Ist Open Banking sicher?

Author image
Sebastian Tiesler, Country Manager Germany
3 Aug 2022
Header image

Wer in Erwägung zieht, Open Banking in seine App oder Website einzubinden, der möchte vorab auch wissen, wie sicher die Technologie ist.

Ob zum Entgegennehmen von Zahlungen oder für den Zugriff auf die Finanzdaten Ihrer Kunden zur Personalisierung Ihrer Services, Open Banking bietet verschiedene wichtige Sicherheitsfunktionen, die sowohl Kunden als auch Unternehmen schützen.

Wie sicher Open Banking tatsächlich ist, erschließt sich rasch aus einer Betrachtung seiner Funktionsweise.


Was ist Open Banking?

Seinen Startpunkt fand Open Banking in der Zweiten Zahlungsdiensterichtlinie (PSD2). Mit dieser Regelung wurde Kunden und Unternehmen in der Europäischen Union mehr Kontrolle über ihre Finanzen zugesichert. Hierzu wurde der Zugriff auf Zahlungskonten für verifizierte dritte Zahlungsdienstleister (TPPs) geöffnet.

Open Banking ermöglicht es Kunden, auf ihre Finanzdaten zuzugreifen und sie über diese Anbieter für zusätzliche Zwecke nutzbar zu machen. Sie können so beispielsweise ganz leicht ihre Identität überprüfen lassen, auf Apps zur Budgetplanung zugreifen oder Kontoaggregationsdienste nutzen.

Unternehmen haben dank Open Banking eine neue Methode zur Annahme von Online-Zahlungen hinzugewonnen, die zudem sicherer und kostengünstiger ist als etwa herkömmliche Alternativen wie kartenbasierte Bezahlverfahren.

Der Faktor Sicherheit hatte bei Open Banking zudem von Anfang an Priorität. Unternehmen und Kunden, die es nutzen, profitieren von einigen starken Sicherheits-Features, die wir in diesem Artikel näher erläutern.

Wer kann durch Open Banking auf Finanzdaten von Kunden zugreifen?

Nur regulierte Unternehmen können sich mit den Bankkonten von Kunden verbinden, um Finanzdaten auszulesen oder Zahlungen einzuziehen.

In Deutschland wird Open Banking von der Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) kontrolliert, die auch Banken und andere Finanzdienstleister überwacht. Unternehmen, die sich per Open Banking mit den Konten von Kunden verbinden wollen, um Zahlungen auszulösen, benötigen eine Erlaubnis von der BaFin. Unternehmen, die lediglich auf Kontoinformationen zugreifen möchten, müssen sich bei der BaFin registrieren. So wird sichergestellt, dass die Anbieter gewisse Maßnahmen zur Erfüllung der technischen Sicherheitsanforderungen und zum Schutz der verarbeiteten Daten einhalten. Die Anbieter müssen der BaFin außerdem regelmäßig Bericht erstatten.

Es gibt zwei verschiedene Arten von Open-Banking-Zugriff, über die Anbieter verfügen können. Kontoinformationsdienstleister (KID) haben lediglich Lesezugriff, was bedeutet, dass sie Finanzinformationen abrufen, aber keine Zahlungen durchführen können. Zahlungsauslösedienstleister (ZAD) sind hingegen in der Lage, Zahlungen im Namen des Kunden auszuführen.

Nicht regulierte Unternehmen können Open Banking in ihre Produkte und Services integrieren, indem sie mit einem regulierten Drittanbieter wie TrueLayer zusammenarbeiten. Weitere Informationen hierzu finden Sie auch in unserem Open-Banking-Guide.

Doch selbst wenn Ihr Unternehmen über die behördliche Erlaubnis zur Nutzung von Open Banking verfügt, können Sie die Technologie im Einzelfall nur dann verwenden, wenn Sie die ausdrückliche Zustimmung Ihrer Kunden haben.

Kunden haben dabei die Kontrolle über folgende Faktoren:

  • welche Informationen sie teilen

  • mit welchem Anbieter sie diese Informationen teilen

  • wie lange diese Anbieter Zugang zu den Informationen haben

Ein weiterer Vorteil in punkto Sicherheit ist zudem, dass Kunden niemals ihr Onlinebanking-Passwort oder ihre Anmeldedaten mit einem Drittanbieter teilen müssen.

Für jede Open-Banking-Zahlung müssen Kunden dem Drittanbieter ausdrücklich ihre Zustimmung erteilen. Außerdem muss jede Zahlung durch eine starke Kundenauthentifizierung geschützt sein.

Welche Informationen können Drittanbieter einsehen?

Kunden können selbst bestimmen, welche Informationen ihre Anbieter sehen können und ob sie eine Zahlung auslösen dürfen oder nicht. Sie können die Zugangsberechtigungen auch jederzeit einschränken und Berechtigungen komplett widerrufen.

Kontoinformationsdienstleister (reiner Lesezugriff) können mit Zustimmung des Kunden die folgenden Informationen auslesen – allerdings nur für genau das Zahlungskonto, auf das der Kunde Zugriff erteilt hat:

  • Zahlungskonto: Name des Kontoinhabers, Kontonummer, IBAN

  • Kreditkarte: Kartennetzwerk, letzte vier Ziffern, Name auf der Karte

  • Transaktionen: Beschreibung, Betrag, Kategorie, Händlername

  • Kontostände: aktueller Kontostand, verfügbarer Betrag

  • Regelmäßige Zahlungen: Daueraufträge und Lastschriften

Die genauen Informationen, auf die ein Anbieter zugreifen kann, sind von Bank zu Bank unterschiedlich. Wenn Sie mehr darüber erfahren möchten, können Sie sich einfach an Ihren Open-Banking-Anbieter wenden.

Die Zustimmung der Kunden gilt darüber hinaus nur für 90 Tage, bevor sie erlischt und explizit neu erteilt werden muss.

Übrigens: Wenn ein Kunde einer Open-Banking-Zahlung zugestimmt hat, bedeutet das nicht automatisch, dass der Dienstleister auch Finanzinformationen auslesen darf. Denn für solche Kontoinformationsdienstleister muss der Kunde eine weitere Zustimmung erteilen.

Wie sicher sind Kundendaten im Open Banking?

Kundendaten im Open Banking sind äußerst sicher. Open-Banking-Anbieter greifen über sogenannte Anwendungsschnittstellen (APIs) auf Kundendaten zu. Dabei handelt es sich um eine bewährte Technologie, die in der Digitalwirtschaft häufig verwendet wird und dafür entwickelt wurde, eine sichere Verbindung zwischen Drittanbietern und Kundenkonten zu gewährleisten.

Im Gegensatz zu älteren Methoden wie Screen Scraping müssen Kunden mit Open Banking nie ihre Anmeldedaten preisgeben. Sie erteilen einfach Zugriff auf ihre Konten, indem sie sich direkt über eine sichere API bei ihrer Bank authentifizieren.

Open Banking stellt Folgendes sicher:

  • Datenkontrolle: Im Einklang mit datenschutzrechtlichen Anforderungen und Erwartungen ermöglicht die Open-Banking-Technologie klare Zugriffskontrollen sowohl für die Nutzer als auch für die Dateninhaber.

  • Sicherer Datenzugriff und -transfer: Open Banking und APIs sind eine sichere und bewährte Technologie.

  • Datenminimierung: Mit Open Banking haben Nutzer die Kontrolle über ihre Daten und können wählen, wie viel oder wenig von ihren Daten geteilt wird.

Im Rahmen von PSD2 sind Banken dafür verantwortlich, alle Datenschutzgesetze in den Ländern einzuhalten, in denen sie ihre Dienstleistungen anbieten. Sie müssen zudem relevante Sicherheitsvorschriften befolgen und unterliegen regelmäßigen Prüfungen durch die Aufsichtsbehörden.

Können Kunden sich aktiv gegen Open Banking entscheiden?

Kunden können das Ausmaß des Zugriffs jederzeit beschränken und die Berechtigungen auch komplett widerrufen.

Im Falle von Kontoinformationsdienstleistern ist die Zustimmung für 90 Tage gültig, bevor sie erlischt und explizit neu erteilt werden muss.

Die Zustimmung zu einer Zahlung über Open Banking bezieht sich ausschließlich auf diese eine Zahlung.

Variable wiederkehrende Zahlungen wie SEPA-Lastschriftmandate sind in Deutschland aktuell noch von der PSD2-Richtlinie ausgeschlossen.

Wie sicher sind Open-Banking-Zahlungen?

Open-Banking-Zahlungen zeichnen sich durch vier Charakteristika aus, die sie sehr sicher machen:

  • Jede Zahlung verwendet die starke Kundenauthentifizierung (SCA)

    Bei der Aufgabe von Zahlungen über Open Banking werden Kunden stets in ihre Banking-App umgeleitet, um dort eine starke, häufig biometrische Authentifizierung durchzuführen. Die Bank verifiziert dabei, ob ein bestimmter Kunde wirklich ist, wer er zu sein vorgibt. Dafür überprüft sie eine Kombination aus den Faktoren Besitz (z. B. Karte), Inhärenz (z. B. Fingerabdruck) und/oder Wissen (z. B. Passwort).

  • Es werden keine sensiblen Angaben geteilt

    Im Gegensatz zu Kartenzahlungen werden bei einer Open-Banking-Zahlung keine sensiblen Angaben mit dem Händler geteilt. Es kann also nichts abgefangen, gestohlen oder geleakt werden, das zu unautorisierten Zahlungen führen könnte.

    Stattdessen kommunizieren Open-Banking-Anbieter auf sicherem Weg mit der Bank des Kunden, um die Zahlungsanweisungen im Hintergrund weiterzugeben und die Zahlung zu initiieren.

  • Zahlungsanweisungen sind vorausgefüllt

    Wenn Kunden per Open Banking bei einem Unternehmen bezahlen möchten, müssen sie keine Daten zum Zahlungsempfänger eingeben. Stattdessen werden die Angaben im Vorhinein vom Open-Banking-Anbieter ausgefüllt, der ebenfalls kontrolliert, wo das Geld hingeht. Dieses Vorgehen schützt vor menschlichem Versagen und dem Risiko, dass Kunden ihr Geld aus Versehen an Betrüger senden.

  • Open-Banking-Anbieter führen das Onboarding von Händlern durch und prüfen diese sorgfältig

    Wenn ein Open-Banking-Anbieter Zahlungen für einen Händler oder ein anderes Unternehmen durchführt, geht er einen Geschäftsvertrag mit diesem Unternehmen ein und prüft es in diesem Rahmen sorgfältig nach Due-Diligence-Standards. Dies verringert die Wahrscheinlichkeit, dass Händler mit unlauteren Absichten Open Banking für Betrugsversuche nutzen.

    Open-Banking-Zahlungen sind zudem so eingerichtet, dass zwischen Anbieter und Verbraucher eine Beziehung besteht und der Anbieter dem Verbraucher gegenüber bestimmte Verpflichtungen hat. Dazu gehört die Beantwortung von Beschwerden oder die Bearbeitung von Zahlungsproblemen.

Schützt Open Banking Verbraucher noch auf andere Weise?

Open-Banking-Zahlungen sind zwar sicher, doch kein Onlinekauf ist zu 100 % risikofrei. Was passiert also, wenn mit der Zahlung doch etwas schiefgeht? Sind die Kunden dann geschützt?

In aller Kompaktheit: Ja. Nachfolgend finden Sie einige der verwendeten Schutzmaßnahmen:

  • Durch PSD2 wurden seit 2018 die Verbraucherrechte in der EU gestärkt. So besteht nun für Lastschriften in Euro ein bedingungsloser Erstattungsanspruch, im Rahmen dessen das Geld innerhalb von einem Werktag auf das Konto des Kunden zurückerstattet werden muss.

  • Open-Banking-Anbieter müssen Beschwerdeverfahren anbieten, falls Kunden mit der Zahlungsabwicklung unzufrieden sind. Sind sie der Meinung, dass ihre Beschwerde unzureichend bearbeitet wurde, haben sie ferner das Recht, den Fall von einer Ombudsperson prüfen zu lassen, die eine Entschädigung zusprechen kann. Auch eine Meldung bei der BaFin ist möglich.

  • Wenn etwas mit dem Kauf schiefgeht oder Sie mit der bestellten Ware unzufrieden sind, haben Sie in Deutschland bei Onlinekäufen ein 14-tägiges Widerrufsrecht. Manche Zahlungsanbieter bieten zudem einen sogenannten Käuferschutz an.

Als Unternehmen sind Sie ebenfalls gegen Rückbuchungsbetrug geschützt. Schätzungsweise sind bis zu 86 % der Rückbuchungen sogenannte freundliche Betrugsfälle, denen ein Kundenfehler zugrunde liegt. Im Gegensatz zu Kartenzahlungen gibt es bei Open-Banking-Zahlungen keinen Rückbuchungsmechanismus, da Open Banking nicht die gleichen Schwachstellen aufweist wie Kartenzahlungen. Und ohne Rückbuchungen kann es auch keinen Rückbuchungsbetrug geben.


Mit seinen starken rechtlichen Grundlagen und etablierten Sicherheits-Features ist Open Banking eine der sichersten Methoden zur Zahlung und Weitergabe von Finanzdaten. Die Technologie bietet zudem noch viele weitere Vorteile für Händler und Verbraucher.

Wertvolle Insights direkt in Ihren Posteingang
Mit unserem Newsletter informieren wir Sie regelmäßig über wichtige Updates zu Open Banking – über 10.000 Abonnenten empfangen ihn bereits.
Latest
checkout
6 Dec 2024

3 tipping points for change within ecommerce payment experiences

Cart abandonment
2 Dec 2024

How to reduce ecommerce cart abandonment

dev sec ops shared responsibility
27 Nov 2024

Devising a delegated alerts model for SecOps

Categories to explore
Bleiben Sie auf dem Laufenden
Melden Sie sich für unseren Newsletter mit bereits über 10.000 Abonnenten an. Wir liefern alle Neuigkeiten zu Open Banking direkt in Ihr Postfach.
© TrueLayer (Ireland) Limited 2024. TrueLayer (Ireland) Limited is authorised and regulated by the Central Bank of Ireland under the European Union (Payment Services) Regulations 2018 for the provision of Payment Services (Firm Reference Number: C433487). Registered Office: 6th Floor, 2 Grand Canal Square, Dublin 2, D02 A342, Ireland