Gerade beim Online Banking machen sich die Umstellungen jetzt bemerkbar:
Immer häufiger wird die Eingabe einer Transaktionsnummer (TAN) verlangt. Das Problem hierbei: Der TAN-Code gewinnt an Bedeutung (gerade auch für die Authentifizierung), aber einige Banken schaffen dessen Übermittlung per SMS ab. Dieser bewährte Weg soll künftig der App der entsprechenden Bank weichen.
Wer nicht Eigentümer eines Smartphones ist, wird hier aber stark benachteiligt. Banken stellen zwar als Alternative einen TAN-Generator zur Verfügung (dh ein Gerät, an welches der TAN-Code geschickt wird), allerdings soll das natürlich etwas kosten. Zu Recht kritisiert der VKI diese Vorgehensweise.
Die neue Zahlungsdiensterichtlinie EU 2015/2366 (auch als PSD2 bezeichnet), am 25. November 2015 erlassen, sollte eigentlich schon bis 13. Jänner 2018 in nationales Recht umgesetzt werden. Sie ersetzt die ursprüngliche Richtlinie aus 2007. Mit dem neuen Zahlungsdienstegesetz 2018 (ZaDiG 2018), seit 1. Juni 2018 in Kraft, wurde sie in Österreich (wieder einmal verspätet) umgesetzt. Einige Regelungen des ZaDiG 2018 treten allerdings erst 18 Monate nach der Veröffentlichung in Kraft, also am 13. September 2019, nachdem sie Gegenstand einer delegierten Verordnung aus 2018 waren. Also jetzt demnächst.
Die neue „starke Kundenauthentifizierung“ ist Teil der delegierten Verordnung (EU) 2018/389, welche als Ergänzung zur PSD2 erlassen wurde. Die Authentifizierung des Kunden geschieht durch Heranziehung von mindestens zwei der folgenden drei voneinander unabhängigen Elemente:
- Wissen – Etwas, das nur der Kunde weiß
- Besitz – Etwas, das nur der Kunde besitzt
- Inhärenz – Etwas, das nur der Kunde ist
Die Kombination von mindestens zwei dieser Punkte soll eine sicherere Authentifizierung gewährleisten.
Der offizielle Zweck der PSD2 besteht vor allem darin, den Verbraucherschutz zu stärken, grenzüberschreitende Zahlungsdienste zu erleichtern und zu verbessern, sowie eine stärkere Regulierung von Drittdiensten (idR handelt es sich dabei um neue Zahlungsdienste, die aus technischer Innovation entstanden sind). Aber wie ist das mit dem Schutz von Verbrauchern, insbesondere mit den neuen Regelungen zur Kundenauthentifizierung?
Bedenken bestehen bzgl. der neuen Regelungen nicht nur wegen Abschaffung der SMS-Übermittlung für TAN-Codes, sondern konkret wegen der Elemente der Authentifizierung. So besteht das große Problem der Inhärenz darin, dass zwar bspw. der Fingerabdruck zur starken Kundenauthentifizierung herangezogen werden kann, dieser aber nicht mehr abänderbar ist (anders als etwa ein Passwort, welches man im Notfall einfach ersetzen kann). Erhält ein Unbefugter daher Zugang zu den biometrischen Daten eines Kunden (neben dem Fingerabdruck sind sowohl Stimme als auch Iris relevant), besteht keine Möglichkeit, diese Daten unbrauchbar zu machen; schließlich kann man seinen Fingerabdruck nicht nach Belieben verändern.
Die neuen Regelungen wären auch auf Online-Zahlungen ab September anzuwenden. Hier konnte die WKO mit der FMA zusammen eine Schonfrist erreichen, um zusätzliche Zeit für technische Nachrüstungen zu gewähren. Dabei war Österreich nicht das einzige Land, das um einen solchen Aufschub bat. Die Europäische Bankenaufsicht (EBA) hält Ende September eine Sitzung ab, bei welcher die Dauer dieses Aufschubs entschieden wird. Daher ist an dieser Stelle noch nichts Konkretes über die Auswirkungen der PSD2 auf Online-Zahlungen zu sagen.
Eine weitere wichtige Frage ist das Verhältnis der PSD2 zur DSGVO, gerade im Zusammenhang mit Drittdienstleistern als in der Richtlinie neu geschaffene Zahlungsauslösedienstleister. Vereinfacht gesagt kann sich z.B. der kontoführende Zahlungsdienstleister (dh die Bank, bei welcher der Kunde ein Konto hat) eines solchen Dritten bedienen, damit dieser die Zahlung auslöst. Dabei muss die Bank die betroffenen personenbezogenen Daten an den Dritten weitergeben. Während also die DSGVO dem Bürger die Kontrolle über seine Daten sichern möchte, verfolgt die PSD2 ein anderes Ziel, nämlich die Möglichkeit eines fairen Wettbewerbs für diese Drittdienstleister durch die Pflicht der Bank zur Weitergabe der notwendigen Daten (andernfalls könnten Drittdienstleister gar nicht in den Markt eintreten). Folglich schaffen die beiden genannten Regelungen unterschiedliche Prioritäten, das ZaDiG 2018 wurde nicht ohne Grund bereits einmal im Rahmen des 2. Materien-Datenschutz-Anpassungsgesetz 2018 (BGBl I Nr 37/2018) geändert.