c't 21/2019
S. 54
News
PSD2

PSD2 jetzt Alltag

Neue Zahlungsdiensterichtlinie weitgehend umgesetzt

Die deutschen Banken und Sparkassen haben ihre Online-Zugänge erfolgreich auf die neuen Anforderungen des Gesetzgebers umgestellt. Die wenigen Probleme dabei wurden schnell gelöst oder liegen im Detail.

Auch Umsatzabfragen müssen zukünftig mit einer Zwei-Faktor-Authentifizierung abgesichert sein, wenn der Zeitraum länger als 90 Tage zurückreicht.

Spätestens am 14. September mussten die deutschen Kredithäuser ihre Zugänge zum Online-Banking an die Anforderungen der Zweiten Europäischen Zahlungsdiensterichtlinie (PSD2) angepasst haben. Experten und informierte Verbraucher hatten den neuen Alltag mit einiger Spannung erwartet.

Die meisten Kunden bekamen von der Umstellung wenig mit, abgesehen von der neuen Zwei-Faktor-Authentifizierung beim Login. Diese schreibt die PSD2 im Rahmen der sogenannten Starken Kundenauthentifizierung (SCA) für den Zugriff auf Zahlungskonten vor, in der Praxis also Girokonten und Kreditkartenkonten. Genau wie bei Überweisungen fragt die Bank künftig zwei Faktoren ab, die aus zwei der drei Kategorien Wissen (etwa PIN oder Passwort), Besitz (etwa Bankkarte oder Mobiltelefon) und Inhärenz (biologische Merkmale wie etwa Fingerabdruck oder Iris) stammen müssen. In der Praxis läuft dies fast immer auf PIN oder Passwort plus TAN hinaus.

Nur „wenige Ruckler“

Wie eine Umfrage innerhalb der c’t-Redaktion ergab, bemerkten Kunden von Volks- und Raiffeisenbanken sowie der Sparkassen oft nicht einmal die SCA beim Login: Ihre Institute nutzen eine Ausnahmeregelung, nach der eine SCA nur alle 90 Tage erforderlich ist [1]. Als Stichtag dafür setzten sie das letzte Login vor dem 14. September. Kunden, die nach dem Login länger als 90 Tage zurückliegende Umsätze abfragen wollten, mussten aber wie vom Gesetzgeber vorgesehen eine TAN übermitteln. Anderswo, etwa bei der comdirect, erfolgte die erste Abfrage hingegen mit dem ersten Login nach dem 14. September. Sie fragt zudem auch dann, wenn man kein Zahlungs-, sondern etwa nur ein Sparkonto führt.

Die Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) erklärte gegenüber der dpa, die Lage sei trotz einzelner Schwierigkeiten „bis auf die wenigen Ruckler ruhig“. Zufrieden äußerten sich auch der Deutsche Sparkassen- und Giroverband, der Bundesverband der Volks- und Raiffeisenbanken sowie mehrere große Privatbanken, darunter die Deutsche Bank. Ähnlich sahen es in der internen Blitzumfrage viele c’t-Redakteure.

Größere Probleme hatten in der Woche vor dem 14. September vor allem Kunden der Postbank. Laut dpa war der Kontozugriff zeitweise nicht möglich; zudem seien die Hotlines überlastet gewesen. Ein Sprecher bestätigte dpa die Probleme, verortete sie aber nicht im technischen Bereich; die Überlastung der Hotline führte er auf Streiks zurück. Auch zahlreiche Kunden der Commerzbank hatten nach der Umstellung vorübergehend Probleme bei der Anmeldung. Die Hotline war genau wie bei der Tochter comdirect zwischenzeitlich stark frequentiert und kaum erreichbar.

Zeitweise Schwierigkeiten gab es zudem bei Multibanking-Anwendungen. So hatten wir zunächst Probleme, ein Tagesgeldkonto der comdirect in die Apps und Weboberflächen von Volksbanken und Sparkassen zu integrieren. Die comdirect erklärte gegenüber c’t, ihr seien keine solchen Probleme bekannt. Der Bundesverband der Volks- und Raiffeisenbanken verwies allgemein auf unterschiedliche Interpretationen bei einzelnen FinTS-Schnittstellen, der Deutsche Sparkassen- und Giroverband wollte angesichts der Komplexität Probleme ebenfalls nicht grundsätzlich ausschließen. Auch der Homebankingsoftware-Hersteller Buhl Data schrieb im Support-Forum, dass die vollständige Anbindung einiger Banken noch andauere.

Online-Handel

Eigentlich sollte bei Zahlungen mit Kreditkarten, PayPal und anderen Online-Bezahlarten ab dem 14. September ebenfalls ein zweiter Faktor abgefragt werden. Die Europäische Bankenaufsicht hatte den nationalen Aufsichtsbehörden auf Bitte des Handels jedoch im Juni freigestellt, ob sie diese Vorschrift bereits durchsetzen wollen. Von dieser Regelung macht unter anderem die BaFin Gebrauch. Eine neue Deadline steht weiterhin aus [2]. Ein stichprobenartiger Test der c’t-Redaktion ergab, dass kaum ein Händler die Zwei-Faktor-Abfrage bereits aktiviert hat – nicht einmal Zalando, das mit der Umstellung im Backend nach eigenen Angaben schon vor Wochen fertig war. Hier bleibt für die Kunden bis auf Weiteres also fast alles beim Alten. (mon@ct.de)

Kommentare lesen (2 Beiträge)