Skip to content

PCI DSS (gähn…)

Es folgte die übliche und alljährliche E-Mail von Concardis mit der Aufforderung, diese komische Compliance-Validierung mit Hilfe des Selbstbewertungsfragebogens (Self-Assessment Questionnaire (SAQ)) abzuarbeiten. Letztes Jahr hatte ich denen schon geschrieben, dass ich nicht selber Kreditkartendaten erfasst, gespeichert oder gar bearbeitet habe und der Onlineshop ohnehin seit einer Weile nicht mehr existent ist.

Und ich hatte hier im Blog geschrieben: "Mal gucken, was da als Rückmeldung kommt …"

Es kam nie eine Rückmeldung und offenbar hat auch niemand meine E-Mail beachtet. Ist mir aber auch egal, ich ignoriere die Anfrage jetzt einfach gänzlich. Augenverdrehsmiley.


Endlos langer Infotext

Normalerweise biete ich hier nur ec-Cash und Kreditkartenzahlung an. Lastschrift / ELV gibt es bei mir nur in ganz seltenen Ausnahmen, die technische Gründe haben. Da das wirklich nicht häufig passiert, war mir bislang auch noch nie der Infotext aufgefallen, der offenbar in solchen Fällen mit ausgedruckt wird. Über dem Unterschriftenfeld befanden sich noch ca. 20 cm Bon mit Infos zum Thema SEPA-Lastschriftmandat, Rücklastschrift und Datenschutz. Uff …

Das hat sich vermutlich ohnehin noch nie ein Kunde durchgelesen. :-P


Unterschrift?

BGH: „Eine Unterschrift setzt ein aus Buchstaben einer üblichen Schrift bestehendes Gebilde voraus, das nicht lesbar zu sein braucht. Erforderlich, aber auch genügend ist das Vorliegen eines die Identität des Unterschreibenden ausreichend kennzeichnenden individuellen Schriftzuges, der einmalig ist, entsprechende charakteristische Merkmale aufweist, sich als Wiedergabe eines Namens darstellt und die Absicht einer vollen Unterschriftsleistung erkennen lässt."


Warteposition …

Mein Mitarbeiter an der Kasse rief mich an und teilte mir mit, dass Kartenzahlungen plötzlich nicht mehr möglich seien. Panik. Mist, was ist da los? Spontan konnte ich keinen Fehler in der Verkabelung finden, die Fritzbox lief auch – und so rief ich bei unserem Anwenderservice an, der internen Hotline für alle IT-Fragen.

Dort landete ich in der üblichen Warteschleife mit der zwischendurch eingespielten Information, wie viele Leute noch vor einem bedient werden möchten: "…sie befinden sich an Warteposition … Vierundvierzig."

Ich legte wieder auf. Nicht, weil ich keine Lust auf die Warterei hatte (okay, das natürlich auch nicht), sondern weil mir schlagartig klar wurde, dass das Problem mit den ec-Zahlungen nicht nur uns betraf und sicherlich schon in Arbeit war. So war es dann auch und zehn Minuten später lief schon wieder alles.

Kunde wollte mit Karte zahlen …

Stornierte Bons einer Kollegin. Die Begründung war jeweils die selbe: "Kunde wollte mit Karte zahlen."

Ja, aber … Dafür gibt es doch eine Funktion "Zahlungsmitteltausch" bei uns an der Kasse. Da muss man doch nicht gleich einen Bon nach dem anderen stornieren, wenn man versehentlich zu schnell auf die "BAR"-Taste Schaltfläche gedrückt hat. Das war früher, also als wir noch die von der Kasse unabhängigen Kartenterminals hatten, natürlich einfacher zu lösen, da wir intern ohnehin alle Umsätze auf "bar" gebucht hatten. Entweder gab es dann in der Kassenabrechnung das passende Bargeld oder eben einen ec-Beleg.

Diese Tausch-Funktion kennt die Kollegin jetzt aber auch! :-P


603 x Apfelmark

So kann's gehen, wenn der Mitarbeiter an der Kasse versehentlich nicht die Eingabetaste, sondern auf die für die Mengeneingabe drückt. So wird dann aus einem Baguette (Artikelnummer 603) die Menge für den unmittelbar danach gescannten Artikel. Das nicht zu merken, ist schon erstaunlich. Als Kunde am Terminal nur die Karte reinzustecken und die angezeigte Gesamtsumme von über 1000 Euro einfach zu quittieren, ist aber auch schon eine Leistung.

Ließ sich dann aber glücklicherweise unkompliziert lösen.


100 Euro, halbe-halbe!

Dieses Erlebnis hatten wir schon Anfang des Jahres. Inzwischen sind zwei weitere Ereignisse eingetreten, die einerseits die Sache per se (fast) unmöglich gemacht hätte, andererseits ist die Antwort auf die offene Frage inzwischen etwas leichter.

Ihr seid gerade komplett verwirrt? Lest selber:

Eine Stammkundin sprach mich an und erklärte, dass ihr bei einer Kartenzahlung genau 100 Euro zu viel abgebucht worden wären. Bei solchen Reklamationen bin ich immer skeptisch, da wir Kartenzahlungen grundsätzlich und ausschließlich mit PIN-Eingabe akzeptieren. Keine Zahlung kann also ohne explizite Bestätigung durch den Kunden erfolgen. (Hat sich inzwischen erledigt, da die ec-Geräte an die neuen Kassen angebunden sind und der Betrag überhaupt nicht mehr manuell übertragen werden muss. Das war das erste der oben erwähnten beiden Ereignisse.)

Die Frau hatte ihren Kassenbon dabei: 5,15€ waren zu bezahlen, aber 105,15 Euro wurden ihr vom Konto abgebucht. Mal kurz ein paar Fakten dazu sammeln:

· Der Betrag muss explizit inklusive PIN-Eingabe quittiert werden. (Ein Punkt für uns.)
· Ein missglückter Zahlendreher könnte für die mittlere Fünf verantwortlich gewesen sein. (Ein Punkt für die Kundin.)
· Die Kundin holt nach allgemeiner Meinung mehrerer Kollegen nie Bargeld. (Ein weiterer Punkt für die Kundin.)
· An dem Tag hatte die betroffene Kassiererin keine nennenswerte Kassendifferenz. (Ein Punkt für uns.)

Damit steht es genau plusminus Null. Und nun? Im Zweifel für den Angeklagten? Nee, irgendwie nicht. Ich wollte ihr nicht einfach 100 Euro schenken. Aber sie andererseits auch nicht eventuell um ihre Kohle bringen. Wir einigten uns darauf, dass ich ihr 50 Euro gebe und wir es dabei belassen. Ich hatte aber dennoch ein schlechtes Gefühl dabei – allerdings nicht, weil ich meine eigene Ehrlichkeit anzweifelte, sondern die der Kundin.

Einige Zeit später passierte dann das hier.

Jetzt könnte man argumentieren, dass sich die beiden nur wiederholen wollten, was ihnen (tatsächlich oder auch nur ihrer Meinung nach) zustand. Mich bekräftigt das eher in meiner Meinung, dass ich denen schon die 50 Euro nicht hätte geben sollen, denn inzwischen würde ich unterschreiben, dass sie mit der anfangs erwähnten "Reklamation" versucht haben, sich (parallel zu dem beim 5,15€-Bezahlvorgang ausgezahlten Geld) weitere 100 Euro zu ergaunern.

Naja, der Drops ist ja nun ohnehin längst gelutscht …

Kündigungen Kartenterminals

Mit unserem neuen Kassensystem haben wir auch eine direkte Anbindung der Kartenleser an die Kasse bekommen. Die beiden alten freistehenden Geräte sind damit überflüssig geworden.

Beide Verträge laufen offiziell noch bis 2021. Einer ist gekündigt, da habe ich dann eben noch knapp drei Jahre bis zum Ende der Laufzeit die Grundgebühr zu zahlen. Macht aber nichts, da sich das mit der gesparten Arbeitszeit für die nicht mehr notwendige Zusammenrechnerei der unglaublich vielen Einzelbelege locker ausgleicht. Der andere Vertrag wird umgebaut, so dass die Laufzeit für ein Terminal in unserem Zweitmarkt, dessen Laufzeit in ein paar Monaten zu Ende geht, aufgeschlagen wird.

Es ist schön, hier alles zu verschlanken. :-)

Temporärer Geldsegen

Vor ein paar Wochen trudelten plötzlich täglich große Einzahlungen auf meinem Geschäftskonto ein. Da ich nun auch nicht täglich mein Konto checke, fiel mir das natürlich auch nicht sofort auf.

Da hatte jemand bei der Konfiguration eines eines Kartenzahlungsterminals (in einem ganz anderen Geschäft, hunderte Kilometer entfernt) es geschafft, meine Kontonummer einzusetzen.

Die genauen technischen Details kenne ich auch nicht, aber selbstverständlich habe mich unverzüglich aktiv darum gekümmert, dass das Problem gelöst und die Kohle an den betroffenen Kaufmann (auch ein Selbstständiger) überwiesen wird. Ich möchte auch weiterhin noch in den Spiegel gucken können.


ec-Belege-Übersicht

Ein Kollege suchte eine bestimmte Zahlung in einem unserer ec-Terminals und hat sich dafür eine Übersicht über alle Zahlungen der letzten Tage aus dem Gerät gezogen. Nach dem das Terminal eine ganze Weile gedruckt hat, war der Streifen einige Meter lang. :-)

(Das schwarze in der Mitte ist nur eine Getränkedose, um den langen Ausdruck zu fixieren. Das andere Ende ist ganz hinten vor dem kleinen weißen Schrank.)


Die drei "Häh?!"

Das dritte "Häh?!" des Tages hatte ich vor ein paar Minuten, als ich eine leere (aber bepfandete) Einwegflasche einer Marke eines Mitbewerbers bei uns im Regal gefunden habe. Aber das eigentlich nur am Rand erwähnt.

Die erste Merkwürdigkeit hatte ich heute Morgen. Da rief mich der Edeka-Kundendienst an und berichtete von einer etwas kuriosen E-Mail, die dort eingegangen ist. Ein Mann, lt. Adresse (der echten?) hier aus dem Stadtteil, schrieb auf Englisch, dass er hier bei seinen Kreditkartenzahlungen abgezockt werden würde und dass es notwendig wäre, noch mehr derart abgezockte Kunden zu finden, die dann gemeinsam zur Polizei gehen und das anzeigen sollen. Andererseits beschrieb er uns nicht mit konkreter Adresse, sondern einzig mit dem Merkmal "The all-night-and-day shop in Bremen (except Sundays: 00.00h to 24.00 Hours!)". Aufgrund unserer 24h-Vergangenheit (und der räumlichen Nähe zu seiner Anschrift) fühle ich mich zwar prinzipiell schon irgendwie angesprochen, aber andererseits haben wir nun auch schon seit über sieben Jahren eben nicht mehr rund um die Uhr geöffnet.

Gegen Mittag hatte ich das nächste große Fragezeichen über dem Gehirn schweben: Da trudelte mit der Tagespost eine Bewerbung rein. Eine komplette Mappe mit Anschreiben und allem was dazu gehört. Wäre jetzt nicht weiter erwähnenswert, wenn der junge Mann nicht vor exakt vier Wochen auch schon eine solche Mappe geschickte oder ich gar nicht erst darauf reagiert hätte. Statt eine neue Bewerbung (verpeilt oder hoffnungsvoll?) zu schicken, hätte er besser mal auf mein Schreiben reagiert.

Das sind die Tage, an denen einem vom Kopfschütteln schwindlig wird.

Kassentisch, Kassen und Kartenzahlung

Woooho!!! Wenn alles klappt, bekommen wir am 14. März nicht nur den neuen Kassentisch geliefert, sondern bekommen an dem Tag auch schon das ganze aktuelle Kassensystem mitsamt angebundener Kartenzahlungsoption.

Ich hoffe, dass wir alle drei Termine unter einen Hut bekommen. Wäre schon cool.

TID

Anruf bei der Hotline von einem der beiden Anbieter unserer ec-Terminals an der Kasse. Jedes Gerät hat eine eindeutige Identifikationsnummer (Terminal-ID / TID) und die wollte der Mitarbeiter in der Hotline natürlich von mir wissen. Ich hatte diese Nummer auf die Schnelle gar nicht greifbar und wühlte mich kurz durch den Ordner mit den Kassenabrechnungen.

Da fiel mein Blick auf einen Abschlagsbeleg aus dem Terminal des anderen Anbieters und dabei hatte ich laut gedacht, in etwa sowas: "Hier, ach, nein, das ist sie doch nicht."

Der Mann am anderen Ende der Leitung lenkte ein und wollte behilflich sein: "Sagen Sie mir die aber ruhig, dann kann ich das raussuchen.

"Nein, die hilft Ihnen nicht."

"Doch, sicher. Die Nummern sind ja alle Ihrem Kundenkonto verknüpft. Dann sehe ich auch andere Terminals von Ihnen."

"Glauben Sie mir, das funktioniert nicht."

Er drängelte nochmal kurz, ich nannte die Nummer vom Terminal des anderen Anbieters und er stellte enttäuscht fest, dass er mit der Nummer gar nichts anfangen konnte.

Warum glauben die Leute einem nur nie? :-(

ec-Anbindung an die Kassen?

Seit über 17 Jahren schon funktionieren ec-Zahlungen bei mir so, dass wir den zu zahlenden Betrag manuell ins das ec-Terminal eingeben (Fehlerquelle) und dann die Summe als gegebenen IST-Betrag in die Kasse eingeben, um den Kassiervorgang zu beenden.
Bei der Kassenabrechnung muss jeder Kassierer seine ec-Belege manuell zusammenrechnen (Zeitaufwand, Fehlerquelle) und zur Abrechnung addieren.

Das war immer so, damit leben wir hier.

Aber es geht ja auch anders. Unsere Hardware (Das EDEKA-Kassensystem) kann das ganz sicher relativ problemlos. Was genau an Soft- und Hardware dafür nötig ist, gilt es zu klären und genau da bin ich momentan dabei. Wäre doch schön, wenn auch das zukünftig etwas entspannter wäre.