Im Rahmen der Zahlungsdienste-Richtlinie PSD2 können Verbraucher Drittanbietern Zugriff auf wesentliche Kontodaten gewähren - schaffen die Regeln tatsächlich mehr Freiheit, oder sind sie nur der nächste Schritt auf dem Weg zum gläsernen Verbraucher?
Zunächst muss der Verbraucher der Nutzung seiner Daten ausdrücklich zustimmen. Die Drittanbieter müssen zudem registrierte Zahlungsdienstleister sein und sich bei der Aufsichtsbehörde genehmigen lassen. Allerdings haben diese Drittanbieter mit Zustimmung der Nutzer, die Möglichkeit die Kontostände recht weit in die Vergangenheit hinein komplett auszulesen. Von Buchungstexten über die Betragshöhen bis zur etwaigen Dispo-Nutzung usw. Mit diesen Daten wollen die Anbieter intelligente Finanzdienstleitungen auf den Markt bringen. Verbraucher können einem Dienstleister etwa den Zugriff auf ihre Konten bei verschiedenen Bankhäuser gewähren, und der Dienstleister erstellt beispielsweise ein detailliertes Haushaltsbuch – mit Einnahmen und Ausgaben und eventuellen Optimierungspotenzialen. Das ist durchaus etwas Positives, weil der Kunde nun seine Daten über Bankgrenzen hinweg nutzen kann.

Die Bildzeitung hat allerdings getitelt: „Warum Ihre Kontodaten in höchster Gefahr sind“! Tatsächlich kann es natürlich sein, dass große Dienstleister wie etwa amerikanische Internet-Giganten in Besitz sehr vieler Daten kommen, weil sie auch zum Beispiel auch noch die E-Mail-Konten verwalten oder wissen, welche Bücher man kauft. Da besteht natürlich eine Gefahr einer unbedachten Zustimmung. Wer liest schon die AGB seiner Bank und aller möglichen Internetkonzerne?

Insofern ergeben sich aus den neuen Regeln Chancen und Gefahren. Da kann man nur an die Verbraucher appellieren, vorsichtig mit ihren Daten umzugehen.

Uneinigkeit gibt es noch über die technischen Schnittstellen. Wie sollten diese aus Ihrer Sicht gestaltet werden?
Das sogenannte „Screen Scraping“ ist eigentlich nicht der Stand der Technik. Auch die EU-Kommission und die Aufsichtsbehörden stehen dieser Technologie skeptisch gegenüber. Die Dienstleister, die solche Verfahren bereits nutzen, würden das gern auch weiter tun. Diese Methode ist allerdings für die Banken technisch nicht trivial, weil verschiedene Dienstleister über verschiedene Zugriffsrechte verfügen können. Deswegen bevorzugen die Banken und die Europäische Bankenaufsichtsbehörde EBA eine separate Schnittstelle. An diese Schnittstelle docken sich die zertifizierten Dienstleister an und dadurch ist klar, wer genau und wie auf die Daten zugreift.

Allerdings gibt es in Deutschland und Europa ein paar Tausend Banken. Wenn da jede eine eigene Schnittstelle programmiert, bedeutet das sehr viel Aufwand für die Kreditinstitute und Dienstleister. Umgekehrt haben aber die Banken auch ein Interesse an einheitlichen Standards, denn PSD2 eröffnet ja auch ihnen die Möglichkeit, innovative Dienstleistungen an den Markt zu bringen. Meines Erachtens wäre es am Sinnvollsten, wenn sich so viele Banken wie möglich zusammentun und eine möglichst einheitliche Schnittstelle bauen. So wie ich das sehe, passiert das gerade auch.

Die Richtline sieht auch strengere Sicherheitsregeln etwa für Kartenzahlungen im Netz vor – wie bewerten Sie diese Vorschriften?
Bislang ist es doch so – wenn Sie stationär mit einer Kreditkarte bezahlen, haben Sie eine sehr hohe Sicherheit. Sie brauchen die physische Karte und zumindest künftig auch eine PIN-Nummer, also ein Besitzmerkmal und ein Wissensmerkmal. Nun sagt die EU-Kommission, es kann doch nicht sein, dass wir so hohe Standards beim stationären Bezahlen haben, aber im Internet reicht z. B. eine E-Mail-Adresse und ein Passwort. Schauen Sie sich mal Ihre Kreditkarte an. Da stehen eine Nummer, ein Ablaufdatum und eine Prüfziffer drauf. Wenn Sie die Karte irgendjemanden geben und derjenige sich diese Zahlen merkt oder abschreibt, kann er unter Umständen mit Ihrer Karte schon im Netz bezahlen. Deswegen hat die EU-Kommission auch im Internet zwei von drei unabhängigen Merkmalen (Besitz, Wissen, Biometrie) zur Authentifizierung erforderlich gemacht. Da haben die Banken bei der Umsetzung noch etwas zu tun und es wird auch zulasten der Benutzerfreundlichkeit gehen. Aber den Spagat zwischen Sicherheit und Bequemlichkeit haben Sie oft im Leben.

Was sollte aus Ihrer Sicht künftig beim digitalen Zahlungsverkehr regulatorisch noch getan werden?
Bislang wurden alle Vereinheitlichungen, etwa auch bei der SEPA-Einführung, nur zwischen den Banken verbindlich geregelt. Die Banken haben nun fest definierte Austauschformate und Regelwerke. Die Schnittstelle von der Bank zum Kunden ist hingegen nicht reguliert. Im Sinne eines effizienten Zahlungsverkehrs wären auch standardisierte Schnittstellen zwischen Banken und Kunden sinnvoll. Ein Beispiel: In Deutschland können Unternehmen mittels einer Software einfach Zahlungen über die deutsche Schnittstelle einreichen oder auslösen. Mit dieser in der Software implementierten Protokoll kommt man schon in Österreich nicht weit, da die Schnittstelle leicht verändert ist.

Unterm Strich muss man allerdings sagen, dass wir in Europa einen der effizientesten Zahlungsverkehrsräume der Welt haben. Die Europäische Zentralbank fordert für die Zukunft ein europäisches Instantpayment – und die Banken folgen dieser Forderung. Dann können Überweisungen in Sekundenschnelle durch den gesamten SEPA-Raum erfolgen.