Bankzugangsdaten an Dritte

Hab mich letztendlich doch für eine Finanzierung entschieden und wollte die 2% noch mitnehmen. Ich war dabei etwas überrascht, als ein Anrufer von Tesla offensichtlich selber überrascht war, dass bei mir am nächsten Tag noch nicht die Finanzierung endgültig geklärt war. Er wollte daher wohl mal nachhören, weil es nicht sofort weiter ging.

Klar, ich hab PostIdent gewählt und meine Bankzugangsdaten nicht einem Drittdienstleister übermittelt, sondern musste dafür zur Post. Der Vertrag wird dabei physisch übermittelt. Das ist am nächsten Tag noch nicht automatisch erledigt. Offensichtlich etwas, das unüblich ist.

Sagt mal, ist es heute so selbstverständlich, seine Zugangsdaten für den eigenen Bank-Account aus der Hand zu geben, dass es wirklich überrascht, wenn das einer mal nicht macht?

Konntest du das nur zusammen wählen oder abwählen?

PostIdent hat schon immer gedauert, da hätte ich WebIdent gewählt.

Bankzugang habe ich noch nie jemandem erlaubt, ich denke aber auch, dass das eher nicht zu Verzögerungen führt.

2 „Gefällt mir“

Das Postident hat die Volkswagenbank bei mir per Videochat gemacht.

Hat insgesamt noch keine 10 Minuten gedauert.

Das sind MMN zwei unterschiedliche Dinge. Einmal PostIdent/Webident um die Identität festzustellen. Zum zweiten der Liquiditätsnachweis über den Bank. Zugriff in schnell oder über Validierung der Angaben ggf. Schufa Anfrage etc.
Bankzugriff ist heikel, hier schützt aber 2 factor Auth schon mal. Und man könnte, direkt nach dem Zugriff durch den dritten, das Passwort wechseln.
Ich habe aber auch nie verstanden warum SOFORTüberweisung immernoch ein Businessmodell ist. Die machen das ja auch so und das sieht man zu häufig als dass das niemand verwendet.

Ich habs diesmal tatsächlich gemacht und Santander auf mein Konto gelassen. Mit 2FA und Passwort-Wechsel.

So was hatte ich noch nicht und ich weiß auch nicht, ob ich das machen würde.

Wenn wir mal wieder eine Hypothek brauchen, will die Bank die Kontoauszüge der letzten 3 Montate.

Das sollte eigentlich ausreichen.

Einen direkten Zugang zum Online Banking, um die Liquidität für ein PKW Leasing zu prüfen, finde ich übertrieben.

4 „Gefällt mir“

Zugang zum Konto bekommen die über das Verfahren nicht. Das ganze ist eine API die entwickelt wurde um deine Daten zu bestätigen. Dabei wird über die Website des Anbieters die API gestartet womit du deine Daten verschlüsselt an die Bank sendest. Der Anbieter bekommt dabei keine Daten die du eingibst mit. Er bekommt am Ende nur von der API eine Rückmeldung der angefragten Daten. Einloggen und selbst draufschauen kann der Anbieter damit nicht.
Damit wird nur die Identität deiner Person bestätigt, nicht aber Zahlungsdetails weitergegeben.
Das ist mit der API auch möglich, wird aber nur selten benötigt.

5 „Gefällt mir“

Ja stimmt wohl, da wird so was wie OAuth dahinter sein, also nur ein Token ausgetauscht. Dann brauchst nicht das PW wechseln. Ergibt natürlich mehr Sinn.
Aber wie ich das bei meinem durchlauf verstanden habe, wird bei dem Teil schon auf das Konto geschaut und somit die Liquidität ermittelt. Quasi wird über die API genau das mit den Kontoauszügen der letzten drei Montae gemacht. Was MMN fehlt ist die transparenz. Die Bank sollte einem genau zeigen was übermittelt wurde. Und selbst dann müsste man dahingehend Vertrauen haben.

Das ist ein weit verbreiteter Irrtum.
Du gibst deine Daten an niemanden weiter. Alle von dir übermittelten Daten sind verschlüsselt und unterliegen dem Datenschutz, wodurch sie nur zweckgebunden verarbeitet, gespeichert werden dürfen.

Es ist aus meiner Sicht viel heikler bei Instagram oderFacebook Dinge von sich zu posten als das WebIdent Verfahren.

4 „Gefällt mir“

Erzählen tun die ja viel, aber niemand kann nachvollziehen was da im Hintergrund wirklich passiert. Jede Bank warnt aus gutem Grund eindrücklich davor, Zugangsdaten keinem Dritten zu überlassen, im Schadenfall wird das die Bank als grob fahrlässig werten.
Das Verfahren kam bei uns auch bei Tesla nicht Frage, darum wurde uns die Variante mit dem Video-Call auch über Web-Ident angeboten. War zwar auch nervig, aber gut, da musste man durch. Andernfalls hätte mein Chef die Bestellung für den Tesla widerrufen. Wie ich aber im Service Center erfahren habe, ist das Thema durchaus bei Tesla bekannt und es gibt vermehrt Widerstand. Ich frage mich, warum man auf Wunsch nicht einen Vertrag auf Papier anbietet. Dauert halt ein paar Tage länger, so what?

Die API wurde in Zusammenarbeit mit den Banken entwickelt und ist schon seit Jahren im Einsatz. Würde es da Probleme geben, dann gäbs da schon seit langem nen riesen Aufschrei.
Die Anmeldeserver etc. werden in der API nicht umsonst hinterlegt. Die API greift nicht auf die Standardwebsite der Bank zu und packt dort die Anmeldedaten rein. Das ist eine eigens entwickelte Schnittstelle. Wenn du ne Bank gründen würdest, dann würde die API bei dir erst mal gar nicht funktionieren, bis du dich aktiv dafür entscheidest die API anzubieten.

1 „Gefällt mir“

Hier läuft einiges durcheinander. WebIdent (Online)/PostIdent(Offline) dient NUR der Feststellung der Identität.

Bei WebIdent kann man damit auch die Unterschrift unter einem Vertrag ersetzen und somit voll-digital Verträge abschließen, die sonst eine Identitätsprüfung durch Vorlage eines Ausweises erfordern würden.

Das hat erstmal nichts mit der Kontoeinsicht zu tun. Die dient der Bonitätsprüfung, ist aber i.d.R. nicht erforderlich.

1 „Gefällt mir“

Also in Österreich sagt jede Bank an Dritte unter keinen Umständen Onlinebanking etc Daten zu geben. Verstehe auch den Grund nicht. :thinking:

1 „Gefällt mir“

Die API selbst kann ja durchaus sauber sein. Trotzdem ist es für den Anbieter bzw. deren Mitarbeiter ein Einfaches, die Daten abzugreifen und damit Schindluder zu treiben.

Nur so mal als Beispiel, wieso amüsieren sich Tesla-Mitarbeiter an sensiblen Daten die von den Autos übertragen werden und stellen die ins Netz, wo doch alles so sicher ist?

Jetzt bist du aber wieder ganz woanders……

Über die Autos hat Tesla die Herrschaft über die API nicht…

Sorgt euch lieber um eure Insta und FB posts

1 „Gefällt mir“

Keiner der Mitarbeiter, weder Tesla noch der Dienstleister bekommt je irgendwelche Bankdaten zu sehen. Der Dienstleister bekommt die Daten die er prüfen soll, von der API kommen ebenso nur diese Daten zurück. Diese werden verglichen, alles Vollautomatisiert und entweder alles passt oder ein Mitarbeiter muss sich manuell um den Vergleich kümmern, weil da 1 bis 2 Buchstaben falsch sein können oder die Namen falsch rum eingetragen wurden. Mehr passiert da erst mal nicht.
Da bekommt jemand beim Video Ident verfahren viel mehr zu sehen. Inkl. Aufzeichnung.

Ich habe den Webident-Prozess in dem Moment abgebrochen, als ich die Zugangsdaten meiner Hausbank, die nicht die Santander ist, auf einer Seite unterhalb der Domain der Santander eingeben sollte. (P.S. oder war es direkt bei WebID? Jedenfalls eben gerade nicht bei meiner Bank)

Die Dienstleister - hier mit der Santander und Webident gleich auch noch mehrere - bekommen bei dem Verfahren die Zugangsdaten. Es ist ja schön, wenn das einige vertrauenswürdig finden, weil das nun eine bestimmte API sein soll und da drölf Buttons sind, die mir bestätigen wollen, dass das alles ganz sicher und der Datenschutz gewährt ist, aber wenn damit die Santander die Eingabe auf Ihrer Seite erwartet, dann sieht das technisch nun einmal etwas anders aus und an der Stelle war für mich einfach Schluss.

Weil PostIdent angeboten wurde und dieses heute eigentlich auch zeitnah elektronisch erfolgt, hatte ich mich dann dafür entschieden.

In dem Moment habe ich eventuell nicht darauf geachtet, dass es noch verschiedene Varianten des Webident geben mag. Gibt es hier Varianten, die ohne Angabe der Zugangsdaten auskommen?

2 „Gefällt mir“

Seit wann muss man seine Bankzugangsdaten an Dritte übermitteln?
Postident und Webident ist das gleiche. Du brauchst nur dein Personalausweis dafür.

Ich habe das Prozeder auch heute gemacht.
Es gab zwei Wege bei Santander die Angabe über ausreichen Liqidität zu machen.
1.) Zugriff auf dein Girokonto gewähren. Die werten dann aus ob du Liquide genug bist
2.) Angaben zum Gehalt usw. manuell einzugeben und den letzten Gehalsnachweis hochladen (habe ich gewählt)

Danach musste ich in das Ident verfahren. Auch hier zwei Möglichkeiten:
1.) Irgendetwas mit Überweisung von einem Cent usw… (keine Ahnung was man da hat angeben müssen)
2.) WebIdent - Idenverfahren via VideoChat - hier musste ich auch vielem Zustimmen, aber nichts mit Kontodaten usw. ehen Bilder von mit, vom Ausweis usw.

Da bin ich aber zweimal rausgeflogen hatte erst beim dritten Mal geklappt. und das mit jewiels ca. 25 Min Wartezeit…

Bankeinzugsdaten musste ich bei der Santander angeben, damit die die Rate einziehen können.

Vielen Dank @Dolph, das hilft mir weiter. Im ersten Schritt habe ich ebenfalls 2.) gewählt und im zweiten stand mir wohl nur 1.) zur Verfügung oder ich habe 2.) übersehen - jedenfalls bin ich in einer Maske für die Eingabe der Kontozugangsdaten gelandet und als Alternative stand dann PostIdent zur Auswahl. Das wiederum dauert nun schon fast eine Arbeitswoche ohne irgend eine Rückmeldung darüber, was nun Sache ist.

Doch @carty2560, da gibt es mitunter einen gewissen Unterschied. Bspw. tippt die Person in der Postfiliale nur notwendige Daten ab (das war bei mir so) und macht eben gerade keine umfangreiche Videoaufzeichnung von dir und deinem Ausweis.

Ich warte jetzt erst einmal ab, was noch passiert, da in der Tesla-Hotline heute in mehreren Versuchen kein Durchkommen war.

Mein Fazit ist mittlerweile eine Warnung auszusprechen: Bloß kein PostIdent machen und im Prozess von WebID von Anfang an sorgfältig das Richtige auswählen, zu dem man auch wirklich bereit ist.

Ich habe wohl erst unbedarft auf Konto-Ident geklickt. Das war ein großer Fehler!

Anschließend wollte WebID meine Bankzugangsdaten haben. Daher habe ich den Prozess abgebrochen und PostIdent gewählt. Hierbei muss man zur nächsten Postfiliale und sich authentifizieren. Kein Problem - dachte ich. Die wollen dann noch Geld für den Versand des Vertrages. Auch kein Problem. Peanuts verglichen mit dem Preis des Autos.

Aber es funktioniert nicht. Davon ist angeblich bis heute, über eine Woche später, nichts bei der Bank angekommen. Kann man nur von abraten.

In dem Fall war Vertragspartner von Tesla die Santander Comsumer Bank. Und der Telefonsupport dieses Unternehmens hat keinerlei Ahnung. Sie konnten bei mehrfachen Anrufen (und somit verschiedene Hotline-Mitarbeiter) nicht einmal überhaupt irgend etwas mit meinem Namen finden.

Heute kam dann eine Erinnerung von der Santander, ich möge den Prozess doch bitte abschließen. Mein erster Gedanke: Ach, ist da etwa doch etwas, das nur keiner finden kann!? Darin enthalten: Die Bitte einem Link zu folgen um den Prozess abzuschließen, der umgehend zum Konto-Ident des WebID-Dienstes geht. Keine Möglichkeit Video-Ident auszuwählen.

Das will ich ja gerade nicht, meine Bankzugangsdaten da irgendwo bei WebID eingeben.

Ich habe nun verschiedenes ausprobiert:
Tesla-Hotline: Die können nichts machen außer abwarten
WebID-Support: Ich soll mich an die Bank wenden, die müssen den richtigen Link generieren
Santander-Hotline: Wir haben keine Daten und können nichts machen.

… und das alles, weil ich Blödman vor über einer Woche wohl einmal unbedarft auf den falschen Button geklickt habe und das System daher jetzt in der falschen Schleife fest hängt.

Dumm gelaufen.