FAQ PSD2

Was steckt hinter der neuen EU-Zahlungsdienstrichtlinie?

Jürgen Hill ist Teamleiter Technologie. Thematisch ist der studierte Diplom-Journalist und Informatiker im Bereich Communications mit all seinen Facetten zuhause. 
Mit der PSD2 will die EU ab September 2019 die Sicherheit im elektronischen Zahlungsverkehr erhöhen, Innovation und Wettbewerb fördern sowie den Verbraucherschutz stärken. Was bedeutet das nun konkret? Unsere FAQ gibt Antworten.
Mit der Payment Services Directive 2 (PSD2) will die EU den Betrug im Online-Handel erschweren.
Mit der Payment Services Directive 2 (PSD2) will die EU den Betrug im Online-Handel erschweren.
Foto: gotphotos - shutterstock.com

Mit verbesserten Authentifizierungsverfahren will die EU den Betrug etwa im Online-HandelOnline-Handel erschweren. Über sichere Schnittstellen sollen auch Nichtbanken Zugang zu Kontodaten bekommen können, was innovative FinTechs und so auch den Wettbewerb fördern soll. Für den Verbraucher soll ein Mehrwert geschaffen werden, etwa durch Kontoinformationsdienste und Zahlungsauslösedienste. Damit können etwa Kontoinformationen von verschiedenen BankenBanken in einer zentralen Anwendung angezeigt werden. Um eine Überweisung zu veranlassen, müssen sich Kunden dann nicht mehr extra in ihr Online-Banking-Konto einloggen. Top-Firmen der Branche Banken Top-Firmen der Branche Handel

Die entsprechenden Bestimmungen hierzu hat Brüssel in einer Zahlungsdienstrichtlinie veröffentlicht. Im internationalen Gebrauch als Payment Services Directive - kurz PSD2 - bekannt. Ein Teil dieser Bestimmungen trat bereits 2018 in Kraft, etwa das EU-weite Verbot des Surcharging (Zahlungsmittelentgelte). Jetzt wird auch die starke Kundenauthentifizierung obligatorisch und Banken sind verpflichtet, ihre Kontoschnittstellen für Drittanbieter zu öffnen.

Unser FAQ erklärt, was es mit der PSD2 im Detail auf sich hat. Zudem erfahren Sie, was Verbraucher und Anbieter tun müssen, um auch nach dem 14. September 2019 elektronische Zahlungen abzuwickeln. Ferner wird beleuchtet, welche Aspekte des Zahlungsverkehrs betroffen sind. Bei der Beantwortung der Fragen half uns Thomas Feiler, Leiter Produkt-Management bei equensWorldline, einem großen europäischen Finanztransaktionsdienstleister.

Offene APIs der Banken

Ab dem 14. September gilt die Payment Services Directive 2 (PSD2), Was hat es damit auf sich?

Die PSD2 soll Verbraucher besser schützen, wenn sie online bezahlen.
Die PSD2 soll Verbraucher besser schützen, wenn sie online bezahlen.
Foto: Roman Dementyev - shutterstock.com

PSD2 ist eine EU-Richtlinie zur Regulierung von Zahlungsdiensten und Zahlungsdienstleistern. Die Richtlinie zielt darauf ab, die Entwicklung moderner Bezahlverfahren zu fördern. Sie soll Verbraucher besser schützen, wenn sie online bezahlen. Sie soll darüber hinaus mobile und digitale Ansätze voranbringen und grenzüberschreitende Zahlungen sicherer machen. Außerdem soll sie FinTech-Startups und vergleichbare Anbieter stärken, indem sie etablierte Banken verpflichtet, Schnittstellen einzurichten, über die Drittdienstleister - kurz TPPs - auf Kontodaten zugreifen können. Dieses Konzept nennt sich Open Banking.

Was will die EU mit der PSD2 erreichen?

Es geht zum einen darum, Innovationen im Finanzsektor zu fördern und den Wettbewerb im Markt zu steigern. Zum anderen will die EU mit PSD2 aber auch den Verbraucherschutz stärken und die Sicherheit im Zahlungsverkehr erhöhen. Von PSD2 profitieren in erster Linie die Kunden. Standardisierte Regeln für Banken und Zahlungsdienstleister, Transparenz und fairer Wettbewerb kommen ihnen zugute.

Mehr Sicherheit beim Online-Bezahlen

Was bedeutet die PSD2 konkret für Verbraucher?

Für Konsumenten sind in erster Linie zwei Dinge relevant.

  • Die Einrichtung von digitalen Kontoschnittstellen bei den Banken in Form von sogenannten APIs (Application Programming Interface). Das bedeutet, dass externe Dienste auf die Kontodaten von Bankkunden zugreifen können. Das ist allerdings kein Grund zur Beunruhigung, setzt es doch die ausdrückliche Zustimmung des Kunden für jeden einzelnen Anbieter und die Zertifizierung des Anbieters des externen Dienstes voraus. Erteilen Nutzer beispielsweise einer Finanz-App diese Zustimmung, können sie sich dort Kontoinformationen von verschiedenen Bankkonten (auch bei unterschiedlichen Instituten) in aufbereiteter Form anzeigen lassen. Außerdem bieten die Kontoschnittstellen die Möglichkeit, direkt auf der Seite eines Online-Händlers oder des Drittdienstleisters einen Zahlungsauslösedienst zu beauftragen. Das heißt, man kann Geld überweisen, ohne sich zuvor ins eigene Online-Banking-Konto einloggen zu müssen. Auch hier gilt, ohne die Zustimmung des Kunden passiert gar nichts.

  • Die Einführung der starken Kundenauthentifizierung oder SCA (Strong Customer Authentication). Dabei handelt es sich um eine Form der Multi-Faktor-Authentifizierung (MFA), was bedeutet, dass die zweifelsfreie Identifizierung des Kunden über mehrere Merkmale durchgeführt wird. Die können aus den Bereichen Wissen (PIN, Passwort), Besitz (Karte, Mobiltelefon) oder Inhärenz (biometrische Merkmale wie Fingerabdruck, Iris oder Standort) stammen. Dadurch soll mehr Sicherheit beim elektronischen Bezahlen garantiert werden. Diese Maßnahmen sind daher auch verpflichtend.

Mit welchen Technologien/Verfahren kann dieses sicherere Bezahlen realisiert werden?

Künftig ist eine Multi-Faktor-Authentifizierung vorgeschrieben.
Künftig ist eine Multi-Faktor-Authentifizierung vorgeschrieben.
Foto: Paisit Teeraphatsakool - shutterstock.com

Für das Online Banking gibt es zwei gängige, weitverbreitete Verfahren. Beispielsweise ist das, eine transaktionsgebundene TAN an ein Mobiltelefon zu senden. Das passiert entweder per SMS oder Push-Benachrichtigung über die App eines Geldhauses. Nutzer, die kein Mobiltelefon besitzen, oder es nicht hierfür nutzen wollen, können sich ein Kartenlesegerät kaufen, das sie an ihren PC anschließen.

Die PSD2 legt aber lediglich den Rahmen fest, bei der Ausgestaltung der Details lässt die Richtlinie viel Spielraum - etwa welche Merkmale in Kombination abgefragt werden. Auf diese Weise bleibt ein Wettbewerb um die besten und nutzerfreundlichsten Lösungen gewährleistet. In Zukunft könnte es ein großes Potenzial bei biometrischen Verfahren geben. Aber auch der mögliche zukünftige Einsatz von elektronischen Identitäten stellt ein großes Potenzial dar.

Wie funktionieren die Verfahren im Detail?

Beim SMS-/Push-TAN-Verfahren ändert sich gegenüber dem alten Online Banking mit den TAN-Listen wenig. Nun werden die Nummern nicht mehr auf einer Liste abstreicht, sondern sie bei jeder Transaktion aufs Handy geschickt. Das Verfahren mit dem Kartenlesegerät funktioniert prinzipiell wie der Bankomat in der Schalterhalle, nur, dass man die Bankkarte zuhause ins Lesegerät steckt und sich statt einer PIN mit Nutzername und Passwort authentifiziert.

Die biometrischen Verfahren können über den Fingerabdruck umgesetzt werden. Wird dazu der Sensor eines Handys verwendet, benötigen Nutzer nicht einmal ein zusätzliches Gerät. Auch die Stimme kommt zur zweifelsfreien Authentifikation in Frage.

TAN-Listen sind mit PSD2 Geschichte

Warum ist das sicherer als die bislang benutzten Zahlungsmethoden?

Im Rahmen der alten Verfahren wurde lediglich ein Faktor abgefragt, um den Nutzer zu authentifizieren. Kreditkartendaten oder Passwörter lassen sich aber sehr leicht stehlen. Zwei-Faktor-Authentifizierung macht es Angreifern wesentlich schwerer. Kriminelle müssten nun also nicht nur die Zugangsdaten ihres Opfers stehlen oder hacken, sie müssten auch etwas Physisches wie das Handy oder die Karte in ihren Besitz bringen. Außerdem sind die TANs nun Transaktionsgebunden, im Gegensatz zu den früheren TAN-Listen. Kommt Biometrie zum Einsatz, wird es für Kriminelle natürlich noch schwerer.

Was passiert, wenn ich als Verbraucher eines dieser Verfahren nicht nutze?

Ohne starke Kundenauthentifizierung geht künftig nichts mehr.
Ohne starke Kundenauthentifizierung geht künftig nichts mehr.
Foto: wk1003mike - shutterstock.com

SCA wird im Rahmen von PSD2 flächendeckend eingeführt. Was die Möglichkeiten von Open Banking angeht, bleibt jedem Verbraucher freigestellt, welche Dienstleistungen er nutzen möchte und welche nicht. In keinem Fall dürfen Daten oder Berechtigungen ohne seine vorherige Zustimmung mit Drittanbietern geteilt werden. Elektronische Zahlungen ohne MFA sollten dann gar nicht mehr möglich sein - es sei denn, es gibt Ausnahmeregelungen für bestimmte Dienste. Dies ist beispielsweise für PayPal vorstellbar. Eine Handlungspflicht auf Seiten des Verbrauchers gibt es auf jeden Fall nicht.

Muss ich als Händler/Anbieter zwingend eines dieser Verfahren nutzen? Was geschieht, wenn ich das nicht tue?

Prinzipiell können Händler eine Zertifizierung erlangen, die es ihnen erlaubt über die Schnittstellen der Banken auf Kontodaten zuzugreifen. Eine Verpflichtung dazu besteht allerdings nicht. In diesem Fall läge allerdings tatsächlich auch die Verantwortung für die starke Kundenauthentifizierung in den Händen des Händlers. Es ist jedoch davon auszugehen, dass die wenigsten Händler diesen Schritt anstreben, da sich der damit verbundene Aufwand für die wenigsten lohnen dürfte.

Ansonsten liegt die Verantwortung dafür, die PSD2-Konformität der Zahlungen sicherzustellen, bei den Zahlungsdienstleistern. Zunächst würden sich also diese strafbar machen. Dennoch empfiehlt es sich für Händler, darauf zu achten, dass die Dienste, mit denen sie zusammenarbeiten, die Vorgaben der PSD2 erfüllen.

Händler, bei denen sie häufig einkaufen, können Kunden auf eine sogenannte Whitelist setzen. Diese Liste wird von der Bank eines Kunden verwaltet und die darauf eingetragenen Händler gelten als vertrauenswürdig, so dass auf die starke Kundenauthentifizierung bei jedem Kauf verzichtet werden kann. Verbraucher können damit genauso bequem shoppen, wie bisher.

Bußgelder und Strafen drohen

Gibt es Bußgelder/Verwarnungen, wenn ich am 14. September 2019 nicht PSD2 ready bin?

Unternehmen, die nach dem Stichtag am 14. September keine PSD2-konformen Zahlungen anbieten, müssen prinzipiell mit Strafen und Bußgeldern rechnen. Das gilt auch, wenn sie mit Dienstleistern kooperieren, die ihrerseits die Richtlinien nicht erfüllen und nicht über die Lizenz einer europäischen Aufsichtsbehörde verfügen. Die Missachtung der PSD2 stellt außerdem einen Wettbewerbsverstoß dar, was zu Abmahnungen führen könnte.

Gibt es Anwendungsfälle, wo auf die Verfahren gemäß PSD2 verzichtet werden kann?

Transaktionen mit geringem Wert oder geringem Risiko sind von der Pflicht zur starken Kundenauthentifizierung ausgenommen. Dazu zählen Transaktionen mit einem Volumen von weniger als 30 Euro - solange der innerhalb von 24 Stunden SCA-frei gezahlte Gesamtbetrag 100 Euro nicht übersteigt. Außerdem wird nach jeder fünften Transaktion ebenfalls eine starke Kundenauthentifizierung angefordert. So bleibt sichergestellt, dass sich ein Angreifer nicht durch viele kleine Transaktionen einen hohen Gesamtbetrag verschaffen kann. Auch Transaktionen mit geringem Risiko können ohne SCA abgewickelt werden. Die Einstufung erfolgt anhand der Betrugsraten des Kartenausstellers und des Drittdienstleisters, der den Bezahlvorgang abwickelt.

Was muss ich als Verbraucher tun, um ab 14. September PSD2-konform zu bezahlen?

Verbraucher werden sich im Rahmen von Zahlungsvorgängen in Zukunft regelmäßig mit mehreren Faktoren identifizieren müssen. Da die neuen Verfahren die alten ersetzen, müssen Verbraucher jedoch nicht selbst aktiv werden. Die ausgedruckte TAN-Liste gehört allerdings endgültig der Vergangenheit an, wer diese bisher benutzt hat muss auf ein anderes Verfahren wechseln: Push-TAN per App, SMS-TAN oder ein Kartenlesegerät für zu Hause kaufen.

Was müssen Händler nun auf der technischen Seite tun?

Die Verantwortung für die technischen Systeme liegt bei den jeweiligen Zahlungsdienstleistern, also den Anbietern von Kreditkarten, Drittdienstleistern und Online-Bezahllösungen wie PayPal. Nutzen Händler einen Payment Service Provider als Dienstleister zur zentralen Verwaltung der verschiedenen Zahlungsoptionen, stellt dieser sicher, dass nur PSD2-konforme Bezahlarten angeboten werden.

Zur Startseite