expertenaustausch > soc.recht.* > soc.recht.misc

Andreas Borutta (15.05.2017, 16:39)
Moin.

Ein mir Unbekannter hat unter meiner Postadresse und meinem vollen
Namen bei Paypal ein neues Konto eröffnet.

Sein Konto ist seit Monaten nicht ausgeglichen, wie ich vor einigen
Tagen durch ein Schreiben von einem durch Paypal beauftragten
Inkassounternehmen erfuhr.
Im Schreiben wird eine hohe Forderung gestellt.

Strafanzeige gegen Unbekannt ist am gleichen Tag raus.
Nachricht an das Inkassounternehmen und Paypal ebenso.

Die Sachlage zu meinem Fall ist klar, da der Unbekannte sein Konto
unter einer Mailadresse (wurde im Schreiben des Inkassounternehmens
erwähnt) registriert hat, die nicht meine ist.

Mir geht es hier in diesem Posting darum, wie ihr das Verhalten von
Paypal bewertet.

Wie der Fall zeigt, findet keinerlei Prüfung statt, wenn sich jemand
mit der exakten Postadresse (inklusive Namen) eines bereits
existierenden Kontos neu registriert.
Das geht auch aus Aussagen von Paypal-Mitarbeitern hervor, die ich
telefonisch und auf Facebook erhielt.

Ist das hinzunehmen? Oder seht ihr Sorgfaltspflichten durch die Bank
(Sitz in Luxemburg) verletzt?

Auf meine Frage an Paypal, warum Sie nicht in solchen Fällen an den
bereits registrierten Kunden eine Rückfrage wie z.B.

"Herr ..., es möchte sich jemand unter Ihrem Namen und ihrer exakten
Adresse ein neues Konto bei uns registrieren. Sind Sie das selber oder
ist Ihnen einen Namensvetter in Ihrem Haus bekannt?"

erhielt ich die Antwort, dass "sei aus datenschutzrechtlichen Gründen
nicht möglich".

Bevor ich jetzt den Datenschutzbeauftragten belästige:
Weiß jemand, ob eine solche Rückfrage wie oben skizziert gegen
geltendes Recht verstoßen würde?

Zusammengefasst:
Müssen bereits registrierte Kunden von Online-Bank-Diensten hinnehmen,
dass beliebige Dritte den Namen und die Adresse des registrierten
Kunden für eine Neuregistrierung verwenden - ohne dass in solchen
Fällen "besonders sorgfältige und geeignete zusätzliche Prüfungen
stattfinden"?

Danke.

Andreas
Stefan Froehlich (15.05.2017, 16:50)
On Mon, 15 May 2017 16:39:09 Andreas Borutta wrote:
> Wie der Fall zeigt, findet keinerlei Prüfung statt, wenn sich jemand
> mit der exakten Postadresse (inklusive Namen) eines bereits
> existierenden Kontos neu registriert.
> [...]


> Auf meine Frage an Paypal, warum Sie nicht in solchen Fällen an
> den bereits registrierten Kunden eine Rückfrage [stellen] erhielt
> ich die Antwort, dass "sei aus datenschutzrechtlichen Gründen
> nicht möglich".


> Bevor ich jetzt den Datenschutzbeauftragten belästige:
> Weiß jemand, ob eine solche Rückfrage wie oben skizziert gegen
> geltendes Recht verstoßen würde?


Die Antwort auf genau diese Frage hat Thomas lustigerweise erst gestern
in <dsrm.1705140010.309> gegeben:
| "Datenschutz" ist erwartungsgemäß eine ganz hervorragende
| Begründung für welche Handlungsweise auch immer, die sehr viel
| häufiger akzeptiert wird als es eine langwierige Erklärung der
| tatsächlichen Sachlage würde.

In erster Näherung würde ich darauf tippen, dass die tatsächliche
Sachlage in diesem Fall "ist uns zu aufwändig und zu teuer" lautet.

In zweiter Näherung könnte man natürlich argumentieren, dass der
erste und der zweite Kunde nicht identisch sein müssen (so wie es
hier ja tatsächlich der Fall ist), und daher den ersten Kunden der
betrügerische Versuch des zweiten Kunden nichts angeht. Von daher
wäre eine Rückfrage aus *diesem* Motiv vielleicht tatsächlich
verkehrt, nur:

> Zusammengefasst:
> Müssen bereits registrierte Kunden von Online-Bank-Diensten
> hinnehmen, dass beliebige Dritte den Namen und die Adresse des
> registrierten Kunden für eine Neuregistrierung verwenden - ohne
> dass in solchen Fällen "besonders sorgfältige und geeignete
> zusätzliche Prüfungen stattfinden"?


Ich sehe nicht, dass die bereits bestehende Registrierung einen
Unterschied macht und würde erwarten, das sich PayPal in *jedem*
Fall vergewissern muss, wer tatsächlich hinter der - ansonten
de facto so gut wie anonymen - Registrierung steckt. Andere
Zahlungsdienstleister können und tun das schließlich auch.

Servus,
Stefan
Wolfgang Jäth (15.05.2017, 19:41)
Am 15.05.2017 um 16:39 schrieb Andreas Borutta:
> Die Sachlage zu meinem Fall ist klar, da der Unbekannte sein Konto
> unter einer Mailadresse (wurde im Schreiben des Inkassounternehmens
> erwähnt) registriert hat, die nicht meine ist.


Aber wie willst Du ggf. /beweisen/, dass die Emailadresse *nicht* dir
gehört? Man kann schließlich problemlos mehrere haben, und genau so wie
dieser Betrüger hättest auch du diese Adresse theoretisch einrichten
können ...

> Auf meine Frage an Paypal, warum Sie nicht in solchen Fällen an den
> bereits registrierten Kunden eine Rückfrage wie z.B.
> "Herr ..., es möchte sich jemand unter Ihrem Namen und ihrer exakten
> Adresse ein neues Konto bei uns registrieren. Sind Sie das selber oder
> ist Ihnen einen Namensvetter in Ihrem Haus bekannt?"
> erhielt ich die Antwort, dass "sei aus datenschutzrechtlichen Gründen
> nicht möglich".


Das BDSG /verbietet/ in keinster Weise, den Betroffenen über Änderungen
o. ä. seiner Daten zu benachrichtigen. Allerdings /verpflichtet/ es ein
Unternehmen auch nicht dazu, außer bei der *erstmaligen* Speicherung,
und sofern der Betroffene nicht eh von der Speicherung Kenntnis hat
(weil er z. B. selbige durch Anmelden o. ä. selber initiiert hat). Eine
juristische Grauzone diesbezüglich stellen solche Identitätsdiebstähle
dar, denn den Buchstaben des Gesetzes folgend müsste das Unternehmen den
Betroffenen (der ja nicht der Agierende ist) /eigentlich/ über die
erstmalige Speicherung informieren, unterlässt dies aber in der Annahme,
er wüsste als derjenige, der wo welcher, eh bereits davon.

> Bevor ich jetzt den Datenschutzbeauftragten belästige:


Denk auch an Schufa & Konsorten; lass auch das Thema "Weitergabe von
Daten" (Empfänger, Zweck, Inhalt, Löschung oder Sperrung wegen
Unrichtigkeit) gleich mit abklären.

> Weiß jemand, ob eine solche Rückfrage wie oben skizziert gegen
> geltendes Recht verstoßen würde?


Nein, eher im Gegenteil (s. o.).

> Zusammengefasst:
> Müssen bereits registrierte Kunden von Online-Bank-Diensten hinnehmen,
> dass beliebige Dritte den Namen und die Adresse des registrierten
> Kunden für eine Neuregistrierung verwenden


Nein, natürlich nicht; aber das ist eine strafrechtliche Frage, keine
privatrechtliche.

> - ohne dass in solchen
> Fällen "besonders sorgfältige und geeignete zusätzliche Prüfungen
> stattfinden"?


Es ist das Risiko der Bank, welche Sorgfalt sie auf die Prüfungen bei
der Einrichtung neuer Konten aufwendet; als Kunde hast Du jedoch keinen
Anspruch auf einen bestimmten Aufwand o. ä.

Und wie alles im Kapitali^W^Wder Wirtschaft ist das wahrscheinlich eine
reine Frage des Geldes: Wenn der Schaden durch solche betrügerische
Aktionen die Kosten für zusätzliche Prüfungen überschreiten, werden
selbige eingeführt werden, vorher nicht.

Wolfgang
Ulrich Maier (15.05.2017, 20:57)
Am 15.05.2017 um 16:39 schrieb Andreas Borutta:

> Zusammengefasst:
> Müssen bereits registrierte Kunden von Online-Bank-Diensten hinnehmen,
> dass beliebige Dritte den Namen und die Adresse des registrierten
> Kunden für eine Neuregistrierung verwenden - ohne dass in solchen
> Fällen "besonders sorgfältige und geeignete zusätzliche Prüfungen
> stattfinden"?


Ich finde es interessanter, dass eine europäische Bank offenbar Konten
anlegen darf, ohne eine Identitätskontrolle vornehmen zu müssen. Bei
Online-Banken, die ich kenne, identifiziert man sich über das
Postidentverfahren. Geht es bei Paypal ohne?

Zu den "Sanktionslisten" siehe zum Beispiel:
. Zum Abgleich ist jeder
verpflichtet. Auch Deine Hausbank wird Deine Namen regelmäßig abgleichen.

Ulrich
Ludger Averborg (15.05.2017, 23:40)
On Mon, 15 May 2017 20:57:54 +0200, Ulrich Maier
<invalid> wrote:

>Am 15.05.2017 um 16:39 schrieb Andreas Borutta:
>Ich finde es interessanter, dass eine europäische Bank offenbar Konten
>anlegen darf, ohne eine Identitätskontrolle vornehmen zu müssen. Bei
>Online-Banken, die ich kenne, identifiziert man sich über das
>Postidentverfahren. Geht es bei Paypal ohne?

Ich denke, in D ist Paypal keine Bank sondern nur ein
Zahlungsdienstleister.

Ich hätte gedacht, wesentliche Kennzeichen für die
Identifikation sind die Mailadresse (nur über die Mailadr.
(und das Passwd) identifiziert man sich gegenüber Paypal,
Name und Adresse werden nie verwendet) und der Zahlungsweg
(Kreditkarte oder SEPA Lastschrift). Der Zahlungsweg wird
übrigens von Paypal überprüft.

>Zu den "Sanktionslisten" siehe zum Beispiel:
>. Zum Abgleich ist jeder
>verpflichtet. Auch Deine Hausbank wird Deine Namen regelmäßig abgleichen.

Ich hab auch noch diverse andere Zahlungsdienste. "Postpay"
z. B. Da sind auch noch nie Namen abgeglichen worden. Da
identifiziere ich mich auch mit email-adr plus einen passwd.
Ich vermute, dass das eben nur bei Banken nötig ist.

l.
Andreas Borutta (16.05.2017, 08:31)
Andreas Borutta schrieb:

> Wie der Fall zeigt, findet keinerlei Prüfung statt, wenn sich jemand
> mit der exakten Postadresse (inklusive Namen) eines bereits
> existierenden Kontos neu registriert.
> Das geht auch aus Aussagen von Paypal-Mitarbeitern hervor, die ich
> telefonisch und auf Facebook erhielt.


Mittlerweile habe ich noch eine weitere Antwort eines
Paypal-Mitarbeiters Ben auf der öffentlichen Facebookseite des
Unternehmens erhalten.
Dabei ging es um die Frage, ob wenigstens unmittelbar /vor/ der
Einleitung eines Inkassoverfahrens eine Kontaktaufnahme/ein
Klärungsversuch mit allen Kunden erfolgt, die mit der spezifischen
Postadresse registriert sind.

Kurze Antwort: So etwas findet nicht statt.

| PayPal hat die im Konto hinterlegte E-Mail-Adresse (vermutlich vom
| Betrüger erstellt) kontaktiert. Erfolgt hier keine Antwort wird die
| hinterlegte Rufnummer mehrfach angerufen. Erfolgt auch hier keine
| Antwort, wird die Angelegenheit an ein Inkasso-Büro weitergegeben.
| Es wird immer versucht mit dem Kontoinhaber in Kontakt zu treten,
| andere Konten die möglicherweise den gleichen Namen tragen können
| hierfür aber nicht genutzt werden.

Jeder Neukunde mit Betrugsabsicht kann also andere registrierte Kunden
in ein Inkassoverfahren treiben.
Jederzeit.
Mühelos.
Völlig unbehelligt von Paypal.

Andreas
Hans Wein (16.05.2017, 09:06)
Am 15.05.2017 um 23:40 schrieb Ludger Averborg:

> Ich hätte gedacht, wesentliche Kennzeichen für die
> Identifikation sind die Mailadresse (nur über die Mailadr.
> (und das Passwd) identifiziert man sich gegenüber Paypal,
> Name und Adresse werden nie verwendet) und der Zahlungsweg
> (Kreditkarte oder SEPA Lastschrift). Der Zahlungsweg wird
> übrigens von Paypal überprüft.


An die Überprüfung des Zahlungsweges bei der Ersteinrichtung kann ich
mich auch noch erinnern: Es wurde auf das angegebene Bankkonto ein
Betrag von 1 ct überwiesen, und den erfolgtem Zahlungseingang musste man
bei PayPal zurückmelden. Wer sich erstmals bei PayPal anmelden will,
muss demnach also Zugriff auf ein Bankkonto (oder eine Kreditkarte) haben.

Was offenbar dabei nicht nicht bemerkt wird, wären unterschiedliche
Namen bei Anmelder und Kontoinhaber.

Hans
Ludger Averborg (16.05.2017, 09:33)
On Tue, 16 May 2017 09:06:40 +0200, Hans Wein
<hwein_nospam_> wrote:

>Am 15.05.2017 um 23:40 schrieb Ludger Averborg:
>An die Überprüfung des Zahlungsweges bei der Ersteinrichtung kann ich
>mich auch noch erinnern: Es wurde auf das angegebene Bankkonto ein
>Betrag von 1 ct überwiesen, und den erfolgtem Zahlungseingang musste man
>bei PayPal zurückmelden.


Bei mir wurden damals zwei unterschiedliche Beträge
überwiesen (38 Cent und 4 Cent), die ich zurückmelden
musste.

>Wer sich erstmals bei PayPal anmelden will,
>muss demnach also Zugriff auf ein Bankkonto (oder eine Kreditkarte) haben.
>Was offenbar dabei nicht nicht bemerkt wird, wären unterschiedliche
>Namen bei Anmelder und Kontoinhaber.
>Hans


l.
Andreas Borutta (16.05.2017, 10:42)
Andreas Borutta schrieb:

> Jeder Neukunde mit Betrugsabsicht kann also andere registrierte Kunden
> in ein Inkassoverfahren treiben.
> Jederzeit.
> Mühelos.
> Völlig unbehelligt von Paypal.


Ich möchte gerne die öffentlichen Aussagen von Paypal auf ihrer
Facebookseite zum geschilderten Fall sichern (da sie ja das Recht
haben, jederzeit die gesamte Konversation zu löschen).

Daher kurze OT-Frage:
Weiß jemand, wie man sämtliche Nachrichten/Antworten einer solchen
Konversation "expandiert"?
Die meisten Inhalte liegen hinter "Mehr anzeigen"/ "Antworten
anzeigen". Und es ist sehr mühsam händisch alles zu expandieren.

Andreas
Frank Hucklenbroich (16.05.2017, 10:57)
Am Mon, 15 May 2017 20:57:54 +0200 schrieb Ulrich Maier:

> Am 15.05.2017 um 16:39 schrieb Andreas Borutta:
> Ich finde es interessanter, dass eine europäische Bank offenbar Konten
> anlegen darf, ohne eine Identitätskontrolle vornehmen zu müssen.


Ist Paypal denn eine Bank, oder nicht vielmehr ein Zahlungsdienstleister,
so wie Mastercard oder Visa?

> Bei
> Online-Banken, die ich kenne, identifiziert man sich über das
> Postidentverfahren. Geht es bei Paypal ohne?


Jein. Du musste ein Bankkonto bei einer richtigen Bank angeben. Darauf wird
Dir 1 Cent überwiesen, zusammen mit einem PIN-Code als Betreff. Mit diesem
PIN-Code schaltet man dann sein Paypal-Konto frei.

Und beim richtigen Bankkonto musste man sich ja vorher identifizieren,
völlig anonym geht die Sache also nicht.

Insofern ist mir auch nicht ganz klar, wie die Aktion beim OP abgelaufen
sein soll. Der Betrüger muss ja zumindest ein echtes Bankkonto zur
Verfügung gehabt haben. Aber evtl. prüft Paypal nicht, ob der Name des
Kontoinhabers identisch ist mit demjenigen, der einen Paypal-Account
einrichten will?

Grüße,

Frank
Andreas Borutta (16.05.2017, 11:09)
Frank Hucklenbroich schrieb:

> Insofern ist mir auch nicht ganz klar, wie die Aktion beim OP abgelaufen
> sein soll. Der Betrüger muss ja zumindest ein echtes Bankkonto zur
> Verfügung gehabt haben. Aber evtl. prüft Paypal nicht, ob der Name des
> Kontoinhabers identisch ist mit demjenigen, der einen Paypal-Account
> einrichten will?


Ich vermute, dass keinerlei Abgleich von Daten mit der "echten Bank"
stattfindet.
Ansonsten hätte Paypal ja bemerken können, dass der Inhaber des
"echten Kontos" nicht übereinstimmt mit den Angaben zur Identität bei
Paypal.

Andreas
Ulrich Maier (16.05.2017, 11:43)
Am 16.05.2017 um 10:57 schrieb Frank Hucklenbroich:
> Am Mon, 15 May 2017 20:57:54 +0200 schrieb Ulrich Maier:
> Ist Paypal denn eine Bank, oder nicht vielmehr ein Zahlungsdienstleister,
> so wie Mastercard oder Visa?


Im Impressum steht: "PayPal (Europe) S.à r.l. et Cie, S.C.A. wird
EU-weit als Bank geführt. Aufsichtsbehörde ist die luxemburgische
Bankenaufsicht CSSF (Commission de Surveillance du Secteur Financier)."

> Jein. Du musste ein Bankkonto bei einer richtigen Bank angeben. Darauf wird
> Dir 1 Cent überwiesen, zusammen mit einem PIN-Code als Betreff. Mit diesem
> PIN-Code schaltet man dann sein Paypal-Konto frei.
> Und beim richtigen Bankkonto musste man sich ja vorher identifizieren,
> völlig anonym geht die Sache also nicht.


Ich wüsste gerne, wieso Paypal ohne Identifzierung auskommt. Da Paypal
hinlänglich bekannt und lange genug auf dem Markt ist, geschieht das ja
auf jeden Fall rechtskonform.

> Aber evtl. prüft Paypal nicht, ob der Name des
> Kontoinhabers identisch ist mit demjenigen, der einen Paypal-Account
> einrichten will?


Wie sollten sie es prüfen? Bei Centbeträgen erfolgt in der Regel kein
Namensabgleich. Die Banken prüfen nur Kontonummern, zum Namensabgleich
sind Banken nicht verpflichtet.

Ulrich
Andreas Portz (16.05.2017, 14:00)
Frank Hucklenbroich schrieb:

> Aber evtl. prüft Paypal nicht, ob der Name des
> Kontoinhabers identisch ist mit demjenigen, der einen Paypal-Account
> einrichten will?

Wie wollen die das prüfen? Dem Absender ist es völlig unmöglich und die
Empfänger(bank) kümmert(e) sich im Prinzip nie darum. Seit SEPA ist es
gar nicht mehr vorgesehen, dass der Kontoinhaber im
Überweisungsdatensatz mit übermittelt wird und schon davor haben sehr
viele Banken auch bei mittleren bis größeren Beträgen den übermittelten
Empfängernamen gar nicht mit dem tatsächlichen Kontoinhaber verglichen.

Du konntest damals problemlos und heute definitiv Geld an ein Konto
überweisen und dabei als Empfänger Donald Duck angeben. Der Betrag kommt an.

Früher war das ein beliebter Vorkassebetrug aus dem Ausland. Da die
empfangende Bank (deine) eigentlich die beiden Namen hätte vergleichen
müssen, es aber erwartungsgemäß (fast) nie tat, überwies dein Käufer aus
dem fernsten Ausland den Betrag mit einem anderen Empfängernamen und die
Kohle kam trotzdem bei dir an, woraufhin du die Ware versandtest. Nach
Erhalt der Ware hat der Käufer dann seinen 'Fehler' bemerkt und bei
seiner Bank - selbige dann bei deiner Bank - reklamiert. Es wurde leider
eine falsche BLZ/Kontonummer angegeben, sorry! Aber da der Name wohl
kaum übereinstimmen konnte, haben Sie den Betrag sicherlich - wie im
Gesetz vorgesehen - auf einem Sperrkonto geparkt oder gleich wieder
retourniert. Wie, nicht? Na, dann sind Sie (die Empfängerbank) aber
Schadenersatz pflichtig!

-Andreas
Wolfgang Jäth (16.05.2017, 15:06)
Am 16.05.2017 um 10:42 schrieb Andreas Borutta:
> Ich möchte gerne die öffentlichen Aussagen von Paypal auf ihrer
> Facebookseite zum geschilderten Fall sichern (da sie ja das Recht
> haben, jederzeit die gesamte Konversation zu löschen).
> Daher kurze OT-Frage:
> Weiß jemand, wie man sämtliche Nachrichten/Antworten einer solchen
> Konversation "expandiert"?
> Die meisten Inhalte liegen hinter "Mehr anzeigen"/ "Antworten
> anzeigen". Und es ist sehr mühsam händisch alles zu expandieren.


Schau dir mal den Quellcode der Seite an; es ist nicht ganz
unwahrscheinlich [tm], dass die ausgeblendeten Texte darin bereits
vorhanden sind.

Ansonsten würde ich mich auf die direkten Aussagen von PP-Mitarbeitern
(plus ggf. die Beiträge, auf die sie direkt geantwortet haben)
beschränken; die restlichen Beiträge von anderen Teilnehmern ("Dritten")
dürfen für deine Dokumentation doch vermutlich sowieso eher weniger von
Belang sein, oder?

Wolfgang
Henning Sponbiel (16.05.2017, 15:58)
On Tue, 16 May 2017 08:31:24 +0200, Andreas Borutta wrote:

[..]
>| Es wird immer versucht mit dem Kontoinhaber in Kontakt zu treten,
>| andere Konten die möglicherweise den gleichen Namen tragen können
>| hierfür aber nicht genutzt werden.


In Hochhaussiedlungen kann es durchaus vorkommen, dass dort mehrere
Personen mit demselben Namen unter einer Adresse erreichbar sind.

Wie der Zufall es will, könnten das sogar Personen mit demselben
Geburtsdatum sein. Von solch einem Fall erzählte mir ein IT-Mitarbeiter
der Stadt Köln, der im Einwohnermeldebereich arbeitet.

>Jeder Neukunde mit Betrugsabsicht kann also andere registrierte Kunden
>in ein Inkassoverfahren treiben.
>Jederzeit.
>Mühelos.
>Völlig unbehelligt von Paypal.


Was sagt man bei Paypal, wie man sich dagegen wehren kann?
Lieferadressen herausgeben lassen?

Henning

Ähnliche Themen