Online-Banking

Freie-Software-Aktivisten kritisieren Umsetzung der EU-Zahlungsdiensterichtlinie

Laut EU-Gesetz müssen Banken von heute an 2-Faktor-Authentifizierung beim Anmelden im Online-Banking bereitstellen. Auch die Mechaniken des Bezahlens im Internet werden sich ändern.

Heute ist Stichtag zur EU-Zahlungsdiensterichtlinie. (Symbolbild) Gemeinfrei-ähnlich freigegeben durch unsplash.com Sharon McCutcheon

Im November 2015 verabschiedete der Rat der Europäischen Union die zweite Version der Payment Services Directive (PSD2). Die Überarbeitung, die nach Umsetzung in nationales Recht im März 2018 in Kraft trat, ändert die technischen Anforderungen für Online-Banking und Bezahlen im Internet. Mit dem heutigen Stichtag, 14. September 2019, sollen alle Banken für Privatkunden die neuen Standards umsetzen.

Fristaufschub für Kreditkartenzahlungen

Jedoch verschob die deutsche Bankenaufsicht Bafin die Frist für das Online-Bezahlen. Strenge Vorschriften wie die starke Kundenauthentifizierung, die in PSD2 enthalten ist, wären sonst nicht eingehalten. Lobbyisten für  die Online-Handelsbranche arbeiteten laut Handelsblatt auf diese Verschiebung hin. In anderen Ländern kam es zu ähnlichen Friständerungen.

Da die Frist zur Umsetzung in Bezug auf das Online-Banking blieb, mussten Banken ihre Anmelde- und Überweisungsvorgänge ändern und taten dies bereits in den meisten Fällen. Von nun an gilt Zwei-Faktor-Authentifizierung bei Privatkundenbanken: Die missbrauchsanfällige iTAN-Liste ist verboten, es bleiben appTAN, chipTAN, mTAN, photoTAN und pushTAN. Bei fast allen nun verfügbaren Mechanismen ist ein zweites Gerät als zweiter Faktor notwendig.

Kritik wegen Zwang zu proprietärer Software

Vertreter der Freien Software kritisieren insbesondere das so genannte appTAN-Verfahren. So sagt Bonnie Mehring von der Free Software Foundation Europe (FSFE) gegenüber netzpolitik.org:

Bisher konzentrieren sich die Banken im Rahmen der Umsetzung der PSD2-Richtlinie hauptsächlich auf die jeweils eigene proprietäre Banking-App. Dadurch werden Verbraucher:innen gezwungen, für das Bezahlen im Internet ein Smartphone oder Tablet mit proprietären App-Store von Apple oder Google zu verwenden.

Nutzer:innen, die nicht über einen der genannten App-Stores verfügen, sind somit ausgeschlossen. Vielmehr fordert die FSFE, „die Apps als Freie Software zu veröffentlichen, um den Verbrauchern den Zugang zu der Software, sowie die Kontrolle über diese zu ermöglichen und ihre Privatsphäre zu schützen.“ Eine solche Bedingung zur Freiheit der Software ist in PSD2 nicht vorgesehen.

9 Ergänzungen
  1. „Eine solche Bedingung zur Freiheit der Software ist in PSD2 nicht vorgesehen.“

    Überrrascht mich nicht. Jedes Unternehmen scheint hier seine eigenen Anforderungen zu defnineren. Für die einen ist m-tan noch ausreichend, die anderen hatten sie bisher nicht und führen sie auch gar nicht ein, sondern ausschließlich die photoTAN, wie z.B. Volkswagen Financial Services.
    Deren PhotoTAN App verlangt denn auch gleich dass man sein Android entrootet, wegen der Sicherheitsrisiken versteht sich, die von comdirect verlangt dies nicht, dafür aber den Zugriff auf die Telefonfunktionen.
    Aber natürlich schafft man seine AFWall und Adblocker ab nur weil die Bank das will oder lässt die Anruflisten auslesen. Der Trend geht zum alten Zweitsmartphone das entgegen dem gerooteten schon lange keine Updates mehr erhält. Immerhin bietet VWFS ein „Photo TAN Lesegerät“ für einmalig 25€ an, in meiner Warnehmung bisher die Einzigen.

    Schon alleine aber dass nicht einmal vorgesehen ist, zwei verschiedene Verfahren anbieten zu müssen pro Bank negiert für mich die Akzeptanz dieser Richtlinie.

    Mithin wirft dies auch die Frage nach dem generellen Sinn des PhotoTAN Vefahrens auf Android (und alten Apple) Geräten auf, hat sich die Situation der Android Stock ROM Sicherheitsupdates in den letzten Jahren so verbessert dass nicht mehr 50 % der Geräte in einem Jahr keine mehr kriegen?

    Zudem ist die Interpretation was die Speicherung von Auszügen angeht scheinbar sehr unterschiedlich, der eine Kreditkartenabieter löscht nach 90 Tagen alle und die anderen Bank hat weiterhin mit der 10 jährigen Speicherung keine Probleme, was sehr gut ist.

    1. „Zudem ist die Interpretation was die Speicherung von Auszügen angeht scheinbar sehr unterschiedlich, der eine Kreditkartenabieter löscht nach 90 Tagen alle und die anderen Bank hat weiterhin mit der 10 jährigen Speicherung keine Probleme, was sehr gut ist.“

      Dem Mann kann geholfen werden: Mit der PSD2-Richtline gilt eine einheitliche Speicherfrist – und zwar für alle Kontobewegungen bis 10 Jahre nach Ende der Geschäftsbeziehung.

      1. Es ist aber immer noch ein Unterschied, ob die Bank einfach nur verpflichtet ist, die Unterlagen bis zu 10 Jahre nach Kontoschließung aufzubewahren oder ob ich als Kunde die Kontoauszüge von bspw. 2011-2013 aktuell noch im Online-Banking-Portal herunterladen kann. Denn wenn man die nicht mehr hat und mit so einer Anfrage an eine Bank herantritt, heißt es oft (sinngemäß): „Klar, die können wir Ihnen per Post zusenden. Kostet 6,95 € pro ausgedruckter DIN-A4-Seite.“

        1. Exakt Heinz, deswegen stand da Auszüge.
          Ausgedacht hatte ich mir das nicht, wollte lediglich nicht noch durch Nennung einer zweiten Bank bei der ich Kunde bin meine Annonymität weiter gefährden. Steht mittlerweile auch fest, dass sie tatsächlich alle Auszüge <14.09.19 gelöscht haben.

          Das die Banken auch vor dieser PSD2 alle Kontobewegungen 10 Jahre lang speicherten, davon ging und gehe ich aus, muss ja jeder andere Unternehmer auch seine Geschätsunterlagen 10 Jahre lang für das Finanzamt aufbewahren.

          Ist wieder ein klassischer Fall von falsch verstandenem Datenschutz, meine eigenen Daten muss man vor mir selbst nicht schützen, insbesondere nicht solange andere noch darauf Zugriff haben.

  2. Der Satz „Die missbrauchsanfällige iTAN-Liste ist verboten“ stimmt auch nicht uneingeschränkt. Zum Beispiel heißt es in den FAQ der ING: „Wenn Sie kein Girokonto bei uns haben, sondern ein oder mehrere andere Produkte [gemeint sind: Tagesgeldkonten, Baufinanzierung oder Depot], brauchen Sie sich keine Gedanken zu machen: Sie können Ihre iTAN-Liste weiter wie gewohnt verwenden, um Aufträge freizugeben. Wir empfehlen Ihnen aber, bei Gelegenheit zu Banking to go zu wechseln.“ Man sieht also auch bei Produkten, die offenbar von PSD2 nicht betroffen sind, einen Drang zu den proprietären Apps.

  3. Was mir bisher noch keiner erklären konnte: Warum genau ist eine Papierliste, die bei mir im Schreibtisch liegt, weniger sicher, als eine App auf einem beim Durchschnittbürger völlig verseuchten Smartphone? Wenn jemand bei mir einbricht, merke ich das ja wenigstens, während auf meinem Smartphone bestimmt die eine oder andere Spyware mitlaufen kann, bevor ich das mitbekomme. Und des weiteren heißt das ja im Umkehrschluss, dass man ohne Smartphone auch nicht mehr sein darf – insbesondere musste ein Bekannter sich erst ein neues Smartphone kaufen, weil sein altes nicht neu genug war, um die photoTAN App installieren zu können. Oder man kauft sich ein Gerät, auch wieder kostenpflichtig. Mich beschleicht da das Gefühl, dass man mir mein Geld aus der Tasche ziehen will, für nichts und wieder nichts.

    1. Hallo Sophie, vielen Dank für Deinen Kommentar.

      Die Papierliste ist deswegen unsicher, weil sie statisch sind, sprich: Sie werden einmal generiert und nicht geändert. Chip-TANs beispielsweise sind dynamisch, das heißt sie werden für genau eine Transaktion generiert. (Wenn Dich das genauer interessiert, lass es Dir lieber nochmal von eine:r Informatiker:in erklären.) Letzteres ist seit PSD2 vorgegeben.

  4. Existieren inzwischen Erkenntnis, ob und in welchem Umfang ein Datenaustausch OHNE Zustimmung des Kunden stattfinden kann?

    Ist es ferner korrekt, dass der Kunde kein Widerspruchsrecht genießt, um den Zugriff durch „zertifizierte“ Dritte generell zu untersagen?

Ergänzung an Lennart Mühlenmeier Ergänzung abbrechen

Wir freuen uns auf Deine Anmerkungen, Fragen, Korrekturen und inhaltlichen Ergänzungen zum Artikel. Unsere Regeln zur Veröffentlichung von Ergänzungen findest Du unter netzpolitik.org/kommentare. Deine E-Mail-Adresse wird nicht veröffentlicht.