comdirect

eckhardschnell · ‎08.07.2019

in der neuen AGB (ab 14.9.23019) steht folgender Satz unter 2.3

„Die Authentifizierung des Teilnehmers erfolgt, indem der Teilnehmer gemäß der Anforderung der Bank das Wissenselement, den Nachweis des Besitzelementes und/oder den Nachweis des Seinselementes an die Bank übermittelt.“

Das SeinsElement ist lt, AGB:

„Seinselemente, also etwas, das der Teilnehmer ist (Inhärenz, z. B. Fingerabdruck als biometrisches Merkmal des Teilnehmers).„

Könntet Ihr bitte einmal präzisieren wie Ihr euch die Übermittlung des Nachweises des Seinselements an die Bank vorstellt?

Oder anders gefragt, wie soll den der Nachweis des Seinselementes erbracht werden?

Ich denke das ist ein NoGo, das ich euch z.Bsp. meinen Fingerabruck übermittle.

Dabei stellt sich natürlich auch die Frage, mit welcher Methode wollt Ihr den diesen erfassen?

Ich weiß das ist scheinbar ein Standardbaustein, den ab dem 14.9.2019 mehrere Banken verwenden, trotzdem wirft dieser Fragen auf und ich kann diesem so nicht zustimmen.

Mit freundlichen Grüßen

Eckhard Schnell

Necoro · ‎08.07.2019

Hallo @eckhardschnell,

prinzipiell wäre es sehr merkwürdig, wenn Banken nun große Fingerabdruck-Datenbanken anlegen würden. Da dort aber "Nachweis des Seinselements" steht, glaube ich, dass damit folgendes gemeint sein könnte: Du hinterlegst an deiner Comdirect App deinen Fingerabdruck. Das wird nicht an die CoDi gesendet, sondern nur mit einem anderen Faktor authentifiziert. Nun wird es erlaubt, dass später, zur Authentifizierung, die CoDi-App wieder den Fingerabdruck einliest und den mit der bei sich lokal hinterlegten Information vergleicht. Wenn das ok, übermittelt die App ein "alles roger!" an die Bank und du bist authentifiziert.

In meinen Augen ist das nix anderes als in der iWelt eh schon gang und gäbe ist, nur diesmal mit juristischem Unterbau.

eckhardschnell · ‎08.07.2019

Hallo @Necoro ,
ja das denke ich auch das das so gemeint ist, aber so steht’s nicht drin in der AGB.
Es steht nur lapidar drin „der Nachweis des SeinsElement wird übermittelt“.
In der AGB steht nicht drin was ein Nachweis ist oder was mit übermittelt gemeint ist.

Allerdings ist ja nicht so das die App jemals den Fingerabdruck zu „Gesicht“ bekäme, zumindest bei iOS, (Android kenne ich mich nicht aus). Die App kann den Fingerabdruck nur mit Hilfe des SecureElements verifizieren lassen (um das mal einfach auszudrücken).

Der Paragraph ist schwammig und interpretierbar.
Vielleicht sollte die Bank einfach klarstellen, das keine biometrischen Daten gespeichert und übermittelt werden. Das wäre auch aus DSGVO Gesichtspunkten wünschenswert.
Grüße

Eckhard

SMT_Philipp · ‎08.07.2019

Hallo @eckhardschnell,

ab dem 14.09.2019 besteht die Pflicht der „Starke Kundenauthentifizierung“ gemäß der zweiten europäischen Zahlungsrichtlinie (PSD2). Zu diesem Datum müssen Banken aufgrund gesetzlicher Vorgaben technische und vertragliche Anpassungen im Online-Bankings und beim Bezahlen im Internet vornehmen. (Deshalb findest du diesen "Standardbaustein" auch bei anderen Banken.)

Wir verwenden Biometrie nur als Convenience-Funktion, damit du als Kunde in der App nicht jedes Mal dein Passwort eingeben musst. Der lokale Passwortschutz bzw. ersatzweise Schutz durch Biometrie ist nicht Teil der Zwei-Faktor-Authentifizierung. Diese findet bei comdirect durch die anfänglich eingegebenen und hinterlegten Zugangsdaten („Wissen“) und durch den per App2App-Verbindung hinterlegten Token (TAN also „Besitz“) statt.

Die biometrischen Daten werden zu keinem Zeitpunkt an comdirect übermittelt, sondern bleiben wie bisher lokal auf dem Endgerät gespeichert. Die Nutzung biometrischer Daten ist und bleibt für den Kunden freiwillig.

Viele Grüße

Philipp

In der Kürze liegt die Wü

GordonLegacy · ‎08.07.2019

Es ist schließlich nicht die einzige Authentifizierungsoption, drei davon stehen zur Auswahl. Und die meißten nutzen diese bereits regelmäßig. Und die Bank wird/will es sich auch nicht unnötig kompliziert machen. Beim Smartphone läuft es bezüglich des Fingerabdruckes in die Firmenpolitik der Anbieter rein, und ist nur die Konsequenz aus dem Kosumentenverhalten.

-- We go to our utmost, to bring you the best --

eckhardschnell · ‎08.07.2019

Hallo @SMT_Philipp ,

dann wäre es doch schön, wenn die Juristen das auch so schreiben würden. Warum fügt man denn diesen hilfreichen Satz

„Die biometrischen Daten werden zu keinem Zeitpunkt an comdirect übermittelt.

nicht der AGB hinzu?

Und Danke für Deine Antwort.

Grüße Eckhard

GordonLegacy · ‎08.07.2019

Die AGB sind erst mal der 'Standard' für die breite Masse. Einzelklauseln kann die entsprechende Vertragspartei bei den Einzelbedingungen vertraglich festhalten.
Es kann aber bewusst aus den AGB herausgelassen worden sein um noch Spielraum zu haben, z.B. bei der technischen Entwicklung, da sind biometrische Daten das neue Gold (3€ ins Phrasenschwein)

-- We go to our utmost, to bring you the best --

SMT_Philipp · ‎08.07.2019

Danke für deinen Hinweis, @eckhardschnell, ich gebe deinen Wunsch gerne weiter.

Viele Grüße

Philipp

In der Kürze liegt die Wü

comdirect

Änderung AGB comdirect zum 14.9.2019 (SeinsElement Fragen)