PayPal
Waiting for the hammer to fall... Picture: Liz Sawyer, thx! (CC BY 2.0)

Interview mit dem Bezahldienstleister PayPal Deutschland (Repost)

Vor fünf Jahren erschien eines der wenigen Interviews mit PayPal. Zuvor hatte unnex & gulli.com bei dieser Firma eine kritische Sicherheitslücke gemeldet.

Interviews mit Vertretern von PayPal sind rar gesät. Wenn überhaupt, werden sie in Fachzeitschriften veröffentlicht, im Web sind sie eine Rarität. Meine Freude über das Interview, welches im Juli 2011 bei gulli.com veröffentlicht wurde, war dementsprechend groß. Damals war ich noch Chefredakteur von gulli, und konnte dort schalten und walten, wie es mir gefiel.

Damals schlug dieser Beitrag bei vielen Lesern wie eine Bombe ein. So manche Boardies aus dem g:b haben die Standard-Antworten der PR-Abteilung dann spaßeshalber mit ihrer Signatur ausgetauscht. Mit der früheren Pressesprecherin von PayPal-Deutschland war alles bis ins kleinste Detail abgesprochen. Unsere Leser bekamen die Möglichkeit, eigene Fragen einzureichen. Um das Interview vor dem digitalen Vergessen zu retten, wird es hier erneut veröffentlicht.

Beitragsbild:PayPal: Waiting for the hammer to fall?  Foto: Liz Sawyer, thx! (CC BY-SA 2.0)

Im Vorfeld hatte der Penetrationstester unnex mit meiner Hilfe bei PayPal eine kritische Sicherheitslücke gemeldet, die mehrere Monate später geschlossen wurde. Es wäre bei Ausnutzung des Bugs möglich gewesen, Gelder aus dem Online-Bezahlsystem auf eigene Konten umzuleiten, die Identität von PayPal-Nutzern anzunehmen u.v.m. Das Interview erschien bei gulli.com im Juli 2011. Das Unternehmen reagierte (wie fast alle großen Konzerne) höchst langsam, aber wir hatten dann später irgendwann unsere gemeinsame Pressemitteilung, die wir von Anfang an haben wollten.

Leider gab es andere Beispiele, wo die Zusammenarbeit mit den Betreibern der betroffenen Webseiten weniger konstruktiv verlief. Aber das ist jetzt alles Geschichte und sollte besser an anderer Stelle erzählt werden.

Lars Sobiraj: Vielleicht möchten Sie PayPal zunächst anhand einiger Eckdaten vorstellen.

PayPal ist 1998 gegründet worden. In 190 Ländern weltweit haben etwa 224 Millionen Kunden ein PayPalkonto. PayPal unterstützt 24 verschiedene Währungen und ist mit eigenen Websites in 20 Ländern vertreten. Unser weltweites Headquarter befindet sich im Silicon Valley, in San Jose, Kalifornien, unser Europäisches Headquarter ist in Luxemburg.

Foto: Kārlis Dambrāns, thx!
Foto: Kārlis Dambrāns, thx! (CC BY 2.0)

Paypal bemüht sich, die Kosten gering zu halten

Lars Sobiraj: Gibt es Pläne die Transaktionsgebühren zu reduzieren?

Wir sind immer bemüht, die Transaktions-Gebühren seiner Kunden so gering wie möglich zu halten. Für das Senden von Beträgen fallen keine Kosten an. Die Beträge für das Empfangen von Zahlungen hängen bei gewerblichen Kunden immer auch vom Umsatzvolumen der, in diesem Fall ja relevanten, Verkäufer ab. Die von Ihnen sogenannten Kosten für Transaktionen orientieren sich am Markt und berücksichtigen immer, dass PayPal auch für eventuelle Zahlungsausfälle in Anspruch genommen wird.

Lars Sobiraj: Wann und unter welchen Bedingungen erhält der Kunde sein Geld zurück?

PayPal: Einen Antrag auf Käufer – bzw. Verkäuferschutz zu stellen, ist sehr einfach und mit wenigen Schritten verbunden. Details sind jederzeit unserer Website zu entnehmen.

Lars Sobiraj: Wird es einen Käuferschutz für Angebote außerhalb eBays geben, wenn diese von PayPal ein „OK“ bekommen müssten??

Einen Käuferschutz für Angebote außerhalb von eBay gibt es seit Jahren! Vergangenes Jahr wurde der Käuferschutz insofern ausgeweitet, dass er nun auch für Fälle gilt, in denen der Artikel erheblich von der Artikelbeschreibung abweicht. Insofern gibt es seit Ende 2010 keinen Unterschied mehr beim Antrag auf Käuferschutz: Er kann sowohl für Käufe in Anspruch genommen werden, die auf eBay getätigt worden sind, als auch für Einkäufe auf anderen, eBay-unabhängigen Online-Handelsplattformen.

Lars Sobiraj: Wie hat PayPal eigentlich seine Banklizenz erhalten?

PayPal hat ganz formell eine Banklizenz beantragt. PayPal wurde wie jedes andere Institut geprüft und erst dann wurde dem Unternehmen eine Banklizenz erteilt.

Lars Sobiraj: : Warum nutzt mPayPalan nicht Deutschland als Gerichtsstand? Rechtliche Auseinandersetzungen wären dann leichter zu führen.

Rechtswahl ist England, weil PayPal außerhalb der USA weltweit gleiches Recht zur Anwendung bringen will. Und genauso verhält es sich mit dem Gerichtsstand. Wesentlich ist: In erster Linie gelten die Allgemeinen Geschäftsbedingungen der jeweiligen Länder/Märkte. Englisches Recht greift nur dann, wenn rechtliche Lücken oder Auslegungs-Fragen bestehen.

Lars Sobiraj: Bei einer Online-Überweisung kann ich sicher sein, dass mein Geld den Empfänger innerhalb kürzester Zeit erreicht. Bei PayPal hingegen kann das zum Glücksspiel werden. Probleme gibt es dann, wenn Geldwäsche oder jegliche kriminelle Handlungen vermutet werden. Mit welchem Recht werden (willkürlich?) Konten eingefroren und Gelder von Kunden einbehalten? Was passiert mit dem Geld?

PayPal: Zur Sicherung des Ausfallrisikos behält sich das Unternehmen vor, Zahlungen bei denen z.B. eine Rücklastschrift zu erwarten ist, einzubehalten, bis dieses Risiko abgeklärt ist. Auch die Einbehaltung des Guthabens nach Vertragsbeendigung für einen gewissen Zeitraum ist der Sicherung des Ausfallrisikos geschuldet. Lastschriften können von Kunden über ihre Bank zu Lasten von PayPal noch weit länger zurückgerufen werden, auch dann, wenn PayPal den Betrag längst an den Verkäufer ausgekehrt hat. Wenn PayPal konkreten, erdrückenden Anlass hat, anzunehmen, dass derlei Rücklastschriften erfolgt sind oder werden, schützt sich PayPal. Lastschriften können maximal 180 Tage nach Kontoschließung zurückgezogen werden.

paypalWenn PayPal Guthaben von Kunden vor Ablauf dieser Frist ganz oder teilweise freigeben würde, verstößt PayPal nicht nur gegen einschlägige Bankregularien, welche das Unternehmen zu einer soliden und umsichtigen Geschäftsführung, der Sorgfaltspflicht und angemessenen internen Kontrollmechanismen verpflichtet. Wir riskieren dann auch, dass das PayPal-Konto eines Kunden möglicherweise einen negativen Kontostand auf Grund von Beschwerden und Rückbuchungen aufweist.

Die Limitierung von Kundenkonten erfolgt erst nach sorgfältiger Analyse des Ausfallrisikos, welches auch dem Schutz des jeweiligen Händlers dient. Denn ist das Ausfallrisiko besonders hoch, bewahrt die Limitierung diesen davor, dass sein PayPal-Kundenkonto im Ergebnis nach Auszahlung berechtigter Beschwerden etc. einen negativen Kontostand aufweist.

Lars Sobiraj: Gibt es Pläne die Legitimation der Kontoinhaber per Personalausweis einzuführen? Halten Sie die bisherige Legitimation denn für ausreichend?

paypal verified siegelSchon jetzt führt PayPal auch Verifizierungen durch Anforderung von Personalausweiskopien durch. Außerdem werden bei der Eröffnung eines PayPal-Kundenkontos entweder Bank- oder Kreditkartendaten hinterlegt. Der Kunde hat sich also bereits VOR der Eröffnung eines PayPal-Kontos bei seiner Hausbank bzw. seinem Kreditinstitut über einen Personalausweis legitimiert. Auch die Anforderung der weiter unten kritisierten Haushaltsrechnungen dient einer zuverlässigen und für den Kunden bequemen Verifizierung seiner Identität.

PayPal wurde ohne eBay gegründet

Lars Sobiraj: Hätte es ein PayPal überhaupt ohne eBay gegeben?!

PayPal wurde bereits 1998 gegründet. Von eBay übernommen wurde das Unternehmen erst 2002.

Lars Sobiraj: Wie abhängig ist man, sollte eBay kurzfristig als Eigentümer ausscheiden?

PayPal hat alleine in Deutschland rund 40.000 Händler als Partner, die das Online-Bezahlsystem anbieten. Insofern hat sich PayPal im gesamten Online-Handel mittlerweile als bevorzugtes Zahlsystem etabliert.

„PayPal kann oder möchte darauf nicht antworten.“

Lars Sobiraj: Was die Frage nicht beantwortet. Aber etwas anderes: Seitdem eBay Skype verkauft hat kursieren häufiger Gerüchte, das gleiche Schicksal könnte früher oder später auch die Firmentochter PayPal treffen. Sind Sie deswegen beunruhigt? Wie hoch schätzen Sie die Gefahr ein?

PayPal kann oder möchte darauf nicht antworten.

Lars Sobiraj: Wie sehr sind die Daten von PayPal- und eBay-Usern getrennt? Wie viel Datenaustausch findet zwischen den beiden Firmen bezüglich ihrer Kunden statt?

PayPal unterliegt als Tochterfirma der eBay Inc. den sogenannten Binding Corporate Rules der eBay Inc.. Diese Datenschutzgrundsätze sind von der Luxemburger Datenschutzbehörde CNPD geprüft und als übereinstimmend mit dem europäischen Datenschutzniveau befunden worden. Im Rahmen des sog. gegenseitigen Anerkennungsverfahrens sind die BCR mittlerweile von 17 weiteren nationalen Datenschutzbehörden (u.a. Deutschland) anerkannt worden.

gulli.com interview paypal artesia
Grafik: Artesia, thx!

Lars Sobiraj: Einige User bemängelten den mangelnden Support. Wie soll dieser künftig verbessert werden?

PayPal arbeitet kontinuierlich an der Optimierung seines Supports. In den vergangenen zwei Jahren hat sich die Anzahl der Mitarbeiter im Customer Support vervierfacht.

Lars Sobiraj: Es gibt unzählige Meckerforen, aber kein einziges offizielles Forum bei paypal.de oder paypal.com – wie kommt das?

PayPal kann oder möchte darauf nicht antworten.

Lars Sobiraj: In derartigen Meckerforen wird über häufige Beschlagnahmungen auch bei geringen Verdachtsmomenten gesprochen. Konten wurden und werden eingefroren, Gelder aus „betrügerischen Quellen“ abgezogen. Wie einfach ist es, an sein Geld zu kommen, sollte das Konto eingefroren sein? Welche Rechte habe ich als Kunde? Vor allem, weil nicht nach deutschem Recht gehandelt wird.

PayPal konnte oder wollte auf diese Frage nicht antworten.

Lars Sobiraj: Viele User beschweren sich über den mangelnden Käuferschutz. Was möchten Sie denen entgegnen?

PayPal konnte oder wollte darauf nicht antworten.

Lars Sobiraj: Was gehen die Telefon-, Strom- oder sonstigen Rechnungen von Kunden das Unternehmen an, um legale Handlungen als solche nachzuweisen?

PayPal interessiert sich nicht für die Details der einzelnen Rechnungen. Diese Rechnungen sind lediglich ein Hilfsmittel zur Identifizierung des einzelnen Kontoinhabers. PayPal eröffnet seinen Kunden diese vergleichsweise sehr bequeme Art der Verifizierung, um beispielsweise limitierte Konten schnellstmöglich wieder freigeben zu können.

Ein an dieser Stelle vereinfachtes Beispiel zum Verständnis: Ein Verkäufer verkauft gewerblich Sicherheits- und Stricknadeln und empfängt die Zahlungen seiner Kunden über PayPal. Plötzlich bietet er innerhalb kürzester Zeit hunderte von neuen iPhones zu außergewöhnlich und marktunüblich günstigen Konditionen zum Verkauf an. Ein solcher Fall könnte ausreichende Verdachtsmomente bieten, weshalb PayPal das Konto limitiert. In einem solchen Fall kann der Verkäufer zum Beispiel durch entsprechende Lieferanten- Dokumente nachweisen, dass es sich z. B. nicht um Hehler-Ware bzw. Diebesgut handelt.

„PayPal kann oder möchte darauf nicht antworten.“

Lars Sobiraj: Wäre die Verfolgung von Cyberkriminalität o.ä. nicht eher die Aufgabe der Ermittlungsberhörden des jeweiligen Landes? Warum sperrt man die Gelder im Zweifelsfall? Wie viele Anzeigen erfolgen pro Jahr? Wie viele Konten werden im Durchschnitt eingefroren? Was passiert mit den Geldern bzw. den Zinsen?

PayPal konnte oder wollte darauf nicht antworten.

Lars Sobiraj: Kann man denn mittlerweile als Kunde von eBay die Rechnungen via PayPal bezahlen? Wenn nein, warum nicht? Kritiker behaupten, es wäre schlichtweg sicherer dafür Kreditkarten einzusetzen.

PayPal konnte oder wollte darauf nicht antworten.

paypal firefox attackierende webseiteLars Sobiraj: Wie wir hörten ist das Unternehmen in der Lage bei Usern des Firefox Webseiten als attackierend gemeldete Websites deklarieren zu lassen. Technisch läuft das so ab: Wenn jemand von Ihrer Webseite die file_get php Funktion aufruft, also den html quelltext einliest und ihn auf einer anderen Website wieder ausgibt. Für die entsprechenden Webseitenbetreiber ist dies ein großes Problem. Die Surfer bekommen dann nämlich (via Firefox) diese Meldung zu Gesicht (siehe Bild rechts).

Wie geht dies vonstatten? Der Hinweis müsste von PayPal an Google und weiter an Mozilla gegangen sein. Mit welchem Recht wird dies durchgeführt?

PayPal konnte oder wollte auch auf diese Frage nicht antworten.

Tarnkappe.info

Lars Sobiraj

Über

Lars Sobiraj fing im Jahr 2000 an, als Quereinsteiger für verschiedene Computerzeitschriften tätig zu sein. 2006 kamen neben gulli.com noch zahlreiche andere Online-Magazine dazu. Er ist der Gründer von Tarnkappe.info. Außerdem brachte Ghandy, wie er sich in der Szene nennt, seit 2014 an verschiedenen Hochschulen und Fortbildungseinrichtungen den Teilnehmern bei, wie das Internet funktioniert.