@Flo1979#232813 Gibt es denn irgendwo Infos darüber hier?

Mir ist kein Info-Topic o. Ä. dazu bekannt. Aber du hast Recht, der Vorgang läuft jetzt anders ab. Klarna verbindet sich als PSD2-Dienstleister per OAuth-API von bunq mit dem Konto deiner Wahl und bereitet die Zahlung vor, du musst sie dann noch mal in der App annehmen. Klarna nutzt also dieselben Schnittstellen, die auch jeder andere Zahlungsdienstleister nutzen kann, und hat nun keine exklusive Integration mehr mit bunq.

Damit ist nun auch leicht nachzuvollziehen, wie sehr der Zugriff auf dein Konto durch Klarna beschränkt ist, siehe die API-Dokumentation für PISPs. Sie können also deinen Namen und IBAN(s) auslesen und die Zahlung vorbereiten, sonst nichts. Dein Kontostand, deine Transaktionen oder weitergehende persönliche Daten über dich bleiben außen vor.

Diese Änderung würde ich insgesamt als recht erfreulich ansehen. Nun sollten auch diese Probleme definitiv der Vergangenheit angehören: https://together.bunq.com/d/24145

@Flo1979#232817 eine Übersicht in der App, welche Verbindungen es schon so gibt.

Die findet sich unter Profil > Einstellungen > Sicherheit und Einstellungen > Meine App-Verbindungen (ganz unten). Du solltest dort einen Eintrag "SOFORT GmbH" wiederfinden. Du kannst dort dir anzeigen lassen, auf welche Konten der Zugriff besteht (wobei "Zugriff" natürlich im Falle von Sofort hier nur im Rahmen der Möglichkeiten als PISP bezeichnet, also keinen Zugriff auf Transaktionsdaten oder Kontostand). Außerdem lässt sich dort die Verbindung auch wieder entfernen.

da der Händler vor der Buchung ohnehin eine Anfrage starten muss

Das ist so richtig. Das gilt sogar für alle Verbindungen über die OAuth-API, egal ob die Verbindung zu einem PISP, AISP, etc. hergestellt wurde. Da muss man sich also relativ wenig Sorgen machen. Wirklich gefährlich kann es nur werden, wenn man seinen API-Schlüssel einfach so rausgeben würde. Das ist dann aber nicht mehr OAuth und geht nicht so einfach per QR-Code-Scan, kann also nicht mal "aus Versehen" passieren.

Interessant wäre an der Stelle, ob Sofort für jede einzelne Zahlung eine neue OAuth-Verbindung aufbaut oder die bereits bestehende Verbindung erneut nutzen kann. Macht nicht wirklich einen Unterschied für irgendwas, aber die Liste an Verbindungen wäre dann weniger übersichtlich... :P

@Flo1979#232819 Das alte Verfahren via QR Code scan entsprach der weitergabe eines API Schlüssels in Verbindung mit Summe X, die gebucht werden sollte/durfte?

Das alte Verfahren lief über eine spezielle Integration von bunq mit Sofort, nicht über die öffentliche API. War mit aller Wahrscheinlichkeit also auch sehr robust und abgesichert, nur nicht öffentlich dokumentiert wie die Schnittstelle, die jetzt genutzt wird. Rechte vergleichbar mit dem Zugang per API-Schlüssel kann und konnte man Gott sei Dank nicht so einfach per QR-Code vergeben.

es wird für jede Zahlung eine einzelne Verbindung aufgebaut

Gut zu wissen. Mal sehen wie das langfristig aussieht. Theoretisch hätte Sofort auch die Möglichkeit, die Verbindungen nachher wieder zu entfernen. Vielleicht geschieht das ja nach einiger Zeit, ansonsten müsste man es selbst machen, falls es einen stört.

@Flo1979#232827 oft, Monate zurückgesetzt werden?

Nach max. 3 Monaten muss die Verbindung "aufgefrischt" werden, damit der Zahlungsdienstleister weiterhin die Verbindung nutzen kann, die Verbindung an sich erlischt aber meines Wissens nach nicht. Schauen wer mal.