Aktualisierungen als RSS-Feed oder im Changelog.

Privacy-Handbuch

SOFORT Überweisung ist ein Online-Zahlungssystem zur bargeldlosen Zahlung im Internet. Bei dem Bezahlvorgang stellt der Kunde dem Zahlungsdienstleister Sofort GmbH die notwendigen Credentials für den Online Zugriff (PIN usw.) auf sein Konto zur Verfügung. Die Sofort GmbH nutzt diese Informationen, um sich Daten über Kontostand u.ä zu holen und danach die Transaktion auszuführen.

Würde man das Verfahren in die Offline-Welt übertragen, könnte man die Dienst­leistung der SOFORT Überweisung wie folgt beschreiben: Weil man selbst zu faul ist, gibt man einem Fremden auf der Straße die EC-Karte und PIN, damit er zum Bankautomaten geht, sich über den Kontostand und die letzten Transaktionen informiert um danach die gewünschte Überweisung auszuführen.

In den AGBs verbieten es alle Banken und Sparkassen den Kunden, die Credentials für den Online Zugriff Dritten zur Verfügung zu stellen. Mit der Nutzung von SOFORT Überweisung verstößt man also gegen die AGBs der Finanzinstitute.

Das Landgericht Frankfurt am Main hatte es in einem Urteil überraschend klar formuliert, das die Nutzung des Dienstes eigentlich unzumutbar ist, egal welche Sicherheitsgarantien von der Sofort GmbH versprochen werden:
Die Nutzung des Dienstes "Sofortüberweisung" ist unabhängig von seiner Bewertung durch Kreditinstitute für den Verbraucher unzumutbar, da er hierzu nicht nur mit einem Dritten in vertragliche Beziehungen treten muss, sondern diesem Dritten auch noch Kontozugangsdaten mitteilen muss und in den Abruf von Kontodaten einwilligen muss. Hierdurch erhält ein Dritter umfassenden Einblick in die Kunden-Kontoinformationen. Hierbei handelt es sich um besonders sensible Finanzdaten, die auch zur Erstellung von Persönlichkeits­profilen genutzt werden könnten. Daneben muss der Kunde dem Zahlungs­dienst­leister seine personalisierten Sicherheitsmerkmale (zum Beispiel PIN und TAN) mitteilen. Dies birgt erhebliche Risiken für die Datensicherheit und eröffnet erhebliche Missbrauchsmöglichkeiten. Dabei kommt es im Ergebnis nicht auf die konkrete Sicherheit des Dienstes "Sofortüberweisung" an, sondern auf die grundsätzliche Erwägung, dass der Verbraucher nicht gezwungen werden kann, seine Daten diesem erhöhten Risiko auszusetzen.
Der Bundesgerichtshof hat in dem Urteil Az.: KZR 39/16 diese Rechtsauffassung letztinstanzlich bestätigt.

Bald auch bei PayPal.com üblich?  

Mit der Zahlungsverkehrsdirektive PSD2 zwingt die EU-Kommission die Banken, das vom Landgericht Frankfurt am Main als "unzumutbar" classifizierte Verfahren von SOFORT Überweisung direkt anzubieten und für FinTech Startups API-Schnitt­stellen für den Zugriff auf die Konten der Kunden zur Verfügung zu stellen.

Während beispielsweise der Datenkraken-Zahlungsdienstleister PayPal.com bisher die Zahlungen per Lastschriftverfahren einziehen und an den Zahlungsempfänger überweisen muss, könnte PayPal.com zukünftig die Überweisung im Namen des Kunden direkt von seinem Konto auslösen und sich gleichzeitig über Kontostand und weitere Transaktionen der letzten Monate informieren.

Oder man kauft bei Amazon einen neuen Fernseher für 3000 Euro und möchten ihn über Amazon Payments Europe bezahlen. Dort wird dann versucht, direkt von dem privaten Bankkonto eine entsprechende Überweisung auszulösen, aber es sind vielleicht nur 2000 Euro auf dem Konto. Wenn eine Erlaubnis erteilt wurde, kann der Dienstleister feststellen, dass auf einem zweiten Bankkonto der Differenz­betrag von 1 000 Euro liegt oder evtl. auf einer Kreditkarte. Das Geld wird von zwei Konten gezahlt und der Fernseher geliefert - GAAAAANZ TOLLER SERVICE!!!

Wer weiß, wie viel Geld Kunden haben und wofür sie es ausgeben, der könnte....

Dabei muss der Kunde nach PDS2 nicht jede einzelne Transaktion authorisieren sondern gegenüber der Bank einmalig eine Blankovollmacht für PayPal.com, Amazon oder neue FinTech Startups wie SOFORT Überweisung erteilen (euphemistisch als "freiwillige Zustimmung des Kunden" bezeichnet).

Wie PayPal.com sich diese "freiwillige Zustimmung der Kunden" für den Zugriff auf ihre Bank Accounts holen könnte, kann man sich leicht vorstellen. 2015 hat PayPal.com sich in den AGB bereits das Recht eingeräumt, die Informationen aus den Kenntnissen über Einkäufe nahezu beliebig zu verwenden. Einfach die weitere Nutzung des Dienstes wurde als Zustimmung der Kunden gewertet. Ähnlich könnte PayPal.com zukünftig den Zugriff auf das Bankkonto fordern und als Alternative die Kündigung anbietet. Der Kunde hat die Wahl und wird ganz freiwillig....

Parallel zu diesen Reglungen, die die Banken zur Öffnung der Konten für Daten­sammler zwingen, werden durch PSD2 Kreditkartenzahlungen im Internet erschwert. Nach PSD2 müssen Kunden neben den Kartendaten wie der Konto­nummer ein zweites Merkmal wie eine TAN oder einen Fingerabdruck eingeben.

Ich halte nicht sehr viel von Kreditkarten als Zahlungsmittel im Internet, aber Prepaid-Karten habe ich schon gelegentlich verwendet. Das wird dann deutlich schwieriger werden zugunsten von Erleichterungen für Datensammler.

Die EU-Direktive PSD2 soll bis Anfang 2018 in deutsches Recht umgesetzt werden.

(PSD2 ist ein schönes Beispiel dafür, was unserer Regierenden damit meinen, wenn sie sagen, dass Daten in erster Linie ein Rohstoff sind, dessen Ausbeutung möglichst wenig eingeschränkt werden sollte, damit neue Produkte entwickelt werden können, die die Kunden mögen werden. Aber: "Kunde ist der, der bezahlt" und nicht die Hamster im Laufrad, die die Daten produzieren!)
Lizenz: Public Domain