Neue EU-Richtlinie im Zahlungsverkehr: Was ändert sich?

Zum einen verspricht die Zahlungsdienstrichtlinie PSD2 (Payment Service Directive 2) einen besseren Verbraucherschutz und mehr Komfort für Kunden, zum anderen wird das Zugriffsmonopol von Banken auf Kontodaten abgeschafft. Letzteres birgt die Gefahr einer ausgeweiteten Datenausbeutung.

Sehen wir uns die wichtigsten Regelungen im Detail an:

Im Betrugsfall erhalten Kundinnen und Kunden innerhalb von 24 Stunden Schadensersatz und die Haftung bei Online-Banking oder Kartenzahlungen wird von 150 Euro auf 50 Euro gesenkt. Das stärkt die Verbraucherrechte.

Verpflichtende Zwei-Faktor-Authentifizierung
Weiterhin ist den Zahlungsdienstleistern vorgeschrieben, eine starke Kundenauthentifizierung zu verwenden, um Missbräuche zu vermeiden. Das bedeutet, dass eine Zahlung nur ausgelöst werden kann, wenn ein.e Kund.in sich mindestens durch eine Zwei-Faktor-Authentifizierung ausweisen kann, also zum Beispiel ein Passwort und ein Fingerabdruck oder ein Passwort und die physische Girokarte [1]. Dies ist eine Stärkung der Sicherheit im Zahlungsverkehr und damit sehr zu begrüßen.

Die PIN
Der Zugang zu Kontodaten, zum Beispiel Transaktionen und Saldi, können nur mit ausdrücklicher Zustimmung einer Kundin von externen Dienstleistern abgefragt werden: Eine einfache Änderung der AGB reicht nicht aus.
Derzeit ist es noch so, dass ein Bankkunde Dienstleistern die PIN beziehungsweise Zugangsdaten zum Onlinebanking Portal aktiv aushändigen muss. Die meisten Banken verwenden dieselbe Schnittstelle für ihre Kund.innen und Dienstleistungsunternehmen. Es ist ausdrücklich erlaubt und gibt Bestrebungen, einen dezidierten Zugang zu schaffen. Bis es diesen gibt, wird es aber noch einige Zeit dauern.
Eine Weitergabe der Zugangsdaten war bisher durch die AGB der Banken verboten, wurde allerdings trotzdem praktiziert, um Dienstleistungen wie „Sofortüberweisung“ verwenden zu können. Dies ist nun mithilfe der Richtlinie geregelt, erodiert jedoch damit auch das Bankengeheimnis.
                                   
Kein feingranulares Berechtigungsmanagement
Zu bemängeln ist, dass durch die Weitergabe der Zugangsdaten ein „Generalschlüssel“ zum Konto weitergegeben wird, durch den jedes Dienstleistungsunternehmen all das sehen kann, was ein.e Kund.in sieht. Nur durch die zukünftige Entwicklung von dezidierten Schnittstellen kann dies verbessert werden.
Das Ziel muss sein, dass Kundinnen und Kunden die volle Kontrolle darüber haben werden, welche Dienstleister Zugriff auf welche Kontodaten erhalten.

Mögliche Diskriminierung
Laut der neuen Datenschutzgrundverordnung (DSGVO) ist die Einwilligung zur Datenweitergabe freiwillig, das heißt es darf kein Angebot verweigert werden, nur weil eine Person gegenüber einem Unternehmen keine Einwilligung erteilt.
Allerdings kennen wir bereits Belohnungs-Aktionen oder Rabatte. Die könnte es zukünftig nur noch für diejenigen geben, die der Weitergabe ihrer Daten zustimmen.
Große Datensammel-Konzerne werden von solchen Praktiken profitieren, da sie die ohnehin schon detaillierten Profile ihrer Kundschaft durch Finanzdaten anreichern könnten.

Der gläserne Mensch
Eine Gefahr besteht in diesem Zusamenhang in der möglichen Identifizierung von Netzwerken durch Zahlungsströme. Das ist nicht nur für NGOs eine große Gefahr, sondern auch für Berufsgeheimnisträger, wie Ärzte, Juristinnen oder Journalisten und Geistliche. Es müsste daher Organisationen, Vereinen und Berufsgeheimnisträger.innen verboten sein, besagten Dienstleistern Zugang zu ihren Kontodaten zu gewähren.
Besonders kritisch ist, dass sogar Daten von Personen, die ihre Daten selbst nicht weitergeben, durch eine Transaktion eines Dritten weitergegeben werden können. Nämlich dann, wenn diese.r die eigenen Daten den Dienstleistern zur Verfügung stellt.