Online-Zahlungen: Modifizierte EU-Richtlinie sorgt für Umstellungen für die Kunden

Seit Ende 2007 ist sie schon in Kraft und wurde von den privaten Bankkunden bislang eher nebenbei wahrgenommen: die Payment Services Directive, in Deutschland besser bekannt unter der Bezeichnung Zahlungsdiensterichtlinie. Ihr Nachfolger, die zweite Zahlungsdienstrichtlinie (PSD2) mit der formellen Bezeichnung EU 2015/2366 ist seit dem 13. Januar 2018 für die Mitgliedsstaaten des Europäischen Wirtschaftsraums (EWR) gültig, zu dem die EU-Mitgliedsstaaten sowie die in der europäischen Freihandelszone European Free Trade Association (EFTA) zusammengeschlossenen Länder Island, Liechtenstein, Norwegen und die Schweiz gehören.
PSD2 soll in der aktuellen Version für einen sichereren und innovativeren Zahlungsverkehr in Europa sorgen. Der Schwerpunkt liegt dabei auf dem Schutz der Verbraucher, die per Online-Banking ihre Rechnungen begleichen. Außerdem sollen modernere Zahlungsmethoden gefördert und grenzüberschreitende Zahlungen noch stärker abgesichert werden.

Darauf müssen sich Bankkunden jetzt einstellen

Ab dem 14. September 2019 geht es los:
Mit diesem Stichtag wird die derzeit letzte Stufe der PSD2 in Kraft gesetzt. Darüber wurden sie von den Banken schriftlich informiert. Diejenigen, die sich auf die bisherige Form des Online-Bankings und Online-Shoppings eingestellt haben, müssen sich dann umgewöhnen:

• Bislang reichte die Eingabe des persönlichen Benutzernamens und eines Kennwort, um über die Websites der Banken Zahlungen per Online-Banking abwickeln zu können. In Zukunft sind zwei voneinander unabhängige Authentifizierungsmerkmale nötig (die sog. Zwei-Faktor-Authentifizierung), um sich einzuloggen und anschließend eine Zahlung auf den Weg zu bringen.
  Aus diesen drei Authentifizierungsmöglichkeiten müssen dann zwei verwendet werden:
  - der Faktor „Sein“; hier kommen biometrische Merkmale wie z. B. ein Fingerabdruck oder Gesichtserkennung infrage;
  - der Faktor „Wissen“; damit ist die PIN oder ein Passwort gemeint
  - der Faktor „Besitz“, also ein Smartphone oder ein TAN-Generator.
  
  
• Ab dem 14.9.2019 wird es dann nicht mehr möglich sein, seine Zahlungen mit von Papierlisten stammenden oder per SMS übermittelten TANs abzuwickeln.
  
  
• Die Zwei-Faktor-Authentifizierung wird auch bei über das Internet getätigten Einkäufen (Online-Shopping) zum Standard. Es wird nicht mehr genügen, nur die Kreditkartennummer, das Ablaufdatum und den Sicherheitscode einzugeben. Zusätzlich werden Kunden über eine SMS oder eine Smartphone-App einen Code bekommen, der eigens für diese Transaktion erstellt wurde. Dieses Verfahren nennt sich 3D Secure, Nutzer müssen sich dafür eigens registrieren. Die Banken und Firmen, die Zahlungskarten herausgeben, haben dafür spezielle Internetseiten eingerichtet. Kunden führen die für ihre Geldgeschäfte nötige Authentifizierung über eine App durch.

Doch es wird noch eine weitere Neuerung geben:

Sofern die Kunden dazu ihre Zustimmung gegeben haben, können Drittanbieter auf deren Konten zugreifen. Mit Drittanbietern sind Unternehmen gemeint, die keine Banken sind, aber dennoch die Bankinfrastruktur nutzen, ohne sie jedoch zu betreiben. Schon ab dem 14. Juni 2019 wird eine eigens hierfür eingerichtete Schnittstelle, die von den Banken kostenlos bereitgestellt werden muss, diese Möglichkeit eröffnen. Drittanbieter werden in Zahlungsauslösedienste, Kontoinformationsdienste und kartenausgebende Drittdienstleister unterschieden. Die Europäische Bankenaufsichtsbehörde (EBA) führt Listen über die gesetzlich anerkannten Drittdienstleister. Für deutsche Bankkunden wurde diese Liste von der Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) veröffentlicht und kann hier einschließlich der Erläuterungen abgerufen werden. Die BaFin ist die für Deutschland zuständige Überwachungsbehörde der Drittanbieter.

Inwieweit die Zugriffsmöglichkeit der Drittdienstleister auf Kundenkonten geht, hängt vom Umfang der Zustimmung durch die Konteninhaber ab. Die Zustimmung kann auf einen Zweck wie z. B. die Abfrage des Zahlungsverkehrs beschränkt und jederzeit widerrufen werden.

Das Verfahren, Transaktionen mittels einer App erledigen zu können, ist zwar auf den ersten Blick praktisch, hat aber auch einen Nachteil: Die App wickelt nicht nur den beauftragten Zahlungsverkehr ab, sondern analysiert auch, wofür der Kunde in welcher Höhe Geld ausgibt. Denkbar sind beispielsweise Hinweise, wo das Produkt oder die Dienstleistung günstiger zu haben ist, aber auch Werbung, die zum Kundenprofil passt. Marketing wird dann noch passgenauer und personalisierter möglich als bislang. Deshalb raten Experten, dass Verbraucher noch aufmerksamer sein müssen, wem sie welchen Zugriff auf ihre Konten erlauben.