Der Name der neuen Regelung klingt sperrig, die Schreiben der Bank sind für den Laien nahezu unlesbar und die Änderungen kompliziert. Dennoch ist die "Zweite Zahlungsdiensterichtlinie" der EU, auch PSD 2 abgekürzt, für alle deutschen Bankkunden extrem wichtig. Eine Hilfe, sich im Chaos zurechtzufinden.
Warum ist die Richtlinie so wichtig?
Die neue Regelung verändert, wie sich Kunden im Online-Banking anmelden müssen, wie Verbraucher ihre Zahlungen im Internet autorisieren und wer auf ihre Bankdaten zugreifen darf. Los geht es am 14. September, doch wird es einige Ausnahmen geben.
Was ändert sich beim Online-Shopping?
Bisher hat es ausgereicht, im Online-Shop die Kreditkartennummer, das Ablaufdatum und anschließend die Prüfziffer anzugeben - und schon war die Ware auf dem Weg. In Zukunft geht das nicht mehr. Es braucht stattdessen eine starke Authentifizierung mit mindestens zwei der drei Faktoren Besitz, Wissen und Biometrie. Als Besitz zählen etwa ein Smartphone, als Wissen ein Passwort und bei der Biometrie ein Fingerabdruck. Die Kreditkarte zählt nicht. Eine mögliche Kombination ist beispielsweise eine auf den Nutzer registrierte App, bei der er ein Passwort eingeben muss (Wissen) und dort dann eine Tan (Besitz) erhält. In eine solche App kann sich der Kunde je nach Bank auch mit seinem Fingerabdruck (Biometrie) einloggen, um an die Tan zu gelangen. Alternativ geht all das auch mit einem Passwort und der Tan aus einem Tan-Generator.
Was bedeutet die Umstellung für die bisherigen Tan-Verfahren?
Das iTan-Verfahren, besser bekannt als Tan-Liste mit vielen langen Nummern, ist künftig nicht mehr zulässig. Sie gilt den Aufsehern als unsicher und wird ersetzt. Viele Banken werden auf eine App auf dem Smartphone ausweichen, die meist als Push-Tan firmiert. Dort kann der Kunde mit seinem Passwort oder Fingerabdruck eine Tan erzeugen. Andere setzen weiterhin auf die mobile Tan, bei der eine Nummer per SMS aufs Handy geschickt wird. Dieses Verfahren gilt allerdings als weniger sicher als eine App, weshalb viele Institute es nach und nach abschaffen werden.
Welche Verfahren gibt es noch?
Als sicherstes System gilt das Chip-Tan-Verfahren. Dafür braucht es die Chipkarte der Bank und einen Tan-Generator. Der sieht so ähnlich aus wie ein Taschenrechner, ist bei der Bank, meist gegen eine Gebühr, erhältlich und generiert eine einmalige Tan-Nummer, wenn man die Bankkarte ins Gerät steckt. Da zwei voneinander getrennte Geräte zum Einsatz kommen - der Generator einerseits und der PC, das Tablet oder Smartphone andererseits -, gilt das Vorgehen als besonders sicher. Noch neu bei vielen Banken, aber im Trend ist das Foto-Tan-Verfahren. Dabei wird mithilfe einer App oder eines Lesegeräts eine Tan generiert, indem der Kunde einen Barcode oder QR-Code auf dem PC abscannt.
Was ändert sich beim Online-Banking?
Das Log-in ins Bankportal unterliegt den gleichen Sicherheitsanforderungen wie das Einkaufen im Internet. Wer sich anmelden will, braucht zwei von drei Faktoren, egal ob für die Webseite oder die App auf dem Smartphone. Der späteste Zeitpunkt für die Umstellung ist der 14. September. Viele Banken beginnen mit der Umstellung bereits am 9. September. Manche Banken fragen in einer Übergangsphase sogar jetzt schon einen zweiten Faktor ab.
Welche Ausnahmen gibt es?
Die Banken können es den Kunden leichter machen und die zwei Faktoren nur alle 90 Tage abfragen. Zudem gelten die Änderungen fürs Einkaufen im Internet nicht zwangsweise vom 14. September an. Die Finanzaufsicht Bafin hat den Händlern eine Übergangsfrist gewährt. Wer mit Kreditkarte bezahlt, muss sich vorerst nicht mit zwei Faktoren authentifizieren. Wann die neue Regelung endgültig greifen wird, will die Bafin noch mitteilen. Beim Online-Shopping wird es darüber hinaus eine sogenannte Whitelist geben. Darauf können Kunden einige Verkäufer setzen, bei denen sie oft einkaufen. Genehmigt die Bank das, entfällt die Zwei-Faktor-Authentifizierung beim Einkauf dort. Wem all das zu kompliziert ist, hat immer noch die Möglichkeit, per Rechnung oder Lastschrift zu bezahlen. Bei Einkäufen unter 30 Euro greifen die neuen Maßnahmen ebenfalls nicht.
Wer darf ab September auf meine Kontodaten zugreifen?
Wer an die Kontodaten der Kunden will, braucht eine entsprechende Lizenz der Finanzaufsicht. Diese besitzen beispielsweise Banken, diverse Fintechs, große Konzerne und Vergleichsportale. Sie wollen die Daten gern nutzen, um den Kunden noch gläserner zu machen und ihm neue Angebote zu unterbreiten. Dazu gehört beispielsweise, seine monatliche Stromrechnung zu analysieren und ihm günstigere Alternativen anzubieten. Dafür ziehen sich die neuen Spieler unter anderem die Kontobewegung der vergangenen Monate und den aktuellen Kontostand. Wie viele Daten sie bekommen, liegt darüber hinaus in den Händen der Banken. Sparkonten und Depots sind von der Richtlinie ausgenommen. Zugriff bekommen Drittanbieter nur unter einer Bedingung: Der Kunde muss einem Unternehmen den Zugriff aktiv erlauben. Wie gläsern man sein will, entscheidet also jeder für sich. Je nach Geldinstitut wird es zudem die Möglichkeit geben, den Zugriff auf einen bestimmten Zeitraum einzugrenzen. Einzelne Transaktionen schwärzen wird der Kunde nicht können.
Wie darf die Bank meine Daten nutzen?
Zwischen Bank und Kunde ändert sich nichts - zumindest nicht, wenn es um die Daten geht. Hier gilt, was bei Eröffnung des Kontos mit der Bank vereinbart wurde. Alles darüber hinaus muss die Bank beim Kunden anfragen. Wer sichergehen möchte, ob die Bank die Kontodaten für zusätzliche Zwecke verwenden darf oder nicht, sollte also einen Blick in die Vertragsunterlagen werfen. Wenn dabei Klauseln auftauchen, mit denen sich Bankkunden unwohl fühlen, sollten sie ihr Institut ansprechen oder können bei den "Marktwächtern" der Verbraucherzentralen Rat suchen.
