22.09.2020 Mit PSD2 will die EU die Sicherheit im elektronischen Zahlungsverkehr erhöhen
Welche Folgen hat die PSD2-Richtlinie für Verbraucher?
Banken müssen APIs bereitstellen, so dass externe Dienste auf Kundenwunsch an die Kontodaten von Bankkunden gelangen können. Die ausdrückliche Zustimmung des Kunden für jeden einzelnen Anbieter und dessen Zertifizierung sind dabei unabdingbare Voraussetzung.
Erteilen Nutzer beispielsweise einer Finanz-App die Erlaubnis, können sie sich von dieser die aggregierten [aggregieren = zusammentragen] Kontoinformationen von verschiedenen Bankkonten (auch von unterschiedlichen Instituten) in aufbereiteter Form anzeigen lassen. Außerdem erhalten Kunden die Möglichkeit, direkt auf der Seite des Online-Händlers oder Dienstleisters ihres Vertrauens eine Zahlung auszulösen. Sie können Geld überweisen, ohne zuvor ihr Online-Bankkonto aufsuchen zu müssen. Natürlich gilt auch hier: Ohne die Zustimmung des Kunden geht gar nichts.
Der zweite wichtige Aspekt ist die Einführung einer starken Kundenauthentifizierung (Strong Customer Authentication = SCA). Dabei handelt es sich um eine Form der Multi-Faktor-Authentifizierung (MFA), was bedeutet, dass die zweifelsfreie Identifizierung des Kunden über mehrere Merkmale erfolgen muss. Die können aus den Bereichen Wissen (PIN, Passwort), Besitz (Karte, Mobiltelefon) oder Inhärenz (biometrische Merkmale wie Fingerabdruck, Iris oder Standort) stammen. Dadurch soll mehr Sicherheit beim elektronischen Bezahlen garantiert werden. Entsprechend sind auch diese Maßnahmen verpflichtend.
Quelle: computerwoche.de/a/was-steckt-hinter-der-neuen-eu-zahlungsdienstrichtlinie,3547519
Auf den Begriff bin ich durch einen Podcast von Marc Friedrich gestoßen. Sein Interviewpartner, Richard Werner (Deutscher Wirtschaftswissenschaftler), sagte, dass Dienstleister Zugriff auf Kundenkonten bei Banken erhalten. Dieses Verfahren wurde mir zwar auch schön öfter angeboten, aber wenn ich nicht weiß, was hinter einem solchen Prozess steckt, breche ich ab. Es gibt glücklicherweise meist immer noch alternative Zahlungsmethoden. Und wenn nicht, bestelle ich bei dem Unternehmen nichts. [Wie z.B. bei Medimops] Nach Richard Werners Aussage bin ich jedoch neugierig geworden. Und siehe da …
23.03.2023 PSD 2: Drittanbieter können Zugriff auf Konten erhalten
Mit der der Umsetzung der zweiten Stufe der Zahlungsdienste-Richtlinie PSD 2 zum 13.01.2018 haben sich nicht nur die Regeln für das Onlinebanking und für Kartenzahlungen im Netz geändert. Auch sogenannte Drittdienstleister können jetzt Zugriff auf Ihr Konto nehmen, soweit Sie dies als Kontoinhaber ausdrücklich zulassen.
Wie lässt man das als Kontoinhaber zu? Ich spekuliere mal, dass man irgendwelchen AGB zustimmen muss, die aber keiner liest.
Was sind „Drittdienstleister“?
Unter Drittdiensten versteht man Dienstleister, die Bankinfrastrukturen nutzen, ohne selbst solche zu betreiben. Die PSD 2 unterscheidet im Wesentlichen zwei Arten von Drittanbietern: Zahlungsauslösedienste und Kontoinformationsdienste.
Ein Zahlungsauslösedienst wird vom Bankkunden beauftragt, per Onlinebanking eine Überweisung zulasten des Girokontos auszulösen. Dies bedeutet, dass der Kunde sich z.B. beim Einkauf im Internet nicht extra in das Onlinebanking der Bank einloggen muss, sondern die Überweisung über einen auf der Händlerseite angebotenen Zahlungsauslösedienst beauftragen kann.
Kontoinformationsdienste dienen zur Abfrage und Auswertung von Kontodaten. Dies ist insbesondere für Kunden interessant, die bei mehreren Banken Zahlungskonten haben und die sich einen besseren Überblick über Kontostände und Umsätze verschaffen wollen.
Soweit Unternehmen im Auftrag und im Namen des Bankkunden Transaktionen durchführen dürfen, greifen sie über eine Schnittstelle auf das Onlinebanking des Kunden und seine Authentifizierungsmerkmale (PIN/TAN). Die eigene Bank ist dann verpflichtet, den vom Kunden beauftragten Dienstleister Zugang zu dessen Zahlungskonto zu gewähren.
Quelle: verbraucherzentrale-niedersachsen.de/themen/finanzen/psd-2-drittanbieter-koennen-zugriff-auf-konten-erhalten
Ich wette ein komplettes Jahreseinkommen, dass den wenigsten Leuten, die dieses Verfahren nutzen, bewusst ist, dass solche Dienstleister Zugriff auf ihre Konten haben. Dank dieser unsäglichen und korrupten EU-Kommission in Brüssel ist das leider möglich. Mit dem gleichen Totschlagargument wie immer: Mehr Sicherheit (angeblich), aber zahlen muss man dafür mit etwas anderem. Hier mit seinen Daten, ansonsten mit Freiheit.
Und wenn „Drittdienstleister“ auf die Konten zugreifen könne, warum dann (zukünftig) nicht auch die EZB? Inzwischen passt da ein Puzzlesteinchen zum anderen.