Seit Januar 2018 ist die neue EU-Zahlungsdiensterichtlinie, die so genannte Payment Services Directive, in Kraft. Was gedacht war, den Wettbewerb zwischen Banken, Zahlungsdienstleistern und Kontoinformationsdiensten zu fördern und innovativen Angeboten rund ums Zahlungskonto den Weg zu bereiten, könnte sich als Hemmschuh erweisen. Denn Fintechs, ob sie nun Apps bereitstellen oder eine Robo-Beratung, müssen erst einmal sicherheitstechnisch aufrüsten.
Schon vor PSD2 wurde Zahlungsdienstleistern der Zugriff auf Kontodaten gewährt, nämlich über die Schnittstelle der Financial Transaction Services (FinTS), dem deutschen Standardverfahren, das derzeit mehr als 2000 Kreditinstitute unterstützen. Der externe Dienstleister hat damit Zugriff auf alle Daten des Kontoinhabers, von der kompletten Finanzübersicht über Limitangaben bis hin zu den Umsätzen.
Open Banking gab es also auch vor PSD2 schon. Allerdings steigen mit der EU-Richtlinie die Sicherheitsanforderungen. Dazu gehört etwa die sogenannte starke Kundenauthentifizierung, die Betrügern das Handwerk erschweren soll. Sowohl für Onlinezahlungen als auch den Zugriff auf Onlinekonten ist eine Zwei-Faktor-Authentifizierung vorgeschrieben. „Wissen“, „Besitz“ und „Inhärenz“ – zwei dieser drei Bedingungen müssen erfüllt sein. Eine PIN zählt als Wissen, ein TAN-Generator als Besitz und ein biometrisches Kennzeichen, etwa der Fingerabdruck, als Inhärenz. Auch Banken müssen diese Auflagen erfüllen. Für die Umsetzung vieler PSD2-Regelungen besteht eine Übergangsfrist, die im September dieses Jahres ausläuft.
Kunden könnten sich noch wundern. Denn viele bisher einfache Abläufe werden sich verkomplizieren. Dabei war das Ziel der PSD2, dass sie das elektronische Bezahlen für europäische Verbraucher günstiger, einfacher und sicherer machen sollte. Die Realität sehe anders aus, so Niklas Grisar, Experte für Zahlungsverkehr bei der Beratungsfirma Capco, gegenüber dem Handelsblatt: „Die Verbraucher sind in vielen Fällen die Verlierer, wie sich das zum Beispiel bei den neuen Vorgaben für das Einloggen beim Online-banking zeigt. Die Sicherheit steigt, aber es wird für Kunden auch komplizierter.“
Besonders genervt dürften Kunden sein, die ihren Kontostand in der App ihrer Bank abfragen. „Es reicht nicht, die App wie bisher per Fingerabdruck oder Gesichtserkennung zu öffnen“, sagt Grisar. Um den aktuellen Kontostand abzufragen, müssen Kunden auch auf dem Smartphone einen zusätzlichen Sicherheitscode eingeben. Eine ähnliche Hürde droht Verbrauchern künftig auch bei Finanz-Apps anderer Dienstleister, in denen sie mehrere Bankkonten verwalten können. Zur Frage, ob die Kunden bei jedem Kontozugriff eine TAN eingeben müssen oder das nur alle 90 Tage nötig ist, geben die Anbieter unterschiedliche Antworten. Klar ist jedenfalls, dass Kunden auch hier nicht ganz ohne TAN-Eingabe auskommen werden.
Damit macht es PSD2 Kunden und Dienstleistern nach Meinung vieler Experten nicht einfacher, sondern schwerer. So kann man höchstens darauf setzen, dass die erhöhten Sicherheitsanforderungen für eine höhere Akzeptanz der Kunden gegenüber externen Dienstleistern sorgen wird. Gesichert ist das aber keineswegs.
Illustration: Wyn Tiedmers
