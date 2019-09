Hannover

Mit der zweiten europäischen Zahlungsdiensterichtlinie (PSD2) gibt es drei Umstellungen für Bankkonten: Auf Konten können künftig auch Drittanbieter zugreifen, wenn Kunden dem zustimmen. Bankkunden müssen sich beim Zugriff auf ihr Online-Banking immer mit der Zwei-Faktor-Methode identifizieren. Und schließlich müssen auch Kartenzahlungen im Internet künftig immer mit zwei Faktoren freigegeben werden.

Überweisung und Kartenzahlung durch starke Kundenauthentifizierung

Jeder Kunde muss seine Identität in jedem Fall mit zwei voneinander unabhängigen Komponenten nachweisen. Um eine Überweisung online freizugeben, braucht man erstens die Geheimnummer (PIN), um sich in das Konto einzuloggen und eine zweite Komponente, um sich zu identifizieren.

Das könnten eine TAN (Transaktionsnummer) sein, ein Passwort, ein per Smartphone übermittelter Fingerabdruck, Gesichtserkennung, das Einstecken der Geldkarte in einen TAN-Generator, ein sogenanntes Kartenlesegerät, zählt eine Sprecherin des Deutschen Bankenverbands Möglichkeiten auf. Die Optionen hängen vom Geldinstitut ab. Die meisten stellen zwei Verfahren zur Wahl.

Drittanbieter haben nun Zugriff auf Konten

Drittanbieter sind Anbieter, die die Infrastrukturen von Banken nutzen, ohne selbst solche zu betreiben, wie der Bankenverband erklärt. Konkret sind das Dienste, die Zahlungen auslösen, Kontoinformationen sammeln und bündeln und Dienste, die Zahlungskarten herausgeben. Drittanbieter können nicht nur neue Dienstleister sein, sondern im Prinzip auch andere Banken.

Solchen Dienstleistern können Kunden künftig erlauben, auf ihr Konto zuzugreifen, zum Beispiel, wenn sie im Internet einkaufen oder verschiedene Konten bei unterschiedlichen Geldinstituten in einer Übersicht dargestellt haben wollen. Die Erlaubnis des Kunden ist immer die Voraussetzung dafür, dass ein Drittanbieter Zugriff auf das Konto bekommt. Die Dienstleister unterliegen der Aufsicht der Bundesanstalt für Finanzdienstleistungen ( Bafin).

Wer online einkauft oder Reisen bucht, kennt die sogenannten Zahlungsauslösedienste wie „Sofortüberweisung“ bereits. Sie lösen Überweisungen sofort aus, damit der Kauf zügig bestätigt wird. Künftig müssen „Banken über eine technische Schnittstelle registrieren, welcher Dienst auf das Girokonto des Kunden zugreift“, sagt Yvonne Röhling, Referentin der Verbraucherzentrale Sachsen-Anhalt in Halle. Das Verfahren soll helfen, missbräuchliche Zugriffe besser als bisher aufzuklären.

Kontodaten nicht mehr nur durch Banken abrufbar

Die europäische Zahlungsdiensterichtlinie ("Payment Service Directive"/"PSD2"), in der das alles geregelt ist, bricht zudem das Monopol der Banken beim Zugriff auf Kontodaten. Künftig müssen Geldhäuser auch Drittanbietern wie Finanz-Start-ups (Fintechs) den Zugriff auf Daten ihrer Kunden ermöglichen. Diese könnten dann - mit Zustimmung des Kunden - ihre Dienstleistungen anbieten.

iTAN-Verfahren verliert seine Gültigkeit

Gedruckte TAN-Listen verlieren nun ihre Gültigkeit. Nach EU-Recht dürfen Kreditinstitute dieses sogenannte iTAN-Verfahren für Überweisungen vom Girokonto nicht mehr anbieten. Denn die für das Online-Banking notwendigen Transaktionsnummern müssen künftig dynamisch generiert werden. Das ist mit einer Zahlenfolge auf Papier nicht möglich.

Phishing-Betrug schon vor neuen Richtlinien

Eigentlich soll die zweite europäische Zahlungsdiensterichtlinie (PSD2) den Betrug beim Bezahlen im Netz stoppen. Doch schon vor Beginn der Umsetzung von PSD2 fahren paradoxerweise Phishing-Betrüger Trittbrett. Sie versuchen etwa, Verbrauchern ihre Kontodaten abzujagen, warnt die Verbraucherzentrale Rheinland-Pfalz.

So kursierten Phishing-Mails, in denen Bankkunden aufgefordert werden, ihre Kundendaten zu bestätigen, angeblich wegen der PSD2 - was natürlich frei erfunden sei. Tatsächlich landen die Verbraucher auf gefälschten Portalen, wo sie dann ihre Banking-Daten den Betrügern preisgeben.

Auch Zahlungsdienste wie Paypal betroffen

Auch Kunden von Zahlungsdiensten wie Paypal sollten auf der Hut sein. Denn die Betrüger verschicken auch Mails, die auf den ersten Blick realistisch aussehen. Darin fordern sie anlässlich der PSD2 die Verifizierung des Paypal-Kontos.

Druck versuchten die Kriminellen mit der Drohung aufzubauen, dass ein Konto "eingefroren" werde, sollte man der Aufforderung nicht nachkommen. Die Verbraucherschützer raten: E-Mail ignorieren und unbeantwortet in den Spamordner verschieben.

Unseriöses Kreditkarten-Marketing

Die Verbraucherzentrale Rheinland-Pfalz warnt zudem vor unseriösen Marketing-Aktionen im Dunstkreis von PSD2. Besonders dreist sei jüngst ein Anbieter teurer Prepaid-Kreditkarten vorgegangen. Verbrauchern sei telefonisch vorgegaukelt worden, dass sie ihre alte Kreditkarte nicht mehr verwenden könne.

"Wegen der Gesetzesänderungen" werde eine neue Kreditkarte zugesandt. Anschließend erhält man, so die Verbraucherschützer, eine Postsendung mit einer Kreditkarte, für die ein Nachnahmebetrag von 100 Euro fällig wird.

Gesundes Misstrauen angebracht

Um sich zu schützen, raten die Verbraucherschützer zu gesundem Misstrauen - insbesondere, weil Phishing-Mails sehr seriös und überzeugend echt wirken könnten. Doch bekannte Absenderangaben seien oft gefälscht und sollen beim Empfänger Vertrauen wecken. Bei zweifelhaften Mails sollte man niemals Links anklicken oder Dateianhänge öffnen.

Zudem gelte, dass Banken oder Zahlungsdienste grundsätzlich niemals Kundendaten oder Zugangsdaten zum Konto per Mail oder am Telefon abfragen. Im Zweifel sollte man direkt beim Kreditinstitut oder Dienstleister nachfragen, wenn man rund ums Thema PSD2 kontaktiert wird.

