Nach einigen Jahren Abstinenz hab ich eben, nach einer DVD von
Magnolia Pictures fahndend, einen kanadischen Webshop (dvdboxoffice.com) besucht, bei dem ich früher mal aufgrund seiner kundenfreundlichen Geschäftspraktiken sehr gern bestellt hab: die DVDs kamen versandkostenfrei und per Remailing aus der EU, was mir das umständliche Rumgefuddel mit dem Zoll ersparte.
Die gesuchte DVD (interessanterweise eine Dokumentation über die Machenschaften von Kreditkartenfirmen,
»Maxed Out«) war im Angebot, mein vergessenes Passwort bekam ich nach Eingabe meiner Mailadresse binnen Sekunden zugeschickt, ich gab meine aktuellen Kreditkartendaten ein und bestellte. Dann wollte ich mein Passwort wechseln, aber ich fand im neuen, bunten Webshopsystem keine entsprechende Funktion.
Auf Anfrage teilte mir der Kundenservice mit, dass ich mein Passwort nicht selbst ändern könne — ich solle mein gewünschtes neues Passwort doch einfach per Mail an den Service schicken, es würde dann für mich geändert. Das war fischig genug, um bei mir das Bedürfnis zu wecken, meine Kreditkarteninformationen in diesem Laden nicht permanent gespeichert zu sehen. Natürlich war es nicht möglich, die einmal eingebenen Daten selbst zu löschen.
Misstrauisch, wie ich nun mal bin, ging ich mal testweise einen weiteren Bestellvorgang durch und kam bis zur Meldung »Click to complete your order«, ohne dass ich nach dem
CVV2 gefragt wurde, dem »Sicherheitscode«, der, zumindest nach den Richtlinien der Kreditkarteninstitute, zur Sicherheit des Kunden eben
nicht gespeichert werden soll.
Will ich, dass jeder, der die unverschlüsselte Mail mit meinem Passwort einsehen konnte, bei diesem Laden auf meine Kosten DVDs, Spiele oder auch ‘ne PS3 bestellt? Das war für mich Paranoiker Grund genug, die Karte präventiv sperren zu lassen. Meine Bank und den Kreditkartensperrdienst haben die genauen Umstände nicht interessiert, die heften den Kartentausch einfach unter »Missbrauchsverdacht« ab und schicken mir binnen einiger Tage ‘ne frische Karte.
Ich hab die Kreditkartengesellschaft auch mal direkt angeschrieben — ein Kontaktformular kann man sich auf der deutschen MasterCard-Seite leider nicht leisten, drum hab ich mich an die Mailadresse gewandt, die im Impressum versteckt war. Mal sehen, ob und wo Mail an »frankfurt@mastercard.com« ankommt und ob die Sicherheitsbemühungen der Kreditkartenhaie bloße Augenwischerei sind oder ob sie ihre selbst festgesetzten Sicherheitsregeln auch tatsächlich durchsetzen.
Ja, natürlich kann ich mir das auch selbst beantworten: der Payment Card Industry Data Security Standard (PCI DSS, verlinkt im Wikipedia-Eintrag zu
CVV2) untersagt die Speicherung des Sicherheitscodes ausdrücklich, aber trotzdem muss ich ihn bei Blizzard nicht jeden Monat frisch eingeben, obwohl ich monatlich für WoW zahle. QED.
Nachtrag, 22. Februar 2008: (zu Franks Hinweis, wie sorglos er mit seiner Kreditkarte umgeht) Ich benutze meine Kreditkarte ausschließlich im Internet, ich hab sie ja extra dafür angeschafft. Im echten Leben bezahle ich, wenn irgend möglich, in bar, in Notfällen mit der EC-Karte — wobei ich dabei schon ein maues Gefühl habe: die modernen Kassen- und Warenwirtschaftssysteme sammeln so schon genug Informationen über mein Einkaufsverhalten, diese Daten müssen nicht auch noch personalisiert werden.
Wenn ich mal das gute, alte »Juden im Dritten Reich verstecken«-Beispiel heranziehen darf: falls ich nach der Revolution zu der Gruppe von Menschen gehöre, die aus Mitgefühl einem Manager eines DAX-Unternehmens in ihrem Keller Asyl gewähren, wäre es schade, wenn die Behörden das bloß durch Abgleich von Lebensmitteleinkäufen feststellen könnten. Solange man sich nicht schon durch die bloße Benutzung von Bargeld verdächtig macht, verzichte ich gern darauf, aktiv zur Sammlung von Daten über mich beizutragen...
Hmmm, ja, okay, das ist etwas schizophren, da die postrevolutionären Sicherheitsbehörden ja bloß nach »DAX-Manager im Keller« googeln müssten, um mich zu finden... aber dass ich paranoid bin, heißt ja noch lange nicht, dass ich nicht auch schizophren sein darf.
MasterCard hat übrigens sehr freundlich und kompetent geantwortet und das Fehlen eines Kontaktformulars damit erklärt, dass der Ansprechpartner des Kunden in den meisten Fällen die kartenausgebende Bank, bzw. der als »Karteninhaberservice« oder »Kundenservice« auftretende »Prozessor« ist. Zum Speichern des CVV2 schreibt das »MasterCard Europe Team«:
Die Abfrage der Kartenprüfnummer erhöht die Sicherheit von sogenannten »card-not-present« Kreditkartentransaktionen. In der Tat fordert MasterCard von den Akzeptanzstellen, dass diese die Kartenprüfnummer nicht speichern dürfen. Die Kartenprüfnummer ist jedoch kein geheimes Sicherheitsmerkmal wie die PIN, welches vom Karteninhaber vertraulich zu halten ist und hat somit auch keinen Einfluss auf Ihre Rückbelastungsrechte als Kunde im Falle von Kreditkartenmißbrauch.
Sprich: den CVV2 im Rahmen einer Transaktion auf einer Webseite einzugeben gilt an sich noch nicht als Verletzung der Sorgfaltspflicht, man muss als Kunde also nicht schon aus Prinzip in vollem Umfang für daraus folgenden Missbrauch haften, sondern die Haftung beschränkt sich auf die übliche »Selbstbeteiligung« (in meinem Fall €50 pro Missbrauch).
Das hätte ich auch nicht anders erwartet, die Aussage lässt aber offen, wie es sich mit der Haftung des Kunden verhält, wenn eine »Akzeptanzstelle« (also z.B. ein Onlineshop, der Kartenzahlung akzeptiert) den CVV2 — entgegen der Vorgaben der Kreditkartenunternehmen — speichert, die Daten in falsche Hände geraten und so Missbrauch stattfinden kann, der ohne CVV2 nicht möglich gewesen wäre.
Hafte ich dann für jeden Missbrauchsfall mit €50 bis sie mir auf dem Kontoauszug auffallen? Bis dahin könnte sich ja schon einiges an Transaktionen angesammelt haben...
