PSD2 — Die Mutter aller Probleme?
Inhalt
Einmal nicht nachgedacht, schon ist es passiert. Meine erste Begegnung mit der neuen PSD2-Richtlinie lief alles andere als unproblematisch. Pünktlich zur Einführung der Verordnung am 14. September besorgte ich mir ein neues Handy. Natürlich mit neuer Rufnummer und ohne daran zu denken, welche Konsequenzen das auf meinen Zugriff in mein Online-Banking haben könnte. Doch das hätte ich mir besser überlegt: fortan konnte ich mich nicht mehr in mein Online-Banking-Konto einloggen, denn das war logischerweise mit der alten Nummer legitimiert. Diese wiederum konnte ich nicht ändern, weil ich auch dazu das TAN-Verfahren, wie gesagt, nur in Verbindung mit der alten Nummer nutzbar, verwenden musste. Ein Teufelskreislauf begann, der schließlich dazu führte, dass mich meine Bank als Kundin verlor. So oder so ähnlich geht es nicht nur mir oder einigen meiner Kollegen im Büro, auch viele andere Bankkunden kämpfen mit der neuen Richtlinie und fragen sich, warum denn schon wieder alles so kompliziert sein muss.
Zahlungsdienste… — was?
Einen guten Monat ist die Einführung der Richtlinie nun her. Und doch hat ein Großteil der Verbraucher keine Ahnung, was PSD2 überhaupt ist. Aus einer aktuellen Studie geht hervor, dass etwa 73 % der Deutschen noch nie davon gehört oder zumindest keine Ahnung haben, was sich hinter dem Begriff verbirgt.
Zur Erinnerung:
PSD2, das PSD steht für Payment Services Directive, oder zu deutsch: Zahlungsdiensterichtline. Erstes erklärtes Ziel der Maßnahme: den Wettbewerb unter den Banken und Anbietern von Finanzdienstleistungen steigern. Zudem sollen die Innovationen gefördert werden. Diese beiden Punkte hängen unmittelbar miteinander zusammen, denn wenn der Wettbewerbsdruck steigt, dann steigt eben auch der Innovationsdruck. Zusätzlich soll die Richtlinie aber auch dafür sorgen, dass die Sicherheit im Zahlungsverkehr erhöht wird und neue Zahlungsdienstleistungen gefördert und ermöglicht werden.
All diese Maßnahmen gingen mit erheblichen Änderungen einher. Der vermeintlich größte Punkt: das Loginverfahren hat sich geändert. Mit der sogenannten Zwei-Faktor-Authentisierung muss man sich nun auf zwei Arten legitimieren, um auf sein Konto zugreifen zu können. Das könnte, wie in meinem Fall, kompliziert geworden sein, wenn die passenden Geräte nicht pünktlich zur Verfügung standen.
Kurzum: durch PSD2 soll das Prozedere der Bankgeschäfte für den Verbraucher bequemer und preiswerter geworden sein. So weit, so gut. Bisher ist davon aber wenig zu spüren.
Nichts als Ärger
Während die Finanzaufsicht BaFin in der Umsetzung der neuen Sicherheitsbestimmungen für das Online Banking keine nennenswerten Schwierigkeiten sieht, ist die Umstellung für viele Kunden ein einziges Drama. Denn das Problem ist, jede Bank hat die neue Regelung individuell ausgelegt und fordert von ihren Kunden unterschiedliche Kombinationen der zwei Faktoren. Bis vor einem Monat konnten Kunden das Online Banking bereits nutzen, wenn sie einen Benutzernamen und ein Passwort angelegt hatten. Dieses Wissen gilt als Faktor 1. Durch die neue Richtlinie kam ein zweiter Faktor dazu: Das ist der Besitz – zum Beispiel eines Smartphones mit einer App, die die TAN fürs Onlinebanking generiert. Viele Kunden bemängeln, dass die Apps nicht richtig funktionieren. Überhaupt bedeutet das neue Verfahren einen Mehraufwand für die Kunden – viele ärgern sich darüber. Die Nutzer benötigen beim Abrufen ihrer Bankkonten bei jeder Bank neben ihrem PIN bzw. den Login-Daten, unterschiedliche TAN-Generatoren, biometrische Verfahren oder Apps. Vor allem für Multibanking-Nutzer ist das ein großes Problem: Zur Abfrage ihrer Umsätze oder Zahlungsauslösung direkt aus der App werden sie jedes Mal mit unterschiedlichen Authentifizierungsanforderungen der Banken konfrontiert. Als wäre das nicht genug, stehen die Kunden nun auch in gewisser weise unter Zeitdruck. Denn PSD2 schreibt eben unter anderem auch vor, dass der bisherige Timeout von 15 Minuten stark reduziert wird. Ist man länger als fünf Minuten inaktiv, so wird man automatisch ausgeloggt. Um diese Inaktivität aufzuheben reicht es nicht, die Maus kurz zu bewegen, man muss etwas tun, das der Bankserver registriert, wie z.B. die Umsatzanzeige aufrufen.
Drittanbieter schauen in die Röhre
Die PSD2-Richtlinie soll auch sicherstellen, dass Drittanbieter, natürlich nach klar vorgegebenen Regeln, auf Kontodaten bei Banken zugreifen können. Vorausgesetzt, der Kunde stimmt dem ganzen zu. Die Regulierer wollten die Banken verpflichten, jedem lizensierten Drittdienst eine PSD2-Schnittstelle zur Verfügung zu stellen. Viele FinTech- und Softwareunternehmen erhofften sich dadurch die Eröffnung einer ganz neuen Ära. Aber es kam anders. Die Drittdienste warfen einigen Banken vor, die neuen Schnittstellen so zu präparieren, dass der Kontozugriff erschwert, statt erleichtert wird. Um dem Chaos aus dem Weg zu gehen, verhängte die BaFin im allerletzten Moment eine Art Galgenfrist. So bleiben die alten Schnittstellen erst einmal offen und die PSD2-Schnittstellen sollen dann nach und nach zum neuen Standard werden. Eine akzeptable Lösung, möchte man meinen, doch für viele Akteure sieht die Welt seit dem 14. September nicht mehr allzu rosig aus.
Viele Banken, Software- und FinTechunternehmen kämpfen mit vielen Problemen und zahlreichen unzufriedenen Kunden. Mal können die Bankdaten nicht abgerufen werden, ein anderes mal können die Konten nicht synchronisiert werden. Diese und viele ähnliche Probleme werden sich vermutlich zeitnah lösen lassen, doch stellt sich die Frage: ist es dann für manche Anbieter schon zu spät?
In Zeiten, in denen die User Experience zu einem essentiellen Bestandteil geworden ist und über Erfolg oder Misserfolg ganzer Unternehmen entscheiden kann, ist der Druck besonders hoch.
Die Geduld des Endkunden ist begrenzt. Ketzerisch lässt sich die Frage in den Raum werfen, ob es die Banken nicht genau darauf angelegt haben — der “Open-Banking-Ära” etwas entgegensetzen, indem sie Drittanbietern das Geschäft erschweren. Dennoch gibt es einige Banken, die die PSD2-Richtlinie sehr gut für Drittanbieter umgesetzt haben, wie z.B. die Deutsche Bank. Zudem war die Richtlinie von vornherein ein zweischneidiges Schwert. Sie sollte zwar einerseits den Markt öffnen, aber eben auch für Sicherheit beim Verbraucher sorgen. Ob die Regulierer diesen Widerspruch übersahen, als sie von der großen Marktöffnung sprachen oder die jeweiligen Unternehmen die Möglichkeiten von PSD2 überschätzten, bleibt offen.
Aufgeschoben, aber nicht aufgehoben
Eigentlich war die Umstellung für Mitte September geplant, doch vor dem Stichtag wurden zahlreiche Rufe von Einzelhändlern laut, die einen Aufschub zur Umsetzung forderten. Man befürchtete Zahlungsabbrüche und fühlte sich nicht ausreichend vorbereitet. Nun dürfen Zahlungsdienstleister, die ihren Sitz in Deutschland haben, Kreditkartenzahlungen im Internet beim online shoppen noch bis zum 31. Dezember 2020 ohne starke Kundenauthentifizierung durchführen. Das empfiehlt die europäische Bankenaufsicht EBA in einer Stellungnahme. In der Regel gilt: der Zahlungsdienstleister muss für den jeweiligen Shop die technische Abwicklung leisten. Aber auch die Händler gewinnen damit Zeit, ihre Shopsoftware zu aktualisieren und ihre Kunden zu informieren.
PSD2 — to be continued?
Die User Experience, ein wichtiger Faktor bei der Nutzung des Online Bankings, bleibt bei einem solchen Dschungel an unterschiedlichen Anforderungen auch einen Monat nach der Einführung der PSD2-Richtlinie auf der Strecke. Insbesondere Kunden, die bei mehreren Banken sind, wünschen sich nichts sehnlicher als eine einheitliche, standardisierte Lösung. Hier ist von Seiten der Banken einiges nachzuholen. Nur klare Vorgaben und Standards werden hier eine Verbesserung bewirken können.
Spannend wird es in jedem Fall auch nochmal im Dezember. Bis dahin haben einige Banken nämlich die Umsetzung der Richtlinie mit einem kleinen Trick vor sich hergeschoben. Laut Vorgabe müssen sich Kunden mindestens alle 90 Tage mit dem zweiten Faktor identifizieren. Manche Banken haben ihre Systeme so eingestellt, als hätte sich der Kunde zuletzt am 13. September, also eigentlich vor dem Inkrafttreten der neuen Regeln identifiziert. Auf diese Weise haben sie ihren Kunden eine Art Galgenfrist bis Mitte Dezember verschafft. Es kann also sein, dass sich einige Nutzer erst dann zum ersten Mal mit den neuen Regeln beschäftigen müssen. Und die Hoffnung, dass dann vieles besser läuft, stirbt ja bekanntlich zuletzt…
Inhalt
Hinterlasse einen Kommentar