Die neuen Regeln für das Zahlen starten: Was sich alles ändert

Die neuen Regeln für das Zahlen starten: Was sich alles ändert

Online zahlen wird nun unter anderm komplizierter, wenn auch noch sicherer

Am 14. September 2019 geht es los. Dann tritt die neue Zahlungsrichtlinie PSD2 in Kraft. Beim Zahlen ändert sich damit einiges und die Banken müssen sich für Drittanbieter öffnen. Die neuen Regeln, die Ausnahmen und praktische Tipps.

So ganz nachvollziehbar ist sie nicht, die Überraschung, die sich in diesen Tagen da und dort breitmacht. Verabschiedet wurde die überarbeitete Zahlungsdiensterichtlinie (meist knapp PSD2) vom EU-Rat bereits 2015; und sie gilt auch bereits. Die PSD2 ist ein europäisches Regelwerk, das von den einzelnen Staaten in nationale Gesetze "übersetzt" wird und auch in Österreich bereits mit dem Zahlungsdienstegesetz (ZaDiG) 2018 in Kraft getreten ist. Was ist die Idee hinter den neuen Regeln? Das elektronische Bezahlen sowohl online als auch mobil sicherer zu machen und dem digitalen Binnenmarkt in Europa einen Schritt näher zu kommen, in dem Finanzinstitute ihre Kundendaten mit Drittanbietern teilen müssen.

Was sich für Verbraucher ändert
Unmittelbar bemerken werden die Verbraucher vor allem die obligatorische neue "starke Kundenauthentifizierung": Sie werden spätestens ab Mitte September beim Onlinebanking oder beim Onlineeinkauf gebeten werden, einen weiteren Nachweis ihrer Identität zu erbringen. Das kann ein zusätzliches Passwort, ein Fingerabdruck oder eine andere Sicherheitsroutine sein (siehe Kasten rechts). Die Banken haben diese Richtlinie bis zum 14. September verpflichtend umzusetzen und die meisten lösen das mit einem neuen TAN-Verfahren: Dabei werden über die jeweilige Bank-App sogenannte pushTANs für den einzelnen Bezahlvorgang generiert, teilweise gibt es auch noch SMS-TANs (u. a. bei Bank Austria oder easybank). Diese TAN tippt der Benutzer ein und gibt damit grünes Licht.


Was sich Online-Händler ändert, die ihren Kunden elektronische Zahlung anbieten
Die neuen Sicherheitsvorschriften zur doppelten Authentifizierung müssen auch sie berücksichtigen und umsetzen, ursprünglich ebenfalls zum 14. September. Da es bei der Umsetzung vielerorts noch hakt, hat die Wirtschaftskammer einen Umsetzungsaufschub bei der lokalen Aufsichtsbehörde Finanzmarktaufsicht erwirkt. Hoteliersverband, Neos und viele Händler haben sich dafür starkgemacht. Auf wie lange, das verhandelt die FMA gerade mit der Europäischen Bankenaufsicht (EBA) bis Ende September. Noch nicht bereit sind vor allem viele kleine Händler, die sich entweder noch gar nicht damit befasst haben oder deren Bezahldienstleister noch keine technische Lösung bereitstellen konnten. Der Wiener Anwalt Bernd Fletzberger, ein ausgewiesener Experte für den Finanzbereich, rät verunsicherten Unternehmern erst einmal, Ruhe zu bewahren: "Der Dunst rund um die PSD2 legt sich erst langsam, und vor allem kleinere Händler haben die technische und rechtliche Expertise meist nicht im Haus."

Hürden am Weg zur virtuellen Kassa sind schlecht für´s Geschäft
Sein Rat hat einen handfesten Grund, denn das Mehr an Sicherheit wirkt sich gerade im E-Commerce negativ auf die Conversion-Rate aus. Vereinfacht gesagt: Wer am Weg zur virtuellen Kasse neue Hürden bekommt, bricht den Einkauf eher ab. Wer keine bequeme Lösung hat, verliert Kunden. Große E-Commerce-Händler wie Zalando holen sich die zweite Zustimmung etwa, indem sie den Kunden bei Kreditkartenzahlung kurz auf die App der Hausbank umleiten und dort das finale Go einholen. Vor allem für kleinere Händler könnte die Richtlinie aber auch ein guter Anlass sein, um ihre Transaktionen prinzipiell zu hinterfragen. Robert Macho, PSD2-Experte und Geschäftsführer von FinReg Consulting, warnt, dass viele kleine oder mittelgroße Unternehmen bei ihren Geldtransaktionen oft keine ehrliche Vollkostenbetrachtung haben: "Wenn ich einen Dienstleister habe, der mir die Sicherheit der Zahlungen garantiert und dafür haftet, ist das viel wert. Das in die Hände von Profis zu legen ist meist günstiger, als Betrug oder Zahlungsausfälle selbst managen zu müssen."

Unter 30 Euro keine Extra-Sicherheitmaßnahmen
Für die zusätzlichen Sicherheitsanforderungen gibt es allerdings auch Ausnahmen: Bei Beträgen unter 30 Euro im E-Commerce sind sie nicht erforderlich, und Zahlungen bis zu 500 Euro können als "risikoarm" eingestuft werden. Zudem gibt es für die Kunden die Möglichkeit, bei ihrer Bank oder ihrem Bezahldienstleister eine Reihe von Händlern bzw. Lieferanten in einer sogenannten Whitelist zu hinterlegen, die diese Authentifizierung dann nicht durchlaufen müssen. Ausnahmen sind auch für das B2B-Geschäft oder regelmäßige Zahlungen (etwa Abos) vorgesehen. Fletzberger sagt: "Gerade auch bei den Ausnahmen besteht noch viel Rechtsunsicherheit. Nicht verrückt machen lassen ist das Gebot der Stunde. Dennoch sollte man qualifizierten Rat einholen."

Wer auf die Daten der Hausbank zugreifen darf
Auf einen Aspekt der PSD2 haben sich die Banken wohl am wenigsten gefreut -sie müssen mit September ihre Kundendaten mit Drittanbietern "teilen". Das darf allerdings nicht ohne die explizite Zustimmung des Kunden passieren, und die Daten dürfen auch nicht x-beliebigen Dienstleistern ausgehändigt werden. Das Prinzip der Datensouveränität (der Kunde bleibt der König seiner Daten) gilt unter allen Umständen. Technisch ist der Vorgang so gestaltet, dass die Banken eine technische Schnittstelle (eine API) zur Verfügung stellen müssen, über die Dritte auf die Daten zugreifen dürfen.

Was Drittanbieter benötigen
Solche Drittdienstleister wie App-Entwickler benötigen eine Konzession bzw. Registrierung bei der zuständigen Aufsichtsbehörde, in Österreich die FMA. Sie müssen sich zudem als vertrauenswürdig zertifizieren lassen: In Österreich passiert das u. a. über die A-Trust, die solche QWACs-Zertifikate erteilt. Bei diesem Thema tut sich ein natürliches "Spannungsfeld zum Datenschutzrecht" auf, wie Anwalt Fletzberger das nennt. "Was hier zulässig ist und was möglich ist, darüber gibt es noch viele juristische Debatten." Er bringt ein Beispiel: "Ein Drittdienstleister darf die Daten nicht für andere Zwecke verwenden." Wie weit dieses Verbot ausgelegt wird, ist noch nicht ausjudiziert.

Welche Finanzdienstleiter Zugang erhalten
Drei Arten von Finanzdienstleistern dürfen diese neuen Schnittstellen zu Bank nutzen: Kontoinformationsdienstleister (das sind typische Finanz-Apps); Zahlungsauslösedienstleister (u. a. Sofortüberweisung) oder Drittkartenemittenten (Kundenkarten mit Bezahlfunktion, gibt es derzeit in Österreich noch nicht). Diese Anbieter müssen sich bei der FMA oder einer anderen EWR-Behörde eine Konzession dafür holen.

Konflikte sind vorprogrammiert
Die Zahlungsdiensterichtlinie (PSD2) hat eine natürliche Schnittmenge mit dem Datenschutz. Und die Finanzindustrie operiert natürlich mit ganz besonders sensiblen Daten. Damit sind Konflikte praktisch vorprogrammiert. Auch bei der nationalen Datenschutzbehörde rechnet man damit, sich künftig stärker mit der Finanzbranche beschäftigen zu müssen. "Wenn sich die Bankgeschäfte zunehmend ins Internet verlagern, erhöht sich das Potenzial für Anfälligkeiten technischer oder menschlicher Natur", sagt der stellvertretende Leiter der österreichischen Datenschutzbehörde, Matthias Schmidl. "Wir sehen das auch daran, dass wir seit der DSGVO häufiger Data Breach Notifications, also Meldungen von den Banken bekommen, wenn bei Sicherheitsvorfällen personenbezogene Daten betroffen sind."

Worauf die EU beim Datenschutz wert legt
Der Europäische Datenschutzausschuss hat in einer Stellungnahme bereits betont, dass beim Open Banking die nach der DSGVO geltenden Prinzipien "Datenminimierung" und "Zweckbindung" unbedingt einzuhalten sind, die Drittdienstleister also nur jene Daten bekommen und verarbeiten sollen, die für die Erbringung des jeweiligen Services erforderlich sind. Das ist insofern relevant, als dass Drittdienstleister oft mehr Einblick in die jeweilige Finanzsituation haben als die Hausbank, wenn der Kunde seine kompletten Finanzen in einer App konsolidiert.


Brisanz birgt auch das Thema der technischen Sicherheit, die bei allen Datenübergaben und an sämtlichen Schnittstellen gewährleistet sein muss. Künftig dürfen auch Unternehmen aus dem Ausland - so sie von der lokalen Aufsichtsbehörde (in Österreich der FMA) zugelassen sind - auf die Daten bei der Hausbank zugreifen. Sie müssen vom Kunden jeweils die explizite Zustimmung dafür bekommen. Ein generelles Opt-out, wo Bankkunden Drittanbieter generell vom Zugriff sperren lassen können, wie etwa in Italien, ist in Österreich nicht vorgesehen.


So soll Zahlen sicherer werden:
Zwei von drei Faktoren müssen abgedeckt sein.
Wissen: Etwas, das nur die zahlende Person weiß, wie zum Beispiel ein Passwort.
Besitz: Etwas, das nur die zahlende Person hat, wie zum Beispiel eine Karte, die mittels Kartenlesegerät eingelesen wird, oder ein Handy, auf dem ein TAN-Code empfangen wird.
Inhärenz: Etwas, das nur die zahlende Person ist, wie zum Beispiel ein Fingerabdruck oder Gesichtsscan.
Änderungen im Onlinebanking: Der SMS-TAN ist bald Geschichte. Kunden bekommen über die Banken-Apps (s Identity, Erste; Raiffeisen-ELBA; klar-App, Bawag; Mobile Banking, Bank Austria) nun pushTANs, mit denen sie ihre Zahlungen freigeben.

Nach dem blockchainsummitaustria im Frühjahr (Bild) findet am 22. Oktober das Blockchain Finance Forum #BFF19 in Wien statt.

Digital

Blockchain Finance Forum: Blockchain für die Finanzprofis

Wirtschaft

Bilfinger will als Prozessoptimierer Austro-Firmen sparen helfen

Kommentar
Sascha Lindner, Leiter Change Management Horváth & Partners, München

Management Commentary

Datenbasierte Unternehmenskultur als Erfolgsfaktor

Digital

Produktionsbetriebe vor Cyberattacken schützen