Zahlungsverkehr

PSD 2 - Neue Regelungen im Zahlungsverkehr

Die neue Zahlungsrichtlinie PSD 2 (Payments Service Directive) regelt künftig den Zugriff auf Zahlungsverkehrskonten (Girokonten) durch Drittanbieter. Ziel ist es, die Rechte der Verbraucher noch mehr zu schützen, indem Auslösung und Verarbeitung elektronischer Zahlungen mit noch strengeren Sicherheitsforderungen verbunden sind. Wichtig ist: Nichts passiert ohne Ihre Erlaubnis!

Die wichtigsten Neuerungen im Überblick:

  • Zukünftig werden Sie alle 90 Tage beim Login in der Online-Filiale und in der VR-Banking App aufgefordert, sich mit Ihrem Alias/VR-Kennung und Ihrer PIN sowie einer TAN zu legitimieren. Außerdem tritt das Session-Timeout bereits nach 5 Minuten Inaktivität ein. 
  • Sie können berechtigte Drittanbieter beauftragen, für Sie Zahlungen auszulösen oder Kontoinformationen von Zahlungsverkehrskonten abzurufen.
  • Internetzahlungen mit Ihrer Kreditkarte müssen per TAN bestätigt werden. Mastercard® Identity Check™ (ehemals MasterCard SecureCode) wird im Europäischen Wirtschaftsraum beim Online-Shopping mit der Kreditkarte verpflichtend.

Onlinebanking

Durch die sogenannte Zwei-Faktor-Authentifizierung werden Sie zukünftig mindestens alle 90 Tage beim Login im Onlinebanking aufgefordert, sich mit Ihrem Alias und Ihrer PIN sowie einer gültigen TAN zu legitimieren. Bei der Auslösung von Zahlungen sowie dem Abruf von Umsatzinformationen trifft dies ebenso zu.

Sie müssen also über ein aktives TAN-Verfahren (mobileTAN, sm@rtTAN, VR SecureSign) verfügen, um sich weiterhin im Onlinebanking anmelden zu können.

VR-Banking App

Auch das Login in die VR-Banking App wird über zwei Authentifizierungsmerkmale abgesichert. Grundsätzlich gelten die gleichen Bestimmungen wie beim Login zum Onlinebanking, d.h. es wird eine TAN in Verbindung mit VR-SecureSIGN abgefragt. 

Bitte beachten Sie, dass die Nutzung der App auf Smartphones mit mobileTAN als TAN-Verfahren nicht mehr möglich ist! Wir empfehlen Ihnen daher, auf das pushTAN-Verfahren VR-SecureSIGN umzustellen. Sobald Sie sich für VR-SecureSIGN freischalten lassen, wird das mobileTAN-Verfahren automatisch deaktiviert. Statt einer SMS erhalten Sie die TAN nun via push-Nachricht über die VR-SecureSIGN APP.

Kreditkarte für MasterCard® Identity Check™ registrieren

Auch für das Bezahlen im Internet mit Ihrer Kreditkarte gelten neue regulatorische Vorgaben, die eine starke Kundenauthentifizierung erfordern. Das bedeutet, jede Transaktion mittels Kreditkarte muss mit einer TAN bestätigt werden. Sollten Sie Ihre MasterCard also noch nicht für den MasterCard Identity Check (ehemals MasterCard SecureCode) registriert haben, können Sie das hier sofort erledigen:

Zwei-Faktor-Authentifizierung

Mit Einführung der sogenannten Zwei-Faktor-Authentifizierung genügt es nicht mehr, Ihren Alias/VR-Kennung und Ihre PIN beim Login in die Online-Filiale oder der VR-Banking App einzugegen. Ab sofort wird zusätzlich eine gültige TAN verlangt. Sie müssen also über ein gültiges TAN-Verfahren (mobileTAN, sm@rtTAN, VR-SecureSign)verfügen, um sich weiterhin anmelden zu können.

Die Zwei-Faktor-Authentifizierung bzw. starke Kundenauthentifizierung erfordert, dass Authentifizierungselemente aus den Kategorien Wissen, Besitz und Sein erfolgen müssen:

  • Wissen = etwas, das nur Sie wissen (z.B. Ihre PIN)
  • Besitz = etwas, das Sie besitzen,(z.B. Ihre girocard (Debitkarte) mit TAN-Generator oder Ihr Mobiltelefon, an das die TAN übermittelt wird
  • Sein = etwas, das nur Sie besitzen, (z.B. Ihr Fingerabdruck als biometrisches Merkmal (nur für mobile Endgeräte mit Fingerabdruck-Sensor möglich)

Die starke Authentifizierung wird in der Regel angewendet bei:

  • Login zum Online-Banking,
  • einer Zahlung (gilt nicht für Lastschriften),
  • einer Aktion, die zu einem Risiko führen kann, wie zum Beispiel eine Adressänderung,
  • Zahlungen mit Ihrer Debit- oder Kreditkarte von Mastercard beim Online-Einkauf und im Geschäft (mit PIN zu Ihrer Kreditkarte)

Sicherheit von Zahlungen im Internet wird weiter erhöht 

Auch wir als Bank haben ein Auge darauf, wer auf Ihr Konto zugreifen möchte. Die durch Sie beauftragten Überweisungen werden mittels eines Sicherheitssystems, eines sogenannten Fraud-Detection-System bewertet und geprüft. Dadurch können beispielsweise Abweichungen und Unstimmigkeiten festgestellt werden.

Den gesetzlichen Regelungen entsprechend, können wir Kontoinformations- und Zahlungsauslösedienstleistern den Zugang zu einem Zahlungskonto verweigern, wenn objektive und gebührend nachgewiesene Gründe im Zusammenhang mit einem nicht autorisierten oder betrügerischen Zugang des Kontoinformations- oder des Zahlungsauslösedienstleisters zum Zahlungskonto es rechtfertigen. Über die Sperre sowie ggf. über die Aufhebung werden wir Sie informieren.

Bereitstellung einer Schnittstelle für Drittanbieter

Seit der Einführung der neuen PSD 2 können Sie im Online-Banking auch sogenannte Drittdiensleister (Zahlungsdienstleister, Kontoinformationsdienste und kartenausgebende Zahlungsdienstleister) damit beauftragen, in ihrem Namen Transaktionen auszuführen. Diese greifen dann auf Ihre Kontodaten zu. Grundsätzlich dürfen dritte Zahlungsdienstleister nur mit Ihrer vorherigen Zustimmung auf Ihre Kontodaten zugreifen. Ihre Zustimmung gilt erst als erteilt, wenn Sie die vom Drittanbieter bei Ihrer Bank angeforderten Informationen mit einer starken Kundenauthentifizierung bestätigt haben. Zudem muss der Drittanbieter bei der nationalen Aufsichtsbehörde registriert sein.

Prüfen Sie sorgfältig, welchem externen Drittdienstleister für Zahlungsdienste oder für die Kontoverwatlung Sie Zugang zu Ihrem Girokonto verschaffen. Nach der Richtlinie erhalten Zahlungsdienste wie z.B. Paypal keinen vollen Zugang zu Ihrem Konto, sondern nur auf die zur Überweisung benötigten Daten. Anders sieht es bei Anbietern für Kontoverwaltungs-Apps aus. Diese erhalten einen umfangreichen Einblick auf die sensiblen Daten.

Zugriffsverwaltung im Online-Banking

Mit der Zugriffsverwaltung im Online-Banking unter dem Menüpunkt Service, können Sie jederzeit kontrollieren, welchen Drittanbieter Sie berechtigt und welche Zahlungen Drittanbieter durchgeführt haben. Sie können dort auch jederzeit neue Zugriffsberechtigungen erteilen oder entziehen. Folgende Geschäftsvorfälle sind über die Schnittstelle möglich:

  • Verfügbarkeitsabfragen,
  • Kontoinformationsabfragen und
  • Zahlungsauslösungen.

Sobald Sie den Zugriff auf die Kontodaten genehmigt haben, kann der Drittanbieter die Kontoumsätze 90 Tage lang abrufen, auch 90 Tage rückwirkend. Nach Ablauf der 90 Tage müssen Sie die Zustimmung erneut erteilen. 

Häufige Fragen zu PSD 2

Was bedeutet PSD 2?

Am 13. Januar 2018 sind aufgrund europäischer Vorgaben mit der "Payment Services Directive2" (PSD2) bzw. dem "Gesetz zur Umsetzung der zweiten Zahlungsdiensterichtlinie" neue gesetzliche Bestimmungen für die Erbringung von Zahlungsdiensten in Kraft getreten. Kontoführende Zahlungsdienstleister, zu denen auch die Volksbanken und Raiffeisenbanken zählen, müssen ab dem 11. September 2019 Drittanbietern einen Zugang zu den Konten ihrer Kunden zur Verfügung stellen – vorausgesetzt, die Kunden haben ihnen dafür eine Erlaubnis erteilt. Zuvor waren die Daten der Bankkunden durch das Bankgeheimnis grundsätzlich geschützt. Jetzt kann der Kunde aber im Sinne seiner eigenen Daten-Souveränität selbst entscheiden, ob er die Daten bzw. seine PIN an Drittdienste weitergeben möchte. Ihre Erlaubnis vorausgesetzt, erfolgt dann der Zugriff dieser Drittdienste über eine technische Schnittstelle. Mit dieser Schnittstelle werden natürlich die hohen Sicherheitsstandards weiterhin gewahrt.

Worauf muss ich als Bankkunde jetzt achten?

Bankkunden sollten sorgfältig prüfen, welchem externen Dienstleister für Zahlungsdienste oder für die Kontoverwaltung sie Zugang zu ihrem Konto verschaffen. Nach der Richtlinie erhalten Zahlungsdienste wie z.B. Paypal keinen vollen Zugang auf das Konto, sondern nur auf die zur Überweisung benötigten Daten. Anders sieht es bei Anbietern für Kontoverwaltungs-Apps aus. Diese erhalten einen umfangreicheren Einblick auf die sensiblen Kontodaten. Hier müssen sich Kunden genau überlegen, wem Sie diesen Einblick gewähren möchten.

Wie wird die Zustimmung erteilt?

 

Sie müssen beim ersten Mal die Kontoabfrage des Drittanbieters immer mit ihren Zugangsdaten (Kontonummer, PIN und TAN) genehmigen. Diese Genehmigung gilt für 90 Tage, spätestens dann müssen die Zugangsdaten erneut und mit einer neuen TAN bestätigt werden.

Sie haben noch Fragen? Wir die Antworten.

oder gehen sie nach oben zum Seitenanfang

Mehr Informationen

Sie haben Fragen?

Yves Klaus antwortet gern.


onlinebanking@ethikbank.de

036691-58207

MasterCard ID Check

Sichern Sie Ihre Kreditkarte für Online-Einkäufe ab!