PSD2 Zahlungsverkehrsrichtlinie


PSD2 – Was das im Zahlungsverkehr bedeutet


PSD2 (Payment Services Directive2) ist der Name einer europäischen Zahlungsdiensterichtlinie. Sie soll den Geldtransfer innerhalb der EU sicherer machen, Verbraucherrechte stärken und die Bedingungen im europäischen Zahlungsverkehr vereinfachen.

Mehr Schutz und Sicherheit im Banking


Profitieren Sie vom zusätzlichen Schutz für Ihr Konto

Mit PSD2 wird der Online-Zugriff auf Ihr Konto stärker geschützt. So werden Sie bei der Anmeldung ins Online-Banking immer aufgefordert, zusätzlich zu Ihren Login-Daten eine Transaktionsnummer (TAN) einzugeben. Das bedeutet mehr Schutz und Sicherheit für Ihre Konten.

So funktioniert die neue 2-Faktor-Authentifizierung:


  • Login mit zusätzlicher TAN-Abfrage
alt

Antworten auf Ihre Fragen

Was bedeutet „Starke Kundenauthentifizierung“ bzw. „2-Faktor-Authentifizierung“?

Eine „starke Kundenauthentifizierung“ setzt mindestens zwei der folgenden Faktoren voraus:

„Besitz“ = etwas, was nur der Kunde besitzt (z.B. TAN, Chipkarte)

„Wissen“ = etwas, was nur der Kunde weiß (z.B. PIN bei Login)

„Biometrie“ = etwas, das nur dem Kunden körperlich eigen ist (z.B. Fingerabdruck / Touch ID, Face ID)

Gilt die 2-Faktor-Authentifizierung auch für HBCI PIN/TAN?

Ja. Auch bei der Nutzung von Software-Produkten, wie z.B. StarMoney, müssen Sie in Zukunft alle 90 Tage eine 2-Faktor-Authentifizierung durchführen. Es ist somit notwendig, dass Sie als abrufender Nutzer über ein gültiges TAN-Verfahren (apoTAN) verfügen.

Zugang über Drittanbieter


Was bedeutet der Zugang über Drittanbieter für mich?

Mit PSD2 können Sie über Drittanbieter (z.B. sogenannte FinTechs, andere Banken etc.) auf Ihr Konto zugreifen, um Informationen abzurufen oder Zahlungen zu veranlassen. Natürlich nur, wenn Sie hierfür ausdrücklich Ihre Einwilligung erteilen. Diese gilt bis zu 90 Tage und muss danach von Ihnen neu erteilt werden. Selbstverständlich werden wir Ihre Daten nie ohne Ihre Genehmigung weitergeben.

Diese Drittanbieter gibt es:

  • Kontoinformationsdienste: Sie rufen Informationen über Konto, Kontostand und getätigte Transaktionen ab.
     
  • Zahlungsauslösedienste: Sie führen Transaktionen/Zahlungen für Sie aus.
     
  • Zahlungsinstrumente ausgebende Dienstleister: Sie ermöglichen die Abfrage der Verfügbarkeit eines Geldbetrages auf einem Konto.

Antworten auf Ihre Fragen

Was sind Drittanbieter und welchen Service bieten sie an?

Drittanbieter sind Anbieter, die neben den etablierten Finanzdienstleistern wie Banken und Sparkassen ebenfalls Kontoinformations- und Zahlungsauslösedienste anbieten. Im Einzelnen sind das:

Kontoinformationsdienste: Sie greifen mit Ihrer Zustimmung auf Kontostand, Transaktionshistorie und Kontoinformationen zu.

Zahlungsauslösedienste: Sie lösen mit Ihrer Zustimmung Zahlungen (Überweisungen) aus.

Zahlungsinstrumente ausgebende Dienstleister: Sie dürfen nach Autorisierung durch Sie beim Einsatz des Zahlungsinstrumentes prüfen, ob Ihr Zahlungskonto gedeckt ist.

Welchen regulatorischen Anforderungen unterliegen Drittanbieter?

Drittanbieter dürfen nur dann Zahlungsdienste anbieten, wenn sie über eine Lizenz der BaFin (Bundesanstalt für Finanzaufsicht) verfügen. Bevor sie auf Konten zugreifen, müssen sie sich mit einem elektronischen Zertifikat gegenüber der Bank ausweisen.

Wie können Drittanbieter zugreifen?

Mit PSD2 dürfen Drittanbieter nur über die von der Bank zur Verfügung gestellte Schnittstelle auf online zugängliche Zahlungskonten zugreifen. Andere Zugriffswege sind nicht zulässig.

Wie erteile ich meine Zustimmung?

Beim ersten Mal müssen Sie die Kontoabfrage des Drittanbieters mit Ihren Zugangsdaten (Benutzername/Alias, PIN und TAN) genehmigen. Diese Genehmigung gilt für maximal 90 Tage, spätestens dann müssen Sie die Zugangsdaten erneut mit einer neuen TAN bestätigen. Widerspruch- oder Sperrmöglichkeiten bei der Bank gibt es bisher nicht.

Auf welche Konten können Drittanbieter zugreifen?

PSD2 betrifft nur online zugängliche Zahlungskonten. Ihre Spar- oder Depotkonten sind von den Änderungen nicht betroffen. 

Worauf muss ich als Bankkunde jetzt achten?

Sie sollten sorgfältig prüfen, welchem Drittanbieter Sie Zugang zu Ihrem Konto verschaffen. Nach der Richtlinie erhalten Zahlungsdienste keinen vollen Zugang mehr auf das Konto, sondern nur auf die zur Überweisung benötigten Daten. Anders sieht es bei Anbietern für Kontoverwaltungs-Apps aus. Diese erhalten einen umfangreicheren Einblick auf die sensiblen Kontodaten. Überlegen Sie also, wem Sie diesen Einblick gewähren.

Ich rufe Kontoinformationen über die DATEV ab bzw. reiche Zahlungen über die DATEV ein. Was ändert sich für mich?

Die DATEV nutzt verschiedene Möglichkeiten zur Kommunikation mit der apoBank an. Bislang sind dies HBCI PIN/TAN, SRZ-Verfahren und EBICS.

Beim Übermittlungsverfahren HBCI PIN/TAN werden Ihre persönlichen Sicherheitsmerkmale über das DATEV-Rechenzentrum an die apoBank übermittelt. Die DATEV agiert somit als Kontoinformationsdienst und darf die Daten zukünftig nur noch über die neue PSD2-Schnittstelle abrufen. Hierfür wird alle 90 Tage eine TAN abgefragt. Es ist somit notwendig, dass Sie über ein gültiges TAN-Verfahren (apoTAN) verfügen, um beim Zugriff die TAN eingeben zu können.

Nur wenn Sie für das Buchen elektronischer Belege die Übermittlungsverfahren RZ-Bankinfo oder EBICS bzw. für Zahlungen das Service-Rechenzentrumsverfahren (DATEV-Sammelverfahren mit Begleitzettel) einsetzen, sind Sie von der gesetzlichen Änderung nicht betroffen und es besteht für Sie kein Handlungsbedarf.

Falls Sie bislang eine DATEV Lösung genutzt haben und die Informationen von Ihrem Bankkonto mittels HBCI PIN/TAN Verfahren abgerufen haben, können Sie anhand folgender Übersicht entscheiden, welche Variante für Sie zukünftig die richtige ist:

 

Von der DATEV genutzte Schnittstellen HBCI PIN/TAN (FinTS) PSD2 API
(XS2A)
SRZ-Verfahren mit Begleit-zettel und RZ-Bankinfo EBICS-Verfahren
  (bisherige Schnittstelle) (neue Standard Schnittstelle) (alternatives Verfahren) (alternatives Verfahren)
Funktionale Unterschiede
Terminüberweisungen JA JA JA JA
Purpose Codes
(Textschlüssel bei Überweisungen)
JA NEIN JA JA
Batch-Booking-Kennzeichen bei Überweisungen JA NEIN JA JA
SEPA
Überweisungen
JA JA JA JA
SEPA-Lastschriften JA NEIN JA JA
Auslands-
überweisungen außerhalb des SEPA- Raumes
JA NEIN - JA
Geschäftsvorfalls-
Code (GVC) /
Geschäfts-
vorgangscode
JA NEIN JA JA
  Weitere Informationen finden Sie auf den Infoseiten der DATEV.

Wie sieht es mit Lastschriften aus?

Bei Lastschrifteinzug benötigt der Händler die Daten, um das Mandat zu erstellen und die Lastschrift einziehen zu können. Er benötigt keinen Zugriff auf das Kundenkonto. Falls die Kontozugangsdaten für den Lastschrifteinzug abgefragt werden, sollten Sie diese Daten verweigern, da sie nicht erforderlich sind.

Wird mein Konto gläsern?

Nein. Nur Sie als Kunde können Drittanbieter damit beauftragen, für Sie Zahlungen vorzunehmen oder Kontoinformationen abzurufen. Die apoBank ist dann gesetzlich verpflichtet, den Zugriff auf Ihre Konten und diesbezügliche Daten zu ermöglichen.

Erhöht sich die Haftungsgrenze?

Nein, im Gegenteil. Bei einem Missbrauch der Bank- oder Kreditkarte oder beim Online-Banking – nämlich bei der PIN oder TAN – haftet bisher der Kunde für entstandene Schäden bis maximal 150 Euro, solange er die Karte oder sein Online-Konto nicht gesperrt hat. Diese Haftungsgrenze sinkt nun auf maximal 50 Euro und lediglich bei grober Fahrlässigkeit oder bei Vorsatz haftet der Kunde auch weiterhin unbeschränkt.

Ich nutze StarMoney, was ändert sich für mich?

Nach Inkrafttreten der PSD2 werden Sie beim Abruf von Kontoinformationen über HBCI PIN/TAN aufgefordert, sich in unregelmäßigen Abständen mittels einer TAN zu verifizieren.
Sofern Sie die aktuellste Version von StarMoney bzw. die jeweilige Vorversion nutzen, gilt somit die neue Regelung für Sie.

Online-Zahlungen mit apoBank Mastercard und VISA

3D Secure-Verfahren bei Online-Kreditkartenzahlungen
Mit PSD2 wird das 3D Secure-Verfahren für Kreditkartenzahlungen (Mastercard® Identity Check™ bzw. Verified by VISA) im Internet verpflichtend, d.h. Sie geben jede Kartenzahlung mit einer Transaktionsnummer (E-Commerce-TAN) frei. Diese erhalten Sie zum Ende des Bezahlvorgangs per Push-Nachricht in Ihre SecureGo+ App oder per Kurznachricht (SMS) auf Ihr Mobiltelefon.
Mehr erfahren

Informationen für Entwickler

Wir erlauben die Nutzung der für die Authentifizierung und die Kommunikation mit den Zahlungsdienstnutzern verwendeten Schnittstellen gem. Artikel 31 der Delegierten Verordnung (EU) 2018/389.

Hierzu stellen wir eine Fallback-Schnittstelle bereit. Damit entsprechen wir den Vorgaben aus Artikel 30 Absatz 1 der Delegierten Verordnung (EU) 2018/389 und stellen Kontoinformationsdienstleistern, Zahlungsauslösedienstleistern und Zahlungsinstrumente ausgebenden Dienstleistern, die im Besitz einer entsprechenden Zulassung der deutschen bzw. einer anderen europäischen Aufsichtsbehörde sind, eine Zugangsschnittstelle zur Verfügung.

Technische Informationen zur Schnittstelle sowie Kontaktdaten finden Sie unter https://www.bank-verlag.de/psd2-apobank.