PSD2 — Die Mutter aller Probleme?

PSD2-Richtlinie

Einmal nicht nach­ge­dacht, schon ist es pas­siert. Meine erste Begeg­nung mit der neuen PSD2-Richt­linie lief alles andere als unpro­ble­ma­tisch. Pünkt­lich zur Ein­füh­rung der Ver­ord­nung am 14. Sep­tember besorgte ich mir ein neues Handy. Natür­lich mit neuer Ruf­nummer und ohne daran zu denken, welche Kon­se­quenzen das auf meinen Zugriff in mein Online-Ban­king haben könnte. Doch das hätte ich mir besser über­legt: fortan konnte ich mich nicht mehr in mein Online-Ban­king-Konto ein­loggen, denn das war logi­scher­weise mit der alten Nummer legi­ti­miert. Diese wie­derum konnte ich nicht ändern, weil ich auch dazu das TAN-Ver­fahren, wie gesagt, nur in Ver­bin­dung mit der alten Nummer nutzbar, ver­wenden musste. Ein Teu­fels­kreis­lauf begann, der schließ­lich dazu führte, dass mich meine Bank als Kundin verlor. So oder so ähn­lich geht es nicht nur mir oder einigen meiner Kol­legen im Büro, auch viele andere Bank­kunden kämpfen mit der neuen Richt­linie und fragen sich, warum denn schon wieder alles so kom­pli­ziert sein muss.

Zah­lungs­dienste… — was?

Einen guten Monat ist die Ein­füh­rung der Richt­linie nun her. Und doch hat ein Groß­teil der Ver­brau­cher keine Ahnung, was PSD2 über­haupt ist. Aus einer aktu­ellen Studie geht hervor, dass etwa 73 % der Deut­schen noch nie davon gehört oder zumin­dest keine Ahnung haben, was sich hinter dem Begriff verbirgt.

Zur Erin­ne­rung:
PSD2, das PSD steht für Pay­ment Ser­vices Direc­tive, oder zu deutsch: Zah­lungs­diens­te­richt­line. Erstes erklärtes Ziel der Maß­nahme: den Wett­be­werb unter den Banken und Anbie­tern von Finanz­dienst­leis­tungen stei­gern. Zudem sollen die Inno­va­tionen geför­dert werden. Diese beiden Punkte hängen unmit­telbar mit­ein­ander zusammen, denn wenn der Wett­be­werbs­druck steigt, dann steigt eben auch der Inno­va­ti­ons­druck. Zusätz­lich soll die Richt­linie aber auch dafür sorgen, dass die Sicher­heit im Zah­lungs­ver­kehr erhöht wird und neue Zah­lungs­dienst­leis­tungen geför­dert und ermög­licht werden.

All diese Maß­nahmen gingen mit erheb­li­chen Ände­rungen einher. Der ver­meint­lich größte Punkt: das Log­in­ver­fahren hat sich geän­dert. Mit der soge­nannten Zwei-Faktor-Authen­ti­sie­rung muss man sich nun auf zwei Arten legi­ti­mieren, um auf sein Konto zugreifen zu können. Das könnte, wie in meinem Fall, kom­pli­ziert geworden sein, wenn die pas­senden Geräte nicht pünkt­lich zur Ver­fü­gung standen.
Kurzum: durch PSD2 soll das Pro­ze­dere der Bank­ge­schäfte für den Ver­brau­cher bequemer und preis­werter geworden sein. So weit, so gut. Bisher ist davon aber wenig zu spüren.

Nichts als Ärger

Wäh­rend die Finanz­auf­sicht BaFin in der Umset­zung der neuen Sicher­heits­be­stim­mungen für das Online Ban­king keine nen­nens­werten Schwie­rig­keiten sieht, ist die Umstel­lung für viele Kunden ein ein­ziges Drama. Denn das Pro­blem ist, jede Bank hat die neue Rege­lung indi­vi­duell aus­ge­legt und for­dert von ihren Kunden unter­schied­liche Kom­bi­na­tionen der zwei Fak­toren. Bis vor einem Monat konnten Kunden das Online Ban­king bereits nutzen, wenn sie einen Benut­zer­namen und ein Pass­wort ange­legt hatten. Dieses Wissen gilt als Faktor 1. Durch die neue Richt­linie kam ein zweiter Faktor dazu: Das ist der Besitz – zum Bei­spiel eines Smart­phones mit einer App, die die TAN fürs Online­ban­king gene­riert. Viele Kunden bemän­geln, dass die Apps nicht richtig funk­tio­nieren. Über­haupt bedeutet das neue Ver­fahren einen Mehr­auf­wand für die Kunden – viele ärgern sich dar­über. Die Nutzer benö­tigen beim Abrufen ihrer Bank­konten bei jeder Bank neben ihrem PIN bzw. den Login-Daten, unter­schied­liche TAN-Gene­ra­toren, bio­me­tri­sche Ver­fahren oder Apps. Vor allem für Mul­ti­ban­king-Nutzer ist das ein großes Pro­blem: Zur Abfrage ihrer Umsätze oder Zah­lungs­aus­lö­sung direkt aus der App werden sie jedes Mal mit unter­schied­li­chen Authen­ti­fi­zie­rungs­an­for­de­rungen der Banken kon­fron­tiert. Als wäre das nicht genug, stehen die Kunden nun auch in gewisser weise unter Zeit­druck. Denn PSD2 schreibt eben unter anderem auch vor, dass der bis­he­rige Timeout von 15 Minuten stark redu­ziert wird. Ist man länger als fünf Minuten inaktiv, so wird man auto­ma­tisch aus­ge­loggt. Um diese Inak­ti­vität auf­zu­heben reicht es nicht, die Maus kurz zu bewegen, man muss etwas tun, das der Bank­server regis­triert, wie z.B. die Umsatz­an­zeige aufrufen.

Dritt­an­bieter schauen in die Röhre

Die PSD2-Richt­linie soll auch sicher­stellen, dass Dritt­an­bieter, natür­lich nach klar vor­ge­ge­benen Regeln, auf Kon­to­daten bei Banken zugreifen können. Vor­aus­ge­setzt, der Kunde stimmt dem ganzen zu. Die Regu­lierer wollten die Banken ver­pflichten, jedem lizen­sierten Dritt­dienst eine PSD2-Schnitt­stelle zur Ver­fü­gung zu stellen. Viele Fin­Tech- und Soft­ware­un­ter­nehmen erhofften sich dadurch die Eröff­nung einer ganz neuen Ära. Aber es kam anders. Die Dritt­dienste warfen einigen Banken vor, die neuen Schnitt­stellen so zu prä­pa­rieren, dass der Kon­to­zu­griff erschwert, statt erleich­tert wird. Um dem Chaos aus dem Weg zu gehen, ver­hängte die BaFin im aller­letzten Moment eine Art Gal­gen­frist. So bleiben die alten Schnitt­stellen erst einmal offen und die PSD2-Schnitt­stellen sollen dann nach und nach zum neuen Stan­dard werden. Eine akzep­table Lösung, möchte man meinen, doch für viele Akteure sieht die Welt seit dem 14. Sep­tember nicht mehr allzu rosig aus.
Viele Banken, Soft­ware- und Fin­Tech­un­ter­nehmen kämpfen mit vielen Pro­blemen und zahl­rei­chen unzu­frie­denen Kunden. Mal können die Bank­daten nicht abge­rufen werden, ein anderes mal können die Konten nicht syn­chro­ni­siert werden. Diese und viele ähn­liche Pro­bleme werden sich ver­mut­lich zeitnah lösen lassen, doch stellt sich die Frage: ist es dann für manche Anbieter schon zu spät?

In Zeiten, in denen die User Expe­ri­ence zu einem essen­ti­ellen Bestand­teil geworden ist und über Erfolg oder Miss­erfolg ganzer Unter­nehmen ent­scheiden kann, ist der Druck beson­ders hoch.

Die Geduld des End­kunden ist begrenzt. Ket­ze­risch lässt sich die Frage in den Raum werfen, ob es die Banken nicht genau darauf ange­legt haben — der “Open-Ban­king-Ära” etwas ent­ge­gen­setzen, indem sie Dritt­an­bie­tern das Geschäft erschweren. Den­noch gibt es einige Banken, die die PSD2-Richt­linie sehr gut für Dritt­an­bieter umge­setzt haben, wie z.B. die Deut­sche Bank. Zudem war die Richt­linie von vorn­herein ein zwei­schnei­diges Schwert. Sie sollte zwar einer­seits den Markt öffnen, aber eben auch für Sicher­heit beim Ver­brau­cher sorgen. Ob die Regu­lierer diesen Wider­spruch über­sahen, als sie von der großen Markt­öff­nung spra­chen oder die jewei­ligen Unter­nehmen die Mög­lich­keiten von PSD2 über­schätzten, bleibt offen.

Keine Gebühren zahlen
Keine Gebühren zahlen

Auf­ge­schoben, aber nicht aufgehoben

Eigent­lich war die Umstel­lung für Mitte Sep­tember geplant, doch vor dem Stichtag wurden zahl­reiche Rufe von Ein­zel­händ­lern laut, die einen Auf­schub zur Umset­zung for­derten. Man befürch­tete Zah­lungs­ab­brüche und fühlte sich nicht aus­rei­chend vor­be­reitet. Nun dürfen Zah­lungs­dienst­leister, die ihren Sitz in Deutsch­land haben, Kre­dit­kar­ten­zah­lungen im Internet beim online shoppen noch bis zum 31. Dezember 2020 ohne starke Kun­den­au­then­ti­fi­zie­rung durch­führen. Das emp­fiehlt die euro­päi­sche Ban­ken­auf­sicht EBA in einer Stel­lung­nahme. In der Regel gilt: der Zah­lungs­dienst­leister muss für den jewei­ligen Shop die tech­ni­sche Abwick­lung leisten. Aber auch die Händler gewinnen damit Zeit, ihre Shop­soft­ware zu aktua­li­sieren und ihre Kunden zu informieren.

PSD2 — to be continued?

Die User Expe­ri­ence, ein wich­tiger Faktor bei der Nut­zung des Online Ban­kings, bleibt bei einem sol­chen Dschungel an unter­schied­li­chen Anfor­de­rungen auch einen Monat nach der Ein­füh­rung der PSD2-Richt­linie auf der Strecke. Ins­be­son­dere Kunden, die bei meh­reren Banken sind, wün­schen sich nichts sehn­li­cher als eine ein­heit­liche, stan­dar­di­sierte Lösung. Hier ist von Seiten der Banken einiges nach­zu­holen. Nur klare Vor­gaben und Stan­dards werden hier eine Ver­bes­se­rung bewirken können.
Span­nend wird es in jedem Fall auch nochmal im Dezember. Bis dahin haben einige Banken näm­lich die Umset­zung der Richt­linie  mit einem kleinen Trick vor sich her­ge­schoben. Laut Vor­gabe müssen sich Kunden min­des­tens alle 90 Tage mit dem zweiten Faktor iden­ti­fi­zieren. Manche Banken haben ihre Sys­teme so ein­ge­stellt, als hätte sich der Kunde zuletzt am 13. Sep­tember, also eigent­lich vor dem Inkraft­treten der neuen Regeln iden­ti­fi­ziert. Auf diese Weise haben sie ihren Kunden eine Art Gal­gen­frist bis Mitte Dezember ver­schafft. Es kann also sein, dass sich einige Nutzer erst dann zum ersten Mal mit den neuen Regeln beschäf­tigen müssen. Und die Hoff­nung, dass dann vieles besser läuft, stirbt ja bekannt­lich zuletzt…