PSD II – Bargeldloses Bezahlen hätte so einfach sein können

Eigentlich hat es die EU mit ihrer Payment Service Directive II, kurz PSD II, nur gut gemeint. Onlinebanking soll sicherer werden, Kartenzahlungen auch. Für zahlreiche neue Marktteilnehmer sollte es rechtliche Grundlagen für ihr Handeln geben. Gemeint sind die FinTechs, Zahlungsauslösedienste und Kontoinformationsdienste. Aber wie es so ist, bereits bei der Gestaltung von PSD II spielte jeder gegen jeden, bei der Umsetzung wird es trotz Kooperationen nicht anders sein.

Das Wichtigste in Kürze

  • PSD II verlangt stärkere Authentifizierung bei bargeldlosen Bezahlprozessen.
  • Banken schaffen ab September TAN-Listen und SMS-TANs ab.
  • Die Umsetzung von PSD II für Kreditkartenzahlungen im Internet ist noch nicht geklärt.
  • Der Zwei-Faktor-Authentifizierung wird eigentlich bei vielen Zahlvorgängen schon Rechnung getragen.

PSD II wird bargeldloses Bezahlen verschlimmbessern

Zahlungsauslösedienste wie Sofort, früher bekannt als Sofortüberweisung, stellen für die Banken eine Konkurrenz in Bezug auf die Kundenbindung dar. Kontoinformationsdienste, die beispielsweise im Rahmen eines digitalen Kreditantrages auf das Konto des Kunden zwecks Bonitätsprüfung zugreifen, stellen ebenfalls eine Konkurrenz dar. Am meisten werden die Bankkunden durch PSD II jedoch beim alltäglichen Onlinebanking eingeschränkt. Sollte der bargeldlose Zahlungsverkehr doch eigentlich immer einfacher werden, Geld versenden per SMS oder E-Mail, erreicht PSD II leider das Gegenteil. Es wird komplizierter.

Bankenaufsicht bei Entwicklung übergangen

Es begann schon damit, dass Brüssel die Europäische Bankenaufsicht, EBA, wider den juristischen Vorgaben bei der Entwicklung von PSD II übergangen hatte und die Finanzindustrie vor vollendete Tatsachen stellte. Rücksprache mit den Betroffenen, die vielleicht tiefer in der Materie drin sind, als übereifrige Abgeordnete, wäre eventuell von Vorteil gewesen. Andererseits führt zu viel Praxiswissen nur zu einem Tunnelblick, der die Sicht auf das Wesentliche vereitelt. Aber was ist das Wesentliche? Regulieren?

Wissen – Besitzen – Persönliches

Bei den täglichen Geldgeschäften, sei es beim Online-Banking, sei es beim Bezahlen mit Kreditkarte im Internet, spielt künftig die Zwei-Faktor-Authentifizierung (2FA) eine entscheidende Rolle. Der Kunde muss sich künftig mit zwei voneinander unabhängigen Faktoren bei jeder Transaktion legitimieren. Diese Faktoren gliedern sich in

  • Wissen: Passwort oder PIN
  • Besitzen: Handy oder Karte
  • Persönliches: Fingerabdruckscanner oder Gesichtserkennung

Es ist also nichts mehr mit mal eben per PayPal Geld zu verschicken. Was sich als ein weiterer Weg zu mehr Einfachheit beim Bezahlen und „weg vom Bargeld“ anschickte, zu etablieren, wird jetzt in die graue Vorzeit zurückgeschossen. TAN-Listen gehören ab September der Vergangenheit an, Kunden werden gezwungen, auf andere Systeme umzusteigen. Bei der Postbank beispielsweise endet das mTAN-Verfahren am 11. September. Wer dies nicht wünschen, könne sein Konto jederzeit kündigen, so die Postbank. Wer der Änderung nicht explizit widerspricht, stimmt ihr automatisch zu 1. Dabei hätte der TAN-Versand per SMS durchaus in den Rahmen der 2FA gepasst.

Banken halten sich zum künftigen Vorgehen bedeckt

Die Postbank war übrigens eine von vielen Banken, die wir im Rahmen dieses Artikels angeschrieben hatten, um zu erfahren, wie das Institut den Umgang mit PSD II handhaben wird. Leider steht die direkte Antwort, wie bei den meisten noch aus. Lediglich die Deutsche Bank verwies auf ihre Webseite, die Frankfurter Volksbank konnte sich nicht äußern, da das Thema zentral abgearbeitet würde 2.

mTAN war eigentlich ein System, welches die 2FA-Ansprüche erfüllte. Allerdings ist der TAN-Generator der Postbank kostenpflichtig – war die Deutsche Bank-Tochter auf der Suche nach einer zusätzlichen Einnahmequelle?

Was passiert bei PayPal, Kreditkarten und Co.?

Gute Frage. Ab dem 15. September 2019 greift die „Strong Customer Authentification“ auch beim Onlinebezahlen mit Kreditkarte. Genügte bislang die Eingabe der Kartennummer und der Prüfziffer, bedarf es jetzt eines weiteren Sicherheitsmerkmals. VISA und MasterCard befinden sich noch in der Prüfungsphase, wie die 2FA aussehen soll. Eigentlich verfügt der Kunde für das bargeldlose Bezahlen im Web auch hier über zwei Faktoren, die Karte und die PIN.

Angedacht ist eine „White List“ beim jeweiligen Onlineanbieter. Der Kunde muss sich nur einmal authentifizieren, und kann sich dann als „bekannter Kunde“ auf eine White List setzen lassen, die künftig ein einfacheres Prüfverfahren ermöglicht. Aber, wie bereits erwähnt, es ist alles noch in der Prüfungsphase.

Damit PSD II seinen Ansprüchen gerecht wird, darf das aber nicht ausreichend sein. Wenn schon neue bürokratische Hürden, dann richtig. Tatsache ist, dass Stand Juni 2019 viele Marktteilnehmer noch nicht wirklich auf das vorbereitet sind, was sie ab dem 14. September 2019 umsetzen müssen.

Bildnachweis

©gettyimages by Pe3check (902663726)

Quellen

  1. Postbank schaltet mTAN ab – vorruhestand.de
  2. Deutsche Bank und PSD II – die Kundeninformation

Weiterführende Informationen