Die Konsultation der EU-Kommission zur Zahlungsdiensterichtlinie PSD2 läuft bis August. Verbraucherschützer ha­ben Stellung genommen. Frau Mohn, was müssen Banken in dem Segment besser machen? Wie sollten die Vorgaben zur Haftung in der neuen Verordnung aussehen?

Die PSD2 sieht vor, dass im Schadensfall die Zahlungsdienstleister haften müssen. Theoretisch sind Verbraucher also gut geschützt. In der Praxis hapert es aber. Verbraucher können sich nie sicher sein, dass sie sich im Umgang mit ihrem Online-Banking, digitalen Bezahlverfahren oder der EC-Karte korrekt verhalten. Es fehlt an klaren und praktikablen Regeln, deren Einhaltung im Fall der Fälle garantiert, dass ihnen keine grobe Fahrlässigkeit angelastet werden kann, wodurch sie doch für Schäden aufkommen müssten. Welche Kenntnisse und Vorsichtsmaßnahmen können von allen Verbrauchern erwartet werden, und wo liegt ein Verhalten vor, das so unbedarft und riskant ist, dass ausnahmsweise geschädigte Verbraucher für den Schaden aufkommen müssen?

Was werfen Sie Banken vor?

Kreditinstitute nutzen Lücken aus, um die Pflicht zu umgehen, Geldbeträge, die durch unautorisierte Zahlungen abhanden gekommen sind, unverzüglich zu erstatten. Sie behaupten, selbst Ansprüche gegenüber den Verbrauchern zu haben, weil diese ja grob fahrlässig gehandelt hätten. Dadurch lassen die Institute die Pflicht, sofort zu erstatten, ins Leere laufen. Diese Lücken müssen ebenfalls geschlossen werden.

Es gibt Faustregeln, wie zum Beispiel: Meine Bank schickt keine Mails. Was ist das Problem?

Es handelt sich bei diesen Faustregeln weniger um geschriebene Regeln oder Vereinbarungen zwischen Bank und Kunde, sondern vielmehr um Verhaltensstandards, die sich vor der PSD2 eingebürgert hatten und die im Großteil der Fälle vernünftig waren. Durch die vielen verschiedenen neuen Authentifizierungsverfahren, die im Zuge der PSD2 von den Instituten eingeführt wurden, wurden Verhaltensweisen normalisiert, die im Kern gefährlich sind, zum Beispiel die Eingabe mehrerer TAN hintereinander oder das Registrieren einer neuen SCA-Methode nur auf eine E-Mail der Bank hin.

Lässt sich bei der Authentifizierung von Online-Zahlungen die Komplexität reduzieren, und was können die Banken tun?

Die Komplexität ließe sich beispielsweise mit einem einheitlichen TAN-Generator für alle Bankverbindungen reduzieren. Aktiv werden müssen dafür zunächst einmal der Gesetzgeber, später vermutlich die europäische Bankenaufsicht EBA und zuletzt die Banken, Sparkassen und die weiteren betroffenen Zahlungsdienstleister.

Setzen Banken zu stark auf ein Smartphone als Voraussetzung, die Finanzen zu regeln?

Der Trend zum Smartphone ist ein Problem für viele Verbraucher. Für die einen ist das Smartphone zu unsicher, andere fürchten um ihre Privatsphäre, wieder andere können kein Smartphone bedienen. Das nimmt Menschen die Fähigkeit, ihre Finanzen selbst zu verwalten. Das schneidet gerade die Generation ab, die seit Jahrzehnten Online-Banking am heimischen Computer betreibt.

Sie kritisieren den Datenschutz bei Kontoinformationsdiensten. Wie sollte dieser in die Richtlinie integriert werden?

Die EU-Kommission erarbeitet einen Rechtsrahmen für Open Finance – das geht über den bisherigen Zugriff aufs Girokonto hinaus. Wir fordern, dass dieser Rechtsrahmen – anders als die PSD2, die etwas älter als die DSGVO ist – eng an der DSGVO ausgerichtet wird. Verbraucher sollen sich darauf verlassen können, dass sie innovative Finanzdienstleistungen, die ihre teils sehr persönlichen Daten verarbeiten, zuverlässig nutzen können. Eine App, die meine Mietschuldenfreiheit bescheinigt, geht es beispielsweise nichts an, ob ich in einer Gewerkschaft bin. Verbraucher sollen diese Dienste nutzen können, ohne Nachteile fürchten zu müssen, die eine ausufernde Datenverarbeitung mit sich bringen könnte. Dazu gehört auch, dass BaFin und Datenschutzbehörden auf solider gesetzlicher Grundlage zusammenarbeiten.

Soll es Vorgaben bezüglich einer Zusammenarbeit der Aufsichtsbehörden der EU-Länder in puncto Zahlungsdienstleister geben?

Zahlungsdienstleister werden nur von der Aufsichtsbehörde ihres Herkunftslandes beaufsichtigt und bei Verstößen sanktioniert, bieten jedoch ihre Dienstleistungen im gesamten EU-Raum an. Im Grunde muss jede Aufsichtsbehörde die Tätigkeiten „ihrer“ Zahlungsdienstleister im gesamten EU-Raum im Auge haben. Realistischer wäre es, die innereuropäischen Aufsichtsbehörden enger zu verzahnen.

Wie sieht eine Lösung aus?

Das steht allein dem europäischen Gesetzgeber zu und ist daher in der Richtlinie zu regeln. Ich sehe grundsätzlich zwei Varianten einer Lösung: Ein dezentraler Ansatz sähe vor, dass nationale Aufsichtsbehörden die Möglichkeit erhalten, im Fall von Gesetzesverstößen auch gegen Anbieter vorzugehen, die in einem anderen Mitgliedstaat zugelassen wurden. Ein zentraler Ansatz würde der EBA die Befugnis geben, gegen Aufsichtsbehörden einzuschreiten, die untätig bleiben, wenn durch sie beaufsichtigte Unternehmen in einem anderen Mitgliedstaat gegen geltendes Recht verstoßen.

Das Interview führte