Mehr Sicherheit, mehr Wettbewerb
Am Samstag tritt die EU-Zahlungsdienste-Richtlinie in Kraft – einige Punkte könnten Verbrauchern Vorteile bringen
Im Internet wimmelt es von Zahlungsdienstleistern. Bisher waren ihre Angebote unterschiedlich geregelt, nun sollen sie den Banken etwas gleicher gestellt werden. Das freut nicht alle. Sehen, kaufen, bezahlen – mit wenigen Klicks kann man im Internet viel Geld ausgeben. Abgebucht wird in der Regel vom Giro- oder Kreditkarten- konto, aber immer öfter, ohne dass die Internetseite der betreffenden Bank aufgerufen wird. Stattdessen transferieren Zahlungsauslösedienste wie Sofortüberweisung.de oder GiroPay Summen hin und her.
Den Banken sind solche Angebote ein Dorn im Auge – untergraben sie doch deren Monopol auf Einsicht in Kundenkonten. Zudem bemängeln die Institute, dass Zahlungsdienstleister zwar bankenähnlichen Service anböten, aber nicht von der Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) geprüft würden. Das hat auch die EU als Problem erkannt – so werden Zahlungsauslösedienste inzwischen von der BaFin überwacht.
Wenn am Samstag hierzulande die Zweite EU-Zahlungsdienste-Richtlinie (Payment Service Directive – PSD2) in Kraft tritt, soll sich für Verbraucher auch noch einiges andere verbessern. So dürfen sowohl Online- als auch stationäre Händler künftig keine Extragebühren mehr für Zahlungen mit Kreditkarten, per SEPA-Überweisung oder Lastschrift erheben. Dass Standardzahlungen kostenfrei sein müssen, hatten Verbraucherschützer schon lange gefordert. Sie begrüßen deswegen die Neuregelung.
Falls doch mal eine Zahlung schiefgeht beziehungsweise sich Kriminelle Zugriff zu Bankkarten oder Kontodaten verschaffen, sollen Verbraucher zudem weniger in die Pflicht genommen werden als bisher. Derzeit haften Käufer und Bankkunden in solchen Fällen mit bis zu 150 Euro, bald sollen es nur noch 50 Euro sein – vorausgesetzt, grobe Fahrlässigkeit oder Vorsatz können ausgeschlossen werden. Das begrüßte Markus Feck, Bankjurist bei der Verbraucherzentrale Nordrhein-Westfalen. Gegenüber »nd«, kritisierte er aber, dass der Gesetzgeber nicht ganz auf die Haftungs- regelung verzichtete habe, wie es in einigen EU-Staaten gehandhabt werde. Zudem gilt wie bisher, dass Kunden bei schuldhaftem Verhalten auch wesentlich höher in Haftung genommen werden können. Gibt es über die Schuldfrage keine Klarheit, würden das aber wohl weiter Gerichte im Einzelfall entscheiden, fürchtet Feck.
Im Bereich der Zahlungsauslösedienste dagegen soll die Neuregelung Sicherheit für die Verbraucher schaffen: Sie erlaubt Drittanbietern Zugriff auf Konten und Daten der Kunden, sofern diese dem zustimmen. Niemand müsse sich nun mehr Sorgen machen, ob er seine Bankzugangsdaten Dritten für eine Transaktion übertragen dürfe, so Feck. Bisher hätten Banken ihren Kunden praktisch verboten, PINs oder Login-Daten an Fremdanbieter herauszugeben.
Was im Sinne des Datenschutzes erst mal vernünftig klingt, sicherte den Banken eine Monopolstellung. Zumal die Bedenken laut Feck unbegründet sind: Bisher habe es keinen größeren Schadensfall bei Diensten wie Sofortüberweisung.de gegeben, das System sei so sicher, wie Zahlungssysteme eben sein könnten.
Auch hätten Bankkunden mit den Neuregelungen mehr Auswahl, über welche Dienste sie ihre Zahlungsgeschäfte abwickeln wollten. Mehr Wettbewerb, das war auch einer der Punkte, mit denen die EU die PSD2 begründet hatte. Banken sehen die Entwicklung mit Sorge, sie haben den Umstieg auf den Digital-PaymentMarkt lange verschlafen. Bereits heute verwendet laut einer Umfrage der Beratungsgesellschaft PwC ein Viertel der 18- bis 29-Jährigen eine FinanzApp, die nicht von ihrer eigenen Bank kommt – und der Trend hält an.
Dass moderne Zahlungsdienstleister durch die PSD2 ein Sicherheitsupdate bekommen, dürfte die Beliebtheit zudem eher noch steigern. Künftig müssen Bankdienstleister nämlich eine »starke Kundenauthentifizierung« vorweisen. Eine Autorisierung nur mittels E-Mail-Adresse und Passwort, wie sie etwa PayPal anbietet, reicht nicht mehr aus. Um Missbrauch vorzubeugen, sollen Kunden sich mit mindestens zwei Merkmalen aus drei Kategorien ausweisen müssen: Das kann ein Passwort in Verbindung mit einer Bankkarte oder auch einem Fingerabdruck sein.
Das sei »das Ende der Tan-Liste aus Papier«, denn die könne leichter von Unbefugten genutzt werden als etwa das SMS-TAN-Verfahren, so Feck. Anbieter, die eine starke Authentifizierung noch nicht anbieten, werden sich umstellen müssen. Ob etwa PayPal Vorkehrungen getroffen hat, beziehungsweise aufgrund seines Geschäftsmodells, das keine Kontoeinblicke vorsieht, welche treffen müsste, war nicht in Erfahrung zu bringen. Auf Anfragen kam keine Antwort.
In den neuen AGB, die PayPal-Kunden im November zugingen, heißt es, »dass es sich bei den PayPal-Nutzungsbedingungen sowie den in den Vorbemerkungen definierten Zusatzbedingungen nicht um ›Rahmenverträge‹ im Sinne der (...) ›PSD2‹ handelt«. Demnach fühlt sich PayPal wohl nicht an die Neuregelung gebunden.
Im Bereich der Zahlungsauslösedienste dagegen soll die Neuregelung Sicherheit für die Verbraucher schaffen.