Das ändert sich beim Online-Banking
Die Richtline PSD 2 soll Online-Zahlungen sicherer machen. Es gilt die Zwei-Faktor-Authentifizierung – Ausnahme: die Kreditkarte.
DÜSSELDORF Vor 20 Jahren hat nicht einmal jeder zehnte Deutsche seine Bankgeschäfte online erledigt. Mittlerweile ist der Anteil auf mehr als 50 Prozent gestiegen. Das Einkaufen und Bezahlen im Netz ist für viele längst Routine. Künftig wird dem Kunden dabei mehr abverlangt als bisher. Der Grund ist die europäische Zahlungsdiensterichtlinie PSD (Payment Service Directive) 2, deren Anwendung ab sofort ein Muss für fast alle Beteiligten ist. Hinter dieser Richtlinie verbirgt sich die erklärte Absicht der EU, das Bezahlen im Netz sicherer und transparenter zu machen.
Einer der wesentlichen Punkte, der sich beim Online-Shoppen und beim Zahlungsvorgang ändert, ist die Pflicht zur sogenannten Zwei-Faktor-Authentifizierung, auch starke Kundenauthentifizierung genannt. Das bedeutet: zwei von drei vorgegebenen Kriterien muss der Kunde erfüllen. Diese Kriterien heißen Wissen, Besitz und Sein. Damit gemeint sind ein Passwort oder eine Pin (Faktor Wissen), beispielsweise eine Transaktionsnummer (Tan), die der Kunde sich auf sein Smartphone schicken lässt (Faktor Besitz), und ein biometrisches Merkmal wie ein Fingerabdruck oder eine Gesichtserkennung (Faktor Sein). Bei den Transaktionsnummern kann man sich auch einer App bedienen, die viele Kreditinstitute zur Verfügung stellen (allerdings keine einheitliche, sondern eine bankspezifische). Oder man fotografiert mit dem Smartphone einen Barcode auf dem Laptop. Danach wird eine Tan generiert und der Zahlungsvorgang kann erfolgen. Auf jeden Fall Vergangenheit sind die iTan-Listen, bei denen Banken und Sparkassen bisher ihren Kunden endlos anmutende Zahlenkolonnen auf Papier zuschickten, aus denen dann jeweils eine für genau eine Zahlung gültig war.
Nur wenn man zwei der drei oben genannten Voraussetzungen erfüllt, kann man online zahlen. Welches zusätzliche Sicherheitsmerkmal der Kunde bei Online-Zahlungen künftig nutzen kann, entscheidet die Bank oder Sparkasse. Ist der Zahlungsbetrag kleiner als 30 Euro, ist das Zwei-Faktor-System kein Muss.
Die neuen Regeln gelten auch, wenn man im Internet einkauft und beispielsweise über Paypal zahlt. Ausgenommen sind dagegen vorerst noch Kreditkarten. Der Grund: Die Finanzaufsicht Bafin fürchtete vor einigen Wochen, dass vor allem kleinere Online-Händler die Umrüstung nicht hinbekommen würden, und gewährte deshalb eine zeitlich noch nicht festgelegte Übergangsfrist für Kreditkartenzahlungen. Bis zum Ende dieser Frist sollen alle technischen Voraussetzungen geschaffen sein. Die Bafin will „Störungen bei Internetzahlungen verhindern und einen reibungslosen Übergang auf die neuen Anforderungen der PSD 2 ermöglichen“. Bisher genügten bei Kreditkarten die Nummer der Karte und die dreistellige Prüfnummer, die meist auf der Rückseite steht.
Aber auch nach der Zusatzfrist für Kreditkarten bleiben Zweifel daran, dass alle die Vorschriften pünktlich umsetzen. Zumindest herrscht an manchen Stellen Verwirrung, weil einige für mobiles Bezahlen einen Zugang zum Online-Banking setzen, viele andere dagegen nicht. Ganz ohne Smartphone wird es allein schon wegen der Tan schwierig. Manche verlangen für die Zusendung der Tan eine Gebühr, andere nicht. Mitunter funktionieren bestimmte Apps nur auf bestimmten Geräten. Bei den einen muss man die Tan bei jedem Login angeben, bei anT ren nur alle drei Monate.
Abseits des Sicherheitsaspektes will Brüssel mit der PSD 2 auch mehr Wettbewerb schaffen. Wenn der Kunde zustimmt, müssen die
traditionellen Geldhäuser nämlich auch anderen Marktteilnehmern den Zugriff auf die Kontodaten ermöglichen. Das könnten zum Beispiel Start-ups in der Finanzbranche sein, die Zahlungen für Kunden abwickeln. Damit entsteht für Banken und Sparkassen neue Konkurrenz, weil die neuen Anbieter mit dem Wissen um die Kontodaten den Kunden natürlich auch andere Finanzprodukte anbieten könnten, beispielsweise Raten- oder Baukredite und Geldanlagen. Diesen Wettbewerb hat die EU gewollt. In der Praxis haben sich allerdings alteingesessene und neue Finanzdienstleister auch schon verbündet, um gegenseitig voneinander zu profitieren – Banken von der Technik der Start-ups, diese wiederum von den Kundenbeziehungen der Geldhäuser.