© JUNGE FREIHEIT Verlag GmbH & Co. KG  www.jungefreiheit.de 34/19 / 16. August 2019

Etwas mehr Sicherheit für den gläsernen Bürger
Geldverkehr: Nach dem Iban-Zwang kommt nun die EU-Zahlungsdiensterichtlinie PSD2 / Papierlisten mit Tan-Nummern bald ungültig
Marc Schmidt

Vor fünf Jahren wurde den Deutschen die Iban zwangverordnet – Kontonummer und Bankleitzahl hatten dank EU-Verordnung ausgedient. Die 22stellige Internationale Bankkontonummer hilft sicher beim Gedächtnistraining, aber „international“ ist sie keineswegs. Nur Europa macht bei der Iban bislang fast vollständig mit. Die Türkei, Israel und einige arabische, südamerikanische oder westafrikanische Länder überlegen noch. Die globale Mehrheit – darunter die USA, Kanada, Mexiko, China, Indien, Japan, Rußland und Australien – bleibt bei ihren nationalen Kontensystemen.

Jährliche Schadenssumme von 1,3 Milliarden Euro?

Dennoch läßt Brüssel nicht locker: Seit Januar 2018 gilt die EU-Zahlungsdiensterichtlinie PSD2, die den elektronischen Überweisungsverkehr stark verändert. Ab 14. September muß sie in Deutschland endgültig umgesetzt werden. Ziel sei, die Schadenssumme von 1,3 Milliarden Euro beim Bezahlen mit gestohlenen Kreditkartendaten im Onlinehandel zu senken. Fachverbände schätzen, daß bereits jeder achte Internetkunde Opfer von Betrügern geworden ist, teilweise ohne es zu bemerken. Daher wird es nun für jeden Bezahlvorgang zwingend, sich mit zwei von drei Merkmalen aus den Bereichen Wissen, Besitz und Persönlichkeitsmerkmal (Inhärenz) zu identifizieren.

Die gute Nachricht lautet: Beim Kauf im Laden ändert sich zunächst nichts. Bei Bezahlung mit Karte und Pin sind die vorgeschriebenen beiden Merkmale erfüllt. Bei kontaktlosem Zahlen wird spätestens bei jedem sechsten Vorgang oder bei einer Gesamtsumme von mehr als 150 Euro die Pin abgefragt, danach sind wieder fünf Zahlungen kontaktlos möglich – was die Barzahlung wieder attraktiver macht. Große wie kleine Onlinehändler werden aber künftig nicht mehr die bisherige Bezahlung per EC- oder Kreditkarte ohne zusätzliche Identifikationsstufe verwenden können.

Alle Daten auf der Karte könnten kopiert oder gestohlen sein, was bis heute auch das häufigste Betrugsschema darstellt. Trotz der verbleibenden kurzen Zeit ist noch nicht klar, ob es hier bei den verbreiteten Kreditkarten ein zusätzliches Pin-Verfahren geben und dieses seitens der Händler Akzeptanz finden wird. Grundsätzlich gibt es beim Bezahlen im Internet auch zukünftig die Möglichkeit, Paypal oder Klarna (JF 24/19) einzusetzen. Damit diese im Sinne der EU-Richtlinie arbeiten können, muß der Kunde diese Bezahldienste ermächtigen, von der Bank oder dem Kreditkartenanbieter, falls dieser von der Bank abweicht, alle Daten zum Konto zu erhalten. Paypal, Klarna & Co. sehen also zukünftig alle Umsätze eines Kontos, das der Kunde ihm mitteilt.

Dafür kann er gegenüber der Bank als im zweistufigen Verfahren identifizierter Kunde auftreten und die Zahlung auslösen. Der schwedische Bezahldienst Klarna hat bereits eine Schnittstelle für Banken und Finanzdienstleister eröffnet, die das Bezahlen des Händlers auf der Homepage für 99 Prozent der Bankkunden und Konten ermöglicht. Wer das nicht will, ist darauf angewiesen, daß der Onlinehändler weitere Verfahren wie Lieferung auf Rechnung anbietet. Während sich für Onlinehändler, Kreditkartenanbieter und Bezahldienstleister noch keine dominierenden Verfahren der Bezahlung abzeichnen, verhält es sich bei den Bankgeschäften im Internet anders.

Wer lediglich seinen Kontostand oder Umsätze prüfen will, wird bei fast allen Kreditinstituten auch in Zukunft nur seine bekannten Login-Daten verwenden müssen. Für Überweisungen wird jedoch eine für die eingegebenen Daten spezifische zusätzliche Identifikation erforderlich. Dies bedeutet, daß die bisher immer noch oft verwendeten Papierlisten mit Tan-Nummern ab dem 14. September für alltägliche Bankgeschäfte ihre Gültigkeit verlieren. Für den Kunden stehen grundsätzlich drei Verfahren zur Auswahl, von denen die Banken und Sparkassen stets mindestens zwei anbieten. Kunden können eine bankspezifische Smartphone-App nutzen, um die nötige Tan zu erhalten. Die Anmeldung zur App kann mit dem Fingerabdruck am Handy erfolgen. Wer die App nutzt, kann zudem auf den Computer verzichten. Allerdings erfordern beide Systeme einen Internetzugang, wobei es unwahrscheinlich ist, Onlinebanking an einem Computer durchzuführen und zugleich kein Internet auf dem Handy zu haben. Ohne Internetverbindung funktioniert die Tan-Übermittlung per SMS, wobei die SMS dann auch die Daten der Transaktion zur Prüfung enthält.

Die dritte Methode nutzt ein zusätzliches Lesegerät, in das die Karte der Bank eingeschoben wird. Zum Abschluß der Überweisung liest der Chip-Tan-Generator, welcher seitens der Banken für 30 Euro erhältlich ist, aus einer optischen Anzeige die Tan aus, die der Kunde nach Bestätigung der Überweisungsdaten vom Gerät in den Computer abtippen kann. Immerhin: Da die optischen Verfahren standardisiert sind, muß nicht für jede Bank oder jedes Konto ein eigenes Lesegerät besorgt werden.

Die neue Richtlinie ist ein weiterer Versuch der EU, ein Problem zu lösen, das die Bürger nicht bewegt hat. Schäden aus Datendiebstahl und Kreditkartenbetrug blieben in der Vergangenheit nur in Ausnahmefällen am Kunden hängen. Nun wird Alltägliches komplizierter, analog zum Bürokratiemonster der Datenschutzverordnung. Niemand in Europa wird sich den neuen Regeln völlig entziehen können. Gleichwohl ist es auch in Zukunft möglich, Überweisungsträger bei der Bank abzugeben, bar zu zahlen oder Dinge auf Rechnung zu kaufen. In der Praxis werden die Bürger die neuen Verfahren wohl genauso hinnehmen wie die Iban und die Einführung des Euro.

Zweite EU-Zahlungsdiensterichtlinie (PSD2):  bankenverband.de/