Die wichtigsten Fragen und Antworten zur PSD 2

Das Gesetz zur Umsetzung der zweiten Zahlungsdiensterichtlinie PSD 2 (Payment Service Directive) in deutsches Recht gilt eigentlich schon seit 13. Januar 2018. Es hat das Zahlungsdiensteaufsichtsgesetz neu gefasst und die zivilrechtlichen Vorschriften im Bürgerlichen Gesetzbuch angepasst. In einigen Bereichen gewährte der Gesetzgeber den Teilnehmern am elektronischen Zahlungsverkehr jedoch weitergehende Umsetzungsfristen. Ein wichtiges Datum ist der 14. September 2019. Spätestens dann müssen sich Verbraucher im elektronischen Zahlungsverkehr mit zwei unterschiedlichen Merkmalen identifizieren. Außerdem sind die Banken ab diesem Datum dazu verpflichtet, Drittanbietern über eine standardisierte Schnittstelle Zugang zu den Konten ihrer Kunden zu ermöglichen.

Um die Verbraucher bei Online-Zahlungen angemessen zu schützen, müssen Zahlungsauslösungen und Zugriffe auf Zahlungskonten ab dem 14. September 2019 durch eine Zwei-Faktor-Authentifizierung autorisiert werden. Das gilt für das Onlinebanking genauso wie für das Bezahlen im Internet oder im stationären Handel. Die beiden Faktoren für die sichere Identifikation müssen aus zwei der drei folgenden Bereiche stammen:

• Wissen (zum Beispiel PIN oder Passwort),
• Besitz (zum Beispiel Girokarte oder TAN-Generator) und
• Biometrie (zum Beispiel Fingerabdruck).

Die Volksbanken und Raiffeisenbanken haben die Zwei-Faktor-Authentifizierung schon 2011 eingeführt und die bis dahin üblichen iTAN-Listen abgeschafft. Damit setzen die genossenschaftlichen Kreditinstitute seit vielen Jahren auf ein Prozedere, das jetzt zur gesetzlichen Pflicht wird. Neu ist, dass die Kunden der Volksbanken und Raiffeisenbanken ab 14. September auch bei der Anmeldung zum Onlinebanking eine Zwei-Faktor-Authentifizierung durchführen müssen – und beim Abruf von Transaktionsdaten, die älter als 90 Tage sind. Bisher galt das nur für Zahlungsauslösungen wie etwa Überweisungen.

Ja. Um einen adäquaten Kompromiss zwischen Sicherheit und Komfort zu finden, lässt der europäische Gesetzgeber für Verbraucher bei der Zwei-Faktor-Authentifizierung Ausnahmen zu. Bei der Anmeldung zum Onlinebanking können die Volksbanken und Raiffeisenbanken zum Beispiel entscheiden, ob sie bei jeder Anmeldung neben VR-Netkey und PIN noch eine TAN vom Kunden verlangen oder die Ausnahmeregelung der technischen Regulierungsstandards nutzen, die eine Zwei-Faktor-Authentifizierung nur alle 90 Tage erlaubt. Im Supermarkt sind kontaktlose Kartenzahlungen bis 25 Euro bis zu vier Mal auch ohne PIN möglich. Spätestens bei der fünften Zahlung wird die PIN dann aber doch abgefragt. Bei Beträgen über 25 Euro wird die PIN immer fällig. In Webshops muss spätestens beim dritten Bezahlvorgang eine Zwei-Faktor-Authentifizierung durchgeführt werden.

Zuverlässige und sichere Zahlungsdienste sind eine entscheidende Voraussetzung für einen gut funktionierenden Zahlungsverkehrsmarkt. Mit der zweiten Zahlungsdiensterichtlinie PSD 2 (Payment Services Directive 2)  will der europäische Gesetzgeber den bestehenden Rechtsrahmen für Zahlungsdienste an den technologischen Fortschritt anpassen, die Sicherheit von elektronischen Zahlungen verbessern und die Rechte der Kunden bei der Nutzung elektronischer Zahlverfahren stärken. Außerdem wurden die Rechte der Bankkunden gestärkt. So wurde die Haftung bei nicht vom Kontoinhaber autorisierten Zahlungen begrenzt. Vorreservierungen von Kartenzahlungen sind zukünftig nur noch mit der Einwilligung des Kunden möglich. Die Haftungsgrenze bei Missbrauch von Karten- und Onlinebanking-Zahlungen wurde auf maximal 50 Euro gesenkt. In der PSD 2 sind auch die Mindestanforderungen an die Sicherheit von Internetzahlungen (MaSi) aus dem Jahr 2015 aufgegangen.

Die PSD 2 erlaubt es Drittanbietern, mit expliziter Einwilligung der Verbraucher auf deren Konten zuzugreifen und dafür die Sicherheitsmerkmale des Kunden zur Authentifizierung zu verwenden. Dafür müssen die europäischen Banken ab 14. September eine Schnittstelle zu den bei ihnen geführten Zahlungskonten bereitstellen. Darüber erhalten Drittanbieter nach Zustimmung des Kunden einen geregelten Zugang zu dessen Konten. Damit die Kunden von Volksbanken und Raiffeisenbanken bei den Zugriffen von Dritten den Überblick behalten, wurde im Onlinebanking eine neue Zugriffsverwaltung eingerichtet.

Die Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) veröffentlicht in einem Register nach § 43 Gesetz über die Beaufsichtigung von Zahlungsdiensten (ZAG) eine Übersicht über die registrierten Zahlungsauslösedienste und Kontoinformationsdienste. Die Anforderungen zur Registrierung solcher Dienstleister gelten als sehr hoch. Die BaFin stellt dabei unterschiedliche Anforderungen an Zahlungsauslösedienste und Kontoinformationsdienste. Einige Auflagen gelten jedoch für beide. So müssen diese Dienste

• die verbindliche Rechtsform „juristische Person“ oder „Personenhandelsgesellschaft“ führen,
• eine Berufshaftpflichtversicherung oder eine vergleichbare Garantie abgeschlossen haben,
• eine Sicherheitsstrategie zum Schutz der Nutzer vorweisen,
• beschreiben, wie sie Sicherheitsvorfälle und Kundenbeschwerden über die Sicherheit beheben beziehungsweise verhindern und wie sie das Geschäft im Krisenfall fortführen wollen.

Zahlungsauslösedienste müssen auf dem Weg zur BaFin-Erlaubnis weiteren Aufwand betreiben – so etwa ein Anfangskapital von mindestens 50.000 Euro nachweisen oder statistische Daten über Leistungsfähigkeit, Geschäftsvorgänge sowie Betrugsfälle liefern. Außerdem werden die Inhaber der Dienstleister unter die Lupe genommen.

Um Dritten Zugriff auf das eigene Konto zu gewähren, benötigen die Verbraucher in jedem Fall die Zugangsdaten für das Onlinebanking ihrer Bank. Bisher wurden häufig Daten über das sogenannte „Screen-Scraping“ übertragen. Bei diesem Verfahren konnten die Banken jedoch nicht erkennen, ob der Kunde selbst oder ein Fremdanbieter auf sein Konto zugegriffen haben. Mit der PSD2 ist der Datenaustausch für Dritte ausschließlich über die standardisierte Schnittstelle „XS2A“ möglich. Vor einem etwaigen Zugriff muss der Kontoinhaber dem Drittanbieter seine Zugangsdaten für das Onlinebanking zur Verfügung stellen. Der Zugriff erfolgt dann durch den Drittanbieter über die von der Bank zur Verfügung gestellte Schnittstelle. Falls es sich beim Drittanbieter um einen Zahlungsauslösedienst handelt, muss die vom Kunden erzeugte Transaktionsnummer ebenfalls zur Verfügung gestellt werden.

Grundsätzlich ist ein Zugriff nur auf Zahlungskonten des Kunden möglich. Spar- oder Wertpapierdepots werden von der PSD2 nicht erfasst. Die Banken können selbst entscheiden, welche Daten sie über die Schnittstelle zur Verfügung stellen. Als Mindestangaben müssen derzeit die Kontoumsätze, der Kontostand, die Währung, in der das Konto geführt wird, die Kontonummer IBAN sowie die Produktbezeichnung des Kontos genannt werden. Personenbezogene Daten des Kontoinhabers wie beispielsweise die Adresse des Kunden müssen nicht für Drittanbieter bereitgestellt werden. Diese müssen sich generell an die Vorgaben der Datenschutzgrundverordnung halten. Allerdings kann ihnen abhängig von den individuellen Datenschutzregeln die Möglichkeit eingeräumt werden, beispielsweise die Daten der Nutzer für Werbezwecke zu verwenden.

Verbraucher bekommen die Chance, Konten bei verschiedenen Banken zentral zu steuern. Das konnten sie zwar schon vorher, aber mit der PSD 2 wird diese Möglichkeit nun auf eine neue regulatorische Basis gestellt. Gewährt zum Beispiel ein Kunde seiner Volksbank Raiffeisenbank den Zugriff auf seine Zweitkonten bei anderen Instituten,  so kann er diese bequem über die VR-BankingApp verwalten, alle seine Umsätze einsehen oder Überweisungen tätigen. Die VR-BankingApp ist übrigens schon seit Jahren multibankenfähig.
 

Markus Dürrbeck ist Spezialist IT-Prüfung beim Genossenschaftsverband Bayern.

• Weitere Informationen zur PSD 2 im MuV-Manager (für Mitglieder)