PM vzbv: Um digitale Finanzdienstleistungen wie die Kreditwürdigkeitsprüfung oder die digitale Identifikation zu nutzen, können Verbraucher:innen auf Kontoinformationsdienste zurückgreifen. Die Dienste fragen Kontodaten nach Einwilligung der Verbraucher:innen zweckgebunden ab. Laut einer Untersuchung des Verbraucherzentrale Bundesverbands (vzbv) zeigen sich allerdings Mängel bei Zugang und Datennutzung von Kontoinformationsdiensten. Der vzbv fordert die Mängel zu beheben, damit Verbraucher:innen die Dienste sicher verwenden können. Um Kontoinformationsdienste und damit die Vorteile von digitalen Finanzdienstleistungen zu nutzen, müssen Verbraucher:innen etwa vertrauliche Zugangsdaten zu ihrem Bankkonto eingeben.
„Kontoinformationsdienste versprechen Verbraucherinnen und Verbrauchern, das Leben zu erleichtern. Die Dienste sollen etwa für einen besseren Überblick über Ein- und Ausgaben sorgen und dazu beitragen, dass die Prüfung einer Kreditvergabe individualisierter erfolgt. In der Praxis zeigt sich allerdings, dass Verbraucherinnen und Verbraucher dabei auf deutliche Probleme stoßen. Wir sehen vor allem Mängel darin, wie der Zugang zu den Diensten erfolgt und dass die Anbieter Zugriff auf sehr sensible Daten erhalten, ohne dass Datenschutzstandards sichergestellt sind“, so Dr. Heiko Fürst, Referent im Team Markbeobachtung Finanzmarkt im vzbv.
Zugangswege zu den Diensten spielen Betrüger:innen in die Hände
Wie Verbraucher:innen die Nutzung der Dienste erleben, hat das Institut SWI Schad im Auftrag des vzbv untersucht. Probleme zeigen sich bei den unterschiedlichen Zugangswegen von Kontoinformationsdiensten. Teilweise müssen Verbraucher:innen ihre Daten auf der Webseite des Dienstes oder auf der des beauftragten Anbieters eingeben, etwa bei einer fremden Bank. Die Seiten, auf die Verbraucher:innen bei Transaktionen geleitet werden, sind ihnen teilweise unbekannt. Bei einigen Diensten müssen Verbraucher:innen mehrere TANs hintereinander eingeben – ein Vorgehen, das eher von Phishing-Angriffen bekannt ist.
„Die unterschiedlichen Zugangswege zu Kontoinformationsdiensten spielen Betrügerinnen und Betrügern in die Hände. Verbraucherinnen und Verbraucher können sich nicht auf gelerntes Sicherheitsverhalten verlassen und lernen, persönliche Daten dort einzugeben, wo sie es bisher aus gutem Grund nicht getan hätten. Das kann im schlimmsten Fall so weit führen, dass Verbraucherinnen und Verbraucher bei erfolgreichen Phishing-Angriffen für den Totalverlust ihrer Ersparnisse haften müssen“, so Fürst.
Datenschutz: Zwei Drittel der untersuchten Anbieter mangelhaft
Neben den Zugangswegen sieht der vzbv Probleme in der Datennutzung von Kontoinformationsdiensten. Um die Dienste nutzen zu können, müssen Verbraucher:innen ihnen einen Generalzugriff auf ihr Konto erteilen. Aus Kontoinformationen lassen sich persönliche Informationen wie etwa über die Gesundheit oder die politische Haltung herauslesen. Wie die Anbieter mit den Daten umgehen, können Verbraucher:innen nicht kontrollieren, sondern müssen sich auf die Angaben des Anbieters verlassen. Hinzu kommt, dass die Einwilligung in die Datenverarbeitung laut der Untersuchung des vzbv nicht durchweg transparent erfolgt.
Lediglich fünf der untersuchten 15 Anbieter holten eine explizite Einwilligung zur Datenverarbeitung von den Nutzer:innen ein. Nur drei Anbieter integrierten die Einwilligung in die Erhebung besonders schützenswerter Daten nach Art. 9 der Datenschutzgrundverordnung (DSGVO) direkt auf der Nutzeroberfläche. Wenn Kontoinformationsdienste Zugriff auf solche besonders schützenswerten Daten nehmen, ohne die dafür erforderliche ausdrückliche Einwilligung eingeholt zu haben, agieren die Anbieter im klaren Widerspruch zu den Leitlinien des Europäischen Datenschutzausschusses (EDSA) zur DSGVO.
Nachbesserung von PSD2-Richtlinie notwendig
Kontoinformationsdienste agieren auf Grundlage der europäischen PSD2-Zahlungsdiensterichtlinie. Sie gibt Unternehmen das Recht, nach Einwilligung der Verbraucher:innen zweckgebunden auf deren Bankkonten zuzugreifen. Und sie verpflichtet Banken, Drittanbietern Zugriff auf die Kontodaten ihrer Kund:innen zu gewähren. Die EU plant den Zugriff auszuweiten, sodass neben Girokonten auch Finanzdaten von Depots, Krediten und Versicherungen verarbeitet werden können. Bevor die Datenzugriffe ausgeweitet werden, müssen die identifizierten Mängel aus Sicht des vzbv unbedingt beseitigt werden. Eine künftige Regulierung sollte sich eng an den EDSA-Leitlinien orientieren. Um Unsicherheiten und dadurch entstehende Risiken – insbesondere Phishing-Angriffe – zu beseitigen, bedarf es verlässlicher und standardisierter Zugangswege zu Kontoinformationsdiensten. Diese Forderungen bringt der vzbv auch in die öffentliche Konsultation ein, die die Europäische Kommission zurzeit zur Evaluation der PSD2 durchführt.