Fragen zur PSD2

Für wen gelten die Richtlinien der PSD2?

Die neue Zahlungsdiensterichtlinie gilt im gesamten europäischen Wirtschaftsraum und reguliert Kreditinstitute, E-Geld-Institute und Zahlungsinstitute/Zahlungsdienstleister.

Hat mich meine Bank über die Änderungen informiert?

Sie wurden im Herbst 2017 über die Änderung der Sonderbedingungen zum 13.01.2018 und im Sommer 2019 über die Änderungen der Sonderbedingungen zum 14.09.2019 durch Ihre Bank informiert.

Kann ein Zahlungsauslösedienst ohne mein Zutun eine Zahlung anweisen?

Nein, Sie erteilen dem Zahlungsauslösedienst lediglich Ihre Zustimmung, eine spezielle Zahlung auszuführen. Für jede weitere Zahlung müssen Sie erneut eine starke Kundenauthentifizierung durchführen. In bestimmten Ausnahmefällen kann die Bank auf die starke Kundenauthentifizierung verzichtet.

Warum muss ich mich in manchen Fällen stark und in einigen Fällen nicht authentifizieren?

Im Normalfall müssen Sie sich beim Log-in für Ihr Online-Banking oder für die Auslösung einer Überweisung mit zwei verschiedenen Elementen im Rahmen der starken Kundenauthentifizierung legitimieren.

Jedoch besteht die Möglichkeit, dass die Bank in bestimmten Ausnahmefällen auf die starke Kundenauthentifizierung verzichtet. Beispielsweise, wenn Sie sich in den letzten 90 bzw. 180 Tagen (je nach regionaler Sparda-Bank) bereits mittels einer starken Authentifizierung in Ihr Online-Banking eingeloggt haben oder wenn Sie eine Umbuchung auf ein eigenes Konto innerhalb desselben Instituts auslösen.

Auch Zahlungen mit der Kreditkarte im Internet müssen Sie mittels einer starken Authentifizierung bestätigen.

Warum sehe ich in der Zugriffsverwaltung im Online-Banking nicht, welche Drittanbieter ich berechtigt habe, Zahlungen auszulösen oder Kontoinformationen von Zahlungsverkehrskonten abzurufen?

Gemäß Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) gibt es seit dem 14. September 2019 einen Übergangszeitraum, in dem Dritte Zahlungsdienstleister die vor dem 14.09.2019 verwendeten Schnittstellen (FinTS, Web-Banking) weiter verwenden dürfen, sofern sie bei der BaFin einen Migrationsplan vorlegen. Diese Schnittstellen werden in der Zugriffsverwaltung nicht erfasst, da diese nur auf die PSD2 Schnittstelle (access-to-account) ausgerichtet ist.

Was bedeutet PSD2?

Im Januar 2018 trat die neue EU-Zahlungsdiensterichtlinie, auch bekannt als PSD2 (Payment Service Directive), in Kraft. Daraus ergeben sich Änderungen, die ab dem 14. September 2019 wirksam werden.

Die neue Richtlinie hat das Ziel, das Online-Banking noch sicherer zu machen. Außerdem bietet sie dritten Zahlungsdienstleistern die Möglichkeit, Ihnen neue Services anzubieten.

Was ist ein Drittkartenemittent?

Ein registrierter Drittkartenemittent, beispielsweise ein Transportunternehmen wie Bahn- und Fluggesellschaften oder eine Einzelhandelskette, kann Ihnen zukünftig eine Kundenkarte mit Zahlfunktion anbieten.

Wenn Sie mit diesen Zahlungsmitteln bezahlen, kann die Deckung Ihres Kontos im Rahmen der Zahlung geprüft werden. In der Regel wird die Rechnungssumme über den Kauf erst später von Ihrem Konto abgebucht, möglicherweise auch in einer über mehrere Käufe zusammengefassten Form. Sie müssen einen Drittkartenemittenten einmalig bei Ihrer Bank berechtigen.

Was ist ein Kontoinformationsdienst?

Sie werden von dem von Ihnen ausgewählten Kontoinformationsdienstleister um einen „Account Information Consent“ gebeten, also die Zustimmung, dass dieser in Ihrem Namen auf die von Ihnen angegebenen Girokonten zugreifen darf.

Die Zustimmung erfolgt mit Hilfe einer starken Kundenauthentifizierung, also mit Eingabe Ihrer Online-Banking PIN und einer TAN / Freigabe über die SecureApp. Ihre Zustimmung zur Abfrage und Auswertungen Ihrer Kontoumsätze ist maximal 90 bzw. 180 Tage lang (je nach regionaler Sparda-Bank) gültig.

Der Kontoinformationsdienstleister sollte Ihnen auch eine online-Möglichkeit bieten, eine erteilte Zustimmung zu widerrufen. Sollte dies nicht der Fall sein, haben Sie die Möglichkeit, dies über das Sicherheits-Center in Ihrem Online-Banking zu tun.

Was ist ein Zahlungsauslösedienst?

Zahlungsauslösedienstleister werden Ihnen sehr häufig beim Online-Shopping als Zahlungsmittel angeboten. Hierbei werden grundsätzlich Überweisungen über Ihr Online-Banking ausgeführt. Der Vorteil für Sie liegt darin, dass die Online-Händler die von Ihnen gekauften Waren in der Regel eher versenden, als sie ihr Geld erhalten.

Hier erhalten zukünftig unter der neuen Zahlungsdiensterichtlinie (PSD2) nur noch behördlich beaufsichtigte Dienstleister die Möglichkeit, Ihnen gegenüber als Zahlungsmittel aufzutreten.

Was versteht man unter „Zwei-Faktor-Authentifizierung“ bzw. „starke Kundenauthentifizierung“?

Im E-Commerce mit Kreditkarte wird dies durch die 3D-Secure-Verfahren Mastercard ® Identity Check TM bzw. Visa Secure umgesetzt.

Starke Kundenauthentifizierung bedeutet, dass eine TAN oder ein statisches Passwort allein für einen Bezahlvorgang nicht mehr ausreicht. Vielmehr müssen zwei Faktoren der drei Authentifizierungsklassen gemeinsam vorkommen:

  • Wissen (Wissen des Kunden, z. B. Passwort)
  • Besitz (etwas im physischen Besitz des Kunden, z. B. Mobiltelefon)
  • Inhärenz (biometrisches Merkmal, z. B. Fingerabdruck)
Welche Daten erhält ein Kontoinformationsdienst bei einer Abfrage?

Der Kontoinformationsdienst darf die Salden und Umsätze des oder der Zahlungskonten abrufen und erhält dabei dieselben Daten, die in Ihrem Online-Banking verfügbar sind. Zu den Daten zählen auch die Kontodetails des Zahlungskontos wie beispielsweise der Name des Kontoinhabers.

Eine Abfrage ist dem Kontoinformationsdienst bis zu vier Mal täglich ohne Ihr weiteres Zutun möglich. Nach 90 bzw. 180 Tagen (je nach regionaler Sparda-Bank) erlischt dieses Recht und Sie müssen Ihre Weisung (Consent) mit Hilfe einer starken Kundenauthentifizierung erneut bestätigen.

Wie kann ich dem Kontoinformationsdienst meine Einwilligung entziehen?

Sie können dem Kontoinformationsdienst Ihre Einwilligung (Consent) über das Sicherheits-Center in Ihrem Online-Banking entziehen.