comdirect

---

@haxo  schrieb:

Das alte "comdirect-Mitarbeiter-verhindert-Millionenbetrug-indem-er-am-"Hallo"-männlich-und-weiblich-unterscheidet"-Problem. 

---

Betrug ist eine Sache, aber ich denke darum geht es primär nicht mal. Es geht darum, dass die Bank feststellen können muss wer wann auf das Konto zugegriffen hat. Das wird eben anhand der unterschiedlichen Zugänge gehandhabt. Wenn jetzt jemand anderes die Daten nutzt ist die Nachweisbarkeit nicht mehr gegeben. Mal abgesehen davon gibt es ein Bankgeheimnis. Und ob das nun der Partner ist oder wer auch immer, ist in dem Sinne völlig egal. Wer keine Vollmacht hat erhält keine Auskunft zum Konto.

Das ist ja auch im Falle von Rechtsstreitigkeiten (außerhalb von Betrug) durchaus relevant. Nehmen wir an ein Ehepaar hat ein Gemeinschaftkonto, später gibt es mal Zoff und man entscheidet sich getrennte Wege zu gehen. M meldet sich nun mit den Daten von F (online oder telefonisch) und überweist das gesamte Guthaben auf ein eigenes Drittkonto. Nun kommt es zum Rechtsstreit und M weist die Anschuldigung eine Überweisung getätigt zu haben von sich. Nun gibt es eine Anfrage bei der Bank wer die Überweisung veranlasst hat. Antwort der Bank: Die Überweisung wurde durch F beauftragt. Und nun sitzt F auf dem Trockenen.

Natürlich nur ein Beispiel, aber es gibt sicherlich genug andere Szenarien. Bei Wertpapier/Orderthemen ist das auch eine regulatorische Anforderung nach MiFID, dass der Erfasser der Order eindeutig identifizierbar sein muss.

Und genau deshalb sind die Zugangsdaten geheim und das auch in den AGB so geregelt. Es geht nicht darum Steine in den Weg zu legen sondern eine Nachweisbarkeit sicherzustellen.

Ich verstehe auch ehrlich gesagt die Leichtfertigkeit nicht mit der Logindaten einfach weitergegeben werden, egal ob das nun der Partner ist oder nicht. Wenn ich möchte dass meine Partnerin auf mein Konto zugreifen darf, dann erteile ich eine Vollmacht, das ist schließlich Sinn des Ganzen. Und das ist doch bei Filialbanken nicht anders. Wenn meine Partnerin dort ohne eine Vollmacht für mein Konto aufschlägt erhält sie (hoffentlich!) doch auch keine Auskunft vom Mitarbeiter.

@Tarulia 

Grundsätzlich haben die von Dir angeführten Argumente natürlich Hand und Fuß, im Detail wird die Sache aber durch die comdirect leider einiges rigider gehandhabt als erforderlich.

Beispiel, das mir selber schon passiert ist:

---

@Tarulia  schrieb:

Ich verstehe auch ehrlich gesagt die Leichtfertigkeit nicht mit der Logindaten einfach weitergegeben werden, egal ob das nun der Partner ist oder nicht. Wenn ich möchte dass meine Partnerin auf mein Konto zugreifen darf, dann erteile ich eine Vollmacht, das ist schließlich Sinn des Ganzen.

---

Wegen irgendeiner Frage zum Depot meiner Frau hatten wir vor einiger Zeit mal die Hotline angerufen und dazu ihre Zugangsdaten genutzt. Als sich der Mitarbeiter meldete hatte meine Frau gerade kurz das Zimmer verlassen, so dass ich mich meldete. Zwar habe ich eine Vollmacht, deren Zugangsdaten wurden aber ja nihct verwendet.

Ergebnis: Der Zugang wurde sofort gesperrt. Als meine Frau wieder in den Raum zurück kam konnte sie nur noch erfragen, wie sie vorzugehen habe um die Sperre wieder aufzuheben. Selbst die Beteuerung sie persönlich habe die Daten eingegeben und sei ja jetzt da hat daran nichts geändert.

---

@Tarulia  schrieb:

Bei Wertpapier/Orderthemen ist das auch eine regulatorische Anforderung nach MiFID, dass der Erfasser der Order eindeutig identifizierbar sein muss.

---

Falls das so sein sollte, dann hieße das, dass sich beispielsweise die ING nicht MiFID-konform verhält.

Dort bekommen bevollmächtigte Personen keine eigenen Zugangsdaten sondern nutzen die gleichen wie der Kontoinhaber. Auch die Geräte zur TAN-Freigabe sind keinen speziellen Personen zugeordnet.

---

@GetBetter  schrieb:

Ergebnis: Der Zugang wurde sofort gesperrt. Als meine Frau wieder in den Raum zurück kam konnte sie nur noch erfragen, wie sie vorzugehen habe um die Sperre wieder aufzuheben. Selbst die Beteuerung sie persönlich habe die Daten eingegeben und sei ja jetzt da hat daran nichts geändert.

---

Ich kann da beide Seiten verstehen. Auf der einen Seite klar deine Frau hat die Daten eingegeben und du hast sie nicht.

Andererseits: Abgesehen von der Aussage, wie soll der Betreuer am Telefon das feststellen? Klar kann man dann argumentieren "Wenn die Frau dran ist kann er das auch nicht eindeutig feststellen." - ist zwar richtig, aber zumindest kann er beim Mann eindeutig feststellen, dass er nicht Inhaber der Daten ist. Wenn die Frau dran ist darf er zumindest davon ausgehen, dass es die korrekte Kundin ist. Stichwort Anscheinsbeweis

---

@GetBetter  schrieb:

Falls das so sein sollte, dann hieße das, dass sich beispielsweise die ING nicht MiFID-konform verhält.

Dort bekommen bevollmächtigte Personen keine eigenen Zugangsdaten sondern nutzen die gleichen wie der Kontoinhaber. Auch die Geräte zur TAN-Freigabe sind keinen speziellen Personen zugeordnet.

---

Keine Ahnung wie das bei anderen Banken gehandhabt wird. Die Regulierung findest du aber unter MiFID Client Identifier for Natural Persons (CINP). Das Thema wurde auch schonmal hier am Rande angesprochen:

Re: Depoteröffnung Doppelte Staatsbürgerschaft - comdirect

Dass die TAN-App bei comdirect personengebunden ist ist eher eine technische Gegebenheit. Bei der "alten" TAN-App ging es ja auch für mehrere Personen und beim Lesegerät geht es nach wie vor. Das hat mit der Regulierung ja nichts zu tun.

Wobei sich die comdirect mal überlegen sollte, dass sie nicht nur ihre Kunden nervt, ungleich behandelt, denn mit einem Ehemann wäre dir das nicht passiert, aber vor allem ihre Mitarbeiter in allergrößte Schwierigkeiten bringen kann. 

Wenn ich das nächste Mal bei der Hotline anrufe melde ich mich mit hoher Stimme als "Uschi Haxo" mit Erkältungsschwierigkeiten. Was macht der MA dann? Drohen? Ablehnen ohne "Beweis"? Gibt es dafür eine Arbeitsanweisung? Bekommt er oder sie eine Abmahnung wenn die Sache schief geht?

Fragen über Fragen und m.E. ist das Prozedere weniger relevant, als die willkürliche Truschigkeit mit der hier Bankangelegenheiten "gelöst" werden. Als ob jemand, der wirklich an die Kontodaten gekommen ist, im Endeffekt so dämlich wäre bei einer Kontoinhaberin nicht mit weiblicher Stimme anzurufen.

Kafkaesk.

hx.

Die Arbeitsvorgaben kenne ich natürlich nicht aber ich würde mal davon ausgehen, dass eine Ablehnung nicht disziplinarisch geahndet werden würde, mit dem Argument dass Sicherheit einfach vorgeht. Ich denke im Fall der Fälle schlägt man sich lieber mit einer Reklamation rum anstatt im Zweifel einen Schaden zu haben. Aber naja, auch nur Spekulation.

Ich verstehe bei diesen ganzen Diskussionen nicht, dass offensichtlich niemand den zentralen Punkt sieht oder sehen will:

Diese bescheuerte Abfrage ist Null-Sicherheitsaspekt. Bei dem Anruf einer weiblichen Person ist eine Frau dran, nicht die Frau.

Bei Anruf bei der Hotline durchläuft man exakt eine Sicherheitsanforderung mehr:  Anruferstimme klingt wie Kontoinhabergeschlecht: Y/N

1. Wo soll dieses willkürliche Kriterium auch nur ein Minimum mehr an Sicherheit sein?

2. Warum wird bei der Telefon-Hotline überhaupt ein zusätzliches Kriterium verlangt? Mit PW und Zugangsnummer kann ich online die gleichen Aufträge erteilen.

Sinnloser Schritt.

---

@haxo  schrieb:

Diese bescheuerte Abfrage ist Null-Sicherheitsaspekt. Bei dem Anruf einer weiblichen Person ist eine Frau dran, nicht die Frau.

---

Richtig, sagte ich ja: "Anscheinsbeweis"

Und wie gesagt ich denke am Ende geht es weniger um Sicherheit sondern eher um die Nachweisbarkeit wer etwas im Konto veranlasst hat. Klar kann das die Bank im Onlinebanking auch nicht prüfen, aber da hat sie eben auch keinen direkten gegenteiligen Nachweis.

Abgesehen davon geht es in einem gewissen Rahmen wahrscheinlich auch einfach "ums Prinzip" weil das nunmal die AGB sind.

Ich verstehe wiederum bei der Diskussion nicht was so schwer ist einfach mit den eigenen Daten anzurufen und die eben geheim zu halten 😉

Von Sicherheit hatte ich ja (zumindest in meinem ersten Post) auch gar nicht gesprochen, eher im Gegenteil. Im zweiten Post war es vielleicht das falsche Wort, gemeint war dasselbe wie im ersten.