Postbank-Kunden sollten vorbereitet sein: Wer bislang seine Bankgeschäfte online tätigt, für den wird der 8. September ein besonderer Tag. Dann verlieren die sogenannten mobilen Transaktionsnummern, kurz TAN, ihre Gültigkeit, zumindest bei der Postbank: Die Bank versendet keine TAN mehr per SMS, mit denen Kunden ihre Bankgeschäfte bislang authentifiziert haben. "Der Postbank ist es wichtig, immer auf dem neusten Stand der Technik zu sein", teilt die Bank recht lapidar auf der Homepage mit. Nutzer sollen stattdessen nun die Postbank-App nutzen oder mit einem Zusatzgerät selbst zu Hause TANs generieren.

Nicht alle Banken in Deutschland sind so radikal wie die Postbank und schalten das TAN-Verfahren per SMS einfach ab. Aber alle Banken müssen ihre Onlinebanking-Verfahren sicherer machen. Am 14. September treten die Vorschriften der Zweiten Zahlungsrichtlinie in der EU in Kraft, kurz PSD2. Sie sieht vor, dass jeder Kunde und jede Kundin künftig bei einer Onlineüberweisung und beim Bezahlen mit der Kreditkarte im Onlineshop nicht nur ein Passwort oder die Kartennummer inklusive Sicherheitscode angeben muss, sondern sich auch mit einem weiteren Faktor identifiziert: Das kann eine TAN sein, ein Passwort, ein digital übermittelter Fingerabdruck oder eine Gesichtserkennung. Die TAN-Listen auf Papier werden ab Mitte September auf jeden Fall ungültig sein.

Kunden und Handel sind verärgert

Die Umstellung irritiert zurzeit viele Bankkunden, sie sind genervt und machen in Onlineforen ihrem Ärger Luft, weil sie ihre Bankgeschäfte und die Zahlungen mit Kreditkarten neu organisieren müssen. Der Branchennewsletter finanz-szene.de scherzt bereits über die "PSD2-Omas", deren Söhne "seit Wochen versprechen, sich endlich um die 'Verified by Visa'-Kiste zu kümmern, es dann aber doch nicht tun". Und auch der Einzelhandel ist verärgert. "Die Zwei-Faktor-Authentifizierung ist deutlich komplizierter, die wenigsten Verbraucher kennen sie. Der Handel muss sie den Kunden erklären, weil die Banken diese Aufgabe teilweise nur unbefriedigend erfüllen", kritisierte kürzlich Ulrich Binnebößel vom Handelsverband Deutschland (HDE). Weil es gerade bei Kreditkartenzahlungen so kompliziert ist, gewährt die Finanzaufsicht Bafin nun seit Mitte der Woche Aufschub. Sie erlaubt Zahlungen per Kreditkarte im Internet vorübergehend mit den bisherigen, einfacheren Sicherheitsbestimmungen.

Am Ende personalisierte Rabatte?

Eine weitere Regelung der Richtlinie steht dagegen bislang kaum im Fokus, dabei könnte sie weitaus größere Auswirkungen auf die Verbraucher haben als die neue Authentifizierung. Um den Onlinewettbewerb zu fördern, beendet Brüssel zugleich das Monopol der Banken auf Kontodaten. Banken müssen, wenn die Kunden zustimmen, nun ihre technischen Schnittstellen zu den Kundenkonten für andere Unternehmen öffnen. Wenig ermöglicht ein so detaillierter und schonungsloser Blick in das Leben der Bürgerinnen und Bürger wie Kontodaten: Wo kauft der Kontoinhaber regelmäßig ein, welche Abonnements hat er, welchen Stromanbieter, zahlt er Beiträge an Vereine, bekommt er Kindergeld, Arbeitslosengeld, wie oft ist er im Minus?

Diese kostbaren Daten wollen Start-ups und Fintechs nutzen. Sie schwärmen von neuen Angeboten, bequemeren Bezahlarten und Dienstleistungen. Für ihre Branche scheint durch die Neuregelung ein neues Zeitalter zu beginnen. Die geplante Öffnung des Bankensektors sei ähnlich umwälzend wie die Liberalisierung des Telekommunikationsmarktes: "Die Umstellung ist vergleichbar wie der Wechsel vom alten Nokia-Knochen zum modernen Smartphone: Ich habe nicht nur die Basisdienste, sondern viele neue Apps, die darauf aufbauen", sagt Michael Salmony, Digital-Banking-Experte bei Equens Worldline, dem europaweit größten Verarbeiter von Zahlungsvorgängen und Transaktionen.

Um mitzumischen, müssen sich die Unternehmen bei der Finanzaufsicht in einem aufwändigen Verfahren registrieren lassen. Die Voraussetzungen sind streng, zumindest hier in Deutschland bei der Bundesaufsicht für Finanzdienstleistungen. Doch der organisatorische Aufwand schreckt nicht ab: Mittlerweile haben sich in Deutschland 16 Firmen registriert, Anfang August bearbeitet die Bafin darüber hinaus noch mehr als 40 weitere Anträge. EU-weit haben mehr als 170 Unternehmen eine Lizenz von der Europäischen Bankenaufsicht erhalten. Die Firmen dürfen, wenn Bankkunden zugestimmt haben, die Kontoinformationen der vergangenen drei Monate abgreifen.

Das große Interesse zeigt, welches Potenzial die Unternehmer in der neuen Regelung sehen. Einige Modehäuser – die allerdings nicht öffentlich genannt werden möchten – wollen mit den neuen Daten etwa ihre Kundenbindungsprogramme ausbauen: Erlaubt der Kundenkartennutzer dem Händler den Kontocheck, erhält der Kunde etwa besondere Rabatte. Der Händler weiß im Gegenzug, bei welchem Konkurrent die Kundin oder der Kunde einkauft und wie viel Geld er dort lässt. Und wer zum Beispiel Beiträge an Greenpeace zahlt, dem könnte eine andere Bank die Anlage in nachhaltige Produkte empfehlen.