Ohne große Beachtung ist am 13. Januar 2018 die neue EU-Zahlungsdiensterichtlinie in Kraft getreten, im Bankjargon kurz PSD2 (Payment Services Directive) genannt. „2“ steht für Nachfolge der ersten PSD Richtlinie von 2007. Verbraucher*innen werden jetzt zunehmend aufmerksam, geht es in der PSD2 doch auch darum, dass außer den Banken auch andere Unternehmen, sogenannte Drittanbieter, auf Zahlungskontodaten zugreifen können.
Mit PSD2 will die EU den Wettbewerb zwischen Banken, Zahlungsdienstleistern (Zahlungsauslösediensten oder Anbieter von Zahlungskarten) und Kontoinformationsdiensten fördern und innovativen Angeboten rund ums Zahlungskonto den Weg bereiten. Das können eine App oder ein Robo-Advisor sein, die die Daten eines oder mehrerer Konten auswerten und aus den gewonnenen Informationen maßgeschneiderte Angebote zu Versicherungen, Baufinanzierung, Sparen, Wertpapierkauf oder anderem machen, aber auch ein Programm, über das man Zahlungen günstig abwickeln kann.
Zugriff auf Kontodaten
PSD2 betrifft nur Zahlungskonten (Girokonten), nicht Sparkonten o.ä. Den Zugriff auf die Kontodaten müssen die Kontoinhaber*innen dem Drittanbieter vorher erlauben. Die Banken müssen dafür eine eigene PSD2-Schnittstelle zur Verfügung stellen. Hat ein*e Kunde*in den Zugriff erlaubt, kann der Broker, Kreditvermittler oder das Versandhaus danach die Kontoumsätze 90 Tage lang abrufen, ebenso 90 Tage rückwirkend. Sind die 90 Tage abgelaufen, müssen Kunden*innen einem weiteren Zugriff erneut zustimmen. Als Bank müssen wir uns darauf verlassen, dass der „Dritte“ die gesetzlichen Regelungen einhält.
Wie die PSD2-Schnittstelle technisch genau gestaltet sein wird, ist noch nicht endgültig festgelegt. Auch nicht, ob zukünftig Einschränkungen beim Datenzugriff möglich sein werden, ob es Widerspruch- oder Sperrmöglichkeiten geben wird. Das wird die sogenannte Berlin Group voraussichtlich bis Ende des Jahres festlegen.
Der Zugriff auf Kontodaten wird bisher auch schon ohne PSD2-Schnittstelle gewährt. Dienstleister, die z. B. die Abwicklung von Zahlungen anbieten, nutzen hierfür die FinTS-Schnittstelle und fragen bei den Kunden*innen die Zugangsdaten zum Konto ab. Damit „sieht“ der externe Dienstleister alle Daten, die auch ein*e Kontoinhaber*in in seinem/ihrem Onlinebanking sieht, von der kompletten Finanzübersicht über Limitangaben bis hin zu den Umsätzen.
Wie wird die Zustimmung eingeholt?
Als Kunde eines Drittanbieters muss man dem Zugriff explizit zustimmen und die Kontozugangsdaten (z. B. Kontonummer und PIN) eingeben. Wer bereits Kunde*in einer Bank ist, hat wahrscheinlich im vergangenen Jahr neue AGBs bzw. neue Sonderbedingungen erhalten, in denen darüber informiert wird, dass Dritte Kontodaten abrufen können. Wir haben unsere Kunden*innen im September vergangenen Jahres informiert.
Sicherer
Parallel zum erweiterten Zugriff auf die Kontodaten steigen die Kontroll- und Sicherheitsvorgaben. Die PSD2-Richtlinie stellt Zahlungsdienstleister und Kontoinformationsdienste unter die Aufsicht von Regulierungsbehörden wie BaFin oder EU-Bankenaufsicht. Sie müssen sich bei den Aufsichtsbehörden legitimieren und können dann die oben erwähnte Schnittstelle nutzen.
Sowohl für Onlinezahlungen als auch den Zugriff auf Onlinekonten ist eine zwei-Faktor-Authentifizierung vorgeschrieben. Dabei müssen mindestens zwei von drei Merkmalen erfüllt sein: Wissen, Besitz und Inhärenz. Eine PIN zählt zum Beispiel als Wissen, eine Karte (TAN-Generator) als Besitz und ein biometrisches Kennzeichen (Fingerabdruck) als Inhärenz, über das ein*e Nutzer*in eindeutig identifizierbar ist. Auch Banken müssen diese Auflagen erfüllen. Deshalb kann es sein, dass Bankkunden*innen zukünftig schon bei einer einfachen Umsatzabfrage eine TAN eingeben müssen.
Kosten
Onlinehändler dürfen laut PSD2 für eine bestimmte Zahlungsart keine Extragebühr mehr verlangen. So können Kunden*innen frei wählen, ob sie per Kreditkarte, per Lastschrift, Überweisung oder anders bezahlen möchten.
Werden Kontodaten missbraucht, müssen sich Kontoinhaber*innen nur noch mit 50 Euro statt wie bisher 150 Euro am Schaden beteiligen. Die GLS Bank verzichtet wie bisher auf diese Selbstbeteiligung. Geld, das unautorisiert (z. B. abgelaufene Vollmacht, kopierte Unterschrift) vom Konto abgebucht wird, z. B. weil eine Vollmacht abgelaufen oder die Unterschrift in einen Auftrag hineinkopiert worden ist, muss schneller zurückgebucht werden.
Jedem*r Kunden*in steht mindestens einmal im Jahr eine Entgeltaufstellung zu. Die GLS Bank stellt diese im Folgejahr für das vergangene Jahr bereit.
Gut oder schlecht?
Noch ist die PSD2 Richtlinie in den EU-Ländern nicht vollständig umgesetzt. Erst, wenn die PSD2-Schnittstelle definiert ist und die Verbraucher*innen, Banken und Finanzdienstleister damit Erfahrung gesammelt haben, können sie für sich ein positives oder negatives Fazit ziehen. Für Banken kann PSD2 ein Anstoß sein, verstärkt mit Fintechs zusammenzuarbeiten oder selbst neue Zahlungs- und Kontodienstleistungen zu entwickeln. Verbraucher*innen sollten weiterhin sorgfältig prüfen, wem sie welche Daten zur Verfügung stellen, unabhängig von der Bezahlart.
Wir bleiben an dem Thema dran und informieren hier über neue Entwicklungen.
Mehr Infos
Handelsblatt (11.Juni 2019): Handelsverband fordert Aufschub der EU-Richtlinie PSD2
Häufige Fragen zu PSD2 haben wir auf unserer Website zusammengestellt, die wir laufend aktualisieren.
Der rechtliche Rahmen – Website der Bundesbank
Spiegel-Artikel: Immer mehr Anbieter wollen einen Blick in das Konto werfen. Wie riskant ist das?
Weitere Infos zum Online-Banking
Foto: Torkild Retvedt / Server room (CC BY-SA 2.0)
Schreibe einen Kommentar