Fragen zu PSD 2

Was bedeutet PSD 2?

Am 13. Januar 2018 sind aufgrund europäischer Vorgaben mit der "Payment Services Directive2" (PSD2) bzw. dem "Gesetz zur Umsetzung der zweiten Zahlungsdiensterichtlinie" neue gesetzliche Bestimmungen für die Erbringung von Zahlungsdiensten in Kraft getreten. Kontoführende Zahlungsdienstleister, zu denen auch die Volksbanken und Raiffeisenbanken zählen, müssen ab dem 11. September 2019 Drittanbietern einen Zugang zu den Konten ihrer Kunden zur Verfügung stellen – vorausgesetzt, die Kunden haben ihnen dafür eine Erlaubnis erteilt. Zuvor waren die Daten der Bankkunden durch das Bankgeheimnis grundsätzlich geschützt. Jetzt kann der Kunde aber im Sinne seiner eigenen Daten-Souveränität selbst entscheiden, ob er die Daten bzw. seine PIN an Drittdienste weitergeben möchte. Ihre Erlaubnis vorausgesetzt, erfolgt dann der Zugriff dieser Drittdienste über eine technische Schnittstelle. Mit dieser Schnittstelle werden natürlich die hohen Sicherheitsstandards weiterhin gewahrt.

Worauf muss ich als Bankkunde jetzt achten?

Sie sollten sorgfältig prüfen, welchem externen Dienstleister für Zahlungsdienste oder für die Kontoverwaltung sie Zugang zu ihrem Konto verschaffen. Nach der Richtlinie erhalten Zahlungsdienste wie z.B. Paypal keinen vollen Zugang auf das Konto, sondern nur auf die zur Überweisung benötigten Daten. Anders sieht es bei Anbietern für Kontoverwaltungs-Apps aus. Diese erhalten einen umfangreicheren Einblick auf die sensiblen Kontodaten. Hier müssen sich Kunden genau überlegen, wem Sie diesen Einblick gewähren möchten.

Wie wird die Zustimmung erteilt?

Bankkunden müssen beim ersten Mal die Kontoabfrage des Drittanbieters immer mit ihren Zugangsdaten (Kontonummer, PIN und TAN) genehmigen. Diese Genehmigung gilt für 90 Tage, spätestens dann müssen die Zugangsdaten erneut mit einer neuen TAN bestätigt werden.

Wie genau erfolgt der Zugriff auf meine Kontodaten?

PSD2 betrifft nur Zahlungsverkehrskonten. Ihre Spar- oder Kreditkartenkonten sind nicht von der Regulierung betroffen. 

Mit der Zugriffsverwaltung im Online-Banking unter dem Menüpunkt Service, können Sie jederzeit kontrollieren, welchen Drittanbieter Sie berechtigt und welche Zahlungen Drittanbieter durchgeführt haben. Sie können dort auch jederzeit neue Zugriffsberechtigungen erteilen oder entziehen. Folgende Geschäftsvorfälle sind über die Schnittstelle möglich:

• Verfügbarkeitsabfragen,
• Kontoinformationsabfragen und
• Zahlungsauslösungen.

Sobald Sie den Zugriff auf die Kontodaten genehmigt haben, kann der Drittanbieter die Kontoumsätze 90 Tage lang abrufen, auch 90 Tage rückwirkend. Nach Ablauf der 90 Tage müssen Sie die Zustimmung erneut erteilen.

Wie sieht es mit der Sicherheit aus?

 

Durch die starke Kundenathentifizierung wird die Sicherheit in jedem Fall erhöht. Beim Login in der Online-Filiale sowie in der VR-Banking App werden Sie alle 90 Tage aufgefordert Ihren Alias, Ihre PIN und zusätzlich eine gültige TAN einzugeben.

Sowohl für Onlinezahlungen als auch den Zugriff auf Onlinekonten ist eine starke Kundenauthentifizierung vorgeschrieben. Dabei müssen mindestens zwei von drei Merkmalen erfüllt sein, über die sich der Kunde eindeutig identifizieren muss (z.B. Eingabe PIN/TAN oder der biometrische Fingerabdruck).

Die Drittanbieter, also Zahlungsdienstleister und Kontoinformationsdienste, unterliegen der Aufsicht und Kontrolle von Regulierungsbehörden wie der BaFin oder EU-Bankenaufsicht. Die Vorgänge sind streng reguliert und müssen auch vom Drittanbieter dokumentiert werden. 

Was bedeutet Fraud-Detection-System?

Auch wir als Bank haben ein Auge darauf, wer auf Ihr Konto zugreifen möchte. Die durch Sie beauftragten Überweisungen werden mittels eines Sicherheitssystems, eines sogenannten Fraud-Detection-System bewertet und geprüft. Dadurch können beispielsweise Abweichungen und Unstimmigkeiten festgestellt werden.

Den gesetzlichen Regelungen entsprechend, können wir Kontoinformations- und Zahlungsauslösedienstleistern den Zugang zu einem Zahlungskonto verweigern, wenn objektive und gebührend nachgewiesene Gründe im Zusammenhang mit einem nicht autorisierten oder betrügerischen Zugang des Kontoinformations- oder des Zahlungsauslösedienstleisters zum Zahlungskonto es rechtfertigen. Über die Sperre sowie ggf. über die Aufhebung werden wir Sie informieren.

Ich nutze bereits Zahlungsdienstleister wie PayPal & Co. Was ändert sich hier für mich?

Bislang erlaubten es die unregulierten Verfahren Zahlungsdiensten wie Sofortüberweisung oder PayPal, mehr Kontodaten einsehen zu können, als für den Zahlvorgang nötig. Dieser Zugriff wird jetzt durch die technische PSD2-Schnittstelle eingeschränkt. Es können nur noch die für die Überweisungen nötigen Daten abgerufen werden.

Ich nutze bereits Apps zur Kontoverwaltung. Was ändert sich hier für mich?

Anbieter von Apps für die Verwaltung der Konten eines Kunden bei verschiedenen Banken, dürfen die Kontostände oder Transaktionen 90 Tage einsehen, auch rückwirkend. Ihre Zustimmung vorausgesetzt.

Sie haben noch Fragen? Wir die Antworten.