Was ist die PSD2?
Die PSD2 gilt ab dem 14.09.2019 und ändert die Sicherheitsrichtlinien beim Online-Banking.
Hierbei handelt es sich um eine europäische Richtlinie, um Zahlungsdienste zu regulieren. Hintergrund für die PSD2 (Payment Services Directive) ist die Frage, ob Bankkunden für Online-Zahlungen auch das Angebot von Drittanbietern, also innovative Banking-Services nutzen dürfen. Der europäische Gesetzgeber hat mit „ja“ entschieden. Die Nutzung von Banking-Services von Drittanbietern ist allerdings nur dann erlaubt, wenn sich diese an die Regelungen der Finanzaufsicht halten.
Welche Regeln gelten für Zahlungsdrittanbieter?
Zunächst wird in einem aufwendigen Erlaubnisverfahren geprüft, ob der Drittanbieter die erforderlichen Strukturen vorweisen kann, um die komplexen finanzaufsichtsrechtlichen Regelungen einzuhalten. Hier steht die Frage nach Sicherheit von elektronischen Zahlungen sowie die Einhaltung der datenschutzrechtlichen Anforderungen im Vordergrund. Sofern die Finanzaufsicht davon überzeugt ist, dass der Drittanbieter alle Punkte vollumfänglich erfüllt, erhält er die Erlaubnis, Zahlungsdienste anzubieten. Erst nach dieser Prüfung darf der Drittanbieter für die Kunden Kontoumsätze abrufen oder Überweisungen auslösen (ein sogenannter Zahlungsauslösedienst). Der Zahlungsanbieter wird hierbei ständig von der Finanzaufsicht kontrolliert. Dadurch wird gewährleistet, dass die Konten der Bankkunden auch bei der Nutzung von innovativen Banking-Services sicher sind.
Die PSD2 führt die sogenannte „starke Kundenauthentifizierung“ ein. Dies soll für mehr Sicherheit beim Zahlungsverkehr sorgen.
Online- und Kartenzahlungen müssen nun grundsätzlich durch zwei unabhängige Merkmale aus den Kategorien Wissen, Besitz und Inhärenz bestätigt werden.
• Wissen (z.B. PIN, Passwort…)
• Besitz (z.B. Handy, Karte, TAN-Generator,…)
• Inhärenz (z.B. Fingerabdruck…)
Beim Login in das Online-Banking kann in Zukunft zusätzlich zum Nutzernamen und der PIN auch eine TAN abgefragt werden. Das ist von der jeweiligen Bank abhängig. Bei manchen Banken wird eine TAN bei jeder Konto- oder Umsatzabfrage verlangt, bei anderen nur einmal innerhalb von 90 Tagen. Hierbei sind dann nur noch TAN-Verfahren erlaubt, bei denen je Transaktion eine neue TAN generiert wird (ein sogenanntes dynamisches TAN-Verfahren)
Quelle: bundesbank.de
Bislang war die TAN Eingabe lediglich bei Durchführung einer Transaktion notwendig, also bei Ausführung einer Überweisung oder einer Lastschrift.
Nun ist es gegebenenfalls erforderlich, sich neben einer PIN zukünftig auch mit einer TAN für folgende Bereiche zu authentifizieren. Das ist wie gesagt abhängig vom jeweiligen Kreditinstitut:
• Neuanlage einer Bankverbindung
• Synchronisation des Banking Kontaktes
• Bei der Umsatzabfrage („Kontenstand online aktualisieren“)
Welche Ziele hat die PSD2?
• Die Rechtssicherheit soll erhöht werden
• Stärkung des Verbraucherschutzes
• Gewährleistung des Datenschutzes
• Modernisierung des Zahlungsverkehrsmarktes
• Verbesserung der Sicherheit bei elektronischen Zahlungen
• Förderung des Wettbewerbs zwischen Banken und neuen Zahlungsdienstleistern
Welche Vorteile ergeben sich durch die Payment Services Directive 2?
Durch die PSD2 verbessert sich vor allem die Sicherheit bei Online-Zahlungen. Bei Kreditkartenzahlungen zum Beispiel ist die bloße Eingabe der Kreditkartennummer und der Prüfziffer (beides bekanntlich auf der Karte selbst aufgedruckt) nicht unbedingt ein Merkmal für den sicheren Umgang mit Zahlungsdaten. Durch die Abfrage einer dynamischen TAN oder einen Abgleich mit dem Fingerabdruck des Besitzers ist die Sicherheitsstufe hier schon höher angesetzt. Zur erhöhten Sicherheit ist die Payment Services Directive 2 sowohl für Verbraucher als auch für Händler vorteilhaft. Denn durch die PSD2 öffnet sich der Finanzsektor auch für innovative Payment Services und fördert somit auch Bezahlanbieter.
Zu welchen Einschränkungen kommt es beim HBCI PIN/TAN-Verfahren?
Dritte Zahlungsdienstleister und Banken müssen gemäß der PSD2 für den Datenaustausch und zur Auslösung von Zahlungen eine XS2A-Schnittstelle nutzen. Bei einer XS2A-Schnittstelle handelt es sich um eine Access to Account-Integration. Mit der Regelung für XS2A schafft die EU einen größeren Markt für Zahlungsdienstleister, denen der Zugang zu den Bankkonten gewährt wird. XS2A-Schnittstellen ermöglichen es den Drittanbietern Zahlungen mit Genehmigung des Kunden selbst auszulösen und die Bank hier zu „umgehen“.
Bei der Nutzung von HBCI (Homebanking Computer Interface) PIN/TAN kann die Nutzung der XS2A-Schnittstelle zu Einschränkungen führen. Zum Teil sind diese Einschränkungen bankenabhängig. Das bedeutet, dass einige Banken bestimmte Funktionen weiterhin anbieten, andere allerdings nicht. Zum Beispiel bieten bestimmte Banken möglicherweise keine SEPA-Lastschriften per PIN/TAN über eine Drittanbieter Schnittstelle (XS2A) mehr an.
Aufschub für Zahlungen per Kreditkarte
Unternehmen, die Kreditkartenzahlungen als Zahlungsempfänger nutzen, dürfen sich über einen von der BaFin gewährten Aufschub freuen. Vorerst wird die BaFin bei Zahlungsvorgängen per Kreditkarte nicht auf einer starken Kundenauthentifizierung bestehen. Wann die von der BaFin gewährte Erleichterung endet, wird nach Abstimmung mit der EBA (European Banking Authority) und den nationalen europäischen Aufsichtsbehörden mitgeteilt.
Quelle: bafin.de
Was ändert sich in büro⁺ und ERP-complete?
Es wird zeitnah eine Anpassung im Bereich des Online Bankings für büro⁺/ERP-complete in Bezug auf die ab dem 14.09.2019 geltenden Sicherheitsrichtlinien nach PSD2 geben.
