Handelsblatt App
Jetzt 4 Wochen für 1 € Alle Inhalte in einer App
Anzeigen Öffnen
MenüZurück
Wird geladen.

17.02.2019

19:07

Onlinebanking

EU-Richtlinie macht Online-Zahlungen sicherer, aber komplizierter

Von: Elisabeth Atzler, Katharina Schneider

Neue Vorschriften sollen Verbraucher bei Geldgeschäften besser vor Gefahren im Internet schützen. Doch das geht auf Kosten der Bequemlichkeit.

Die neue Zahlungsrichtlinie verbietet Onlinehändlern zum Beispiel Zusatzgebühren für Kreditkartenzahlungen. Getty Images

Mobiles Bezahlen

Die neue Zahlungsrichtlinie verbietet Onlinehändlern zum Beispiel Zusatzgebühren für Kreditkartenzahlungen.

Frankfurt Ist das Gehalt schon auf dem Konto? Wurde die Stromrechnung bereits abgebucht? Rund zwei Drittel der Deutschen nutzen Onlinebanking und bekommen damit schnell Antworten auf solche Fragen. Auf der Website oder in der Smartphone-App ihrer Bank geben sie einfach ihren Benutzernamen sowie das Passwort ein, und schon sehen sie ihren Kontostand.

Ab Mitte September wird das allerdings komplizierter. Grund dafür ist eine EU-Richtlinie, die den Zahlungsverkehr für Verbraucher in der Europäischen Union nicht nur sicherer, sondern eigentlich auch bequemer machen soll.

Vor gut einem Jahr wurden neue Vorgaben aus der „zweiten EU-Zahlungsdiensterichtlinie (PSD2)“ in nationales Recht umgesetzt. Einige Neuerungen waren sofort gültig, und Kunden profitieren davon: Beispielsweise dürfen Onlinehändler für die Zahlung per Kreditkarte keine Extragebühr mehr verlangen. Für andere Vorgaben gibt es eine Übergangsfrist, sie müssen bis Mitte September 2019 umgesetzt werden.

Dazu gehört auch die sogenannte starke Kundenauthentifizierung. Sie führt einerseits dazu, dass Betrüger mit gestohlenen Karten- und Bankzugangsdaten weniger anfangen können. Andererseits verkomplizieren die neuen Vorgaben etliche bisher einfache Abläufe.

Dabei war das Ziel ein ganz anderes: Eigentlich soll die PSD2 das elektronische Bezahlen für europäische Verbraucher „günstiger, einfacher und sicherer“ machen, kündigte die EU-Kommission vor einem Jahr vollmundig an. Doch die Realität sieht anders aus: „Die Verbraucher sind in vielen Fällen die Verlierer, wie sich das zum Beispiel bei den neuen Vorgaben für das Einloggen beim Onlinebanking zeigt“, sagt Niklas Grisar, Experte für Zahlungsverkehr bei der Beratungsfirma Capco. „Die Sicherheit steigt, aber es wird für Kunden auch komplizierter.“

Grafik

Frank-Christian Pauli von der Verbraucherzentrale Bundesverband (VZBV) sieht das ähnlich: „Als Verbraucher müssen wir uns darauf einstellen, dass elektronische Zahlungen ab Mitte September etwas komplizierter werden.“ Er sieht Händler und Zahlungsdienstleister in der Pflicht, Lösungen zu entwickeln, die den neuen Vorgaben entsprechen und zugleich bequem sind.

Kontostand prüfen

Wollen Kunden ab Mitte September via Internet ihren Kontostand einsehen, reichen der Benutzername und das Passwort nicht mehr aus. Die starke Authentifizierung verlangt einen weiteren Beweis, dass der Verbraucher, der das Passwort kennt, auch wirklich der Kontoinhaber ist.

Kunden müssen daher obendrein noch einen einmaligen Sicherheitscode (TAN) eingeben – etwa eine mTAN, die per SMS auf ihrem Smartphone landet. Dabei können die Banken entscheiden, ob sie den Sicherheitscode bei jedem Zugriff per Onlinebanking oder alle 90 Tage abfragen.

Ob sie die 90-Tage-Regel nutzen oder nicht, ist bei vielen Geldhäusern noch nicht klar. Dafür spricht, dass es für Kunden einfacher ist, wenn sie nicht bei jeder Abfrage eine TAN eintippen müssen. Dagegen, dass eine TAN-Abfrage alle drei Monate für Verwirrung sorgen könnte – und teuer ist. „Für Banken führt die Ausnahmeregelung zu hohen Kosten. Sie müssen nicht nur die technische Infrastruktur mit einem 90-Tage-Zähler bereitstellen, sondern auch das zusätzliche Risiko managen“, sagt Andreas Doser, Rechtsanwalt bei Hogan Lovells.

Finanz-Apps nutzen

Besonders genervt dürften Kunden sein, die ihren Kontostand in der App ihrer Bank abfragen. „Es reicht nicht, die App wie bisher per Fingerabdruck oder Gesichtserkennung zu öffnen“, sagt Grisar. Um den aktuellen Kontostand abzufragen, müssen Kunden auch auf dem Smartphone einen zusätzlichen Sicherheitscode eingeben.

Eine ähnliche Hürde droht Verbrauchern künftig auch bei Finanz-Apps anderer Dienstleister, in denen sie mehrere Bankkonten verwalten können. Das bieten zum Beispiel Outbank, Finanzblick und Numbrs. Zur Frage, ob die Kunden bei jedem Kontozugriff eine Tan eingeben müssen oder das nur alle 90 Tage nötig ist, geben die Anbieter unterschiedliche Antworten. Klar ist jedenfalls, dass Kunden auch hier nicht ganz ohne TAN-Eingabe auskommen werden.

Doser zufolge gilt: Wenn eine Bank in ihrem eigenen Onlinebanking nur alle 90 Tage eine TAN-Eingabe fordert, muss sie diese Ausnahme auch erlauben, wenn Drittanbieter wie Multibanking-Apps auf das Kundenkonto zugreifen.

Bezahlen per Kreditkarte

Wer im Onlineshop einkauft und per Kreditkarte bezahlen will, muss künftig auch sein Smartphone zur Hand haben: Die Kreditkartennummer, das Ablaufdatum und die Prüfziffern der Kreditkarte reichen ab September nicht mehr. Auch hier gilt die Regel: Der Kunde muss durch einen weiteren Faktor zeigen, dass er wirklich berechtigt ist, die Kreditkarte zu nutzen. Das kann zum Beispiel durch eine TAN passieren, oder die Kunden müssen die Zahlung per Fingerabdruck auf dem Handy bestätigen.

„Da die meisten Finanzinstitute bereits eine Identifizierung über den Fingerabdruck in ihren mobilen Bezahl-Apps integriert haben, gehen wir davon aus, dass die Umsetzung in Deutschland zügig vonstattengeht“, so der Kreditkartenanbieter Mastercard. Der Wettbewerber Visa geht ähnlich vor. Auch er bietet Banken an, biometrische Authentifizierung – etwa per Fingerabdruck, Stimme oder Gesichtserkennung – in die Bezahl-App zu integrieren. Fraglich allerdings ist, ob alle Geldhäuser das auch per Mitte September schon nutzen werden.

Rechtsstreit: PIN-Weitergabe: Musterklauseln fürs Onlinebanking waren jahrelang falsch

Rechtsstreit

PIN-Weitergabe: Musterklauseln fürs Onlinebanking waren jahrelang falsch

Im Streit um ihre AGB kassiert die deutsche Kreditwirtschaft eine Schlappe vor Gericht. Nun könnte es sogar um Schadensersatz gehen.

Vermeiden lässt sich die starke Kundenauthentifizierung nur mit Ausnahmeregelungen: zum Beispiel einer Positivliste für vertrauenswürdige Zahlungsempfänger (Whitelist) oder einer speziellen Transaktions-Risiko-Analyse (TRA). Das Problem: „Für Banken ist das sogenannte Whitelisting ein aufwendiger Prozess“, sagt Matthias Terlau, Rechtsanwalt und Partner bei der Wirtschaftskanzlei Görg. „Große Händler und die Kreditkartenorganisationen setzen sich stark dafür ein, aber es gibt in Deutschland sehr viele Institute, die Kreditkarten herausgeben und Zahlungskonten führen.“

Als Alternative beschreibt Ralf Gladis, Geschäftsführer des Zahlungsdienstleisters Computop, die Transaktions-Risiko-Analyse: „Banken dürfen auf die Zwei-Faktor-Authentisierung verzichten, wenn sie das Risiko der Zahlung gering einschätzen.“

Vom Handel kommt wegen der neuen Hürden Kritik: „Ziel der PSD2 sollte es eigentlich sein, die Verbraucher zu schützen“, sagt Ulrich Binnebößel, Zahlungsexperte des Handelsverbandes HDE. „Doch schon die alten Gesetze haben die Kunden im Schadensfall vor einem hohen Selbstbehalt bewahrt. Die neuen technischen Vorgaben schützen vor allem die Banken vor zu hohen Verlusten durch Betrug.“

Falls nicht schnell einfache Lösungen gefunden werden, könnten bei Händlern und Kunden womöglich der Kauf auf Rechnung und die Lastschrift weiter an Beliebtheit gewinnen. Sie sind von der Regulierung nicht betroffen. Zuletzt haben die Deutschen gemessen am Umsatz gut 30 Prozent ihrer Onlinekäufe per Rechnung bezahlt und etwa 20 Prozent per Lastschrift, ermittelte das Handelsforschungsinstituts EHI. Das Onlinebezahlverfahren Paypal folgt mit kleinem Abstand.

Onlinebezahlverfahren

Die strengere Identitätsprüfung hat auch Auswirkungen auf Paypal, das immerhin fast 21 Millionen Nutzer in Deutschland hat. Was das genau für sie bedeutet, ist indes noch nicht klar.

Womöglich muss man künftig auch bei jeder Paypal-Transaktion noch einen Sicherheitscode eingeben. „Wir werden sicherstellen, dass wir bis zum Stichtag die Bestimmungen zur starken Kundenauthentifizierung erfüllen“, teilte eine Paypal-Sprecherin mit. Man sei in Austausch mit der Aufsichtsbehörde in Luxemburg, wo Paypal seine EU-Lizenz hat. Besonders unangenehm könnten die Folgen für die Verbraucher sein, die Paypal-One-Touch nutzen und dabei ganz ohne Einloggen bezahlen. Bislang muss man sich dafür nur einmalig anmelden.

Auch Verbraucher, die den Bezahldienst der deutschen Banken, Paydirekt, nutzen, müssen womöglich mit Änderungen rechnen. Paydirekt selbst prüft die Vorgaben noch und kann ebenfalls noch nicht sagen, was auf die Kunden zukommt.

Änderungen könnte es auch bei der „1-Click“- Funktion von Amazon geben, das Unternehmen wollte sich auf Anfrage des Handelsblatts jedoch nicht dazu äußern. Für „1-Click“ hinterlegen Kunden einmal eine Zahlungsart und eine Lieferadresse und können dann Waren von der Artikelseite direkt kaufen – ohne zuvor einen Warenkorb angezeigt zu bekommen oder nochmals Zahlungsdaten anzugeben. Wenn Kunden Amazon auf eine Whitelist setzen, würde das auch ab September noch funktionieren.

Mit der Smartwatch bezahlen

Bequemer bezahlen geht kaum, die Kunden halten ihre Smartwatch an das Kassenterminal, und schon haben sie bezahlt. Ob das ab September noch funktioniert, ist aber ungewiss. Das Problem könnte sein: Anders als beim Bezahlen mit dem Smartphone geben die Nutzer etwa bei der Apple Watch nur beim Anlegen der Uhr eine PIN ein, danach misst die Uhr den Puls des Trägers und bleibt dadurch aktiviert. Beim Bezahlen wird keine weitere PIN abgefragt.

Burkhard Balz: Bundesbank-Vorstand fordert europäische Alternative zu Paypal und Apple Pay

Burkhard Balz

Bundesbank-Vorstand fordert europäische Alternative zu Paypal und Apple Pay

In Europa funktioniert kein Zahlungssystem grenzüberschreitend, in Echtzeit und für alle Kanäle. Der Bundesbank-Vorstand mahnt zum schnellen Handeln.

Nach Einschätzung mehrerer Banken ist das mit den neuen Regeln konform. „Wir gehen auch beim Bezahlen mit den sogenannten Wearables von einer vollwertigen Zwei-Faktor-Authentisierung aus“, sagte ein Sprecher der Direktbank Comdirect dem Handelsblatt. „Durch das Entsperren der Watch per PIN wird der Faktor Wissen bedient, der sogar in Verbindung mit dem Faktor Inhärenz (Puls) angewendet wird.“ Hinzu komme der Token der Kreditkarte – also die verschlüsselten Kartendaten – als Faktor Besitz.

Bei der europäischen Bankenaufsicht (Eba) klingt das aber anders: Eine andauernde Authentifizierung über den Puls sei nicht ausreichend, weil für jede Zahlung eine separate Authentifizierung nötig sei, so die Eba auf eine Anfrage.

Anwalt Terlau von der Kanzlei Görg meint: „Die Smartwatch müsste ähnlich wie der Chip in der Kreditkarte mit dem Kassenterminal kommunizieren, ansonsten sind bestenfalls Zahlungen bis zu einer Ausnahmegrenze von 50 Euro möglich.“

Überweisung freigeben

Keinerlei Ausnahmen lässt die PSD2 beim Verbot der iTAN zu – also Papierlisten mit durchnummerierten Transaktionsnummern. Sie dürfen ab Mitte September nicht mehr eingesetzt werden. Daher müssen Banken Alternativverfahren wie mTAN, photo-TAN oder Verfahren mit TAN-Generatoren anbieten. Auch das mTAN-Verfahren gilt allerdings nicht mehr als zukunftssicher. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) empfiehlt, auf den Einsatz dieses Verfahrens zu verzichten.

Handelsblatt Premium

Kommentare (3)

Selber kommentieren? Hier zur klassischen Webseite wechseln.  Selber kommentieren? Hier zur klassischen Webseite wechseln.

Herr Stefan Timm

18.02.2019, 08:38 Uhr

Verbraucherfreundlich wäre es, die Banken zu verpflichten, jede Transaktion auf Girokonto oder Kreditkarte per Push Notification an das Smartphone (bzw. die App) zu schicken, falls der Kunde das wünscht. Der Kontostand interessiert mich herzlich wenig.

Herr Marco Levenhagen

18.02.2019, 14:38 Uhr

Was für eine staatliche Gängelung. Man sollte es den Plattformbetreibern, Banken und Kunden überlassen, wie sicher sie den Zahlungsverkehr ausprägen.

Herr Mehmet Mulier

21.02.2019, 14:39 Uhr

Wenn das mit den planwirtschaftlichen Vorschriften aus Brüssel so weiter geht,
sehe ich gute Chancen für Bitcoin & Co. weil es einfach viel einfacher und sicherer zu Nutzen ist.
Immerhin schaufeln sie sich selbst ein Grab. Auch gut.

Direkt vom Startbildschirm zu Handelsblatt.com

Auf tippen, dann auf „Zum Home-Bildschirm“ hinzufügen.

Auf tippen, dann „Zum Startbildschirm“ hinzufügen.

×