Outbank-Team fragt Kunden nach persönlichen Banking-Logins. Was tun?
Der am 19. März veröffentlichte Test der Stiftung Warentest hat es deutlich gemacht: Das Leben der Entwickler, die sich hauptberuflich mit dem Bau von Online-Banking-Applikationen beschäftigen, könnte ruhig etwas lockerer sein. Wer mit seiner Banking-App nicht nur eine spezifische Bank, sondern den Umsatz-Abruf von fast allen deutschen Geldinstituten unterstützen möchte, muss Mitte 2015 viele Hürden nehmen.
Zwar bieten die meisten Banken die Konto-Abfrage über die Standard-Schnittstelle HBCI an, eine gesonderte Unterstützung wird der Entwickler-Community in der Regel aber nicht zu Teil.
Klappt der HBCI-Abruf also nicht, oder gibt es zusätzliche Kreditkarten- bzw. Depot-Konten, die sich über die herkömmlichen Wege nicht abfragen lassen, muss improvisiert werden. In den geschilderten Fällen setzten die meisten iOS-Programmierer auf das sogenannte Screen-Parsing, bei dem die Webseite der Bank im Hintergrund geladen wird und die angezeigten Umsätze, maschinenlesbar weiterverarbeitet werden.
Eine nachvollziehbare Strategie und ein Ansatz, für den wir grundsätzlich Verständnis haben; immerhin wollen die Wünsche der App-Nutzer, die auch ihre weniger populären Privat-Banken in der Anwendung abrufen möchten, erfüllt werden.
… Ihre Zugangsdaten für 1-2 Wochen …
Dennoch: Die Leser-Zuschrift, die uns am vergangenen Dienstag erreichte, irritierte uns gewaltig. ifun.de Leser Dirk hatte auf einen Aufruf der Outbank-Macher reagiert, die Beta-Tester für den Abruf von ING-DiBa Konten benötigten. Kurz nach seinem Angebot, gerne als Beta-Tester zur Verfügung zu stehen erhielt Dirk eine Mail, die unter anderem den folgenden Auszug enthielt:
Da wir keine Depots bei der ING-DiBa haben, suchen wir Tester, die bereit sind uns Ihre Zugangsdaten für 1-2 Wochen zur Verfügung zu stellen. Mit den Zugangsdaten können sich unsere Entwickler auf der Website anmelden, und nach Überprüfung der Website die entsprechende Funktion in OutBank einbauen. Selbstverständlich behandeln wir die Daten streng vertraulich.[…]
Was tun? Zwar hätte Dirk sein Konto gerne zur Verfügung gestellt, doch dafür gleich die eigenen Konto-Daten aus der Hand geben? ifun.de hat sowohl die ING-DiBa als auch das Outbank-Team um eine Stellungnahme gebeten.
Wir wollten wissen wie sich die Herausgabe der Konto-Daten mit der AGB der Bank verträgt, wer im Schadensfall haftet und warum die ING keine entsprechenden Schnittstellen zur Verfügung stellt.
Das Feedback der ING-DiBa:
Drittanwender unterstützen wir nicht aktiv, da wir nicht gewährleisten können, dass diese sich immer an die Bestimmungen des Datenschutzes halten. Daher steht nur die standardisierte HBCI Schnittstelle zur Verfügung. Allerdings ist es richtig, dass wir das Depot nicht unterstützen.
In unseren AGBs steht, dass der Kunde seine Zugangsdaten nicht Dritten überlassen soll bzw. darf. Sein Depot kann der Kunde mobil nur in unserer App verwalten oder er gibt, wenn er Drittanbieter nutzt, seine Zugangsdaten jedes Mal ein. Die Zugangsdaten sollen nicht in dem Programm eines Drittanwenders gespeichert werden. Schon gar nicht für Test- und Simulationszwecke.
Das Feedback der Outbank-Entwickler:
Normalerweise gibt es bei Banken keine Testkonten auf deren Produktivsystemen oder Testsystemen die für Externe zugänglich sind. Wenn also bei uns Anfragen von Kunden kommen, die sich eine Integration von neuen Finanzprodukten in OutBank wünschen, versuchen wir zuerst immer selbst diese Produkte (z.B. Konten oder Kreditkarten) zu beantragen. Dies ist aber leider nicht immer praktikabel oder wird auch abgelehnt. Mir selbst wurde z.B. bereits zweimal die Beantragung einer Bahncard Kreditkarte abgelehnt. Die Ursache dafür ist, dass wir bereits alle sehr viele Konten und Zugänge bei verschieden Banken haben. Dies beeinflusst auch das Scoring bei den Ratinganbietern (z.B. Schufa), was dann z.B. zu einer Ablehnung eines Antrags führen kann.
Es kann also passieren, dass wir in unserem Umfeld keine Zugänge zur Integration von neuen Produkten haben. Daher ist es tatsächlich so, dass wir auf die Mithilfe von Kunden angewiesen sind. Wir schreiben explizit Kunden an, die uns wegen einer Integration kontaktiert haben. Wie ihr sicher auch gelesen habt, weisen wir die Kunden auch explizit darauf hin die Zugangsdaten zu ändern. Alle unsere Mitarbeiter unterliegen den Verpflichtungen des Bundesdatenschutzgesetzes und haben zusätzlich dazu auch eine Vertraulichkeitsvereinbarung unterschrieben. Sollte einem Kunden nachweislich ein Schaden durch die Nutzung des Zugangs durch uns entstehen, kommt dafür unsere Vermögensschadenshaftpflicht auf.
Wie Ihr sicherlich wisst, wird der Kunde in OutBank darauf hingewiesen, dass er z.B. beim Speichern der PIN gegen die AGB´s der Banken verstoßen kann. Wir werden diesen Hinweis auch bezüglich der Nutzung von Zugangsdaten im direkten Kundenkontakt ab sofort explizit mit aufnehmen. In den letzten Jahren haben uns viele Kunden auf diesem Weg freiwillig geholfen OutBank für sich selbst und auch für alle anderen Nutzer besser zu machen. Es gab bisher keinerlei Schadensfälle.
Am Ende des Tages liegt die Entscheidung natürlich bei euch.