Doppelte Abbuchungen bei Aldi Süd Hunderttausende Kunden in ganz Deutschland betroffe

[thommyf]

Hallo Zusammen,

mir erstaunen stellte ich heute fest, dass mir Aldi Sued heute für meinen Einkauf von letzter Woche Freitag 06.05.2016
den Zahlungsbetrag doppelt abgebucht hat.


http://www.focus.de/finanzen/news/u...in-ganz-deutschland-betroffen_id_5513618.html


Wer ist hier von diesem Betrug noch betroffen ? Es sind wohl alle Zahlungen mit EC Karte bei ALDI-Sued vom 06.05.2016 und 07.05.2016 betroffen.
Aldi Süd nimmt keine Stellung und der Zahlungsdienstleister Ingenico Payment Services GmbH auch nicht.

Das ganze System scheint mir nicht wirklich sicher. Wie kann es sonst sein, dass ich eine einmalige Zahlung per PIN autorisiere und
der Zahlungsdiensleister den Betrag mehrfach einzieht ? Wozu gebe ich dann bitte ein PIN ein ?

Meine Bank (Postbank) weigert sich ausserdem, mir das Geld zurückzubuchen, weil es sich um eine "Überweisung" handelt.
Das behaupten aber scheinbar alle Banken und sagen den Kunden sie sollen warten.

So sieht das bei mir auf dem Konto aus:

Ich habe der Bundesanstalt für Finanzdienstleistungsaufsicht geschrieben und mich über die Ingenico Payment Services GmbH beschwert.
Für so etwas sollte die BaFin hier mal eine Strafe verhängen.

Es gab schon mal so eine Panne im März 2016 - mit der Firma Telecash - damals hat sich diese Firma auch geweigert die Anzahl der Betroffenen Kunden
offenzulegen.

Immerhin fallen hier bei zig-bis hunderttausenen doppelten Abbuchungen doch einiges an Zinsen an, welche sich diese Unternehmen widerrechtlich angeeignet haben.

Was meint Ihr ?

 

[TheGrey]

WIE man sein Geld einteilt geht den Richter aber gar nichts an. Man könnte genausogut ALLES ÜBRIGE Geld am Monatsanfang abheben und bar verwenden und läßt nur den Sockelbetrag für die ERWARTETEN regulären Abbuchungen drauf. Abgesehen davon gibt es durchaus Leute, die gar keinen Dispokredit haben sondern nur über Guthaben auf dem Konto verfügen können. Auch diese können natürlich bei Aldi mit Karte kaufen und z.B. die Monatsvorräte (Dosenzeug, haltbares, Getränke) als großen Posten am 6./7.5. gekauft haben und die haben dann ein Problem. Für den Fakt, daß "jemand" haftbar ist, spielt das warum gar keine Rolle. Alles IMHO natürlich, weil IANAL

 

[schoerg]

Ich schon, Aldi wird denke ich die für sich nötigen Schritte unternehmen. Und jeder Kunde der Bargeldlos zahlt sollte sich im Klaren sein was alles schief gehen kann. Den auf dem Weg vom Zahlungsterminal bis hin zur Bank ist immer eine Fehlerquelle möglich. Wer so etwas vermeiden möchte sollte einfach bar zahlen, denn ich finde Kartenzahlungen sind weder schneller noch angenehmer, und schon gar nicht sicher..

So schnell wie das Geld abgebucht wurde, so schnell könnte man es auch wieder rückbuchen.

Der Kaufvertrag ist ja mit Aldi, wie die ihr Backend organisieren ist für mich als Kunde irrelevant.


Zur Verantwortung: Ein Webseitenbetreiber der Werbung mit Malware ausliefert ist erstmal dafür verantwortlich. Er hat schließlich entschieden welchen Werbepartner oÄ er wählt.
Oder besser hier passend: Lenovo ist verantwortlich wenn sie mal wieder ein Schrottdisplay verbauen. Da gehe ich auch nicht her und sage "Samsung/LG/XYZ baut nur Schrott, die sind Schuld".

 

[cuco]

Die Fehlerursache liegt eindeutig bei dem Dienstleister, der für Aldi-Süd die Einzüge der über Terminals eingegangenen Abbuchungen erledigt. Tatsächlich wird hier nicht jeder einzelne Vorgang mit jedem Konto direkt abgewickelt, das wäre/ist noch zu teuer bzw. könnte nicht schnell genug funktionieren. Nein, die Abbuchungen werden zusammengefasst und dann an die Hausbank des Zahlungsverkehrsdienstleisters übermittelt.

Nein, eben nicht. Das ist ja das Problem. Die Autorisierungsanfragen werden live und direkt mit dem Konto bzw. der Bank abgewickelt. Dabei wird gecheckt, ob das Konto noch genug Deckung hat, ob die Kartenlimits noch eingehalten werden und ob die Karte eventuell gesperrt wurde. Number26-Kunden können das auch direkt nachvollziehen. Wenn man an der Kasse bezahlt, kommt auf dem Handy schon die Benachrichtigung für die Abbuchung. Kauft man direkt danach das nächste und hat nicht genug Geld oder sein Kartenlimit ausgeschöpft oder in der App die Karte gesperrt, verweigert das Terminal die Zahlung. Setzt man dann sein Kartenlimit in der App hoch bzw. aktiviert die Karte wieder bzw. zahlt kurz wieder genug Geld ein, kann man sofort wieder damit zahlen. Alles live und direkt. Nix zusammengefasstes. Wäre ja auch schlimm, dann könnte man ja immer mehr Geld ausgeben, als man hat (auch ohne Dispo), weil die Abbuchungen erst später erfolgen. Oder noch mit gestohlenen Karten zahlen, obwohl sie längst gesperrt sind.
Einzige Ausnahme sind da eben Lastschriften, auch elektronische Lastschriften, die auch per Karte möglich sind. z.B. bei Zahlung mit Karte+Unterschrift. Die passieren nicht zwingend live. Um die geht es hier aber ausdrücklich nicht.

Nicht falsch verstehen, ich bin nicht betroffen und ich mache mir bei den Betroffenen auch keine Gedanken darum, ob sie ihr Geld wiederbekommen. Ich versuche nur zu verstehen, warum das klappen konnte, wenn es doch nur eine Autorisierung der Zahlung durch die PIN gab und trotzdem zwei (angeblich autorisierte!) Zahlungen ausgeführt wurden. Wie kommt die zweite Autorisierung zu Stande. DAS ist meiner Meinung nach die spannende Frage.

 

[mectst]

Nein, eben nicht. Das ist ja das Problem. Die Autorisierungsanfragen werden live und direkt mit dem Konto bzw. der Bank abgewickelt. Dabei wird gecheckt, ob das Konto noch genug Deckung hat, ob die Kartenlimits noch eingehalten werden und ob die Karte eventuell gesperrt wurde.

Genau so funktioniert das Zahlungssystem mit EC-Karte plus PIN.

...
Ich versuche nur zu verstehen, warum das klappen konnte, wenn es doch nur eine Autorisierung der Zahlung durch die PIN gab und trotzdem zwei (angeblich autorisierte!) Zahlungen ausgeführt wurden. Wie kommt die zweite Autorisierung zu Stande. DAS ist meiner Meinung nach die spannende Frage.

Genau das ist der interessante Punkt. Hier kann ich allerdings auch nur vermuten: Das geschilderte Verfahren prüft anscheinend nur, ob die Voraussetzungen für die Buchung gegeben sind und es sieht so aus, dass die eigentlich Buchung erst später und unabhängig von der vorhergehenden Prüfung erfolgt. Vermutlich sammelt Aldi erst mal alle Zahlungen und übermittelt diese als kompletten Datensatz an das Kartenunternehmen, das dann seinerseits die Buchungen veranlasst.
Wo die erfolgte Prüfung "zwischengespeichert" wird, ist schwer zu sagen. Dass kann als einfaches Attribut innerhalb des Datenverkehrs sein, das die Zahlung als geprüft und berechtigt ausweist, und auf das sich die Bank ihrerseits wiederum verlässt, wenn sie Daten von einem bekannten Vertragspartner (hier dem Kartenunternehmen) erhält. Es kann auch sein, dass dies nur bei der Bank zusammen mit der dem Zahlvorgang zugewiesenen eindeutigen Transaktionsnummer hinterlegt ist.
Definitiv sieht es aber so aus, dass es keine "doppelte Speicherung" bei der Bank gibt, anhand der geprüft wird, ob eine erteilte Berechtigung auch nur einmal ausgeführt wird, bzw. wo in der Datenbank speichert wird, dass diese Buchung ausgeführt wurde.

Das Beispiel Number26 (sagt mir so zwar nichts, aber egal) legt sogar Nahe, dass es anscheinend verschiedene Wege der Zahlungsabwicklung gibt.


Grüße Thomas

 

[thommyf]

Das Geld ist heute wieder drauf.
Wertstellung 11.05.2016

Ich habe schon Beschwerde gegen Ingenico bei der BaFin eingelegt und wurde sogar zurückgerufen.
Die werden Ingenico dann abschreiben und über meine Beschwerde informieren.
Was für Sanktionen es evtl. gibt darf man mir aus Datenschutzgründen nicht mitteilen.
Wird also alles weiter vertuscht statt Transparenz zu schaffen, wie und warum es zu so einer Situation kommen kann. Und Ingenico freut sich über Zinsen. Habe in einem Bericht online etwas von 19 Mio. Euro Umsatz gelesen.

 

[Pferdle]

Genau das ist der interessante Punkt. Hier kann ich allerdings auch nur vermuten: Das geschilderte Verfahren prüft anscheinend nur, ob die Voraussetzungen für die Buchung gegeben sind und es sieht so aus, dass die eigentlich Buchung erst später und unabhängig von der vorhergehenden Prüfung erfolgt. Vermutlich sammelt Aldi erst mal alle Zahlungen und übermittelt diese als kompletten Datensatz an das Kartenunternehmen, das dann seinerseits die Buchungen veranlasst.

Dito.
Im Gegensatz zu oben genannten Number26-Kunden, die augenblicklich den Betrag auf ihren Konto nachvollziehen können, dauert es bei der Postbank bis zu drei Tage, ehe der Betrag für mich als Kontoinhaber ersichtlich ist.
Einkauf (Kartenzahlung), Buchungstag und Wertstellung sind nicht am gleichen Tag.
Der Weg vom Kassenterminal zum Konto ist also nicht direkt.

 

[mectst]

Das Geld ist heute wieder drauf.
Wertstellung 11.05.2016

Ich habe schon Beschwerde gegen Ingenico bei der BaFin eingelegt und wurde sogar zurückgerufen.
Die werden Ingenico dann abschreiben und über meine Beschwerde informieren.
Was für Sanktionen es evtl. gibt darf man mir aus Datenschutzgründen nicht mitteilen.
Wird also alles weiter vertuscht statt Transparenz zu schaffen, wie und warum es zu so einer Situation kommen kann. Und Ingenico freut sich über Zinsen. Habe in einem Bericht online etwas von 19 Mio. Euro Umsatz gelesen.

Gefällt mir so! Nur wenn man ordentlich Staub aufwirbelt, wird sich was ändern. Mit anderen Worten: Ich kann nur jedem Betroffenen empfehlen, ebenso Beschwerde einzulegen.

Dem zweiten Punkt mag ich nicht zustimmen: Datenschutz ist ein hohes Gut und der BaFin würde ich durchaus Neutralität unterstellen wollen. Dass hier vertuscht werden soll, will ich daraus nicht schließen.

Grüße Thomas

 

[Mornsgrans]

Was mir in der ganzen Sache zu denken gibt, ist die Tatsache, dass es in keinem System einen Sicherungsmechanismus gegen Doppelabbuchungen gibt. - Der Beweis hierzu ist ja erbracht (siehe Startbeitrag)!

EINE Autorisierung, EINE Abbuchung könnte man meinen. Wie leicht das Ganze offensichtlich auszuhebeln ist, stimmt mich bedenklich. Die Banken und Dienstleister scheinen offenbar sich sehr sicher zu fühlen, dass "da nichts passieren kann".

Ich hoffe nur, dass die Aufsichtsbehörde genau an dieser Stelle bei ALLEN Banken und Dienstleistern nachhaken wird.

 

[hschalt]

Ich hoffe nur, dass die Aufsichtsbehörde genau an dieser Stelle bei ALLEN Banken und Dienstleistern nachhaken wird.

Da habe ich wenig Hoffnung. Dort sitzen Juristen und keine Leute, die in Systemen und Prozessen denken.

Wie Du richtig schreibst:

EINE Autorisierung, EINE Abbuchung könnte man meinen.

Deshalb bleibe ich dabei, daß der einzige Ansprechpartner des Betroffenen die eigene Bank ist.
Die Bank durfte für diese eine Autorisierung nicht zwei Belastungen akzeptieren, erkennbar an der identischen Referenz.
Systemtechnisch ist das leicht zu lösen, indem bei jeder Buchung einer EC-Karten/PIN-Zahlung geprüft wird, ob diese Referenz schon einmal gebucht wurde.
Alle Banken haben sich auf die korrekte Funktion der Systeme anderer Beteiligter verlassen, und das bei Millionenbeträgen täglich.

Juristisch ist die Ermittlung des richtigen Ansprechpartners übrigens bekannt als Passivlegitimation. Diese ist manchmal tatsächlich nicht so leicht zu ermitteln.

 

[Pferdle]

EINE Autorisierung, EINE Abbuchung könnte man meinen. Wie leicht das Ganze offensichtlich auszuhebeln ist, stimmt mich bedenklich. Die Banken und Dienstleister scheinen offenbar sich sehr sicher zu fühlen, dass "da nichts passieren kann".

Ist doch wie (fast) überall: Es wird erst gehandelt, wenn etwas passiert.
Das kann mit TTIP nur noch schlimmer werden :thumbsup:

 

[mectst]

Ich hab zwar keinen Einblick, in das Bankenwesen oder genauer deren Buchungssysteme, aber ich fürchte das ist löcherig wie ein Schweizer Käse (sorry für den Vergleich Helios ) und das Ganze funktioniert nur deshalb halbwegs zuverlässig, weil so wenig drüber bekannt ist, wie die eigentlichen Abläufe wirklich sind.

Vor Jahren hatte ich den Fall, dass meine Kreditkarte mit einer Aufenthalt in Disneyland Paris belastet wurde. Die mir dann zur Klärung vorgelegten Buchungsbelege (6 Wochen hat das gedauert! :zornig: :cursing waren äußerst dürftig. Es waren ausschließlich schlechte Fotokopien von irgendwelchen spanischen Formularen mit unendlich vielen Nummern ohne weitere Erklärungen dazu. Die einzige Nummer, die ich zuordnen konnte, war die meiner Kreditkarte. Auf all den Belegen war nirgends(!) ein Name verzeichnet (weder mein eigener als Kreditkarteninhaber und auch niemand anders, wo die Buchung überhaupt erfasst worden sein soll - zB. Reisebüro, Firma, Internetportal oder vergleichbares) und ein Datum zur Erfassung dieser Zahlung gabs auch nicht. Den Zweck (Disneyland Paris) kannte ich nur aus der mir zugestellten Kreditkartenabrechnung; auf dem Papieren war der auch nirgend erwähnt. Mein Bankberater hat darauf hin noch mal kurz mit der Kreditkartenfirma telefoniert und die konnten nicht mal sagen, ob die Buchung online per Internet, an einem Karten-Terminal oder altmodisch per "Ratschmaschine" erfolgt ist. Dann hat es keine Woche mehr gedauert, bis mir der Betrag erstattet wurde.
Mein Fazit: Wenn man nur die richtigen Stellen kennen würde, wäre es ein leichtes hier viel Geld abzuziehen.

Grüße Thomas

 

[helmuel]

Über die Betrugsmöglichkeiten bei EC Karten mit Chip und Pin gibt es einen sehr ausführlichen Artikel in der ct 3/2016.
Insbesonders werden da die Abläufe beim Bezahlen detailliert beschrieben. Die PIN dient im wesentlichen zum Autorisieren
des Benutzers zur Karte und führt nicht zwangsläufig zur Autorisierung mit der Bank.
Die meissten Bezahlterminals führen interne Listen, nach welchen Kriterien eine Online Autorisierung zwingend nötig ist.
Da diese von der Bank dem Unternehmen teuer berechnet wird, verzichten die Unternehmen bei vielen Zahlungen auf die
Autorisierung (und Haftungsübernahme) durch die Bank und tragen das Risiko selbst.
Bei einer Zahlung von 5 Euro wird der Händler nicht 50cent Bankgebühren zahlen wollen.
Wenn entschieden wird, dass keine Autorisierung nötig ist, wird gar keine Verbindung zur Bank aufgebaut und die Zahlung
irgendwann durch Lastschrift an die Bank geschickt.
Das scheint hier auch der Fall zu sein, da bereits auf dem Kontoauszug das Wort OFFLINE auftaucht.
Vermutlich wurden die Offline Buchungen versehentlich zweimal an die Bank geschickt, durch einen normalen menschlichen Fehler.
Da das Unternehmen den Fehler sofort veröffentlicht hat und auch die Rücküberweisung angekündigt hat, sehe ich da keinen Betrug.

 

[Argema]

Wenn ich eine Zahlung mit einem Betrag x autorisiere und die Abbuchung vorgenommen wird, dürfte meine Autorisierung verbraucht sein. Die 2., spätere Abbuchung ist dann nicht mehr autorisiert und damit illegal.
So würde ich es jedenfalls erstmal ähnlich der doppelten Abbuchung bei Kreditkarten sehen.

Daher würde ich über (bandenmässige) Unterschlagung oder andere Vermögensdelikte durch die StA nachdenken (lassen), wenn mir dann bei einem Fehler des Dienstleisters das zuviel eingezogene Geld nicht mit entsprechender Wertstellung zurückgebucht wird. Auch dürfte das Datenschutzkonzept des Dienstleisters nicht stimmen, da dies so etwas ausschließen müsste.

Die eigene Bank ist da raus, das betrifft Aldi und den beauftragten Dienstleister.

 

[Pferdle]

Wenn ich eine Zahlung mit einem Betrag x autorisiere und die Abbuchung vorgenommen wird, dürfte meine Autorisierung verbraucht sein. Die 2., spätere Abbuchung ist dann nicht mehr autorisiert und damit illegal.

Es scheint aber wohl so zu sein, wie helmuel es beschrieben hat.
Das ist quasi so, als wenn man sich beim OnlineBanking einloggt. Einmal drin (einmal autorisiert), kann man mehrfach Vorgänge starten.

 

[Argema]

wird gar keine Verbindung zur Bank aufgebaut und die Zahlung irgendwann durch Lastschrift an die Bank geschickt.
Das scheint hier auch der Fall zu sein, da bereits auf dem Kontoauszug das Wort OFFLINE auftaucht.
Vermutlich wurden die Offline Buchungen versehentlich zweimal an die Bank geschickt, durch einen normalen menschlichen Fehler.

Dann wäre es eine doppelte Lastschrift entgegen dem erklärten Willen.

 

[mectst]

Daher würde ich über (bandenmässige) Unterschlagung oder andere Vermögensdelikte durch die StA nachdenken (lassen), wenn mir dann bei einem Fehler des Dienstleisters das zuviel eingezogene Geld nicht mit entsprechender Wertstellung zurückgebucht wird. Auch dürfte das Datenschutzkonzept des Dienstleisters nicht stimmen, da dies so etwas ausschließen müsste.

Oh je ... man kann eine Sache auf künstlich aufbauschen.
Hier ist ein Fehler (vielleicht sogar ein schlimmer) passiert, aber darin eine kriminelle Handlung sehen zu wollen, ist schon arg weit hergeholt. Im Übrigen kennt das deutsche Strafgesetz nur Täter in Form echter Personen und nicht als Institution ("juristische Person"). Aldi und auch das von denen beauftragte Kartenunternehmen kann also gar keine Straftat begehen! Ich sag da schon mal viel Spaß beim Ermitteln, welcher Angestellter dies zu verantworten hat und noch mehr Spaß bei der Beweisführung, dass dieser das aus kriminellen Gründen getan hat.

Im Weiteren hat der Vorfall auch nichts mit Datenschutz im Sinne des Gesetzes zu tun. Dass interne Kontrollstrukturen versagt haben (oder gar nicht vorhanden sind), liegt aber auf der Hand.

Grüße Thomas

- - - Beitrag zusammengeführt - - -

Dann wäre es eine doppelte Lastschrift entgegen dem erklärten Willen.

Richtig! Und der Fehler ist erkannt und wird korrigiert. Also alles in Ordnung soweit. Einziger Kritikpunkt bleibt die Wertstellung für die Rückbuchung, wobei hier aber in den AGBs der Bank und den Extrabedingungen zur EC-Karte (die man als Kunde ja akzeptiert hat!) noch zu prüfen ist, ob der Fall da nicht doch irgendwie geregelt ist. Als Betroffener würde ich mich aber dennoch beschweren, bei meiner Bank, bei Aldi selbst und der BaFin.

Grüße Thomas

 

[hajowito]

Wenn ich eine Zahlung mit einem Betrag x autorisiere und die Abbuchung vorgenommen wird, dürfte meine Autorisierung verbraucht sein. Die 2., spätere Abbuchung ist dann nicht mehr autorisiert und damit illegal.
So würde ich es jedenfalls erstmal ähnlich der doppelten Abbuchung bei Kreditkarten sehen.

Daher würde ich über (bandenmässige) Unterschlagung oder andere Vermögensdelikte durch die StA nachdenken (lassen), wenn mir dann bei einem Fehler des Dienstleisters das zuviel eingezogene Geld nicht mit entsprechender Wertstellung zurückgebucht wird. Auch dürfte das Datenschutzkonzept des Dienstleisters nicht stimmen, da dies so etwas ausschließen müsste.

Also jetzt scheint hier jemand aber wirklich Bielefeld verschwinden zu sehen...

Lies Dir meinen Beitrag weiter oben mal in Ruhe durch, da gibt es eigentlich nichts mehr hinzuzufügen.

hajowito

 

[einposter]

Jau, jetzt läuft es hier wirklich verschwörungstheoretisch voll aus dem Ruder :facepalm:

 

[Innocent]

Daher würde ich über (bandenmässige) Unterschlagung oder andere Vermögensdelikte durch die StA nachdenken (lassen), wenn mir dann bei einem Fehler des Dienstleisters das zuviel eingezogene Geld nicht mit entsprechender Wertstellung zurückgebucht wird. Auch dürfte das Datenschutzkonzept des Dienstleisters nicht stimmen, da dies so etwas ausschließen müsste.

Der objektive Tatbestand mag erfüllt sein, der subjektive Tatbestand (Vorsatz ist Wissen und Wollen) sicherlich nicht. Dagegen spricht das Verhalten der Beteiligten. Spätestens jetzt hört ein Staatsanwalt auf zu prüfen.

Fehler passieren, der Teufel steckt manchmal im Detail. Da kann man Hajowito nur zustimmen.

 

[mectst]

Nicht mal der objektive Tatbestand ist erfüllt, bestenfalls der subjektiv empfundene. Siehe mein Posting #36 -> Unternehmen können keine Straftaten begehen sondern nur echte Personen.

Grüße Thomas