PSD2

Allgemeine Informationen zur PSD2

Zum 13. Januar 2018 wurde in Deutschland die neue Zahlungsdiensterichtlinie PSD2 (Payment Services Directive2) in nationales Recht umgesetzt. Mit dem Gesetz zur Umsetzung der zweiten Zahlungsdiensterichtlinie (Zahlungsdiensteumsetzungsgesetz - ZDUG) wurden die aufsichtsrechtlichen Bestimmungen im Zahlungsdiensteaufsichtsgesetz (ZAG) und die zivilrechtlichen Vorgaben im Bürgerlichen Gesetzbuch (BGB) berücksichtigt. Zudem waren Folgeänderungen in weiteren Gesetzen (z. B. Kreditwesengesetz) erforderlich. Die PSD2 ist eine EU-Richtlinie zur Regulierung von Zahlungsdiensten und Zahlungsdienstleistern, deren Ziele es sind

die Sicherheit im Zahlungsverkehr zu erhöhen,
den Verbraucherschutz zu stärken,
Innovationen zu fördern und
den Wettbewerb im Markt zu steigern.

Die PSD2 gilt für Zahlungen in EU/EWR-Währungen zwischen im EU/EWR-Raum ansässigen Zahlungsdienstleistern. Darüber hinaus findet sie teilweise auch Anwendung auf Zahlungen in Nicht-EU/EWR-Währungen (z.B. US-Dollar oder britische Pfund), sowie wenn ein Zahlungsdienstleister außerhalb des EU/EWR-Raums ansässig ist (z.B. Schweiz oder USA). Allerdings sind für solche Zahlungen einige Bestimmungen der PSD ausgenommen.

Was ändert sich durch die PSD2 für Verbraucher, Händler und Zahlungsdienstleister?

PSD2 und Verbraucher

Mit der PSD2 gibt es klare Regeln für die Nutzung von Zahlungsauslösediensten für das Initiieren von Überweisungen im Onlinebanking oder von Kontoinformationsdiensten zur Abfrage und Auswertung von Kontodaten. Das bedeutet, dass Sie sich z.B. bei einem Einkauf im Internet nicht extra in das Online-Banking Ihres Kreditinstituts einloggen müssen, sondern die Überweisung über einen auf der Händlerseite angebotenen Zahlungsauslösedienst beauftragen können. Durch die Nutzung eines Kontoinformationsdienstes haben Sie die Möglichkeit sich für alle Zahlungskonten, die Sie bei verschiedenen Banken haben, die Kontostände und Umsätze in aufbereiteter Form anzeigen zu lassen.

Damit die Zahlungsauslöse- sowie Kontoinformationsdienstleister diese Services anbieten können, brauchen diese aber Ihre Erlaubnis und den Zugang zu Ihrem Konto. Die PSD2 regelt den Zugang dieser „dritten Zahlungsdienstleister“ auf die Zahlungskonten bei den kontoführenden Zahlungsdienstleistern. Zugang wird diesen Anbietern aber nur gewährt, wenn Sie als Kontoinhaber dem explizit zustimmen.

Ohne Ihre ausdrückliche Zustimmung ändert sich nichts: es wird keine Zahlung ausgeführt und es darf kein Drittdienstleister auf Ihre Kontodaten zugreifen!

Zahlungsauslösedienst

Ein Zahlungsauslösedienst wird vom Zahler beauftragt, zulasten seines bei einem anderen Zahlungsdienstleister (z.B. Kreditinstitut) geführten Zahlungskontos eine Überweisung auszulösen. In der Regel wird der Zahlungsauslösedienst auf der Händlerseite im Internet als eine Möglichkeit des Bezahlens angeboten. Er bestätigt dem Händler auch die Ausführung der Überweisung, damit dieser z. B. die Ware verschicken kann.

Kontoinformationsdienst

Ein Kontoinformationsdienst stellt einem Kontoinhaber konsolidierte Informationen zu seinen Zahlungskonten bei einem oder mehreren Zahlungsdienstleistern zur Verfügung. Darüber hinaus kann ein Kontoinformationsdienst auch eingesetzt werden, um etwa die Information über ausreichende Kontodeckung zu erhalten, um auf dieser Basis andere Dienste (z.B. Kreditgewährung) anbieten zu können.

Darüber hinaus führt die PSD2 die Verpflichtung der sogenannten „starken Kundenauthentifizierung“ ein. Dies bedeutet für Sie mehr Sicherheit im Zahlungsverkehr. Online- und Kartenzahlungen müssen nun grundsätzlich durch zwei unabhängige Merkmale aus den Kategorien Wissen, Besitz und Inhärenz bestätigt werden.

Wissen (z.B. PIN, Passwort…)
Besitz (z.B. Handy, Karte, TAN-Generator…)
Inhärenz (z.B. Fingerabdruck…)

Einzelheiten zu den Anforderungen an die starke Kundenauthentifizierung enthält die delegierte Verordnung 2018/389 der Europäischen Kommission. Gegen Missbrauch oder Betrug bei Kartenzahlungen sind Sie als Verbraucher mit der PSD2 besser geschützt. Die Selbstbeteiligung für Schäden, die im Falle einer Verfügung mit einer gestohlenen, abhandengekommenen oder missbräuchlich verwendeten Zahlungskarte entstehen, wurde von 150 Euro auf 50 Euro begrenzt. Darüber hinaus muss bei Zahlungen, die vom Zahler nicht autorisiert wurden (z. B. in Betrugsfällen), der Betrag dem Zahlerkonto innerhalb eines Bankarbeitstages erstattet werden. Bei vorreservierten Kartenzahlungen, bei denen der genaue Zahlbetrag erst später feststeht, wird durch die PSD2 die Transparenz erhöht. Reserviert z.B. ein Hotel bei der Zimmerbuchung oder eine Autovermietung bei Anmietung eines Autos einen bestimmten Betrag auf dem Kartenkonto, so bedarf diese „Blockung“ des Betrages nun Ihrer expliziten Zustimmung. Zudem muss die Blockung wieder aufgehoben werden, sobald der genaue Zahlbetrag feststeht.

PSD2 und Händler

Die PSD2 hat auch auf Sie als Händler Auswirkungen. Aufgrund der Öffnung der Konto-Schnittstellen für Drittdienstleister werden Ihnen neue Anbieter von innovativen (Online-)Bezahlmethoden Ihre Produkte anbieten. Sie können Ihren Kunden beim Einkauf im Internet somit eine größere Auswahl an Zahlungsmethoden bereitstellen. Die Verpflichtung der Zahlungsdienstleister bei Internetzahlungen die „starke Kundenauthentifizierung“ durchzuführen, führt zu mehr Sicherheit gegenüber Betrugsversuchen. Aufgrund des Surcharge-Verbots dürfen keine Extra-Gebühren von Verbrauchern bei Zahlungen mit Karten, Überweisungen oder Lastschriften erhoben werden.

PSD2 und Zahlungsdienstleister

Mit der PSD2 werden bisher nicht regulierte Drittanbieter als Zahlungsdienstleister erfasst und somit in den Anwendungsbereich der Richtlinie einbezogen. Drittdienstleister können Zahlungsauslösedienste, Kontoinformationsdienste und Zahlungskarten anbieten, deren Umsätze von einem bei einem anderen Zahlungsdienstleister geführten Zahlungskonto abgebucht werden. Drittanbieter unterstehen nun der Aufsicht und Kontrolle der Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) bzw. der jeweiligen nationalen Aufsichtsbehörde in den anderen EU-Ländern. Kreditinstitute sind berechtigt ebenfalls als Zahlungsauslösedienst oder Kontoinformationsdienst aktiv zu werden. Die PSD2 gibt den Zahlern das Recht, einen Drittdienstleister zu nutzen und verpflichtet die kontoführenden Zahlungsdienstleister den Drittdienstleistern künftig eine (eigene) Schnittstelle zur Verfügung zu stellen, über die Überweisungen (z. B. an den Internethändler) ausgelöst, Kontoinformationen heruntergeladen oder die Deckung von Kartenverfügungen abgefragt werden können.
Quelle: Bundesbank

Konkrete Auswirkungen für windata-Anwender

Diese Richtlinien bedeuten folgende konkrete Auswirkungen für windata-Anwender, welche über HBCI mit dem kontoführenden Kreditinstitut kommunizieren:

spätestens ab dem 14.09.2019 aktiv, einzelne Kreditinstitute auch schon früher
automatisierte Kontoumsatzabrufe sind nicht mehr möglich da regelmäßig eine TAN verlangt wird (Starke Kundenauthentifizierung)
tägliche Kontoumsatzabrufe durch nicht kontobevollmächtigte Benutzer (z. B. Sekretariat mit gespeicherter HBCI PIN) sind nicht mehr möglich da regelmäßig eine TAN verlangt wird (Starke Kundenauthentifizierung)

Je nach Kreditinstitut wird für den Umsatzabruf alle 90 Tage oder bei jedem Abruf eine TAN angefordert.

Beim historischen Umsatzabruf von mehr als 90 Tage in der Vergangenheit wird immer ein TAN angefordert.

Die ING wird Zahlungsverkehrskonten für die Verwendung mittels HBCI nicht mehr bereitstellen:

Wichtig für HBCI Nutzer: Girokonto Überweisungen können Sie ab September nicht mehr mit Ihrer aktuellen Software über die HBCI-Schnittstelle ausführen.

Quelle: ING

Verschiedene Kreditinstitute ändern ihr Angebot an Autorisierungsmöglichkeiten, z. B. iTAN, mobileTAN
Verschiedene Kreditinstitute ändern ihre Loginmöglichkeiten, z. B. PostbankID

Die Lösung

Windata.connect - Die Funktionserweiterung für windata professional - Genießen Sie den gewohnten Komfort trotz PSD2.