Wie Handynutzer mit einem Uralt-Bezahlsystem in die Abofalle tappen
Patrick W. (Name der Redaktion bekannt) tippt auf seinem Smartphone auf ein Video. Anstatt, dass es abgespielt wird, bekommt er eine SMS zugeschickt: „Lieber Kunde, Sie haben gerade ein Abo bei einem Drittanbieter gekauft: ATP Golden Pass”.
5,99 Euro pro Woche kostet es, Anbieter ist die Firma Cookies Factory srl mit Sitz in Rom. Patrick W. hat weder Kontakt- noch Zahlungsdaten eingegeben. Trotzdem sind die ersten 5,99 Euro schon auf seiner Handyrechnung zu sehen.
Patrick W. bekam unerwartet diese SMS und teilte seine Erfahrung mit der futurezone
© Screenshot
Doch wie ist es überhaupt möglich, dass ein Tippen auf ein Video zu einem Bezahl-Abo führt? Dahinter steht das sogenannte WAP-Billing. Dabei wird der Betrag für das Abo direkt über die Handyrechnung des Mobilfunkanbieters bezahlt. Eine Eingabe von Zahlungsdaten beim Abo-Abschluss, wie etwa die Kreditkartennummer, ist deshalb nicht erforderlich.
➤ Mehr lesen: Mann fällt auf Fake-SMS rein: 900 Euro Handyrechnung
Ursprünge bei polyphonen Klingeltönen
Die Abkürzung WAP steht für „Wireless Application Protocol” und ist ein veralteter Standard zur Übertragung von Daten auf Mobiltelefone. WAP wurde erstmals in den 2000er-Jahren mit polyphonen Klingeltönen oder Hintergrundbildern populär. Bei Anbietern wie Jamba konnte man solche damals per SMS bestellen – und schloss damit oft ein Abo ab.
Anders als den berühmten Crazy-Frog-Klingelton, den man damals vielleicht wirklich auf dem Handy haben wollte, bieten die meisten heutigen Abofallen keinen brauchbaren Gegenwert. „ATP Golden Pass”, das Patrick W. ungewollt abonniert hat, verspricht auf seiner Webseite „die gesamte Action des weltweiten Tennis”. Andere ungewollte Services umfassen zum Beispiel Fantasy-Fußball-Games oder Sprachkurse.
Wir würden hier gerne ein Youtube Video zeigen. Leider haben Sie uns hierfür keine Zustimmung gegeben. Wenn Sie diesen anzeigen wollen, stimmen sie bitte Youtube zu.
1-Klick-Abos fast immer ohne Nutzen
Ohnehin habe kaum ein Nutzer tatsächlich Interesse an den Services, die hinter 1-Klick-Abos stehen, berichtet Jakob Kalina von der Arbeiterkammer (AK). Es sei fast immer ein Versehen.
Die Internet Ombudsstelle nennt auf futurezone-Anfrage eine Reihe von weiteren Abofallen: Wegen „BrainTrainer“, „Skygames“ und „Business Fleet“ würden viele Betroffene um Beratung bitten. Auch Cookies Factory komme immer wieder bei den Beschwerden vor.
➤ Mehr lesen: Phishing-Betrüger nutzten selbst gebauten Handymasten
Vermeintlich abgeschlossener Abo-Vertrag meist unwirksam
Anbieter würden einen Vertragsabschluss häufig einfach behaupten. Aber wenn nötige Formvorgaben nicht erfüllt sind, sei dieser unwirksam, sagt Kalina: „Wenn da nicht so etwas wie ,jetzt kaufen’ oder ,zahlungspflichtig bestellen’ steht, gibt es keinen wirksamen Vertrag.” In dem Fall kann man bereits bezahlte Summen zurückfordern.
Drei-Kunde Patrick W. berichtet, lediglich auf ein Video-Abspiel-Symbol geklickt zu haben. Dass er damit gleichzeitig ein zahlungspflichtiges Abo abschließe, sei nirgends ersichtlich gewesen. In diesem Fall war es gar kein Video, sondern ein Bild, dass dem YouTube-Videoplayer nachempfunden war. Durch das Drücken auf die vermeintliche Play-Schaltfläche wurde der hinterlegte Link in einem neuen Tab geöffnet.
Hinter diesem Abbild eines Videoplayers lauerte die Abofalle. Durch die blauen Symbole rechts oben ist zu erkennen, dass es sich dabei um eine von Google ausgespielte Werbeanzeige handelt. Daher kann diese Abofalle auch auf vertrauenswürdigen Websites auftauchen.
© Screenshot
Das Gemeine: Auch hier war wieder der gefälschte Videoplayer zu sehen. Es hatte also den Anschein, als hätte das erste Drücken einfach nicht funktioniert. Das zweite Mal Drücken schloss dann das 1-Klick-Abo ab. Es ist bekannt, dass 1-Klick-Abofallen häufig über falsch beschriftete Buttons, unsichtbare Schaltflächen oder ausgeblendete Dialogfenster abgewickelt werden, wie es auch im Fall von Patrick W. passiert ist. Das macht ebenfalls den Vertrag unwirksam.
Kalina berichtet auch von Fällen, in denen Nutzer unter einem Vorwand dazu gebracht wurden, ihre Handynummer auf einer Webseite einzugeben, etwa um das Ergebnis eines IQ-Tests zu erhalten oder um bei einem Gewinnspiel mitzumachen, und anschließend per SMS über einen Abo-Abschluss informiert wurden. Auch hier sollte der Vertrag als unwirksam gelten.
In der darauf Bestätigungsmail von Drei, die nach der SMS ankam, ist zum „ATP Golden Pass”-Abo zu lesen, dass er auf sein Recht, vom Vertrag zurückzutreten, im Bestellprozess ausdrücklich verzichtet habe. „Doppelt mies” findet der futurezone-Leser. Jurist Jakob Kalina stellt klar, dass diese Einschränkung vom Rücktrittsrecht gar nicht gelten könne, da der zugrundeliegende Kaufvertrag ja ohnehin wegen Formmängeln unwirksam sei.
Bestätigungs-Mail von Drei
© Screenshot
Cookies Factory, die Firma hinter „ATP Golden Pass”, schreibt auf futurezone-Nachfrage, dass sie zum konkreten Fall keine Auskunft geben könne. Einem Kauf ihrer Services gehe eine Darstellung der Kosten und Eigenschaften des entsprechenden Vertrags voraus.
Drei verweist auf Bestätigung mit Häkchen
Drei erklärt, dass ein Mehrwertdienste-Abo nur dann zustandekommt, wenn der Kunde das Abo bestätigt: „In der Regel setzen Kund:innen ein Häkchen, um ein Abo zu aktivieren und erhalten – je nachdem, was im Vertrag mit Drei vom Nutzer gewünscht und festgelegt wurde – die Bestätigung des Abos per Mail an die vom Nutzer festgelegte Mailadresse oder als SMS an die Rufnummer.”
Der Mobilfunkanbieter gibt weiters an, mit OPTICKS ein sogenanntes „eye-witness tool” einzusetzen. Das tracke die Klicks zu jedem Abo-Abschluss und stelle damit sicher, dass der Abo-Vertrag gesetzeskonform zustande gekommen ist. Wie genau das funktioniert, will Drei nicht erklären. Cookies Factory, die italienische Firma hinter „ATP Golden Pass”, schreibt im Compliance-Bereich ebenfalls mit OPTICKS zusammenzuarbeiten, ohne auf Details einzugehen. OPTICKS selbst reagierte nicht auf futurezone-Anfragen.
➤ Mehr lesen: Endlich: Maßnahme gegen Anrufe mit gefälschten Nummern tritt in Kraft
Cookies Factory nach futurezone-Anfrage bei Drei gesperrt
Seitens Drei heißt es außerdem: „Stellen wir fest, dass zu einem Dienst innerhalb kurzer Zeit außergewöhnlich viele Kaufabschlüsse erfolgt sind, setzen wir weitere Maßnahmen, z.B. eine zusätzliche Checkbox oder wir belegen diesen Dienst mit einem TAN.”
Hier erhält der Kunde eine SMS mit einer Nummer (TAN), die er auf der Webseite des Abo-Anbieters eingeben muss, um die Bestellung zu bestätigen. Die Frage der futurezone, warum diese Maßnahmen nicht von vornherein implementiert sind, blieb von Drei unbeantwortet.
Nachdem die futurezone Drei auf den Fall von Patrick W. aufmerksam gemacht hat, erklärt der Mobilfunkanbieter, die Dienste von Cookies Factory und eines weiteren Anbieters, Pulse Digital, für neue Anmeldungen vorerst zu sperren. „Sollten wir, nach Abschluss der Recherche, Mehrwertdienst-Abos für diese beiden Dienste doch wieder zugänglich machen, dann nur mit TAN Service, sodass mit einem reinem Click Flow auf einen Kaufen-Button kein Abschluss mehr erfolgen kann", gibt Drei weiters an.
Es lohnt sich, seine Handyrechnung regelmäßig zu kontrollieren
© SrdjanPav/Getty
Beim Mobilfunkanbieter Einspruch erheben
Wer in eine Abofalle tappt, sollte sich umgehend an seinen Mobilfunkanbieter wenden und schriftlich reklamieren. Dasselbe gilt, wenn man auf seiner Handyrechnung Beträge entdeckt, die auf unerwünschte Mehrwertdienste zurückgehen. „Es sind fast immer niedrige Summen, wahrscheinlich, weil diese den Konsumenten nicht so schnell auffallen”, sagt Kalina.
Als A1-Kunde findet man Mehrwertdienste im Abschnitt „Online Dienste und Downloads” auf der Rechnung, bei Magenta sind sie unter „Downloads & Abos” bzw. „Zahlen per Handyrechnung” gelistet. Bei Drei scheinen sie als „Dienste von Drittanbietern-Partnerdienste” auf.
➤ Mehr lesen: Mobilfunker fürchten Rückzahlung der Servicepauschale
Abzock-Anbieter direkt kontaktieren nicht ratsam
futurezone-Leser Patrick W. rief nach Erhalt der betrügerischen Abo-SMS von „ATP Golden Pass” bei seinem Mobilfunkanbieter Drei an, der das Abo sofort stornierte. In der Bestätigungsmail, die Patrick W. zum Abo-Abschluss bekommen hatte, stellt Drei klar, dass man sich bei weiteren Fragen an den Drittanbieter wenden solle. Genau das tat Patrick W., er forderte umgehende Rückerstattung und bekam die 5,99 Euro, die bereits auf seiner Handyrechnung aufschienen, zurück.
Kalina rät allerdings davon ab, den Abzock-Anbieter direkt zu kontaktieren. Nachdem der Vertrag in der Regel ohnehin nicht wirksam ist, brauche man auch nicht davon zurückzutreten.
Die Webseiten dubioser Abo-Services enthalten meist irreführende Informationen und unzureichende Kontaktmöglichkeiten. Wenn man sich dort registriert, riskiert man, möglichen Betrügern persönliche Daten preiszugeben.
Wen man im Streitfall kontaktieren kann
Erstattet der Mobilfunk- oder Drittanbieter die Abo-Kosten nicht, kann man sich an die Schlichtungsstelle der RTR wenden. Die hält auf futurezone-Anfrage fest, dass die Beschwerden und Schlichtungsverfahren zu Drittanbietern seit langem kein Massenphänomen mehr sind. Grund dafür sei „das ernsthafte Bemühen der Anbieter“, ihre Kunden zu schützen.
Tatsächlich dürfte sich nur ein geringer Teil der Betroffenen bei der RTR melden, zum Beispiel, weil sie das unerwünschte Abo eigenständig kündigen. Die Internet Ombudsstelle gibt an, durchschnittlich 2-3 Anfragen pro Woche zu bekommen, seit Jahresbeginn wurden über 30 Beschwerden zu Abofallen bearbeitet. Die Dunkelziffer der Betroffenen dürfte tatsächlich noch viel höher sein.
➤ Mehr lesen: Mehr als Bezahlen: Was NFC an der Kasse künftig können könnte
Schutz durch Sperre von WAP-Billing beim Mobilfunkanbieter
Wer von vornherein verhindern will, mit 1-Klick-Abofallen durch WAP-Billing abgezockt zu werden, sollte bei seinem Mobilfunkanbieter sämtliche Mehrwertdienste sperren (Opt-Out). Das geht entweder online, in der jeweiligen App des Mobilfunkanbieters und telefonisch. Es muss per Gesetz einmal im Jahr kostenlos möglich sein, solche Sperren einzurichten.
Bei Magenta betrifft das die Punkte „Sperre Mehrwertdienste”, „Sperre Downloads & Abos“ sowie „Sperre Appstores, Marktplätze & Spenden”. Bei Drei findet sich das Opt-Out in der Kundenzone unter „Einstellungen - Mehrwertdienste & Sperren”.
A1 lässt das veraltete WAP-Billing derzeit auslaufen, seit Anfang des Jahres können Kunden keine neuen Abos mehr abschließen. Für die 9.000 bestehenden Abo-Kunden werde der Service bis Ende 2025 automatisch beendet. Wer vorher kündigen will, tut dies über die A1-Hotline.
Wer übrigens im WLAN surft, ist geschützt: Die Zahlung per WAP-Billing ist hier technisch nicht möglich.
„Zahlen per Handyrechnung“ immer mit TAN
2021 haben die Netzbetreiber A1, Drei und Magenta „Zahlen per Handyrechnung” eingeführt, das anders als WAP-Billing im Zahlungsdienstegesetz reguliert ist. Das Service steht als Bezahloption - neben z.B. Kreditkarte oder PayPal - bei verschiedenen Anbietern zur Verfügung. Darunter der App Store und Play Store, Netflix oder Sportwetten. Licht ins Dunkel und Greenpeace nehmen Spenden darüber an.
Bei „Zahlen per Handyrechnung” können höchstens 50 Euro pro Kauf und höchstens 300 Euro im Monat abgerechnet werden, eine TAN-Abfrage schützt vor Missbrauch. Auf der Handyrechnung sind Posten, die man mit diesem Service bezahlt, inklusive Umsatzsteuer ausgewiesen. Das heißt, die Steuer ist nicht extra angegeben, dafür steht die Steuernummer (UID) des Anbieters daneben. Bei WAP-Billing steht neben dem Rechnungsposten ein Hinweis auf die 20 Prozent Umsatzsteuer.
Auch „Zahlen per Handyrechnung” lässt sich beim Mobilfunkanbieter sperren. Bei A1 findet sich das Opt-Out unter „Kostenkontrolle - Zahlen per Handyrechnung”, bei Drei versteckt es sich unter „Dienste von Drittanbietern Sperre”. Bei Magenta heißt der entsprechende Punkt „Sperre Appstores, Marktplätze & Spenden“.
„Zahlen per Handyrechnung“ ist ein Bezahlservice von A1, Drei und Magenta
© ZeynepKaya/Getty
Konsumentenschützer fordert Opt-In-Pflicht
„Solange das Opt-out von Mehrwertdiensten Standard ist, wird es dieses Problem weiter geben”, sagt Kalina. Der AK-Konsumentenschützer fordert deshalb, dass Mobilfunkanbieter Mehrwertdienste standardmäßig sperren, um Abzocke einzudämmen. Nutzer, die darauf zugreifen wollen, sollten das mit einem klaren Opt-In tun, also in den Einstellungen zu Ihrem Handy-Tarif aktiv Mehrwertdienste erlauben müssen.
Beim WAP-Billing bzw. „Bezahlen per Handyrechnung“ verdient der Mobilfunkanbieter mit – wie viel genau, wollten Drei, A1 und Magenta der futurezone nicht verraten. Ein anonymer Poster aus der SMS-Dienstleister-Branche schreibt auf Reddit, dass Netzbetreiber bei Abodiensten zwischen 10 und 40 Prozent des Betrags einbehalten.
➤ Mehr lesen: Erstes Smartphone fürs Kind: Das gilt es zu beachten
Mehrwertdienste bei Handytarifen für Kinder und Jugendliche automatisch gesperrt
Drei weist auf Anfrage darauf hin, dass viele Kundinnen und Kunden Mehrwertdienste wie Handyparken schätzen und gerne nutzen, außerdem gebe es Sicherheitsschranken und einfache Sperrmöglichkeiten. Auch Magenta nennt das Handyparken als Positivbeispiel, Zahlen per Handyrechnung sei „eine einfach zugängliche Zahlungsmethode“ mit vielen Vorteilen. A1 stellt klar, dass es keinen direkten Zusammenhang zwischen WAP-Billing, Zahlen per Handyrechnung und Handyparken gebe, da unterschiedliche Rechtsgrundlagen hinter den Services stehen.
Bei Handy-Tarifen, die sich explizit an Kinder und Jugendliche richten, sind Mehrwertdienste bei allen Anbietern von vornherein gesperrt. Allen anderen sei empfohlen, diese unbedingt beim Mobilfunkanbieter zu sperren, um nicht nicht in die 1-Klick-Abofalle zu tappen.
Wir würden hier gerne ein ActiveCampaign Widget zeigen. Leider haben Sie uns hierfür keine Zustimmung gegeben. Wenn Sie diesen anzeigen wollen, stimmen sie bitte ActiveCampaign zu.
Wir würden hier gerne einen Outbrain Feed zeigen. Leider haben Sie uns hierfür keine Zustimmung gegeben. Wenn Sie diesen anzeigen wollen, stimmen sie bitte Outbrain UK Ltd zu.
Kommentare