Berlin, 25.06.2019 – Listen mit TAN-Nummern auf Papier gehören bald endgültig der Vergangenheit an; bei der Zahlung mit Kreditkarte müssen Kunden künftig zwei Nachweise erbringen, dass sie der rechtmäßige Besitzer der Karte sind. Und Drittanbieter können künftig leichter über Schnittstellen auf Bankdaten zugreifen - sofern der Kunde zugestimmt hat. Der Grund für diese Änderungen: Ab 14. September dieses Jahres treten weitere Regeln der Bankenrichtlinie PSD2 in Kraft. Der gemeinnützige Verbraucher-Ratgeber Finanztip hat die Richtlinie unter die Lupe genommen und erklärt, was auf Bankkunden zukommt.
Verbraucher müssen künftig jede elektronische Zahlung zweifach anweisen, zum Beispiel beim Bezahlen mit Kreditkarte im Internet. Für die sogenannte starke Kundenauthentifizierung ist eine Kombination aus Wissen (z. B. Passwort), Besitz (Kreditkarte oder Smartphone) sowie Verhalten und persönlichen Merkmalen (Fingerabdruck) vorgeschrieben. „Ausnahmeregeln zum einfacheren Bezahlen können bei kleinen Summen unter 30 Euro oder risikoarmen Zahlungen gelten“, erklärt Josefine Lietzau, Bankexpertin bei Finanztip. „Wer einem Händler vertraut, kann das seiner Bank mitteilen und den Anbieter auf eine sogenannte Whitelist setzen – das senkt womöglich die Zahl der doppelten Authentifizierungen.“
Doppelter Nachweis bei Kreditkartenzahlung
Bei Zahlungen mit Kreditkarte reicht zukünftig nicht mehr die Kartennummer aus; es wird zusätzlich ein zweiter Nachweis, beispielsweise eine PIN-Nummer abgefragt. Die Banken setzen diese Vorgabe in der Regel über das sogenannte 3D-Secure-Verfahren um. Lietzau: „Das 3D-Secure-Verfahren soll die Zahlungen sicherer machen, da geprüft wird, ob der Zahlende tatsächlich der Besitzer der eingesetzten Karte ist.“ Tipp: Bereits seit einigen Monaten muss das Zahlen mit Kreditkarte im Internet kostenlos sein. Verlangt ein Anbieter trotzdem noch Gebühren, können Verbraucher ihn bei den Marktwächtern der Verbraucherzentralen melden.
Gedruckte TAN-Listen verschwinden
Banken dürfen laut der neuen Richtlinie das sogenannte iTAN-Verfahren – die gedruckten Listen mit TAN-Nummern – nicht mehr anbieten. „Eine TAN muss künftig in dem Moment generiert werden, in dem eine Zahlung ausgelöst wird“, sagt Lietzau. Bei einigen Verfahren ist das bereits gegeben: Als am sichersten gilt die HBCI-Variante mit Lesegerät und Chipkarte, bei der die Überweisung verschlüsselt an die Bank gesendet wird. Die bequemste Variante ist für viele Verbraucher das push-TAN-Verfahren, bei der die TAN aufs Smartphone gesendet wird und in der App automatisch in die Maske für Überweisungen eingetragen wird.
Drittanbieter können mit Kundenerlaubnis auf Bankdaten zugreifen
Die Bankenrichtlinie schafft außerdem neue Möglichkeiten für Verbraucher: „Banken müssen künftig Schnittstellen bereitstellen, über die Drittanbieter auf die Daten der Kunden zugreifen können“, weiß Lietzau. Diese Öffnung der Banken soll Innovationen ermöglichen. „Wer beispielsweise eine App als Haushaltsbuch nutzen möchte, kann dem Anbieter Einsicht in die Kontoabbuchungen geben und muss nicht selbst alle Kostenpunkte in die App eintippen.“ Die Drittanbieter werden von der Bafin und der Bankenaufsicht kontrolliert und zugelassen.