Zahlungsrichtlinie PSD2 Was sich im Januar an Ihrem Konto ändert

Kontoinhaber bekommen Post von ihrer Bank: Die neue Zahlungsrichtlinie soll ab dem 13. Januar den Turbo fürs Onlinebanking zünden. Kunden können Kontodaten teilen und neue Dienste nutzen. Was das für Ihr Konto bedeutet.

Am Samstag, dem 13. Januar, ist es soweit: Für Bankkunden bricht eine neue Ära an. Für alle, die entweder im Internet ihr Konto verwalten, oder auch nur im Internet einkaufen und bezahlen. Berater von Roland Berger gehen von mehr als einer Milliarde Konten in Europa aus, die von der neuen Regelung betroffen sind.

Die Rede ist von PSD2, einer Zahlungsrichtlinie der Europäischen Kommission. Die wurde bereits vor zwei Jahren beschlossen, nun muss sie im Januar in nationales Recht umgesetzt werden. Die Kommission hat mit der Umsetzung der Richtlinie vor allem eins im Sinn: den europäischen Zahlungsverkehr für Kunden sicherer und bequemer machen. Und gleichzeitig will sie für mehr Innovation und Wettbewerb sorgen. So könnte die Vormachtstellung der Großbanken gebrochen werden. Die Europäische Kommission erhofft sich, neuen Dienstleistern, den sogenannten Fintechs, besseren Zugang zum Finanzmarkt und seinen Kunden zu bieten.  

Doch warum betrifft ihre Richtlinie nun auch jeden Bankkunden? Weil sie von ihnen Mitdenken erfordert. Wie bereits Nutzer des Smartphones, die Google, Facebook und Co Einblick in ihre Kontaktlisten und das Surfverhalten geben, stehen jetzt Bankkunden vor der Frage: Die eigenen Daten schützen, oder Anbietern Einblick gewähren und dafür neue Dienste nutzen? Bislang saßen nur Hausbanken auf einem Datenschatz, der Einblick über Zahlverhalten und Bonität der Kunden gibt. Den Schatz können Kunden künftig teilen, wenn sie mögen. 

Bequemer für Nutzer

Die Europäische Kommission schreibt zwar nicht explizit vor, dass es für Bankkunden künftig bequemer werden soll, wenn sie im Internet zahlen und ihr Konto verwalten. Letztlich bedeutet die Umsetzung der neuen Zahlungsrichtlinie für die Bankkunden aber genau das: mehr Bequemlichkeit.

Denn als Kernpunkt lässt sie Drittanbieter auf dem Markt zu. Wenn der Bankkunde es erlaubt, können sie künftig auf sein Konto zugreifen.

Es ist ein Turbo für das digitale Banking. Bislang war es ja schon ein Fortschritt, wenn Banken ihren Kunden in Tortendiagrammen zeigen konnten, wie viel Geld sie im Monat für Shopping oder Versicherungen ausgegeben haben.

Beispiel: Wer ein Konto bei Bank Eins und ein zweites Konto bei Bank Zwei eröffnet, soll beide künftig über einen dritten Anbieter gemeinsam verwalten und analysieren können.

Fintechs als Plattformbetreiber oder Kontoinformationsdienst dürfen beide Konten verknüpfen. Statt auf die Homepage der Bank gelangt der Kunde über die App des Drittanbieters in sein Konto. Darüber hinaus wird es mit Zahlauslösediensten neue Spieler auf dem Bezahlmarkt geben. Sie alle dürfen laut PSD2-Richtlinie auf das Konto des Kunden zugreifen und mit seiner Genehmigung nutzen.

Thomas Sontheimer blickt schon mal etwas voraus. Er ist Geschäftsführer im Bereich Finanzdienstleistungen beim Berater Accenture und skizziert, was unter der neuen Richtlinie künftig möglich ist.

Angenommen, ein Kunde hat Konten bei drei verschiedenen Banken. Bei einer Onlinebestellung will er eine Rechnung über 100 Euro zahlen. „Dann wäre es möglich, dass ihm dafür künftig drei Optionen zur Abwicklung angeboten werden, eine von jeder seiner Banken. Wenn nun eine Bank für die Überweisung einen Euro Gebühr verlangt, und die andere nur 50 Cent, wird es zu mehr Wettbewerb unter den Banken und geringeren Kosten für Kunden führen.“ Noch, sagt Sontheimer, sei eine solche Entwicklung aber nicht absehbar.

Wie Sie beweisen, dass es Ihr Konto ist

Wer anderen Zugriff auf sein Konto gewährt, muss sicher sein, dass es dennoch gut geschützt ist. Und so fordert die Zahlungsrichtlinie besondere Sicherheitsmaßnahmen.

Für Apple-Nutzer dürfte die Entwicklung zwar eher kalter Kaffee sein, sich etwa mit dem eigenen Fingerabdruck zu identifizieren. Nutzer des neuesten iPhone X können nun sogar ihr Gesicht zur Freischaltung des eigenen Telefons nutzen. Doch für Bankkunden ist all das noch Zukunftsmusik.

Sicherheit im Onlinebanking

Sie wählen sich meist mit einer Persönlichen Identifikationsnummer (PIN) im Onlinekonto ein und bestätigen ihre Überweisungen mit einer Transaktionsnummer (TAN). Die kann von einer Liste auf Papier stammen, sogenannte iTANs, von einem Tan-Generator oder einer Nachricht auf dem Handy (mTAN).

Bislang stand es Banken und Kunden weitgehend offen, mit welcher TAN-Variante sie eine Zahlung auslösen.  Ab Januar gibt es strenge Vorschriften für die sogenannte „starke Kundenauthentifizierung“:

Beim Zugriff auf sein Geld muss der Kunden mindestens zwei von drei Merkmalen erfüllen: Wissen, Besitz und Inhärenz.  Die Inhärenz, also etwas das der Nutzer ist, wäre beispielsweise über einen Fingerabdruckscanner nachweisbar. Die PIN zählt zum Merkmal Wissen, Besitz wäre ein TAN-Generator.

TAN-Listen jedoch sind unter der neuen Richtlinie nicht mehr möglich. In Deutschland sind sie ohnehin schon Auslaufmodell, seit die Finanzaufsicht BaFin 2015 höhere Anforderungen an die Sicherheit bei Onlinezahlungen forderte. Die letzten Nutzer von Tan-Listen müssten sich spätestens im Januar von ihren Papierbögen verabschieden. Eigentlich. Denn für die Einführung der neuen Sicherheitsanforderungen gilt eine Übergangsfrist von 18 Monaten.

Nur wer kleine Summen zahlt, unter 30 Euro, kann das künftig ohne die sichere Identifizierung machen.

Und Kunden ohne Onlinebanking? Müssen auch sie von ihrer Bank mit TAN-Generatoren ausgestattet werden, um künftig bei Onlinebestellungen noch mit ihrer IBAN zahlen zu können?

Nein, denn die sogenannten Sepa-Lastschriften sind von der Richtlinie ausgenommen. Damit gewähren Bankkunden dem Shop eine Ermächtigung zur Abbuchung des fälligen Rechnungsbetrages.

Neu ist auch, dass Kunden wohl nicht nur bei Überweisungen ein zweites Sicherheitsmerkmal benötigen. Künftig soll die starke Authentifizierung nach Vorgaben der Richtlinie mit zwei Merkmalen auch beim Zugriff auf das Onlinekonto angewendet werden. Ob und wie das im Detail umgesetzt wird, ist derzeit noch nicht klar.

Haftungsgrenze sinkt

Wird das Konto trotz der starken Sicherungsmerkmale geknackt, können Kunden weiterhin auf Unterstützung durch ihre Bank hoffen. Auch dann, wenn Beträge ohne ihre Genehmigung abgebucht werden, bleiben sie üblicherweise nicht auf dem Schaden sitzen. Bislang konnten Banken ihre Kunden mit maximal 150 Euro am Schaden beteiligen. Diese Summe sinkt nun auf 50 Euro.

Kommt jetzt die Flut neuer Anbieter?

Bedeutet die Umsetzung der Richtlinie für Kunden, dass sie im Januar nun von haufenweise neuen Digitaldienstleistern umgarnt werden? Eher nicht, sagt Sontheimer. „Es gibt schon so viele Drittdienstleister auf dem deutschen Markt, ich glaube nicht, dass im kommenden Jahr eine Flut neuer Anbieter auf die Kunden zukommt“, sagt Sontheimer.

Vielmehr stelle sich für die Bankbranche derzeit noch die Frage, wie sie die Daten der Kunden nutzbar machen können. „Bislang gibt es keinen akzeptierten gemeinsamen technischen Standard, wie Banken die Kontodaten mit anderen Anbietern über die sogenannten APIs teilen“, sagt Sontheimer. „Das hemmt viele Finanzinstitute noch, neue Dienstleistungen anzubieten und zu entwickeln.“

Auch die in Deutschland bereits etablierten Anbieter tun sich schwer, Kunden von ihrem Dienst zu überzeugen. Über den Zahldienstleister Sofortüberweisung wickelten deutsche Kunden bislang etwa nur gut zwei Prozent ihrer Zahlungen für Onlinebestellungen ab. Über Paypal floss dagegen bei 18 Prozent der Zahlungen das Geld.

Warum die Nutzer kaum auf Sofort Überweisung setzen: Anders als bei Paypal, wo Nutzer nur ihre Kontodaten hinterlegen, müssen sie Sofortüberweisung mit Zugangsnummer und Login-Passwort direkten Zugriff auf ihr Konto geben.

Doch damit haben die meisten Bankkunden bislang gegen die Geschäftsbedingungen ihrer Hausbank verstoßen. Die fordert nämlich von ihnen: Teile die Zugangsdaten nicht mit Dritten.

Nach Ansicht des Bundesgerichtshofs ist diese Forderung völlig berechtigt. Er entschied im Sommer, dass Onlinehändler Sofortüberweisung deshalb nicht als einzige kostenlose Zahlmöglichkeit anbieten dürfen. 

Nach gut einem halben Jahr wird diese Entscheidung ab dem 13. Januar hinfällig sein. Dann ist die Weitergabe der Daten an andere Finanzdienstleister völlig legitim. Und so fluten gerade neue Geschäftsbedingungen der Banken die Postfächer von deutschen Bankkunden. Entsprechende Passagen, die die Weitergabe der Daten verbieten, können so drastisch nicht mehr formuliert werden. Ob sie ganz wegfallen können, ist aber noch nicht klar.

Das Start-up Numbrs aus der Schweiz managt und verknüpft mit seiner App bereits die Bankdaten der Nutzer; nach eigenen Angaben allein in Deutschland 1,5 Millionen Konten. So können die Nutzer gemeinsam angeordnet die Buchungen ihrer verschiedenen Konten kontrollieren, oder sich die Ausgaben aller Konten auswerten lassen.

Wer die App installiert und seine Konten verknüpft, erklärte sich bislang ausdrücklich damit einverstanden, nicht gegen die Bedingungen seiner Hausbank zu verstoßen. Dass diese Erklärung im Januar komplett wegfällt, konnte Numbrs im November 2017 noch nicht bestätigen, weil die gesetzlichen Richtlinien für PSD2 nicht definitiv feststehen. Man werde sich aber streng an den gesetzlichen Richtlinien orientieren.

Welche neuen Dienste auf die Kunden warten

Ein weiteres Problem: Nicht nur Kunden müssen sehr genau prüfen, welchem Drittanbieter sie vertrauen. Auch die Banken müssen bewerten können, welchem Drittanbieter sie Zugang zu ihren Daten genehmigen. Das Start-up Numbrs war Ende 2017 noch dabei, die erforderliche Lizenz zu erwerben und wollte damit pünktlich zum Stichtag im Januar an den Start gehen.

„Noch fehlt ein Register, das alle zertifizierten Drittanbieter auflistet“, sagt Sontheimer.  Es müsse auch eine Regelung gefunden werden, wie mit Anbietern umgegangen wird, die Daten über die neuen Richtlinien hinaus missbrauchen.

Bislang saßen Banken allein auf einem Datenschatz, den sie kaum nutzten. Nun kann dieser Schatz gehoben werden. Ob von Banken selbst, oder Drittdienstleistern wie den Start-ups, das ist offen.

Banken drohen herbe Einbußen

Eine Studie der Unternehmensberatung Roland Berger kommt zu dem Schluss, dass deutschen Banken durch die Konkurrenz neuer Dienstleister bis zu 40 Prozent der Einnahmen im Privatkundengeschäft verloren gehen könnten.

Dabei haben sie es selbst in der Hand, den Kunden neue digitale Angebote zu machen. Berater Thomas Sontheimer von Accenture hat mit seinem Team Bankmanager gefragt, was sie für Veränderungen erwarten, wenn die neue Zahlungsrichtlinie greift.

Sie erwarten vor allem, dass Zahlungen künftig anders abgewickelt werden. 50 Prozent der 100 befragten Manager weltweit hielten Zahlungsabwicklung für den Bereich, der am stärksten betroffen sein wird. Elf Prozent glauben, dass insbesondere neue Dienstleistungen etabliert werden, die sich völlig von dem unterscheiden, was bislang für Bankkunden geboten wird.

Die Mehrheit der Manager überlegt deshalb im kommenden Jahr vor allem in Geschäftsfelder zu investieren, die auf den Daten von Konten und Zahlungen basieren.

Für manche Bankkunden mag das eine grauenhafte Vorstellung sein. Gezwungen, seine Kontodaten weiterzugeben, ist durch die neue Richtlinie aber niemand.

Für andere könnte die neue Zahlungsrichtlinie dagegen der Start in ein völlig neues Finanzerlebnis sein. Selbst, wenn zuvor die Lektüre von fingerdicken Papierstapeln auf sie wartet: Den neuen Geschäftsbedingungen der Banken.

© Handelsblatt GmbH – Alle Rechte vorbehalten. Nutzungsrechte erwerben?
Zur Startseite
-0%1%2%3%4%5%6%7%8%9%10%11%12%13%14%15%16%17%18%19%20%21%22%23%24%25%26%27%28%29%30%31%32%33%34%35%36%37%38%39%40%41%42%43%44%45%46%47%48%49%50%51%52%53%54%55%56%57%58%59%60%61%62%63%64%65%66%67%68%69%70%71%72%73%74%75%76%77%78%79%80%81%82%83%84%85%86%87%88%89%90%91%92%93%94%95%96%97%98%99%100%