Wie Kriminelle das "Bezahlen ohne PayPal-Konto" missbrauchen

Stand:
Mit dem Begriff "Gastkonto-Masche" wird im Internet über einen Betrug via PayPal diskutiert, bei dem Kriminelle fremde IBAN für Einkäufe missbrauchen. Schutz für Betroffene gibt es kaum.
Hand hält Smartphone mit dem Logo von PayPal

Das Wichtigste in Kürze:

  • Kriminelle können mit fremden Kontodaten im Internet einkaufen – zum Beispiel über PayPal.
  • Betroffene sollten unberechtigten Forderungen widersprechen und Anzeige bei der Polizei erstatten.
  • Unberechtigt abgebuchtes Geld können Sie von Ihrer Bank zurückbuchen lassen.
On

IBAN-Missbrauch bei Gastzahlungen

Kristian W. aus dem nördlichen Nordrhein-Westfalen ist fassungslos: Der Zahlungsdienstleister PayPal möchte 56,75 Euro von ihm haben – für einen Einkauf, von dem er nichts weiß. Er fragt bei PayPal nach und erfährt, dass das Geld von seinem Bankkonto nicht abgebucht werden konnte. "Das Konto existiert seit 2018 nicht mehr", erklärt W. Er bezahlt die Forderung nicht, denn er hat nichts bestellt. PayPals Reaktion: Ein Brief einer Inkasso-Kanzlei. Die fordert nun 88,25 Euro.

W. hat zwar einen PayPal-Account, aber seine alte IBAN daraus längst gelöscht. Er findet heraus, dass irgendjemand offensichtlich seine IBAN beim Online-Shopping über die Funktion "Zahlen ohne PayPal-Konto" eingegeben hat. Bei dieser Methode, auch "Gast-Konto" oder "Gastzahlung" genannt, erlaubt PayPal das Bezahlen per Lastschrift, ohne dass ein PayPal-Konto angelegt wird. "PayPal hat dabei die Rolle eines Zahlungsabwicklers, der dafür zuständig ist, dass die per Lastschrift oder Kreditkarte geleistete Zahlung des Käufers dem PayPal-Konto des Händlers gutgeschrieben wird", erklärt eine PayPal-Sprecherin auf unsere Anfrage. Wird dabei geprüft, ob die angegebene IBAN auch der Person gehört, die gerade die Bestellung tätigt? Dazu antwortet sie uns nur allgemein: "PayPal führt im Rahmen der Maßnahmen zu Risikomanagement und Betrugsprävention Sicherheitsprüfungen bei der Abwicklung von Zahlungen durch."

"Wie ein Hotel, das nur nach einer Visitenkarte fragt"

Details nennt PayPal nicht. In den Bestimmungen für Zahlungen ohne PayPal-Konto wird überhaupt keine Aussage dazu getroffen, ob und wie angegebene IBAN oder Identitäten geprüft werden. Identitätsprüfungen finden offenbar nur statt, wenn man ein PayPal-Konto eröffnet. Kristian W. vergleicht das mit einem "Hotel, das von einem Gast lediglich eine Visitenkarte als Identifikation verlangt (und nicht etwa einen Lichtbild-Ausweis oder eine Kreditkarte mit PIN). Nach Abreise des Gastes verschickt das Hotel die Rechnung einfach an die auf der Visitenkarte ausgewiesene Adresse."

Im Online-Forum "PayPal Community" wird das Thema hitzig diskutiert. Einige Fragen daraus haben wir auch PayPals Sprecherin gestellt. Zum Beispiel, warum es keine Möglichkeit gibt, die eigene IBAN eines PayPal-Kontos für Gastzahlungen und somit potenziellen Missbrauch zu sperren. Und warum PayPal bei Gastzahlungen (anders als beim Eröffnen eines PayPal-Kontos) keinen Cent-Betrag auf die angegebene IBAN überweist und einen Code in den Verwendungszweck schreibt, den man zur Identitätsprüfung dann bei PayPal angeben muss. Auf beide Fragen bekamen wir keine Antwort.

Das sollten Betroffene unternehmen

Das Problem des Identitäts- und IBAN-Diebstahls betrifft längst nicht nur PayPal. So gab es 2021 Meldungen über die App eines Discounters, mit der man durch Eingabe einer beliebigen IBAN an der Kasse bezahlen konnte. Auch aktuell lassen sich Deutschlandtickets bei verschiedenen Verkehrsverbünden offenbar über eine beliebige IBAN abonnieren und werden zu günstigeren Preisen von Kriminellen zum Verkauf angeboten. Die betroffenen Kontonummern können Kriminelle aus unterschiedlichsten Quellen haben: aus früheren Datenlecks bei Unternehmen oder aus erfolgreichen Hacking-Angriffen, aus Datenbanken im Darknet, durch das Datensammeln mithilfe unseriöser Gewinnspiele – letztlich kann man über die Herkunft nur spekulieren.

Wenn Sie bemerken, dass unberechtigt Geld von Ihrem Konto abgebucht wurde, sollten Sie

  1. der Forderung des Unternehmens widersprechen, da die Abbuchung unerlaubt stattfand.
  2. den Betrag von Ihrer Bank zurückbuchen lassen! Dafür haben Sie bei Lastschriften im Normalfall 8 Wochen nach dem Buchungsdatum Zeit, bei unberechtigten Abbuchungen 13 Monate.
  3. Anzeige erstatten! Denn jemand hat Ihre Daten missbraucht. Falls Inkassoforderungen kommen sollten, können Sie sie mit Vorlage der Anzeige bestreiten.
  4. Wichtig zu wissen: Wenn Sie Forderungen bestreiten, darf kein Eintrag in Auskunfteien wie z. B. bei der Schufa erfolgen. Deshalb empfehlen wir immer, dass Sie handeln statt Forderungen auszusitzen.

Grundsätzlich sollten Sie sensible Daten wie Ihre IBAN so selten wie möglich angeben und schon gar nicht irgendwo öffentlich lesbar hinterlassen. Wenn Daten durch Hacker-Angriffe oder Datenlecks gestohlen werden oder durch erfolgreiches Phishing in fremde Hände gelangen, bleiben Ihnen nur die oben genannten Empfehlungen. Prüfen Sie Ihre Kontobewegungen deshalb regelmäßig!

Hilfe der Verbraucherzentrale

Kristian W. hat unsere Ratschläge befolgt: Anzeige erstattet und die Inkassoforderung bestritten. PayPal hat die Forderung fallen lassen. Wenn Sie in einer ähnlichen Situation sind, helfen Ihnen unsere Rechtsfachleute in einer Beratung gerne weiter.

Reichstagsgebäude in Berlin, Foto: Fotolia.de - niroworld

Bilanz des vzbv nach Ampel-Aus: Vieles ist offen geblieben

Die Ampel-Regierung wollte mehr Fortschritt wagen und sich für Verbraucher:innen stark machen. Die Bilanz des Verbraucherzentrale Bundesverbands (vzbv) nach Ende der Regierungszeit ist durchwachsen.
Ein Handydisplay, auf dem Prime Video steht

Verbraucherzentrale NRW plant Sammelklage gegen Amazon

Millionen Kunden von Amazon mit einer Amazon Prime-Mitgliedschaft haben zum 15. September 2022 eine Preiserhöhung erhalten. Diese ist aus Sicht der Verbraucherzentrale NRW rechtswidrig und mit einer geplanten Sammelklage will die Verbraucherzentrale NRW die zu Unrecht gezahlten Beträge für Verbraucher:innen zurückholen. Amazon soll ihnen die Differenz zwischen altem und neuem Preis seit der Preiserhöhung erstatten.
Lachender Mann mit Geldscheinen in der Hand

Vergleich mit primaholding: Unternehmen erstatten teils vierstellige Beträge

Der Verbraucherzentrale Bundesverband (vzbv) hatte mit primastrom, voxenergie und nowenergy einen Vergleich geschlossen. Es ging dabei um überhöhte Preise und unangemessene Vertragslaufzeiten. Bis zum 31. Dezember 2024 konnten Sie sich an die Unternehmen wenden und sich auf den Vergleich berufen.