[English]Die Verbraucherzentrale Nordrhein-Westfalen warnt vor einer fiesen Betrugsmasche, bei der Kriminelle die Möglichkeit von PayPal über ein Gastkonto zu zahlen, missbrauchen. Jeder Besitzer eines Bankkontos kann Opfer dieser Masche werden – egal, ob er Paypal nutzt oder nicht.
Anzeige
Die Masche mit dem PayPal-Gastkonto
Finanztipp beschreibt hier den Ansatz, ein Gastkonto zum Bezahlen über PayPal zu verwenden. Dazu wählt der Kunde im Onlineshop bei der Zahlungsmethode über PayPal die Option Gastkonto aus. Dann ist die IBAN des eigene Bankkontos einzutragen, so dass PayPal den Betrag dann per Lastschriftverfahren vom angegebenen Girokonto abbuchen kann.
Das nutzen auch Betrüger aus, die dann aber fremde IBANs für das Gastkonto verwenden und sich Waren mit Auslieferung an eine Packstation bestellen. Bemerkt der Kontoinhaber diese unberechtigten Abbuchungen nicht, bezahlt der Betrüger mit fremden Konten. Lässt der Geschädigte die Lastschrift zurückgehen, fängt der Ärger an. Der um sein Geld geprellte Online-Shop wird versuchen, diesen Betrag einzutreiben.
Auf PayPal diskutieren Geschädigte seit über einem Jahr diese Betrugsmasche. Der Beitrag Gastkonto Betrug stammt von Sommer 2023 und jemand schreibt, dass er "vor wenigen Tagen eine E-Mail von PayPal bekommen habe" (es sei eine alte E-Mail Adresse). Ein Unbekannter bestellt scheinbar was über den Namen des Betroffenen mittels Gastkonto. Er vermutet, dass seine Bankverbindung samt E-Mail Adresse durch Datendiebstahl aus einem Shop geleaked wurde und nun über ein PayPal-Gastkonto bei Käufen Dritter unberechtigt verwendet wird. Ein Anzeige bei der Polizei ist vom Geschädigten gestellt und er schlug sich mit Paypal herum, bis diese den Fall als geklärt eingestellt haben.
Ergänzung: Bei heise im Forum gibt es ebenfalls einige Geschädigte, die sich in Kommentaren wie hier, hier und hier mit Informationen gemeldet haben.
Anzeige
Ein zweiter Fall wird hier im Sommer 2024 diskutiert. Der Geschädigte kann keine Konfliktlösung anstoßen, da die Transaktionen nicht über sein Paypalkonto laufen. Der Betroffene gibt an, dass die IBAN nicht durch PayPal geprüft werde, und ob eine zugeordnete E-Mail-Adresse auch zu einem PayPal-Konto passt. In diesem Thread melden sich auch Händler, die massiv unter Betrugsbestellungen mit Bezahlung über PayPal-Gastkonto leiden.
Finanztipp gibt in seinem Beitrag hier an, dass eine Aussage PayPals, dass "dass die angegebenen Daten auch bei Gastzahlungen überprüft werden" inzwischen offline genommen worden sei. Laut PayPal sollen Name, Adresse und Geburtsdatum mit den bei der Schufa und Ebay gespeicherten Daten abgeglichen werden, schreibt Finanztipp. Diese Prüfung ist aber Schall und Rauch, wenn das angegebene Konto Bonität aufweist.
Finanztipp schreibt, dass sich die Beschwerden über das PayPal-Gastkonto laut Medienberichten häufen. Manche Geschädigten haben sogar mehrfach Geld verloren und erhalten inzwischen Schreiben von Inkassobüros.
Verbraucherzentrale NRW warnt vor der Masche
Inzwischen sieht sich sogar die Verbraucherzentral Nordrhein-Westfalen veranlasst eine Warnung vor der Betrugsmasche herauszugeben. Im Beitrag Wie Kriminelle das "Bezahlen ohne PayPal-Konto" missbrauchen geht die Verbraucherzentrale näher auf die oben beschriebene Masche ein.
Kein Schutz aber eine Bezahlgrenze
Die schlechte Nachricht: Es gibt keinen Schutz vor dieser Betrugsmasche – die Kriminellen benötigen nur eine gültige IBAN und irgend ein PayPal-Konto. Ob die IBAN dort als Zahlungsquelle eingetragen ist, spielt keine Rolle. Der Betrug kann also auch Leute treffen, die kein PayPal-Konto besitzen.
Die IBAN nicht zu veröffentlichen, ist auch keine Lösung – Firmen und Vereine müssen diese IBANs für Kunden und Mitglieder veröffentlichen, um Zahlungen zu ermöglichen. Zudem wurde oben im Text ja die Vermutung von Betroffenen angesprochen, dass deren IBAN und E-Mail-Adresse aus Online-Shops geleakt wurde.
Interessant ist die Information von Finanztipp, dass es bei PayPal aus Sicherheitsgründen zumindest eine Beschränkung beim Bezahlen über Gastkonto gebe: Es kann nur drei Mal pro IBAN über diese Bezahlmethode eingekauft werden und es gilt ein Gesamtbetrag von 1.500€ für alle Zahlungen. Betrüger können Konten im schlimmsten Fall bis zu dieser Obergrenze missbrauchen.
Geschädigte haben nur die Möglichkeit, ihre Kontoauszüge immer zu kontrollieren, unberechtigte Forderungen zu bestreiten, eine Rückbuchung der Lastschrift über die Bank zu veranlassen und Anzeige bei der Polizei zu stellen. Ärger natürlich inbegriffen.
Ergänzung: Der letztgenannte Punkt ist wohl ein gewisses Problem, wie ich stark vermute. Ich gehöre noch mit meiner Frau zu den Leuten, die Buchungen auf den Konten regelmäßig kontrollieren. Aber es gibt hier im Blog den alten Beitrag Abrechnungs- und sonstige Problemen bei Celeros.de?, in dem es um unberechtigte Abbuchungen des genannten Anbieters geht (teilweise gibt es Abbuchungen für gekündigte Verträge, oder es werden Jahresbeträge mehrfach abgebucht). Wir reden von Webhosting im Bereich von 7 Euro/Monat, wo Nutzer "Schäden im vierstelligen Bereich" in den Kommentaren hier im Blog berichten – aufgelaufen, weil Kontenbuchungen nicht kontrolliert wurden.
Anzeige
Ohne Sepa-Mandat sollte das doch eigentlich gar nicht möglich sein, oder verstehe ich hier etwas falsch und erwarte zuviel von der Bank?
Die Bank macht alles richt, weil das Lastschriftmandat besteht ja, wenn auch illegitim.
Schuld ist PayPal.
Bei mir haben sie es ebenfalls versucht, wenn auch etwas ausgefeilter:
Meine E-Mail-Adresse wurde in hunderten Newslettern angemeldet, so dass die Paypal Bestellnachricht (war in einem Whisky-Shop) darin untergehen sollte, da jeder normale Mensch ja die ganzen Nachrichten auf einmal löscht. Zunächst dachte ich, meine Paypal Daten oder E-Mailadresse wären trotz MFA irgendwie gestohlen worden, aber nach etwas Suche bin ich auf diese Masche gestoßen. Das war im Juli oder August.
"Es kann nur drei Mal pro IBAN über diese Bezahlmethode eingekauft werden" – für welchen Zeitraum gilt diese Beschränkung ? Weiß das jemand ?
VG HV
Ja, das habe ich mich auch gefragt – wäre vielleicht ein Ansatz, präventiv drei mal Bonbons pro Girokonto zu kaufen und dann damit "gesperrt" zu sein.
Aber vermutlich stimmt die Info auch nicht, da Paypal in diesem Falle gieriger darauf aus ist, das Geschäft zu machen, und nicht, es sicherer zu machen.
Aber: Wenn man selbst etwas kauft, sollte man bei Wahlmöglichkeit eher Paypal als SEPA-Abbuchung verwenden, dann liegt die IBAN nicht in einer Shop-Datenbank, die auf Wanderschaft gehen könnte…
wieso "Ärger inbegriffen"? Weiß jemand, was einem als Kontoinhaber drohen könnte? Soweit ich weiß, muss man die Lastschrift doch "nur" bei der Bank reklamieren und zurückbuchen lassen. Die Beweislage sollte doch jetzt auf Seiten des Shops liegen und die möchte ich doch mal sehen, wenn ich gar nicht dort gekauft habe und – in meinem Fall, sogar noch nicht mal ein Paypalkonto habe.
Den Ärger hast Du trotzdem — spätestens dann, wenn der Gerichtsvollzieher vor Deiner Tür steht, weil der Laden oder die beauftragte Inkasso-Firma alle Deine Angaben (in meinem, von der Paypal-Geschichte unabhängigen Fall sogar: Kopie des Kontoauszugs, aus der hervorging, dass ich längst bezahlt hatte) einfach ignoriert.
Leider kein Witz.
Gerichtsvollzieher erst nach mahn- und Vollstreckunsgsbescheid.
da ist aber dann bei dir etwas anderes schief gelaufen.
ich kann mit so etwas umgehen. sicherlich aber bei einigen Leuten ein Problem.
Da ist seinerzeit (ist mehr als 20 Jahre her) vermutlich einiges schiefgelaufen. Aber den Ärger hatte ich trotzdem — oder gerade deswegen.
Glücklicherweise war der Gerichtsvollzieher ein verständiger Mann, der nach einem Blick in den Kontoauszug seinen Auftraggebern gemeldet hat, dass die Rechnung schon vor Monaten beglichen wurde und er nicht sehe, was es hier für ihn zu tun gebe. Damit war die Angelegenheit dann tatsächlich erledigt.
Fernab davon, das PayPal einfach weiterreicht an den IBAN und buchen kann – wo ist der Schutz des Kundens von Bankenseite her? Wird seitens der Bank gar nicht geprüft ob die Gegenstelle zum Abbuchen überhaupt legitimiert ist? Wozu muss ich bei Miete, Handyvertrag und anderen Sachen wo SEPA Lastschriftverfahren zum Einsatz kommt dem jeweiligen Anbieter unterschreiben? Und PayPal kann einfach kommen und buchen. Mir scheint so als würden Banken gleich gar nicht prüfen ob eine Transaktion von einem Konto legitim ist oder nicht, sondern einfach machen.
Das liegt am Konzept von SEPA.
Bei B2B gibt es ein Firmen SEPA Lastschriftverfahren – hier muss der Kontoinhaber die Bank über den Abbucher informieren und die Gläubiger ID wird hinterlegt und jedes mal geprüft. Das ist erforderlich, da es sich hier um eine Garantierte Abbuchung handelt und es kein Rückruf der Abbuchung gibt.
Bei "normalem" SEPA Lastschrift ist das nicht erforderlich – da der Kunde ja immer die Lastschrift zurückrufen kann.
Wird dann halt ungut, wenn die Opfer, das Ganze rückgängig machen lassen von der Bank und dann noch Stress mit der PayPal Inkasso bekommen, weil die ja den Fehler nicht einsehen wollen.
Da sollte sich mittlerweile jede Firma dann überlegen ob sie Ihre Bankdaten im Impressum hinterlegt auf der Webseite. Das sind ja praktisch dann alles potentielle Opfer.
Es gibt keine Verpflichtung, Bankdaten in einem Impressum zu hinterlegen
Das stimmt, aber mach dir mal die Mühe und suche bei Google Bildersuche nach "IBAN DE" und filetype:pdf.
Es ist gar nicht nötig, dass Unternehmen ihre Bankdaten auf ihre Webseite packen, wenn sie Unmengen an Geschäftspost mit aufgedruckten Bankdaten im Internet veröffentlichen (oder Dritte sie veröffentlichen, wie z.B. bei Frag den Staat).
Ich sehe nicht, dass es hier bei der Betrugsmasche speziell um B2B geht.
Und entsprechend hat auch der Vorposter recht, überall wollen Firmen von Privatleuten Sepa-Mandate bestätigt haben. Irgendwo läuft hier was schief.
Banken prüfen bei eingehenden Lastschriften nicht, ob eine Einzugsermächtigung vorliegt. Die Prüfung, ob Buchungen korrekt sind, ist alleinige Aufgabe des Kontoinhabers. Dafür gibt es die Möglichkeit, eine Lastschrift auch nach mehreren Wochen zurückzuholen.
Eine Einzugsermächtigung (egal ob auf Papier mit Unterschrift oder online) ist nur im Falle einer widerrufenen Lastschrift von Bedeutung. Wenn der Empfänger sein Geld einfordert und der Bank eine gültige Einzugsermächtigung vorlegen kann, dann ist der Widerruf des Kontoinhabers unwirksam und die Lastschrift wird ausgeführt. Kann er diese nicht nachweisen, erhält er auch kein Geld.
Also ich bin auch gerade komplett sprachlos. Ohne irgendwelche Prüfungen so eine Gastkonto-Abbuchung von fremden Bankkonten durchzuführen, die nicht mal mit Paypal-Konten verknüpft sind – also ich kapier nicht mal, wie sowas überhaupt zulässig sein soll.
Danke für den Hinweis, Günter!
Das nennt sich Lastschrift und diese Möglichkeit existiert seit Jahrzehnten.
> Geschädigte haben nur die Möglichkeit (…) eine Rückbuchung der Lastschrift über die Bank zu veranlassen (…) Ärger natürlich inbegriffen.
Ärger und immer häufiger eine schlechte Bonität. Denn man landet zunächst automatisiert in den Standard-Prozessen im Topf mit säumigen Zahlern. Da heraus zu kommen wird meist erst am Ende des längeren Prozesses möglich sein, wenn tatsächlich ein Jurist sich der Sache annimmt. Ein Inkasso hat nur einzutreiben und i.d.R. gar kein Auftrag/Mandat da zu evaluieren oder eine Sachverhalt aufzuklären.
Es reicht die Rechtmäßigkeit gegenüber dem Inkasso-Unternehmen zu bestreiten, dann dürfen die genau NIX an Shufa und Co melden. Tun sie es doch kann man schon Ärger machen.
Unabhängig davon – ALLE Firmen die ihre Geschäftspartner nicht korrekt prüfen – genau das geht nur von Angesicht zu Angesicht mit Ausweiskontrolle – sind halt selbst Schuld. Sicher kann man sagen wenn einer bislang immer bezahlt hat, gibt es einen Anscheinsbeweis, aber streng genommen MUSS ein Webshop oder wer auch immer seine Geschäftspartner KORREKT identifizieren…
Dieses Verfahren mit dem Gastkonto gehört abgeschafft!
das wird am eigentlichen Problem aber nichts ändern.
Warum? Das ermöglicht immerhin PayPal zu nutzen ohne sich dort ein Konto anlegen zu müssen und macht auch nichts anderes als viele Shops. Wie schon geschrieben ändert das ja ohnehin nichts daran dass Lastschriften (auch schon vor SEPA) genau das ermöglichen sollen. Die unberechtigte Nutzung ist strafbar. Auf SEPA Mandate will doch niemand ernsthaft verzichten.
"Das ermöglicht immerhin PayPal zu nutzen ohne sich dort ein Konto anlegen zu müssen und macht auch nichts anderes als viele Shops."
Mal abgesehen warum es PP ohne Konto sein muss, so könnte doch zumindest das Verfahren abgesichert werden. Wer so bezahlen möchte (egal ob per PP Gast oder einfach nur durch Angabe der IBAN beim Kaufabschluss), der soll halt als Verifikation einen Code eingeben, der via 0€ Buchung auf dem Konto angezeigt wird. Kann dann ja im Kundenkonto als verifiziert für Käufer X & Anschrift Y gespeichert werden.
Warum wird es nicht gemacht? Weil es eine Hürde beim Kauf ist, wo X% der Leute abbrechen und an der Stelle interessiert nur der Kaufabschluss. Die Schäden für die Händler sind noch nicht groß genug, damit die X Cent für eine Verifizierung ausgegeben werden.
Warum es nicht gemacht wird? Weil PayPal in der Vergangenheit für die Verifizierung von KK oder IBAN mit solchen Buchungen mind. 3 Werktage oder so benötigt hat.
> Verifikation einen Code eingeben, der via 0€
Funktioniert nur mit online Banking. SEPA Mandate sind aber auch dafür da, um sich das sparen zu können.
Ich weiß zwar nicht, ob das noch möglich ist. Wolfgang Rudolph der Betreiber von "cc2tv" hatte mal ärger mit einer App eines Discounters. Fremde haben seine Bankdaten, wohl die vom Spendenkonto benutzt und mit der App des Discounters bezahlt, weil keine Prüfung stattfand.
Natürlich ist das noch möglich. Wer soll denn da was prüfen?
Jeder, der Deinen Namen, Deinen Wohnort und Deine IBAN kennt, kann damit überall, wo per Lastschrift bezahlt werden kann, einkaufen. Hat mit Paypal speziell überhaupt nichts zu tun.
Wenn sich dieser Betrug verbreitet, wird man wohl irgendwann für Lastschriften ein Äquivalent zum Kreditkarten-"3DSecure" einführen. Die Deutsche Bahn, die wohl häufiger Opfer davon wird, hatte neulich ja mal so etwas Ähnliches im (Pilot-?)Betrieb, wobei die beauftragte Firma für mich leider nicht in eine Kategorie gefallen ist, der ich meine Bankdaten anvertrauen würde.
An sich ist das ja ein altes Problem und PayPal-Gastkonto ist nur eine weitere Stelle, wo man eine fremde Bankverbindung missbrauchen kann.
Ich war vor nun fast 20 Jahren Administrator bei einem inzwischen nicht mehr existenten Verlag für Lexika und Wörterbücher. Dort hatten wir auch einen Online-Shop mit Bankeinzug (viele unserer Kunden kamen aus dem semi-öffentlichen Bereich, da gab/gibt es sowas wie Paypal de facto gar nicht) – und wir hatten täglich(!) Versuche, mit missbrauchten Bankdaten einzuklaufen, gerne auch von Finanzämtern oder Behörden (die entgegen anderer öffentlicher Stellen nie mit Bankeinzug einkaufen). Ich hab in zwei Jahren in dieser Tätigkeit sicher eine vierstellige Anzahl von Strafanzeigen gestellt, doch war die Anzahl der Ermittlungserfolge nur zweistellig und die Zahl der Verurteilungen genau bei 0.
Die Masche gibt es also schon sehr lange und ich finde es verwunderlich, dass es bisher keine Lösung für das Problem gibt.
Man kann sich aber selbst helfen (zumindest so lange man kein Shop ist und auf Bankeinzug angewiesen):
Erstmal gebe ich keinem Shop meine Bankverbindung; Kredit-/Debitkarte, PayPal oder Apple Pay müssen reichen. PayPal sollte natürlich mit 2FA abgesichert sein.
Zweitens habe ich für meine Konten eine Benachrichtigung für jede Transaktion per Mail eingerichtet. So kann ich zeitnah auffällige Buchungen entdecken.
Drittens benutze ich, wenn ich jemanden für eine Erstattung o.ä. eine Kontoverbindung mitteilen muss, die eines Tagesgeldkontos bei der gleichen Bank. Von diesem kann man nicht abbuchen, nur einzahlen (kann man übrigens auch beim FA machen, falls man nicht Opfer eines wildgewordenen Sachbearbeiters werden möchte, der einem erstmal x-stellige Summen vom Konto räumt um dann Wochen später zu merken, dass er einen Fehler gemacht hat, btdt).
Man kann sich auch den Spaß machen und jedem Shop eine andere E-Mail-Adresse geben. So findet man unsichere Shops schnell sobald man SPAM/Betrugsversuche auf die einschlägige Adresse bekommt. Man kann bestimmte Aliase dann auch einfach in den Killfile erden; gegen die Shops vorgehen oder gar den DSB zu informieren, bringt idR gar nichts (auch hier btdt).
Das mit der "personalisierten Email" für jeden Shop mache ich genauso seit 20 Jahren. Meist noch in Kombination mit einer Jahreszahl. Da sieht man sofort, welcher Shop seine Daten nicht im Griff hat und diese Weiterverkauft.
Und es gab sehr früh doch einen deutschen Mikropayment Betreiber, der sogar relativ weit verbreitet war und ich bevorzugt neben Paypal nutzte: Clickandbuy, er verließ uns irgendwann um 2014 herum meine ich.
Das mit dem Tagesgeldkonto und dem Finanzamt klappt auch nur begrenzt. Wenn Du eh schon einen Dir nicht genehmen Bearbeiter hast, haut der als Reaktion eine Pfändung raus. Dann separiert die Bank auch von Deinem Tagesgeldkonto das Geld weg. Denn die Zahlungsverpflichtung bei einem Bescheid besteht, auch wenn dieser im Nachhinein irrtümlich war oder korrigiert wurde.
Die Masche funktioniert deshalb so gut, weil damals(tm) in der Vor-Internet-Zeit (in den 80er und 90er) Banken sowas noch meist manuell gegen prüften. Wurde wegrationalisiert. Der Schaden entsteht ja bei anderen. Bei "besseren Kunden" machen das die Banken noch. Dann gibt es einen kurzen Anruf des persönlichen Beraters, ob diese ungewohnte Abbuchung okay ist.
Das Problem ist, dass eine gültige IBAN alleine ausreicht um diesen Betrug durchzuführen. Würde eine weitergehende Überprüfung gegen andere Merkmale (Name, Addresse, Versandaddresse, Kennwort, u name it …) durchgeführt, hört der Spuk auf oder geht mindestens drastisch zurück.
Ich verstehe nicht, warum man solchen Betrügern nicht über die Packstation beikommt. Dort muss man ja eine registrierte DHL-Kundennummer und die App haben, um etwas aus der Packstation abholen zu können. Da ist also normalerweise Name und Adresse hinterlegt.
Elektronische Güter (z.b. Gutscheine) mit Versand an Email-Adresse?
Fahrkarten mit Fake-Namen? (Theoretisch nur gültig mit Ausweis, wird praktisch aber so gut wie nie überprüft.)
Strohmänner, vorzugsweise im Ausland?
Fake-Adresse (z.B. nicht existierender Name in einem Vielfamilienhaus), vorzugsweise im Ausland?
…
So doof, sich erschwindelte Güter unter ihrem echten Namen an ihre echte Adresse schicken zu lassen, wird die durchschnittliche Betrügerin schon nicht sein.
Hast du dich für Packstation angemeldet? Da findet schon ein gewisser Prüfungsprozess per Postident statt, den man erst mal passieren muss.
Ach komm, das Internet ist voll mit Tipps, wie man sich unter falschem Namen Konten eröffnen, Packstationen zuordnen und SIM-Karten registrieren lässt.
> benötigen nur eine gültige IBAN und irgend ein PayPal-Konto.
vs.
> Der Betrug kann also auch Leute treffen, die kein PayPal-Konto besitzen.
Die erste Ansage scheint so wohl nicht zustimmen.
Es braucht dazu NUR eine IBAN und einen "freundlichen" Verkäufer,
der "Paypal mit Gast-Konto" als Zahlung anbietet.
Es braucht dazu eben KEIN Paypal-Konto, da Paypal
hier nur den "Zahlungsdienstleister für SEPA-Überweisungen"
spielt, völlig unabhängig von allen anderen Paypal-Funktionen
und damit auch unabhängig von Paypal-Konten…
LÖSUNG:
Drei mal selber etwas per Gastkonto und der eigenen IBAN bestellen und so das Limit ausschöpfen.
Klingt listig und auch logisch ;)
D.h. die dabei verwandte IBAN ist dann quasi für immer verbrannt (bei Paypal) ?
ok bestellst dann bei amazon und überall anders wo sepa möglich wäre auch mal auf verdacht? paypal ist nicht ursächlich das Problem!
genau es ist vermutlich nur einfacher,
denn wenn ein Shop aus bekannten Gründen Lastschriften nicht erlaubt (oder diesen nicht vertraut und extra prüft) gehen die Betrüger halt über den Paypal-Gastkonto Umweg.
Und der Händler wir dann vermutlich zwangsläufig Paypal vertrauen weil dieser ja nicht fast alle Zahlungsoptionen ausschließen kann.
Allerdings würde Paypal durch abschaffen des Gastkontos diese Variante entschärfen.
Hallo,
Ich verwaltete das Konto einer Schule.
Hatte das Problem mit Paypal vor drei Jahren schon.
Ähnliches auch mit Amazon.
Alles zur Anzeige gebracht aber keine Chance.
Mit Gastkonto bestellen hebelt die Verifizierungsnachricht (SMS, WhatsApp) aus?
Das spielt in meinen Augen keine Rolle. Professionelle Betrüger besorgen sich nicht registrierte SMS und nutzen diese.
Die nutzen die klassische Lastschrift, mehr nicht. Und die war schon immer anfällig für unberechtigte Belastung.
SIMs meine ich, nicht "SMS".
So einfach kann das Bezahlen per PayPal also sein??? Aber wenn ich mit einem seit Jahren registrierten PayPal-Konto was bezahlen will, muss ich mich nicht nur einloggen und mit Passwort legitimieren, die 3D-Secure-Abfrage der Kreditkarte beantworten und ein Captcha lösen, sondern auch noch zwei Anrufe von PayPal-Automaten entgegennehmen: Einmal eine amerikanische Computerstimme „Hello, PayPal rufend: Ihr Transactioncode is zerosevneighnienzeroonethree…", anschließend eine deutsche Stimme, für die ich eine am Monitor gezeigte Kontrollnummer eingeben muss.
Habe ich neulich nach langer PayPal-Abstinenz an einem Nachmittag zweimal hintereinander durchgemacht und beschlossen, PayPal künftig ganz bleiben zu lassen. Und jedes Jahr exakt in der Hektik der Vorweihnachtstage die Mail „Wir haben da was an unseren AGB geändert…"
Dass es die deutschen Geldinstitute partout nicht schaffen, dagegen anzustinken, ist schon mehr als peinlich.
War soeben wieder gezwungen, PayPal zu verwenden – Weihnachtspäckchen per DHL versenden: Als Zahlungsmöglichkeit wird generell nur PayPal, GooglePay oder Kreditkarte angeboten. Aber das System ist heute offenbar total überlastet. PayPal ist das einzige, was dort momentan funktioniert! Ein digitales Trauerspiel.
Kleiner Tipp für Konten für eingehendes Geld, einfach ein Tagesgeldkonto nutzen. Dort können fremde Geld einzahlen, aber halt keine Lastschriften nutzen.
Ich empfehle vorher das mit der Bank abzuklären. Ich habe hier den Fall, dass die Ing ein Extra-Konto für Blog-Spenden kündigen will.
"Ein Anzeige bei der Polizei ist vom Geschädigten gestellt und er schlug sich mit Paypal herum, bis diese den Fall als geklärt eingestellt haben."
Verstehe ich nicht – warum stellt der Kontoinhaber Anzeige? Der holt sich doch die Lastschrift von seiner Bank zurück. Der Schaden fällt entweder dem Shop oder Paypal anheim. Die bekommen das Geld nicht. Diese sollten Anzeige erstatten und sonst niemand über Gebühr hineingezogen werden.
Zumal der Kontoinhaber ja Paypal anzeigen müsste, denn die haben das Geld vom Konto eingezogen…
Wenn ich nach jeder unerklärlichen Lastschrift den Veranlasser angezeigt hätte müsste mein Dorfsheriff zwei neue Deputies einstellen zur Bearbeitung.
Die Anzeige ist schon wichtig, wenn es zu Rechtsstreitigkeiten kommt (die Polizei ermittelt da ja und man hat quasi den Nachweis, dass man es nicht selbst war und nun einfach nicht zahlen will).
Habe ich auch gemacht. Ein Paketempfänger wurde sogar ermittelt. Er war zwar nicht der eigentliche Betrüger, bekommt aber auch Ärger (hat wohl nur die Pakete angenommen und weitergeleitet).
Welche Rechtsstreitigkeiten bitte? Jede unberechtigte Lastschrift kann vom Kontoinhaber bequem und online innerhalb einer großzügigen zeitlichen Frist widerrufen werden, das Geld landet automatisch wieder beim Kontoinhaber. Dann steht der Abbucher (Paypal oder Shop) in der Pflicht, die Legitimität des Kaufvertrages und Lastschrift-Mandats zu prüfen, sollten sie auf Rechnungsbegleichung bestehen. Das ist Zivil- nicht Strafrecht. Wie unten geschrieben: Paypal kann gerne den eigentlichen Besteller wegen Betruges anzeigen. Seine IP- und Email-Adresse sowie die Lieferanschrift hat Paypal oder der Shop, von dem bestellt wurde, ja hoffentlich dokumentiert.
Sollten die Betrüger die authentische Email-Adresse des Kontoinhabers angegeben und mittels Phishing darauf auch Zugriff besessen haben (zur Aktivierung des hoffentlich vom Shop auch bei einer Gast-Bestellung generierten Bestätigungslinks zur Verifizierung der vom Besteller angegebenen Email-Adresse ) würde ich als Kontoinhaber tatsächlich Anzeige erstatten. Aber nicht wegen Betruges (ich bin nicht das Betrugsopfer, sondern der Shop bzw. Paypal), sondern wegen Hackings meines Postfaches.
Arbeitet der Shop ohne Bestätigungslink und lässt somit die Angabe beliebiger Email-Adressen zu: selbst Schuld, dann sollte er sich schämen und seine Prozesse zur Betrugsabwehr optimieren.
Die Zahlungsmöglichkeit per Lastschrift hat die Deutsche Bahn nicht ohne Grund in vielen Bereichen abgeschafft. Diese Option ist viel zu betrugsanfällig. Ebenso wie die Zahlungsvariante "auf Rechnung".
Bequem und online in allen Ehren, ich habe trotzdem keine Lust ständig zu handeln, weil PayPal und Gesetzgeber es einfach verkacken, anstatt da entsprechende Prüfungen einzuführen.
"Welche Rechtsstreitigkeiten bitte? Jede unberechtigte Lastschrift kann vom Kontoinhaber […] widerrufen werden"
Und was nützt mir das (über die Abwendung unmittelbaren finanziellen Schadens hinaus), wenn mein Name/Adresse als Rechnungsadresse (aber nicht Lieferadresse) angegeben sind? Dann kommen Verkäufer und/oder sein(e) Inkassodienstleister und fragen mal freundlich an, wie ich "meine Schulden" und die Extragebühren wohl zu begleichen wünsche…
und deswegen erstattet man wenn man sowas bemerkt auch Anzeige um was in der Hand zu haben!
Natürlich widerspricht man da auch den Forderungen, dann muss der Verkäufer beweisen das er auch tatsächlich mit mir ein Geschäft abgeschlossen hat.
Kann natürlich passieren wenn das bei dir öfter vorkommt, er in Zukunft gar keine Geschäfte mit dir macht… sein gutes Recht!
Es bleibt aber immer Aufwand und (juristisches sowie Reputations-)Risiko, das zu minimieren weiteren Aufwand bedeutet (z.B. eben diese Anzeige, der Schriftverkehr mit den Gläubigern des Betrügers oder Abfrage diverser Auskunfteien + evt. Schriftverkehr zur Korrektur).
Und nein, mir ist so etwas noch nie vorgekommen, Datensparsamkeit hat durchaus auch ihre Vorteile.
Die Angabe eines Namens ist irrelevant, der Betrugsaspekt erstreckt sich auf harte, technische Fakten wie E-Mail- und IP-Adressen. Diese begründen den Betrug.
Bei Bestellung eines physischen Produktes wird der Betrüger kaum die Adresse einer fremden Person angeben, wie sollte er die Lieferung abfangen – lungert er vom Haus herum?
Wie angedeutet: ich würde es bei einer Mail an Paypal und den Shop belassen und die unberechtigte Lastschrift zurückbuchen. Um den Rest vom Schützenfest können sich die Betroffenen kümmern – ich wäre ja nicht betroffen.
"Die Angabe eines Namens ist irrelevant, der Betrugsaspekt erstreckt sich auf harte, technische Fakten wie E-Mail- und IP-Adressen."
Lesen Sie doch bitte § 263 StGB (oder besser, die Beck'schen oder Münchner Kommentare dazu)¹: "Der Betrugsaspekt erstreckt" sich auf Falschangaben zur Täuschung des Geschäftspartners, "technische Fakten wie E-Mail- und IP-Adressen" dienen nur der Ermittlung des Täters.
"Bei Bestellung eines physischen Produktes wird der Betrüger kaum die Adresse einer fremden Person angeben"
Oh doch, das ist gar nicht so selten und ja der Täter oder ein Helfer "lungert vo[r]m Haus herum" (oder besser: Darin und fängt den Paketboten ab), soweit der angegebene Empfänger nicht ein treudummer/profitgieriger/verzweifelter² Intermediär ist.
"ich würde es bei einer Mail an Paypal und den Shop belassen […] – ich wäre ja nicht betroffen."
Es steht Ihnen selbstverständlich frei, so zu handeln. Wenn Sie den gelben Brief dann auch noch ignorieren passt es. 👍
¹ ohne teuren Onlinezugang gratis einsehbar in den JuBibs der Unis mit jur. Fakultät
² Aussage der Schuldnerberatung: Menschen am Rande des Totalbankrotts (insb. Zwangsräumung) sind erstaunlich flexibel, um das Schlimmste abzuwenden (Mittel zu akquirieren)
Mann, ***** gelöscht
Die technischen Beweise dienen selbstverständlich der Ermittlung der Betrüger, doch beweisen sie auch, dass die Bestelltung nicht von der vorgetäuschten Person begangen wurde. Demnach liegt Betrug vor, aber von Unbekannten begangen.
Für abgefangene Pakete haftet DHL, das wäre mir ebenfalls völlig egal, der Shop war Auftraggeber für den Versand, nicht ich. Neben der Anzeige des Betrügers kann der Shop gerne DHL in Regress nehmen.
Fertig.
Ihre "technische Beweise" sind bestenfalls Indizien und "beweisen" für sich wenig (insb. gegenüber dem Verkäufer). Sie können sich zur Tatzeit in X aufgehalten und Adresse Y genutzt haben.
DHLs Aufzeichnung zeigt "persönlich übergeben" und wieder steht Wort gegen Wort.
Aber vielleicht haben Sie ja mal das 'Glück', die Praxisnähe ihrer Aussagen selbst ausprobieren zu können.
P.S. "Mann, ***** gelöscht"
Wenn ich Sie für voll nehmen will/soll muss ich davon ausgehen, dass sie meinen, was sie schreiben. Drücken Sie sich halt präziser aus.
Da ich innerhalb kurzer Zeit auch mehrmals das Problem hatte (konnte die Bestellungen aber zum Glück noch mit einem Anruf beim jeweiligen Shop stoppen, weil Paypal mir immer eine Benachrichtigung über die genehmigte Lastschrift geschickt hatte), habe ich meine IBAN bei Paypal sperren lassen. Etwas gruselig war bei dem Anruf: es hat keiner nach meinen Daten gefragt: kurz Problem erklärt, kurze Warteschleife und dann meinte der Mitarbeiter, dass nun meine IBAN gesperrt sei. Seitdem habe ich auch tatsächlich Ruhe.
Hm, vor einigen Monaten funktionierte meine Kreditkarte einige Wochen lang nicht, weshalb sie aus meinem PayPal-Konto als Zahlungsquelle entfernt wurde. Deshalb hatte ich dann meine Bankverbindung als Zahlungsquelle meinem PayPal-Konto hinzugefügt. Damit müsste PayPal eigentlich eine Gastbestellung über diese IBAN verhindern und den Gastbesteller bei Nutzung der IBAN zwingen, über meinen PayPal-Login zu zahlen.
Was ich allerdings so lese, scheint PayPal das eben nicht so zu handhaben und es ist wohl völlig irrelevant, ob die IBAN bereits einem PayPal-Konto zugeordnet ist. Sofort nachdem die Kreditkarte wieder funktionierte, habe ich sie allerdings wieder zur Standardzahlungsquelle festgelegt. Die Bankverbindung habe ich nicht wieder gelöscht, eben in der irrigen Hoffnung, dass sie deshalb nicht für Gastbestellungen verwendet werden kann.
Meinem Laienverständnis nach würde ich annehmen, das PayPal hier seinen Sorgfaltspflichten zur Verhinderung von Betrug nicht nachkommt: Denn wie im PayPal-Forum von einem Händler über Test-Gastbestellungen, die er selbst in seinem eigenen Shop ausführte, nachgewiesen wurde, prüft PayPal gar nichts, außer, ob die IBAN überhaupt existiert! Sie tun also nicht mal das, was sie mittels Schufa-Abfrage vorgeben zu tun, also zu prüfen, ob die IBAN wenigstens zum Namen und zur Adresse passt. Er konnte mit Fantasynamen und -adressen in seinem eigenen Shop über PayPal-Gast erfolgreich bestellen und zahlen!
https://www.paypal-community.com/t5/Kontosicherheit/Betrug-mit-Gastkonto/m-p/3188686/highlight/true#M27725
Wieso verklagt hier kein Verband PayPal wegen unzureichender/vorgetäuschter Sorgfalt? Wenn es keine Sorgfaltspflicht gibt, wovon man dann ja ausgehen muss, sollte dringend und schnellstens die EU dahingehend handeln!
Die Banken sollten mal einen Mechanismus einführen, wo man jede neue Lastschrift (ggf. ab z. B. 50 €) per TAN, nPA o. ä. genehmigen muss, so ähnlich wie VISA-Secure.