PSD2: Ab dem 14. September gelten neue Regeln beim Bezahlen im Internet

Frankfurt Thomas Kunze erledigt seine Finanzgeschäfte am liebsten in der Bankfiliale. Dort fragt er am Automaten seinen Kontostand ab und gibt Überweisungen in Auftrag. Trotzdem hat der 54-Jährige diese Woche einen Zugang zum Online-Banking beantragt. „Meine Bank hat mir keine andere Wahl gelassen“, sagt der Hamburger, der eigentlich anders heißt.

Der Grund: Kunze möchte mit seiner Kreditkarte in Online-Shops bezahlen. Doch das geht bei seiner Bank, der Commerzbank, künftig nur noch, wenn er fürs Online-Banking angemeldet ist.

Die Commerzbank wählt damit einen ungewöhnlichen Weg, um ihre Sicherheitsverfahren an die Vorgaben der europäischen Zahlungsdiensterichtlinie PSD2 anzupassen. Die neuen Regeln entfalten an diesem Samstag, den 14. September, ihre volle Wirkung. Sie treffen alle Banken in der EU, doch die Lösungen der einzelnen Geldhäuser fallen sehr unterschiedlich aus. Bei vielen Verbrauchern lösen sie vor allem Verwirrung aus.

Einen Zugang zum Online-Banking setzen nur wenige voraus, manchmal ist aber ein Smartphone Pflicht und ganz ohne Mobiltelefon wird es für Kunden bei vielen Banken schwierig. Die Umstellung verlangt vielen Kunden Geduld ab, denn bei manchen Geldhäusern kam es durch die Änderungen bereits zu Störungen in der IT.

Dabei sollen Verbraucher eigentlich von den neuen Regeln profitieren, denn das Ziel der PSD2 ist es, den Zahlungsverkehr in der EU sicherer und bequemer zu machen. In der Praxis wird es für die Kunden aber häufig unkomfortabler.

Ausschlaggebend dafür ist vor allem die sogenannte starke Kundenauthentifizierung. Sie wird auch als Zwei-Faktor-Authentifizierung bezeichnet, denn Kunden müssen sich dabei mit zwei von drei Sicherheitsfaktoren ausweisen. Eine PIN zählt zum Beispiel als Faktor „Wissen“, die Bankkarte oder eine Tan als Faktor „Besitz“. Erkennt ein Gerät den Fingerabdruck oder das Gesicht, ist das der Faktor „Inhärenz“.

Relevant ist das zum einen bei Kreditkartenzahlungen in Online-Shops und zum anderen beim Zugriff auf das Online-Banking. Erschwerend kommt für die Kunden nun aber hinzu, dass einige Banken für beide Anwendungsfälle unterschiedliche Sicherheitssysteme entwickelt haben. Und: Der Online-Handel ist bei der Umsetzung in Verzug, deshalb hat die Finanzaufsicht Bafin hier eine Übergangsfrist erlaubt, in der die Händler ihre Systeme anpassen müssen.

Wie lange die andauert, ist noch nicht bekannt. In der Zwischenzeit haben manche Händler die neuen Systeme schon scharf gestellt, während andere noch daran arbeiten. „Von unseren rund 15000 Händlern haben gerade mal zehn große angekündigt, dass sie die starke Kundenauthentifizierung am Samstag anbieten“, sagt Ralf Gladis, Chef des Zahlungsdienstleisters Computop. Ob es wirklich dazu komme, sei aber noch unklar.

Laut Alexa von Bismarck, Deutschland-Chefin beim Zahlungsdienstleister Adyen, seien alle von Adyen betreuten Händler bereit für die starke Kundenauthentifizierung. Die Entscheidung für oder gegen das Verfahren hänge davon ab, ob die kartenherausgebende Bank es verlange. Auch Oliver Hommel, Zahlungsmarktexperte bei Accenture meint: „Von einer einheitlichen Umsetzung ist der Markt hier noch weit entfernt.“

Zusatzfaktor bei Online-Zahlungen

Bei Kreditkartenzahlungen im Internet genügte es bisher meist, wenn die Kunden an der Online-Kasse ihre Kreditkartendaten und eine dazugehörige Prüfziffer (CVC) eingaben. Das verbietet die PSD2 nun. Um den zusätzlichen Sicherheitsfaktor zu generieren, setzen die meisten Banken nach Angaben des Kreditkartenanbieters Mastercard derzeit auf eine SMS-Tan.

An der Online-Kasse geben die Kunden ihre Kreditkartendaten an und bekommen dann über das sogenannte 3D-Secure-Verfahren eine SMS mit einer Tan auf ihr Handy geschickt. Sobald sie diese Nummer beim Online-Shop eingeben, wird die Zahlung bestätigt.

Laut einer kürzlich veröffentlichten Stichprobe von „Finanztest“ sind diese SMS bei den meisten Banken kostenlos. Einzelne Banken wie die Comdirect, Commerzbank, DKB und die Stadtsparkasse München verlangen pro verwendeter Tan jedoch eine Gebühr zwischen sieben und zwölf Cent. „Solche Gebühren kritisieren wir“, sagt Frank Christian Pauli, Finanzexperte des Bundesverbands der Verbraucherzentralen (vzbv). „Noch mehr ärgern wir uns aber über Anbieter, die nur eine Smartphone-App zur Freigabe von Online-Zahlungen mit der Kreditkarte vorsehen wollen.“

So können Kunden mancher Sparkassen ihre Kreditkartenzahlungen künftig nur noch über die „S-ID-App“ freigeben. Finanztest nennt hier beispielsweise die Sparkasse Hannover. Bei den Instituten Köln/Bonn, Frankfurt und Hamburg würden dagegen zusätzlich alternative Verfahren geboten.

Viele Verbraucher hätten bei der Nutzung von Smartphone-Apps Datenschutzbedenken, so Pauli. Hinzu komme, dass die Apps mitunter nicht auf allen Geräten funktionierten. „Es ist ein klarer Nachteil, bei der Karte alles auf eine App zu setzen und zu riskieren, dass die Kunden quasi technisch zahlungsunfähig dastehen“, so Pauli.