Droht im kommenden Januar das Ende des Bankgeheimnisses?

Grafik: TP

Kryptowährungen versprechen auch künftig den Schutz der Anonymität bei Geldgeschäften

Bis zum 13. Januar 2018 muss die Zahlungsdienste-Richtlinie 2 (Payment Services Directive 2 / PSD2) der EU in nationales Recht umgesetzt werden. Die PSD2 löst die Zahlungsdienste-Richtlinie (2007/64/EG) PSD vom 13. November 2007 ab. Artikel 109 enthält jedoch Übergangsregelungen für bestimmte Unternehmen, die etwas länger Zeit haben, die neuen Vorschriften anzuwenden. Die Umsetzungsanforderungen für gewisse IT-Sicherheitsmaßnahmen werden auf europäischer Ebene definiert und dann frühestens im Juli 2018 anwendbar sein.

Vor mehr als zwei Jahren, am 8. Oktober 2015 verabschiedete das Europäische Parlament den von der Europäischen Kommission vorgelegten Vorschlag zur Schaffung sichererer und innovativerer europäischer Zahlungen. Eine Woche danach wurde der Vorschlag vom Rat der Europäischen Union verabschiedet. Die neuen Regeln sollen darauf abzielen, die Verbraucher besser zu schützen, wenn sie online bezahlen. Zudem sollen die Entwicklung und Nutzung innovativer Online- und Mobilfunkzahlungen gefördert und die grenzüberschreitenden europäischen Zahlungsdienste sicherer gemacht werden.

Mit der EU-Zahlungsdienste-Richtlinie PSD2 soll vor allem die Position von sogenannten Finanz-Start-ups gestärkt werden. Die Richtlinie will die Banken dazu verpflichten, für Drittparteien, welche beispielsweise personalisierte Finanzplanungstools wie Robo-Advisor für Spar- oder Anlagemöglichkeiten anbieten, eine Schnittstelle bereitzustellen, welche diesen Anbietern den Zugriff auf die Kontoinformationen der Bankkunden bietet.

Unter dem Begriff Robo-Advisor werden Computerprogramme verstanden, welche das Vermögen von Bankkunden verwalten. Die Verwaltung funktioniert ohne jeden persönlichen Kontakt und basiert auf größtenteils automatisierten Prozessen. Falls die eingesetzten Algorithmen Fehler aufweisen, dürfte dem Kunden der Nachweis nicht so leicht fallen.

Das Gesetz zur Umsetzung der Zweiten Zahlungsdiensterichtlinie

Die deutsche Umsetzung der EU-Richtlinie vom 17. Juli 2017 trägt den schlichten Namen Gesetz zur Umsetzung der Zweiten Zahlungsdiensterichtlinie und wurde am 21. Juli 2017 im Bundesgesetzblatt veröffentlicht.

Bislang ringen die neuen Dienstleister und die klassischen Banken noch um die korrekte Auslegung der Richtlinie. Da stellt sich in erster Linie die Frage, wie die Dienstleister auf Kundendaten zugreifen dürfen. Die Banken beharren darauf, dass sie künftig nur noch Daten über die neue speziellen Schnittstellen und nicht mehr direkt übers Onlinebanking zugänglich machen müssen.

Auch scheinen datenschutzrechtliche Aspekte beim Zugriff externer Dienstleister noch nicht geklärt zu sein. In der Praxis müssen die Banken von ihren Kunden vorab die Erlaubnis zum Weitergeben ihrer Kontendetails einfordern, um nicht gegen die Datenschutzrichtlinien zu verstoßen. Wer dann beispielsweise bei einem Missbrauch der Kundendaten durch einen Dienstleister haftet, scheint noch nicht geklärt zu sein.

Mit der Umsetzung der Verpflichtung zur Bereitstellung der Schnittstelle für Dritte besteht für die kontoführenden Banken die Möglichkeit, sich auf ihr traditionelles Kerngeschäft zu konzentrieren und neue, digitalisierte Produkte auf Dritte auszulagern. In der Praxis geht man davon aus, dass in erster Linie sogenannte Fintechs, also Finanzdienstleister wie die bekannten Dienste Paypal und Sofortüberweisung die künftig bereitzustellende Schnittstelle nutzen werden.

Die Kunden können entscheiden, welche Daten ihre Bank für Dritte freigeben darf. Ob er auch im Detail entscheiden kann, für welchen Dienstleister die Daten freigegeben werden, scheint derzeit noch nicht geklärt zu sein und somit besteht das Risiko, dass Kunden, die den Zugriff der Dienstleister auf seine Kontodaten nicht freigibt, dann möglicherweise auch Paypal nicht mehr nutzen kann.

Bei Online-Kartenzahlungen darf künftig die bei der Buchung von Mietwagen oder Hotel üblichen Reservierung nur noch mit ausdrücklicher Zustimmung des Kontoinhabers erfolgen. Wer Opfer eines Missbrauchs von Bank- oder Kreditkarte oder von Lastschriften, bzw, beim Online-Banking, haftet künftig bis zur Sperrung des Kontos oder der Karte nur noch mit 50 Euro. Bislang betrug die Haftung das Dreifache. Und bei Fehlleitungen einer Überweisung oder Zahlung sind die Banken künftig verpflichtet, alle verfügbaren Informationen über den fälschlichen Empfänger einer Überweisung dem Kunden zu übermitteln. Der Kunde muss dies allerdings schriftlich bei seiner Bank beantragen.

Haben jetzt auch die Finanzverwaltungen Einblick in die Kontodaten?

Der Einblick der Finanzverwaltung in die Kontodaten hängt nicht mit der PSD2 zusammen, wie dies derzeit oftmals behauptet wird. Diese Möglichkeiten haben die deutschen Finanzverwaltungen schon seit dem 25. Juni 2017. Seither können die Steuerbehörden von Banken die Offenlegung der Konten ihrer Kunden einfordern. Diese Regelung geht jetzt nicht auf die EU zurück, sondern basiert auf dem im Jahre 2014 zwischen allen OECD- und G20-Ländern vereinbarten automatischen Austausch von Steuerinformationen. 97 Länder (http://www.oecd.org/ctp/exchange-of-tax-information/MCAA-Signatories.pdf) haben bis zum 13. Dezember 2017 erklärt, wann sie mit dem Informationsaustauch in Steuersachen beginnen wollen.

Kryptowährungen wollen vor dem Hintergrund der staatlichen Auskunftsberechtigung hinsichtlich der Kontodaten jetzt für mehr Privatsphäre und Anonymität sorgen. Ob man damit das Risiko, bei einem Steuervergehen ertappt zu werden, gegen das Risiko tauschen will, sein in einer Kryptowährung angelegtes Geld ganz zu verlieren, muss jeder für sich alleine entscheiden. (Christoph Jehle)