Zahlungen

Die Erfindung betrifft ein Verfahren zur Initiierung und Autorisierung elektronischer Zahlungen gemäß Patentanspruch 1. Weiters betrifft die Erfindung ein System gemäß Patentanspruch 8.

Aus dem Stand der Technik sind unterschiedliche Vorgehensweisen bei der Autorisierung von elektronischen bargeldlosen Zahlungen sowie zur elektronischen bargeldlosen Zahlungsabwicklung bekannt. Neben den bekannten Zahlungsarten, die unterschiedliche, zentral ausgegebene Gegenstände, wie z.B. Karten oder Chips, benötigen, stehen auch Zahlungsverfahren zur Verfügung, bei denen ausschließlich mobile Endgeräte zur Zahlungsabwicklung zum Einsatz kommen. Insbesondere besteht die Möglichkeit, zur Zahlungsabwicklung jeweils Mobiltelefone einzusetzen.

Im Folgenden werden mehrfach die Begriffe Händler bzw. Kunde verwendet, die im Bereich des elektronischen Zahlungsverkehrs gängig sind. Die Erfindung ist jedoch keinesfalls auf Zahlungen beschränkt, die im Zuge des Warenhandels erfolgen, sondern kann grundsätzlich im Zusammenhang mit der Autorisierung von Zahlungen aus allen möglichen Rechtsgründen verwendet werden.

Soll also beispielsweise zwischen einem kommerziell agierenden Händler und einem Kunden eine Zahlungsabwicklung vorgenommen werden, so ist es von besonderem Vorteil, wenn außer dem Mobiltelefon des Händlers und des Kunden keine weiteren Geräte erforderlich sind, um die betreffende Zahlung durchzuführen. Dies hat den Vorteil einer Kostenersparnis, da der Ankauf einer speziellen Hardware, beispielsweise eines Point-of-Sales (POS) Terminal oder eines kompletten Kassensystems nicht erforderlich sind. Die gesamte Initiierung bzw. Autorisierung einer Zahlung kann mit einem solchen Mobiltelefon umgesetzt werden, auf dem jeweils adaptierte Anwendungen ablaufen.

Im Stand der Technik bestehen auch andere reine Softwarelösungen, die zum Datenaustausch zwischen den Mobiltelefonen RFID als Near-Field-Communication (NFC) Technologie verwenden. Die Initiierung bzw. Autorisierung einer Zahlung wird dabei unter Zuhilfenahme der Endgeräte vorgenommen, wodurch die Sicherheit der Zahlung von der Sicherheit des zwischen den beiden Mobiltelefonen aufgebauten Kommunikationskanals abhängt. Mit der Verwendung von Mobiltelefonen gehen somit auch Sicherheitsrisiken einher, insbesondere können Zahlungsinformationen durch unberechtigte Personen abgefangen und zur Durchführung weiterer illegaler Transaktionen verwendet werden. Die Übertragung von geheimen Zahlungsinformationen setzt auch weitergehende Anforderungen an die Hardware, insbesondere besteht die Notwendigkeit eines Secure-Element sowohl beim Händler wie auch beim Kunden. Die aus dem Stand der Technik bekannte Technologie kann somit nur auf einem Bruchteil der aktuell zur Verfügung stehenden mobilen Endgeräte verwendet werden.

Aufgabe der Erfindung ist es, ein Zahlungssystem zur Verfügung zu stellen, das die vorstehend genannten Sicherheitsprobleme vermeidet und eine einfache und mit geringem Hardware-Aufwand verbundene Zahlungsabwicklung mit mobilen Endgeräten ermöglicht.

Die Erfindung löst diese Aufgabe bei einem Verfahren der eingangs genannten Art mit den Merkmalen des Patentanspruchs 1. Erfindungsgemäß ist ein Verfahren zur Autorisierung einer elektronischen bargeldlosen Zahlung in einem System umfassend ein erstes mobiles Endgerät, ein zweites mobiles Endgerät und einen mit beiden Endgeräten in Datenverbindung stehenden Vermittlungsserver vorgesehen. Dabei ist vorgesehen, dass im Vermittlungsserver für jedes mobile Endgerät jeweils Benutzerinformationen enthalten sind, denen jeweils auch Geldtransferinformationen zur Autorisierung eines

Geldtransfers vom jeweiligen Benutzer und/oder an den jeweiligen Benutzer unter Zuhilfenahme eines

Zahlungsdienstleisters zugeordnet sind, wobei das Verfahren die folgenden Schritte umfasst: a) Festlegung eines zu zahlenden Betrags, sowie gegebenenfalls weiterer Informationen betreffend einen Zahlungsvorgang, mittels des ersten mobilen Endgeräts; und Übermittlung dieses Betrags an den Vermittlungsserver unter Angabe einer das erste mobile Endgerät identifizierenden Kennung, b) Anlegen einer Zahlungssitzung und Zuordnung des zu zahlenden Betrags sowie der das mobile Endgerät identifizierenden Kennung zur Zahlungssitzung durch den VermittlungsServer, c) Übermittlung einer die Zahlungssitzung identifizierenden Sitzungskennung vom Vermittlungsserver an das erste mobile Endgerät, d) Erstellung einer lokalen Datenkommunikation zwischen dem ersten und zweiten mobilen Endgerät und Übermittlung einer Zahlungsaufforderung sowie der Sitzungskennung vom ersten Endgerät an das zweite Endgerät über diese lokale Datenkommunikation, e) Übermittlung der Sitzungskennung vom zweiten Endgerät an den Vermittlungsserver und Übertragung des zu zahlenden Betrags sowie gegebenenfalls weiterer der Sitzung zugeordneter Informationen vom Vermittlungsserver an das zweite Endgerät, f) Darstellung des zu zahlenden Betrags sowie gegebenenfalls der weiteren Sitzung zugeordneten Informationen und Bestätigung der Zahlung durch den Benutzer des zweiten Endgeräts, wobei dem Benutzer des zweiten Endgeräts vorzugsweise die Möglichkeit gegeben wird, den zu zahlenden Betrag zu erhöhen, g) Übermittlung einer Zahlungsfreigabe, vorzugsweise unter Angabe des zu zahlenden, allenfalls erhöhten, Betrags, vom zweiten Endgerät an den Vermittlungsserver, h) Veranlassen der Autorisierung der Zahlung des zu zahlenden Betrags auf Befehl des Vermittlungsservers unter Verwendung der vorab für das erste und zweite Endgerät festgelegten Geldtransferinformationen bei einem mit dem Vermittlungsserver in Datenkommunikation stehenden

Zahlungsabwicklungsdienst, i) Feststellung der erfolgreichen Autorisierung der Zahlung durch den Vermittlungsserver und Zuordnung einer die erfolgreiche Autorisierung der Zahlung indizierenden Information zur Zahlungssitzung, j) Übermittlung einer die erfolgreiche Autorisierung der Zahlung bestätigenden Erfolgsmeldung an das erste Endgerät.

Die Erfindung vermeidet auf vorteilhafte Weise, dass Geldtransferinformationen unmittelbar zwischen den mobilen Endgeräten übertragen werden. Da keine geheimen Daten zwischen den Mobiltelefonen übertragen werden, sind die Hardware-Anforderungen an die Smartphones geringer. Insbesondere entfällt die Notwendigkeit eines Secure-Element zur separaten Verwaltung von geheimen, zahlungsrelevanten Informationen, wie z.B. Schlüsseln, sowohl beim Händler wie auch beim Kunden. Die Erfindung kann somit auf einer großen Zahl von mobilen Endgeräten mit hoher Sicherheit vorgenommen werden. Eine besonders einfache Signalisierung des Abschlusses des Verfahrens sieht vor, dass in Schritt j) nach der Feststellung der erfolgreichen Autorisierung der Zahlung eine bestätigende Erfolgsmeldung vom Vermittlungsserver an das zweite mobile Endgerät übermittelt wird, das zweite mobile Endgerät unter Verwendung der lokalen Datenkommunikationsverbindung ein die erfolgreiche Zahlung bestätigendes Datenpaket an das erste mobile Endgerät übermittelt, und das erste mobile Endgerät anschließend durch Abfrage beim Vermittlungsserver überprüft, ob die betreffende Zahlung erfolgreich abgewickelt wurde.

Eine einfache Prüfung und gegebenenfalls Information bzw Notifikation einer erfolgten Zahlung sieht vor, dass das erste mobile Endgerät die erfolgreiche Autorisierung der Zahlung beim Vermittlungsserver prüft, indem das erste mobile Endgerät die Sitzungskennung an den Vermittlungsserver übermittelt, und/oder von diesem, sofern der Zahlungssitzung das die erfolgreiche Zahlung bestätigende Datenpaket zugeordnet ist, eine diesbezügliche Erfolgsmeldung erhält, und insbesondere dem Benutzer die erfolgreiche Zahlung zur Kenntnis bringt, insbesondere anzeigt.

Um ein lokales Abhören von den Zahlungsvorgang betreffenden Daten zu vermeiden, kann vorgesehen werden, dass die lokale Datenkommunikation zwischen dem ersten mobilen Endgerät und dem zweiten mobilen Endgerät mittels Bluetooth erfolgt und/oder auf eine vorgegebene Reichweite, insbesondere von weniger als 10 Metern, beschränkt ist.

Um dem Kunden die Möglichkeit zu geben, seine Zahlung auszuwählen und Fehlzuordnungen von Kunden zu Bezahlvorgängen zu vermeiden, kann vorgesehen sein, dass die Übermittlung einer Zahlungsfreigabe in Schritt g) ausschließlich dann erfolgt, wenn diese durch den Benutzer auf dem zweiten mobilen Endgerät mittels einer vorgegebenen Bedienhandlung freigegeben wird.

Um dem Kunden die Möglichkeit zu geben, den Zahlungsvorgang auszulösen oder zu verweigern, kann vorgesehen sein, dass in Schritt d) nach dem Aufbau der Datenverbindung vom ersten Endgerät eine Broadcast-Meldung über die lokale Datenverbindung abgesendet und vom zweiten Endgerät empfangen wird, eine Zwischen-Bestätigung vom zweiten Endgerät an das erste Endgerät über die lokale Datenverbindung übertragen wird und das zweite Endgerät daraufhin dem Benutzer zur Vornahme einer bestätigenden Bedienhandlung der Verbindungsaufnahme auffordert, und die Zahlungsaufforderung und die Sitzungskennung nur dann vom ersten Endgerät an das zweite Endgerät über die lokale Datenkommunikation übermittelt werden, wenn eine bestätigende Bedienhandlung des Benutzers vorliegt.

Um die Abspeicherung von sensiblen und potentiell geheimhaltungsbedürftigen Geldtransferinformationen im Vermittlungsserver zu vermeiden, kann vorgesehen sein, dass das Veranlassen der Zahlungsabwicklung in Schritt h) erfolgt, indem vom Vermittlungsserver ein Datensatz umfassend in den Kunden- und/oder Händlerdatensätzen enthaltene Kundenkennungen sowie der zu zahlende Betrag an ein Gateway übermittelt werden, wobei im Gateway für jede Kunden- und/oder Händlerkennung jeweils Geldtransferinformationen hinterlegt sind, und/oder wobei das Gateway die der Kundenkennung und/oder der Händlerkennung zugeordnete Geldtransferinformation ermittelt und diese gemeinsam mit dem zu zahlenden Geldbetrag in einer Autorisierungsanforderung an den Zahlungsabwicklungsdienst übermittelt.

Die Erfindung löst die Aufgabe ferner mit den Merkmalen des Patentanspruchs 8. Dabei ist ein System zur Autorisierung einer elektronischen bargeldlosen Zahlung, insbesondere zur Durchführung eines Verfahrens nach einem der vorangehenden Ansprüche, umfassend ein erstes mobiles Endgerät, ein zweites mobiles Endgerät und einen mit beiden Endgeräten in Datenverbindung stehenden Vermittlungsserver, vorgesehen. Dabei ist vorgesehen, dass im Vermittlungsserver für jedes mobile Endgerät jeweils Benutzerinformationen enthalten sind, denen jeweils auch Geldtransferinformationen zur Autorisierung eines Geldtransfers vom jeweiligen Benutzer und/oder an den jeweiligen Benutzer unter Zuhilfenahme eines Zahlungsdienstleisters zugeordnet sind, a) wobei das erste mobile Endgerät zur Festlegung eines zu zahlenden Betrags, sowie gegebenenfalls weiterer Informationen betreffend einen Zahlungsvorgang, und zur Übermittlung dieses Betrags an den Vermittlungsserver unter Angabe einer das erste mobile Endgerät identifizierenden Kennung, ausgebildet ist, b) wobei der Vermittlungsserver dazu ausgebildet ist, eine Zahlungssitzung anzulegen und den zu zahlenden Betrag sowie eine das mobile Endgerät identifizierenden Kennung zur Zahlungssitzung zuzuordnen c) wobei der Vermittlungsserver dazu ausgebildet ist, eine die Zahlungssitzung identifizierende Sitzungskennung an das erste mobile Endgerät zu übermitteln, d) wobei das erste und zweite Endgerät dazu ausgebildet sind, eine lokale Datenkommunikation miteinander zu etablieren und das erste Endgerät dazu ausgebildet ist, eine Zahlungsaufforderung sowie der Sitzungskennung an das zweite Endgerät über diese lokale Datenkommunikation zu übermitteln, e) wobei das zweite Endgerät dazu ausgebildet ist, die Sitzungskennung an den Vermittlungsserver zu übermitteln und der Vermittlungsserver dazu ausgebildet ist, den zu zahlenden Betrag sowie gegebenenfalls weiterer der Sitzung zugeordneter Informationen vom Vermittlungsserver an das zweite Endgerät zu übermitteln, f) wobei das zweite Endgerät dazu ausgebildet ist, den zu zahlenden Betrag sowie gegebenenfalls der weiteren Sitzung zugeordneten Informationen darzustellen und die Bestätigung der Zahlungsfreigabe durch den Benutzer festzustellen, wobei das zweite Endgerät dem Benutzer vorzugsweise die Möglichkeit gibt, den zu zahlenden Betrag zu erhöhen, g) wobei das zweite Endgerät dazu ausgebildet ist, eine Zahlungsfreigabe, vorzugsweise unter Angabe des zu zahlenden, allenfalls erhöhten, Betrags, an den Vermittlungsserver zu übermitteln, h) wobei der Vermittlungsserver dazu ausgebildet ist, die Autorisierung der Zahlung des zu zahlenden Betrags unter Verwendung der vorab für das erste und zweite Endgerät festgelegten Geldtransferinformationen bei einem mit dem Vermittlungsserver in Datenkommunikation stehenden Zahlungsabwicklungsdienst zu veranlassen, i) wobei der Vermittlungsserver dazu ausgebildet ist, die erfolgreiche Autorisierung der Zahlung festzustellen und der Zahlungssitzung eine die erfolgreiche Autorisierung der Zahlung indizierende Information zuzuordnen, und j) wobei der Vermittlungsserver dazu ausgebildet ist, die Übermittlung einer die erfolgreiche Zahlungsabwicklung bestätigenden Erfolgsmeldung an das erste Endgerät zu veranlassen.

Im Folgenden wird ein erstes bevorzugtes Ausführungsbeispiel der Erfindung anhand der folgenden Zeichnungsfiguren näher dargestellt.

In Fig. 1 ist der grundsätzliche Aufbau eines erfindungsgemäßen Verfahrens schematisch dargestellt.

Fig. 2 zeigt schematisch ein Ablaufdiagramm einer bevorzugten Ausführungsform der Zahlungsabwicklung. Wie in Fig. 1 gezeigt, umfasst die hier dargestellte Ausführungsform eines erfindungsgemäßen Systems zwei mobile Endgeräte 10, 20, insbesondere Mobiltelefone, wie z.B. Smartphones, Tablets, etc. Das erste mobile Endgerät 10 ist dabei dem Händler zugeordnet, das zweite mobile Endgerät 20 ist dem Kunden zugeordnet. Weiters umfasst die hier dargestellte Ausführungsform einen Vermittlungsserver 30. Der Vermittlungsserver 30 steht mit den beiden mobilen Endgeräten 10, 20 des Händlers bzw. des Kunden in Datenverbindung.

Typischerweise erfolgt die tatsächliche Überweisung von Geldbeträgen nicht durch den Vermittlungsserver 30 selbst, sondern durch einen vom Vermittlungsserver 30 verschiedenen, mit diesem in Datenkommunikation stehenden Zahlungsdienstleister, der über ein Zahlungsdienstleistungssystem 45 verfügt. Der Vermittlungsserver 30 ist mit einer Vielzahl von Zahlungsdienstleistungssystemen 45 kompatibel, um Zahlungsautorisierungen mit einer möglichst großen Zahl von Kunden zu erlauben. Der Vermittlungsserver 30 ist in der in Fig. 1 dargestellten Ausführungsform der Erfindung über ein Gateway 40 mit den einzelnen Zahlungsdienstleistungssystemen 45 verbunden.

Um die hier dargestellte Funktionalität zu gewährleisten, sind sowohl der Händler bzw. dessen mobiles Endgerät 10 sowie der Kunde bzw. dessen mobiles Endgerät 20 beim Vermittlungsserver 30 registriert. Darüber hinaus sind sowohl der Händler wie auch der Kunde auch bei einem Zahlungsdienstleistungssystem 45 registriert, mit dem der Vermittlungsserver 30 kooperiert. Sowohl die Endgeräte von Händler und Kunde betrachten den Vermittlungsserver 30 als vertrauenswürdig, während Händler und Kunde einander nicht notwendigerweise als vertrauenswürdig erachten müssen. Der Vermittlungsserver 30 weist für jeden Händler einen Händlerdatensatz 31 auf, in dem typischerweise Informationen wie Benutzername, Passwort, Informationen zur Identität des Händlers enthalten sind. Für den Händler ist im Händlerdatensatz 31 auch eine Geldtransferinformation hinterlegt.

Grundsätzlich ist es möglich, dass die im Händlerdatensatz 31 enthaltene Geldtransferinformation den Händler unmittelbar beim Zahlungsdienstleistungssystem 45 identifiziert. Mithilfe dieser Geldtransferinformation ist es möglich, dem Händler Geldbeträge zukommen zu lassen. Allenfalls können im Händlerdatensatz 31 auch Informationen wie z.B. Schlüssel hinterlegt sein, die es möglich machen, die Authentizität des mobilen Endgeräts 10 des Händlers zu identifizieren und dem Händler zuzuordnen.

In der vorliegenden Ausführungsform sind die den Händler betreffenden Informationen zweigeteilt abgespeichert, nämlich einerseits in den Händlerdatensätzen 31 des Vermittlungsservers 30 und andererseits in den weiteren Händlerdatensätzen 41 im Gateway 40. Ein einen Händler betreffender Händlerdatensatz 31 und der zugehörige weitere Händlerdatensatz 41 im Gateway 40 sind über einen gemeinsamen Schlüssel miteinander verbunden; eine Zuordnung von Händlerdatensätzen 31 und weiteren Händlerdatensätzen 41, die jeweils den gleichen Händler betreffen, kann beispielsweise über die Wahl eines gemeinsamen Schlüssels erfolgen. Dem im Gateway 40 abgespeicherten weiteren Händlerdatensatz 41 sind bei dieser Ausführungsform die Geldtransferinformationen zugeordnet, während im Händlerdatensatz 31 keine Geldtransferinformationen enthalten sind. Zweck dieser zweigeteilten Abspeicherung liegt darin, dass durch diese Maßnahme sämtliche Geldtransferinformationen in einem gesicherten Gateway abgespeichert sind und es nicht erforderlich ist, Geldtransferinformationen auf dem Vermittlungsserver 30 abzuspeichern.

Weiters ist auch der Kunde bzw. dessen mobiles Endgerät 20 beim Vermittlungsserver 30 registriert. Der Vermittlungsserver 30 weist für den Kunden einen Kundendatensatz 32 auf, in dem typischerweise Informationen wie Benutzername, Passwort, Informationen zur Identität des Kunden enthalten sind.

Wie auch bei den Händlerdatensätzen, ist es bei den Kundendatensätzen 32 möglich, die Geldtransferinformation, die ihn bei einem Zahlungsdienstleistungssystem identifiziert, unmittelbar beim Vermittlungsserver 30 zu hinterlegen. Mithilfe dieser Geldtransferinformation ist es möglich, den Zahlungsdienstleister zur Zahlung von bestimmten Geldbeträgen auf Rechnung des Kunden zu veranlassen. Insbesondere ist es mittels der im Kundendatensatz enthaltenen Geldtransferinformation möglich, den vom Kunden angegebenen Zahlungsdienstleister zu einer Geldüberweisung an eine von einem Händler in dessen Händlerdatensatz bezeichnete Stelle, beispielsweise auf ein Bankkonto, zu veranlassen. Allenfalls können im Kundendatensatz 31 auch Informationen wie z.B. Schlüssel hinterlegt sein, die es möglich machen, die Authentizität des mobilen Endgeräts 20 zu identifizieren und dem Kunden zuzuordnen.

In der vorliegend beschriebenen Ausführungsform werden - in Analogie zu den getrennt abgespeicherten Händlerdatensätzen - auch die Kundendatensätze 32 getrennt abgespeichert, sodass die Geldtransferinformationen auf weiteren Kundendatensätzen 42 abgespeichert vorliegen, die auf dem Gateway 40 abgespeichert sind. Ein einen Kunden betreffender Kundendatensatz 32 und der zugehörige weitere Kundendatensatzdatensatz 42 im Gateway 40 sind über einen gemeinsamen Schlüssel miteinander verbunden; eine Zuordnung von Kundendatensätzen 32 und weiteren Kundendatensätzen 42 die jeweils den gleichen Kunden betreffen, kann beispielsweise über die Wahl eines gemeinsamen Schlüssels, insbesondere einer Kunden-ID, erfolgen. Dem im Gateway 40 abgespeicherten weiteren Kundendatensatz 42 sind bei dieser Ausführungsform die Geldtransferinformationen zugeordnet, während im Kundendatensatz 32 keine Geldtransferinformationen enthalten sind. Zweck dieser zweigeteilten Abspeicherung der Kundendatensätze - wie auch bei der zweigeteilten Abspeicherung der Händlerdatensätze - ist es, dass durch diese Maßnahme sämtliche Geldtransferinformationen in einem gesicherten Gateway 40 abgespeichert sind und es nicht erforderlich ist, Geldtransferinformationen auf dem Vermittlungsserver 30 abzuspeichern. Dies erhöht die Datensicherheit des Gesamtsystems; ebenso erlaubt dies in vielen Jurisdiktionen auch eine regulatorisch einfachere Behandlung des Vermittlungsservers 30, an den zusätzlich geringere Sicherheitsanforderungen gestellt werden können.

Sofern die Geldtransferinformationen auf dem Gateway 40 gespeichert werden sollen, kann eine erstmalige Registrierung eines Kunden oder eines Händlers vorteilhafterweise so vorgenommen werden, dass die Geldtransferinformationen überhaupt nicht auf dem Vermittlungsserver 30 abgespeichert werden. Zu diesem Zweck leitet der Vermittlungsserver 30 im Zuge der Registrierung ein vom Gateway 40 erstelltes Registrierungsformular, dem bereits vorab die vom Vermittlungsserver 30 zugeordnete Kunden- oder Händlerkennung zugewiesen wurde, an den Kunden oder Händler weiter. Kunde oder Händler geben im betreffenden Formular ihre jeweiligen Geldtransferinformationen ein, die daraufhin unmittelbar an das Gateway 40 weitergeleitet werden. Im Gateway 40 liegen dann die weiteren Händlerdatensätze 41 und weiteren Kundendatensätze 42 vor, in denen dann die Geldtransferinformationen außerhalb des Vermittlungsservers 30 abgespeichert werden.

Beide mobilen Endgeräte 10, 20 sind dazu in der Lage, neben der Kontaktaufnähme über den Vermittlungsserver 30 unmittelbar in Kommunikation 6 zu treten. Hierfür wird im vorliegenden Fall Bluetooth als Kommunikationstechnologie verwendet, da dessen Reichweite lokal beschränkt ist. Alternativ können auch andere Kommunikationstechnologien verwendet werden, deren Reichweite lokal beschränkt und/oder eingegrenzt ist. Insbesondere kann durch allgemein bekannte technische Maßnahmen erreicht werden, dass die Reichweite von Bluetooth oder einer alternativen Funktechnologie auf einen vorgegebenen Wert beschränkt ist. Dies führt dazu, dass beim Kaufvorgang Händler und Kunde bzw. deren mobile Endgeräte 10, 20 physisch aneinander angenähert sein müssen, um in unmittelbare Kommunikation treten zu können. Die Notwendigkeit einer solchen physische Anwesenheit erhöht die Sicherheit und vermeidet die Veranlassung ungewollter oder illegaler Transaktionen.

Die Erfindung hat den wesentlichen Vorteil, dass die verwendete lokal beschränkte Kommunikationsverbindung 6 zwischen den beiden mobilen Endgeräten 10, 20 zusätzlich dadurch sicher ist, dass über diese Kommunikationsverbindung 6 keine Daten ausgetauscht werden, die für Unberechtigte von Interesse sein können. Insbesondere werden keinerlei kritische Zugangsdaten und Geldtransferinformationen ausgetauscht.

Auf den mobilen Endgeräten 10, 20 sind unterschiedliche Software-Paktete installiert, die eine Zahlungsautorisierung ermöglichen. Auf dem mobilen Endgerät 10 des Händlers ist eine Terminal-Anwendung installiert, die es dem Händler ermöglicht, einen Zahlungsvorgang zu initiieren. Die Terminal-Anwendung ist so ausgestaltet, dass das mobile Endgerät 10 des Händlers mit dieser dazu in der Lage ist, mit dem Vermittlungsserver 30 in Kontakt zu treten, beispielsweise über das Internet 5. Gegebenenfalls können mit der Terminal-Anwendung auch die Zugangsdaten zur Kontaktaufnähme und Authentif izierung mit dem Vermittlungsserver 30 eingegeben werden.

Die weitere Ausgestaltung einer solchen Terminal-Anwendung kann je nach Anwendungsfall unterschiedlich ausfallen, beispielsweise kann die Terminal-Anwendung ein Kassensystem enthalten, in dem der Händler eine Vielzahl von Produkten vorauswählen kann, um den zu überweisenden Betrag zu bestimmen, um letztlich die Zahlung zu veranlassen. Die Terminal-Anwendung kann mit anderen Anwendungen und Servern in Datenverbindung stehen, die es dem Händler ermöglichen, die im Zuge der Zahlung der Geldbeträge erstellten Daten weiter zu verarbeiten, z.B. für Buchhaltungszwecke. Die Terminal-Anwendung kann auch als Kassensystem ausgestaltet sein, um einzelne Produkte automatisiert zu erkennen, z.B. einzuscannen.

Auf dem mobilen Endgerät 20 des Kunden ist eine Wallet- Anwendung installiert, mit der der Kunde den Zahlungsvorgang durchführen kann. Die Wallet-Anwendung ist so ausgestaltet, dass das mobile Endgerät 20 des Kunden mit dieser dazu in der Lage ist, mit dem Vermittlungsserver 30 in Kontakt zu treten. Gegebenenfalls können mit der Wallet-Anwendung auch die Zugangsdaten zur Kontaktaufnahme und Authentifizierung mit dem Vermittlungsserver 30 eingegeben werden.

Verfügen nun der Händler wie auch der Kunde jeweils über beim Vermittlungsserver 30 registrierte mobile Endgeräte 10, 20 und sind für den Händler und den Kunden jeweils entsprechende Händler- und Kundendatensätze 31, 32 hinterlegt, kann eine Zahlungsautorisierung beispielsweise in der in Fig. 2 dargestellten Weise vorgenommen werden:

Der Händler legt über das mobile Endgerät 10, beispielsweise durch unmittelbare Eingabe oder Scannen des zu kaufenden Produkts, den zu zahlenden Preis fest. Der zu zahlende Preis wird in einem ersten Datenpaket gemeinsam mit einer den Händler identifizierenden Händlerkennung, gegebenenfalls unter Angaben eines Passworts vom mobilen Endgerät 10, an den Vermittlungsserver 30 übertragen. Typischerweise enthält das erste Datenpaket 51 auch noch weitere Informationen, wie beispielsweise Angaben über die physische Position des mobilen Endgeräts 10 des Händlers und den Zeitpunkt der Übermittlung der Anfrage.

Der Vermittlungsserver 30 empfängt das erste Datenpaket 51 und legt eine Zahlungssitzung an. Dabei wird beim Vermittlungsserver 30 ein Sitzungs-Datensatz 33 angelegt, der neben einer ihn eindeutig kennzeichnenden Sitzungskennung auch Angaben über den zu zahlenden Preis, den Händler sowie gegebenenfalls die vom mobilen Endgerät 10 des Händlers im ersten Datenpaket 51 übertragenen Informationen enthält.

Will der Kunde mittels seines mobilen Endgeräts 20 bezahlen, so stellt dieser vor dem Beginn des weiteren Vorgehens in einen Betriebszustand, in dem dieses für die unmittelbare lokale Datenübertragung vom mobilen Endgerät 10 auf das mobile Endgerät 20 empfangsbereit ist. Dies kann beispielsweise dadurch geschehen, dass er die Wallet- Anwendung auf seinem mobilen Endgerät 20 startet, woraufhin die Bluetooth-Schnittstelle des mobilen Endgeräts 20 aktiviert wird.

Das mobile Endgerät 10 des Händlers sendet anschließend eine Zahlungsaufforderung 61 als Broadcast-Meldung aus. Im vorliegenden Ausführungsbeispiel wird zur lokalen unmittelbaren Kontaktaufnahme und Datenübertragung mit dem mobilen Endgerät 20 des Kunden eine Bluetooth-

Datenübertragung verwendet. Diese Broadcast-Meldung kann von sämtlichen innerhalb eines Umkreises von wenigen Metern rund um das mobile Endgerät 10 des Händlers befindlichen mobilen Endgeräten empfangen werden, insbesondere also auch vom mobilen Endgerät 20 des Kunden.

Im Zuge der Kontaktaufnahme überträgt das mobile Endgerät 10 des Händlers die Sitzungskennung an das mobile Endgerät 20 des Kunden in einem Datenpaket 63. Dieser Datenaustausch kann in mehreren Unterschritten erfolgen, wobei im ersten Unterschritt lediglich eine Kontaktaufnahme unter Angabe eines Zeitstempels erfolgt und die Übertragung der Sitzungskennung vom mobilen Endgerät 10 des Händlers an das mobile Endgerät 20 des Kunden erst nach Kontaktaufnahme in einem weiteren Unterschritt erfolgt.

Um dem Kunden die Möglichkeit zur Auswahl des Zahlungsvorgangs zu geben und gegebenenfalls Verwechslungen zu vermeiden, wenn mehrere Kunden mit dem hier vorgestellten Verfahren bezahlen möchten, kann an dieser Stelle eine über die lokale Datenverbindung 6 übertragene Zwischen-Bestätigung in Form eines Datenpakets 62 des Kunden über die Wallet- Anwendung verlangt werden, um mit dem weiteren Prozess fortzufahren.

Erhält das mobile Endgerät 20 des Kunden also eine Zahlungsaufforderung 61 über die lokale Datenverbindung 6 übermittelt, so bietet das mobile Endgerät 20 dem Kunden die Möglichkeit, die weitere Übermittlung einer

Zwischenbestätigung 62 durch eine diesbezügliche

Benutzerinteraktion 21 zu erteilen oder zu unterbinden. Die Darstellung des Empfangs der Zahlungsaufforderung kann dabei unterschiedlich, insbesondere akustisch, optisch oder auf anderem Wege, wie z.B. mittels Vibration, erfolgen. Die für die Zwischenbestätigung erforderliche Benutzerinteraktion 21 ist so ausgestaltet, dass das mobile Endgerät 20 in der Lage ist, diese wahrzunehmen; insbesondere kann die Benutzerinteraktion 21 mit Drücken eines Knopfs auf dem mobilen Endgerät 20, in einer vordefinierten Geste, die auf einem Touchpad vorgenommen wird, in einer akustischen Bestätigung durch Spracheingabe oder sonst in einer Weise erfolgen, dass die Zustimmung des Kunden vom mobilen Endgerät 20 eindeutig identifizierbar ist.

Ein unbeabsichtigtes Mithören der übertragenen Daten durch einen Dritten, der über ein mobiles Endgerät verfügt, ist dabei insoweit unkritisch, als dieser nicht an Geldtransferinformationen gelangt, da solche nicht lokal zwischen den mobilen Endgeräten 10, 20 übertragen werden.

Im nachfolgenden Schritt nimmt das mobile Endgerät 20 des Kunden bzw. die darauf ablaufende Wallet-Anwendung Kontakt mit dem Vermittlungsserver 30 auf und übermittelt in einem dritten Datenpaket 53 die Sitzungskennung sowie eine den Kunden bzw. dessen mobiles Endgerät 20 identifizierende Kennung. Der Vermittlungsserver 30 prüft die Authentizität des Kunden z.B. durch Überprüfung von allenfalls im dritten Datenpaket 53 mit übermittelten Nutzerpasswörtern und ordnet nach erfolgreicher Überprüfung die Nutzerkennung dem Sitzungsdatensatz 33 zu. Anschließend übermittelt der Vermittlungsserver 30 dem mobilen Endgerät 20 des Kunden ein viertes Datenpaket 54, in dem zu bestätigende Rechnungsinformationen enthalten sind. Diese können neben dem Kaufpreis auch vom Händler hinterlegte Informationen über den Kauf, insbesondere über die gekauften Gegenstände, enthalten. Wird das vierte Datenpaket 54 vom mobilen Endgerät 20 des Kunden empfangen, wird dessen Inhalt auf dem mobilen Endgerät 20 des Kunden dargestellt. Der Kunde erhält über das mobile Endgerät 20 bzw. die auf diesem ablaufende Wallet-Anwendung eine Aufforderung zur Bestätigung oder Ablehnung der Kaufvorgangs. Allenfalls wird dem Kunden die Möglichkeit eingeräumt, den vom Händler vorgegebenen Preis zu erhöhen, z.B. um Trinkgeld zu geben.

Wiederum wird dem Kunden die Möglichkeit gegeben, durch Abgabe einer Benutzerinteraktion 22 den Bezahlungsgang fortzusetzen oder abzubrechen, wobei sowohl für die Benachrichtigung des Kunden wie auch für die Detektion der Benutzerinteraktion 22 dieselben Methoden in Betracht kommen, die zuvor in Bezug auf die Benutzerinteraktion 21 beschrieben wurden.

Bestätigt der Kunde den Bezahlvorgang, so übermittelt das mobile Endgerät 20 des Kunden ein fünftes Datenpaket 55 zur Zahlungsfreigabe an den Vermittlungsserver 30. Dieses fünfte Datenpaket 55 enthält neben der Sitzungskennung und einem die Zahlung bestätigenden Zusatz gegebenenfalls weitere Angaben zum Preis und/oder Sicherheitsrelevante Informationen zur Zahlungsfreigabe .

Optional besteht an dieser Stelle die Möglichkeit, dass das mobile Endgerät 20 des Kunden eine Bestätigung in Form eines ein Datenpakets 64 lokal unmittelbar an den Händler bzw. dessen mobiles Endgerät 10 übermittelt, dass der Kunde den Vermittlungsserver 30 die Zahlung nun veranlassen wird. Eine solche Bestätigung ist jedoch kein endgültiger Nachweis für die Durchführung der Zahlung, sondern stellt lediglich eine Statusinformation dar, um den Zahlungsvorgang auf Seiten des Händlers besser verfolgen zu können. Langt nun das fünfte Datenpaket beim Vermittlungsserver 30 ein, so verfügt dieser nun über einen vom Händler und Kunden bestätigten Auftrag über die Zahlung eines bestimmten Geldbetrags vom Kunden an den Händler. Da der Vermittlungsserver 30 auch im betreffenden Händlerdatensatz

31 und Kundendatensatz 32 über die Kennungen über die Zahlungsautorisierung verfügt, kann dieser nunmehr unter Verwendung der im Kundendatensatz 32 angegebenen Geldtransferinformationen den Zahlungsabwicklungsdienst 45 des Kunden zum Transfer des bestätigten Geldbetrags an die im Händlerdatensatz 31 angegebene Stelle veranlassen.

Im vorliegenden Ausführungsbeispiel wird der Auftrag zur Zahlungsautorisierung über das Gateway 40 übertragen. Dabei werden seitens des Vermittlungsservers 30 lediglich die Kennungen des Händlerdatensatzes 31 und des Kundendatensatzes

32 übertragen. Gelangt der Auftrag zur Zahlungsautorisierung zum Gateway 40, so sucht dieses in den weiteren Händlerdatensätzen 41 und weiteren Kundendatensätzen 42 nach den dem Kunden bzw. Händler zugeordneten Geldtransferinformationen und leitet diese anschließend an das betreffende Zahlungsdienstleistungssystem 45 weiter, bei dem die eigentliche Zahlung dann autorisiert wird.

Bestätigt das Zahlungsdienstleistungssystem 45 des Kunden die Autorisierung zur Übermittlung des Geldbetrags, wird eine diesbezügliche Meldung - in der vorliegenden Ausführungsform unter Vermittlung des Gateway 40 - an den Vermittlungsserver 30 übermittelt; dieser Vermittlungsserver 30 ordnet dem betreffenden Sitzungs-Datensatz 33 eine Information zu, die indiziert, dass die im Sitzungs-Datensatz 33 spezifizierte Zahlung korrekt autorisiert wurde.

Anschließend übermittelt der Vermittlungsserver 30 an das mobile Endgerät 20 des Kunden eine Erfolgsmeldung in einem sechsten Datenpaket 56, dass die Zahlung korrekt autorisiert wurde.

Optional übermittelt das mobile Endgerät 20 des Kunden lokal unmittelbar eine Mitteilung an das mobile Endgerät 10 des Händlers in Form eines Datenpakets 65, in dem diesem mitgeteilt wird, dass die Autorisierung vorgenommen wurde. Eine solche Mitteilung stellt für den Händler keinen endgültigen Nachweis für die eigentliche Autorisierung oder gar die Durchführung der Zahlung dar, sondern stellt lediglich eine Statusinformation dar, um den Vorgang abzuschließen, insbesondere um vom mobilen Endgerät 10 aus zu prüfen, ob die Zahlung vom Vermittlungsserver 30 tatsächlich veranlasst und bestätigt wurde.

Das mobile Endgerät 10 des Händlers überprüft durch Abfrage beim Vermittlungsserver 30, ob die betreffende Zahlung erfolgreich autorisiert wurde. Hierfür übermittelt das mobile Endgerät 10 des Händlers die Sitzungskennung in einem siebenten Datenpaket 57 und erhält vom Vermittlungsserver 30, sofern im Sitzungs-Datensatz 33 eine die erfolgreiche Zahlung bestätigende Information enthalten ist, eine diesbezügliche Erfolgsmeldung in einem achten Datenpaket 58. Diese wird dann vom mobilen Endgerät 10 bzw. der Terminal-Anwendung dem Händler zur Kenntnis gebracht.

Alternativ zum Triggern der abschließenden händlerseitigen Überprüfung der Zahlung besteht auch die Möglichkeit, dass keine unmittelbare Mitteilung vom mobilen Endgerät 20 des Kunden an das mobile Endgerät 10 des Händlers vorgenommen wird, sondern das mobilen Endgerät 10 des Händlers periodisch das Vorliegen einer erfolgreichen Autorisierung beim Vermittlungsserver 30 prüft. Schließlich besteht auch die Möglichkeit, dass der Vermittlungsserver 30 den Händler bzw. dessen mobiles Endgerät 10 durch Übermittlung eines weiteren Datenpakets, gleichsam als Push-Nachricht, von der erfolgreichen Zahlungsabwicklung verständigt, sobald diese vorliegt.

Am Ende des Zahlungsvorgangs wird dem Händler durch dessen mobiles Endgerät 10 der Umstand mitgeteilt, dass die Zahlungsabwicklung erfolgreich war. Dies kann durch unterschiedliche Anzeigemittel, beispielsweise durch Darstellung auf dem Bildschirm des mobilen Endgeräts, durch akustische Rückmeldung oder auf andere geeignete Weise erfolgen.