PSD2
(Payment Services Directive 2)

Die PSD2 (Payment Services Directive 2) ist eine EU-Richtlinie zur Regulierung von Zahlungsdiensten und Zahlungsdienstleistern, deren Ziele es sind

• die Sicherheit im Zahlungsverkehr zu erhöhen,
• den Verbraucherschutz zu stärken,
• Innovationen zu fördern und
• den Wettbewerb im Markt zu steigern.

Die PSD2 gilt für Zahlungen in EU/EWR-Währungen zwischen im EU/EWR-Raum ansässigen Zahlungsdienstleistern. Darüber hinaus findet sie teilweise auch Anwendung auf Zahlungen in Nicht-EU/EWR-Währungen (z. B. US-Dollar oder britische Pfund) sowie wenn ein Zahlungsdienstleister außerhalb des EU/EWR-Raums ansässig ist (z. B. Schweiz oder USA). Allerdings sind für solche Zahlungen einige Bestimmungen der PSD ausgenommen.

Zum 13. Januar 2018 wurde in Deutschland die neue Zahlungsdiensterichtlinie PSD2 in nationales Recht umgesetzt. Einige Regelungen, wie z. B. die Anbindung von Drittdiensten (Kontoinformationsdienste, Zahlungsauslösedienste) und die Neuerungen zur starken Kundenauthentifizierung gelten erst ab 14.09.2019.

Die Banken sind verpflichtet, die von der PSD2 betroffenen Bedingungswerke anzupassen und ihre Kund:innen darüber zu informieren. Aufgrund der ab 15.09.2019 geltenden gesetzlichen Änderungen haben wir unsere Besonderen Bedingungen für die Nutzung des Fondsbankings und des InfoManagers angepasst. Die Änderungen betreffen das Online-Banking.

Mit der PSD2 werden neue Vorschriften für Drittdienste geschaffen. Das sind Zahlungsauslösedienste und Kontoinformationsdienste (z. B. Amazon, PayPal). Wenn Sie im Rahmen des Online-Banking solche Drittdienste nutzen, ist die Bank verpflichtet, diesen Drittdiensten Zugang zum jeweiligen Zahlungskonto zu gewähren. Die Drittdienste unterliegen nunmehr der Aufsicht der Bundesanstalt für Finanzdienstleistungsaufsicht.

Zusätzlich werden die Rechte der Bankkund:innen in einigen Punkten gestärkt, insbesondere:

• Die Erstattungsfrist bei nicht autorisierten Zahlungen wird verkürzt.
• Die Ansprüche bei verspäteter Ausführung einer Zahlung werden geregelt.
• Zahlungen innerhalb des Europäischen Wirtschaftsraums in einer Drittstaatenwährung (zum Beispiel US-Dollar) werden stärker vom Zahlungsdiensterecht erfasst.

Nein. Die Änderungen der Besonderen Bedingungen für die Nutzung des Fondsbankings und des InfoManagers haben aktuell keine preislichen Auswirkungen.

Über Online-Zugänge von Drittdienstleistern (z. B. PayPal) können Sie diese damit beauftragen, Zahlungen vorzunehmen oder Kontoinformationen abzurufen (beispielsweise für Ihre Finanzplanung). Da diese Dienstleister nunmehr gesetzlich anerkannt sind und der Bankenaufsicht unterliegen, dürfen Sie gegenüber diesen Diensten auftragsbezogen auch ihre Banken-PIN und -TAN bekanntgeben und einsetzen.

Kaufen Sie im Internet ein, also in Online-Shops wie Amazon oder Ebay, so können Sie für die Zahlungsabwicklung einen Dienstleister – genannt Zahlungsauslösedienst – wie z. B. PayPal, nutzen. Dieser reicht den Überweisungsauftrag bei der Bank ein, wenn Sie dem vorher gegenüber dem Drittdienst zugestimmt haben. Ihre Zustimmung ist also entscheidend.

Sie entscheiden, ob und gegebenenfalls welche Kontodaten der Drittdienst zur Erbringung seiner Dienstleistung einsehen darf. Dazu sollten Sie sich die Informationen des Drittdienstes zu dessen Datenzugriff genau durchlesen, um die Tragweite der Zustimmung zu verstehen.

Kontoinformationsdienste sind in der Lage, Kontoinformationen wie Umsätze, Salden und Vormerkposten von Zahlungskonten abzurufen, sofern ein Online-Banking-Konto besteht. Dies ist insbesondere für Kund:innen interessant, die Konten bei mehreren Banken haben und sich damit einen besseren Überblick über ihre Kontenlage verschaffen wollen.

Die Drittdienste unterliegen zukünftig der Aufsicht. So benötigen Zahlungsauslösedienste für ihre Tätigkeit eine Zulassung von der nationalen Aufsichtsbehörde. Das ist in Deutschland die Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin). Kontoinformationsdienste müssen sich bei der BaFin registrieren lassen.

Für die Zulassung und Registrierung wird bei Zahlungsauslöse- und Kontoinformationsdiensten eine Berufshaftpflichtversicherung oder eine gleichwertige Garantie vorausgesetzt. Schon vor 2016 tätige Dienste genießen noch Bestandschutz.

Die Europäische Bankenaufsicht und die BaFin führen dazu Verzeichnisse, die auch über das Internet einsehbar sind: Ein europäisches Verzeichnis aller Drittdienste wird von der Europäischen Bankenaufsichtsbehörde zur Verfügung gestellt. In diesem können Sie anhand verschiedenster Suchkriterien prüfen, ob der jeweilige Drittdienst auch über eine entsprechende Lizenz beziehungsweise Registrierung verfügt. Die BaFin veröffentlicht Verzeichnisse mit registrierten und lizensierten Drittdiensten. In Zweifelsfällen können Sie sich auch bei der BaFin erkundigen.

Sollte auf dem Zahlungskonto eine Zahlung gebucht worden sein, ohne dass diese veranlasst worden ist, können Sie als Kontoinhaber:in Erstattung von der Bank verlangen. Die Erstattungsfrist ist auf einen Geschäftstag verkürzt worden. Ausnahme: Die Bank stellte eine Autorisierung der Zahlung durch Sie fest oder hat einen Betrugsverdacht gegen Sie.

Sollte eine Zahlung einmal verspätet ausgeführt werden, sind die beteiligten Zahlungsdienstleister verpflichtet, diese Verspätung beim Zahlungsempfänger auszugleichen.

Bei einem Missbrauch der Online-Banking-PIN/TAN haften Sie für entstandene Schäden derzeit bis zu einem Betrag von 150 Euro, solange die Karte oder das Online-Konto nicht gesperrt wurde. Diese Haftungsgrenze sinkt auf 50 Euro. Lediglich bei grober Fahrlässigkeit oder Vorsatz haften Sie auch weiterhin unbeschränkt.

Bei Zahlungen im Internet ist die so genannte Zwei-Faktor-Authentifizierung bereits heute Pflicht. Das bedeutet, dass die Authentifizierung über zwei Faktoren erfolgen muss, die durch Wissen (z. B. PIN), Besitz (z. B. Smartphone) oder Inhärenz (z. B. Fingerabdruck, Face-ID) vermittelt werden.

Neu ist allerdings, dass die Authentifizierungs-Elemente den Zahlungsvorgang dynamisch mit einem bestimmten Betrag und einem bestimmten Zahlungsempfänger verknüpfen müssen. Deshalb kann das iTAN-Verfahren ab dem 14.09.2019 für Geldkontotransaktionen im Fondsbanking nicht mehr verwendet werden.

Die PSD2 verlangt dieses Verfahren künftig auch beim Einloggen im Online-Banking oder sonstigen Handlungen, die das Risiko eines Missbrauchs bergen.

Dies betrifft unter anderem Zahlungsaufträge per E-Mail. Diese können künftig nicht mehr entgegengenommen werden. Aufträge müssen entweder per Fax oder über das Online Portal der Fondsdepot Bank übermittelt werden.

Aufgrund der ab 14.09.2019 geltenden gesetzlichen Änderungen ist bei Zahlungen im Internet die sogenannte Zwei-Faktor-Authentifizierung Pflicht. Das bedeutet, dass die Authentifizierung über zwei Faktoren erfolgen muss, die durch Wissen (z. B. PIN), Besitz (z. B. Smartphone) oder Inhärenz (z. B. Fingerabdruck, Face-ID) vermittelt werden. Dafür benötigen Sie ein neues TAN-Verfahren.

Für andere Online-Transaktionen wird das iTAN-Verfahren bis Ende 1. Quartal 2020 deaktiviert.

Ab 9. August 2019 werden wir Ihnen unser neues pushTAN-Verfahren anbieten.

Alle von der Umstellung betroffenen Kund:innen werden per Brief bzw. InfoManager von uns ab Juli 2019 mit weiteren Informationen zur Umstellung angeschrieben. Zusätzlich finden Sie auf dieser Website ein weiteres FAQ rund um „pushTAN“.

Die Europäische Kommission hat am 27. November 2017 die technischen Regulierungsstandards (RTS, Regulatory Technical Standards) für die sichere Kommunikation und die starke Kundenauthentifizierung zur PSD2 veröffentlicht. Damit hat sich die Europäische Kommission eindeutig für den Zugriff auf Zahlungskonten über gesicherte Schnittstellen (APIs) ausgesprochen. Banken müssen den Drittdienstleistern aber zusätzlich eine Notfalllösung anbieten. Hierzu stellen wir den Zahlungsdienstleistern auch weiterhin die Möglichkeit des „screen scraping“ zur Verfügung. Aufgrund der Vorschriften der PSD2 jedoch steht diese Notfalllösung nur jenen Anbietern zur Verfügung, die sich zuvor bei uns identifiziert haben. Hieraus ergibt sich, dass „screen scraping“ stets nur als Notfalllösung zu verwenden ist und der Dienstleister, um dieses nutzen zu können, zuvor für die Nutzung der PSD2 Schnittstelle authentifiziert werden muss. Dies ist im Sinne unserer Kund:innen und stärkt sowohl die Sicherheit des Online Banking als auch die Transparenz über die Weitergabe von Daten.

Die PSD2-Schnittstelle wird ab 14.09.2019 zur Verfügung stehen.