Interview mit Frank Hefner zur PSD 2

Bitte beachten Sie auch die aktuellen Hinweise unterhalb des Videos!

Zum Zeitpunkt der Ausstrahlung des Interviews war noch nicht abschließend geregelt, in welchem konkreten Maße die Internetdienste-Anbieter infolge von PSD 2 Zugriff auf die Bankkonten erhalten sollen.

Bis zum 27.11.2017 war davon auszugehen, dass Daten direkt über das Onlinebanking abgefragt werden können. Dieses maschinelle Datenauslese-Verfahren (Fachjargon: "Screen Scraping") wird schon seit geraumer Zeit von Zahlungsauslösedienstleistern und FinTechs genutzt, die z.B. Apps für die Verwaltung mehrerer Konten anbieten. Durch Screen Scraping werden auch Informationen sichtbar, die für den Zahlungsvorgang eigentlich gar nicht gebraucht werden.

Wohl gemerkt: Diese eben beschriebenen Internetdienste haben nichts mit der erst ab dem 13.1.2018 in Kraft tretenden Zahlungsdiensterichtlinie PSD 2 zu tun. Vielmehr wird das Bankgeheimnis in den bisher bereits praktizierten Digitalangeboten dadurch gelüftet, dass die Bankkunden den Internetanbietern durch Weitergabe des Kennworts den Zugang zu ihrem Online-Konto gewähren - wie es z.B. beim Online-Shopping der Fall ist, wenn der Kunde die Bezahlvariante "Sofortüberweisung" wählt.

Bisher war aber zu befürchten, dass das oben beschriebene Screen Scraping dasjenige technische Verfahren sei, dass auch für PSD 2-Schnittstelle zur Anwendung kommen solle.
Bis zuletzt wurde jedoch hinter den Kulissen zwischen der europäischen Bankenaufsicht EBA (European Banking Authority) und der Europäischen Kommission über die genaue Auslegung der PSD 2-Regeln diskutiert. Mit dem Ergebnis, dass am 27.11. 2017 nun endlich die technischen Standards, die die Banken bei der Einrichtung der PSD 2-Schnittstelle für Dritte zu beachten haben, veröffentlicht wurden. Und zwar mit dem auch von der Fachwelt unerwarteten Ergebnis, dass die EU-Kommission nun doch den Bedenken der Banken hinsichtlich Datenschutz stärker Rechnung getragen hat:

Die Banken müssen die Hintertür des oben beschriebenen "Screen Scrapings" nur noch dann für Dritte offen halten, wenn sie die Aufsichtsbehörden nicht davon überzeugen können, dass jene Schnittstelle, die sie nun nach der gestrigen Veröffentlichung der offiziellen Standards programmieren können, den Anforderungen entspricht.

Etwas konkreter ausgedrückt heißt das, dass die Banken wider Erwarten nun doch die Art und Weise des Zugriffs Dritter auf die Kundenkonten einschränken und damit den "gläsernen Kunden" einen Schritt weit verhindern können.

Details können wir Ihnen aufgrund der kurzen Frist seit der gestrigen* Veröffentlichung (* Stand 27.11.2017) der technischen Standards leider noch nicht nennen.

Mit Sicherheit können wir aber sagen, dass

  • die Zahlungsvarianten "Rechnung" und "Sepa-Lastschrift" im Internet weiterhin bedenkenlos genutzt werden können, da sie von der neuen Zahlungsdiensterichtlinie PSD 2 überhaupt nicht betroffen sind.
  • die Kreditkartenzahlung zumindest eine Zwitterlösung darstellt, da hier zwar Zugriff auf Daten des Kreditkartenkontos, nicht aber auf das dahinter liegende Bankkonto möglich ist.

Vgl. zu diesem Thema auch z.B. Frankfurter Allgemeine Zeitung vom 28.11.2017