Online-Shopping: "Wer Einblick in sein Konto erhält, entscheidet der Kunde"

Einfach Einloggen, Passwort eingeben und auf bezahlen klicken. Das wird es ab Herbst beim Online-Shopping nicht mehr geben. Der Grund ist eine europäische Zahlungsrichtlinie, die am 14. September 2019 in Kraft tritt.

Sie soll das Einkaufen im Internet, aber auch das Online-Banking, sicherer machen. Das bringt wesentliche Veränderungen mit sich – auch, was die Frage der Haftung betrifft.

Warum dies das Aus für die iTAN-Liste bedeutet, wie sich Bankkunden in Zukunft im Internet verifizieren müssen und welche Rechte Drittanbieter haben, auf die Kontodaten zuzugreifen, erklärt Andreas Krautscheid, Hauptgeschäftsführer vom Bankenverband, im Interview mit t-online.de.

t-online.de: Viele Bankkunden haben in der letzten Zeit Post von ihrem Geldinstitut bekommen. Es stehen Veränderungen an. PSD II ist das Zauberwort. Doch die Schreiben werfen mehr Fragen auf, als sie beantworten. Herr Krautscheid, können Sie Licht ins Dunkel bringen?

Dr. Andreas Krautscheid: Sehr gern. Durch neue europäische Vorgaben ändern sich im September zwei wichtige Dinge. Zum einen muss die Bank, wenn es der Kunde wünscht, Drittanbietern den Zugriff auf sein Konto erlauben. Dabei gilt: Wem er zu welchem Zweck welchen Einblick in sein Konto gewährt, liegt allein in den Händen des Bankkunden. Das können Zahlungsauslösedienste zum Bezahlen im Netz sein oder Apps, die einen Überblick über verschiedene Bankkonten geben sowie FinTech-Unternehmen, die Geldanlagen verwalten. Viele dieser Dienstleistungen sind uns bereits vertraut. Mit der Zahlungsdienstrichtlinie wird dieser Dreiecksbeziehung Kunde – Dienstleister – Bank ein gesetzlicher Rahmen gegeben.

Wie können die Bankkunden das bestimmen?

Der Anbieter einer Dienstleistung im Internet, ein sogenannter Drittanbieter, muss mir als Bankkunde sehr genau offenlegen, welche Informationen er von der Bank benötigt, um sein Angebot auszuführen. Der Kunde muss dann entscheiden, ob er das möchte oder nicht. Liegt die Erlaubnis des Kunden vor, klopft der Drittanbieter auf digitalem Wege bei der Bank an und sagt: Liebe Bank, dein Kunde hat mir erlaubt, zu diesem Zweck diese Daten einzusehen.

Wer darf denn anklopfen? Kann jeder Zutritt verlangen?

Nein und das ist ein wichtiger Punkt. Denn zum einen darf nicht irgendeiner Einblick in mein Bankkonto verlangen, und zum anderen muss dieser eine Legitimation vorweisen. Das bedeutet, er muss sich bei der deutschen Finanzaufsicht BaFin lizensieren lassen. Damit verpflichtet er sich auch, die gesetzlich festgelegten Regelungen, unter anderem die Regeln zum Datenschutz, der Transparenz und der Zuverlässigkeit, einzuhalten.

Und wenn Anbieter keine Erlaubnis der BaFin haben?

Ohne Lizensierung durch die BaFin und ohne Erlaubnis vom Kunden werden Drittanbieter keinen Einblick in die Bankdaten der Kunden erhalten. Die Bank muss genau schauen, wer kommt und was er darf.

Bankkonten beinhalten viele Informationen, sei es zu Versicherungen, Sozialleistungen, Kredite oder Schulden. Sind diese dann für Drittanbieter sichtbar?

Auch dazu hat sich der Gesetzgeber Gedanken gemacht. Man unterscheidet verschiedene Dienste: Konteninformationsdienste und Zahlungsauslösedienste mit jeweils unterschiedlichen Zugriffsrechten. Der Umfang ist genau definiert und der Kunde entscheidet, wem er was erlaubt. Die Rechte sind an die Art der Dienstleistung gebunden und das wird auch überwacht.

Kommen wir zum zweiten Punkt: Bankkunden müssen sich künftig im Zwei-Faktor-Verfahren legitimieren. Die gute alte iTAN-Liste ist damit Vergangenheit?

Ja, das ist ein wichtiger Punkt. Die Art der Legitimation im Internet ändert sich – nicht nur für Banken und Dienstleister, sondern auch für Bankkunden. Und das zu ihrer Sicherheit. Wollen Kunden zum Beispiel über Online-Banking auf ihr Konto zugreifen oder bei einem Internetshop etwas zahlungspflichtig bestellen, geht das ab September nur noch über die Zwei-Faktor-Authentifizierung.

Das klingt komplizierter, als es ist. Denn wir machen das schon jetzt, wenn wir an der Supermarktkasse mit unserer Girocard bezahlen. Wir nehmen die Karte und geben die PIN-Nummer ein. Das heißt, wir haben zwei Faktoren: den Besitz der Karte und die PIN, die wir unmittelbar eingeben.

Zurück zur iTAN. Die verschwindet?

Zwangsläufig ja. Die Liste mit den Zahlenkolonnen ist künftig keine der angebotenen Faktoren. Nehmen wir ein Beispiel mit Schubladen. Wir haben drei Schubladen und zur Authentifizierung müssen wir aus zwei verschiedenen Schubladen etwas herausnehmen. Die iTAN-Liste kommt aber wie die Karte aus der Schublade "Besitz". Das reicht als Sicherheitsmerkmal künftig nicht mehr aus. Das ist auch gut so. Denn die Listen waren ein Einfallstor für Betrüger. Zum Auslösen des Zahlungsvorgangs braucht der Bankkunde künftig eine "frische" TAN. Das heißt, eine TAN, die nur für diesen einen Zahlungsvorgang generiert wird. Das erhöht die Sicherheit enorm, denn nach ein paar Sekunden ist diese nichts mehr wert.

Das betrifft dann aber auch die Prüfziffer bei Zahlungen mit der Kreditkarte. Sie reicht dann nicht mehr als Sicherheitsmerkmal?

Viele Zahlungen im Internet, vor allem bei kleinen Shops, laufen noch über die Kreditkarte. Wir geben die Prüfnummer auf der Karte ein und fertig. Auch das reicht ab September als Identifizierung nicht mehr aus. Der Grund: Beide Faktoren sind auf einer Karte vereint – erstens die Kartennummer und zweitens die Prüfziffer. Beide kommen also nur "aus einer Schublade". Das wird künftig für einen Bestell- und Zahlungsvorgang nicht mehr reichen. Die Authentifizierung muss individuell für den Zahlungsvorgang erfolgen. Kann ein Internethändler die Zwei-Faktoren-Identifizierung bei einer Bank nicht nachweisen, darf die Bank die Zahlung nicht freigeben. Dem Händler bleibt jedoch die Möglichkeit, den Kauf zum Beispiel auf Rechnung oder Vorkasse anzubieten.

Was müssen Bankkunden tun, damit sie ab September nicht selbst vor verschlossenen Türen stehen?

Die Kunden müssen sich im ersten Schritt bei ihrer Bank erkundigen, welche Methoden der Authentifizierung diese anbietet – die TAN als SMS, den TAN-Generator, die Biometrie mit dem Fingerabdruck oder eine App. Im zweiten Schritt müssen sie prüfen, ob sie über die erforderlichen Mittel für das Verfahren verfügen, das sie nutzen wollen.

Die Zwei-Faktor-Authentifizierung soll Bezahlvorgänge im Internet sicherer machen. Ändert sich damit etwas bei den bisherigen Haftungsregeln?

Hier gibt es keinen Grund zur Besorgnis. Die Haftungssummen sind zugunsten des Kunden abgesenkt worden. Bisher haftet der Kunde bei einem Missbrauch der Bank- oder Kreditkarte oder der PIN/TAN für Schäden in Höhe von bis zu 150 Euro, solange er seine Karte oder das Online-Konto nicht gesperrt hat. Diese Haftungsgrenze wird auf 50 Euro herabgesenkt. Bei grober Fahrlässigkeit oder Vorsatz aber haftet der Kunde künftig wie auch schon jetzt in vollem Umfang.

Was mache ich, wenn ich kein Smartphone besitze?

Da besteht kein Anlass zur Sorge. Auch in diesem Fall stehen den Bankkunden viele Möglichkeiten offen. Sie können mit dem TAN-Generator arbeiten, auf Rechnung kaufen oder eine Überweisung bei der Bank vornehmen. Zudem können Bankkunden ohne Handy die photoTAN auch über den TAN-Generator nutzen.

Eine Überweisung direkt bei der Bank kostet aber in der Regel. Jüngst hat ein Institut die monatlichen Gebühren für ihre Kunden erhöht. Ein Modell für andere Geldinstitute?

Eine Bank ist ein Wirtschaftsunternehmen, das verschiedene Produkte anbietet und das sich überlegen muss, wie diese bepreist werden. Das umfasst Bargeldleistungen, Kreditangebote, Überweisungsdienstleistungen und so weiter. Jede Bank entscheidet selber, welche dieser Dienste sie zu welchen Gebühren anbieten möchte. Man muss auch bedenken, dass ein Konto Kosten verursacht. Das sind neben den technischen Kosten auch Beobachtungskosten. Stichwort: Datensicherheit und Geldwäscheprävention. Da müssen Banken gesetzliche Pflichten erfüllen. Das sieht man als Kunde oft nicht. Zudem sind aufgrund der hohen Wettbewerbssituation Bankdienstleistungen in Deutschland im europäischen Vergleich günstig und die Gebühren in den vergangenen Jahren relativ gering gestiegen. Zudem gibt es jetzt auch den Wettbewerb mit den Online-Banken. Geldinstitute müssen also sehr genau überlegen, was sie ihren Kunden bei den Preisen anbieten.

Apropos Datenschutz: Die Informationen auf einem Konto sind viel wert …

Das Verhältnis Kunde und Bank ist schon ein ganz besonderes. Der Kunde weiß, dass die Bank verantwortungsvoll mit seinen Daten umgeht und sie schützt. Das ist für die Banken einen große Chance, aber auch große Herausforderung. Viele Wettbewerber kommen heute aus der datengetriebenen Ecke. Sie sind keine Finanzinstitutionen, wollen aber in diesem Sektor Services anbieten. Und hier zeigt sich beim Kunden eine gewisse Widersprüchlichkeit. Jede unserer Umfragen zeigt: 90 Prozent der Kunden erwarten von ihrer Bank ein Maximum an Datensicherheit. Die gleichen Kunden geben aber in den sozialen Netzwerken jeden Tag unendlich viele private Informationen preis – manchmal auch ohne es zu wissen. Das ist pures Gold für die Tech-Konzerne.

Und das wollen sie jetzt auch bei den Bankkunden schürfen?

Wenn eine Bank ein Bankgeschäft macht, will sie einen Gewinn erzielen. Wenn ein datengetriebenes Unternehmen Bankgeschäfte macht, will es in erster Linie die Daten haben. Dies ist seine Währung. Hier stoßen zwei unterschiedliche Welten aufeinander. Das ist eine andere Denke. Aus diesem Grund ist es extrem wichtig, dass genau definiert ist, was sie dürfen und was nicht. Einfach mal so das Konto quer lesen und die Daten nutzen, das geht nicht. Wir sollten nicht vergessen: Das Bankengeschäft ist hoch reguliert. Wer Bankgeschäfte in Deutschland macht, muss sich an Bankenregeln halten – egal aus welcher Ecke, aus welchem Land der Anbieter kommt, oder ob er Apple, Facebook oder Google heißt. Aber das berührt noch einen anderen Aspekt.

Und der wäre?

Die Tech-Giganten dürfen ihre bestehende Macht nicht nutzen, um den Wettbewerb unfair zu steuern. Das wäre der Fall, wenn ein Handyanbieter entscheiden würde, welcher Dienstleister in Zukunft seine Services über das Betriebssystem anbieten darf und wer nicht. Die Diskussion ist noch relativ jung, wir führen sie aber.

Und die deutschen Banken sind am Ende die Verlierer?

Nein, aber es wäre erstaunlich, wenn im Bankensektor nicht auch das passiert, was wir in vielen anderen Bereichen bereits sehen. In der Musikindustrie zum Beispiel. Der Bankensektor wird sich massiv verändern. Wir werden eine Tendenz in Richtung Plattformanbieter sehen. Für die Banken geht es weniger um Daten, als um den Kunden. Und die Banken werden sehr daran arbeiten müssen, ihren Kunden attraktive Dienste zu bieten. Ich glaube, dass die Banken nach und nach mit diesem Wissen um ihre Kunden ihnen auch auf sie abgestimmte, sehr individuelle Produkte anbieten werden.

Herr Krautscheid, vielen Dank!

Ob sich Bankkunden in Deutschland Sorgen um ihr Geld machen müssen und was es mit den Schuhen von Angela Merkel auf sich hat, lesen Sie im ersten Teil des Interviews mit Andreas Krautscheid: "Wir werden nicht für alle haften".