PSD2: Was wird anders durch die neue EU-Richtlinie?
Am 23 August 2019 veröffentlicht von der Blog-Redaktion der OLB
PSD2: Das ändert sich für Sie als Onlinebanker und -Käufer
Ob in Zeitungsartikeln, Onlineforen oder der Info-Post Ihrer Hausbank: Die Abkürzung PSD2 (oder PSD II) ist aktuell sehr präsent. Dabei geht es um die überarbeitete Zahlungsdienste-Richtline „Payment Service Directive“ der EU. – Am 14. September treten mit der zweiten Stufe Neuerungen in Kraft, die auch Sie als Verbraucher betreffen, vor allem, wenn Sie Onlinebanker sind. Lesen Sie in diesem Ratgeber-Artikel alles, was Sie zur PSD2 wissen müssen.
Warum gibt es eine Zahlungsdienste-Richtlinie der EU?
Der Online-Einkauf ist für viele Menschen so normal geworden wie der Gang zum Bäcker. Der Gesetzgeber bemüht sich daher, auf dem weiten Feld der Bezahlmethoden im Internet für Sicherheit zu sorgen – zum Beispiel beim Zugriff von sogenannten Zahlungsauslösediensten (oder auch Drittdienstleistern, siehe unten) auf Kontozugangsdaten. Zwar hat die EU bereits 2007 die Ursprungsversion der PSD geschaffen. Doch da sich die technischen Möglichkeiten seitdem rasant entwickelt haben und der Markt rund um Online-Zahlungen wächst, wurde die Zahlungsdienste-Richtlinie Anfang 2018 nachjustiert – eben mit der PSD2. Die Neuerungen, die nun im September 2019 in Kraft treten, sind unter anderem
- Starke Kundenauthentifizierung (2-Faktor-Authentifizierung) im Onlinebanking
- Geregelter Zugriff von Drittdienstleistern auf online geführte Zahlungskonten
Eine weitere Neuerung durch die PSD2: User müssen nach einer Zeitspanne von maximal 5 Minuten ohne Aktivität automatisch ausgeloggt werden. Allerdings können Sie Ihre Onlinebanking-Session durch Klick auf den Button „Sitzung verlängern“ beliebig oft verlängern.
Was ist eine starke Kundenauthentifizierung?
Bislang loggen Sie sich ins Onlinebanking mit einem Benutzernamen und einer PIN ein. Mit dem Inkrafttreten der neuen PSD2-Richtlinie ändert sich das, da sie eine starke oder auch 2-Faktor-Authentifizierung vorschreibt. Die setzt sich aus zwei dieser drei Faktoren zusammen:
- Wissen (z. B. PIN)
- Besitz (z. B. Smartphone, TAN-Generator)
- Sein (biometrische Merkmale wie z. B. Fingerabdruck)
Verwenden Sie also beispielsweise einen TAN-Generator, werden Sie künftig neben Benutzernamen und PIN bereits beim Einloggen auch eine TAN eingeben müssen. Dadurch sind die Daten noch besser geschützt – was letztlich ein Anliegen der PSD2 ist. Nutzen Sie das HBCI-Signaturverfahren, ändert sich beim Login nichts, da der Onlinezugriff bereits durch zwei Faktoren geschützt ist.
Tipp: Prüfen Sie, ob Ihre TAN-App bzw. Ihr photoTAN-Lesegerät betriebsbereit ist. Alle Infos zu den TAN-Verfahren der OLB finden Sie hier:
Kommen wir zu den Zahlungsauslösediensten – was ist das?
Unternehmen aus der Finanztechnologie- oder FinTech-Branche haben Bezahldienste entwickelt, die direkt in den Bestellvorgang eingebunden werden, so dass Kunden sich für die Online-Bezahlung nicht bei ihrer Hausbank einzuloggen brauchen. Zu den bekanntesten zählt die Sofort GmbH mit ihrem Service „Sofortüberweisung“. Die Geschäftsidee dieser Zahlungsauslösedienstleister vertrug sich indes nicht mit einer Klausel vieler Banken, die besagt, dass Drittanbieter nicht auf Kontozugangsdaten zugreifen können. Die FinTech-Unternehmen sahen sich dadurch in ihrem Geschäftsmodell beeinflusst, beschwerten sich, hatten das wettbewerbsfördernde Bundeskartellamt auf ihrer Seite und dürfen weiterhin auf Kontozugangsdaten zugreifen.
Was ändert sich durch die PSD2?
Die PSD2 möchte durch Rechtssicherheit zum einen Innovationen im Zahlungsverkehr fördern. Zum anderen sollen die Sicherheit erhöht sowie Kundenrechte gestärkt werden – und zwar indem die Anbieter von Zahlungsdiensten künftig der Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) unterstellt sind. Das bedeutet: Um am Markt tätig zu sein, müssen die Anbieter bei der BaFin eine Erlaubnis beantragen und dafür unter anderem ein Startkapital von 50.000 Euro vorweisen. Etwas geringer sind die Hürden für „Kontoinformationsdienstleister“, also etwa Anbieter von Kontostands-Apps. Sie müssen sich bei der BaFin registrieren, zudem eine ausreichende Berufshaftpflichtversicherung vorweisen.
Positiv für Online-Bezahler: Entsteht (ohne fahrlässiges Verhalten) ein Betrugsfall während des Online-Bankings, sinkt die Haftungsgrenze für die Verbraucher: Bisher lag diese Grenze bei maximal 150 Euro – dank der PSD II sind es künftig nur 50 Euro.
Macht die PSD II das Online-Bezahlen also sicherer?
Die PSD2 enthält klare Vorgaben an Zahlungsauslösedienstleister: Unter anderem müssen sie sich gegenüber Banken eindeutig authentifizieren und dafür Sorge tragen, dass die personalisierten Sicherheitsmerkmale – also Anmeldename, PIN und TAN – keiner anderen Partei zugänglich gemacht werden. Zudem haben sich viele Banken technisch weiterentwickelt: Die OLB gestaltet den Zugriff beispielsweise über die entsprechende Schnittstelle so, dass ein Drittdienstleister keine Onlinebanking-Zugriffsdaten der Kunden erhält. Welche Daten genau Drittdienstleister einsehen können, ist zumeist in den AGB vermerkt. Trotz der PSD2 kann es also ratsam sein, die Geschäftsbedingungen zu lesen statt direkt auf „AGB akzeptieren“ zu klicken.
PSD II: das Fazit
Inwieweit die PSD II tatsächlich zu neuen, innovativen Zahlungsoptionen führt, von denen Sie als Verbraucher profitieren, bleibt abzuwarten. Ausschlaggebend dürfte sein, wie selbsterklärend die Handhabung der Dienste ist und welchen Service sie bieten. Ungeachtet dessen ist es erst einmal positiv, dass die Zahlungsauslösedienstleister künftig der BaFin unterstellt sind. Wobei die BaFin lediglich prüft, ob ein Geschäftsmodell den definierten Vorgaben genügt – nicht ob das Modell selbst verbraucherfreundlich ist. Letztlich muss auch mit PSD II (oder PSD 2) jeder User für sich die Frage beantworten, ob er den Zahlungsauslösediensten dahingehend das Vertrauen schenkt, dass sie ihre teils weitreichenden Zugriffsmöglichkeiten nicht missbrauchen.
Und sonst gibt es bei den meisten Einkäufen im Netz ja auch die Option, per ganz normalem Online-Banking zu überweisen. Das mag ein paar Klicks mehr bedeuten, ist aber nach wie vor der wohl sicherste Weg, online zu bezahlen.