 |
 |
Nur ein paar Wochen dauerte es im vergangenen Frühjahr, bis Lidl nach der Einführung seines digitalen Bezahlsystems Lidl Plus in Deutschland demonstriert bekam, mit welcher – für das Unternehmen sonst untypischen – Nachlässigkeit man dabei gearbeitet hatte. Nicht lange nach dem Start tauchten die ersten Beschwerden von Kontobesitzer:innen auf, die sich nie für Lidl Pay registriert hatten, von deren Bankkonten aber trotzdem meist dreistellige Summen abgebucht worden waren.
Betrüger:innen hatten sich offensichtlich zu Nutze gemacht, dass bei der Registrierung seitens Lidl auf eine Überprüfung verzichtet wurde, ob auch tatsächlich eine Berechtigung besteht, das jeweilige SEPA-Lastschriftmandat zu erteilen.
So wurden vermutlich in Datenlecks oder Hacks abgeschöpfte Kontodaten von Unbeteiligten für die Registrierung bei Lidl Pay verwendet, um damit einzukaufen. Die Anzeigen bei den Polizeistellen häuften sich. Und nach einem ersten Text im Supermarktblog vom Juni 2021 berichteten auch zahlreiche andere Medien über die zügig um sich greifende Betrugsmasche (T-Online, Computerbild.de, die „WirtschaftsWoche“, „Badische Neueste Nachrichten“, Giga.de, Golem.de u.a.).
Nachdem Lidl zunächst versucht hatte, die unzureichenden Sicherheitsvorkehrungen herunterzuspielen („Uns sind ausschließlich Einzelfälle bekannt, in denen es zu Unregelmäßigkeiten bei der Verwendung von Lidl Pay gekommen sein könnte“), entschloss man sich kurz darauf, doch noch eine Nachbesserung anzukündigen.
Bestätigung des Bankkontos notwendig
Anfang Juli erklärte eine Lidl-Sprecherin auf Supermarktblog-Anfrage, man werde „weitere Schritte“ einleiten, um Sicherheitsrisiken zu minimieren – vermutlich auch, weil Kund:innen dem Ärger über den Missbrauch ihrer Konten zunehmend öffentlich Luft machten.
Noch im Juli aktivierte das Unternehmen eine „Zwei-Faktor-Authentifizierung“ für alle Lidl-Online-Dienste, die vorsieht, dass Nutzer:innen bei jeder Anmeldung zusätzlich einen Code angeben müssen, der an die von ihnen registrierte Mobilfunknummer oder E-Mail-Adresse geschickt wird. Das Verfahren wurde mit sofortiger Wirkung als Voraussetzung für die Nutzung von Lidl Pay ausgewiesen. Das Kernproblem löste sie allerdings nicht, zumal Betrüger:innen die Registrierung zuvor auch mit eigens dafür registrierten E-Mail-Adressen und Prepaid-Mobilnummern abschließen konnten.
Im Oktober schärfte Lidl die Maßnahmen schließlich noch einmal nach. Seitdem erscheint im Zuge der Registrierung für Lidl Pay innerhalb der Lidl-Plus-App der zusätzliche Schritt „Verifizierung deines Bankkontos“, der auch Eingang in die Teilnahmebedingungen gefunden hat. Nun heißt es:
„Für die Nutzung von Lidl Pay ist eine Bestätigung deines Bankkontos notwendig.“
Dafür arbeitet Lidl mit der schwedischen Open-Banking-Plattform Tink zusammen, die Unternehmen über einen so genannten „Account Check“ die „sofortige Kontoverifizierung anhand von Echtzeitdaten direkt vom Bankkonto des Kunden“ verspricht. (Im Registrierungsprozess heißt es: „Tink wird Ihre Kontoinformationen abrufen und Sie mit Lidl Digital Trading GmbH & Co. KG teilen.“)
Keine Ausweiskontrolle an der Kasse mehr
Wer in der Lidl-Plus-App auf „Konto verifizieren“ klickt, kann sein Kreditinstitut aus der angezeigten Liste auswählen und wird von Tink zum Login-Screen der Bank weitergeleitet, wo es z.B. heißt:
„Melde dich an, um deine Zahlungsinformationen mit einer Drittpartei zu teilen.“
Auf diese Weise holt Lidl nach, was eigentlich bereits zum Start von Lidl Pay notwendig gewesen wäre: eine Absicherung, dass Nutzer:innen auch tatsächlich Zugriff auf das für Zahlungen hinterlegte Konto haben – und dieses nicht missbräuchlich verwenden.
In diesem Zuge ist auch der zwischenzeitlich in den Teilnahmebedingungen aufgetauchte Passus wieder verschwunden, mit dem Nutzer:innen darauf hingewiesen wurden, dass sie „zum Zwecke der Betrugsprävention“ an der Kasse ihrer Lidl-Filiale beim Bezahlen mit Lidl Pay „nach Ermessen des Personals aufgefordert werden [können], sich mit Ihrem Personalausweis auszuweisen“. Dies ermöglichte „einen Abgleich mit den bei der Registrierung zu Lidl Pay verwendeten Angaben“ – war aber vermutlich weder für Kund:innen noch Personal besonders angenehm und offensichtlich bloß eine Zwischenlösung.
Leider klappt das nun installierte Verfahren nicht so reibungslos, wie man sich das als Nutzer:in wünschen würde. Bei meinem Test erschien nach (erfolgreichem) Login bei einer Bank mehrfach der App-Hinweis:
„Mit den von dir eingegebenen Daten ist leider keine Registrierung möglich. Die Lidl Plus App kannst du wie gewohnt weiterhin nutzen.“
Anschließend fliegt man automatisch – und ohne weitere Erläuterung – aus dem Anmeldeprozess für Lidl Pay raus.
Zusätzliche Einwilligung angefordert
Im Erfolgsfall (mit einem anderen Konto) verlangt die Bank überraschend eine zusätzliche Einwilligung, und zwar für den „Zugriff auf Ihren Kontostand“, den man dem Lidl-Dienstleister Tink AB (steht für „Aktiebolag“ und ist die schwedische Form der Aktiengesellschaft) für 90 Tage einräumen soll.
Nun ergäbe die Abfrage dieser Zusatzinformation aus Lidl-Sicht durchaus Sinn. Schon in den ursprünglichen Teilnahmebedingungen für Lidl Pay stand die Verpflichtung, „zum Zeitpunkt des Einzugs der Lastschrift [für] eine ausreichende Kontodeckung“ zu sorgen. Über die neue Verifizierung könnte der Discounter die Bonitätsprüfung für Lidl-Pay-Nutzer:innen – zumindest für einen vorübergehenden Zeitraum von anderthalb drei Monaten – gleich miterledigen.
Erstaunlicherweise bestreitet Lidl auf Supermarktblog-Anfrage eine solche Abfrage aber und erklärt:
„Die Verifikation über den Dienstleister Tink dient ausschließlich zur Legitimation des Kunden für die Nutzung von Lidl Pay. Nach der Überprüfung durch Tink wird Lidl lediglich über das Ergebnis informiert. Zu keinem Zeitpunkt erhält Lidl einen Einblick in das Konto, Zugriff auf Kontostände oder sonstige Kontobewegungen der Kunden.“
In den Lidl-Plus-Datenschutzbestimmungen heißt es ebenfalls, dass man „von unserem Dienstleister Tink AB neben Ihrem Namen, Ihrer IBAN und der Währung Ihres Bankkontos die Information [erhalten], ob Sie sich erfolgreich einloggen konnten oder nicht“.
Das ändert nichts an der Tatsache, dass sich der Verfizierungsprozess für Lidl Pay – zumindest bei meinen Tests – erst abschließen lässt, wenn die Einwilligung zum Kontostand-Abruf erteilt wird. (Andernfalls wird die Verifizierung von Seiten der Bank abgebrochen.)
Daten, die nicht genutzt werden sollen
Eine Anfrage bei Tink bringt Licht in die – offensichtlich komplizierte – Angelegenheit. Eine Tink-Sprecherin erklärt, dass es sich dabei um „unwanted data“ handele, die nicht aktiv angefordert werde, sondern automatisch Teil der Abfrage sei, weil die dafür genutzte Schnittstelle (API) es bei „einigen“ Kreditinstituten nicht erlaube, nur spezifische Datenpunkte zu übermitteln.
Tink versichert, diese ungewollten Daten zu „ignorieren“, indem man sie nach dem Empfang nicht speichere oder nutze. Das gesamte Statement lautet:
„This is a topic that we have been discussing with regulators and banks for some time. We only ever ask for the smallest data scope that’s needed to deliver the product or service that the end-user has requested. However, some bank APIs do not allow the request of one specific scope of data, e.g. the account information, balance data or transaction data separately. This results in occasions where we have to ignore data which is not needed for the service.“
„We are actively taking measures to limit the amount of data received. For example, we use the most limited endpoint provided by the bank, in order to avoid touching any data that we do not need. On occasions when additional data is received, we always discard all such unwanted data. This means that it is not used in any way and is not retained. We are working with regulators and raising awareness among banks in the EU to jointly ensure end-to-end data minimisation.“
„The notification you sent an image of is a result of balance data being automatically included with the account information requested, but this data is not used on our side.“
Wieviele Banken im Zuge der Lidl-Pay-Kontoverifizierung die Erlaubnis zum Zugriff auf nicht benötigte Datenpunkte einholen, ist unklar. Nachtrag: Tink erklärt dazu, es sei bei „den meisten“ Instituten der Fall.
Unzureichende Aufklärung
Allerdings werden Nutzer:innen über den oben beschrieben Sachverhalt im Zuge der Lidl-Pay-Anmeldung nicht bzw. nicht ausreichend aufgeklärt. Bei meinem Test erfolgte vor der Weiterleitung zur Konto-Verifizierung keine Information darüber, möglicherweise den Zugriff auf weiterführende Kontoinformationen gestatten zu müssen, ohne dass Tink bzw. Lidl diese zu nutzen beabsichtigen.
Bei Lidl scheint man damit kein Problem zu haben und erklärt auf Rückfrage zum Verfahren, als handele es sich dabei um eine Selbstverständlichkeit:
„Die Verifikation der Kunden erfolgt via Tink mittels der PSD II-Schnittstelle. Dieser Schritt dient dabei lediglich zur Legitimation des Kundenkontos. Die Umsetzung und Kommunikation in Richtung Kontoinhaber unterscheidet sich dabei je nach Kreditinstitut. Sowohl Lidl als auch Tink haben während des Prozesses keinen Zugriff auf Kontodaten und -bewegungen.“
(Wobei zumindest letzteres im ersten Punkt nicht ganz zu stimmen scheint, weil Tink ja sehr wohl Zugriff auf den Kontostand hätte, aber nach eigenen Angaben keinen Gebrauch davon macht.)
Dafür, dass das neue Lidl-Pay-Anmeldeverfahren eigentlich eine Verbesserung des bisherigen sein sollte, ist das alles – insbesondere für Nutzer:innen ohne Spezialwissen – ziemlich verwirrend.
Ein zusätzlicher Stolperstein
Der Discounter baut damit einen zusätzlichen Stolperstein in die Registrierung ein, der Kund:innen zweimal darüber nachdenken lassen wird, wie dringend sie sich wirklich bei Lidl Pay anmelden wollen.
Erst recht, wenn sich die Nützlichkeit des digitalen Bezahlsystems wie bislang stark in Grenzen hält: Nach der Erstnutzung erhalten registrierte Kund:innen einen 5-Euro-Gutschein, der einmalig einlösbar ist; ansonsten kann Lidl nur versprechen, dass sich mit Lidl Pay „noch schneller und einfacher bezahlen“ lässt, weil beim Scan des QR-Codes an der Kasse gleichzeitig aktivierte (aber in Maßen attraktive) Lidl-Plus-Coupons verrechnet werden.
Lohnt es sich dafür, einem Discounter bzw. seinem Dienstleister, zu dem man sonst in keinerlei Geschäftsbeziehung steht, für anderthalb Monate potenziell Zugriff auf den eigenen Kontostand zu gestatten und anschließend auf das (selbst nicht aktiv kommunizierte) Versprechen zu vertrauen, dass diese Informationen weder gespeichert, noch aktiv genutzt werden?
Lidl dürfte mit der neuen Kontoverifizierung nicht nur die Möglichkeiten zum Betrug stark eingeschränkt haben – sondern auch den Kreis der potenziellen Lidl-Pay-Nutzer:innen, die den Prozess tatsächlich abschließen, wenn sie den Eindruck haben, dass ein Handelsunternehmen dafür Einblick in ihre Finanzen erhalten soll. (Auch wenn davon faktisch kein Gebrauch gemacht wird.)
Immerhin bleibt sich Lidls digitales Bezahlsystem damit in seiner Stolperigkeit treu und ist weiter ein ziemliches Fiasko.
Alle Blog-Texte über Lidl Pay:
- Lidl startet mit digitaler Bezahlmöglichkeit Lidl Pay in Deutschland
- Betrug mit Lidl Pay: Warum Lidl sein mobiles Bezahlsystem nachbessern muss
- Einladung zum Betrug? Lidls problematische Sicherheitsvorkehrungen für Lidl Pay
- Nach Betrugsfällen mit Lidl Pay: Unternehmen kündigt verschärfte Sicherheitsmaßnahmen an
Leider bleiben alte Handys dabei auf der Strecke. Da funktioniert das update überhaupt nicht mehr. Vielen Dank für nix.
90 Tage sind 3 Monate statt: „anderthalb Monate“
Danke, ich hab’s korrigiert.
Ich verstehe das auch einfach nicht. Das System würde mich auf jeden Fall von der Nutzung abhalten.
Viel einfacher, datensparsamer etc. ist’s doch wenn „Lidl“ 1 Cent auf das angegebene Konto überweist und nen Pin in den Verwendungszweck packt wie viele Anbieter das schon lange nutzen. ????♂️
Noch ein Grund gegen die (für den Kunden) am wenigsten sinnvolle Zahlungsvariante. Und wer die popeligen Kupons (ein Freund hat den Mist nach dem Gratis-Hefewürfel ab 10 €, 0,10 € Rabatt, ständig vergriffenem Gratiskram nach horrendem „Rabattsammler“-Mindestumsätzen, teils nur gleichtags gültigen Kupons u.ä. längst wieder runtergeschmissen) nötig hat, kann sie auch mit einem sinnvollen Zahlungsmittel einlösen.
Ich fand die Zahlung mit Lidl pay eigentlich sinnvoll, wenn man die App ohnehin nutzt. Beschleunigt den Zahlungsvorgang: nur einmal das Telefon vorhalten. Außerdem konnte ich damit noch einkaufen, als ich einmal meine Bankkarte verloren hatte und sperren lassen musste
Der Kunde steht bei Lidl im Geschäft und zahlt in der Regel mit EC-Karte. Warum nutzt man diese Konstellation nicht einfach zur Verifizierung? Der Kunde nutzt einen 5€-Gutschein „Kontoverifizierung Lidl Pay“, scant die App und zahlt normal per EC-Karte. Dann hat Lidl doch AppID und IBAN und kann für Folgekäufe LidlPay anbieten.
Danke für die Information. Mein Konto wurde, nach >1 Jahr Nutzung ohne Beanstandung plötzlich nicht mehr akzeptiert. Bei Neuregistrierung wird jetzt die Überprüfung gefordert. Dann kann ich dieses Verfahren nicht mehr nutzen, weil die Geschäftsbedingungen meiner Bank die Weitergabe der Zugangsdaten außerhalb der von ihnen zugelassenen Apps oder ihren Websites verbieten. Dasselbe Problem wie bei der Sofortüberweisung
Wer seine Online Zugangsdaten weitergibt Handelt fahrlässige. Ich habe die Registrierung an dieser Stelle abgebrochen. Alleine die Frage nach der BankPIN sollte Für ein Unternehmen ein NoGo sein.
Ja, richtig!
Bankkunden können ihr Bankkonto für lidl pay nur mit Strichcode verifizieren. Das ist überhaupt nicht mehr zeitgemäß heutzutage benutzt man QR-Codes. Eine Option von Strichcode auf QR-Code zu wechseln ist in der App garnicht vorhanden.
Sehr guter Artikel – vielen Dank für die guten Erläuterungen zu den Hintergründen!
Diese Seite wurde mir von Google empfohlen, nachdem ich bei der Registrierung zu Lidl Pay meine kompletten Bank-Login-Daten eintragen sollte – und darüber völlig entsetzt war!
Und ich bin weiterhin entsetzt und habe den Vorgang nun komplett abgebrochen – so plump den Zugriff auf meine Kontodaten haben zu wollen, das ist schon wirklich dreist.
Schade – ansonsten eine gute Idee, aber das wäre z.B. mit der 1 Cent Überweisung erheblich kundenfreundlicher möglich, aber so ist das nix.
Was mich an der Sache tatsächlich auf die Palme bringt (mir fallen auch „deutlichere“ Formulierungen ein), ist die Einführung des kostenpflichtigen ECharge bei Lidl ab dem 12.09.2022. Dafür soll man sich bei Lidl Pay registrieren, wo man dann seine Online Zugangsdaten angeben muss.
Dafür hat die App von mir eine 1 Stern-Bewertung erhalten – das empfehle ich jedem. Vielleicht kapieren sie es dann endlich!
Wenn ich ab Montag an einer Lidl-Ladesäule stehe und nicht einfach mit einer Kreditkarte oder ähnlichem zahlen kann, dann ist das nach meinem Wissen geltendes Recht!
Das es sogar Unternehmen gibt, die legal die Zugasdaten zu Online-Banking-Konton erheben und verarbeiten, konnte ich fast nicht glauben. Wer macht bei sowas mit?
Einfach die Kaufland eCharge App installieren und bei Lidl und Kaufland mit Kreditkarte laden.
Bisher scheint das Sicherheitsformat aber nich nicht perfekt zu sein, denn es werden fertig eingerichtete Konten gehackt…
Ich habe das Problem, dass meine App einfach mal missbraucht wurde…
Es wurden die Telefonummer, die Mail – Adresse, das Passwort und die PIN verändert, und damit wurde in einem anderen Bundesland bezahlt. Insg. 4 Einkäufe, die insg. knapp 800 Euro Schaden verursacht haben.
Natürlich habe ich das sofort, als ich das bemerkt habe, Lidl kontaktiert und eine Anzeige bei der Polizei gemacht. Aber der unnötige Aufwand hätte nicht sein müssen.. Ich hoffe Lidl findet den Fehler und sichsert das System besser. Solange ich weiter Gefahr laufen muss, dass dies noch einmal passiert, werde ich diese App nicht mehr nutzen.
Lidl Verifizierung , aber bestimmt nicht immer. Meine Tochter hat heute Inkassopost bekommen. Angeblich am 7.12 eingekauft und mit Lidl pay bezahlt. Meine Tochter hat die App nicht, die Email fängt mit Peter an und die Rücklastschrift erfolgte nicht,sondern die Bank gibt es nicht. Wie soll da verifiziert worden sein?
Einige Täter wurden erwischt berichtet der Spiegel unter https://www.spiegel.de/netzwelt/apps/lidl-maenner-aus-muenchen-sollen-app-fuer-hunderte-betruegereien-genutzt-haben-a-f9647656-883c-4d07-98b1-19e15c909cca