Frage in die Runde der Blog-Leser, die in letzter Zeit bei eBay etwas bestellt haben. Gab es von der Plattform den Versuch, Zugriff auf das Bankkonto, von dem Zahlungen geleistet werden, zu erhalten, um angeblich das Risiko für Ausfälle zu minimieren.
Persönlich bestelle ich recht wenig online und schon länger nicht bei eBay – wobei dort dann ggf. PayPal als Zahlungsquelle angegeben wird. Aber ich habe kürzlich auch da mein Déjà-vu erlebt, als ich bei einem Händler drei Kanister mit je 5 Liter Bio-Olivenöl ordern wollte. eBay ließ die Bestellung zwar zu, aber im Warenkorb ging es plötzlich nicht weiter. Ich brauchte etwas, bis ich den Hinweis verstand, dass nur alle 10 Tage eine Bestellung zulässig sei. Bezog sich da auf einen Kanister – weshalb der Anbieter und eBay schlicht raus waren. Kann aber eine Auflage gewesen sein, die der Produzent dem Händler gemacht hat.
Gestern hat mich ein Leser per E-Mail kontaktiert und den obigen Screenshot mitgeschickt. Der Leser schrieb:
Das hier ist höchst interessant! Nachdem etwas bei Ebay verkauft wurde, möchte Ebay meine Login-Daten…
Da fehlen einem die Worte. War es nicht Ebay, wo es ein Datenleck gab?
Es ist nicht genau erkenntlich, wohin die Login-Daten gehen.
Im Screenshot ist zu erkennen, dass ein riskremedyweb-Dienst (vom Namen her zur Beurteilung oder Minimierung des Risikos) für diesen Nutzer über die URL von eBay aufgerufen wird. Leider hat der Nutzer keine weiteren Informationen angegeben. Aber es lässt sich einiges erraten.
Am Screenshot der Eingabemaske sieht man, dass die Zugangsdaten für ein Bankkonto angefordert werden. Wer diese Daten hat, kann den Inhalt des Bankkontos samt Transaktionen auswerten. Das Kürzel "riskremedy" steht für Risiko-Minimierung. Durch Analyse der Transaktionen (also Einnahmen und Ausnahmen) soll die Bonität des Konteninhabers bewertet werden.
Diesen Ansatz versuchte die Schufa mit "Schufa Check Now" schon mal, ist aber gescheitert (siehe Schufa: Aus für Check Now; Verkauf an Finanzinvestor?). In obigem Fall habe ich den Namen "Trustly" im Fußbereich des Formulars gesehen. Der Dienst will den Zugriff auf das Bankkonto. Der Anbieter Trustly wirbt bei Händlern mit:
Intelligentes Wachstum mit smarteren Zahlungen
Steigern Sie Ihre Conversion, senken Sie Betrugsraten und bieten Sie ein wirklich überzeugendes Zahlungserlebnis – mit den intelligentesten und sofortigen Pay by Bank-Lösungen der Branche.
Ansatz von Trustly ist es, dass der Händler die Zahlung als "Pay per Bank" über den Anbieter abwickelt. Der Händler erhält dabei nur das Geld, nicht jedoch die Bankdaten des Kunden. Der Kunde bekommt die Bankdaten des Händlers vorausgefüllt in einem Formular und muss die Transaktion per Banking-App oder eID bestätigen. Der Händler bekommt sein Geld über Trustly.
In obigem Screenshot sieht es nun so aus, dass Trustly den Zugriff auf das Bankkonto will und daher dessen Zugangsdaten abfragt. Die Bankinstitute müssen dies seit 2019, auf Druck der EU PSD 2-Richtlinie, für Drittanwender anbieten. Aber würdet ihr einem fremden Anbieter den Zugriff auf das eigene Bankkonto über die eigenen Zugangsdaten gewähren?
Die Verbraucherzentrale weist hier darauf hin, dass da enormes Missbrauchspotential besteht. Ich habe in den Anfangstagen der PSD 2-Implementierung gelesen, dass es einfach keine Option zum Beenden des Zugriffs gab. Auch in obiger Konstellation ist nicht ganz klar, was dieser Zugriff für Rechte beinhaltet und wie lange der Zugriff dauert. Mit den Zugangsdaten könnte der Dienst beispielsweise alle Kontenbewegungen der letzten drei Monate sehen – für längere Intervalle ist eine TAN-Freigabe erforderlich.
MVP: 2013 – 2016
Ich habe so etwas bei Ebay noch nie gesehen.
Ich würde da auch niemals meine Bankdaten eingeben.
Wenns nicht anders geht, wird eben woanders gekauft.