Die vorläufige Freischaltung neuer BVen ist problematisch
Wie ein Bankkonto bei Paypal missbraucht werden kann
Paypal ist grundsätzlich ein sicheres Zahlungsmittel. Es besteht jedoch die Möglichkeit, dass Fremde versehentlich oder in absichtlicher krimineller Absicht Kontodaten eingeben, welchjene ihnen nicht gehören. Diese Erfahrung habe ich heute gemacht. Dabei wurde nicht mein Paypal-Konto im eigentlichen Sinne missbraucht, sondern eine andere Nutzerin hat meine Bankverbindung genutzt – was geht, da zu einem Konto vorübergehend zwei gleichberechtigte Bankleitzahlen existieren. Paypal hätte diese Vorgehensweise allerdings vermeiden können, wenn Abbuchungen erst nach der Bestätigung eines Kontos möglich wären.
Der Fall
Auf meinem Bankkonto tauchte eine von mir nicht veranlasste Abbuchung über Paypal auf. Bei einer Kontrolle meines Paypal-Kontos waren die entsprechenden Buchungen nicht sichtbar. Wie sich bei einem Gespräch mit Paypal herausstellte, hatte eine andere Nutzerin meine Bankverbindung angegeben. Paypal hat zwar eine Sicherheitskontrolle mit dem Ziel, die Doppelnutzung einer Bankverbindung für mehrere Paypal-Konten zu unterbinden, welche sogar bei einer eigentlich berechtigten gemeinsamen Nutzung (z. B. Paare mit zwei getrennten Paypal-Konten, aber einem gemeinsamen Bankkonto) greift. Diese Kontrolle wirkt aber nicht, wenn für ein Konto zwei Bankleitzahlen bestehen. Das gilt für alle ehemaligen Konten der GE Money Bank (noch früher hieß sie mal All Bank), da die Santander Bank diese mit der früheren als auch mit der eigenen Bankleitzahl zu nutzen zulässt. Während ich meine alte BLZ eingetragen habe, gab eine andere Nutzerin meine Kontonummer mit der neuen Bankleitzahl ein. Diese mögliche Doppelbezeichnung der Bankverbindung wird mit der Umstellung auf IBAN enden, da die Santander Bank die Bankleitzahl der früheren GE Money Bank im internationalen Format schon heute nicht unterstützt.
Betrug oder Versehen?
Der Mitarbeiter von Paypal wird das Konto derjenigen, die meine Bankverbindung eingegeben hat, vorläufig sperren und nach bei Angabe einer korrekten Bankverbindung wieder öffnen. Damit sind weitere Fehlbelastungen meines Girokontos ausgeschlossen. Er hält einen unabsichtlichen Schreibfehler bei der Bankverbindung der anderen Nutzerin für wahrscheinlicher als einen bewussten Betrugsversuch. Dafür spricht, dass sie ihren korrekten Namen und ihre eigene Adresse angegeben hat. Der Name steht sogar auf meinem Kontoauszug – aber eine Kontrolle der Übereinstimmung von Kontoinhaber und Auftraggeber einer Abbuchung erfolgt nur in Ausnahmefällen, was aus arbeitstechnischen Gründen auch nachvollziehbar ist. Ein Schreibfehler setzt zwar wegen der Prüfziffer voraus, sich bei gleich zwei Ziffern geirrt zu haben – das ist bei deutschen Bankverbindungen mit einer Prüfziffer tatsächlich nicht ausgeschlossen.
Wen kann der Kontomissbrauch (oder Irrtum) durch ein(e) fremde(n) Paypal-Nutzer(in) treffen?
Von einer absichtlichen oder fehlerhaften Kontoangabe bei Paypal kann jedes Girokonto betroffen sein, welchjenes dort nicht oder nicht in der identischen Kontobezeichnung im eigenen Account hinterlegt ist. Dass nach Fusionen die alte Bankleitzahl vorläufig weiterhin verwendet werden kann, ist kein Sonderweg der Santander Bank, sondern wird auch nach einer Fusion von Sparkassen und Volksbanken häufig genutzt. Des Weiteren kann ein Paypal-Nutzer jederzeit eine bei diesem Zahlungsdienstleister nicht registrierte Bankverbindung benutzen.
Paypal könnte die Sicherheitslücke durchaus schließen
Jede bei Paypal hinterlegte Bankverbindung muss derzeit bestätigt werden. Für diese Bestätigung sind Daten aus einer kleinen Überweisung in das Bestätigungsformular einzugeben. Der Wert einer Kontobestätigung wird jedoch durch den pragmatischen Umgang mit neuen Kontodaten mehr als relativiert: Die ersten über Abbuchungen vom Girokonto getätigten Zahlungen sind bereits vor der Kontobestätigung möglich, da die Nutzung vorläufig freigegeben und bei einer Nichtbestätigung erst nach einiger Zeit deaktiviert wird. Würde Paypal Abbuchungszahlungen erst nach der Bestätigung eines angegebenen Girokontos zulassen, wäre weder der Missbrauch noch die Abbuchung nach einer versehentlich falschen Angabe einer Bankverbindung möglich.