Kostenfallen

Abofalle? So funktioniert die Abzocke per Handynummer

Ein Artikel von , veröffentlicht am 17.05.2017, bearbeitet am19.09.2019
Bild: iStock.com / cherezoff

Sie haben Kosten für ein Abo auf der Mobilfunkrechnung, das Sie nie bestellt haben? Damit sind Sie nicht alleine. Wir erklären, wie solche „Drittanbieterkosten“ auf der Handyrechnung landen, wer daran beteiligt ist, und wie dabei immer wieder getrickst wird.

Was ist Direct Carrier Billing?

Manche Dinge kann man direkt mit dem Handy bezahlen. Zum Beispiel Klingeltöne auf jamba.de, oder den Zugang zu den Testberichten der Stiftung Warentest. Die Kosten erscheinen dann auf der Mobilfunkrechnung – daher der Begriff „Direct Carrier Billing“, was soviel heißt wie „direkte Abrechnung über den Mobilfunkanbieter“.

Das kann praktisch sein – man muss sich nicht anmelden und keine Bankverbindung angeben. Gerade bei Parktickets oder Fahrscheinen für öffentlichen Nahverkehr wird diese Bezahlmethode gerade wieder populär. Doch das Verfahren hat auch ein schlechtes Image. Viele Menschen verbinden damit Abzocke und Abofallen. Aus gutem Grund.

Denn es kommt häufig vor, dass Kund*innen auf ihrer Handyrechnung Beträge für Waren und Services finden, die sie nie bewusst gekauft hatten. Kaufabschlüsse sind nicht nachvollziehbar, Kündigungsmöglichkeiten werden nicht genannt. Trotzdem bestehen die Mobilfunkunternehmen auf ihren Forderungen und sind oft nicht bereit, solche Fälle aufzuklären.

Seit Sommer 2016 haben die Mobilfunkanbieter ernsthafte Maßnahmen ergriffen, um gegen den Betrug vorzugehen. Ob diese wirksam sind, muss sich noch zeigen. Mehr Informationen dazu in unserem Beitrag „Operation sauberer Markt“.

Wie kommen diese überraschenden Forderungen zustande? Um das zu verstehen, muss man wissen, was im Hintergrund passiert, wenn man mit seiner Telefonnummer bezahlt.

Wer ist beteiligt?

Neben den Endkund*innen, die am Schluss die Rechnung bezahlen sollen, und dem Mobilfunkanbieter, der die Rechnung stellt, sind beim Bezahlen per Handynummer noch mindestens zwei andere Parteien im Spiel.

Der Drittanbieter Unternehmen, die Waren verkaufen und diese über die Mobilfunknummer abrechnen, nennt man „Drittanbieter“ – zum Beispiel Anbieter von Spielen, die ihre Games im Internet anbieten. Der Drittanbieter ist dafür verantwortlich, welche Inhalte er anbietet und wie sie auf seiner Webseite präsentiert werden.

Der Aggregator (auch Billing Carrier oder Enabler) Damit ein Drittanbieter über die Handynummer abrechnen kann, muss der Mobilfunkanbieter diesen erst freischalten. Allerdings arbeiten die Mobilfunkanbieter nicht mit jedem einzelnen Drittanbieter zusammen, sondern nur mit sogenannten Aggregatoren.

Aggregatoren sind Unternehmen, die wie Makler zwischen Mobilfunkanbieter und Drittanbieter vermitteln. Zudem haben sie die technische Infrastruktur, um den Kauf und den Bezahlvorgang zu verbuchen und abzuwickeln.

Drittanbieter müssen sich bei einem Aggregator anmelden. Dieser wiederum meldet den Drittanbieter dann über ein speziell dafür vorgesehenes System bei den Mobilfunkanbietern an.

Drittanbieter im Ausland sind gesetzlich verpflichtet, einen sogenannten „Zustellungsbevollmächtigten“ in Deutschland anzugeben. Diese Funktion übernehmen oft die Aggregatoren, weshalb sie dann unter Umständen auf der Mobilfunkrechnung der Endkund*innen auftauchen.

Große Aggregatoren sind zum Beispiel die „Mobile business engine GmbH“ aus Berlin, „txtNation“ aus London oder die „Net Mobile AG“ aus Düsseldorf. Nach eigenen Angaben arbeiten die Mobilfunkanbieter in Deutschland mit etwa fünfzig verschiedenen Aggregatoren zusammen.

So kommt der Drittanbieter an sein Geld

Der Kaufvertrag kommt beim Bezahlen mit der Telefonnummer genauso wie beim normalen Einkaufen im Internet zustande, indem der Kaufende auf eine bestimmte Schaltfläche tippt oder klickt. Es gibt eindeutige gesetzliche Regelungen dazu (§312j Bürgerliches Gesetzbuch), wie diese Schaltfläche auszusehen hat.

So muss sie eindeutig die Worte „Kostenpflichtig kaufen“ oder ähnliches enthalten – nur „Bestellen“ ist zum Beispiel nicht erlaubt. Es darf nichts anderes auf der Schaltfläche stehen, und sie muss gut sichtbar sein.

Direkt bevor man auf den Button klickt, müssen Informationen über Produktmerkmale, Mindestlaufzeit, Gesamtpreis und Widerruf-Information gut sichtbar angezeigt werden. Sind diese Regeln nicht eingehalten, ist der Kaufvertrag ungültig.

Ist ein Kaufvertrag zustande gekommen, so besteht dieser zunächst nur zwischen Nutzer*in und Drittanbieter. Aus diesem Vertrag begründet sich eine Forderung, also ein Geldbetrag, den der Kaufende dem Drittanbieter schuldet.

Diese Forderung verkauft der Drittanbieter dann an den Aggregator, und dieser wiederum an den Mobilfunkanbieter. Dafür gibt es eigene Verträge, die zwischen den beteiligten Unternehmen geschlossen wurden.

Aber der Drittanbieter muss dem Mobilfunkanbieter natürlich auch mitteilen, von wem er das Geld einfordern soll. Da sich die Nutzer*innen beim Kaufen nicht mit Namen oder Adresse anmelden, kennt der Drittanbieter aber nur die Mobilfunknummer des Kaufenden. Diese reicht er an den Mobilfunkanbieter weiter, der sie dem richtigen Namen zuordnen kann. Hat der Mobilfunkanbieter den*die Kund*in anhand der Nummer identifiziert, landet der Betrag auf der nächsten Mobilfunkrechnung.

Wie kommt der Drittanbieter an die Telefonnummer?

Wie der Drittanbieter an die Telefonnummer kommt, hängt davon ab, wie das Smartphone mit dem Internet verbunden ist. Es gibt zwei verschiedene Möglichkeiten.

Direct Billing im Stationären Internet (WLAN) Wenn Sie mit Ihrem Smartphone über ein WLAN mit dem Internet verbunden sind, kann Ihre Telefonnummer nicht automatisch an den Drittanbieter übertragen werden. Sie müssen sie selbst in ein Feld auf der Webseite eintippen.

Damit Sie nicht eine Nummer eingeben, die Ihnen gar nicht gehört, wird die Nummer per SMS verifiziert. Das heißt, Sie bekommen eine SMS zugeschickt, die einen Code enthält. Den müssen Sie wiederum auf der Webseite eingeben, um den Kauf zu bestätigen.

Das nennt man TAN-SMS-Verfahren. Daher ist es beim Surfen mit dem Browser im WLAN eigentlich nicht möglich, dass eine „Abzock-Seite“ einfach einen Abovertrag abschließt, ohne dass man etwas gemacht hat. Man muss zumindest seine Telefonnummer irgendwo eintippen, eine SMS erhalten und einen Code eingeben.

Direct Billing im Mobilen Internet Sind Sie über das Mobilfunknetz mit dem Internet verbunden, läuft das anders. Denn der Mobilfunkprovider, der die Internetverbindung ermöglicht, sieht dabei auch Ihre Handynummer. Die Webseite des Drittanbieters kann nun den Mobilfunkprovider direkt auffordern, Ihre Handynummer zu übertragen, weil Sie zum Beispiel gerade auf den „Jetzt-Kaufen“-Knopf getippt haben.

Ist die Webseite bei dem Mobilfunkprovider als Direct-Billing-Partner angemeldet, dann wird die Nummer daraufhin übertragen – ohne dass Sie das mitbekommen oder dazu etwas tun müssen.

Beim Abschluss eines Abos erhalten Sie zudem eine Bestätigungs-SMS. Da diese wahlweise vom Drittanbieter, vom Aggregator oder (bei Vodafone) von dem Absender "Zahl mobil" kommt, wird diese aber oft für Spam gehalten und ungelesen gelöscht.

Früher waren diese Bezahl-Seiten mit einem speziellen Protokoll programmiert, das sich WAP nannte. Daher kommt der Begriff „WAP-Billing“. Das WAP-Protokoll selbst wird nicht mehr genutzt, der Vorgang ist aber noch derselbe.

Dieses eigentlich praktische Bezahlverfahren hat einen Nachteil. Es ist relativ anfällig gegenüber betrügerischen Drittanbietern. Wie funktioniert der Betrug?

So betrügen Drittanbieter beim Direct Carrier Billing

Viele Geschädigte berichten, sie hätten nie auf einen „Jetzt-Kaufen“-Button geklickt und haben trotzdem ein Abo auf der Mobilfunkrechnung. Der Drittanbieter jedoch kann Serverprotokolle vorlegen, die zeigen, dass das Gerät des Kunden auf der Webseite des Anbieters war und dort der Button geklickt wurde.

Das passiert in der Regel, wenn die Seite des Drittanbieters nicht nach den gesetzlichen Regeln gestaltet ist. Zum Beispiel steht nicht „Kaufen“, sondern nur „Weiter“ auf dem Button. Dass es sich um ein kostenpflichtiges Abo handelt, steht schlecht lesbar in kleiner Schrift ganz unten. Im Serverprotokoll des Drittanbieters sieht man nicht, wie die Seite zu diesem Zeitpunkt gestaltet war, sondern nur, welche Aktionen stattgefunden haben.

Was ist ein Serverprotokoll? Wenn Sie eine Webseite aufrufen, übermittelt Ihr Browser automatisch bestimmte Informationen an diese Seite: Zum Beispiel, welchen Browser und welches Gerät Sie nutzen, Ihre IP-Adresse, die Uhrzeit, und auch, auf welche Schaltflächen Sie klicken.

Diese Informationen zeichnet die Webseite, beziehungsweise der Server, auf der die Seite liegt, im sogenannten Serverprotokoll auf.

Kaufen-Seiten können auch mit anderen Fenstern überlagert sein. Auf dieser anderen Seite steht zum Beispiel der Button „Bist du 18?“, den man natürlich klickt – in Wirklichkeit klickt man aber auf einen Kaufen-Button, der darunter versteckt ist. Der Kaufvertrag ist auch hier ungültig. Der Nachweis ist aber schwer zu erbringen.

Der einfachste Weg, sich gegen diese Tricks zu schützen ist eine Drittanbietersperre. Was das ist und wie Sie sie einrichten, erklären wir im Beitrag Abofalle? Drittanbietersperre einrichten.

Apps und Direct Billing

Auch über Apps auf dem Smartphone kann man auf Webseiten mit Direct-Billing-Angeboten landen. Denn viele Apps blenden Werbung ein, um ihren Herstellern Geld einzuspielen. Technisch wird dabei einfach ein bestimmter Platz in der App für sogenannte Werbenetzwerke freigegeben.

Werbeanzeigen sind in der Regel nichts anderes als eingebundene Webseiten. Tippt man sie an, zum Beispiel, um sie wegzuklicken, kann es bei einer unseriösen Werbung sein, dass man auf einen nicht korrekt gekennzeichneten „Kaufen“-Button geklickt hat.

Wie Werbeanzeigen in Apps landen, und warum das nicht nur lästig ist, sondern auch ein Sicherheitsrisiko darstellt, erklären wir im Beitrag Werbe-Apps: Von nervig bis gefährlich.

Wer ist bei Streit zuständig?

Forderungen, die bei den beschriebenen Beispielen zustande gekommen sind, sind ungültig. Aber wer muss dabei welchen Nachweis bringen? Grundsätzlich gilt bei jeder Forderung: Wer die Forderung stellt, muss auch nachweisen, dass sie begründet ist, und er muss sagen, wofür die Forderung anfällt.

Das heißt: Stellt Ihr Mobilfunkanbieter einen Betrag in Rechnung, und Sie wissen nicht wofür, dann müssen Sie Widerspruch einlegen. Der Mobilfunkanbieter muss dann die Nachweise für einen Vertragsschluss vorlegen und genau sagen, für welche Leistung die Forderung anfällt.

Genau das haben Mobilfunkanbieter in der Vergangenheit aber häufig nicht getan. Stattdessen verwiesen sie Nutzer*innen auf den Drittanbieter oder Aggregator, um den Sachverhalt zu klären, bestanden aber gleichzeitig auf der Forderung.

Das ist so nicht zulässig, wie das Landgericht Potsdam in seinem Urteil vom 26. November 2015 in einem Prozess gegen E-Plus bestätigte. Wer eine Forderung stellt, so das Gericht, muss auch sagen, wofür. Sie sollten sich daher nicht an andere Parteien verweisen lassen, solange der Mobilfunkanbieter die Forderung stellt.

Die Autorin

E-Mail

m.ruhenstroth@mobilsicher.de

PGP-Key

0xAC27FCDCF277F1E4

Fingerprint

E479 C1CD 0FC9 E373 A4B3 F5DB AC27 FCDC F277 F1E4

Miriam Ruhenstroth

Projektleiterin. Miriam Ruhenstroth hat mobilsicher.de seit Beginn des Projektes begleitet – zuerst als freie Autorin, später als Redakteurin. Seit Januar 2017 leitet sie das Projekt. Davor arbeitete sie viele Jahre als freie Technik- und Wissenschaftsjournalistin.

Weitere Artikel

Ratgeber 

Android 9 (Pie): Das ist neu bei Sicherheit und Datenschutz

Im August 2018 hat Google die Android-Version Nummer 9.0 veröffentlicht: Android Pie. Sie bringt neben allerlei neuen Funktionen auch handfeste Verbesserungen für Privatsphäre und App-Sicherheit mit. Unter anderem können Apps nicht mehr aus dem Hintergrund auf Gerätesensoren zugreifen und unbemerkt den Standort über WLAN feststellen.

Mehr
Ratgeber 

Mit dem Smartphone sicher auf Reisen – 7 Tipps

Auch im Urlaub ist das Smartphone immer dabei. Doch einige Tricks und Maschen von Kriminellen zielen besonders auf ahnungslose Touristen. Wer sein Smartphone in der Ferne nutzen möchte, sollte daher ein paar Punkte beachten. Hier kommen unsere Tipps.

Mehr
Google 

Googles Play-Store: Zahlen, Fakten, Tipps

Der App-Store von Google ist auf fast allen Android-Geräten vorinstalliert. Mit aktuell 2,6 Millionen Apps bietet er die größte Sammlung von Android-Apps. Über die Auswahl und das Ranking der Apps im Store bestimmt dabei allein Google.

Mehr
Checkliste 

Checkliste: Android-Handy sichern in 10 Punkten

Sie haben ein neues Mobilgerät oder wollen Ihr altes einmal durchchecken? Mit diesen zehn Tipps sind Sie auf der sicheren Seite. Einfach Punkt für Punkt durchgehen, Einstellungen prüfen, bei Bedarf ändern und abhaken.

Mehr