Neue EU-Richtlinie Was Bankkunden bei PSD2 wissen müssen

AUTOR/IN

Ab September gelten verschärfte EU-Regeln für den Online-Zugang bei Bankkonten und das Bezahlen in Onlineshops, die sogenannte PSD2-Richtlinie. Was müssen Bankkunden jetzt tun?

Dauer
Sendedatum
Sendezeit
20:15 Uhr
Sender
SWR Fernsehen

Seit September verlangt die EU-Richtlinie (2018/389) PSD2 eine sogenannte Zwei-Faktor-Authentifizierung beim Onlinebanking und Onlineshopping. Das bedeutet, dass jeder beim Login sich über zwei unterschiedliche Merkmale legitimieren muss. Die EU-Richtlinie soll nach Angaben der Bundesbank für mehr Sicherheit im Zahlungsverkehr, einen verbesserten Verbraucherschutz sowie mehr Wettbewerb im Markt führen. Auch Innovationen sollen dadurch gefördert werden.

Wer ist von PSD2 betroffen?

Im Prinzip ist jeder betroffen, der seine Bankgeschäfte online macht. Viele Banken haben schon früher auf das neue Zwei-Faktor-Authentifizierungsverfahren umgestellt. Dieses soll Bankkunden besser vor Missbrauch schützen.

Auch für Verbraucher, die ihre Waren bestellen, soll sich einiges ändern. Ausnahme: Sie bezahlen nicht per Lastschrift oder Rechnung. Für das Onlineshopping hat die BaFin den Händlern die Frist zur Einführung auf unbestimmte Zeit verschoben.

Zwei-Faktor-Authentifizierung: Zwei von drei Merkmalen nötig

Bei der zwei sogenannten Zwei-Faktor-Authentifizierung müssen Verbraucher über zwei von drei Merkmalen verfügen:

  • Wissen: Diesen Faktor kennt nur der Verbraucher, also beispielsweise ein Passwort oder eine Persönliche Identifikationsnummer (PIN).
  • Besitz: Nur der Verbraucher besitzt dieses Objekt, um sich auszuweisen. Hierzu zählen unter anderem Smartphone, oder TAN-Generator.
  • Körperliche Merkmale: Hierbei handelt es sich um biometrische Merkmale, also Fingerabdruck oder Augeniris.

Die meisten Banken verlangen den Faktor Wissen. Generell können die Banken entscheiden, welchen Faktor sie verlangen. Manche Banken bieten Foto-TAN oder einen TAN-Genereator an, bei anderen Banken können Kunden sich per Fingerabdruck auf dem Smartphone legitimieren.

Viele Banken haben auch die SMS-TAN als zweiten Faktor schon seit längerem eingeführt. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hält diese aber für weniger sicher, da die TAN leichter abgegriffen werden kann. Viele Kreditinstitute stellen das SMS-TAN-Verfahren derzeit auch ein. Welche Verfahren es alles gibt, wie sie funktionieren und wie sicher sie sind, hat die Verbraucherzentrale zusammengefasst. Stiftung Warentest hat 22 Kreditinstitute gefragt, welche TAN-Verfahren sie anbieten, welche Kosten dabei anfallen und wer im Schadensfall haftet.

Kreditkarten brauchen ebenfalls einen zweiten Faktor

Bisher konnten Kunden mit der Kreditkarte relativ einfach bezahlen: Sie gaben die Kartennummer, das Ablaufdatum und die Prüfnummer an. Künftig ist auch hier ein zweiter Faktor nötig. Für die Sicherheitsverfahren Mastercard Identity Check (früher Securecode), Verified by Visa oder Safekey (Amex) müssen sich die Kunden in der Regel bei ihrer Bank melden.

Bankenmonopol fällt durch PSD2 weg

Eine weitere Änderung durch PSD2: der Wegfall des Bankenmonopols. Das bedeutet, auch andere Unternehmen dürfen die Bankdaten der Kunden erhalten. Dies geschieht nur mit seiner vorheriger Einwilligung und kann jederzeit widerrufen werden. Unternehmen, die die Bankdaten nutzen wollen, fallen dafür dann ab sofort unter die Bankenregulierung der BaFin.

Viele Verbraucher nutzen sogenannte Kontoinformationsdienste- und Zahlungsauslösedienste. Ein Zahlungsauslösedienst wird vom Kunden beauftragt, eine Überweisung bei seiner Bank auszulösen und das Geld an den Empfänger zu senden (beispielsweise ein Onlineshop). Viele Onlineshops bieten dies als eine Bezahlfunktion an. Ein bekannter Zahlungsauslösedienst ist beispielsweise PayPal.
Kontoinformationsdienstleister bieten dem Kunden auf einer Plattform einen Überblick über all seine Vermögenswerte und Kontoverbindungen, für die er sich sonst bei unterschiedlichen Banken einloggen müsste.

Mit solchen Anbietern können mehrere Konten über eine Plattform gesteuert werden. Der Kunde erhält dadurch einen besseren Überblick über sein Vermögen und seinen Zahlungsverkehr.

Wie schütze ich mich vor Betrügern?

Auch die Zwei-Faktor-Authentifizierung gibt keinen absoluten Schutz. Manche Banken garantieren zwar ihren Kunden auch dann zu haften, wenn dieser grob fahrlässig gehandelt hat, etwa indem er die TAN ungesichert auf dem Computer gespeichert hatte. Kunden sollten allerdings ihren PC und ihr Smartphone auf dem aktuellsten Stand halten sowie ein Antiviren-Programm installieren. Bei PCs empfiehlt es sich, eine Firewall einzurichten – auch wenn Banken diese nicht fordern können.

Betrüger versuchen immer wieder, Daten von Bankkunden zu erlangen. Deshalb sollten Verbraucher keine Links in E-Mails öffnen, deren Absender sie nicht kennen. Außerdem sollten Bankkunden die Adresszeile des Onlinebankings immer selbst eingeben und nicht über eine Suchmaschine gehen. Betrüger versuchen auch immer wieder, Verbraucher dazu zu bringen, Passwörter oder andere vertrauliche Informationen in E-Mails anzugeben. Häufig heißen Betreffzeilen von Betrügern „Sicherung Ihres Kontos“, „Aktualisierung Ihrer Nutzerdaten“ oder „Handlungsbedarf – Verifizierung erforderlich“. Die darauffolgende Anrede ist oftmals sehr unpersönlich gehalten.

Für mehr Sicherheit sollten Verbraucher am besten zwei verschiedene Geräte benutzen. Also beispielsweise für das Onlinebanking den PC nutzen und den Login oder die Zahlung per Smartphone-App oder TAN-Generator autorisieren. Oder Verbrauchter nutzen die Banking-App auf dem Smartphone und geben die Zahlung per TAN-Generator frei.

Vorteile von PSD2

Neben der erhöhten Sicherheit für Verbraucher gibt es einen weiteren Vorteil auf Verbraucherseite: Unterschiedliche Preise für unterschiedliche Bezahlmethoden gehören der Vergangenheit an. Händler können nicht mehr ein Entgelt verlangen, wenn Kunden beispielsweise mit der Kreditkarte zahlen wollen.

AUTOR/IN
STAND