Richtlinie verändert Kunde-Bank-Beziehung erheblich
Samstag in vier Wochen müssen sich Kunden und Banken auf eine neue Welt im europäischen Zahlungsverkehr einstellen. Mit der Richtlinie PSD2, die dann in Kraft tritt, ändert sich vom Zugang zum Konto bis hin zur Nutzung von Kreditkarten im E-Commerce einiges. Doch gerade die Schnittstellen zum Kundenkonto werfen noch etliche Probleme auf.Von Karin Böhmert, FrankfurtDie Zeit wird knapp, denn am Samstag, 14. September, wird es ernst, wenn die überarbeitete europäische Zahlungsdiensterichtlinie PSD2 (Payment Services Directive 2) abschließend umgesetzt wird und somit greift. Sie stellt Banken, aber auch deren Kunden vor enorme Herausforderungen. Die Kreditinstitute arbeiten deshalb seit Monaten mit Hochdruck sowohl an der technischen Umsetzung der Anforderungen durch die Richtlinie, als auch an der Information ihrer Kunden, was sich künftig ändern wird. Und da kommt einiges auf die Kunden zu, die gut beraten sind, sich eingehend mit den von den Banken etwa auf deren Internetseiten zur Verfügung gestellten Informationen zur PSD2 zu beschäftigen. Zwei wesentliche PunkteZwei wesentliche Punkte verändern die Beziehung zwischen Bank und Kunde durch die PSD2 grundlegend: zum einen die in der Richtlinie geforderte starke Kundenauthentifizierung nicht nur bei der Auslösung von Zahlungen, sondern auch beim Log-in ins Konto. Zum anderen der Kontozugriff durch Dritte. Waren zuvor die Bankdaten durch das Bankgeheimnis geschützt, müssen nun kontoführende Stellen, also alle Kreditinstitute von Privatbanken über Direktbanken bis hin zu Sparkassen, Volksbanken und Raiffeisenbanken den Drittanbietern einen Zugang zum Konto ihrer Kunden zur Verfügung stellen, wenn die Kunden ihnen dafür eine Erlaubnis erteilt haben.Der erste Punkt, die starke Kundenauthentifizierung durch mindestens zwei Faktoren, erfordert ein erhebliches Mitwirken des Kunden. Erste Erfahrungen dürften Bankkunden im Online-Banking schon infolge der weitestgehenden Abschaffung der papierenen iTAN-Listen mit verschiedenen TAN-Verfahren gemacht haben. Bei der Photo-TAN etwa wird für die Nutzung am PC oder per Smartphone eine spezielle, auf den Seiten der eigenen Bank herunterzuladende App oder ein spezielles (zu bezahlendes) Lesegerät benötigt. Nach Eingabe der Überweisungs- oder Transaktionsdaten muss mit der Photo-TAN-App oder dem Lesegerät ein farbiger Barcode gescannt und mit der dabei erhaltenen Nummer (Code) die Transaktion freigegeben werden. Bei einem anderen Verfahren wird eine zweite App geöffnet, die eine sechsstellige Zahl generiert, die dann in die Online-Banking-App auf Knopfdruck übertragen wird. Verschiedene AusnahmenOnline-Banking-Kunden dürften sich überwiegend schon an das neue Verfahren für Transaktionen gewöhnt haben, wie zu hören ist. Das ist auch gut so, denn den Regeln der PSD2 entsprechend müssten Banken vom 14. September an allein schon den Zugang zum Konto ohne duale Authentifizierung ablehnen. Doch es gibt verschiedene Ausnahmen. So dürfen Banken ihren Kunden den Zugang zum Online-Banking erleichtern, indem nach einem Log-in für maximal 90 Tage auf eine starke Authentifizierung bei weiteren Log-ins verzichten. Danach muss sich der Kunde wieder doppelt authentifizieren bei seiner Anmeldung ans Konto.Wenn Banken aber feststellen, dass beispielsweise die großen Technologiekonzerne regelmäßig Daten des Kunden abgreifen, kann dem ein Riegel vorgeschoben werden. Die Genossenschaftsbanken bieten dafür ihren Kunden ein Steuerungscockpit an, das Zugriffe von außen dokumentiert, wie DZ-Bank-Vorstand Thomas Ullrich im Interview der Börsen-Zeitung erläutert hat (vgl. BZ vom 6. August). Die Bank könne dabei vorgeben, wie viele Tage sie die Zugriffsmöglichkeiten bereitstellen will, und nach diesem Zeitraum müsse der Kunde jeden Zugriff genehmigen. Die Bank könne aber auch festlegen, dass der Kunde jede Zugriffsanfrage freigeben muss.Der Kunde kann diese Zugriffsfrist auch selbst verkürzen oder ganz aufheben, so dass immer mindestens zwei Faktoren zur Authentifizierung eingesetzt werden müssen. Er gewinnt also die Kontrolle über sein Konto zurück.Bei der Verknüpfung von Apps der Banken etwa mit dem Smartphone des Kunden gilt diese bereits als “dual”, so dass beim Log-in ins Online-Konto auf eine TAN-Eingabe verzichtet werden kann. Enge ZeitspanneAber aufgepasst: Gemäß PSD2 darf die maximale Zeitspanne ohne Aktivität (Session-Timeout) im Online-Banking nicht mehr als fünf Minuten betragen. Banken müssen diese Vorgabe umsetzen und sollten deshalb nicht den Ärger der Kunden auf sich ziehen. Zur Verlängerung der Session reicht noch nicht einmal die Bewegung der Mouse aus. Vielmehr ist eine Transaktion erforderlich, die den Online-Banking-Server anspricht etwa durch den Abruf von Umsatzdaten oder den Aufruf der Zugriffsverwaltung.Sind die Hürden im Online-Banking geschafft, kann es beim Bezahlen im E-Commerce mit Kreditkarten knifflig werden. Zusätzlich zur Kartennummer und dem Ablaufdatum ist die Eingabe einer weiteren, auf der Kartenrückseite stehenden dreistelligen Prüfziffer, ab September hinfällig – zumindest im europäischen Geltungsbereich der PSD2. Es sind dafür dynamisch generierte Codes oder biometrische Verfahren wie ein Fingerabdruck erforderlich. Aber dafür muss man die Kreditkarte bei der Bank, die die Karte ausgegeben hat, zunächst in einem mehrstufigen Online-Legitimationsverfahren von Mastercard Identity Check oder Verified by Visa (zukünftig Visa Secure) einmalig registrieren. Das Problem: Nicht alle Kunden haben dies bisher getan und werden überrascht feststellen, dass der Online-Einkauf nach Freitag, dem 13. September, über das bisher gewohnte Verfahren nicht mehr möglich ist und abgebrochen wird.Gravierender aber dürfte sein, dass viele Händler noch nicht in der Lage sind, die neuen Technologien beim Bezahlen mit Kreditkarte anzuwenden. Denn der Online-Shop muss nach dem Online-Einkauf beim Bezahlen eine Anfrage an die Bank senden. Diese öffnet ein Eingabefenster im Browser des Kunden und informiert ihn, auf welchem Weg die Zahlung mit der Kreditkarte (oder Debitkarte) durch ihn freigegeben werden muss. Der Händler hat dabei keinen Zugriff auf die vom Kunden eingegebenen Daten. Sind die Eingaben korrekt, bestätigt das System, dass man der rechtmäßige Karteninhaber und dadurch der Kauf abgeschlossen ist.Händler müssen also die Abfrage der starken Kundenauthentifizierung implementieren, was viele noch nicht getan haben, auch weil sie dafür eine Schnittstelle zur Bank brauchen. Da lauert das nächste Problem, denn die Spezifikationen für die Schnittstelle hat der Regulator erst spät herausgegeben und sie sind auch nicht einheitlich in Europa. Es drohen Abbrüche im Online-Einkauf und Umsatzeinbußen für den Online-Handel. Deshalb hat die europäische Aufsicht EBA den nationalen Aufsichtsbehörden vorgeschlagen, den 14. September nicht als hartes Datum zu sehen und Aufschub zu gewähren. Geschäftsmodell wanktDie Schnittstellen spielen eine wichtige Rolle beim zweiten Punkt der PSD2, dem Kontozugriff durch Dritte. Dies sind u. a. Zahlungsauslösedienste wie oben beschrieben oder Kontoinformationsdienstleister.Doch halt: Durch die PSD2 ist der durch Banken mit einer dezidierten Schnittstelle frei zu öffnende Zugriff allein auf das Kontokorrentkonto beschränkt. Damit gerät das Geschäftsmodell etlicher etablierter und neuer Fintechs in Wanken. So leben Kontoinformationsdienstleister davon, die Daten von mehreren Kontotypen oder Konten eines Bankkunden, die dieser bei verschiedenen Instituten unterhält, zusammenzustellen und eine entsprechende kostenpflichtige Analyse anzubieten. Bisher funktionierte das durch das Auslesen der Online-Banking-Seiten (Screen Scraping) oder über den uneingeschränkten Zugriff auf die FinTS- und andere bisherige Schnittstellen.Doch die FinTS-Schnittstellen sind im Rahmen der PSD2 im Prinzip nicht mehr zulässig, und eine einheitliche europäische Schnittstelle gibt es noch nicht. Deshalb hat zum Beispiel die “Berlin Group” den NextGenPSD2-Standard als banken- und länderübergreifende, harmonisierte Schnittstelle entwickelt. Die PSD2 schreibt vor, dass die richtlinienkonformen “dezidierten” Schnittstellen in einer dreimonatigen Marktbewährungsphase, also unter Produktivbedingungen bis zum Stichtag 14. September nicht nur getestet werden. Es muss auch nachgewiesen werden, dass sie funktionieren. Gelingt dies nicht, dürfen Dritte als “Fallback” wieder über die bisherigen Schnittstellen auf die Konten zugreifen.Hierüber ist derzeit ein heftiger Streit entbrannt. So werfen Fintechs den Banken vor, die Schnittstellen quasi zu blockieren, also die Geschwindigkeit, Stabilität und Performance einzuschränken, wie dies Stefan Krautkrämer, Geschäftsführer und Co-Gründer von FinTec-Systems unterstrich (vgl. BZ vom 9. August). Er plädiert deshalb dafür, in einer von ihm zeitlich nicht präzisierten Übergangszeit die bisherigen Schnittstellen nutzen zu können. Damit wäre aber dem Screen Scraping absehbar wieder Tür und Tor geöffnet, sollte es Banken technisch nicht gelingen, den Zugang auf die im Rahmen der regulatorisch festgelegten Funktionen oder Konten zu beschränken. Denn die PSD2 verlangt nur, dass Banken Girokontodaten zur Verfügung stellen. Für Daten zahlenIn einer nächsten Richtlinie nach PSD2 könnte die Schnittstelle auf größere Datentöpfe, wie etwa Depotdaten, erweitert werden. DZ-Bank-Vorstand Ullrich zufolge würden die Regulatoren hier aber schon signalisieren, dass Fintechs und Technologieunternehmen für mehr Daten auch mehr zahlen müssen, beispielsweise indem sie ihre Daten ebenfalls bereitstellen. Dann wäre wieder ein Level Playing Field zwischen Fintechs und Big Techs einerseits und andererseits den Banken hergestellt, deren Kundendaten, die weit über das Girokonto hinausgingen, kostenlos abgefischt werden konnten. Zuletzt erschienen: Berlin reguliert die Blockchain (13. August) DBS – die Bank, die sich als Big Tech ausgibt (10. August) Apo-Bank fischt mit B2B-Plattform in fremden Gewässern (7. August)