comdirect

fireball2 · ‎10.08.2024

Hallo Leute,

bezugnehmend auf diesen und diesen Thread würde ich gerne wissen wollen, welche Rechte so ein Drittanbieter bekommt, wenn ich ihm den Zugriff mittels Zugangsdaten und TAN ermögliche. Ich frage deshalb, weil ich vor kurzem per Klarna Sofortüberweisung etwas gekauft habe und danach in meinem Konto unter Verwaltung -> Drittdienste die Sofort GmbH eingetragen war. Mir ist nur soweit klar, dass comdirect aufgrund PSD2 der Sofort GmbH 90 Tage lang "Zugriff" über eine Schnittstelle gewährt, es sei denn ich lösche dies früher raus. Nun steht auf der Comdirect Seite im Konto unter Drittanbieter u.a. folgendes: "Berechtigungen für Kontozugriffe durch Drittdienste (PSD2)" ... "Abruf von Salden- oder Umsatzinformationen (Kontoinformationsdienst)" ... "Kontodetails zu diesen Konten abrufen." ... "Erlaubnis zur Abfrage der Kontodeckung für Bezahlvorgänge" ... "Informationen zu Ihrem Konto abrufen"

Also ich muss ehrlich sagen, dass diese Art der umfangreichen Kontoeinsicht durch einen FinTech wie Klarna - nur für das Bezahlung einer Ware in Höhe von 50€ - nach meiner Ansicht vollkommen unverhältnismäßig ist! Kann mich mal jemand darüber aufklären, inwieweit ich da Klarna irgendwelche Rechte für mein Konto eingeräumt habe?

Konnten die dadurch die gesamte Kontobewegung/Transkationen der letzten 24 Monate auf meinem Konto sehen? Könnten Drittanbieter Geld abbuchen, egal in welcher Höhe? Besteht auch Einblick und Zugriff auf andere Konten (Depot, Tagesgeld, Kredit, etc.), also nicht nur auf's Girokonto. Könnten die auch Geld umbuchen? Haben diese Drittanbieter diese Rechte tatsächlich 90 Tage lang, obwohl mein Kauf schon nach 5 Tagen abgeschlossen war? Inwieweit weichen die Zugriffsrechte der Drittanbieter von meinen eigenen Rechten beim Online-Banking ab? Könnten die auch eine VISA-Karte sperren, Limits ändern, die Postbox lesen, etc. Kann ich von comdirect eine Auskunft darüber anfordern, welche Zugriffe und Auskünfte sich Klarna von meinem Konto gezogen hat?

Wie muss man sich diese Schnittstelle vorstellen? Male ich hier zu schwarz? Letztendlich hat die Sofortüberweisung ja überhaupt nichts mit einer üblichen Überweisung gemein, denn bei einer simplen Überweisung muss ich niemand 90 Tage lang Zugriff auf mein Konto gewähren?!?!

Schon mal vielen Dank für Eure - hoffentlich beruhigenden - Antworten. Obwohl diese Kritik bei Wikipedia mich nicht gerade beruhigt, oder galt dies nur für Zeiten vor PSD2?

FSQuant · ‎11.08.2024

Leider falsch:

Seit PSD2 ff. sind die Schnittstellen von den Banken verpflichtend bereitzustellen.

Es gibt zwei unterschiedliche Dienste:

PISP - Payment Initiation Service Provider

AISP - Account Information Service Provider

Ein PISP kann auch in Abstimmung mit dir Zahlungen auslösen.

Ein AISP zieht nur Infos (bspw. Kontoauszüge aggregieren o.ä.)

Die meisten sind regulatorisch aber meist direkt als PISP am Markt, da man sich so viele Optionen für die Zukunft sichert und der Antrag bei der BaFin nur einmal gestellt werden muss.

FSQuant · ‎11.08.2024

...ich glaube eher, du hast den falschen PDF Reader 😉 😉

Floppy85 · ‎11.08.2024

Ähnlich wie bei "Sofortu(ü)berweisung.de" - kann man machen, ist aber nicht zu empfehlen, weil man seine Zugangsdaten absichtlich auf einer Seite eingibt, die nichts mit der eigenen Bank zu tun hat - geht sicherlich meistens gut aus, aber ist ein unnötiges Verteilen von eigenen Informationen in den Äther. Dann doch lieber Zahlung mit Kreditkarte oder klassisch per Rechnung.

Deshalb auch nicht Lieferando.de nutzen, sondern die lieferdiensteigene Seite, aber das gehört hier nicht her. ^^

Klever · ‎11.08.2024

@paej schrieb:
@Klever schrieb:

@SMTcomdirect warum erlaubt Ihr eigentlich kein Kopieren von Text aus den AGB (aus der PDF-Datei)?

Wenn man die AGB als PDF-Ausdruck abspeichert kann man daraus (aus dieser Datei) beliebigen Text kopieren.

Ich weiß, dass man diesen "Kopierschutz" leicht umgehen kann. @SMTcomdirect das macht es noch sinnloser, dass Ihr die AGB-PDF-Datei mit dieser Einschränkung online stellt. Warum macht Ihr das?

Edit:

Neben dem "Druck-Trick" gibt es auch Programme (offline) und Online-Dienste, die den Kopierschutz entfernen können.

Online geht das z.B. hiermit: https://www.conversion-tool.de/pdfunlocker/

Ein Passwort muss nicht eingegeben werden, sondern es reicht in diesem Fall aus, auf "PDF-Schutz entfernen" zu klicken.

Klever · ‎11.08.2024

@FSQuant schrieb:
...ich glaube eher, du hast den falschen PDF Reader 😉 😉

Nö! Daran liegt es nicht. Schau Dir doch mal an, welche Rechte bei dieser PDF-Datei vergeben sind und welche nicht.

Ok, ich hab's mal für Dich gemacht:

Alles klar?!

FSQuant · ‎11.08.2024

Nicht ganz richtig:

Wenn du bei Lieferando mit Kreditkarte oder SÜ zahlst, erhält Lieferando als Portal deine Bankdaten _nicht_.

Richtig ist, dass ein Dienst wie Sofortüberweisung deine Daten einmalig entgegen nimmt und sich damit über die Schnittstelle einloggt (bzw. früher Screen Scraping) und dann dort eine Aktion durchführt.

Jedoch: SÜ / Klarna etc. -> die haben alle verschiedenste Audits pro Jahr, ich halte es für ausgeschlossen, dass die deine Bankdaten dauerthaft speichern (also die PIN mitschreiben).

Was die PISP mitschreiben dürfen und für eine bestimmte Zeit lang gültig ist, ist ein spezifisches Token, das in der Gültigkeit aber begrenzt ist (bspw. AISP um fortlaufend Kontoauszüge zu syncen o.ä.) - jedoch: mit diesem Token kann nur gelesen werden, nicht geschrieben werden - für schreibende Aktivitäten benötigt der PISP deine 2FA immer wieder.

FSQuant · ‎11.08.2024

nochmal:

ich sagte es ja - du hast den "falschen" PDF Reader: Eines der Kommerztools, die sich daran halten. Es gibt zig andere Programme aus dem Opensourceumfeld, die den Schutz ignorieren.

Der Screenshot sieht aus wie vom Adobe PDF Reader?

Klever · ‎11.08.2024

@FSQuant schrieb:
nochmal:

ich sagte es ja - du hast den "falschen" PDF Reader: Eines der Kommerztools, die sich daran halten. Es gibt zig andere Programme aus dem Opensourceumfeld, die den Schutz ignorieren.

Der Screenshot sieht aus wie vom Adobe PDF Reader?

Hallo @FSQuant ,

ist in der Tat Adobe Acrobat Reader, aber Nutzung nur für das Bildschirmfoto, da ich die Rechte/Sicherungen anzeigen lassen wollte.

Sonst nutze ich für PDFs einfach meinen Browser und kein zusätzliches Programm.

Früher hatte ich Sumatra PDF https://www.sumatrapdfreader.org/free-pdf-reader genutzt.

Wenn manche Programme den Schutz einfach ignorieren, dann @SMTcomdirect ist der "Kopierschutz" beim AGB-PDF doch sogar noch sinnloser. Warum also?

Grüße

Klever

fireball2 · ‎11.08.2024

Vielen Dank (an die meisten) für die zahlreichen, hilfsbereiten und sachdienlichen Antworten.
Trotzdem sind noch Fragen offen:
1.) Welche Rechte überträgt man nun an Klarna bzw. an die Sofort GmbH bei einer Sofortüberweisung?
    Zahlungsauslösedienst und/oder Kontoinformationsdienst?
    Da Klarna sich selbst das Geld überwiesen hat und trotzdem 90 Tage lang als Drittdienst hinterlegt war,
    müssten es sogar beide Arten von Drittanbietern laut Verbraucherzentrale Niedersachsen sein?!?
    Weiß es zufällig jemand genau?
2.) Welche Rechte räumt die comdirect den Drittdiensten nun genau ein?
    a.) Genau eine Überweisung in beliebiger Höhe?
    b.) Zugriff auf den aktuellen Kontostand (als Schufaersatz)?
    c.) Zugriff auf alle Kontobewegungen der letzten 24 Monate?
3.) Haben die Drittdienste nur Zugriff auf das Girokonto oder doch auf alle Konten?
4.) Kann man sich von comdirect oder Klarna eine Auskunft nach DSGVO anfordern, welche Zugriffe und Auskünfte sich Klarna
    von meinem Konto gezogen hat?
5.) Das Drittdienste auch die VISA-Karte sperren, Limits ändern oder die Postbox lesen können, schließe ich hiermit mal aus.
    Vermutlich gibt das die PSD2-API nicht her? Kann hier jemand Auskunft geben, was genau die PSD2-API der comdirect
    den Drittdiensten ermöglicht und was nicht?

FSQuant · ‎12.08.2024

1. Tatsächlich eine gute Frage, denn:

Klarna ist seit einiger Zeit eine Vollbank, soweit ich mich erinnere - eine Vollbank nach CRR darf auch alles, was im ZAG enthalten ist, soweit von der BaFin nicht ausgeschlossen bzw. wenns beantragt wurde. Daher kannst du jetzt mal paranoider Weise davon ausgehen, dass sie auch Daten ziehen, ist jetzt zumindest mal meine verschwörungstheoretische Vermutung, bin mir aber nicht sicher. Ich würde aber vom Schlimmsten ausgehen.

Das dürfte aber irgendwo in den Datenschutzbestimmungen drinnen stehen, müsstest du dich mal durchklicken.

Wenn das mit den 90 Tagen so stimmen sollte, dann trifft ja meine Verschwörungstheorie zu 🙂

(Denn: Die 90 Tage sind die Standardlaufzeit für diese ganzen Aggregations-Apps wie Finanzguru etc.)

2. Wenn du SÜ machst, räumst du das Recht für diese eine Zahlung ein, denn du musst ja 2FA machen. (musst du bei CC ja bspw. auch machen) - und nicht die Comdirect räumt die Recht ein, sondern du als User 🙂

Wie "weit" der Dienst zurückblättern kann in deinen Umsätzen ist eine gute Frage, ja - das würde mich auch mal interessieren.

3. Du gibst die Daten ja nur für ein bestimmtes Konto ein?

4. Gute Frage - könnte klappen! Community freut sich über Erfahrungsbericht

5. Wenn du die Limits änderst, musst du diese per 2FA bestätigen, soweit ich mich erinnere?

Postbox im Kontext der PSD2:

Rechtsgrundlage:

Artikel 4(15) PSD2 definiert den Kontoinformationsdienst als einen Online-Dienst zur Bereitstellung konsolidierter Informationen über ein oder mehrere Zahlungskonten, die bei einem oder mehreren anderen Zahlungsdienstleistern geführt werden.
Artikel 67 PSD2 legt fest, dass ein AISP ausschließlich auf die Kontoinformationen zugreifen darf, die zur Erbringung des Dienstes erforderlich sind, und nur mit ausdrücklicher Zustimmung des Kontoinhabers.

comdirect

Drittdienste - welche Rechte haben die? z.B. Klarna Sofort GmbH bei einer Sofortüberweisung