Diese Anfrage überrascht derzeit viele Kunden: Wer bei der Deutschen Bahn (DB) online eine Fahrkarte kaufen möchte, muss jetzt während der Buchung sein Bankkonto durch einen externen Dienstleister verifizieren lassen. Dafür müssen sich die Kunden im Online-Banking-System ihrer Bank anmelden – einschließlich PIN. Viele Kunden sind verunsichert, auch in sozialen Netzwerken mehren sich kritische Kommentare.
Er könne nicht nachvollziehen, weshalb er seine für Dritte nicht zulässige Login-Daten bei der Buchung einer Fahrkarte eingeben müsse, kritisiert Lothar Fritzsche aus Offenburg. Seine Bank habe ihm auf Anfrage geraten, auf keinen Fall diese Daten an Dritte weiterzugeben. „Ich gebe höchst ungern meine Kontodaten an Dritte weiter“, beschwerte sich ein weiterer Kunde. „Meine Bank verbietet dies in ihren ABG explizit und übernimmt bei Missbrauch keine Haftung“.
Wie das Verfahren abläuft
Zur Verfügung gestellt wird das Bestätigungs-Procedere der Bahn von den Technik-Dienstleistern Tink und Verimi. Die DB erhalte nur die Information über den erfolgreichen Login, erklärt das Unternehmen. Das Verfahren und die Sicherheitsregeln für die Bestätigung von Bankkonten sei durch die EU-Payment Services Directive 2 (Zahlungsdienste-Richtlinie) gedeckt. Jene Kunden, die kein Online-Banking haben, könnten ihre Identität über Verimi per Foto-Ident mit einem Ausweis oder Führerschein nachweisen oder per eID, also der Online-Ausweisfunktion.
Dennoch kritisieren Datenschützer die Vorgehensweise. „Wenig verbraucherfreundlich ist es, wenn Kunden nur solche Zahlungsmöglichkeiten angeboten werden, welche die Verifizierung über Verimi und Tink benötigen“, sagt Christine Steffen, Referentin für Digitales und Datenschutz bei der Verbraucherzentrale NRW. Das sei zum Beispiel beim Deutschlandticket der Fall, das nur per Lastschrift buchbar sei. „Auch wir haben Beschwerden erhalten, jüngst auch zu einzelnen Ticketverkäufen“.
Verimi und Tink sind etablierte Firmen
Die beiden Fintech-Unternehmen Verimi und Tink sind vielen Menschen komplett unbekannt, obwohl die Liste der Firmen, die ihre Dienste in Anspruch nehmen, beeindruckend lang ist. Die Deutsche Bahn gab die Zusammenarbeit für die Einrichtung von Lastschriften vor wenigen Monaten bekannt: Der Account-Check von Tink funktioniere durch eine sofortige Überprüfung der Kontodetails mithilfe von Echtzeitdaten direkt vom Bankkonto eines Benutzers – natürlich nur, sofern dessen ausdrückliche Zustimmung vorliegt.
Doch hätten die Kunden kaum eine Wahl, wollen sie sich nicht in überfüllten Schalterhallen in die Schlange stellen, kritisieren Verbraucherschützer. Die Bahn argumentiert, durch die Überprüfung der Kontodaten werde das Betrugsrisiko verringert, da die Informationen direkt von der Bank des Benutzers stammen. Dadurch würden betrügerische Lastschriftmandate verhindert. Wie oft solche Betrügereien vorkommen und welchen finanziellen Schaden sie anrichten, wollte ein Sprecher nicht sagen.
Verunsicherung und Unbehagen auch bei Datenschützern
„Sollte eine Lastschrift scheitern, kann ein elektronisches Ticket doch problemlos gesperrt werden“, ärgert sich ein Kunde im Netz. Für nicht ganz nachvollziehbar hält auch Datenschützerin Steffen die Argumentation der Bahn.
Verbraucher würden gerade im sensiblen Umgang mit ihren Bankdaten durch Einbindung immer neuer Dienstleister zunehmend in Situationen gelenkt, in denen sie sensible Informationen mit Dritten teilen sollen. Das führe zu Verunsicherung und Unbehagen, weil es im Widerspruch zu grundlegenden Schutzmaßnahmen stehe und neue Risiken schaffe, so Steffen: „Wo Daten sind, können sie missbraucht werden“.
„Ich bin sicher, dass zahlreiche DB-Kunden im Vertrauen auf die staatliche Bahn ihre Daten an eine dieser privaten Unternehmen weitergeben, die auch nicht vor Angriffen sicher sind“, kritisiert Lothar Fritzsche.
Die Bankenaufsicht Bafin warnt im Zusammenhang mit Open-Finance-Dienstleistungen unter anderem davor, dass Kunden vom Zugang zu Finanzprodukten ausgeschlossen werden, wenn sie dem Datenzugriff durch Dritte nicht zustimmen wollen oder können. Auch hält die Bafin Sicherheitsrisiken für denkbar, nicht zuletzt durch sich verstärkende oder neu entstehende Marktkonzentration bei datengetriebenen Anbietern.
