In Reaktion auf meinen Beitrag zur Kundenausforschung durch Sparkassen und Volksbanken
hat mir ein Leser seine Erfahrungen mit der BW-Bank mitgeteilt und durch den Schriftverkehr mit der Bank belegt. Die BW-Bank ist die operative Einheit für Privatkundengeschäft der Landesbank Baden-Württemberg, dem Spitzeninstitut der Sparkassen in Baden-Württemberg, Rheinland-Pfalz und Sachsen. Die LBBW ist eine der zehn größten Banken in Deutschland.
Er bekam von der BW-Bank ein Schreiben, in dem kurz-gefasst stand, dass er künftig nur noch mit einer App seine Kreditkarte mobil oder im Internet würde nutzen können. Ausführlicher:
„Wir hatten Sie über die Veränderungen informiert, die im Zuge der zweiten EU-Zahlungsdiensterichtlinie PSD seit 14. September 2019 in Kraft getreten sind. Auch das bisherige Sicherheitsverfahren für Kreditkartenzahlungen im Internet – 3D-Secure mit SMS mTAN – ist betroffen und in Kürze nicht mehr zulässig. Damit Sie weiterhin Ihre BW-Bank Kreditkarte für Einkäufe im Internet nutzen können,[…] registrieren Sie sich bitte jetzt für das neue Verfahren BW-Secure, denn zukünftig werden Online-Kreditkartenzahlungen nur noch mit der neuen BW-Secure-App möglich sein! Wenn Sie bei der Registrierung Ihre Mobilfunknummer angeben, können Sie direkt auch weitere digitale Dienste der BW-Bank (z.B. Mobile Payment) mit Ihrer Kreditkarte nutzen.
Beigefügt waren die neuen Bedingungen für die Nutzung des BW-Secure-Verfahrens, die als angenommen gelten, wenn Ihnen nicht bis 15. Juli widersprochen wird.
Das ist ein ziemlich radikaler Umgang mit Menschen, die kein als Telefon getarntes Überwachungsgrät haben oder bei sich haben wollen und der Sicherheit der Apps die darauf laufen, misstrauen, ganz abgesehen davon, dass viele Apps eine Ausforschungsfunktion haben. Ich gehöre zu dieser Gruppe. Durch ruppige Unternehmen wie die LBBW werden wir zunehmend de facto gezwungen, ein solches Gerät zu kaufen und bei uns zu führen. Gebietskörperschaften sind auch vorne mit dabei. Erst jüngst war in den Medien zu lesen, dass man künftig eine App installiert haben müsse, um nach Griechenland reisen zu dürfen.
Erstaunlich an dem Vorgang ist, dass die Zahlungsdiensterichtlinie PSD2 bereits seit September 2019 gilt, sodass nicht recht einleuchtet, warum ausgerechnet ab Ende Juli das mTan-Verfahren nicht mehr zulässig sein soll. Andere Banken bieten das mTAN-Verfahren weiter an, auch meine. Dass dieses abgestellt werden müsste, hat man mir jedenfalls nicht mitgeteilt. Ich konnte auch keinen Hinweis finden dass mTAN-basierte Verfahren ab August nicht mehr zulässig sein sollten.
Das neue Verfahren scheint, wenn man es gemäß den Bedingungen der Bank (und den Empfehlungen von Sicherheitsexperten) einsetzen will, die Nutzung von zwei Smartphones oder anderer geeigneter Geräte zu verlangen. Denn laut Bedingungen für die Nutzung darf „das Mobilgerät, mit welchem über die BW-Secure-App die Freigabe der Kartenzahlung bzw. des Vorgangs erfolgt, nicht gleichzeitig für die Online-Kartenzahlung genutzt werden (physische Trennung der der Kommunikationskanäle).
Man muss sich auch damit abfinden, dass Datenkraken wie Google und Apple (diese beiden Unternehmen werden in den Bedingungen ausdrücklich beispielhaft genannt), Informationen erhalten, aus denen sie Schlüsse über die Nutzer ziehen können. Das erfährt man an versteckter Stelle, ohne geeignete Überschrift.
Der Leser schrieb an die BW-Bank:
„Mir steht kein Smartphone oder Tablet zur Verfügung, das über ein hinreichend sicheres Betriebssystem verfügt, um sensible Zahlungsvorgänge per TAN-App durchzuführen. Zudem kann ich nicht gewährleisten, dass Bestell-App, Banking-App und TAN-App nicht auf demselben Gerät installiert sind, was der Zwei-Faktor-Authentifizierung zuwiderläuft. Daher lehne ich Ihre angekündigte Umstellung des BW-Secure-Verfahrens auf TAN-App ab. Zudem widerspreche ich fristgerecht den „Bedingungen für die Nutzung des BW-Secure-Verfahrens (BW-Secure-App mit 3D-Secure-Verfahren) in der Fassung vom 20.4.2020“.
Daraufhin wurde ihm mit Wirkung Ende Juli der Kreditkartenvertrag gekündigt, zusammen mit dem freundlichen Hinweis, dass man die Kündigung zurücknehmen werde, wenn der Kunde seinen Widerspruch zu den neuen Bedingungen zurückzöge. Begründet wurde das so:
„Wir hatten vor dem Hintergrund der gesetzlichen Vorgaben im ersten Schritt keine andere Möglichkeit der Umsetzung, um möglichst vielen Kunden ein sicheres, bequemes und einfaches Verfahren zur Verfügung zu stellen, was auch den regulatiorischen Vorgaben entspricht.[…] Wir arbeiten parallel auch mit Hochdruck an der Entwicklung einer Option für unsere Kunden, welche ihre Bankgeschäfte nicht mit einem Spmartphone durchführen können oder möchten.
PSD2 ist keineswegs über Nacht über die Banken hereingebrochen. Nachdem man jahrelang Zeit hatte, eine Lösung zu entwickeln, wie das andere Banken auch getan haben, tröstet man allen Ernstes Kunden, die kein Smartphone haben (wollen) damit, dass man ihnen, nachdem sie sich für eine Übergangszeit der BW-Bank zuliebe doch eines angeschafft haben, irgendwann vielleicht doch ermöglichen werde, ohne Smartphone Bankgeschäfte zu tätigen.
Auf meine Frage an die Pressestelle der BW-Bank: „Verlangen Sie damit nicht sogar de facto die Nutzung von zwei Smartphones, wenn man mobil einkauft, weil ja Bestell-App und Authentifizierungsapp nicht auf dem gleichen Gerät sein sollen?“, schrieb mit die LBBW bemerkenswerter Weise:
„Technisch ist die Nutzung des Verfahrens auf einen Gerät möglich. Wir werden unsere Bedingungen baldmöglichst entsprechend anpassen.
Hier nimmt man es also mit der Sicherheit nicht so genau. Offenbar merkt man erst jetzt, was man den Kunden hier zumutet und ist bereit, die Bedingungen anzupassen, um mit deutlich weniger Sicherheit mehr Bequemlichkeit zu erreichen. Ganz anders beim Thema mTAN, das auch auf einfachen Telefonen, mobil oder fest, funktioniert. Da ist man offenbar päpstlicher als der Papst, was die Auslegung der Vorschriften angeht:
„Nach unserer Einschätzung ist unser bisheriges Sicherheitsverfahren 3D-Secure mit SMS mTAN nach der PSD2 nicht mehr zulässig. Die Aufsicht hat allerdings Kulanzfristen eingeräumt, da der Handel zum Zeitpunkt des Inkrafttretens der PSD2 am 14. September 2019 noch nicht vollständig bereit war für die Umsetzung.
Nachdem die öffentlichen Banken schon bei der Bargeldverteuerung und -beseitigung immer wieder unangenehm als Vorreiter aufgefallen sind, macht sich nun eine große öffentliche Bank für den Zwang zum Smartphone stark.
Noch zum Thema:
Haben die Banken heimlich die Barüberweisung abgeschafft?