ZAHLEN IM INTERNET PER KREDITKARTE ist für den Endkunden unproblematisch. Für den Händler bedeutet es jedoch, dass er zuvor manche Hürde meistern muss. Da ist zum einen die im Fachjargon Acquirer genannte Händlerbank, die auf Grund inhaltlicher Kriterien die Entscheidung fällt, ob ein Händler einen Akzeptanzvertrag erhält oder nicht. Da ist zum anderen das Kreditkarteninstitut, das ein technisches Sicherheitszertifikat von den Händlern fordert, und da sind dann noch juristische Anforderungen, die oft unter den Tisch fallen und den Händler teuer zu stehen kommen können. Wenn sich ein Händler an einen Acquirer wendet, so will dieser eine ganze Menge wissen, bevor er eine „Vertragsunternehmernummer“ (VU-Nummer) freigibt, die den Händler als Vertragspartner eines Kreditkartenunternehmens identifiziert. Neben „offiziellen“ Anforderungen wie Fragen nach der Reisepassnummer, der Privatanschrift, dem Geburtsdatum des Firmeneigentümers und dem geschätzten Jahres-Transaktionsvolumen ziehen fast alle Acquirer weitere, nicht einmal hinter vorgehaltener Hand ausgesprochene Risikoaspekte zur Bewertung der Händler heran – und hier kann es kritisch werden.
Undurchschaubare Kriterien der Banken
Rüdiger Stahlschmidt von der Pressestelle der Citigroup: „Ob ein Akzeptanzvertrag in Betracht kommt, ermittelt ein Außendienstler anhand von mehreren Risiko- und Sicherheitsaspekten in Zusammenarbeit mit dem Händler.“ Doch welche das genau sind, erläutern sowohl die Citigroup als auch andere Acquirer äußerst unwillig und oberflächlich.
Denn neben Routineanfragen an anerkannte Auskunfteien wie Schufa, Creditreform oder Deltavista werden auch Auskunftsquellen in der juristischen Grauzone herangezogen, die den brachenüblichen Ruf oder gelöschte Dateien von Behörden gewichten. Aber nicht nur der Ruf spielt bei der Beurteilung eine Rolle, sondern auch die Branche. „Die ausgesprochene Empfehlung ist selbstverständlich abhängig von den angebotenen Waren oder Dienstleistungen“, so Stahlschmidt. Markus Solmsdorff, Business Develop Manager bei dem Acquirer Postbank P.O.S. Transact GmbH, ergänzt: „Zu internen Prüfungskriterien kann ich nichts sagen, aber es gibt natürlich branchenbezogene Ausschlusslisten.“ Zu diesen Branchen gehören klassischerweise Gaming, Erotik und Entertainment. Solmsdorff: „Erfahrungsgemäß kommen hier wesentlich öfter Unregelmäßigkeiten vor. Deswegen lehnen wir hier Akzeptanzverträge regelmäßig ab.“ Sex sells gilt also nicht unbedingt für die Acquirer.
Zudem muss der Händler technische Anforderungen erfüllen, wenn er sich für eine Payment-Lösung entschieden hat, bei der er Kreditkartendaten innerhalb seines Unternehmens speichert. Denn dann muss er sich bei Visa und Mastercard um ein Sicherheitszertifikat bemühen, das ein von den beiden jeweiligen Kreditkartengesellschaften gelistetes Zertifizierungsunternehmen abnehmen muss. Diners Club hingegen verzichtet in Deutschland mangels Verbreitung derzeit auf ein solches Zertifikat, American Express ebenfalls.
Harte Prüfungen für ein Zertifikat
Thomas Früh, Risikomanager bei dem Anbieter von Risikomanagement-Lösungen Wirecard und seit kurzem Inhaber beider Zertifikate, sagt: „Da wir Kreditkartendaten in den eigenen Unternehmensräumen speichern, brauchten wir dieses Zertifikat. Kein Problem, dachten wir, sind wir doch technisch auf dem aktuellsten Stand, und Sicherheit waren bei uns noch nie ein Problem. Doch der Einfallsreichtum der Anforderungen hat uns wirklich überrascht.“ Sechs Unternehmensbereiche müssen eine eingehende Prüfung über sich ergehen lassen: Security Management, Access Management, operative Sicherheit, Anwendungs- und Systementwicklung, Netzwerksicherheit und schlussendlich die physische Sicherheit.
In jedem Bereich gibt es „Soll“ und „Muss“-Kriterien. Zu den Muss-Kriterien im Bereich Zugangskontrolle gehören etwa der User-Name und die Passwort- Authentifizierung. Zu den Soll-Kritierien zählt hier unter anderem ein passwortgeschützter Bildschirmschoner. Eine Muss-Anforderung bei der operativen Sicherheit ist das verschlüsselte Speichern der Kartendaten in Datenbanken und Backup-Medien, ein Soll-Kriterium die persönliche Firewall auf allen Arbeitsplatzrechnern. Wirecard-Mann Früh: „Aber auch im Bereich Human Resources war einiges zu beachten, etwa neue Schlüssel, um die Einzelbüros der mit sensiblen Daten befassten Mitarbeiter zu sichern.“
Neben diesen technischen und baulichen Anforderungen stellt ein solches Zertifikat auch Anforderungen an die „Ressource Mensch“. „Wenn sich die Kollegen querstellen, dann hat ein Unternehmen keine Chance, so ein Zertifikat zu bekommen“, so Früh, „die meisten nahmen Unannehmlichkeiten gelassen hin. Doch es gab auch ein paar Querulanten.“ So etwa ein Vorgesetzter, der partout nicht einsehen wollte, warum sich künftig alle Firmencomputer nach zehn Minuten aus Sicherheitsgründen automatisch sperren und der für sich eine Sonderregelung forderte.
Achtung – Bundesdatenschutzgesetz
Hürde Nummer drei ist zwar keine zwingende Voraussetzung, um einen Kreditkartenakzeptanzvertrag zu bekommen. Doch Nachlässigkeiten in Sachen Datenschutz kann für einen Online-Händler zu empfindlichen Konsequenzen führen. Verstöße gegen das Bundesdatenschutzgesetz (BDGS) sind alles andere als Kavaliersdelikte: Bereits eine nicht ordnungsgemäße Datenbestandshaltung kann ein Bußgeld von bis zu 25000 Euro nach sich ziehen, und Verstöße gegen personenbezogene Daten werden sogar mit bis zu 100000 Euro Bußgeld und einer Freiheitsstrafe von bis zu zwei Jahren bestraft. Thomas Lauer, Datenschutzexperte und geschäftsführender Gesellschafter beim Systemhaus Glöckler & Lauer: „Allein wenn ein Händler und nicht ein Prozessor - also ein Dienstleister, der sich um die technische Händleranbindung kümmert – die Kreditkartendaten an die Banken weiterleitet, wird das BDSG berührt.“ Das BDSG gilt für alle im Inland verarbeiteten personenbezogenen Daten – auch wenn der Wohnsitz des Betroffenen im Ausland ist. Wenn nun ein Händler beispielsweise Anschrift, Geburtsdatum oder zuletzt gekaufte Artikel in einem CRM-Tool speichert, dann bedeutet das auf jeden Fall eine Kollision mit dem Datenschutzgesetz. Lauer: „Die wenigsten Händler beachten, dass sie in diesem Fall sogar unter die Schutzstufe D des BDSG fallen.“
Sicherheitskonzepte sind dringend nötig
Das Schutzstufenkonzept als Anhang des Bundesdatenschutzgesetzes unterteilt nach dem Grad möglicher Beeinträchtigung schutzwürdiger Belange in fünf Schutzstufen. Stufe D, das ist die zweithöchste, befasst sich mit personenbezogenen Daten, deren Missbrauch die gesellschaftliche Stellung oder die wirtschaftlichen Verhältnisse des Betroffenen erheblich beeinträchtigen kann. Wer also Daten verarbeitet, die unter diese Schutzstufe fallen, muss in seinem Unternehmen diverse Sicherheitsbereiche einrichten.
Sicherheitsbereich eins gilt für die Datenerfassung, Programmierung und Anwendung, Sicherheitsbereich zwei für Bürobereiche wie die Systemprogrammierung, Sicherheitsbereich drei umfasst den Serverraum und das Datenträgerarchiv. Lauer: „Rechnerraum und Datenträgerarchiv etwa müssen baulich voneinander getrennt sein – aber welcher Online-Händler achtet schon darauf?“ DIN-Vorschriften, etwa hinsichtlich der Glasdicke bei Außenfenstern oder Feuerwiderstandsklassen von Brandschutztüren, konkretisieren diese Anforderungen. Lauer: „Was die wenigsten Händler wissen: Abhängig vom Bundesland kontrollieren stichprobenartig die Landesdatenschutzbeauftragten oder entsprechende andere Stellen, ob die Bestimmungen eingehalten werden.“
Wer als Händler diesen umfangreichen Kreditkarten- Parcours scheut, braucht sich dennoch hinsichtlich der Zahlungsmethoden nicht aufs Abstellgleis geschoben zu fühlen. Denn wie eine Untersuchung der Unternehmensberatung Mummert Consulting in 2003 ergab, sind bei den Kunden die Zahlungswege Lastschrift (70 Prozent), Rechnung und Online-Überweisung (68 Prozent), Nachnahme (60 Prozent) und Online- Lastschrift (53 Prozent) beliebter als die Zahlung per Kreditkarte (49 Prozent).