Garmin Pay in Deutschland

Sehe ich im Grunde genauso. Wie sieht ein mit Schweiß durchnässter Geldschein aus und was passiert, wenn man den vor dem Waschen vergisst? Egal, Sonderfall.

Na, dann erstmal ein herzliches Hallo in Runde!

Wie im FR645 Thread bereits angemerkt und auch im .com-Forum (https://forums.garmin.com/forum/into-sports/running/forerunner-645-645m/1361171-garmin-pay-availability-in-germany) dargestellt bin ich der CTO der petaFuel.
VIMpay ist ein gemeinsames Produkt von uns (App, Technik und Multibanking-Funktionalität) und (für die Karten) unserem partnerschaftlich verbundenen E-Geld-Institut PayCenter und wir haben mit Garmin zusammengearbeitet, Garmin Pay nach Deutschland zu bringen.

Vielleicht ein großer Disclaimer vorab:
Ich spreche hier nicht im Namen von Garmin, und ich kann zeitlich und organisatorisch auch hier keinen Support für VIMpay oder Garmin Pay leisten (in dem Fall am besten tatsächlich an meine Kollegen unter [email][email protected][/email] wenden- oder per Chat in der App).
Gerne erzähle ich hier aber im vielleicht eher lockeren Rahmen von VIMpay und insbesondere möchte ich hier mit ein paar schrecklichen Vermutungen aufräumen, wie etwa, dass wir nur an eure Daten möchten, oder das das gar unser Geschäftsmodell wäre.

Hintergrund:

Wir von petaFuel sind im Grunde ein IT-Dienstleister im Finanzbereich, haben vor ca. 20 Jahren mit Onlinebanking-Software angefangen. Seit 2006 ist unser Kerngeschäft aber das Processing von Kreditkartentransaktionen, d.h. von Banken ausgegebene Kreditkarten (v.a. Mastercards) werden bei uns in den Rechenzentren autorisiert, wir kümmern uns auch um die Verbuchungen usw. im Namen der jeweiligen Banken bzw. Zahlungsinstitute.
Wir arbeiten partnerschaftlich mit der PayCenter zusammen, einem 2012 gegründeten E-Geld-Institut, das Onlinekonten auf Guthabenbasis mit verbundenen Prepaid MasterCards herausgibt und vertreibt.

Die Frucht dieser Zusammenarbeit ist VIMpay: VIMpay ist unsere Vision für eine Payment App, die die täglichen Zahlungsbedürfnisse im privaten Bereich abdecken kann- und zwar Bankenunabhängig, sei es der klassische SEPA Zahlungsverkehr oder eben Kartenzahlungen.
Deshalb erhält jeder Nutzer von VIMpay eine App mit der er seine Drittkonten verwalten kann (Multibanking-Client) und automatisch eine virtuelle Mastercard.
An VIMpay entwickeln wir insgesamt schon knapp 6 Jahre, so richtig in den Vertrieb gehen wir aber erst seit diesem Jahr.

So und damit zu ein paar Fragen:

1) Monetarisierung- womit verdient ihr euer Geld?

Unser fester Glaube (und damit fahren wir bei PayCenter seit nun jetzt auch schon 8 Jahren recht erfolgreich) ist, dass Nutzer nur für die Funktionen bezahlen sollen, die Sie auch nutzen wollen. Deshalb ist auch bei VIMpay das Pricing so aufgebaut, dass wir Feature-bezogen abrechnen und auch nur bei den Themen, bei denen uns echte Aufwände entstehen.
Deshalb bieten wir die VIMpay Standard tatsächlich als kostenfreie Karte an , die aber in dieser Form doch arg limitiert ist, z.B. im Umsatzlimit oder mit der mangelnden Plastikkarte.
Wir hoffen natürlich (und so rechnet sich dann auch unser Business Case) dass ein möglichst großer Prozentsatz unserer Nutzer dann so von VIMpay überzeugt ist und zu unserer VIMpay Premium Variante greift, die dann vollwertige Kontofunktionalität bietet, keine Limits usw.
Außerdem haben wir noch weitere Segmente wie die Business Karte oder die Sachbezugskarte für Unternehmen, die wie Garmin Pay in VIMpay integriert sind.
Sicherlich werden wir niemals eure Daten verkaufen oder damit Schindluder treiben- dürfen wir ja auch gar nicht, wollen wir aber auch nicht.

2) Die Sache mit den Bankdaten

Achtung, jetzt kommt viel Erklärung, aber das ist wichtig.

VIMpay ist (unter anderem) eine Multi-Banking-App, d.h. sie erlaubt es, auf komfortable und sichere Art und Weise Onlinebanking zu betreiben.
Technisch funktioniert das Ganze hauptsächlich über das HBCI-Protokoll, in VIMpay ist dazu ein entsprechender Client integriert.
Dazu ist es dann natürlich notwendig, dass die Onlinebanking Daten angegeben werden und (optional) gespeichert werden.
Wichtig: Das ist eine rein lokale Funktion, die Daten werden (verschlüsselt) lokal gespeichert und wir werten diese auch nicht irgendwie aus.

Die VIMpay Standard Karte ist eine MasterCard, die die PayCenter ohne eine volle Legitimation des Nutzers (d.h. z.B. über das Post Ident oder Videoident) anbietet.
Dazu hat die PayCenter die entsprechende Erlaubnis der BaFin, jedoch gibt es -neben der Limitierung- ein paar Anforderungen.
Die wichtigste Anforderung ist dabei, dass die Karte nur von einem einzigen hinterlegten Referenzkonto aufgeladen werden darf und der Kontoinhaber dem Karteninhaber entspricht.
Banal gesprochen ist so gewährleistet, dass es den Karteninhaber auch wirklich gibt.
Deshalb muss tatsächlich für die Einrichtung der VIMpay Standard Karte das entsprechende Referenzkonto angegeben werden.

In VIMpay haben wir nun- sehr elegant, wie wir finden- diesen Aspekt mit unserer Multibank-Funktionalität verknüpft:
Wenn das Referenzkonto in VIMpay gleich als Onlinebanking-Konto eingerichtet ist, können wir die Aufladung in einer App ermöglichen.
Wir haben - wie andere Nutzer korrekt geschrieben haben- sogar eine sogenannte Sofortaufladung implementiert: Hier wird lokal die Überweisung im Onlinebanking durchgeführt und wir werten die Bestätigung der Bank aus, dass die Überweisung angenommen wurde und triggern eine Gutschrift auf das Kartenkonto (hier gehen wir quasi in Vorleistung, bis das Geld der Überweisung bei uns ankommt). Denn Lastschrift können wir aus Risikosicht einfach nicht anbieten- da wird leider zu viel Schindluder getrieben.

Wenn also entweder das Onlinebanking genutzt wird oder die Sofortaufladung verwendet wird ist es notwendig, dass ihr lokal in VIMpay eure Onlinebanking-Daten eintragt.
Das ist aber optional und wenn ihr das nicht möchtet, reicht es, das Referenzkonto anzugeben- dann müsst ihr aber manuell aufladen, das geht dann eben nicht so schnell und bequem.

3) Die Sache mit dem Vertrauen und der Sicherheit

Warum sollt ihr uns als App Anbieter / Prozessor / E-Geld-Institut vertrauen?

Ich könnte euch nun viel über unsere Kompetenz , den technischen Sicherheitsmaßnahmen erzählen, die wir zum Schutz der Daten getroffenen haben und die sicherlich state-of-the-art sind, von unseren Zertifizierungen, denen wir als Kreditkartenprozessor unterworfen sind (insb. PCI-DSS, ISO27001), die Regulatorik durch die BaFin bei der PayCenter, das deutsche Datenschutzrecht, dem wir als deutsche Firmen unterworfen sind und und und....
Schlussendlich ist Vertrauen aber etwas, was man nur gemeinsam aufbauen kann und von dem wir euch durch unser Handeln überzeugen müssen.
Dieses Handeln haben wir aber - auch wenn wir sicherlich nicht mega-bekannt sind- seit nun über 14 Jahren ohne irgendwelche Zwischenfälle unter Beweis gestellt.
Schlussendlich: Wir wären als Prozessor und E-Geld-Institut schneller weg vom Fenster als eine Garmin Pay-Transaktion wenn da etwas anbrennen würde- deshalb ist es in unserem eigenen Interesse, eure Daten bestmöglich zu schützen.

4) Ein paar Kommentare zum Schluss

Mir ist auch nicht klar geworden, wieviel vimpay ( kommt das von Vampir ?) für das Aufladen von Geld nimmt, ich habe bei denen was von einer Aufladeflatrate von 1,99€/Monat gelesen, aber für einzelne Aufladungen? Ist wohl aber nicht für die Basic Version, da scheint es wirklich (?) kostenlos zu sein?

Aufladen kostet nichts, wäre ja auch Käse, wir wollen ja, dass ihr möglichst oft aufladet und nutzt.
Die 1,99€ haben wir uns tatsächlich mal für das Sofortaufladefeature überlegt, inzwischen aber verworfen.

Kennt überhaupt jemand die Firma „VIMPAY“?
Ich habe noch nie von der irgendwo gehört!
Wenn das ganze nicht über einen „vernünftigen Partner“ gemacht wird werde ich das NICHT in Erwägung ziehen!

VIMpay ist das Produkt - und ich hoffe dann schon, dass wir ein vernünftiger Partner sind :-)

Bis zu der Frage ob das Sicher ist, komme ich da gar nicht.
Damit verstoße ich gegen die AGB´s des Onlinebankings meiner Bank. Also ist die Aussage "funktioniert mit allen deutschen Banken" schlicht und ergreifend falsch.

siehe oben- die Referenzkonto Geschichte funktioniert mit jeder deutschen Bank.
Onlinebanking nur mit den HBCI-fähigen Banken.
Gegen die AGBs verstößt du damit nicht- was du vielleicht meinst ist so etwas wie die Sofortüberweisung der Sofort, bei der der tatsächlich Onlinebanking-Daten auf einem fremden System gespeichert werden.
Das ist bei uns nicht der Fall, das ist wie jeder andere Multibanking-Client.

Wenn vimpay Zugriff auf meine Kontostände und getätigten Transaktionen bekommt, erklärt das auch deren Geschäftsmodell!

Ich hoffe, das konnte ich oben klarstellen.

Der Mutterkonzern petaFuel ist Zertifiziert und TÜV geprüft. Eine 100%ige Sicherheit gibt es aber nirgends!
Nur wenn ich meine Daten nicht überall ablege, verringere ich die Wahrscheinlichkeit dass sie irgendwann in Umlauf kommen.
Es reicht ja, wenn mein Handy infiziert wird. Da kann die App/Firma nix dafür

Vom Konzern sind wir (leider? Gott sei Dank?) noch etwas entfernt- wir sind ein mittelständisches Unternehmen;-)
Aber klar, 100%ige Sicherheit gibt es in der Tat nirgends. Wir verschlüsseln aber die Daten, so dass auch bei einer Infektion des Handys mit Malware möglichst wenig passieren kann.
Die Sicherheit der App wird regelmäßig auch extern auditiert, so dass wir nach bestem Stand der Technik arbeiten.
Schwieriger wird es, wenn das Handy gerootet ist- das versuchen wir zu erkennne und sperren dann bestimmte Funktionen.

Ein anderes Projekt von der Firma petaFuel ist "Juniper"

Wow, gerade geschaut, das steht tatsächlich auf der Website ;-) Ja, das war ein EU-Forschungsprojekt an dem wir beteiligt waren.
Da ging es aber tatsächlich darum, Betrugsszenarien in Echtzeit zu erkennen- spricht eher für uns denn gegen uns

Von dem Guthaben kann eine beliebige Summe auf die Uhr übertragen werden und dieser Betrag steht für Zahlungen zur Verfügung. Die Uhr arbeitet also als Geldkarte und somit sind auch keine Kontodaten zur Zahlung notwendig.

Das Guthaben wird nicht direkt -wie bei der Geldkarte- auf die Uhr übertragen, sondern ist nur online hinterlegt.
d.h. bei der Zahlung mit der Uhr prüfen wir das Guthaben online und autorisieren dann- das Terminal muss online-fähig sein (sind aber eh alle kontaktlosen). Hat den Vorteil, dass natürlich das Geld nicht weg ist, wenn die Uhr verloren geht.


jetzt habe ich mal 2 Stunden an einem Post rumgeschraubt, hoffe aber, dass ich ein paar Fragen klären konnte.
Und vielleicht habe ich ja auch ein wenig Überzeugungsarbeit geleistet.

Viel Spaß mit Garmin Pay - powered by VIMpay

Hallo Fjewl, vielen Dank für die Umfassenden Erläuterungen. Meine offene Frage, wie überhaupt das Geld auf der Uhr verwaltet wird und was bei Verlust oder technischen Schwierigkeiten damit passiert, ist auch geklärt.

Autorisiert das Bezahl-Terminal oder unterhält sich die Uhr mit dem Smartphone und das Smartphone "mit dem Konto"? Zumindest für die PIN-Eingabe muss vermutlich eine Verbindung mit dem Smartphone bestehen, oder?

Autorisiert das Bezahl-Terminal oder unterhält sich die Uhr mit dem Smartphone und das Smartphone "mit dem Konto"? Zumindest für die PIN-Eingabe muss vermutlich eine Verbindung mit dem Smartphone bestehen, oder?

Ersteres. Man kann mit der Uhr schließlich auch ohne Smartphone bezahlen.


@Fjewl vielen dank für die ausführliche Antwort und die Klärung der zahlreichen Fragen/Unklarheiten!

Wenn man das Konto löschen will, wie genau muss man vorgehen und wie/wann bekommt man das übertragene Geld zurück? Habe mir Eure Homepage durchgelesen, bin aber nicht drauf gestoßen.

Hallo Fjewl, vielen Dank für die Umfassenden Erläuterungen. Meine offene Frage, wie überhaupt das Geld auf der Uhr verwaltet wird und was bei Verlust oder technischen Schwierigkeiten damit passiert, ist auch geklärt.

Autorisiert das Bezahl-Terminal oder unterhält sich die Uhr mit dem Smartphone und das Smartphone "mit dem Konto"? Zumindest für die PIN-Eingabe muss vermutlich eine Verbindung mit dem Smartphone bestehen, oder?

Gerne.
Zusätzlich zur- korrekten - Antwort von TRIB405 ein paar technische Infos:
Die Garmin Uhren haben ein sogenanntes Secure Element, d.h. einen Chip, der einem Chip auf der Karte äquivalent ist.
Aus Terminal-Sicht agiert die Uhr also wie eine kontaktlose Karte - eine Smartphone Unterstützung ist nicht notwendig.

Zum PIN: Technisch wird die PIN Eingabe vom Terminal an die Uhr ausgelagert- die PIN muss aber nur alle 24 Stunden eingegeben werden oder wenn die Uhr vom Handgelenk genommen wird, das gilt auch für Transaktionen > 25€

wie/wann bekommt man das übertragene Geld zurück?

Solche Informationen kann man gut aus den AGB ermitteln:

"14.2 Sofern sich auf dem Kartenkonto noch ein Restguthaben befindet und keine offenen Gebühren mehr vorhanden sind, wird dieses dem Karteninhaber umgehend auf das von ihm angegebene Giro- konto zurücküberwiesen. Sind noch Beträge aufgrund einer Händleranfrage geblockt, werden diese erst nach der Freigabe (maximal jedoch nach 31 Tagen) zurücküberwiesen."

Da die AGB öffentlich zugänglich sind, dürfte dieser Auszug hier, der nicht verändert worden ist, kein Problem sein.

Wenn man das Konto löschen will, wie genau muss man vorgehen und wie/wann bekommt man das übertragene Geld zurück? Habe mir Eure Homepage durchgelesen, bin aber nicht drauf gestoßen.

Solche Informationen kann man gut aus den AGB ermitteln:

"14.2 Sofern sich auf dem Kartenkonto noch ein Restguthaben befindet und keine offenen Gebühren mehr vorhanden sind, wird dieses dem Karteninhaber umgehend auf das von ihm angegebene Giro- konto zurücküberwiesen. Sind noch Beträge aufgrund einer Händleranfrage geblockt, werden diese erst nach der Freigabe (maximal jedoch nach 31 Tagen) zurücküberwiesen."

Da die AGB öffentlich zugänglich sind, dürfte dieser Auszug hier, der nicht verändert worden ist, kein Problem sein.

:) Bezüglich der Rücküberweisung genau richtig, nicht geblocktes Guthhaben wird am nächsten Werktag zurücküberwiesen und der Rest dann entsprechend nach der Aufhebung des Blocks.
Zur Kontolöschung: Die Karten selbst können problemlos und ohne jegliche Kündigungsfrist gekündigt werden, entweder über eine Meldung an den Helpdesk, die Verwendung der Sperrhotline 116 116 oder über die VIMpay App (im Profil).
Nach der Sperrung ist ein Login und eine Anzeige der Umsätze weiterhin möglich, das müssen wir gewährleisten, damit ein Kontozugriff historisch noch möglich ist.
Ist das nicht mehr gewünscht, können wir den Account auf Anfrage sperren- wir halten die Umsatzdaten aber z.B. weiterhin vor.

Ist eine echte und vollständige Löschung der Nutzerdaten gewünscht, so müssen wir das von Fall zu Fall prüfen, denn wenn die Karte einmal aktiv war, kann Sie auch nach Sperrung noch (technisch) bebucht werden.
Wenn der Account auf ein vollwertiges Konto geupgraded wurde fand auch eine Meldung als Konto statt und dann dürfen die Daten aufgrund gesetzlicher Vorgaben gar nicht mehr gelöscht werden. Deshalb wickeln wir Löschanfragen Fall bei Fall ab und können diese nicht automatisieren.
Im Zweifelsfall erfolgt aber nach BDSC / DSGVO natürlich eine Anonymisierung oder Sperrung.

Hi,

Ich gehöre zu denen, die das Ganze mal ausprobieren wollen ...

Mehrfach an der Kasse gestanden und mit der Meldung „Keine Berechtigung“ abgewiesen. Alle Läden haben Mastercard akzeptiert. Woran liegt das? Heute besonders ärgerlich, da ich keine anderen Zahlungsmittel dabei hatte...