Wer zahlt, wenn's schiefgeht? Haftung bei Drittanbieter-Zugriff auf Bankdaten
Wenn eine Finanz-App gehackt wird und Geld vom Konto verschwindet – wer haftet dann wirklich? Ein nüchterner Blick auf die Haftungslücken im PSD2-System und warum manuelles Finanztracking der einzige Weg ist, bei dem sich diese Frage gar nicht erst stellt.
WonderFunds Team6 Min. Lesezeit
Teilen
Deine Daten sind sicher. Keine Bankverbindung nötig.Mehr erfahren →
Wer zahlt, wenn's schiefgeht? Die Haftungsfrage bei Finanzdaten und Drittanbieter-Zugriff
Vor ein paar Wochen hat ein Kollege von uns seine Kreditkartenabrechnung durchgeschaut und eine Abbuchung über 89,99 € entdeckt, die er sich nicht erklären konnte. Kein Abo, kein Online-Kauf, nichts. Nach drei Telefonaten mit seiner Bank und zwei Wochen Wartezeit wurde das Geld erstattet. Aber die Frage, die ihn seitdem beschäftigt: Wer hätte gehaftet, wenn die Bank sich quergestellt hätte?
Diese Frage wird gerade in Deutschland lauter. Und sie betrifft nicht nur einzelne Abbuchungen, sondern das gesamte Modell, nach dem Finanz-Apps auf Bankdaten zugreifen.
PSD2 und das Versprechen, das nicht ganz aufging
Als die EU-Zahlungsdiensterichtlinie PSD2 2018 in Deutschland umgesetzt wurde, war das Ziel klar: mehr Wettbewerb, mehr Innovation, mehr Auswahl für Verbraucher. Drittanbieter, sogenannte Third Party Providers (TPPs), durften plötzlich auf Bankkonten zugreifen, wenn der Kunde zustimmte. Kontoinformationsdienste und Zahlungsauslösedienste wurden legal verankert.
Das Versprechen: Deine Bank bleibt haftbar, auch wenn du über einen Drittanbieter auf dein Konto zugreifst. Klingt gut. Die Realität ist komplizierter.
Eine Studie von ConPolicy im Auftrag des Verbraucherzentrale Bundesverbands (vzbv) hat schon früh festgestellt, dass die PSD2-getriebene Digitalisierung im Finanzbereich nicht ausreichend kontrolliert wird, um Verbraucher- und Datenschutz tatsächlich sicherzustellen. Das Problem: Zwischen dem, was das Gesetz verspricht, und dem, was im Streitfall passiert, klafft eine Lücke.
Wer haftet eigentlich bei unautorisierten Transaktionen?
Auf dem Papier ist die Sache erst mal simpel. Nach § 675u BGB muss dein Zahlungsdienstleister, also in der Regel deine Bank, den Betrag einer nicht autorisierten Zahlung sofort erstatten. Bei grober Fahrlässigkeit des Kunden kann die Bank allerdings den Spieß umdrehen. Und hier wird's knifflig.
Laut dem Zahlungsdiensteaufsichtsgesetz (ZAG) haftet der Kunde bei nicht autorisierten Zahlungen grundsätzlich nur bis 50 €, es sei denn, ihm wird grobe Fahrlässigkeit nachgewiesen. Die Bank muss das beweisen.
Aber was zählt als grobe Fahrlässigkeit? Wenn du deine PIN auf einen Zettel geschrieben und in die Geldbörse gelegt hast, ist das klar. Wenn du aber einem regulierten Drittanbieter per PSD2-Schnittstelle Zugriff auf dein Konto gewährt hast und dieser Anbieter dann gehackt wird? Da wird die Rechtslage deutlich unklarer.
Der Bundesgerichtshof (BGH) hat in den letzten Jahren mehrere Grundsatzurteile zu Bankverträgen und Verbraucherrechten gesprochen, zuletzt zu Gebührenerhöhungen und AGB-Klauseln. Die Frage der Haftungsverteilung bei Datenkompromittierung über Drittanbieter-Zugriffe ist aber noch nicht abschließend geklärt. In der juristischen Fachliteratur wird erwartet, dass der BGH sich in den kommenden Jahren genau damit beschäftigen wird, weil die Zahl der Streitfälle zunimmt.
Das könnte dich auch interessieren
Der Graubereich zwischen Bank und Drittanbieter
Stell dir folgendes Szenario vor: Du nutzt eine Finanz-App, die per API auf dein Konto bei der Sparkasse zugreift. Die App wird kompromittiert. Über die Schnittstelle werden Transaktionsdaten abgegriffen, vielleicht sogar Zahlungen ausgelöst. Du merkst es nach zwei Wochen.
Wer haftet? Die Sparkasse sagt: Wir haben die Schnittstelle ordnungsgemäß bereitgestellt. Der Drittanbieter sagt: Wir waren PSD2-reguliert und hatten alle Sicherheitsmaßnahmen. Und du stehst dazwischen.
Laut PSD2 bleibt die kontoführende Bank grundsätzlich in der Pflicht gegenüber dem Kunden, auch wenn der Fehler beim Drittanbieter lag. Die Bank kann sich dann beim Drittanbieter schadlos halten. So die Theorie. In der Praxis bedeutet das: Du musst erst mal mit deiner Bank streiten, die Bank streitet dann mit dem Drittanbieter, und du wartest.
Drei typische Szenarien und ihre Haftungsfragen
Szenario 1: Phishing über eine Drittanbieter-App. Du gibst deine Bankzugangsdaten in einer App ein, die sich als seriöser Kontoinformationsdienst ausgibt. Ergebnis: Die Bank wird argumentieren, dass du fahrlässig gehandelt hast. Deine Chancen auf volle Erstattung? Schlecht.
Szenario 2: Datenleck beim regulierten Drittanbieter. Du hast einer PSD2-lizenzierten App Zugriff gewährt, die dann gehackt wird. Ergebnis: Die Bank ist erstattungspflichtig, aber der Weg dahin kann lang sein. Der vzbv berichtet regelmäßig über Fälle, in denen Banken sich zunächst weigern.
Szenario 3: Du trackst deine Finanzen manuell, ohne jemals Bankzugangsdaten weiterzugeben. Ergebnis: Die Haftungsfrage stellt sich gar nicht erst, weil kein Drittanbieter-Zugriff existiert. Es gibt keinen Angriffsvektor über eine App-Schnittstelle.
Der Unterschied zwischen diesen Szenarien ist nicht abstrakt. Es geht um echtes Geld. Bei einem durchschnittlichen Girokonto mit 2.800 € Monatseingang kann ein unautorisierter Zugriff schnell vierstellige Beträge betreffen.
Die BaFin schaut genauer hin
Die Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) hat in den letzten Monaten verstärkt auf die Risiken bei Open-Banking-Schnittstellen hingewiesen. Die Aufsichtsbehörde beobachtet, dass die Zahl der Beschwerden über unautorisierte Transaktionen steigt. Gleichzeitig arbeitet die EU an der PSD3, die unter anderem die Haftungsregeln verschärfen soll.
Was bedeutet das praktisch? Die regulatorische Richtung ist eindeutig: Mehr Schutz für Verbraucher, strengere Anforderungen an Drittanbieter, klarere Haftungsregeln. Aber bis diese Regeln greifen, leben wir in einer Übergangsphase. Und in dieser Phase trägst du als Verbraucher ein Risiko, das dir oft nicht bewusst ist.
Tipp
Prüfe regelmäßig, welchen Drittanbietern du Zugriff auf dein Bankkonto gewährt hast. Bei den meisten Banken findest du das unter "Kontoeinstellungen" oder "Drittanbieter-Zugriffe". Bei der ING DiBa geht das über den Bereich "Sicherheit", bei der Sparkasse über das Online-Banking unter "Service". Widerrufe Zugriffe, die du nicht mehr aktiv nutzt.
Manuelle Erfassung: Langweilig, aber haftungsfrei
Ja, wir wissen: Manuell Ausgaben eintippen klingt nach 2005. Aber die Haftungsfrage dreht die Perspektive um.
Wenn du deine Finanzen trackst, ohne einer App Zugriff auf dein Bankkonto zu geben, existiert schlicht kein Angriffspunkt über diese App. Kein API-Zugriff bedeutet keine kompromittierbare Schnittstelle. Keine geteilten Zugangsdaten bedeuten keine Frage, ob du "fahrlässig" gehandelt hast.
Das ist kein Datenschutz-Idealismus. Das ist pragmatische Risikominimierung.
Ehrlich gesagt ist der Aufwand auch geringer, als die meisten denken. Wer abends zwei Minuten investiert, um die Ausgaben des Tages einzutragen, hat am Ende des Monats ein vollständiges Bild. Der Cappuccino für 3,80 € bei der Bäckerei, die 47,99 € für den Streamingdienst, die 220 € Monatskarte für den ÖPNV. Es sind meistens 5-8 Transaktionen pro Tag. Das geht schnell.
Was die Debatte über Bequemlichkeit vs. Kontrolle verschweigt
Die meisten Vergleiche zwischen automatischem Bank-Sync und manueller Erfassung drehen sich um Bequemlichkeit. Automatisch ist einfacher, manuell ist mühsam. Punkt. So wird das Thema normalerweise diskutiert.
Aber diese Diskussion blendet die Haftungsdimension komplett aus. Die Frage ist nicht nur "Was ist bequemer?", sondern "Welches Risiko gehe ich ein, und wer trägt die Konsequenzen?"
Bei automatischem Bank-Sync über PSD2-Schnittstellen gibst du einem Dritten Zugriff auf dein Konto. Das ist ein bewusster Akt, der rechtliche Konsequenzen haben kann. Im Streitfall wird genau geprüft, ob und wie du diesen Zugriff autorisiert hast. Und wenn der Drittanbieter seinen Sitz im EU-Ausland hat, wird die Durchsetzung von Ansprüchen noch komplizierter.
Wir sagen nicht, dass PSD2-Schnittstellen grundsätzlich unsicher sind. Die Regulierung ist streng, die technischen Anforderungen sind hoch. Aber "streng reguliert" und "risikofrei" sind zwei verschiedene Dinge.
Praktische Konsequenzen für deinen Alltag
Was heißt das alles für dich konkret?
Erstens: Wenn du Finanz-Apps mit Bankzugriff nutzt, informiere dich über die Haftungsregeln. Die Verbraucherzentrale hat gute Übersichten dazu, wann du als Kunde haftest und wann nicht.
Zweitens: Dokumentiere, welchen Apps du Zugriff gewährt hast und wann. Falls es mal zum Streitfall kommt, brauchst du diese Informationen.
Drittens: Überleg dir ehrlich, ob der Komfortgewinn durch automatischen Bank-Sync das zusätzliche Risiko wert ist. Für manche Leute ja. Für andere halt nicht. Das ist eine persönliche Abwägung, keine Glaubensfrage.
Die juristische Klärung durch den BGH wird kommen. Bis dahin ist der sicherste Weg, Finanzen zu tracken, einer, bei dem die Haftungsfrage sich gar nicht erst stellt. Nicht weil Datenschutz ein nettes Feature ist, sondern weil du dir im Zweifel den Streit mit deiner Bank sparst.
Und das ist, ehrlich gesagt, ein ziemlich gutes Argument.
