Genervt von der PSD2? Sie sind nicht Allein!

PSD2 Regeln

Die PSD2 Regeln sind Wahnsinn und lösen ein Problem, das so nie existierte. Sinnlose und nicht aus Kundensicht gedachte Anforderungen verkomplizieren fast alle Banking-Prozesse.  Im Endeffekt hat der Regulator sowohl den heimischen Banken als auch dem gerade entstehenden FinTech-Ökosystem im Wettbewerb mit „Big Tech“ einen Bärendienst erwiesen. Wie konnte es nur soweit kommen? Und was können Sie als Verbraucher tun?

Eine Kolumne von Wolfram Stacklies

Uns erreichen aktuell regelmäßig Anfragen wie diese. Die Kunden können nicht verstehen, warum auf einmal Alles so kompliziert sein muss. Sie verstehen nicht, warum Sie bis zu 6 TANs eingeben müssen, um ihre Konten in einen Finanzmanager zu importieren. Sie verstehen nicht, warum Ihre Kontodaten auf einmal nicht mehr aktuell sind. Und sie verlieren sich in der Komplexität der einzelnen TAN-Verfahren.

 

Trostpflaster: Sie sind nicht Allein!

Die technisch undurchdachten Vorschriften führen quer durch alle Medien (wie z.B. Spiegel Online) und Kundengruppen zu einer Reaktion zwischen Erstaunen und Stirnrunzeln. Im Folgenden ein Beitrag des Chaos-Computer-Clubs, der die Probleme gut darstellt.

 

Wie konnte es soweit kommen?

Der PSD2 liegen zwei Ideen zugrunde. Banking sollte sicherer werden und gleichzeitig sollen Banken offener werden. Dies soll neue und innovative Dienstleistungen ermöglichen. Dummerweise ist Banking heute eher weniger offen als zuvor und speziell der Sicherheitsaspekt ist völlig aus dem Ruder gelaufen.

Ursache der Forderung nach mehr Sicherheit waren Betrugsfälle im Bereich Kreditkarten. Die Kreditkarte ist ein System aus den 60er Jahren und somit tatsächlich anfällig für Betrug. Eine naheliegende Lösung wäre gewesen, ein schrittweises Ersetzen der veralteten Technik durch neue Bezahlmethoden analog PayPal, Google Pay und Co. zu erzwingen. Diese vereinen Komfort mit höchster Sicherheit.

Leider entschied sich Europa für einen typisch europäischen Weg. Man entschied sich gegen Innovation und für eine Bevormundung der Verbraucher. Gegen Innovation war die Entscheidung, die hoffnungslos veraltete Kreditkarten-Technik sicherer zu machen, indem ein zweiter Authentifizierungs-Faktor eingefordert wird. Soweit so gut – ich persönlich bezahle ohnehin fast nur noch mit PayPal, oft in Kombination mit Google Pay; macht also was Ihr wollt.

Eine üble Bevormundung war hingegen die Regel, eine TAN Eingabe nun auch noch für LESENDEN Zugriff auf Bankdaten zu verlangen. Die Auswirkungen dieser Beschränkung sind drastisch und werfen Open Banking in Europa um mehrere Jahre zurück.

 

Ein komplexe Lösung für ein Problem, das es nicht gibt

Wie funktionierte Online-Banking bisher? Man loggt sich ein und kann seine Daten einsehen oder abrufen. Will man eine Überweisung ausführen oder wichtige Daten ändern, so benötigt man eine TAN zur Bestätigung. Jeder Techniker und Verbraucher würde zustimmen, dass dies ein sinnvolles Vorgehen ist. Das Verfahren ist einfach, komfortabel und sicher. Zudem ermöglicht dieses Verfahren es dem Verbraucher, Konto-Aggregationsdienste sicher zu nutzen. Diese können seine Daten auf Wunsch dann automatisch aktuell halten. Es war gut, es funktionierte und es bestand vor Allem absolut kein Handlungsbedarf.

Aber halt – sind Verbraucher nicht unmündig, ein bisschen fett und ein bisschen doof und natürlich vor sich selbst zu schützen? Wäre es nicht super, wenn man ihnen gleich verbieten würde, ihre Daten einzusehen? Da können sie wenigstens nichts falschmachen…. Ganz so weit wollte man dann doch nicht gehen. Aber man hat vorgeschrieben, dass Verbraucher Ihre Daten nur begrenzt freigeben können. Und dass ständig stark authentifiziert werden muss. Und dass die ganze Ochsentour nach spätestens 3 Monaten von vorne anfängt. Man hat aber keine Verfahren definiert, die auch für Drittanbieter gut funktionieren. Und man hat übersehen, dass die neuen Regeln ein ganzes bestehendes Ökosystem umwerfen.

 

Der TAN Wahnsinn

Und was bedeutet das nun konkret? Konkret sind Sie in der „TAN-Hölle“. Nehmen wir einmal an, Sie haben ein Girokonto, ein Depot und eine Kreditkarte bei der DKB. Um Ihre Daten in einen Finanzmanager zu importieren müssen Sie folgende Schritte ausführen.

  • Girokonto: kommt über die PSD2 Schnittstelle. Sie müssen den Daten-Import nach Weiterleitung auf eine Seite der Bank mit Login und 2-facher (!) TAN Eingabe bestätigen.
  • Depot: kommt über die traditionelle FinTS Schnittstelle (die PSD2 gilt nur für Girokonten). Sie müssen den Daten-Import im Finanzmanager mit Online-Banking Login und 2-facher (!) TAN Eingabe bestätigen.
  • Kreditkarte: kommt über eine Web-Scraping Schnittstelle. Sie müssen den Daten-Import mit Online-Banking Login und 2-facher (!) TAN Eingabe bestätigen.

Im Endeffekt haben Sie sich jetzt 3 mal eingeloggt und 6 TANs eingegeben. Wenn nichts schiefgegangen ist. Nur um Ihre Daten einzulesen. Nein, nicht die Daten zum iranischen Atomprogramm. Sondern Ihre Konto-Transkationen. Also sowas wie „Windeln bei DM für 7,99“. Wow!

 

Sie sind genervt? Wir auch!

Wenn das der europäische Weg ist Innovation zu fördern, dann würde ich Ihnen raten: Kaufen Sie sich einen Sack voll Stroh. Der wird in 10 Jahren bestimmt an Wert gewinnen. Nämlich dann, wenn die europäische Wirtschaft in erster Linie noch daraus besteht, Strohhüte für chinesische Konsumenten zu flechten.

Aber ernsthaft: schreiben Sie Ihrer Bank. Schreiben Sie an Ihren Abgeordneten im Bundestag und im Europaparlament. Bitten Sie darum, die sinnvollen Regeln beizubehalten und gleichzeitig den Wahnsinn zu stoppen. Alternativ freunden Sie sich bitte mit dem Gedanken an, Ihr Konto entweder bei Facebook, Google oder der chinesischen Alipay zu eröffnen. Natürlich ohne Datenschutz, aber dafür kundenfreundlich und innovativ.

 

Eine Kolumne von Wolfram Stacklies – CTO der Rentablo GmbH

 

 

Kurz und Knapp

Was soll die PSD2 erreichen?

Der PSD2 liegen zwei Ideen zugrunde. Banking sollte sicherer werden und gleichzeitig sollen Banken offener werden. Dies soll neue und innovative Dienstleistungen ermöglichen.

Warum gibt es Probleme bei der Umsetzung?

Speziell der Sicherheitsaspekt ist völlig aus dem Ruder gelaufen. Es wurden Regeln definiert, die technisch kaum umsetzbar und aus Benutzersicht völlig unverständlich sind. Dadurch ist Banking heute eher weniger offen als zuvor.

Was haben sich Startups von der PSD2 erhofft?

Startups – im Fachjargon Drittanbieter genannt – möchten Ihren Nutzer bankähnliche Dienstleistungen bieten, ohne selbst eine Bank zu sein. Hierzu benötigen sie Schnittstellen zu den Banken. Die PSD2 sollte die Anbindung an die Banken über moderne Schnittstellen erleichtern.

Warum muss ich nun ständig eine TAN eingeben?

Der Gesetzgeber (auf europäischer Ebene) hat vorgeschrieben, dass Verbraucher Ihre Daten nur begrenzt freigeben können. Und dass ständig stark authentifiziert werden muss. Und dass die ganze Ochsentour nach spätestens 3 Monaten von vorne anfängt. Man hat aber keine Verfahren definiert, die auch für Drittanbieter gut funktionieren. Leider hat man dabei übersehen, dass die neuen Regeln ein ganzes bestehendes Ökosystem umwerfen.

2 Kommentare

  • So schlimm sehe ich das gar nicht mit der DKB.

    Auf dem Iphone kommt eine Push, kurz per FaceId angemeldet und Transaktion bestätigen.
    Das Konto braucht nur alle X Tage bestätigt werden. Die Visa pro Verbindung.

    Aber wenn ihr wirklich die Hölle sehen wollt… schaut euch Consors an. 😉

    Antworten
  • Vielen Dank für diesen tollen und richtigen Beitrag. Ich empfinde es aus Verbraucherschicht als ein absoluten bürokratischen Aufwand und sehe ebenfalls große Nachteile für neue Fintech Gründungen und technologische Weiterentwicklung.

    Antworten

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

Nach oben