlossen ist, werden Karten weiterhin mit Magnetstreifen ausgeliefert; der Kunde legitimiert sich dann per Unterschrift. Bei Missbrauch haftet allerdings der Acquirer, sollte das Lesegerät des Händlers nur Magnetstreifen auslesen können.

Der EMV-Standard lässt sich außerdem relativ einfach mit RFID-Funkchips („Radio-Frequency IDentification“, Identifizierung mittels elektromagnetischer Wellen) zu einem kontaktlosen Bezahlverfahren kombinieren. Der Nutzer muss die Karte lediglich näher als vier Zentimeter an das Terminal halten, dann beginnt eine Nahfeldkommunikation (NFC). Den Strom für den Prozessorchip oder Magnetstreifen und den Sender erhält die Karte per elektromagnetischer Induktion vom Terminal. Über NFC reden auch Smartphones und Gadgets mit dem Terminal [2].

Gib Geld (für Ware)!

Wenn Sie Ihre Karte in ein Terminal stecken oder beim kontaktlosen Bezahlen davor halten, müssen Sie sich zunächst autorisieren und meistens eine PIN eingeben. Grundsätzlich können Sie sich dabei selbst dann autorisieren, wenn das Kassenterminal – in der Fachsprache auch „Point of Sale“ (PoS) genannt – keine Onlineverbindung hat. Auf dem Speicher im Chip ist dafür neben der PIN auch der letzte bekannte Verfügungsrahmen hinterlegt, sprich: das noch abrufbare Geld auf dem Konto inklusive Kreditlinie.

In den meisten Fällen setzen Händler jedoch auf eine Online-Prüfung. Kartenchip und Lesegerät verschlüsseln die Karten- und Zahlungsdaten, der Acquirer nimmt sie vom Terminal des Händlers entgegen und schickt sie zwecks Autorisierung zur Kundenbank. Diese prüft die Karte gegen die PIN und eine Sperrdatei und entscheidet anhand von Parametern wie Verfügungsrahmen und Betrugsrisiko über die Freigabe. Das Zahlungsnetzwerk – bei der Girocard „Kopfstelle“ genannt – vermittelt dabei anhand der PAN zwischen Kunden- und Händlerbank („Routing“), bei Visa und Mastercard zusätzlich verbunden mit einer ersten Risikoeinschätzung.

Danach rechnen die beteiligten Banken miteinander ab („Clearing“). Die Kundenbank belastet anschließend das Konto des Kunden und die Händlerbank zahlt den Händler aus. Auch dabei fungiert das Kartennetzwerk als Vermittler und ermittelt die Entgelte. Außerdem bekommt der Chip auf der Karte die aktualisierten Daten zum Verfügungsrahmen mitgeteilt.

Die Kosten der Transaktion trägt formal der Händler, auch wenn er sie meist über eine Mischkalkulation in die Verkaufspreise einberechnet. Der Händler zahlt seinem Acquirer das vertraglich vereinbarte Entgelt sowie der Kundenbank die sogenannte „Interchange Fee“. Letztere ist seit 2015 in der EU auf 0,2 Prozent des Umsatzes bei Debit- und 0,3 Prozent für Kreditkarten gedeckelt. Die drei Kreditkartenfirmen kassieren zusätzlich eine sogenannte „Scheme Fee“ und teils weitere Entgelte. Die Gesamtkosten liegen zwischen 0,5 und 3 Prozent des Umsatzes. Weil sie tendenziell deutlich niedriger liegen als 2015, akzeptieren heutzutage wesentlich mehr Händler Kartenzahlungen als noch vor sechs Jahren [1].

Kunden zahlen an ihre Bank oft eine Jahrespauschale für die Karte; hinzu kommen gegebenenfalls Kreditzinsen, besondere Entgelte beim Auslandseinsatz und bei Bargeldauszahlungen. Bei manchen Kontomodellen kostet zudem jede einzelne Girocard-Transaktion Geld. Übrigens kann es sich lohnen, die Entgelte für die Debitsysteme Maestro und V-Pay mit denen von reinen Mastercards und Visa-Karten zu vergleichen. So sparen Sie bei kluger Auswahl vor allem im Ausland manchen Euro.

Falschspieler raus!

Der technische Schutz gegen Datenspionage und Betrug beginnt mit dem Chip und der PIN der Karte. Durch die Zweite Europäische Zahlungsdiensterichtlinie (PSD2) gibt es einige Ausnahmen von der PIN-Eingabe, die wir unter [3] und [4] zusammengefasst haben – sie gelten insbesondere bei Beträgen unter 50 Euro an der Kasse und unter 30 Euro online.

Lesegeräte werden von den Kartennetzwerken respektive dem Spitzenverband Deutsche Kreditwirtschaft zertifiziert, technisch gegen Manipulation gesichert und beim Acquirer registriert. Nach unserer Kenntnis konnten mit Nachbauten oder umgebauten Geräten bisher keine Zahlungen über den Kartenchip abwickelt werden; unbefugte Abbuchungen können die Banken zudem nachverfolgen. Skimming, also das Ausspähen von Kartendaten durch zusätzlich angebrachte Lesegeräte und Erfassung der PIN-Eingabe, bleibt im Einzelfall möglich. Als Kunde haften Sie dafür in der Regel nicht.

Während der Autorisierungsanfrage prüfen Algorithmen die Zahlung darauf, wie wahrscheinlich ein Missbrauch der Kartendaten durch Betrüger ist. Mastercard und Visa etwa errechnen anhand von Parametern wie Zahlungsort und -zeit, Nutzergewohnheiten und Beträgen einen Risikowert. Diesen berücksichtigt die kartenausgebende Bank bei ihrer eigenen Prüfung. Bei der Girocard helfen der Kundenbank die vier„Kopfstellen“, wie die Zahlungsnetzwerke der öffentlich-rechtlichen, genossenschaftlichen, privaten und öffentlichen Banken offiziell heißen. All dies geschieht automatisiert innerhalb von Zehntelsekunden. Ebenso schnell läuft die Freigabe- oder Ablehnungsmeldung zurück. Geht die Bank von Betrug aus, kann sie die Karte zusätzlich sofort sperren. Der Datenaustausch erfolgt dank der kryptografischen Fähigkeiten von Kartenchips und Lesegeräten dem EMV-Standard entsprechend verschlüsselt.

Beim Onlineshopping mit Visa, Mastercard und American Express tippen Sie als Besitzer die Kartendaten über eine verschlüsselte Verbindung ein und autorisieren die Transaktion meist mit der Kartenprüfnummer (ohne deren Prüfung haftet der Händler). Hinzu kommt seit Kurzem oft eine Zwei-Faktor-Authentifizierung, auch „Starke Kundenauthentifizierung“ oder „3-D Secure“ genannt (mehr dazu in [4]). Der weitere Vorgang gleicht dem mit einer Plastikkarte. Hinterlegen Sie Ihre Kartendaten im Onlineshop, bekommt der Händler in vielen Fällen nur ein Token, also eine eigens erzeugte Pseudo-PAN. Die Zuordnung zur Original-PAN übernehmen dann die Kartennetzwerke, der Issuer oder spezielle Zahlungsdienstleister, die über besonders gesicherte Rechenzentren verfügen.

Bei digitalisierten Karten, die in einem Wallet auf dem Smartphone oder dem PC liegen, ist so ein Token auf einem Hardwarechip oder in einer besonders geschützten Enklave im Betriebssystem des Geräts hinterlegt. Wie das im Zusammenspiel mit NFC funktioniert und weshalb es aufgrund der Eigenschaften eines Smartphones weitere (Sicherheits-)Vorteile gibt, haben wir in [1] erklärt.

Wer welche Zahlungsdaten erhält, ist ebenfalls geregelt. Im Grundsatz gilt: Händler und andere Acquirer bekommen weder Karten- noch persönliche Daten des Kunden, sondern nur eine Transaktionsnummer samt Betrag und Zeitstempel als Beleg, um etwaige Unregelmäßigkeiten zu klären. Allein das Kartennetzwerk und der Issuer kennen die Kartendaten des Kunden. Sie wissen auch, wer wann wo wie viel bezahlt hat, aber nicht wofür. Das weiß nur der Händler. Der kann es aber nicht individuell dem Kunden zuordnen. Gesetzliche Regeln wie Datenschutz und Bankgeheimnis verbieten überdies die ungefragte Weitergabe an Dritte.

Die Haftung bei Missbrauch einer Karte ist durch Gesetze und die Nutzungsbedingungen der Banken geregelt. Als Faustregel gilt: Wenn Sie nicht grob fahrlässig oder vorsätzlich handeln, haften Sie für Schäden nur bis zum gesetzlich festgelegten Maximum von 50 Euro. Grob fahrlässig wäre beispielsweise, die PIN zusammen mit der Karte aufzubewahren oder einen Verlust der Karte erst Tage später zu melden. Manche Banken sind darüber hinaus kulant und ersetzen Ihnen den kompletten Schaden. Stellen Sie einen Missbrauch durch gestohlene Kartendaten fest, reklamieren Sie die Zahlung bei der Institution, von der Sie die Karte erhalten haben – also normalerweise Ihrer Bank. Nach einer Prüfung durch das Institut bekommen Sie Ihr Geld in vielen Fällen zurück.

Mit Karte?

Kartenzahlungen sind vergleichsweise bequem und sicher. Sie haben aber aus guten Gründen psychologische Hürden und verlangen Vertrauen in unsichtbare Akteure: Der Bezahlvorgang findet größtenteils über Dritte im Hintergrund statt, die auch den Schutz gegen Datenspionage übernehmen; zudem herrscht oft Unklarheit über Ansprechpartner und Haftungsfragen. Egal, ob Sie Karte oder Bargeld bevorzugen: Wir hoffen, etwas Licht in diese Fragen gebracht zu haben - und wollen uns den Themen Reklamation und Haftung demnächst noch einmal ausführlicher widmen. (mon@ct.de)

Kartenarten

Zu den Zahlungskarten für Privatnutzer gehören zunächst einmal Kreditkarten. Sie räumen ihrem Inhaber, Bonität vorausgesetzt, ein Darlehen ein. In Mitteleuropa üblich ist die sogenannte Charge-Karte (von englisch „to charge“, „in Rechnung stellen“). Die Bank sammelt alle Zahlungen oder Barabhebungen, die der Inhaber damit tätigt, und rechnet einmal im Monat gebündelt und zinsfrei ab. Der Ausgleich erfolgt meist per Lastschrift auf sein Girokonto.

Als Inhaber einer „revolvierenden“ Kreditkarte bestimmen Sie selbst, ob Sie die Rechnung vollständig oder als Teil- respektive Ratenzahlung über ein Girokonto ausgleichen. Jeder verbliebene Negativsaldo wird dabei als Kredit verzinst. Bei einigen Karten, etwa der verbreiteten Amazon-Kreditkarte, können Sie im Onlinebanking dennoch eine vollständige Abbuchung auswählen. Bei anderen Karten müssen Sie den Rechnungsbetrag aktiv durch eine Überweisung ausgleichen.

Bei Debitkarten (von englisch „debit“, „Soll“) wird der Zahlungs- oder Abhebungsbetrag sofort vom Girokonto abgebucht. Was „sofort“ heißt, bestimmt vor allem die Bank; bis zur Belastung kann es einige Tage dauern. Die bekannteste Debitkarte in Deutschland ist die Girocard, ehemals „EC-Karte“. Ebenfalls als Debitkarte funktionieren die Systeme Maestro und V-Pay von Mastercard respektive Visa. Beide geben außerdem Debitkarten heraus, die ansonsten ihren Kreditkarten gleichen. Zu unterscheiden sind sie am Schriftzug „Debit“ auf der Karte. Zahlungen damit sind wie bei den Kreditkarten nur möglich, wenn der Händler Visa oder Mastercard akzeptiert. Der Zahlungsvorgang an der Kasse bleibt aber der gleiche. Auch Kautionen kann man damit grundsätzlich wie mit einer Kreditkarte hinterlegen.

Guthabenkarten, auch Prepaid-Karten genannt, müssen Sie vor der Nutzung online oder am Automaten mit Geld aufladen. Überschreitet eine Zahlung das Restguthaben, lehnt die Karte diese ab. Daher bekommen Sie sie auch ohne Bonitätsprüfung. Ein Beispiel sind Visa- oder Mastercards, die manche Banken Jugendlichen anbieten.

Sämtliche Kartenarten gibt es in physischer Form (meist aus Plastik), seit einigen Jahren aber auch digitalisiert. Eine digitale Karte ist das Abbild einer physischen Karte, die aber eine Pseudo-Kartennummer erhält (Token). Sie setzt ein Wallet wie Google Pay oder Apple Pay voraus, das sich auf einem PC, einem Smartphone oder einer Smartwatch befindet. Eine virtuelle Karte hat kein Gegenstück aus Plastik.