Die Geldhäuser ändern ihre Geschäftsbedingungen. Irritierend wirkt der Hinweis, Online-Bezahldienste könnten bestimmte Kontodaten abfragen. Wir erläutern, was das bedeutet – und was die EU-Zahlungsdiensterichtlinie PSD II sonst noch bringt.

Korrespondenten: Barbara Schäder (bsa)

 
Wer bekommt meine Daten und warum?
Sieht man von Hackerangriffen und Betrugsversuchen ab, werden die Bankdaten nur mit Einwilligung des Kunden zugänglich gemacht. Beispiele dafür gibt es schon länger: Wer etwa beim Einkauf im Internet die Bezahlmethode Sofortüberweisung wählt, wird zur Eingabe seiner Log-in-Daten fürs Online-Banking aufgefordert. Mit diesen Daten kann dann Sofort – also der Anbieter dieses Bezahlsystems – auf das Bankkonto zugreifen und die Zahlung auslösen. Ein anderes Beispiel: Wer eine Multi-Banking-App nutzt, um den Überblick über Konten bei verschiedenen Geldhäusern zu behalten, gewährt dem Anbieter dieser App natürlich ebenfalls einen Einblick.
Warum dann jetzt neue Banken-AGB?

Bislang sind die oben beschriebenen Zugriffe auf das Bankkonto nicht gesetzlich geregelt. Die Banken wurden aber vom Bundeskartellamt dazu vergattert, von ihren Kunden beauftragten Dritten Einblick in ihre Kontodaten zu gewähren. Andernfalls würden innovative Bezahldienste behindert, die den Bedürfnissen von Online-Händlern und deren Kunden entgegenkämen, argumentierte das Kartellamt. Im Januar tritt nun das deutsche Begleitgesetz zur EU-Zahlungsdiensterichtlinie PSD II in Kraft, das klare Verhältnisse schaffen soll. Deshalb nehmen die Banken die Hinweise auf den Datenaustausch in ihre Geschäftsbedingungen auf.

Welchen Mehrwert bringt das neue Gesetz?
Zunächst einmal werden die neuen Anbieter der Finanzaufsicht Bafin unterstellt. Bezahldienstleister wie Sofort, offiziell „Zahlungsauslösedienstleister“ genannt, müssen bei der Bafin eine Erlaubnis beantragen und dafür unter anderem ein Startkapital von 50 000 Euro vorweisen. Neben einem Geschäftsplan müssen Zahlungsauslösedienstleister außerdem eine Sicherheitsstrategie präsentieren, die Auskunft über den Umgang mit sensiblen Kundendaten gibt. Geringer sind die Hürden für „Kontoinformationsdienstleister“, also Anbieter etwa von Kontostands-Apps: Hier genügt eine Registrierung bei der Bafin. Beide Gruppen müssen zudem eine Berufshaftpflichtversicherung vorweisen. Anbieter, die bereits im Markt sind, müssen diese Auflagen spätestens Mitte 2019 erfüllen.
Wie ist der Datentransfer geregelt?
Die Kreditinstitute streben bei Online-Bezahldienstleistern eine Einschränkung des Datenzugriffs an. „Heute kann es leider passieren, dass – wenn Sie bei bestimmten bankfremden Online-Bezahldienstleistern PIN und TAN eingeben – die auch nach anderen Informationen schauen können“, sagt Matthias Hönisch, Zahlungsverkehrsexperte beim Bund der Volks- und Raiffeisenbanken (BVR). „Unser Zielbild ist, dass Zahlungsauslösedienste nur die für die Transaktion nötigen Daten bekommen.“ Allerdings müssen dafür neue Schnittstellen für den Datenaustausch gebaut w erden, die frühestens Ende 2018 fertig sein dürften. Ein Grund für diese Verzögerung: Die genauen technischen Vorschriften für den Datentransfer werden erst Ende dieses Monats von der EU-Bankenaufsicht EBA veröffentlicht. Danach hat die Finanzbranche 18 Monate Zeit, den Datenaustausch auf eine neue technische Grundlage zu stellen.
Bis dahin kann ein Online-Bezahldienst also mein Konto einsehen?
Das bleibt erst einmal möglich, jedenfalls wenn der Kunde bei dem Bezahldienst seine Log-in-Daten fürs Online-Banking eingibt. Das Gleiche gilt natürlich für Kontoinformationsdienstleister, deren Angebot ja gerade darin besteht, Daten von verschiedenen Banken zusammenzubringen. Übrigens bieten viele Geldhäuser selbst an, über ihre Apps auch Fremdkonten zu verwalten. Denn auch für die Banken ist es natürlich interessant, möglichst viel über die finanziellen Verhältnisse ihrer Kunden zu erfahren. Der Nutzung dieser Informationen seien allerdings Grenzen gesetzt, sagt BVR-Experte Hönisch: „Wenn eine Auswertung geplant ist, etwa um dem Kunden bestimmte Dienstleistungen anzubieten, muss dafür vorab dessen Zustimmung eingeholt werden.“ Fazit: Wer eine Multi-Banking-App herunterlädt, egal ob von einem Kreditinstitut oder einem alternativen Anbieter, sollte die Hinweise auf die Verwendung der Daten genau durchlesen.
Was passiert bei Datenklau?
Werden Bankdaten im Netz geklaut und etwa für betrügerische Überweisungen missbraucht, so können Verbraucher in der Regel problemlos eine Rückabwicklung verlangen. Dasselbe gilt beim Missbrauch gestohlener Bezahlkarten. Bislang mussten die Kunden aber für Schäden von bis zu 150 Euro selbst haften, wenn sie beispielsweise versäumt hatten, ihr Online-Konto oder eine verlorene Karte rechtzeitig sperren zu lassen. Diese Schadenbeteiligung sinkt jetzt auf 50 Euro. Lediglich bei grober Fahrlässigkeit oder Vorsatz haften Bankkunden unbegrenzt.
Was ändert sich noch?
Gebühren für Kartenzahlungen und Sepa-Überweisungen werden verboten. Für die meisten Transaktionen gilt das in Deutschland bereits, bei einigen Kreditkartenzahlungen fallen aber noch Gebühren an. Konkret galt dies bislang für Kreditkarten in sogenannten Drei-Parteien-Systemen, unter den großen Anbietern gehört dazu American Express. Der Verbraucherschutzverband VZBV begrüßte das Verbot.