PSD2 Zahlungsrichtlinie erlaubt Dritten Zugriff auf Kontodaten.

PSD2: Was bringt die neue EU-Zahlungsdiensterichtlinie?

Ohne große Beachtung ist am 13. Januar 2018 die neue EU-Zahlungsdiensterichtlinie in Kraft getreten, im Bankjargon kurz PSD2 (Payment Services Directive) genannt. „2“ steht für Nachfolge der ersten PSD Richtlinie von 2007. Verbraucher*innen werden jetzt zunehmend aufmerksam, geht es in der PSD2 doch auch darum, dass außer den Banken auch andere Unternehmen, sogenannte Drittanbieter, auf  Zahlungskontodaten zugreifen können.

Mit PSD2 will die EU den Wettbewerb zwischen Banken, Zahlungsdienstleistern (Zahlungsauslösediensten oder Anbieter von Zahlungskarten) und Kontoinformationsdiensten fördern und innovativen Angeboten rund ums Zahlungskonto den Weg bereiten. Das können eine App oder ein Robo-Advisor sein, die die Daten eines oder mehrerer Konten auswerten und aus den gewonnenen Informationen maßgeschneiderte Angebote zu Versicherungen, Baufinanzierung, Sparen, Wertpapierkauf oder anderem machen, aber auch ein Programm, über das man Zahlungen günstig abwickeln kann.

Zugriff auf Kontodaten

PSD2 betrifft nur Zahlungskonten (Girokonten), nicht Sparkonten o.ä. Den Zugriff auf die Kontodaten müssen die Kontoinhaber*innen dem Drittanbieter vorher  erlauben. Die Banken müssen dafür eine eigene PSD2-Schnittstelle zur Verfügung stellen. Hat ein*e Kunde*in den Zugriff erlaubt, kann der Broker, Kreditvermittler oder das Versandhaus danach die Kontoumsätze 90 Tage lang abrufen, ebenso 90 Tage rückwirkend.  Sind die 90 Tage abgelaufen, müssen Kunden*innen einem weiteren Zugriff erneut zustimmen. Als Bank müssen wir uns darauf verlassen, dass der „Dritte“ die gesetzlichen Regelungen einhält.

Wie die PSD2-Schnittstelle technisch genau gestaltet sein wird, ist noch nicht endgültig festgelegt. Auch nicht, ob zukünftig Einschränkungen beim Datenzugriff möglich sein werden, ob es Widerspruch- oder Sperrmöglichkeiten geben wird. Das wird die sogenannte Berlin Group voraussichtlich bis Ende des Jahres festlegen.

PSD2 Voller EinblickDer Zugriff auf Kontodaten wird bisher auch schon ohne PSD2-Schnittstelle gewährt. Dienstleister, die z. B. die Abwicklung von Zahlungen anbieten, nutzen hierfür die FinTS-Schnittstelle und fragen bei den Kunden*innen die Zugangsdaten zum Konto ab. Damit „sieht“ der externe Dienstleister alle Daten, die auch ein*e Kontoinhaber*in in seinem/ihrem Onlinebanking sieht, von der kompletten Finanzübersicht über Limitangaben bis hin zu den Umsätzen.

Wie wird die Zustimmung eingeholt?

Als Kunde eines Drittanbieters muss man dem Zugriff explizit zustimmen und die Kontozugangsdaten (z. B. Kontonummer  und PIN) eingeben. Wer bereits Kunde*in einer Bank ist, hat wahrscheinlich im vergangenen Jahr neue AGBs bzw. neue Sonderbedingungen erhalten, in denen darüber informiert wird, dass Dritte Kontodaten abrufen können.  Wir haben unsere Kunden*innen im September vergangenen Jahres informiert.

Sicherer

Parallel zum erweiterten Zugriff auf die Kontodaten steigen die Kontroll- und Sicherheitsvorgaben. Die PSD2-Richtlinie stellt Zahlungsdienstleister und Kontoinformationsdienste unter die Aufsicht von Regulierungsbehörden wie BaFin oder EU-Bankenaufsicht.  Sie müssen sich bei den Aufsichtsbehörden legitimieren und können dann die oben erwähnte Schnittstelle nutzen.

Sowohl für Onlinezahlungen als auch den Zugriff auf Onlinekonten ist eine zwei-Faktor-Authentifizierung vorgeschrieben. Dabei müssen mindestens zwei von drei Merkmalen erfüllt sein: Wissen, Besitz und Inhärenz.  Eine PIN zählt zum Beispiel als Wissen, eine Karte (TAN-Generator) als Besitz und ein biometrisches Kennzeichen (Fingerabdruck) als Inhärenz, über das ein*e Nutzer*in eindeutig identifizierbar ist. Auch Banken müssen diese Auflagen erfüllen. Deshalb kann es sein, dass Bankkunden*innen zukünftig schon bei einer einfachen Umsatzabfrage eine TAN eingeben müssen.

Kosten

Onlinehändler dürfen laut PSD2 für eine bestimmte Zahlungsart keine Extragebühr mehr verlangen. So können Kunden*innen  frei wählen, ob sie per Kreditkarte, per Lastschrift, Überweisung oder anders bezahlen möchten.

Werden Kontodaten missbraucht, müssen sich Kontoinhaber*innen nur noch mit 50 Euro statt wie bisher 150 Euro am Schaden beteiligen. Die GLS Bank verzichtet wie bisher auf diese Selbstbeteiligung. Geld, das unautorisiert (z. B. abgelaufene Vollmacht, kopierte Unterschrift) vom Konto abgebucht wird, z. B. weil eine Vollmacht abgelaufen oder die Unterschrift in einen Auftrag hineinkopiert worden ist, muss schneller zurückgebucht werden.

Jedem*r Kunden*in steht mindestens einmal im Jahr eine Entgeltaufstellung zu. Die GLS Bank stellt diese im Folgejahr für das vergangene Jahr bereit.

Gut oder schlecht?

Noch ist die PSD2 Richtlinie in den EU-Ländern nicht vollständig umgesetzt. Erst, wenn die PSD2-Schnittstelle definiert ist und die Verbraucher*innen, Banken und Finanzdienstleister damit Erfahrung gesammelt haben, können sie für sich ein positives oder negatives Fazit ziehen.  Für Banken kann PSD2 ein Anstoß sein,  verstärkt mit Fintechs zusammenzuarbeiten oder selbst neue Zahlungs- und Kontodienstleistungen zu entwickeln. Verbraucher*innen sollten weiterhin sorgfältig prüfen, wem sie welche Daten zur Verfügung stellen, unabhängig von der Bezahlart.

Wir bleiben an dem Thema dran und informieren hier über neue Entwicklungen.

Mehr Infos

Häufige Fragen zu PSD2 haben wir auf unserer Website zusammengestellt, die wir laufend aktualisieren.
Der rechtliche Rahmen – Website der Bundesbank
Spiegel-Artikel: Immer mehr Anbieter wollen einen Blick in das Konto werfen. Wie riskant ist das?
Weitere Infos zum Online-Banking

 

Foto: Torkild Retvedt / Server room (CC BY-SA 2.0)

  1. Mark Luhmann

    Zugriff auf Kontodaten: Ist es richtig, dass nach der Zustimmung durch den Kontoinhaber, der Broker, Kreditvermittler oder das Versandhaus danach die Kontoumsätze 90 Tage lang abrufen kann? Sprich können meine Transaktionen nach Zustimmung über einen Zeitraum von 90 Tagen laufend beobachtet werden?

  2. Meine Meinung und mein Rat: Gebt Eure Willenserklärungen ab, je mehr dies tun um so mehr können wir erreichen. Aber dies muss jeder selbst wissen. Hier ein Beispiel:

    Willenserklärung betreffend PSD2 (EU-Zahlungsdienstrichtline, vom 13. Januar 2018)

    Sehr geehrte Damen und Herren

    Willenserklärung:
    hiermit möchte ich Ihnen mitteilen, dass ich einem Zugriff „Dritter“ auf meine Kontodaten (IBAN: DE…) grundsätzlich nicht zustimme.

    Begründung:
    Da es möglich ist und in der Vergangenheit auch schon des Öfteren vorkam, dass mit Daten von Personen (Namen, Adresse) sowie mit einer beliebigen E-Mail-Adresse, Verträge abgeschlossen wurden (wobei den AGB‘s sowie dem „Kleingedruckten“ zugestimmt wurde) und von vielen Unternehmen nicht geprüft wird, ob es sich dabei wirklich um diese Person handelt (wie z. B. beim Bezahlen mit einer Kreditkarte, anhand der Unterschrift oder Post- bzw. Videoident-Verfahren) würde sich der Vorgang der Zustimmumg, zur Einsicht meiner Kontodaten, meiner Kontrolle entziehen. Deshalb möchte ich mich, mit dieser Willenserklärung, vor einem Missbrauch meiner Daten schützen (EU-DSGVO Art. 4 Nr. 11; Inkrafttreten am 25. Mai 2018).
    Mir ist bewusst, dass die GLS-Bank bei einem Missbrauch der Kontodaten auf den schon heruntergesetzten Kundenanteil von 50,- € verzichtet, jedoch möchte ich darauf hinweisen, dass früher von den Banken davor gewarnt wurde, die Login-Daten an Dritte weiterzugeben, um das Online-Banking so sicher wie möglich zu gestalten.

    Diese Willenserklärung kann nicht durch die Vorlage einer „Zustimmung“ (egal in welcher Form) von einer dritten Partei, sondern nur durch eine neue schriftliche Form, des Kontoinhabers, aufgehoben werden.

    Bitte nehmen Sie diese Willenserklärung zu den Unterlagen und hinterlegen Sie die Information, für alle Sachbearbeiter erkenntlich, in Ihrem EDV-System. Vielen Dank für Ihre Mühe.

    Mit freundlichen Grüßen

    • Bettina Schmoll

      Hallo Torsten,
      siehe dazu auch meine Antwort zu deinem früheren Kommentar.
      Viele Grüße
      Bettina

  3. Hallo Bettina,

    ich habe die obigen Beiträge gelesen.

    Da ich auch heutzutage etwas mehr unter Stress stehe als dies früher der Fall war und mir auch manchmal Fehler unterlaufen, insbesondere beim Durchlesen von AGB’s (die auch noch ständigen Änderungen unterliegen können) sowie dem „Kleingedruckten“ von Verträgen, ganz zu schweigen von der juristischen Sprache, werde ich eine schriftliche Willenserklärung abgeben, dass ich einen Zugriff Dritter, auf meinem Konto grundsätzlich nicht wünsche. Ich werde dazuschreiben, dass ich diese Willenserklärung nur mit einer neuen schriftlichen Willenserklärung wieder aufheben werde. Wird die GLS Bank dies berücksichtigen?

    Viele Grüße
    Torsten

    • Bettina Schmoll

      Hallo Torsten,

      nach PSD2 setzt der Zugriff auf Kontodaten durch einen Drittanbieter voraus, dass du diesen Zugriff explizit erlaubst, in dem du dem Drittanbieter deine Kontodaten, deine PIN – und wenn die PSD2 Schnittstelle definiert ist, eine TAN – mitteilst. Allein ein Hinweis in den AGB reicht bei PSD2 für den Zugriff nicht. Außerdem steht es jedem frei, Dienstleistungen, die einen Zugriff auf die Kontodaten voraussetzen, in Anspruch zu nehmen oder nicht.
      Bei PSD2 setzen wir uns auch für die Verankerung eines Widerspruchsrechts ein. Dieser Widerspruch muss dann gegenüber dem Drittanbieter eingelegt werden, dem man die Einwilligung gegeben hat, nicht gegenüber der Bank.
      Bitte beachte, dass die Umsetzung von PSD2 noch im Fluss ist. Wir informieren laufend.

      Viele Grüße

      Bettina

  4. Wie schaut es denn bei PSD2 bezgl. anzubietende Zahlungsmöglichkeiten aus? Wenn es nämlich darauf hinauslaufen kann, dass, sagen wir mal, so eine dezent dominierende Drittpartei wie Amazon als gebührenfreie Option nur noch den Durchstich aufs Konto anbietet — dann ist es mit der „Freiwilligkeit“ schnell faktisch vorbei. (Von der noch viel übleren Profilbildung, die das ermöglicht, will ich gar nicht erst anfangen…)

    • Bettina Schmoll

      Hallo Lothar,
      PSD2 und Zahlungsart hängen nicht direkt zusammen. Es wird Anbieter geben, die beim Onlineversand oder für die Nutzung eines Angebots die Zustimmung zum Zugriff auf die Zahlungskontodaten verlangen und solche, bei denen das keine Voraussetzung ist. Dazu, ob die Zustimmung explizit, im „Kleingedruckten“ oder in den AGB eingeholt werden muss, gibt es bisher keine Formvorschriften.
      Viele Grüße
      Bettina

  5. [… Unser Rat ist, vorab zu überlegen und zu prüfen, wem man seine Daten gibt und überhaupt sparsam zu sein bei der Weitergabe perönlicher Daten …]

    Das Problem ist, das Drittanbieter, die PSD2 mit Vergünstigungen pushen werden, um an die wertvollen Kontodaten heran zu kommen, während andere Bezahlverfahren so teurer werden, dass man gar keine andere Wahl mehr hat.

    Und deshalb wünsche ich mir, dass die Banken geschlossen Widerspruch gegen diese EU-Richtlinie einlegen.

    Viele Grüße

    • Bettina Schmoll

      Hallo Thomas,
      wir setzen uns über unsere Partner im Verband der Genossenschaftsbanken in der Berlin Group dafür ein, dass zusätzliche Sicherheitskriterien wie eine Sperre oder ein Widerspruch zu einer erteilten Zustimmung mit aufgenommen werden. Bei der ganzen Diskussion sollte man bedenken, dass die Drittanbieter mit PSD2 nun der Aufsicht und Kontrolle durch die BaFin oder die jeweilige nationale Aufsichtsbehörde unterliegen.
      Viele Grüße
      Bettina
      Viele Grüße
      Bettina

    • Eine Lösung wäre ein „Schattenkonto“.
      Drittanbieter hätten nur auf dieses Konto Zugriff (eigene Online-Credentials) und wenn ich etwas mit „Sofortüberweisung“ bezahlen muss, dann schiebe ich das Geld dort rüber. Dann kann der Drittanbieter zwar sehen, was ich alles so eingekauft habe, aber z.B. nicht mein Gehalt und was ich an Miete zahle.

      Noch besser wäre, wenn man die Historie dieses Schattenkontos dann einfach löschen oder auf das Hauptkonto schieben könnte. Dann sieht der Drittanbieter nichts. :)

  6. Heribert Lindlar

    Wenn ich mit AGB-Änderungen (z.B. 80 Seiten bei Paypal; siehe Klage Verbraucherzentrale) eventuell unbemerkt dem Zugriff zugestimmt haben sollte, wäre es hilfreich, wenn die GLS-Bank mir die Möglichkeit verschafft, jeglichen PSD2 Zugriff zu sperren. In dem Fall müsste ich mich nur um eine einzelne Freigabe kümmern, wenn ich tatsächlich mal so etwas benötige – was ich definitiv nicht vor habe.
    Daher die explizite Frage: Bietet mir die GLS-Bank eine solche Sperre an?
    Das wäre Kundenservice !!!

    • Bettina Schmoll

      Hallo Heribert,
      siehe dazu die Antwort an Thomas.
      Viele Grüße
      Bettina

  7. Aber was bedeutet das denn für mich als Kunden; wenn ich einem Bankeinzug zustimme, habe ich dann schon die Erlaubnis zum Zugriff gegeben? Oder, wenn ich dem Autovermieter oder Hotel meine Kreditkartennummer gebe!? Wie sieht das aus bei der Sofortüberweisung? Oder ist es so, dass ich auf eine konkrete Anfrage meine eindeutige Zustimmung geben muss!

    • Bettina Schmoll

      Hallo Anja,
      dazu, wie man die Zustimmung zum Zugriff auf Kontodaten nach PSD2 geben muss, gibt es bisher keine Formvorschriften. Deshalb muss man die vertraglichen Bedingungen lesen.
      Zu einzelnen Zahlungsarten: Beim Bankeinzug ist die Wahrscheinlichkeit hoch, dass man auch dem Zugriff auf seine Zahlungskontodatennach PSD2 zustimmt. Bei der Sofortüberweisung gibt man mit der Kontonummer auch die Onlinebanking PIN an einen Dritten, der damit Zugriff auf alle Kontodaten hat (s.o. FinTS). Bei der Kreditkartenzahlung gibt man die IBAN seines Girokontos nicht an, sondern nur die Kreditkartennummer. Da Kreditkartenkonten nicht von der PSD2-Regulierung betroffen sind, wird es dafür keine Abfragemöglichkeit geben.
      Viele Grüße
      Bettina

  8. roland wichmann

    Hallo zusammen,
    ich musste das auch drei mal lesen, bevor es gesackt ist.
    Der Blog klang für mich zunächst nach Totalzugriff. Die vorherige Zustimmung durch den Kontoinhaber muss deutlicher betont werden, das geht sonst unter.
    Bettina, wie muss ich vorgehen, um einen Datenzugriff Dritter auf mein Konto komplett auszuschließen?

    • Bettina Schmoll

      Hallo Roland,
      danke für den Hinweis. Wir haben den Beitrag jetzt aktualisiert und den Passus mit der Zustimmung hervorgehoben.
      Den Zugriff komplett auszuschließen, wird schwierig sein. Dafür muss man alle vertraglichen Bedingungen durchlesen. Unser Tipp: Bezahlen mit Kreditkarte, da man dabei die Nummer seines Zahlungskontos nicht preisgeben muss.
      Viele Grüße
      Bettina

  9. reiner-bruno klenk

    wo sind wir jetzt beim online-banking gelandet.
    muß mir jetzt doch meine „euros“ unters kopfkissen legen.

  10. André Podszus

    Wer Dritten Lesezugriff zu seinem Online-Banking gewährt, sollte vielleicht noch seine Röntgenbilder und MRT-Befunde beilegen.
    Ich hoffe, dass meine Bank die Entwicklung dieser Schnittstelle kritisch begleitet und beispielsweise verfolgt, wie der Chaos Computer Club die Sache einschätzt. Es ist ja gerade mit dem „beA“ (besonderes elektronisches Anwaltspostfach) ein Großprojekt wegen katastrophaler Sicherheitsmängel gescheitert (und der CCC war daran nicht unbeteiligt).
    Oder bin ich nur schon so alt, dass ich mich an Post-Privacy nicht mehr gewöhnen kann?

  11. Helmut Stange

    Ich frage mich, ob die GLS Bank bei dieser Richtlinie mitmacht. Ich komme ins Überlegen, dann zu kündigen. Denn ich bin nicht für die totale Vernetzung, nicht für den totalen Staat, die totale Wirtschaft. Ich halte es für gefährlich, diesen Weg des gläsernen Menschen mitzugehen, sich dieser um sich greifenden Technikgläubigkeit anzuschließen und diese betriebswirtschaftliche Übergriffigkeit voranzutreiben. Ich habe den Eindruck, dass auch die GLS Bank einfach naiv ist, was die Kräfte in dieser Wirtschaft angeht. Fortlaufend wird von hochkriminellen Machenschaften in der Wirtschaft, gerade auch im Finanzbereich, berichtet. Zunehmend entstehen autoritäre Staaten. Diktatoren kommen hervor. Und dann PSD 2. Und immer weitere Digitalisierung und Überwachung und Kontrolle. Jetzt also auch schon die Kontodaten. Was kommt als nächstes ? Allein wie das jetzt schon mit PSD 2 gehandhabt wird, ist unglaublich. Dieser Blog-Beitrag schockiert mich.

    • Bettina Schmoll

      Hallo Helmut,
      bei PSD2 handelt es sich um eine EU-Richtlinie, die die Mitgliedstaaten – und auch wir als Bank – umsetzen müssen.
      Kontoinhaber*innen sind aber nicht gezwungen, den Zugriff zu gewähren, sondern entscheiden das selbst. Haben Kontoinhaber/innen einem Dritten die Erlaubnis zum Datenzugriff gegeben, müssen wir diesen auch gewähren. Den Zugang zu Daten für Dritte sehen wir durchaus kritisch, deshalb dieser Blogbeitrag. Unser Rat ist, vorab zu überlegen und zu prüfen, wem man seine Daten gibt und überhaupt sparsam zu sein bei der Weitergabe perönlicher Daten.
      Viele Grüße
      Bettina Schmoll

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.