PSD2 – Was das im Zahlungsverkehr bedeutet

Antworten auf Ihre Fragen

• Was bedeutet „Starke Kundenauthentifizierung“ bzw. „2-Faktor-Authentifizierung“?

  Eine „starke Kundenauthentifizierung“ setzt mindestens zwei der folgenden Faktoren voraus:

  „Besitz“ = etwas, was nur der Kunde besitzt (z.B. TAN, Chipkarte)

  „Wissen“ = etwas, was nur der Kunde weiß (z.B. PIN bei Login)

  „Biometrie“ = etwas, das nur dem Kunden körperlich eigen ist (z.B. Fingerabdruck / Touch ID, Face ID)

• Gilt die 2-Faktor-Authentifizierung auch für HBCI PIN/TAN?

  Ja. Auch bei der Nutzung von Software-Produkten, wie z.B. StarMoney, müssen Sie in Zukunft alle 90 Tage eine 2-Faktor-Authentifizierung durchführen. Es ist somit notwendig, dass Sie als abrufender Nutzer über ein gültiges TAN-Verfahren (apoTAN) verfügen.

Antworten auf Ihre Fragen

• Was sind Drittanbieter und welchen Service bieten sie an?

  Drittanbieter sind Anbieter, die neben den etablierten Finanzdienstleistern wie Banken und Sparkassen ebenfalls Kontoinformations- und Zahlungsauslösedienste anbieten. Im Einzelnen sind das:

  Kontoinformationsdienste: Sie greifen mit Ihrer Zustimmung auf Kontostand, Transaktionshistorie und Kontoinformationen zu.

  Zahlungsauslösedienste: Sie lösen mit Ihrer Zustimmung Zahlungen (Überweisungen) aus.

  Zahlungsinstrumente ausgebende Dienstleister: Sie dürfen nach Autorisierung durch Sie beim Einsatz des Zahlungsinstrumentes prüfen, ob Ihr Zahlungskonto gedeckt ist.

• Welchen regulatorischen Anforderungen unterliegen Drittanbieter?

  Drittanbieter dürfen nur dann Zahlungsdienste anbieten, wenn sie über eine Lizenz der BaFin (Bundesanstalt für Finanzaufsicht) verfügen. Bevor sie auf Konten zugreifen, müssen sie sich mit einem elektronischen Zertifikat gegenüber der Bank ausweisen.

• Wie können Drittanbieter zugreifen?

  Mit PSD2 dürfen Drittanbieter nur über die von der Bank zur Verfügung gestellte Schnittstelle auf online zugängliche Zahlungskonten zugreifen. Andere Zugriffswege sind nicht zulässig.

• Wie erteile ich meine Zustimmung?

  Beim ersten Mal müssen Sie die Kontoabfrage des Drittanbieters mit Ihren Zugangsdaten (Benutzername/Alias, PIN und TAN) genehmigen. Diese Genehmigung gilt für maximal 90 Tage, spätestens dann müssen Sie die Zugangsdaten erneut mit einer neuen TAN bestätigen. Widerspruch- oder Sperrmöglichkeiten bei der Bank gibt es bisher nicht.

• Auf welche Konten können Drittanbieter zugreifen?

  PSD2 betrifft nur online zugängliche Zahlungskonten. Ihre Spar- oder Depotkonten sind von den Änderungen nicht betroffen. 

• Worauf muss ich als Bankkunde jetzt achten?

  Sie sollten sorgfältig prüfen, welchem Drittanbieter Sie Zugang zu Ihrem Konto verschaffen. Nach der Richtlinie erhalten Zahlungsdienste keinen vollen Zugang mehr auf das Konto, sondern nur auf die zur Überweisung benötigten Daten. Anders sieht es bei Anbietern für Kontoverwaltungs-Apps aus. Diese erhalten einen umfangreicheren Einblick auf die sensiblen Kontodaten. Überlegen Sie also, wem Sie diesen Einblick gewähren.

• Ich rufe Kontoinformationen über die DATEV ab bzw. reiche Zahlungen über die DATEV ein. Was ändert sich für mich?

  Die DATEV nutzt verschiedene Möglichkeiten zur Kommunikation mit der apoBank an. Bislang sind dies HBCI PIN/TAN, SRZ-Verfahren und EBICS.

  Beim Übermittlungsverfahren HBCI PIN/TAN werden Ihre persönlichen Sicherheitsmerkmale über das DATEV-Rechenzentrum an die apoBank übermittelt. Die DATEV agiert somit als Kontoinformationsdienst und darf die Daten zukünftig nur noch über die neue PSD2-Schnittstelle abrufen. Hierfür wird alle 90 Tage eine TAN abgefragt. Es ist somit notwendig, dass Sie über ein gültiges TAN-Verfahren (apoTAN) verfügen, um beim Zugriff die TAN eingeben zu können.

  Nur wenn Sie für das Buchen elektronischer Belege die Übermittlungsverfahren RZ-Bankinfo oder EBICS bzw. für Zahlungen das Service-Rechenzentrumsverfahren (DATEV-Sammelverfahren mit Begleitzettel) einsetzen, sind Sie von der gesetzlichen Änderung nicht betroffen und es besteht für Sie kein Handlungsbedarf.

  Falls Sie bislang eine DATEV Lösung genutzt haben und die Informationen von Ihrem Bankkonto mittels HBCI PIN/TAN Verfahren abgerufen haben, können Sie anhand folgender Übersicht entscheiden, welche Variante für Sie zukünftig die richtige ist:
  
   

  Von der DATEV genutzte Schnittstellen	HBCI PIN/TAN (FinTS)	PSD2 API (XS2A)	SRZ-Verfahren mit Begleit-zettel und RZ-Bankinfo	EBICS-Verfahren
  	(bisherige Schnittstelle)	(neue Standard Schnittstelle)	(alternatives Verfahren)	(alternatives Verfahren)
  Funktionale Unterschiede
  Terminüberweisungen	JA	JA	JA	JA
  Purpose Codes (Textschlüssel bei Überweisungen)	JA	NEIN	JA	JA
  Batch-Booking-Kennzeichen bei Überweisungen	JA	NEIN	JA	JA
  SEPA Überweisungen	JA	JA	JA	JA
  SEPA-Lastschriften	JA	NEIN	JA	JA
  Auslands- überweisungen außerhalb des SEPA- Raumes	JA	NEIN	-	JA
  Geschäftsvorfalls- Code (GVC) / Geschäfts- vorgangscode	JA	NEIN	JA	JA

    Weitere Informationen finden Sie auf den Infoseiten der DATEV.

• Wie sieht es mit Lastschriften aus?

  Bei Lastschrifteinzug benötigt der Händler die Daten, um das Mandat zu erstellen und die Lastschrift einziehen zu können. Er benötigt keinen Zugriff auf das Kundenkonto. Falls die Kontozugangsdaten für den Lastschrifteinzug abgefragt werden, sollten Sie diese Daten verweigern, da sie nicht erforderlich sind.

• Wird mein Konto gläsern?

  Nein. Nur Sie als Kunde können Drittanbieter damit beauftragen, für Sie Zahlungen vorzunehmen oder Kontoinformationen abzurufen. Die apoBank ist dann gesetzlich verpflichtet, den Zugriff auf Ihre Konten und diesbezügliche Daten zu ermöglichen.

• Erhöht sich die Haftungsgrenze?

  Nein, im Gegenteil. Bei einem Missbrauch der Bank- oder Kreditkarte oder beim Online-Banking – nämlich bei der PIN oder TAN – haftet bisher der Kunde für entstandene Schäden bis maximal 150 Euro, solange er die Karte oder sein Online-Konto nicht gesperrt hat. Diese Haftungsgrenze sinkt nun auf maximal 50 Euro und lediglich bei grober Fahrlässigkeit oder bei Vorsatz haftet der Kunde auch weiterhin unbeschränkt.

• Ich nutze StarMoney, was ändert sich für mich?

  Nach Inkrafttreten der PSD2 werden Sie beim Abruf von Kontoinformationen über HBCI PIN/TAN aufgefordert, sich in unregelmäßigen Abständen mittels einer TAN zu verifizieren.
  Sofern Sie die aktuellste Version von StarMoney bzw. die jeweilige Vorversion nutzen, gilt somit die neue Regelung für Sie.