Electronic Cash und die EC Karte

electronic cash ist das Debitkarten-System der Deutschen Kreditwirtschaft (DK), der Vertretung der kreditwirtschaftlichen Spitzenverbände Deutschlands. Karten mit dem „electronic cash“-Logo werden nur von Kreditinstituten ausgegeben, üblicherweise in Verbindung mit einem Girokonto. Bei electronic cash erfolgt die Kartenzahlung durch Eingabe der PIN (Persönliche Identifikationsnummer) durch den Karteninhaber an einem sogenannten EFT-POS-Terminal (Electronic-Funds-Transfer-Terminal, Elektronische-Wert-Übertragungs-Terminal). Die Bezeichnung EC stammt ursprünglich von Eurocheque, einem europaweiten, einheitlichen Scheckzahlungssystem in Verbindung mit einer Bankgarantie. Ähnliche Debitkarten-Systeme sind Maestro und V Pay. Electronic-cash-Debitkarten werden von den ausgebenden Kreditinstituten oft zusätzlich mit Maestrokarten-Funktionalität ausgestattet und dann als EC/Maestro-Karten bezeichnet. Zu erkennen sind diese kombinierten Karten am zusätzlichen Maestro-Logo auf der Karte.

Netzbetreiber für electronic cash in Deutschland

Im Arbeitskreis der electronic cash-Netzbetreiber sind alle in Deutschland von der DK zugelassenen Netzbetreiber zusammengeschlossen. Nach Angaben des Bundeskartellamts sind die Netzbetreiber, die einen erheblichen Marktanteil haben:

  • easycash – easycash GmbH, Ratingen, Marktanteil 40 % (Stand 2007)
  • TeleCash GmbH & Co. KG, Stuttgart (über 20 % Marktanteil)
  • B+S – B+S Card Service GmbH. Frankfurt am Main (10 % bis 15 % Marktanteil)
  • WEAT – WEAT Electronic Datenservice GmbH, Düsseldorf (unter 10 %)
  • montrada – montrada GmbH, Bad Vilbel (unter 10 % (Stand 2006), nach eigenen Angaben aus dem Jahr 2010 Nummer 3 in Deutschland)
  • InterCard – InterCard AG, Taufkirchen b. München (unter 10 %)

Ferner hatten 2006 einen Marktanteil von jeweils unter 3 % die Firmen DVB Processing, CardProcess, Tyco/ADT, Bank-Verlag, CardTech, CCV Allcash, EKS, Alphyra, Experian, Paycom, Lavego, Telekurs. Zu den Netzbetreibern gehörten 2010 neben den vorgenannten nur noch CardProcess, CardTech und Lavego, aber zusätzlich AGES, BCB Processing, Deutsche Bahn, Deutsche BP, Douglas Informatik & Service, Elavon, ESSO Deutschland, ICP International Cash Processing GmbH, Postbank, Shell und transact.

Akzeptanzzeichen für EC Karten

Die Akzeptanzzeichen von electronic cash sind die Piktogramme „electronic cash PIN-Pad“ und „girocard“. Der Technische Anhang zu den Bedingungen für die Teilnahme am „electronic cash“-System der deutschen Kreditwirtschaft (Händlerbedingungen) enthält die Verpflichtung des Händlers, an neu eingerichteten Kassen-Standorten bis auf weiteres „electronic cash PIN-Pad“ und „girocard“ als Akzeptanzzeichen parallel zu verwenden. Auf den Debitkarten der Banken und Sparkassen werden die Electronic-cash-Akzeptanzzeichen ebenfalls aufgebracht.

Die Markenrechte an den Akzeptanzzeichen (girocard-Akzeptanzzeichen und electronic-cash-PIN-Pad-Akzeptanzzeichen) werden von der EURO Kartensysteme GmbH für den ZKA gehalten.

In einer Übergangsphase ist noch das Piktogramm „ec electronic cash“ auf Debitkarten der deutschen Kreditwirtschaft und an POS-Terminals als Akzeptanzzeichen zu finden. Dieses Zeichen wurde für die Übergangsphase von Eurocheque (beleghaftes Zahlen mit Scheck) auf Zahlen mit ec-Karte (kartenbasiertes Zahlen mit PIN) verwendet. Nach Abschaffung des Eurocheque-Verfahrens wurde die Ausgabe von ec-Karten durch die deutsche Kreditwirtschaft eingestellt und die Markenrechte an Eurocheque an Mastercard verkauft. Das Zeichen „ec electronic cash“ wird von der deutschen Kreditwirtschaft nicht mehr offiziell als Akzeptanzzeichen für electronic cash verwendet. Die noch vorhandenen Karten werden im Rahmen des normalen Kartenaustausches mit den Zeichen „electronic cash PINPad“ und/oder „girocard“ ausgestattet. Neuaufgestellte Electronic-cash-POS-Terminals tragen ebenfalls die Zeichen „electronic cash PINPad“ und/oder „girocard“.

Hardware und Software für electronic cash

Ein Kartenterminal (auch: Händlerterminal oder EFT-POS-Terminal) setzt sich aus Hardware- und Software-Komponenten zusammen. Die Hauptkomponenten im Bereich der Hardware sind das Sicherheitsmodul, das PIN-Pad, der Drucker, das Display, der Magnetkartenleser, der Chipkartenleser sowie das Kommunikationsmodul und die Energieversorgung.

Die Software setzt sich hauptsächlich aus dem Betriebssystem, der Kommunikationssoftware, der Software des Sicherheitsmoduls sowie diverser Softwaremodule für OPT, EMV sowie Zusatzapplikationen (Prepaid, Kundenbindungssysteme, Fernwartung) zusammen. Das wichtigste Element ist hierbei das sogenannte Sicherheitsmodul. Ohne dieses ist das Terminal nur für den elektronischen Lastschriftverkehr (ELV) geeignet.

Alle Kartenterminals nach dem Electronic-cash-Verfahren müssen von der DK für die Teilnahme am bargeldlosen Zahlungsverkehr zertifiziert sein. Terminals, die ausschließlich das ELV unterstützen, benötigen keine Zertifizierung durch den ZKA. Der Betrieb eines Kartenterminals setzt einen Providervertrag mit einem Netzbetreiber voraus. Der Provider (technischer Netzbetreiber) führt die weitere Verarbeitung der durch das Terminal gesammelten Daten durch. Durch einen Serviceprovider (kaufmännischer Netzbetreiber) wird der gewerbliche Nutzer (Geschäftsinhaber, Händler) während der Nutzungsdauer des Terminals betreut, kann eine Hotline nutzen, erhält technische Unterstützung und Gewährleistungsdienstleistungen durch Techniker vor Ort und hat einen Ansprechpartner bei Fragen zu Abrechnung, Transaktionscontrolling, Vertragsbetreuung, etc.

Sicherheitslücke

Im Juli 2012 wurde bekannt, dass durch eine Sicherheitslücke in einem im Handel weit verbreiteten Lesegerät, die Kartendaten inklusive der persönlichen Identifikationsnummer (PIN) über das Rechnernetz ausspioniert und für kriminelle Zwecke verwendet werden können.[4] Die Sicherheitslücke nutzt einen Speicherüberlauf, der typischerweise bei technologisch veralteter Software mit geringer Typsicherheit ausgenutzt werden kann. Der Anbieter der Bezahldienstleistungen VeriFone will die Sicherheitslücke durch eine Aktualisierung der Software schließen.[5]

Chip gegen Magnetstreifen

Jede ec-Karte ist mit einem Magnetstreifen versehen. Der Magnetstreifen ist nur lesbar und enthält damit ausschließlich statische Informationen. Ab 2000 statteten immer mehr Banken die neu ausgegebenen Karten zusätzlich mit einem Chip aus, dem EMV-Chip. 2008 hatten 70 % der ausgegebenen Karten einen Chip. Der Chip kann wie ein kleiner Computer rechnen und Anfragen beantworten, ohne dass sein Inhalt (komplett) ausgelesen werden kann. Magnetstreifen können leicht kopiert werden, Chips dagegen nicht. Um Abwärtskompatibilität, insbesondere zur meist integrierten Maestro-Card zu behalten, bleiben die Karten trotzdem mit Magnetstreifen ausgerüstet. Zahlungsstellen, die beide Kommunikationsarten beherrschen, wählen im Allgemeinen die sicherere über den Chip. Hier wurde durch die Zulassungsverordnung TA (Technischer Anhang) 7.0 des DK, eingeführt, dass der Chip zu nutzen ist, wenn ein Chip vorhanden ist. Seit 2011 ist zwingend der Chip für das electronic cash Verfahren zu nutzen.

Der Magnetstreifen einer Karte hat drei Spuren. Bis 30. September 2009 wurde in Deutschland die Spur 3 des Magnetstreifens für Zahlungen ausgelesen. Seitdem wird die international übliche Spur 2 ausgelesen. Die Spur 3 wird für das elektronische Lastschriftverfahren genutzt.

Das Bundeskriminalamt fordert die Banken auf, standardmäßig ec-Karten ohne Magnetstreifen auszugeben und nur Kunden, die ihre ec-Karte im außereuropäischen Ausland benutzen, eine Karte mit Magnetstreifen auszugeben.

Zahlungsautorisierung

electronic cash mit Magnetstreifen

Eine garantierte Zahlung an einem POS-Terminal (Point Of Sales) läuft wie folgt ab:

Hauptmerkmal ist die Online-Autorisierung der Zahlung. Während der Online-Autorisierung wird die verwendete Karte gegen eine Sperrdatei geprüft, die eingegebene PIN wird auf Validität geprüft, der eingegebene Zahlbetrag wird dem verfügbaren Betrag (Guthaben plus Dispokredit abzügl. vorgemerkte Abbuchungen) des Kontoinhabers gegenübergestellt. Bei negativer Prüfung eines der genannten Punkte wird die Zahlung abgewiesen. Die Autorisierung sowie die Prüfung der Kontodeckung und der Einhaltung des Tageslimits werden von der Rechenzentrale des kartenausgebenden Instituts durchgeführt.

Allgemeiner Ablauf einer Electronic-cash-Zahlung unter Verwendung des Magnetstreifens:

  1. Betrag wird eingegeben.
  2. Karte wird verlangt und mit Hilfe des Kartenlesers (Magnetleser) ausgelesen.
    • Das Sicherheitsmodul wird aktiviert und verlangt die Eingabe der Geheimzahl.
  3. Das Kommunikationsmodul baut die Verbindung zum Provider auf und meldet sich dort für den Datenaustausch an.
  4. Per Datenaustausch werden über die Kommunikationsverbindung die Plausibilitätsprüfungen durchgeführt.
  5. Per Online-Verbindung mit der Bank wird überprüft, ob
    • kein Eintrag der verwendeten Karte in der Sperrdatei vorliegt,
    • die eingegebene Geheimzahl korrekt ist,
    • der Zahlbetrag innerhalb des verfügbaren Finanzrahmens liegt.
    Die Zahlung wird abgelehnt, falls eine der Bedingungen nicht erfüllt ist.
  6. Das Kommunikationsmodul meldet sich beim Provider ab und beendet die Verbindung.
  7. Der Drucker erstellt ein Protokoll über Zahlung bzw. Abweisung. Das Display zeigt Entsprechendes an.
  8. Das Ergebnis „Zahlung erfolgt“ garantiert dem Händler (bei rechtzeitiger Einreichung) seine Zahlung.

electronic cash mit Chip, Chip-offline

Allgemeiner Ablauf einer „electronic cash“-Zahlung unter Verwendung des Chips:

  1. Betrag wird eingegeben.
  2. Karte wird verlangt und mit Hilfe des Kartenlesers (Chipleser) ausgelesen.
    • Das Sicherheitsmodul wird aktiviert und verlangt die Eingabe der Geheimzahl.
    • Die Korrektheit der Geheimzahl wird im Chip der Karte überprüft. Ist die eingegebene Geheimzahl korrekt, wird der Fehleingabenzähler auf null gesetzt. Ist sie falsch, wird der Fehleingabenzähler um einen erhöht, hat er drei erreicht, meldet die Karte ihre eigene Sperrung. (Die Bank kann den Chip mit Hilfe eines Bankensonderfunktionsterminals (BSFT) entsperren.)
    • Der gewünschte Zahlbetrag wird an den Chip der Karte gesendet.
    • Ist im Chip ein ausreichend hoher, zeitlich noch nicht abgelaufener Kreditrahmen hinterlegt, so wird der Betrag subtrahiert und der verringerte Kreditrahmen auf dem Chip abgespeichert, weiter mit Schritt 7.
  3. Das Kommunikationsmodul baut die Verbindung zum Provider auf und meldet sich dort für den Datenaustausch an.
  4. Per Datenaustausch werden über die Kommunikationsverbindung die Plausibilitätsprüfungen durchgeführt.
  5. Per Online-Verbindung mit der Bank wird
    • überprüft, ob kein Eintrag der verwendeten Karte in der Sperrdatei vorliegt
    • überprüft, ob der Zahlbetrag innerhalb des verfügbaren Finanzrahmens liegt.
    • die Zahlung abgelehnt, falls eins der Merkmale nicht erfüllt ist.
    • eine Zahlungsfreigabe (Autorisierung) an den Chip gesendet und dort abgespeichert. Etwa folgende Information wird gespeichert: „Weitere Zahlungen bis zur Gesamtsumme von 500 EUR bis Ende des Monats gestattet.“
  6. Das Kommunikationsmodul meldet sich beim Provider ab und beendet die Verbindung.
  7. Der Drucker erstellt ein Protokoll über Zahlung bzw. Abweisung. Das Display zeigt entsprechendes an.
  8. Das Ergebnis „Zahlung erfolgt“ garantiert dem Händler (bei rechtzeitiger Einreichung) seine Zahlung.

Die Schritte drei bis sechs entfallen, sobald der auf dem Chip gespeicherte Kreditrahmen noch nicht ausgeschöpft ist, dadurch fallen nicht bei jedem Bezahlvorgang Leitungskosten an und insbesondere wird der Zahlvorgang oftmals stark beschleunigt, da keine Onlineverbindung aufgebaut werden muss. Die Bank räumt ihrem Kunden hierbei zusätzlich zum Dispo einen Kredit ein.

Beispiel

  • Bei der ersten „electronic cash“-Transaktion wird über 30 Euro verfügt. Das Terminal fragt bei der Bank an und speichert anschließend die Zahlungsfreigabe, weitere Zahlungen bis zur Gesamtsumme 500 Euro bis Monatsende gestattet.
  • Im Geschäft nebenan werden 70 Euro wieder mit electronic cash bezahlt, eine Anfrage bei der Bank ist nicht notwendig, weil die Zahlungsfreigabe bereits auf dem Chip gespeichert ist. Auf dem Chip wird jetzt ein verbleibender Kreditrahmen von 430 Euro gespeichert.
  • Am nächsten Tag innerhalb desselben Monats sollen 419 Euro mittels electronic cash bezahlt werden. Eine Anfrage bei der Bank ist abermals nicht notwendig, weil die Zahlungsfreigabe bereits auf dem Chip gespeichert ist. Auf dem Chip wird jetzt ein verbleibender Kreditrahmen von 11 Euro gespeichert.
  • Am letzten Tag des Monats wird in einem weiteren Laden ein Betrag von 12 Euro bezahlt. Der Kreditrahmen auf der Karte reicht nicht aus. Die Verbindung zur Bank wird aufgebaut. Die Bank meldet, dass 12 Euro sofort in Ordnung gehen und weitere 500 Euro bis zum nächsten Monatsende. Das Spiel beginnt von vorn.

Kosten

Die Kosten einer EC-Zahlung richten sich nach der Höhe des zu zahlenden Betrags. Sie betragen 0,3 % des Umsatzes, mindestens 8 Cent für den Einzelhandel. Im Mineralölsektor beträgt der Grundbetrag 0,2 % des Umsatzes, mindestens 1 Cent. Hinzu kommen Kosten für die technische Bereitstellung, die vom jeweiligen Netzbetreiber erhoben werden.

Nach den Händlerbedingungen haben die Händler die Karten „zu Barzahlungspreisen und -bedingungen zu akzeptieren“, das heißt, dass die Händler die Gebühren tragen und bei Zahlung mit electronic cash dem Kunden nur den Bargeldbezugspreis der Ware oder Dienstleistung in Rechnung stellen.

Autorisierungsmerkmal

Auf Kontoauszügen werden Buchungen meist wie folgt dargestellt:

  • ELV68197325 26.04 18.07 ME0
  • EC 68197325 260410180710OC0

Zuerst kommt die Zahlungsart „EC“ oder „ELV“, dann die Terminal-ID (hier:68197325), dann Datum und Uhrzeit (hier: 26.04.2010 18:07:10 Uhr), dann ein zweistelliges Autorisierungsmerkmal, dann die Kartenfolgenummer (hier:0)

Es gibt folgende Autorisierungsmerkmale, die jeweils angeben, mit welcher Technik die Zahlung autorisiert wurde:[10][11]

  • ME/MK – magnetstreifenbasierte Autorisierung electronic cash mit (ME:) Debitkarte ohne Einschränkung (früher: ec-Karte) oder (MK:) sonstiger Karte, Bankenkarte, Kundenkarte
  • CE/CK – chipbasierte Autorisierung electronic cash mit (CE:) Debitkarte ohne Einschränkung (früher: ec-Karte) oder (CK:) sonstiger Karte, Bankenkarte, Kundenkarte
  • FE/2E – Spur 2 (FE:) Fallback (2E:) kein Fallback
  • IC/OC – EMV Autorisierung (IC:) Offline (OC:) Online

Zahlverfahren mit Electronic-cash-Debitkarten

Geldkarte und electronic cash bieten dem kartenakzeptierenden Händler eine Zahlungsgarantie, ELV-Zahlungen sind dagegen ungarantiert und damit mit einem potenziellen Ausfallrisiko verbunden.

  • Der Marktanteil von electronic cash (mit PIN-Eingabe) lag 2005 bei 13,1 %, im Jahre 2009 mit 71 Milliarden EUR bei 19,4 %.
  • Die elektronische Geldbörse Geldkarte kann ebenfalls zur Zahlung verwendet werden. Sie hat mit einem Jahresumsatz von 0,1 Milliarden EUR einen Marktanteil von unter 0,04 %.
  • ELV (Elektronisches Lastschriftverfahren) online oder offline. Im Jahr 2005 wurden 12 % des Umsatzes im Handel mit diesem Verfahren abgewickelt.[12] Der Marktanteil betrug mit 45 Milliarden EUR im Jahre 2009 12,2 %. Das Verfahren wurde 1984 eingeführt. Bei ELV online (auch zuweilen OLV genannt) wird jede Zahlung online bei einem Netzbetreiber gegen eine bundesweite Sperrliste und Scoring-Parameter geprüft. Bei ELV offline wird auf eine Telefonverbindung und Prüfung verzichtet. Es ist für Händler die preiswerteste Methode. Aus dem Magnetstreifen bzw. dem Chip werden bei allen Verfahren einzig die Kontonummer und die Bankleitzahl sowie die Kartennummer ausgelesen. Der Kunde erteilt abweichend zum electronic cash mit seiner Unterschrift eine Lastschrift mit Einzugsermächtigung. Gegen Ausfälle (Rücklastschriften) kann ein Vertrag über Forderungsankauf abgeschlossen werden. Im Gegensatz zum abgeschafften POZ-Verfahren ist das Kreditinstitut des Karteninhabers bei Zahlungsausfällen jedoch nicht verpflichtet, Name und Adresse des Karteninhabers an den Händler weiterzugeben, was ein erhöhtes Risiko für den Händler darstellt.
  • POZ (Point of Sale ohne Zahlungsgarantie), im Gegensatz zum OLV und ELV, die Verfahren des Handels sind, war POZ von seiner Einführung im Jahr 1994 bis zu seiner Abschaffung am 31. Dezember 2006 ein Verfahren des ZKA. Während des Bezahlvorganges erfolgte eine Sperrabfrage bei der Kopfstelle des Karten ausgebenden Kreditinstituts. War die Karte nicht als gesperrt gemeldet, wurde vom Händler eine Lastschrift erstellt. Der Kunde erteilte mit seiner Unterschrift eine Lastschrift mit Einzugsermächtigung und gab sich damit einverstanden, dass sein Kreditinstitut auf Anfrage Name und Adresse an den Händler (bei Ausfällen bzw. Rücklastschriften) weitergibt. Die Kosten lagen bei 5 Cent pro Sperrabfrage. Am Einzelhandelsumsatz hatte POZ im Jahre 2005 einen Anteil von 2,3 %.