Was die neuen Regeln für Bankkunden bedeuten

Berlin – Das Anmelden im Online-Banking oder das Einkaufen online wird für viele Verbraucher künftig etwas länger dauern. Vom 14. September an greifen die Regelungen der zweiten europäischen Zahlungsdiensterichtlinie PSD2 (Abkürzung nach dem englischen Namen: Payment Services Directive2), wie der Bundesverband deutscher Banken in Berlin erklärt. Was Bankkunden jetzt dazu wissen sollten:

Was genau ist vom 14. September an neu?

Wichtig sind für Verbraucher drei Änderungen: Bankkunden müssen sich beim Zugriff auf ihr Online-Banking nun immer mit der sogenannten Zwei-Faktor-Methode identifizieren. Auch Kartenzahlungen im Internet müssen sie künftig stets mit zwei Faktoren freigeben. Und sofern sie zustimmen, können nun auch Drittanbieter auf ihr Konto zugreifen.

Was sind Drittanbieter?

Gemeint sind Anbieter, die die Infrastruktur von Banken nutzen, ohne sie selbst zu betreiben, erklärt der Bankenverband. Konkret sind das Dienste, die Zahlungen auslösen und Kontoinformationen sammeln und bündeln, sowie Dienste, die Zahlungskarten herausgeben. Im Prinzip können das auch andere Banken sein. Die Dienstleister unterliegen der Aufsicht der Bundesanstalt für Finanzdienstleistungen (Bafin).

Ohne die Erlaubnis des Kunden bekommen die Drittanbieter keinen Zugriff auf das Konto. Dann jedoch können sie zum Beispiel bei Interneteinkäufen Zahlungen auslösen oder Konten bei unterschiedlichen Geldinstituten in einer Übersicht darstellen.

Was ändert sich bei Online-Banking und Online-Einkäufen?

Künftig gilt laut Bankenverband die gesetzliche Pflicht zur sogenannten starken Kundenauthentifizierung. Das heißt, jeder Kunde muss sich immer mit zwei von drei möglichen Faktoren identifizieren: etwa einer PIN (Faktor «Wissen»), einer Originalkarte (Faktor «Besitz») oder biometrischen Merkmalen wie einem Fingerabdruck (Faktor «Sein»).

In der Praxis werden Banken nach Einschätzung der
Bafin für das Einloggen in das Online-Banking allerdings oft die einfache Authentifizierung zulassen – also zum Beispiel wie bisher die Eingabe eines Passworts. Spätestens alle 90 Tage muss der Kunde aber eine starke Kundenauthentifizierung vornehmen.

Bei Kartenzahlungen im Internet müssen sich Verbraucher künftig ebenfalls grundsätzlich mit zwei Faktoren identifizieren. Die Umsetzung verzögert sich allerdings etwas: Die
Bafin stellte Mitte August Mängel bei den neuen PSD2-konformen Schnittstellen fest. Vorerst will die Bafin deshalb auch weiterhin Kreditkartenzahlungen ohne starke Kundenauthentifizierung zulassen.

Wie kommt man künftig an die TAN?

Listen mit Transaktionsnummern (TAN) auf Papier mit sechsstelligen Ziffernkombinationen haben ausgedient: Für Aufträge muss eine eigens generierte TAN genutzt werden. Die TAN soll erst in dem Moment entstehen, in dem die Zahlung ausgelöst wird. Dafür gibt es verschiedene Möglichkeiten – nicht jedes Geldinstitut bietet alle an.

Beim SMS-TAN-Verfahren erhalten Kunden per SMS einen Code. Diesen geben sie dann zur Bestätigung der Transaktion online ein. Für das Photo-TAN-Verfahren muss der Nutzer nach Eingabe der Überweisungsdaten einen Barcode scannen. Teilweise ist dafür ein eigener Generator nötig, teilweise geht es mit dem Smartphone. Manche Institute bieten auch an, die TAN per E-Mail zu übermitteln.

Müssen Kunden sich für die neuen TAN-Verfahren anmelden?

Die Geldinstitute haben in den vergangenen Wochen mit Schreiben oder Meldungen im Online-Banking bereits auf die Änderungen hingewiesen. Denn Kreditkartennutzer müssen selbst aktiv werden und sich bei ihrer Bank online für das gewählte Verfahren anmelden, erklärt die von der Stiftung Warentest herausgegebene Zeitschrift «Finanztest» (Ausgabe 9/2019). Dafür fordern sie einen Identifikationscode an, der per Überweisung, Umsatzanzeige oder Post zugestellt wird. Danach schalten sie mit diesem Code das gewählte Verfahren frei.

Werden Zahlungen dadurch teurer?

Grundsätzlich dürfen Geldinstitute für die Sicherheitsverfahren zur Kasse bitten. Viele Kunden können aber voraussichtlich auch weiter kostenlos Zahlungen in Auftrag geben, zumindest dann, wenn sie bestimmte Verfahren wählen.

«Finanztest» hat 35 Kreditkartenherausgeber befragt, wie sie die Zahlung mit der Kreditkarte beim Onlineshopping absichern werden. Die App-TAN können Verbraucher bei 23 Instituten und Kartenherausgebern nutzen – dies ist bei allen kostenlos. Eine befragte Bank bietet allerdings nur kostenpflichtige TAN-Verfahren an, andere Institute und Kartenanbieter verwenden diese teilweise.

Bei 6 Banken funktioniert das Photo-TAN-Verfahren kostenlos etwa mit dem Smartphone. Bei 5 von ihnen kann dafür auch ein Lesegerät genutzt werden, das bis zu 34,90 Euro kostet. Bei einer weiteren Bank ist dieses Gerät zwingend notwendig und kostet einmalig 32 Euro. Bei 27 Anbietern können Kunden das SMS-TAN-Verfahren verwenden. Nur vier verlangen dafür Gebühren, und zwar sieben bis zwölf Cent pro SMS.

Viele TAN-Generatoren können für mehrere Konten und Anbieter verwendet werden, erklärt die
Verbraucherzentrale Hessen. Dafür wird jeweils die zugehörige Zahlungskarte hineingeschoben.

Wie sicher sind die neuen Zahlungsverfahren?

«Finanztest» hat auch die neuen Verfahren von 22 Kreditinstituten untersucht (Ausgabe 8/2019). Das Fazit der Warentester: Grundsätzlich sind die neuen Verfahren sicherer als frühere Varianten.

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) rät allerdings davon ab, die Zwei-Faktor-Authentisierung komplett am Smartphone abzuwickeln – zumindest solange das genutzte Smartphone über keinen Sicherheitschip verfügt, in der die Identifizierung sicher gekapselt ablaufen kann. Grundsätzlich sei es immer riskanter, wenn Kriminelle nur ein Gerät in ihren Besitz bringen müssten.

Fotocredits: Zacharie Scheurer
(dpa/tmn)

(dpa)