Automatische Logout-Zeit beim Online-Banking und -Brokerage länger als fünf Minuten

Mit der PSD2-Reform hatte die EU u.a. das Ziel, Online-Banking sicherer zu machen. Die konkrete Umsetzung bedeutete für den Verbraucher, sich nun mit einer (im Vorher-Nachher-Vergleich) aufwendigeren Zwei-Faktor-Authentifizierung einloggen zu müssen. Bis hierhin ist denkbar, dass Sicherheitsaspekte den zusätzlichen Aufwand rechtfertigen könnten. Die Umsetzung der Richtlinie in Deutschland ist jedoch übers Ziel hinausgeschossen. Denn gleichzeitig sehen sich seit Sommer 2019 die allermeisten Banken und Broker gezwungen, die Online-Sitzungen nach nur 5 Minuten Inaktivität zu beenden. Das kann sehr anstrengend sein, z.B. wenn man mehrere Überweisungen tätigen will und nach jeder einige Arbeitsschritte außerhalb des Online-Bankings tätigen muss - anschließend muss man sich jedes mal neu einloggen. Oder auch wenn man bspw. über einen gewissen Zeitraum den Markt beobachten möchte und hin und wieder einen Handel tätigen möchte - auch dann muss man sich immer wieder neu einloggen. Ein Sicherheitsgewinn kann hier nur sehr theoretisch hergeleitet werden. Klar: wenn ein Nutzer den Arbeitsplatz verlässt und weiterhin eingeloggt ist, könnte jemand anderes sein Banking nutzen. Das ist mit der 5-Minuten-Regelung aber ebensowenig ausgeschlossen. Zudem sind nur kaum welche solcher Fälle bekannt, schließlich ist den Nutzern das Risiko ja auch bewusst. Es gab nie größere Probleme damit. Für dieses minimale Restrisiko allen Nutzern das Banking durch das Auto-Logout dermaßen zu erschweren, ist völlig unverhältnismäßig.Einige wenige Banken und Broker gestatten dem Kunden weiterhin längere Fristen als fünf Minuten. Sie bewegen sie sich mindestens in rechtlich gefährlichen Grauzonen. Daher halten sich fast alle Banken und Broker aus Vorsichtsgründen an den 5 Minuten fest. Selbst wenn eine Rechtseinschätzung des Bundestages so ausfallen sollte, dass längere Fristen als 5 Minuten bereits möglich wären, bliebe es ein Faktum, dass die allermeisten Banken sich mit Verweis auf die Richtlinie heute nicht trauen, dem Kunden mehr als 5 Minuten anzubieten. Das lässt sich nicht wegdiskutieren und erfordert mindestens eine rechtliche Klarstellung.Die Umsetzung der EU-Richtlinie in Deutschland soll daher so ausgestaltet werden, dass Banken und Broker ihren Kunden rechtssicher, eindeutig und zweifelsfrei erlauben, längere Zeit ihr Online-Banking und -Brokerage nutzen zu können, ohne automatisch ausgeloggt zu werden. Es wäre sogar noch denkbar, die 5 Minuten als Voreinstellung zu belassen, aber es sollte zumindest wieder möglich sein, auch länger den Zugang zu nutzen.