Ist Open Banking sicher?
Wer in Erwägung zieht, Open Banking in seine App oder Website einzubinden, der möchte vorab auch wissen, wie sicher die Technologie ist.
Ob zum Entgegennehmen von Zahlungen oder für den Zugriff auf die Finanzdaten Ihrer Kunden zur Personalisierung Ihrer Services, Open Banking bietet verschiedene wichtige Sicherheitsfunktionen, die sowohl Kunden als auch Unternehmen schützen.
Wie sicher Open Banking tatsächlich ist, erschließt sich rasch aus einer Betrachtung seiner Funktionsweise.
Was ist Open Banking?
Seinen Startpunkt fand Open Banking in der Zweiten Zahlungsdiensterichtlinie (PSD2). Mit dieser Regelung wurde Kunden und Unternehmen in der Europäischen Union mehr Kontrolle über ihre Finanzen zugesichert. Hierzu wurde der Zugriff auf Zahlungskonten für verifizierte dritte Zahlungsdienstleister (TPPs) geöffnet.
Open Banking ermöglicht es Kunden, auf ihre Finanzdaten zuzugreifen und sie über diese Anbieter für zusätzliche Zwecke nutzbar zu machen. Sie können so beispielsweise ganz leicht ihre Identität überprüfen lassen, auf Apps zur Budgetplanung zugreifen oder Kontoaggregationsdienste nutzen.
Unternehmen haben dank Open Banking eine neue Methode zur Annahme von Online-Zahlungen hinzugewonnen, die zudem sicherer und kostengünstiger ist als etwa herkömmliche Alternativen wie kartenbasierte Bezahlverfahren.
Der Faktor Sicherheit hatte bei Open Banking zudem von Anfang an Priorität. Unternehmen und Kunden, die es nutzen, profitieren von einigen starken Sicherheits-Features, die wir in diesem Artikel näher erläutern.
Wer kann durch Open Banking auf Finanzdaten von Kunden zugreifen?
Nur regulierte Unternehmen können sich mit den Bankkonten von Kunden verbinden, um Finanzdaten auszulesen oder Zahlungen einzuziehen.
In Deutschland wird Open Banking von der Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) kontrolliert, die auch Banken und andere Finanzdienstleister überwacht. Unternehmen, die sich per Open Banking mit den Konten von Kunden verbinden wollen, um Zahlungen auszulösen, benötigen eine Erlaubnis von der BaFin. Unternehmen, die lediglich auf Kontoinformationen zugreifen möchten, müssen sich bei der BaFin registrieren. So wird sichergestellt, dass die Anbieter gewisse Maßnahmen zur Erfüllung der technischen Sicherheitsanforderungen und zum Schutz der verarbeiteten Daten einhalten. Die Anbieter müssen der BaFin außerdem regelmäßig Bericht erstatten.
Es gibt zwei verschiedene Arten von Open-Banking-Zugriff, über die Anbieter verfügen können. Kontoinformationsdienstleister (KID) haben lediglich Lesezugriff, was bedeutet, dass sie Finanzinformationen abrufen, aber keine Zahlungen durchführen können. Zahlungsauslösedienstleister (ZAD) sind hingegen in der Lage, Zahlungen im Namen des Kunden auszuführen.
Nicht regulierte Unternehmen können Open Banking in ihre Produkte und Services integrieren, indem sie mit einem regulierten Drittanbieter wie TrueLayer zusammenarbeiten. Weitere Informationen hierzu finden Sie auch in unserem Open-Banking-Guide.
Doch selbst wenn Ihr Unternehmen über die behördliche Erlaubnis zur Nutzung von Open Banking verfügt, können Sie die Technologie im Einzelfall nur dann verwenden, wenn Sie die ausdrückliche Zustimmung Ihrer Kunden haben.
Kunden haben dabei die Kontrolle über folgende Faktoren:
welche Informationen sie teilen
mit welchem Anbieter sie diese Informationen teilen
wie lange diese Anbieter Zugang zu den Informationen haben
Ein weiterer Vorteil in punkto Sicherheit ist zudem, dass Kunden niemals ihr Onlinebanking-Passwort oder ihre Anmeldedaten mit einem Drittanbieter teilen müssen.
Für jede Open-Banking-Zahlung müssen Kunden dem Drittanbieter ausdrücklich ihre Zustimmung erteilen. Außerdem muss jede Zahlung durch eine starke Kundenauthentifizierung geschützt sein.
Welche Informationen können Drittanbieter einsehen?
Kunden können selbst bestimmen, welche Informationen ihre Anbieter sehen können und ob sie eine Zahlung auslösen dürfen oder nicht. Sie können die Zugangsberechtigungen auch jederzeit einschränken und Berechtigungen komplett widerrufen.
Kontoinformationsdienstleister (reiner Lesezugriff) können mit Zustimmung des Kunden die folgenden Informationen auslesen – allerdings nur für genau das Zahlungskonto, auf das der Kunde Zugriff erteilt hat:
Zahlungskonto: Name des Kontoinhabers, Kontonummer, IBAN
Kreditkarte: Kartennetzwerk, letzte vier Ziffern, Name auf der Karte
Transaktionen: Beschreibung, Betrag, Kategorie, Händlername
Kontostände: aktueller Kontostand, verfügbarer Betrag
Regelmäßige Zahlungen: Daueraufträge und Lastschriften
Die genauen Informationen, auf die ein Anbieter zugreifen kann, sind von Bank zu Bank unterschiedlich. Wenn Sie mehr darüber erfahren möchten, können Sie sich einfach an Ihren Open-Banking-Anbieter wenden.
Die Zustimmung der Kunden gilt darüber hinaus nur für 90 Tage, bevor sie erlischt und explizit neu erteilt werden muss.
Übrigens: Wenn ein Kunde einer Open-Banking-Zahlung zugestimmt hat, bedeutet das nicht automatisch, dass der Dienstleister auch Finanzinformationen auslesen darf. Denn für solche Kontoinformationsdienstleister muss der Kunde eine weitere Zustimmung erteilen.
Wie sicher sind Kundendaten im Open Banking?
Kundendaten im Open Banking sind äußerst sicher. Open-Banking-Anbieter greifen über sogenannte Anwendungsschnittstellen (APIs) auf Kundendaten zu. Dabei handelt es sich um eine bewährte Technologie, die in der Digitalwirtschaft häufig verwendet wird und dafür entwickelt wurde, eine sichere Verbindung zwischen Drittanbietern und Kundenkonten zu gewährleisten.
Im Gegensatz zu älteren Methoden wie Screen Scraping müssen Kunden mit Open Banking nie ihre Anmeldedaten preisgeben. Sie erteilen einfach Zugriff auf ihre Konten, indem sie sich direkt über eine sichere API bei ihrer Bank authentifizieren.
Open Banking stellt Folgendes sicher:
Datenkontrolle: Im Einklang mit datenschutzrechtlichen Anforderungen und Erwartungen ermöglicht die Open-Banking-Technologie klare Zugriffskontrollen sowohl für die Nutzer als auch für die Dateninhaber.
Sicherer Datenzugriff und -transfer: Open Banking und APIs sind eine sichere und bewährte Technologie.
Datenminimierung: Mit Open Banking haben Nutzer die Kontrolle über ihre Daten und können wählen, wie viel oder wenig von ihren Daten geteilt wird.
Im Rahmen von PSD2 sind Banken dafür verantwortlich, alle Datenschutzgesetze in den Ländern einzuhalten, in denen sie ihre Dienstleistungen anbieten. Sie müssen zudem relevante Sicherheitsvorschriften befolgen und unterliegen regelmäßigen Prüfungen durch die Aufsichtsbehörden.
Können Kunden sich aktiv gegen Open Banking entscheiden?
Kunden können das Ausmaß des Zugriffs jederzeit beschränken und die Berechtigungen auch komplett widerrufen.
Im Falle von Kontoinformationsdienstleistern ist die Zustimmung für 90 Tage gültig, bevor sie erlischt und explizit neu erteilt werden muss.
Die Zustimmung zu einer Zahlung über Open Banking bezieht sich ausschließlich auf diese eine Zahlung.
Variable wiederkehrende Zahlungen wie SEPA-Lastschriftmandate sind in Deutschland aktuell noch von der PSD2-Richtlinie ausgeschlossen.
Wie sicher sind Open-Banking-Zahlungen?
Open-Banking-Zahlungen zeichnen sich durch vier Charakteristika aus, die sie sehr sicher machen:
Jede Zahlung verwendet die starke Kundenauthentifizierung (SCA)
Bei der Aufgabe von Zahlungen über Open Banking werden Kunden stets in ihre Banking-App umgeleitet, um dort eine starke, häufig biometrische Authentifizierung durchzuführen. Die Bank verifiziert dabei, ob ein bestimmter Kunde wirklich ist, wer er zu sein vorgibt. Dafür überprüft sie eine Kombination aus den Faktoren Besitz (z. B. Karte), Inhärenz (z. B. Fingerabdruck) und/oder Wissen (z. B. Passwort).
Es werden keine sensiblen Angaben geteilt
Im Gegensatz zu Kartenzahlungen werden bei einer Open-Banking-Zahlung keine sensiblen Angaben mit dem Händler geteilt. Es kann also nichts abgefangen, gestohlen oder geleakt werden, das zu unautorisierten Zahlungen führen könnte.
Stattdessen kommunizieren Open-Banking-Anbieter auf sicherem Weg mit der Bank des Kunden, um die Zahlungsanweisungen im Hintergrund weiterzugeben und die Zahlung zu initiieren.Zahlungsanweisungen sind vorausgefüllt
Wenn Kunden per Open Banking bei einem Unternehmen bezahlen möchten, müssen sie keine Daten zum Zahlungsempfänger eingeben. Stattdessen werden die Angaben im Vorhinein vom Open-Banking-Anbieter ausgefüllt, der ebenfalls kontrolliert, wo das Geld hingeht. Dieses Vorgehen schützt vor menschlichem Versagen und dem Risiko, dass Kunden ihr Geld aus Versehen an Betrüger senden.
Open-Banking-Anbieter führen das Onboarding von Händlern durch und prüfen diese sorgfältig
Wenn ein Open-Banking-Anbieter Zahlungen für einen Händler oder ein anderes Unternehmen durchführt, geht er einen Geschäftsvertrag mit diesem Unternehmen ein und prüft es in diesem Rahmen sorgfältig nach Due-Diligence-Standards. Dies verringert die Wahrscheinlichkeit, dass Händler mit unlauteren Absichten Open Banking für Betrugsversuche nutzen.
Open-Banking-Zahlungen sind zudem so eingerichtet, dass zwischen Anbieter und Verbraucher eine Beziehung besteht und der Anbieter dem Verbraucher gegenüber bestimmte Verpflichtungen hat. Dazu gehört die Beantwortung von Beschwerden oder die Bearbeitung von Zahlungsproblemen.
Schützt Open Banking Verbraucher noch auf andere Weise?
Open-Banking-Zahlungen sind zwar sicher, doch kein Onlinekauf ist zu 100 % risikofrei. Was passiert also, wenn mit der Zahlung doch etwas schiefgeht? Sind die Kunden dann geschützt?
In aller Kompaktheit: Ja. Nachfolgend finden Sie einige der verwendeten Schutzmaßnahmen:
Durch PSD2 wurden seit 2018 die Verbraucherrechte in der EU gestärkt. So besteht nun für Lastschriften in Euro ein bedingungsloser Erstattungsanspruch, im Rahmen dessen das Geld innerhalb von einem Werktag auf das Konto des Kunden zurückerstattet werden muss.
Open-Banking-Anbieter müssen Beschwerdeverfahren anbieten, falls Kunden mit der Zahlungsabwicklung unzufrieden sind. Sind sie der Meinung, dass ihre Beschwerde unzureichend bearbeitet wurde, haben sie ferner das Recht, den Fall von einer Ombudsperson prüfen zu lassen, die eine Entschädigung zusprechen kann. Auch eine Meldung bei der BaFin ist möglich.
Wenn etwas mit dem Kauf schiefgeht oder Sie mit der bestellten Ware unzufrieden sind, haben Sie in Deutschland bei Onlinekäufen ein 14-tägiges Widerrufsrecht. Manche Zahlungsanbieter bieten zudem einen sogenannten Käuferschutz an.
Als Unternehmen sind Sie ebenfalls gegen Rückbuchungsbetrug geschützt. Schätzungsweise sind bis zu 86 % der Rückbuchungen sogenannte freundliche Betrugsfälle, denen ein Kundenfehler zugrunde liegt. Im Gegensatz zu Kartenzahlungen gibt es bei Open-Banking-Zahlungen keinen Rückbuchungsmechanismus, da Open Banking nicht die gleichen Schwachstellen aufweist wie Kartenzahlungen. Und ohne Rückbuchungen kann es auch keinen Rückbuchungsbetrug geben.
Mit seinen starken rechtlichen Grundlagen und etablierten Sicherheits-Features ist Open Banking eine der sichersten Methoden zur Zahlung und Weitergabe von Finanzdaten. Die Technologie bietet zudem noch viele weitere Vorteile für Händler und Verbraucher.