Ratgeber

Abofalle? So funktioniert die Abzocke per Handynummer

Ein Artikel von , veröffentlicht am 17.05.2017, bearbeitet am19.09.2019
Bild: iStock.com / cherezoff

Sie haben Kosten für ein Abo auf der Mobilfunkrechnung, das Sie nie bestellt haben? Damit sind Sie nicht alleine. Wir erklären, wie solche „Drittanbieterkosten“ auf der Handyrechnung landen und wie dabei immer wieder getrickst wird.

Manche Dinge kann man direkt mit dem Handy bezahlen. Die Kosten erscheinen dann auf der Mobilfunkrechnung – daher der Begriff „Direct Carrier Billing“, was soviel heißt wie „direkte Abrechnung über den Mobilfunkanbieter“.

Das kann praktisch sein – man muss sich nicht anmelden und keine Bankverbindung angeben. Gerade bei Parktickets oder Fahrscheinen für öffentlichen Nahverkehr wird diese Bezahlmethode gerade wieder populär. Doch das Verfahren hat auch ein schlechtes Image. Viele Menschen verbinden damit Abzocke und Abofallen. Aus gutem Grund.

Denn es kommt häufig vor, dass Kund*innen auf ihrer Handyrechnung Beträge für Waren und Services finden, die sie nie bewusst gekauft hatten. Kaufabschlüsse sind nicht nachvollziehbar, Kündigungsmöglichkeiten werden nicht genannt. Trotzdem bestehen die Mobilfunkunternehmen auf ihren Forderungen und sind oft nicht bereit, solche Fälle aufzuklären.

Seit Sommer 2016 haben die Mobilfunkanbieter ernsthafte Maßnahmen ergriffen, um gegen den Betrug vorzugehen. Ob diese wirksam sind, muss sich noch zeigen. Mehr Informationen dazu in unserem Beitrag „Operation sauberer Markt“.

Wie kommen diese überraschenden Forderungen zustande? Um das zu verstehen, muss man wissen, was im Hintergrund passiert, wenn man mit seiner Telefonnummer bezahlt.

Wer ist beteiligt?

Neben den Endkund*innen, die am Schluss die Rechnung bezahlen sollen, und dem Mobilfunkanbieter, der die Rechnung stellt, sind beim Bezahlen per Handynummer noch mindestens zwei andere Parteien im Spiel.

Der Drittanbieter Unternehmen, die Waren verkaufen und diese über die Mobilfunknummer abrechnen, nennt man „Drittanbieter“ – zum Beispiel Anbieter von Spielen, die ihre Games im Internet anbieten. Der Drittanbieter ist dafür verantwortlich, welche Inhalte er anbietet und wie sie auf seiner Webseite präsentiert werden.

Der Aggregator (auch Billing Carrier oder Enabler) Damit ein Drittanbieter über die Handynummer abrechnen kann, muss der Mobilfunkanbieter diesen erst freischalten. Allerdings arbeiten die Mobilfunkanbieter nicht mit jedem einzelnen Drittanbieter zusammen, sondern nur mit sogenannten Aggregatoren.

Aggregatoren sind Unternehmen, die wie Makler zwischen Mobilfunkanbieter und Drittanbieter vermitteln. Zudem haben sie die technische Infrastruktur, um den Kauf und den Bezahlvorgang zu verbuchen und abzuwickeln.

Drittanbieter müssen sich bei einem Aggregator anmelden. Dieser wiederum meldet den Drittanbieter dann über ein speziell dafür vorgesehenes System bei den Mobilfunkanbietern an.

Drittanbieter im Ausland sind gesetzlich verpflichtet, einen sogenannten „Zustellungsbevollmächtigten“ in Deutschland anzugeben. Diese Funktion übernehmen oft die Aggregatoren, weshalb sie dann unter Umständen auf der Mobilfunkrechnung der Endkund*innen auftauchen.

Große Aggregatoren sind zum Beispiel die „Mobile business engine GmbH“ aus Berlin, „txtNation“ aus London oder die „Net Mobile AG“ aus Düsseldorf. Nach eigenen Angaben arbeiten die Mobilfunkanbieter in Deutschland mit etwa fünfzig verschiedenen Aggregatoren zusammen.

So kommt der Drittanbieter an sein Geld

Der Kaufvertrag kommt beim Bezahlen mit der Telefonnummer genauso wie beim normalen Einkaufen im Internet zustande, indem der Kaufende auf eine bestimmte Schaltfläche tippt oder klickt. Es gibt eindeutige gesetzliche Regelungen dazu (§312j Bürgerliches Gesetzbuch), wie diese Schaltfläche auszusehen hat.

So muss sie eindeutig die Worte „Kostenpflichtig kaufen“ oder ähnliches enthalten – nur „Bestellen“ ist zum Beispiel nicht erlaubt. Es darf nichts anderes auf der Schaltfläche stehen, und sie muss gut sichtbar sein.

Direkt bevor man auf den Button klickt, müssen Informationen über Produktmerkmale, Mindestlaufzeit, Gesamtpreis und Widerruf-Information gut sichtbar angezeigt werden. Sind diese Regeln nicht eingehalten, ist der Kaufvertrag ungültig.

Ist ein Kaufvertrag zustande gekommen, so besteht dieser zunächst nur zwischen Nutzer*in und Drittanbieter. Aus diesem Vertrag begründet sich eine Forderung, also ein Geldbetrag, den der Kaufende dem Drittanbieter schuldet.

Diese Forderung verkauft der Drittanbieter dann an den Aggregator, und dieser wiederum an den Mobilfunkanbieter. Dafür gibt es eigene Verträge, die zwischen den beteiligten Unternehmen geschlossen wurden.

Aber der Drittanbieter muss dem Mobilfunkanbieter natürlich auch mitteilen, von wem er das Geld einfordern soll. Da sich die Nutzer*innen beim Kaufen nicht mit Namen oder Adresse anmelden, kennt der Drittanbieter aber nur die Mobilfunknummer des Kaufenden. Diese reicht er an den Mobilfunkanbieter weiter, der sie dem richtigen Namen zuordnen kann. Hat der Mobilfunkanbieter den*die Kund*in anhand der Nummer identifiziert, landet der Betrag auf der nächsten Mobilfunkrechnung.

Woher hat der Drittanbieter die Telefonnummer?

Wie der Drittanbieter an die Telefonnummer kommt, hängt davon ab, wie das Smartphone mit dem Internet verbunden ist. Es gibt zwei verschiedene Möglichkeiten.

Direct Billing im Stationären Internet (WLAN) Wenn Sie mit Ihrem Smartphone über ein WLAN mit dem Internet verbunden sind, kann Ihre Telefonnummer nicht automatisch an den Drittanbieter übertragen werden. Sie müssen sie selbst in ein Feld auf der Webseite eintippen.

Damit Sie nicht eine Nummer eingeben, die Ihnen gar nicht gehört, wird die Nummer per SMS verifiziert. Das heißt, Sie bekommen eine SMS zugeschickt, die einen Code enthält. Den müssen Sie wiederum auf der Webseite eingeben, um den Kauf zu bestätigen.

Das nennt man TAN-SMS-Verfahren. Daher ist es beim Surfen mit dem Browser im WLAN eigentlich nicht möglich, dass eine „Abzock-Seite“ einfach einen Abovertrag abschließt, ohne dass man etwas gemacht hat. Man muss zumindest seine Telefonnummer irgendwo eintippen, eine SMS erhalten und einen Code eingeben.

Direct Billing im Mobilen Internet Sind Sie über das Mobilfunknetz mit dem Internet verbunden, läuft das anders. Denn der Mobilfunkprovider, der die Internetverbindung ermöglicht, sieht dabei auch Ihre Handynummer. Die Webseite des Drittanbieters kann nun den Mobilfunkprovider direkt auffordern, Ihre Handynummer zu übertragen, weil Sie zum Beispiel gerade auf den „Jetzt-Kaufen“-Knopf getippt haben.

Ist die Webseite bei dem Mobilfunkprovider als Direct-Billing-Partner angemeldet, dann wird die Nummer daraufhin übertragen – ohne dass Sie das mitbekommen oder dazu etwas tun müssen.

Beim Abschluss eines Abos erhalten Sie zudem eine Bestätigungs-SMS. Da diese wahlweise vom Drittanbieter, vom Aggregator oder (bei Vodafone) von dem Absender "Zahl mobil" kommt, wird diese aber oft für Spam gehalten und ungelesen gelöscht.

Früher waren diese Bezahl-Seiten mit einem speziellen Protokoll programmiert, das sich WAP nannte. Daher kommt der Begriff „WAP-Billing“. Das WAP-Protokoll selbst wird nicht mehr genutzt, der Vorgang ist aber noch derselbe.

Dieses eigentlich praktische Bezahlverfahren hat einen Nachteil. Es ist relativ anfällig gegenüber betrügerischen Drittanbietern. Wie funktioniert der Betrug?

Betrug beim Direct Carrier Billing

Viele Geschädigte berichten, sie hätten nie auf einen „Jetzt-Kaufen“-Button geklickt und haben trotzdem ein Abo auf der Mobilfunkrechnung. Der Drittanbieter jedoch kann Serverprotokolle vorlegen, die zeigen, dass das Gerät des Kunden auf der Webseite des Anbieters war und dort der Button geklickt wurde.

Das passiert in der Regel, wenn die Seite des Drittanbieters nicht nach den gesetzlichen Regeln gestaltet ist. Zum Beispiel steht nicht „Kaufen“, sondern nur „Weiter“ auf dem Button. Dass es sich um ein kostenpflichtiges Abo handelt, steht schlecht lesbar in kleiner Schrift ganz unten. Im Serverprotokoll des Drittanbieters sieht man nicht, wie die Seite zu diesem Zeitpunkt gestaltet war, sondern nur, welche Aktionen stattgefunden haben.

Was ist ein Serverprotokoll? Wenn Sie eine Webseite aufrufen, übermittelt Ihr Browser automatisch bestimmte Informationen an diese Seite: Zum Beispiel, welchen Browser und welches Gerät Sie nutzen, Ihre IP-Adresse, die Uhrzeit, und auch, auf welche Schaltflächen Sie klicken.

Diese Informationen zeichnet die Webseite, beziehungsweise der Server, auf der die Seite liegt, im sogenannten Serverprotokoll auf.

Kaufen-Seiten können auch mit anderen Fenstern überlagert sein. Auf dieser anderen Seite steht zum Beispiel der Button „Bist du 18?“, den man natürlich klickt – in Wirklichkeit klickt man aber auf einen Kaufen-Button, der darunter versteckt ist. Der Kaufvertrag ist auch hier ungültig. Der Nachweis ist aber schwer zu erbringen.

Der einfachste Weg, sich gegen diese Tricks zu schützen ist eine Drittanbietersperre. Was das ist und wie Sie sie einrichten, erklären wir im Beitrag Abofalle? Drittanbietersperre einrichten.

Apps und Direct Billing

Auch über Apps auf dem Smartphone kann man auf Webseiten mit Direct-Billing-Angeboten landen. Denn viele Apps blenden Werbung ein, um ihren Herstellern Geld einzuspielen. Technisch wird dabei einfach ein bestimmter Platz in der App für sogenannte Werbenetzwerke freigegeben.

Werbeanzeigen sind in der Regel nichts anderes als eingebundene Webseiten. Tippt man sie an, zum Beispiel, um sie wegzuklicken, kann es bei einer unseriösen Werbung sein, dass man auf einen nicht korrekt gekennzeichneten „Kaufen“-Button geklickt hat.

Wie Werbeanzeigen in Apps landen, und warum das nicht nur lästig ist, sondern auch ein Sicherheitsrisiko darstellt, erklären wir im Beitrag Werbe-Apps: Von nervig bis gefährlich.

Wer ist bei Streit zuständig?

Forderungen, die bei den beschriebenen Beispielen zustande gekommen sind, sind ungültig. Aber wer muss dabei welchen Nachweis bringen? Grundsätzlich gilt bei jeder Forderung: Wer die Forderung stellt, muss auch nachweisen, dass sie begründet ist, und er muss sagen, wofür die Forderung anfällt.

Das heißt: Stellt Ihr Mobilfunkanbieter einen Betrag in Rechnung, und Sie wissen nicht wofür, dann müssen Sie Widerspruch einlegen. Der Mobilfunkanbieter muss dann die Nachweise für einen Vertragsschluss vorlegen und genau sagen, für welche Leistung die Forderung anfällt.

Genau das haben Mobilfunkanbieter in der Vergangenheit aber häufig nicht getan. Stattdessen verwiesen sie Nutzer*innen auf den Drittanbieter oder Aggregator, um den Sachverhalt zu klären, bestanden aber gleichzeitig auf der Forderung.

Das ist so nicht zulässig, wie das Landgericht Potsdam in seinem Urteil vom 26. November 2015 in einem Prozess gegen E-Plus bestätigte. Wer eine Forderung stellt, so das Gericht, muss auch sagen, wofür. Sie sollten sich daher nicht an andere Parteien verweisen lassen, solange der Mobilfunkanbieter die Forderung stellt.

Kennen Sie schon unseren Newsletter? Einmal im Monat schicken wir Ihnen aktuelle mobilsicher-Lesetipps direkt ins Postfach. Hier geht's zur Anmeldung.

Die Autorin

E-Mail

m.ruhenstroth@mobilsicher.de

PGP-Key

0x2F021121044527DC

PGP Public Key

Download als .asc

Fingerprint

BC80 45E0 3110 EA00 A880 0827 2F02 1121 0445 27DC

Miriam Ruhenstroth

Begleitet mobilsicher.de seit der Gründung – zuerst als freie Autorin, dann als Redakteurin. Seit Januar 2017 leitet sie das Projekt, das 2020 um den AppChecker erweitert wurde. Davor arbeitete sie viele Jahre als freie Technik- und Wissenschaftsjournalistin.

Weitere Artikel

Ratgeber 

Neodym, Gold, Indium: Die wundersame Welt des Handy-Metall-Recyclings

Es brodelt, raucht und blubbert, wenn man Gold oder Indium in Säure löst. Bastler*innen auf YouTube zeigen der Industrie, was möglich wäre.

Mehr
Ratgeber 

Security desaster: Blue Mail app and other email apps transmit login credentials

This article was originally published 7.3.2018 and refers to Version 1.9.3.20 of the blue mail app unless indicated differently Update (8.3.2018): Blue Mail Inc. has rolled out another Update, to version 1.9.4.2. In this version, we did not observe transmission of password and username with a connected gmx account. It all started with a test […]

Mehr
Ratgeber 

Pokémon GO: Tipps zu Sicherheit und Datenschutz

Die App Pokémon GO ist schwer in Mode: Mehr als zehn Millionen mal wurde das Spiel bereits installiert. Doch die App ist auch ein geschickter Datensammler. Und: personenbezogene Daten gehen auch an Unternehmen, deren Namen die Nutzer nie erfahren.

Mehr
YouTube-Video 

Apps gecheckt: Selfie-Bearbeitungs-Apps

Einfach Selfie hochladen – und per Fingertippen hat das eigene Gesicht Hasenohren, ist weniger picklig oder viel älter. Aber diese Apps funktionieren nur, wenn sie Gesichtsmerkmale erheben. Die können der Identifizierung dienen. Was passiert also mit den Bildern, die Nutzer*innen hochladen?

Ansehen