Benachrichtigung aktivieren Dürfen wir Sie in Ihrem Browser über die wichtigsten Nachrichten des Handelsblatts informieren? Sie erhalten 2-5 Meldungen pro Tag.
Fast geschafft Erlauben Sie handelsblatt.com Ihnen Benachrichtigungen zu schicken. Dies können Sie in der Meldung Ihres Browsers bestätigen.
Benachrichtigungen erfolgreich aktiviert Wir halten Sie ab sofort über die wichtigsten Nachrichten des Handelsblatts auf dem Laufenden. Sie erhalten 2-5 Meldungen pro Tag.
Jetzt Aktivieren
Nein, danke

Mehr Schutz im Netz Was Verbraucher über die neue Richtlinie PSD2 wissen sollten

Die Zahlungsdienstrichtlinie regelt, welche Drittanbieter auf die Bankkonten von Verbrauchern zugreifen können. Die wichtigsten Fakten im Überblick.
1 Kommentar
Nach der neuen Richtlinie zum Onlinebanking sind Tan-Listen in Zukunft nicht mehr erlaubt, und die Banking-Codes müssen jedes Mal neu erzeugt werden. Quelle: fStop/Getty Images
Bankgeschäfte am Laptop

Nach der neuen Richtlinie zum Onlinebanking sind Tan-Listen in Zukunft nicht mehr erlaubt, und die Banking-Codes müssen jedes Mal neu erzeugt werden.

(Foto: fStop/Getty Images)

Frankfurt Die Angebote klingen völlig unterschiedlich: eine Smartphone-App, mit der Verbraucher ihre Bankkonten und Verträge verwalten können, ein Dienst, der die Kreditvergabe im Internet beschleunigt, und ein Bezahlsystem, das schnelle Onlinezahlungen ermöglicht.

Die Gemeinsamkeit: Für all diese Angebote greifen Dienstleister auf die Bankkonten ihrer Kunden zu. Lange Zeit gab es dafür keine klaren Regeln. Das hat sich nun geändert. Was Verbraucher über die technischen Abläufe und die Verwendung ihrer Daten wissen sollten.

Woher kommen die neuen Regeln?
Grundlage der Neuerungen ist die zweite EU-Zahlungsdiensterichtlinie, kurz PSD2. Sie soll den Zahlungsverkehr in der EU für Verbraucher bequemer und sicherer machen und zugleich den Wettbewerb fördern. Schon am 13. Januar 2018 wurde die Richtlinie in nationales Recht umgesetzt. Einige Vorgaben entfalten aber erst jetzt ihre Wirkung.

Was genau regelt die PSD2?
Dass Banken Drittanbietern Zugriff auf Zahlungskonten gewähren müssen, ist eine der wichtigsten Vorgaben. Außerdem ist die PSD2 dafür verantwortlich, dass Händler seit Anfang 2018 für einzelne Bezahlmethoden wie Überweisung, Lastschrift oder Kreditkarte keine Extragebühren mehr verlangen dürfen.

Ab 14. September dieses Jahres ist zudem bei Onlinezahlungen und beim Zugriff auf das Onlinebanking die „Zwei-Faktor-Authentifizierung“ vorgeschrieben. Das heißt, zusätzlich zum Benutzernamen und zum Passwort müssen Kunden dann in vielen Fällen auch eine Tan-Nummer eingeben – so wie heute schon bei Onlineüberweisungen. Tan-Listen (iTan) sind künftig allerdings nicht mehr erlaubt, die Codes müssen jedes Mal neu erzeugt werden.

Wer darf auf die Kontodaten zugreifen?
Das Wichtigste: Ohne die Zustimmung der Kunden geht gar nichts. Sie ist die Voraussetzung dafür, dass Dritte auf die Kontodaten zugreifen dürfen. Die Richtlinie unterscheidet zwei Typen: Kontoinformationsdienste (KID) analysieren die Kontobuchungen – beispielsweise mit Blick auf Verträge oder die Bonität der Kunden.

Zahlungsauslösedienste (ZAD) stoßen im Namen der Kunden Zahlungen von deren Konten an. Um solche Geschäftsmodelle betreiben zu dürfen, müssen Anbieter sich bei der Finanzaufsicht Bafin als KID registrieren lassen oder eine Erlaubnis als ZAD beantragen. Noch läuft die Übergangsfrist. Ab Mitte September ist der Kontozugriff ohne Bafin-Zustimmung nicht mehr erlaubt. Wollen Banken oder E-Geldinstitute solche Dienste erbringen, reicht dafür ihre bestehende Bafin-Erlaubnis.

Wie viele Drittanbieter haben schon eine Erlaubnis?
In Deutschland hat laut Bafin eine „mittlere zweistellige Zahl“ von Firmen eine Registrierung als KID oder eine Erlaubnis als ZAD beantragt. Die Anforderungen an solche Dienste bezeichnet Barbara Bayer, Rechtsanwältin bei CMS Hasche Sigle, als „extrem hoch“ – etwa in Bezug auf Risikomanagement, erforderliche Beschreibungen der Arbeitsabläufe oder die Anforderungen an die Qualifikation und Zuverlässigkeit der Geschäftsführer. Zudem prüfe die Bafin die Unternehmen „sehr sorgfältig“, sagt Bayer. Sie stelle viele Nachfragen und lasse sich Details erklären.

Außerdem möglich: Auch Firmen, die selbst nicht im Rahmen der PSD2 reguliert sind, können Verbrauchern eine Dienstleistung auf Basis der Kontodaten anbieten: Sie lassen dann – auf Kundenwunsch – einen regulierten Drittdienst auf das Konto zugreifen und erhalten über ihn die Kontodaten. Zu solchen Dienstleistern gehören heute schon Fintechs wie Figo, FinAPI und Fintecsystems. Eine Liste der beaufsichtigten Firmen gibt es im ZAG-Register der Bafin und bei der Europäischen Bankenaufsicht (Eba).

Wie genau funktioniert der Datenaustausch?
Um die Angebote eines Zahlungsauslöse- oder Kontoinformationsdienstes überhaupt nutzen zu können, benötigen Kunden einen Onlinebanking-Zugang. Bisher wurden die Daten häufig über das sogenannte Screen-Scraping übertragen. Dabei haben die Anbieter mit den Log-in-Daten der Kunden auf deren Onlinebanking zugegriffen.

Die Banken konnten dabei nicht erkennen, ob der Kunde selbst auf das Konto schaut oder ein Fremder. Zudem erhielten die Anbieter breite Einblicke. Im Zuge der PSD2 dürfen die Daten ab 14. September nur noch über spezielle Datenschnittstellen (APIs) ausgetauscht werden. Diese bieten eine Art Einlasskontrolle, bei der Drittanbieter ihre Erlaubnis der Finanzaufsicht vorweisen müssen. Auch der Umfang der übermittelten Daten wurde beschränkt.

Wie verändert sich der Datenzugriff ab September?
Technisch und rechtlich bedeutet die Umstellung auf die neuen Schnittstellen eine große Veränderung. Beim Ablauf ändert sich für Verbraucher jedoch wenig – zumindest im ersten Schritt. Sie müssen weiterhin auf einer Internetseite des Drittanbieters ihre Log-in-Daten für das Onlinebanking eingeben, damit dieser über die API auf ihr Konto zugreifen kann.

Soll eine Zahlung angestoßen werden, erhalten sie im nächsten Schritt eine Tan von ihrer Bank. Diesen einmaligen Sicherheitscode müssen sie ebenfalls auf der Seite des Anbieters eingeben. Neu: Auch bei Kontoinformationsdiensten müssen sie ab Mitte September in vielen Fällen eine Tan eingeben. Die Bank kann entscheiden, ob sie bei jedem Zugriff einen Code abfragt oder nur alle 90 Tage.

Wie riskant ist die Weitergabe der Log-in-Daten?
Dorothea Mohn, Leiterin des Teams Finanzmarkt beim Bundesverband der Verbraucherzentralen (vzbv), wertet es als „Sicherheitsrisiko“, wenn Verbraucher ihre Log-in-Daten angeben müssen. Es bestehe die Gefahr, dass Verbraucher auf Betrüger hereinfallen, die vorgeben, ein regulierter Dienst zu sein.

Nach Einschätzung der Finanzaufsicht ergeben sich „die gleichen Risiken, die auch beim Log-in ins Onlinebanking über den eigenen kontoführenden Zahlungsdienstleister bestehen“, sagt ein Sprecher der Bafin. Dazu gehöre etwa sogenanntes Phishing. Betrüger könnten technisch nicht davon abgehalten werden, Kunden nach ihren Zugangsdaten zu fragen.

Welche Daten werden über eine API übermittelt?
Grundsätzlich können Banken selbst entscheiden, welche Daten sie über ihre Schnittstellen zur Verfügung stellen. Die Formulierung in der Richtlinie lässt Raum für Interpretationen. Zu den Mindestanforderungen zählen viele Banken die Kontoumsätze, den Kontostand, die Währung, in der das Konto geführt wird, die Kontonummer und die Produktbezeichnung des Kontos.

Persönliche Daten des Kontoinhabers wie die Adresse müssen nicht übermittelt werden. Auch den Namen müssen die Banken nur übermitteln, wenn Drittdienste ihn zur Betrugsbekämpfung zwingend brauchen. Das dürfte bei einer Bonitätsprüfung für einen Kreditantrag der Fall sein. „Sonst besteht die Möglichkeit für die Bonitätsprüfung im Rahmen des Kreditantrags das Konto eines Freundes oder eines Dritten zu nutzen, der womöglich eine bessere Bonität hat“, sagt Christian Meyer, Senior Vice President Risk & Compliance bei Fintecsystems.

Wertpapier- und Sparkonten sind nicht von der PSD2 erfasst. Daher müssen dazu auch keine Daten über die Schnittstellen zur Verfügung gestellt werden. „Momentan konzentrieren sich die meisten Banken noch darauf, die regulatorischen Mindestanforderungen zu erfüllen“, sagt Christopher Schmitz, Partner des Prüfungs- und Beratungshauses EY. Die ersten böten aber schon Schnittstellen, über die auf Wunsch der Kunden zusätzliche Daten übermittelt werden könnten.

Sind die Daten bei den Drittanbietern sicher?
Wie alle Firmen müssen sich auch Kontoinformations- und Zahlungsauslösedienste an die Vorgaben der europäischen Datenschutz-Grundverordnung (DSGVO) halten. „Dass die Unternehmen, die auf die Konten zugreifen, nun durch die Bafin reguliert sind, erhöht die Sicherheit“, sagt Dennis Heinson, Rechtsanwalt bei CMS Hasche Sigle.

In ihren Datenschutzbedingungen müssen die Anbieter detailliert angeben, welche Daten sie zu welchem Zweck nutzen. „Mehr Daten zu sammeln, als zur Erbringung der Dienstleistung nötig sind, ist nicht zulässig“, erklärt er. Allerdings könnte sich ein Schlupfloch ergeben: „In der PSD2 ist die Zweckbindung für Zahlungsauslöse- und Kontoinformationsdienste besonders streng geregelt, doch die DSGVO erlaubt unter bestimmten Voraussetzungen die Änderung des Zwecks, zum Beispiel für Werbung“, so Heinson. Die Gerichte müssten entscheiden, ob die DSGVO der PSD2 insoweit vorgeht. Auch Verbraucherschützerin Mohn sieht Risiken bei der Datennutzung: „Es wäre naiv zu denken, dass sich alle Anbieter brav an die gesetzlichen Grenzen halten.“

Das bringt der Blick aufs Konto

In der Praxis machen sich schon etliche Anbieter den Zugriff auf die Kontodaten zunutze. Sie lassen sich in unterschiedliche Kategorien einteilen.

Bezahlen: Als Pionier gilt der deutsche Zahlungsdienstleister Sofort mit der Bezahlart Sofortüberweisung. Das Unternehmen wurde 2014 vom schwedischen Anbieter Klarna übernommen. Kunden können damit in Onlineshops bezahlen, indem sie dem Anbieter Zugriff auf ihr Konto gewähren und dieser dort die Zahlung veranlasst. Ein ähnliches System bietet inzwischen auch Fintecsystems an und stellt es als Dienstleistung anderen Firmen zur Verfügung – beispielsweise der Gebrauchtwagenplattform Abracar.

Multibanking: Einige Finanz-Start-ups und Banken nutzen den Kontozugriff für sogenanntes Multibanking. Kunden können dabei ihre Daten von unterschiedlichen Zahlungskonten aggregieren und erhalten so eine komplette Finanzübersicht. Auch erste Versicherer interessieren sich dafür. So baut etwa die Swiss Life Deutschland ein Finanzportal auf, in dem Kunden Zugriff auf ihre Bankkonten haben. Die Daten liefert BANKSapi.

Finanzmanagement: Manche Anbieter wie Finanzguru, Numbrs oder Yoli wollen den Nutzern umfassend beim Finanzmanagement helfen. Das Finanz-Start-up Finanzguru berechnet etwa anhand der Ein- und Ausgaben das frei verfügbare Einkommen der Nutzer. Zudem wird aus den Kontodaten eine Übersicht der Verträge erstellt, zum Beispiel mit Versicherungen, Stromanbieter, Mobilfunk. Zusätzlich bekommen Nutzer Spartipps.

So vermittelt das Fintech beispielsweise Stromverträge und bekommt dafür eine Provision. Das Fintech Fino bietet Ähnliches mit seinem Produkt Yoli. Es richtet sich nicht nur direkt an Verbraucher, sondern bietet die Software auch Banken an. Diese können sie dann mit dem Girokonto verknüpfen – dies wird als White-Label-Lösung bezeichnet.

Sparen: Beim Sparen will beispielsweise auch das Fintech Optiopay helfen – ebenfalls mit einer White-Label-Lösung. Wenn Geld auf dem Konto der Nutzer eingeht, können diese sich entweder für eine direkte Auszahlung entscheiden oder einen höherwertigen Gutschein wählen. Eine Kooperation besteht schon mit der DZ-Bank, die das Angebot den Volks- und Raiffeisenbanken zur Verfügung stellt. Darüber hinaus soll die Software auf Basis der Kontobuchungen auch Tipps zu Sparangeboten in den Lieblingsshops der Nutzer bieten.

Kredit: Erleichterungen gibt es dank Kontoinformationsdiensten bei der Kreditvergabe. Mussten Kunden für den Kreditantrag bisher viele Unterlagen und Bestätigungen zum Einkommen vorlegen, scannt ein Kontoinformationsdienst das Konto des Kreditinteressenten und erstellt ein Bonitätsprofil. Anbieter wie Fintecsystems und Fino machen das bereits für Banken und Finanzdienstleister. Das Fintech Billie plant Ähnliches, um die Bonität seiner Unternehmenskunden zu bewerten.

Miete: Analog zur Kreditvergabe funktionieren auch Mieterchecks. Wenn Mietinteressenten diese nutzen, müssen sie keine Schufa-Auskunft und Gehaltsnachweise an den Makler oder Vermieter übergeben. Stattdessen wird ihre Bonität über das Konto geprüft.

Finance Briefing
Startseite

Mehr zu: Mehr Schutz im Netz - Was Verbraucher über die neue Richtlinie PSD2 wissen sollten

1 Kommentar zu "Mehr Schutz im Netz: Was Verbraucher über die neue Richtlinie PSD2 wissen sollten"

Das Kommentieren dieses Artikels wurde deaktiviert.

  • Sehr verehrte Frau Katharina Schneider,

    dieses Thema ist doch etwas für die Allgemeinheit der Verbraucher. Also sollte der Beitrag vom Autor auch auf diese Zielgruppe ausgerichtet sein, damit die Saat auf gedeihlichen Boden fallen kann. Es ist halt eine Kunst sich als Autor ganz in den Leser so hineinzuversetzen. Leider sucht man sie in diesem Artikel vergeblich. Wir haben dieses Kommunikationsproblem bei Software, Gebrauchsanweisungen, Berichten in den Medien und dergleichen. Wie heißt es so alles sagend: "Sie müssen nur den Nippel durch die Lasche zieh'n und mit der kleinen Kurbel ganz nach oben dreh'n....)!

    Mit freundlichen Grüßen
    Franz Rienesl

Serviceangebote