Wir werden häufiger gefragt, ob man seine PIN herausgeben muss, dass der Kreditvergeber das Konto des Antragstellers einsehen kann.
Vorab…diesbezüglich gibt es kein MUSS. Und mal so ganz unter uns…ich würde garantiert meine Banking-PIN an niemand herausgeben.
Wovon früher mit aller Eindringlichkeit gewarnt wurde, hat sich gewandelt. Immer öfter wollen aber Unternehmen aus etlichen Branchen online einen Blick in das Bankkonto des Kunden werfen – und verlangen die Zugangsdaten.
Manche Anbieter erfragen aber nicht nur die PIN, sondern auch die TAN, um eine Sofortüberweis direkt vom Konto zu tätigen.
Sie versprechen rasche Abwicklung von Verträgen ohne lästigen Papierkram
Bereits Seit Januar 2018 sind solche Dienste durch eine europäische Richtlinie geregelt, die Zahlungsrichtlinie PSD2. Darin werden Banken verpflichtet, die Kontodaten ihrer Kunden auch anderen Anbietern offenzulegen. Sie müssen dazu Schnittstellen einrichten, so genannte APIs.
Die zweite Methode, bei der sich der Dienstleister mit den Zugangsdaten seines Kunden in den Onlineauftritt der Banken einloggt, wird hingegen bis spätestens September 2019 abgeschafft werden.
Wer kontrolliert das?
Die Anbieter dieser Dienste müssen sich eine Lizenz von der Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) besorgen, die auch für große Banken zuständig ist. Die Finanzaufsicht veröffentlicht auch Listen mit registrierten und lizenzierten Drittdiensten. Unternehmen, die solche Dienste anbieten wollen, können sich zertifizieren lassen oder den Service von zertifizierten Dienstleistern nutzen.
Die Firmen müssen ihre Sicherheitsstrategie darlegen und angeben, wie sie mit sensiblen Zahlungsdaten umgehen. Weitere Prüfsiegel, beispielsweise vom TÜV, sind nicht nötig.
Die registrierten Anbieter werden von der BaFin im Zuge ihrer laufenden Aufsicht überwacht. Sie müssen Bericht erstatten, Auskunft erteilen und können von der BaFin überprüft werden.
Wo kommen die Dienste zum Einsatz?
Zu den Kunden von Anbietern wie der Firma Fintecsystems zählen Versicherungen, Banken, Leasingfirmen und Vergleichsplattformen. Hinzu kommen E-Commerce-Anbieter und Online-Shops, die meist die Zahlungsdienste nutzen. Fintecsystems erwartet, dass künftig mehr Anbieter ihre Dienste nutzen: „Grundsätzlich halten wir die PSD2 damit für einen der Wegbereiter für die Digitalisierung in der Finanz- und Bankenwelt“, sagt Gründer Dirk Rudolf. Wirklich herzallerliebst und man sieht wohin die Reise geht.
Lt. den Sicherheitsexperten spreche prinzipiell nichts gegen die technische sichere Abwicklung dieser Dienste. Insgesamt steige das Sicherheitsniveau durch die Einführung von PSD2 und der Lizenzierung durch die BaFin.
Richtig interessant ist die Frage der Privatsphäre. Die Dienste könnten anhand der Transaktionshistorie vertrauliche Daten der Kunden erfahren. Möglich sei es beispielsweise, anhand von Zahlungsdaten Bewegungsprofile zu erstellen. Meiner persönlichen Meinung nach, wird auch genau das getan. Die meisten Nutzer werden nicht verstehen, was für sensible Informationen sie von sich preisgeben.
Wie reagieren Verbraucherschützer?
In den Kontodaten spiegle sich „fast das ganze wirtschaftliche Verhalten, welche Verträge und Verpflichtungen man schon hat und woher man sein Geld bezieht“, sagt Frank-Christian Pauli vom Verbraucherzentrale Bundesverband.
Verbraucher sollten sich kritisch fragen, ob es angemessen sei, einem Anbieter für eine bestimmte Leistung diesen weitgehenden Zugriff zu gestatteten, sagt Pauli. Geprüft werden sollte, ob die Erklärung des Anbieters, was dieser genau mit den Daten macht, nicht nur akzeptabel, sondern auch klar und verständlich formuliert ist.
„Wer zu viele Daten mit Anbietern teilt, sollte auch bedenken, dass er sich auch in eine wesentlich schlechtere Verhandlungsposition bringt“, sagt Pauli weiter.
Denn Anbieter könnten mit diesen Daten genau sehen, über welches Budget ein Kunde verfügt und was er allgemein zu zahlen bereit ist. „Das ermöglicht individuelle Preise, die uns Verbraucher teuer zu stehen kommen.“ Datenschutz bleibe für alle Verbraucher wichtig, sagt Pauli.
„Letztlich müssen die Verbraucher entscheiden, ob sie sich auf einen Vertrag einlassen, oder nicht“, sagt Pauli. Von der allgemeinen Bereitschaft, den Firmen für bestimmte Anwendungen Zugriff auf Konten zu gewähren oder zu verweigern, hänge auch ab, ob künftig noch mehr Unternehmen um die PIN bitten werden.
Ich persönlich bin von der Sicherheit absolut nicht überzeugt. Dem normalen Verbraucher wird suggeriert, dass eine Webseite sicher ist, wenn nicht „HTTP“ vor der Internet-Adresse steht, sondern „HTTPS“. Klar, bei bekannten Anbietern stimmt das schon. Aber es gibt immer mehr Betrugs-Webseiten, die auch das „HTTPS“ vor der Adresse haben. Der normale Nutzer hat keine Chance zu erkennen, ob die Seite eine z. B. Phishing Webseite ist. Die Browser-Schutzprogramme reagieren kaum darauf. Es ist schon erschreckend, wie leicht man an eine gefälschte Verschlüsselungs-Lizenz kommen kann. Es gibt genug schwarze Schafe, die das offen im WWW anbieten.
Diese Aussage vom Gründer Dirk Rudolf ist für mich erschreckend: „Grundsätzlich halten wir die PSD2 damit für einen der Wegbereiter für die Digitalisierung in der Finanz- und Bankenwelt“. Für mich bedeutet das die absolute Kontrolle und mehr Angaben zu Menschen werden nicht gebraucht. Die einzelnen Konten sagen alles das aus, was ein Staat wissen möchte.
Ich kann mit meiner persönlichen Einschätzung voll daneben liegen, aber ich weiche nicht davon ab.
In Deutschland ist ALLES möglich. Vor allem das Ende der Demokratie.