PSD2 – Neue Regeln im Zahlungsverkehr

Mit der europaweiten PSD2-Richtlinie gibt es neue Regeln, die seit dem 14. September 2019 im Produktivbetrieb Anwendung finden.

Die Zahlungsdienstrichtlinie regelt, welche Drittanbieter auf die Bankkonten von Verbrauchern zugreifen können. Darunter fallen Online-Bezahlmethoden wie z.B. Paydirekt, PayPal, Klarna (Sofortüberweisung), Trustly, Amazon Pay, Google Pay oder Apple Pay – Dienstleister, die Zahlungen online abwickeln, bei denen es sich aber nicht um Banken handelt, sondern sogenannte „Zahlungsdienstleister“. Ziel der PSD2 ist es, die Sicherheitsstandards in diesem Bereich für Verbraucher und Bankkunden weiter zu verbessern und gleichzeitig die Zusammenarbeit zwischen Banken und Zahlungsdienstleistern zu erleichtern.

PSD2 ist bereits in Kraft

Bereits seit dem 13. Januar 2018 gilt die zweite EU-Zahlungsdienste-Richtlinie (Payment Services Directive 2 – PSD2). Sie verpflichtet Banken, durch die Einrichtung von Schnittstellen, Nichtbanken Zugriff auf Kontodaten ihrer Kunden zu ermöglichen. Wenn der Kunde dies möchte und aktiv einwilligt, können durch die Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) zertifizierte Drittanbieter auf Grundlage der PSD2 Kontoinformationen abfragen oder Zahlungen auslösen.

Bis zum 14. März 2019 mussten Banken und Zahlungsdienste so genannten Drittanbietern (Third Party Providers) eine Testumgebung (Sandbox) und die dazugehörige technische Dokumentation der Schnittstelle zur Verfügung stellen.

Ab dem 14. September 2019 ist dann der Produktivbetrieb sicher zu stellen. Zu diesem Zeitpunkt treten darüber hinaus auch die Vorgaben der PSD2 über die „starke Kundenauthentifizierung“ im elektronischen Zahlungsverkehr in Kraft und haben spürbare Auswirkungen auf das Online-Banking.

Was verbirgt sich hinter „starker Kundenauthentifizierung“?

Unter der „starken Kundenauthentifizierung“ oder „Zwei-Faktor-Authentifizierung“ versteht man, dass die Autorisierung eines Zahlungsvorgangs mit Hilfe mindestens zweier Eingabeelemente erfolgt. Diese Elemente müssen zwingend aus den drei Kategorien Wissen, Besitz und Inhärenz stammen.

• Wissen: Beispielsweise die Nutzung eines Passworts
• Besitz: Verwendung eines Smartphones, TAN-Generator etc., die die Transaktionsnummer (TAN) zuliefern
• Inhärenz: Elemente, die dem Nutzer persönlich oder körperlich zu eigen sind, wie bspw. sein Fingerabdruck

Die PSD2 regelt, wann eine „starke Kundenauthentifizierung“ notwendig ist. Sie ist insbesondere beim Auslösen einer elektronischen Zahlung erforderlich, bspw. wenn ein Zahler im Geschäft mit seiner Karte und persönlicher Identifikationsnummer (PIN) bezahlt. Erfolgt die Zahlung mit Karte und Unterschrift, ist auch dies ausreichend.

Bei künftigen Zahlungen besteht für Zahlungsdienstleister die Möglichkeit einer sogenannten Transaktionsrisikoanalyse, um festzulegen, ob eine „starke Kundenauthentifizierung“ notwendig ist. Bei der Analyse wird jede eingehende Zahlung automatisch auf mögliche Betrugsszenarien untersucht. Grundlage hierfür können Ähnlichkeiten zu bekannten Betrugsmustern oder ungewöhnliche Abweichungen von bisherigen Verhaltensmustern des Nutzers ein.

Zugriff auf Online-Banking-Konto

Beim Zugriff auf das Online-Banking-Konto kommt die „starke Kundenauthentifizierung“ ebenfalls zum Einsatz. Zum Einloggen erfolgt auch weiterhin eine Authentisierung. Um möglichen Missbrauch beim Online-Banking jedoch vorzubeugen, ist eine „starke Kundenauthentifizierung“ mindestens alle 90 Tage zwingend erforderlich und somit reicht es mit PSD2 nicht mehr, wenn Kunden Kartendaten und Kontonummer oder Nutzername und Kennwort eingeben. Ein zweites, andersartiges Merkmal wie ein Fingerabdruck oder eine SMS ans eigene Smartphone soll die Sicherheit erhöhen.

Nachhaltige Auswirkung auf das bisherige TAN-Verfahren

Was den neuen Anforderungen an eine „starke“ Authentifizierung nicht mehr standhält, ist die altbekannte Papierliste mit indizierten Transaktionsnummern, kurz iTAN, denn diese werden eben nicht dynamisch mit einem konkreten Zahlungsvorgang verknüpft. Daher müssen sich Bankkunden von diesem TAN-Verfahren verabschieden.

Beliebt ist bei vielen Bankkunden als zukunftsfähige Alternative die mTAN: Während man PC oder Laptop nutzt, um sich auf seinem Bankkonto einzuloggen, erhält man die benötigte TAN für die Freigabe der Transaktion in Sekundenschnelle per SMS aufs Mobiltelefon. Bei diesem Verfahren wird die TAN auf einem separaten Gerät empfangen und bleibt nur wenige Minuten lang gültig. Für dieses und andere Verfahren ist immer ein Anmeldeverfahren notwendig und muss freigeschaltet werden.

Sind Daten noch sicher?

Verbraucher müssen nun nicht fürchten, dass Firmen unkontrolliert auf ihre Daten zugreifen können. Sie müssen ihnen die Weitergabe ausdrücklich erlauben, der Zugriff geschieht über die Hausbank und nur für den angefragten Zweck. Die EU hat das maschinengesteuerte Auslesen von Girokonten, das Auskunft über sämtliche Zahlungen und Gewohnheiten von Bankkunden gibt, verboten. „Kunden können sich auf Datensicherheit verlassen“, betont der Bundesverband deutscher Banken.

Die Banken sind insgesamt trotzdem wenig begeistert. Es sei „unverständlich“, dass Drittdienste einen gesetzlich definierten Zugang zur Infrastruktur der Banken hätten, der umgekehrt nicht gelte, monierte der Bundesverband deutscher Banken.

FAQ-Liste

Um unseren Artikel abzurunden, stellen wir Ihnen zu den Thema eine FAQ-Liste zur Verfügung und beantworten darin Fragen, die häufig zu PSD2 gestellt werden.