PSD2 Zahlungsverkehrsrichtlinie

PSD2 – Was das im Zahlungsverkehr bedeutet


PSD2 (Payment Services Directive2) ist der Name einer europäischen Zahlungsdiensterichtlinie. Sie soll den Geldtransfer innerhalb der EU sicherer machen, Verbraucherrechte stärken und die Bedingungen im europäischen Zahlungsverkehr vereinfachen.

Mehr Schutz und Sicherheit im Banking


Profitieren Sie vom zusätzlichen Schutz für Ihr Konto

Mit PSD2 wird der Online-Zugriff auf Ihr Konto stärker geschützt. So werden Sie bei der Anmeldung ins Online-Banking immer aufgefordert, zusätzlich zu Ihren Login-Daten eine Transaktionsnummer (TAN) einzugeben. Das bedeutet mehr Schutz und Sicherheit für Ihre Konten.

So funktioniert die neue 2-Faktor-Authentifizierung:


  • Login mit zusätzlicher TAN-Abfrage
alt

Antworten auf Ihre Fragen

Was bedeutet „Starke Kundenauthentifizierung“ bzw. „2-Faktor-Authentifizierung“?

Eine „starke Kundenauthentifizierung“ setzt mindestens zwei der folgenden Faktoren voraus:

„Besitz“ = etwas, was nur der Kunde besitzt (z.B. TAN, Chipkarte)

„Wissen“ = etwas, was nur der Kunde weiß (z.B. PIN bei Login)

„Biometrie“ = etwas, das nur dem Kunden körperlich eigen ist (z.B. Fingerabdruck / Touch ID, Face ID)

Gilt die 2-Faktor-Authentifizierung auch für HBCI PIN/TAN?

Ja. Auch bei der Nutzung von Software-Produkten, wie z.B. StarMoney, müssen Sie in Zukunft alle 90 Tage eine 2-Faktor-Authentifizierung durchführen. Es ist somit notwendig, dass Sie als abrufender Nutzer über ein gültiges TAN-Verfahren (apoTAN+) verfügen.

Zugang über Drittanbieter


Was bedeutet der Zugang über Drittanbieter für mich?

Mit PSD2 können Sie über Drittanbieter (z.B. sogenannte FinTechs, andere Banken etc.) auf Ihr Konto zugreifen, um Informationen abzurufen oder Zahlungen zu veranlassen. Natürlich nur, wenn Sie hierfür ausdrücklich Ihre Einwilligung erteilen. Diese gilt bis zu 90 Tage und muss danach von Ihnen neu erteilt werden. Selbstverständlich werden wir Ihre Daten nie ohne Ihre Genehmigung weitergeben.

Diese Drittanbieter gibt es:

  • Kontoinformationsdienste: Sie rufen Informationen über Konto, Kontostand und getätigte Transaktionen ab.
     
  • Zahlungsauslösedienste: Sie führen Transaktionen/Zahlungen für Sie aus.
     
  • Zahlungsinstrumente ausgebende Dienstleister: Sie ermöglichen die Abfrage der Verfügbarkeit eines Geldbetrages auf einem Konto.

Antworten auf Ihre Fragen

Was sind Drittanbieter und welchen Service bieten sie an?

Drittanbieter sind Anbieter, die neben den etablierten Finanzdienstleistern wie Banken und Sparkassen ebenfalls Kontoinformations- und Zahlungsauslösedienste anbieten. Im Einzelnen sind das:

Kontoinformationsdienste: Sie greifen mit Ihrer Zustimmung auf Kontostand, Transaktionshistorie und Kontoinformationen zu.

Zahlungsauslösedienste: Sie lösen mit Ihrer Zustimmung Zahlungen (Überweisungen) aus.

Zahlungsinstrumente ausgebende Dienstleister: Sie dürfen nach Autorisierung durch Sie beim Einsatz des Zahlungsinstrumentes prüfen, ob Ihr Zahlungskonto gedeckt ist.

Welchen regulatorischen Anforderungen unterliegen Drittanbieter?

Drittanbieter dürfen nur dann Zahlungsdienste anbieten, wenn sie über eine Lizenz der BaFin (Bundesanstalt für Finanzaufsicht) verfügen. Bevor sie auf Konten zugreifen, müssen sie sich mit einem elektronischen Zertifikat gegenüber der Bank ausweisen.

Wie können Drittanbieter zugreifen?

Mit PSD2 dürfen Drittanbieter nur über die von der Bank zur Verfügung gestellte Schnittstelle auf online zugängliche Zahlungskonten zugreifen. Andere Zugriffswege sind nicht zulässig.

Wie erteile ich meine Zustimmung?

Beim ersten Mal müssen Sie die Kontoabfrage des Drittanbieters mit Ihren Zugangsdaten (Benutzername/Alias, PIN und TAN) genehmigen. Diese Genehmigung gilt für maximal 90 Tage, spätestens dann müssen Sie die Zugangsdaten erneut mit einer neuen TAN bestätigen. Widerspruch- oder Sperrmöglichkeiten bei der Bank gibt es bisher nicht.

Auf welche Konten können Drittanbieter zugreifen?

PSD2 betrifft nur online zugängliche Zahlungskonten. Ihre Spar- oder Depotkonten sind von den Änderungen nicht betroffen. 

Worauf muss ich als Bankkunde jetzt achten?

Sie sollten sorgfältig prüfen, welchem Drittanbieter Sie Zugang zu Ihrem Konto verschaffen. Nach der Richtlinie erhalten Zahlungsdienste keinen vollen Zugang mehr auf das Konto, sondern nur auf die zur Überweisung benötigten Daten. Anders sieht es bei Anbietern für Kontoverwaltungs-Apps aus. Diese erhalten einen umfangreicheren Einblick auf die sensiblen Kontodaten. Überlegen Sie also, wem Sie diesen Einblick gewähren.

Ich rufe Kontoinformationen über die DATEV ab bzw. reiche Zahlungen über die DATEV ein. Was ändert sich für mich?

Die DATEV nutzt verschiedene Möglichkeiten zur Kommunikation mit der apoBank an. Bislang sind dies HBCI PIN/TAN, SRZ-Verfahren und EBICS.

Beim Übermittlungsverfahren HBCI PIN/TAN werden Ihre persönlichen Sicherheitsmerkmale über das DATEV-Rechenzentrum an die apoBank übermittelt. Die DATEV agiert somit als Kontoinformationsdienst und darf die Daten zukünftig nur noch über die neue PSD2-Schnittstelle abrufen. Hierfür wird alle 90 Tage eine TAN abgefragt. Es ist somit notwendig, dass Sie über ein gültiges TAN-Verfahren (apoTAN+) verfügen, um beim Zugriff die TAN eingeben zu können.

Nur wenn Sie für das Buchen elektronischer Belege die Übermittlungsverfahren RZ-Bankinfo oder EBICS bzw. für Zahlungen das Service-Rechenzentrumsverfahren (DATEV-Sammelverfahren mit Begleitzettel) einsetzen, sind Sie von der gesetzlichen Änderung nicht betroffen und es besteht für Sie kein Handlungsbedarf.

Falls Sie bislang eine DATEV Lösung genutzt haben und die Informationen von Ihrem Bankkonto mittels HBCI PIN/TAN Verfahren abgerufen haben, können Sie anhand folgender Übersicht entscheiden, welche Variante für Sie zukünftig die richtige ist:

 

Von der DATEV genutzte Schnittstellen HBCI PIN/TAN (FinTS) PSD2 API
(XS2A)
SRZ-Verfahren mit Begleit-zettel und RZ-Bankinfo EBICS-Verfahren
  (bisherige Schnittstelle) (neue Standard Schnittstelle) (alternatives Verfahren) (alternatives Verfahren)
Funktionale Unterschiede
Terminüberweisungen JA JA JA JA
Purpose Codes
(Textschlüssel bei Überweisungen)
JA NEIN JA JA
Batch-Booking-Kennzeichen bei Überweisungen JA NEIN JA JA
SEPA
Überweisungen
JA JA JA JA
SEPA-Lastschriften JA NEIN JA JA
Auslands-
überweisungen außerhalb des SEPA- Raumes
JA NEIN - JA
Geschäftsvorfalls-
Code (GVC) /
Geschäfts-
vorgangscode
JA NEIN JA JA
  Weitere Informationen finden Sie auf den Infoseiten der DATEV.

Wie sieht es mit Lastschriften aus?

Bei Lastschrifteinzug benötigt der Händler die Daten, um das Mandat zu erstellen und die Lastschrift einziehen zu können. Er benötigt keinen Zugriff auf das Kundenkonto. Falls die Kontozugangsdaten für den Lastschrifteinzug abgefragt werden, sollten Sie diese Daten verweigern, da sie nicht erforderlich sind.

Wird mein Konto gläsern?

Nein. Nur Sie als Kunde können Drittanbieter damit beauftragen, für Sie Zahlungen vorzunehmen oder Kontoinformationen abzurufen. Die apoBank ist dann gesetzlich verpflichtet, den Zugriff auf Ihre Konten und diesbezügliche Daten zu ermöglichen.

Erhöht sich die Haftungsgrenze?

Nein, im Gegenteil. Bei einem Missbrauch der Bank- oder Kreditkarte oder beim Online-Banking – nämlich bei der PIN oder TAN – haftet bisher der Kunde für entstandene Schäden bis maximal 150 Euro, solange er die Karte oder sein Online-Konto nicht gesperrt hat. Diese Haftungsgrenze sinkt nun auf maximal 50 Euro und lediglich bei grober Fahrlässigkeit oder bei Vorsatz haftet der Kunde auch weiterhin unbeschränkt.

Ich nutze StarMoney, was ändert sich für mich?

Nach Inkrafttreten der PSD2 werden Sie beim Abruf von Kontoinformationen über HBCI PIN/TAN aufgefordert, sich in unregelmäßigen Abständen mittels einer TAN zu verifizieren.
Sofern Sie die aktuellste Version von StarMoney bzw. die jeweilige Vorversion nutzen, gilt somit die neue Regelung für Sie.

Online-Zahlungen mit apoBank Mastercard und VISA

3D Secure-Verfahren bei Online-Kreditkartenzahlungen
Mit PSD2 wird das 3D Secure-Verfahren für Kreditkartenzahlungen (Mastercard® Identity Check™ bzw. Verified by VISA) im Internet verpflichtend, d. h. Sie geben jede Kartenzahlung mit einer Transaktionsnummer (E-Commerce-TAN) frei. Diese erhalten Sie zum Ende des Bezahlvorgangs per Push-Nachricht in Ihre apoSecure App oder per Kurznachricht (SMS) auf Ihr Mobiltelefon.
Mehr erfahren

Informationen für Entwickler

Kontoinformationsdienstleister, Zahlungsauslösedienstleister und Zahlungsinstrumente ausgebende Dienstleister, die im Besitz einer entsprechenden Zulassung der deutschen bzw. einer anderen europäischen Aufsichtsbehörde sind, können – sofern eine Zustimmung des Kunden vorliegt – über eine definierte Schnittstelle ("XS2A-API") auf Kontodaten zugreifen oder Zahlungen auslösen.

Die Umsetzung erfolgt auf Basis der Berlin Group NextGen Spezifikation über unseren technischen Dienstleister Avaloq.

Wir bieten in diesem Zusammenhang seit dem 01.09.2019 eine Schnittstelle für Tests an.

Weitere technische Details und Informationen zum Zugang auf die produktive Schnittstelle stehen über unseren Dienstleister unter unter https://psd2-portal-apobank.b-source.biz zur Verfügung.

Informationen zur Berlin Group Spezifikation NextGen erhalten Sie ausschließlich über die Berlin Group Website (www.berlin-group.org) und das NISP–Projekt (www.nisp.online).

 
+49 2115998 0
Hotline Kundenservice | Mo-Fr 7-20 Uhr, Sa 9-16 Uhr
+49 116 116
Hotline Kartensperre 116 116
+49 2115998 8000
Hotline eBanking | Mo-Fr 7-20 Uhr, Sa 9-16 Uhr
+49 2115998 5000
Hotline Kontoservice | Mo-Fr 7-20 Uhr, Sa 9-16 Uhr