PSD2 aufgeschoben: Mehr Zeit zum Umrüsten
Stichtag für die EU-Zahlungsrichtlinie PSD2 war der 14. September 2019: Ohne Übergangsfrist sollten bis dahin eigentlich alle Kontoschnittstellen PSD2-konform eingerichtet sein. Doch die Umsetzung scheint schwieriger als gedacht – und deshalb erhalten Banken nun mehr Zeit, um nachzurüsten. Was genau hat es mit der PSD2 auf sich und welche Änderungen stehen uns bevor? Alle wichtigen Fakten erhalten Sie hier.
Bereits am 13. Januar 2018 fiel der Beschluss für die neue EU-Zahlungsrichtlinie PSD2. Doch die Details wurden erst später veröffentlicht – und entsprechend kurz war die Zeit, um sich auf die Änderungen vorzubereiten. Die derzeit existierenden Kontoschnittstellen sind nicht PSD2-konform. Nun gewährt die BaFin (Bundesanstalt für Finanzdienstleistungen) Aufschub, sodass FinTechs und weitere Drittanbieter ihr Geschäftsmodell vorerst so weiter betreiben können wie gehabt. Für Banken bedeutet das mehr Zeit zum Nachbessern der vorhandenen Schnittstellen. Und diese ist dringend notwendig.
PSD2: Was ist das?
Bei der PSD2 handelt es sich um die zweite europäische Zahlungsrichtlinie. Sie bezieht sich auf das elektronische Banking und sieht besonders Änderungen des TAN-Verfahrens und beim Login vor. Die PSD2 zielt dabei vor allem auf folgende vier Punkte:
- mehr Sicherheit im Zahlungsverkehr
- mehr Wettbewerb im Finanzsektor
- Förderung von Innovationen
- Stärkung des Verbraucherschutzes
Weiterhin gravierende Mängel an Kontoschnittstellen
War ursprünglich der 14. September als Stichtag für das Inkrafttreten der neuen Richtlinien angesehen, wird das Datum nun weiter nach hinten verschoben. Grund dafür sind die gravierenden Mängel der derzeit existierenden Kontoschnittstellen, die bislang noch nicht behoben wurden. Um das zu ändern, erhalten die Banken genaue Vorgaben für die Umsetzung.
Für FinTech ist der Aufschub eine Erleichterung: Denn bei dem aktuellen Stand würden Kontozahlungen und weitere Funktionen ab dem 14. September plötzlich nicht mehr funktionieren.
Die BaFin stellt sich mit dem Aufschub der Frist hinter FinTechs. Alle sogenannten „Third Part Provider“ sind darauf angewiesen, diskriminierungsfrei auf Daten und Konten zugreifen zu können und Zahlungen auszulösen.
Was genau ändert sich durch die PSD2?
Die PSD2 betrifft gleich mehrere Punkte im Bereich des Online-Bankings. Und das sind die großen Änderungen, die uns bevorstehen:
- Drittanbieter können nach Genehmigung des Kontoinhabers auf Bankkonten zugreifen.
- Das Online-Banking erfordert die Identifikation mit der Zwei-Faktor-Methode.
- Die Freigabe von Online-Kartenzahlungen erfolgt ebenfalls mit zwei Faktoren.
- Die iTAN wird EU-weit verboten.
Zugriff durch Drittanbieter
Unter die Drittanbieter fallen all jene Dienste ohne eigene Infrastrukturen, die stattdessen auf die Infrastrukturen von Banken setzen. Neben Dienstleistern kann es sich dabei auch um andere Banken handeln. Generell zählen dazu Anbieter, die:
- Zahlungen auslösen,
- Kontoinformationen sammeln, bündeln und
- Zahlungskarten herausgeben.
Damit Drittanbieter Zugriff auf diese Daten erhalten, ist eine Genehmigung durch den Kunden erforderlich. Solche Fälle können beispielsweise bei Interneteinkäufern eintreten, aber auch wenn der Kunde eine übersichtliche Darstellung der Konten wünscht, die er bei verschiedenen Geldinstituten angelegt hat.
Hierdurch können Shopbetreiber auf Zahlarten zurückgreifen, die nicht unbedingt an die Banken gebunden sind. Das erhöht die Flexibilität und bietet vor allem Ihren Kunden mehr Möglichkeiten.
Die Drittanbieter unterliegen dabei der Aufsicht der BaFin.
Starke Kundenauthentifizierung durch PSD2
Mit dem Inkrafttreten der PSD2 soll vor allem mehr Sicherheit im Online-Banking gewährleistet werden. Dafür sorgt bald in vielen Fällen die sogenannte SCA (strong customer authentification) bzw. starke Kundenauthentifizierung). Gesetzlich vorgeschrieben hat sich künftig jeder Kunde durch zwei der folgenden drei Faktoren zu identifizieren:
- Faktor „Sein“: z. B. Fingerabdruck
- Faktor „Wissen“: z. B. PIN
- Faktor „Besitz“: z. B. Smartphone
Dieses Verfahren, auch die Zwei-Faktor-Authentifizierung bzw. 2FA genannt, soll verpflichtend für jede Transaktion, Online-Kartenzahlung sowie das Login ins Online-Banking (in diesem Fall eine TAN) werden. Es gibt aber Ausnahmen: Sowohl Lastschriften als auch Rechnungskäufe bleiben von der Regelung unberührt.
Änderungen von TAN-Verfahren
Waren bislang verschiedene TAN-Verfahren zur Durchführung von Aufträgen möglich, werden die Möglichkeiten nun eingeschränkt: Das gilt vor allem für die klassischen iTAN-Listen aus Papier. Die Listen mit nummerierten TANs, die Kunden von ihrem Kreditinstitut erhielten, werden eingestellt.
Stattdessen zielt die PSD2 darauf ab, dass eigens generierte TANs verwendet werden. Und obwohl die mTAN, also die TAN per SMS, weiterhin erlaubt bleibt, rät das BSI (Bundesamt für Sicherheit in der Informationstechnik) zu den Alternativen. In diesem Zuge schaffen einige Banken die mTAN ebenfalls ab. Die anderen Verfahren sind weiterhin möglich. Dazu zählen:
- pushTAN,
- chipTAN,
- photoTAN,
- appTAN und
- signatureTAN.
Dabei spielt es keine Rolle, welches Gerät dafür benutzt wird.
Ausnahmen der PSD2
Ausnahmen bestätigen die Regel. Und so ist es auch hier der Fall: Bei gewissen Vorgängen kann auf eine SCA (also die starke Kundenauthentifizierung) verzichtet werden. Ob Kunden nun von diesen Ausnahmen betroffen sind oder nicht, bestimmen jedoch letztendlich die Kreditinstitute. Die Information dazu haben die Kunden bei den jeweiligen Banken und Sparkassen einzuholen. Folgende Ausnahmen sind möglich:
- Daueraufträge
- Login beim Online-Banking: Ausdehnung auf bis zu 90 Tage möglich
- Kleinbeträge: Überweisungen bis 30 €, jedoch spätestens nach der fünften Überweisung von Kleinbeträgen bzw. bei Überschreitung der kumulierten Summe von 100 €
- Whitelist: Vertrauenswürdige Empfänger, die mit den IBANs auf die Whitelist gesetzt werden
- Überweisungen auf andere Konten desselben Kreditinstituts, sofern die Konten dem Kunden selbst gehören
Homebanking
Die alltäglichen Bankgeschäfte zu jeder Zeit und von jedem Ort aus vornehmen? Die Möglichkeit des Homebankings über HBCI/FinTS besteht auch weiterhin. Hier ändert sich demnach nichts. Jedoch bietet nicht mehr jede Bank dieses Angebot in vollem Umfang an.
Fazit: Was bedeutet die PSD2 für Shopbetreiber?
Mehr Sicherheit, Wettbewerb, Innovationen und Verbraucherschutz – das sind die Ziele der neuen EU-Zahlungsrichtlinie PSD2. Wichtige Stichworte bezüglich der anstehenden Änderungen sind hier vor allem die SCA bzw. 2FA, TAN-Verfahren und Zugriff durch Drittanbieter. Shopbetreiber profitieren hierbei vor allem durch ausgeglichenere Wettbewerbsbedingungen. In erster Linie sind jedoch die Kreditinstitute für die passenden Kontoschnittstellen verantwortlich.