Kreditkartendaten per Mail oder Telefon weitergeben: Risiken und Alternativen

Kreditkarten sind ein bequemes und weit verbreitetes Zahlungsmittel. Vor allem für Online-Zahlungen, Einkäufe im Internet oder als Alternative zu Bargeld werden sie gerne eingesetzt. In den allermeisten Shops von E-Commerce-Anbietern oder Online-Reservierungssystemen sorgen strikte regulatorische Vorgaben für größtmögliche Sicherheit beim Bezahlen mit Mastercard, Visa, American Express und Co. Die Payment-Lösungen innerhalb der Online-Shops übertragen die Zahlungsinformationen stark verschlüsselt und bieten damit ein äußerst hohes Maß an Sicherheit vor dem Zugriff von Betrügern etwa durch Phishing. Einem deutlich höheren Risiko ist die Kreditkartennummer ausgesetzt, wenn die Karte bei einer telefonischen Bestellung oder Reservierung zum Einsatz kommt oder wenn ein Händler um eine E-Mail mit den Informationen zur Karte bittet. Beide Kommunikationswege - also Telefon und E-Mail - lassen sich nicht so gut absichern wie eine Zahlungslösung direkt im Shop.

Wir erklären in diesem Ratgeber, warum die telefonische Weitergabe von Kreditkartennummer und Ablaufdatum ebenso wie die per E-Mail dennoch erforderlich sein kann. Außerdem geben wir wertvolle praktische Hinweise, wie sich Händler und Kunden bestmöglich absichern können, um alle rechtlichen Anforderungen zu erfüllen und nicht Opfer eines Kreditkartenbetrugs zu werden. Und wir zeigen was zu tun ist, sollten die Daten doch einmal in den falschen Händen gelandet sein.

Trotz der schon erwähnten potenziellen Risiken bei der telefonischen oder E-Mail-basierten Weitergabe der Kartennummer gibt es bestimmte Anwendungsfälle, in denen sie erforderlich sein kann. Beispielsweise benötigen kleinere Unternehmen oder Dienstleister ohne integrierte Online-Zahlungssysteme manchmal diese Daten, um eine Transaktion abzuwickeln. Ebenso können die Kreditkarteninformationen bei der Buchung von Reisen, Hotels oder Mietwagen abgefragt werden, um etwa die Buchung zu garantieren oder mögliche Stornierungsgebühren abzusichern. Das trifft insbesondere dann zu, wenn Kunden ihre Anfrage per Telefon oder E-Mail an den Anbieter richten. Auch bei dringenden Zahlungen, etwa bei der zeitkritischen Begleichung von offenen Rechnungen, kann eine telefonische Weitergabe der Daten notwendig sein, wenn keine andere Option verfügbar ist. Wichtig ist jedoch, dass solche Anfragen stets auf ihre Seriosität geprüft werden und die Daten nur an vertrauenswürdige und bekannte Empfänger weitergegeben werden.

Wer Kreditkartennummern sicher per Mail und geschützt vor Phishing-Attacken versenden will, muss vor allem für eine Verschlüsselung seiner E-Mails sorgen. Im privaten Gebrauch findet das allerdings selten statt und die Informationen in E-Mails werden häufig unverschlüsselt übertragen. Die Kartendaten sind in einer E-Mail also potenziell gefährdet. Eine Abhilfe schafft hier auf jeden Fall die verschlüsselte Übertragung der E-Mail durch SSL (Secure Sockets Layer) oder TLS (Transport Layer Security). Aber selbst wenn die Kommunikation durch eine derartige Verschlüsselung gesichert ist, verbleiben die sensiblen Informationen oft dauerhaft in den Postfächern von Absender und Empfänger. Hacker können diese Daten durch Phishing-Mails oder Malware abgreifen und für betrügerische Transaktionen nutzen.

Vielen Verbrauchern ist oft gar nicht bewusst, dass im Falle eines Angriffs auf das E-Mail-System oder durch unsichere Geräte ihre Daten in die Hände von Betrügern geraten können. In trügerischer Sicherheit teilen sie die Kreditkartennummer, die Prüfziffer von der Rückseite der Karte oder andere Daten leichtfertig in E-Mails, ohne vorher die Seriosität des Empfängers ihrer Nachricht zu überprüfen.

Auch Kreditinstitute warnen regelmäßig vor dem Versand von Kreditkartendaten per Mail oder einer telefonischen Weitergabe. Sie raten, sensible Informationen wie die PIN-Eingabe oder die drei- bzw. manchmal vierstellige Prüfziffer niemals auf diese Weise zu teilen. Eine gestohlene Kartennummer kann schnell zu Kreditkartenbetrug führen, bei dem unautorisierte Abbuchungen von der Karte vorgenommen werden.

Ebenso wird keine Bank oder Sparkasse ihre Kunden jemals am Telefon dazu auffordern, Mitarbeitenden die Daten einer Kreditkarte zu nennen. Anrufe mit einem solche Ansinnen sind kriminelle Methoden und sollten sofort den Banken und Behörden gemeldet werden. Ebenso versenden Banken keine E-Mails mit der Bitte, die Kartendaten zu einer vermeintlichen Überprüfung in eine Online-Maske einzugeben - auch wenn diese dem Online-Banking der eigenen Hausbank täuschend ähnlichsieht.

Um den Versand von Kreditkartendaten per E-Mail zu vermeiden, gibt es einfach anzuwendende Methoden, die einen deutlich höheren Schutz vor Missbrauch bieten.

Kaufen, buchen oder reservieren Sie nur bei Anbietern, die eine entsprechende Plattform zum Online-Shopping mit integriertem Schutz im Internet anbieten. Denn hinter dem Bezahlvorgang in solchen Online-Shops stehen in den meisten Fällen renommierte Zahlungsdienstleister wie PAYONE, die das Payment nach höchsten Sicherheitsstandards für den Händler abwickeln. Zusätzliche Sicherheitsmechanismen wie Zwei-Faktor-Authentifizierung oder SecureCode-Technologien sichern das Bezahlen gleich doppelt ab.

Achten Sie bei der Auswahl des Online-Shops darauf, dass der Bezahlprozess durch spezielle Verfahren abgesichert ist. Diese sollen bestätigen, dass eine Transaktion mit Kreditkarte im Internet ausschließlich vom Karteninhaber initiiert wurde. Das Verfahren wurde ursprünglich von Visa entwickelt und ist beim Einsatz einer Visa Card als Visa Secure im Einsatz. Bei Mastercard heißt das System Identity Check und bei American Express trägt es den Namen SafeKey.

Im Gegensatz zu den klassischen Kreditkarten sind die virtuellen Varianten in der Regel Prepaid- Kreditkarten oder Debitkarten, die nur auf Guthabenbasis genutzt werden können. Ein großer Vorteil virtueller Kreditkarten ist, dass sie nicht verloren oder gestohlen werden können. Wird eine Karte dennoch missbräuchlich verwendet, ist der finanzielle Verlust auf das Guthaben beschränkt. Denn Unbefugte können langfristig mit der Karte nichts anfangen, wenn das Guthaben aufgebraucht ist.

Sollte es doch erforderlich sein, die Daten der Kreditkarte außerhalb eines Online-Shops weiterzugeben, empfiehlt sich die telefonische Weitergabe der Daten: Die Übermittlung per Telefon ist sicherer, sofern eine direkte Verbindung zu einem vertrauenswürdigen Unternehmen oder einer Bank besteht. Dabei sollte die Umgebung geprüft werden, um unbefugtes Mithören zu verhindern.

Durch die Wahl solcher Alternativen können Karteninhaber Risiken minimieren und Kreditkartenbetrugsfälle verhindern.

Auch Kreditinstitute warnen regelmäßig vor dem Versand von Kreditkartendaten per Mail oder einer In der Vergangenheit haben beispielsweise Hoteliers oder Autovermieter die per E-Mail oder telefonisch empfangenen Informationen zu Kreditkarten oder anderen Zahlungsmitteln häufig manuell in ihr Kartenterminal eingegeben. Diese so genannten "Card-not-present"-Transaktionen - also Eingaben ohne die Anwesenheit des Karteninhabers - sind nicht mehr zulässig. So verlangt die zweite Zahlungsdiensterichtlinie (PSD2) eine starke Kundenauthentifizierung bei Kreditkartenzahlungen. Unternehmen haften sogar, sollte es bei einer trotzdem durchgeführten manuellen Transaktion über ein Terminal zu einem Kartenmissbrauch kommen.

Wenn Kreditkartendaten per Mail versehentlich versendet wurden und eventuell sogar den falschen Adressaten erreicht haben, ist schnelles Handeln entscheidend. Mit den folgenden Schritten lässt sich das Missgeschick beheben:

Nehmen Sie unmittelbar Kontakt zum Empfänger der E-Mail auf und bitten Sie ihn, die E-Mail unverzüglich zu löschen und die Daten nicht weiterzugeben. Informieren Sie Ihre Bank oder Ihren Kreditkartenanbieter, damit diese die Karte sofort sperren und eine neue ausstellen können. Überprüfen Sie die Abbuchungen auf verdächtige Aktivitäten und beantragen Sie im Falle von unautorisierten Transaktionen eine Rückbuchung. Falls der Versand der Informationen als Reaktion auf eine Phishing-Mail erfolgt ist, melden Sie den Vorfall neben der Bank auch den zuständigen Behörden.

Der Versand von Kreditkartendaten per Mail kann nicht nur zu Kreditkartenbetrug, sondern auch zu rechtlichen Problemen führen. Verschiedene Regelwerke und gesetzliche Vorgaben wie etwa die Datenschutz-Grundverordnung (DSGVO) verpflichtet Unternehmen, sensible Daten wie Kreditkartennummern sicher zu behandeln. Ein unsicherer Versand per Mail kann als Verstoß gegen diese Regeln gelten und empfindliche Strafen zur Folge haben.

Auch für Privatpersonen kann ein allzu sorgloser Umgang mit den Daten der eigenen Kreditkarte rechtliche Konsequenzen haben. Denn im Fall eines Missbrauchs der Kartendaten im Internet oder des Diebstahls der physischen Karte kann es schwierig sein, eine Rückerstattung oder Schadensersatz zu erhalten, wenn nachweislich fahrlässig gehandelt wurde.

Daher sollten Unternehmen und Verbraucher gleichermaßen sicherstellen, dass Kreditkartendaten nicht auf unsichere Weise übermittelt werden.

Die Weitergabe von Kreditkartendaten per Mail oder Telefon erfordert besondere Vorsicht. Unsichere E-Mails, Phishing-Mails oder fahrlässiger Umgang mit sensiblen Daten können zu Kreditkartenbetrug führen und Menschen in finanzielle Schwierigkeiten bringen. Indem Sie sichere Methoden wie verschlüsselte Zahlungsdienste, virtuelle Karten und SSL-gesicherte Websites nutzen, können Sie sich effektiv vor Missbrauch schützen. Sollten Ihre Karteninformationen dennoch in die falschen Hände geraten, ist eine schnelle Reaktion entscheidend, um den Schaden zu minimieren.

Händler haben mit der PAYONE MOTO-Lösung eine einfache Möglichkeit, per Telefon oder E-Mail übermittelte Kartendaten rechtskonform und sicher zu verarbeiten. So sichern sie nicht nur sich selbst ab, sondern bieten auch ihren Kunden ein Höchstmaß an Vertrauen und Sicherheit.

Klare Antwort: Nein! Denn mit genau dieser Kombination und in Verbindung mit dem Ablaufdatum der Karte kann jeder, der über diese Informationen verfügt, mit der Kreditkarte im Internet einkaufen oder Abonnements abschließen. Denn die CCV-Nummer oder auch Kartenprüfnummer dient zur Validierung der Zahlung Ihrer Einkäufe. Sie stellt sicher, dass derjenige, der sie einsetzt, tatsächlich im Besitz der physischen Kreditkarte ist.

Auch auf diese Frage fällt die Antwort eindeutig aus: Keine! Sämtliche Daten der Kreditkarte sind nur für den Karteninhaber bestimmt und sollten niemals an andere weitergegeben werden. Selbst wenn derjenige, der die Daten erhält, keine böse Absicht hegt, entsteht an der Stelle ein weiteres Risiko für Datendiebstahl und infolgedessen Missbrauch der Karte.

Wann immer möglich, sollte man es vermeiden, sensible und sicherheitskritische Informationen wie Kontodaten via E-Mail zu versenden. Denn Prävention vor Schaden etwa durch Phishing oder unbeabsichtigte Fahrlässigkeit ist in aller Regel besser als Kartendaten oder Kontonummern in falsche Hände gelangen zu lassen. Dennoch kann es Situationen geben, in denen die Bankverbindung auf dem Weg der elektronischen Post übermittelt werden muss. Hierbei sollten zur Sicherheit der Informationen unbedingt alle technischen Möglichkeiten wie Verschlüsselung, Zwei-Faktor-Authentifizierung oder andere zum Einsatz kommen.

Die SSL-Verschlüsselung (Secure Sockets Layer) bzw. die TLS-Verschlüsselung (Transport Layer Security) sichert die Kommunikation zwischen dem E-Mail-Programm (zum Beispiel Outlook) oder dem Webbrowser und dem E-Mail-Server. So ist gewährleistet, dass die gesendeten oder empfangenen Daten verschlüsselt werden und damit nicht von Dritten abgefangen oder manipuliert werden können.