PSD2 – Was ist das überhaupt?
In den letzten Monaten wurde viel über die PSD2 berichtet. Vielleicht haben Sie auch bereits von Ihrer Bank eine Nachricht erhalten, dass sich bezüglich Ihres Online-Bankings aufgrund der PSD2 in Kürze einige Änderungen ergeben werden.
PSD2 steht für Payment Service Directive 2 und ist eine europäische Richtlinie zur Regulierung von Zahlungsdiensten. Hintergrund dieser Regulierung war die lange umstrittene Frage, ob Bankkunden zur Nutzung des Online-Bankings auf Drittanbieter zurückgreifen dürfen, d.h. diesen ihre Credentials (Anmeldenamen, PIN und TAN) anvertrauen dürfen, um in den Genuss innovativer Banking-Services zu gelangen (wie z.B. der 360-Grad-Sicht auf die Finanzen, die Ihnen unsere Multibanken-Anwendung finanzblick ermöglicht).
Diese Frage hat der europäische Gesetzgeber in der PSD2-Richtlinie mit einem klaren „Ja, aber“ entschieden:
Ja: Sie dürfen als Bankkunde die Banking-Services innovativer Drittanbieter nutzen.
Aber: Nur dann, wenn der Drittanbieter seine Dienste nach den strengen Regeln der Finanzaufsicht erbringt.
Die Finanzaufsicht prüft zunächst in einem sehr langen und aufwändigen Erlaubnisverfahren, ob der Drittanbieter über die notwendigen Strukturen verfügt, die äußerst umfangreichen und komplexen finanzaufsichtsrechtlichen Regeln zuverlässig einzuhalten. Dabei werden u.a. Aspekte wie die Sicherheit von elektronischen Zahlungen und die Einhaltung datenschutzrechtlicher Anforderungen beleuchtet. Ist die Behörde von Zuverlässigkeit überzeugt, erhält der Drittanbieter die Erlaubnis, Zahlungsdienste zu erbringen. Erst dann darf er z.B. für Sie Kontoumsätze abrufen und Ihnen diese übersichtlich zur Verfügung stellen (sog. Kontoinformationsdienst) oder Überweisungen für Sie auslösen (sog. Zahlungsauslösedienst). Dabei untersteht der Drittanbieter der ständigen Kontrolle der Finanzaufsicht.
Dadurch ist gewährleistet, dass Sie weiterhin innovative Banking-Services nutzen können, Sie sich als Bankkunde aber stets darauf verlassen können, dass Sie Ihre Credentials nur Drittanbietern anvertrauen, die initial im Erlaubnisverfahren und sodann laufend von der Finanzaufsicht kontrolliert werden.
Die Ziele der PSD2-Richtlinie lassen sich also wie folgt zusammenfassen:
– Stärkung des Verbraucherschutzes
– Erhöhung der Rechtssicherheit
– Modernisierung des Zahlungsverkehrsmarktes
– Förderung des Wettbewerbs zwischen Banken und neuen Zahlungsdienstleistern
– Verbesserung der Sicherheit von elektronischen Zahlungen
– Gewährleistung des Datenschutzes
Ok, und was hat Buhl damit zu tun?
Buhl ist einer der ersten „Online-Banker“ am Markt. Unsere ersten Schritte in der Welt des Online-Bankings haben wir in den frühen 90er Jahren mit der Software „WISO Zeit und Geld“ gemacht. Über die folgenden Jahrzehnte bauten wir unsere Expertise in diesem Bereich stetig aus. Es folgten klassische Desktop-Anwendungen wie „WISO Mein Geld“ (seit 2004) und moderne Apps/Webanwendungen wie „finanzblick“ (seit 2011). Inzwischen ist unser buhl:Banking-Service konzernübergreifend ein zentraler Bestandteil unserer Softwareprodukte – hier ein Beispiel:
Sie möchten Ihre Steuererklärung schneller erledigen? Kein Problem. Unsere Steuersoftware hat unseren buhl:Banking-Service bereits integriert (steuer:Banking). Das steuer:Banking erkennt automatisch Buchungen, die für die Steuer wichtig sind und kategorisiert sie nach steuerlichen Gesichtspunkten. Diese Buchungen übernehmen Sie in unsere Steuersoftware. Zum Beispiel Spenden, Kita-Beiträge oder Ihre Kosten für Telefon und Internet. So müssen Sie nicht mehr selbst alle Ihre Kontoauszüge aufwändig manuell durchgehen und auf steuerliche Relevanz prüfen. Das spart Ihnen wertvolle Zeit.
Damit Sie die Vorteile des buhl:Banking-Services weiter nutzen können, haben auch wir uns der Herausforderungen der PSD2 gestellt – mit Erfolg:
Die Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) hat uns Anfang Juni 2019 die Lizenz als Kontoinformations- und Zahlungsauslösedienst erteilt. Nach der Zertifizierung durch die oberste deutsche Finanzdienste-Aufsicht besitzen wir damit als einer der ersten Finanz- und Steuersoftware-Hersteller in Deutschland die offizielle Zulassung, in unseren Anwendungen PSD2-konforme Banking-Dienste anzubieten.
Was verbessert sich durch die PSD2 für Sie? Gibt es auch Einschränkungen?
Haben Sie sich schon mal gefragt, warum es bei einer Kreditkartenzahlung bislang immer gereicht hat, die (auf der Vorderseite abgedruckte) Kreditkartennummer und den (auf der Rückseite abgedruckten) „Sicherheitscode“ einzugeben? Könnte der Kellner im Restaurant, dem Sie Ihre Kreditkarte zur Zahlung aushändigen, nicht ohne Weiteres diese Informationen dazu nutzen, mit Ihrer Kreditkarte online etwas zu bestellen?
Die bisherigen Sicherheitsverfahren bei elektronischen Zahlungsverfahren waren nicht wirklich optimal. Mit der PSD2 wird es daher erhebliche Verbesserungen bei den Sicherheitsverfahren geben. Dadurch bedingt aber leider auch Komfort-Einbußen beim Online-Banking.
Hier die für Sie wichtigsten Änderungen:
Starke Kunden-Authentifizierung
Das Gesetz schreibt vor, dass künftig eine starke Kunden-Authentifizierung (auch „Zwei-Faktor-Authentifizierung“ genannt) erfolgen muss. Und zwar nicht nur bei Zahlungen (wie das bisherige Erfordernis der TAN-Eingabe bei einer Überweisung), sondern auch dann, wenn nur Kontoumsätze von der Bank abgerufen werden.
Bislang reichte es dafür, eine Lese-PIN für den Kontenzugriff zu verwenden. Künftig müssen Sie im Rahmen der Zwei-Faktor-Authentifizierung für den Zugriff auf eigene und fremde Konten regelmäßig eine TAN generieren.
Unter der Zwei-Faktor-Authentifizierung ist eine Authentifizierung der Kunden mit zwei von drei möglichen Faktoren zu verstehen. Die drei möglichen Faktoren entstammen den folgenden Kategorien:
• Wissen (z.B. Kontonummer und vergebenes Passwort)
• Besitz (z.B. Smartphone, TAN-Generator)
• Inhärenz (körperliches Merkmal wie z.B. Fingerabdruck, Iris, Sprache)
In der Praxis hat die Umsetzung der PSD2-Richtlinie zur Folge, dass bei Kontoumsatzabfragen spätestens alle 90 Tage eine starke Authentifizierung durch den Anwender stattfinden muss. Jede Bank kann den Zeitraum zwischen den TAN-Eingaben individuell festlegen. Bei einigen Banken wird die Authentifizierung sogar bei jedem Login verlangt.
Je nach Bank müssen Sie also künftig häufiger, ggf. sogar bei jedem Zugriff auf Ihr Konto eine TAN eingeben.
Mögliche Downtimes wegen neuer Bankzugänge (XS2A)
Bislang haben die meisten Banken für den Zugang zu den Bankkonten auf einen einheitlichen Standard gesetzt – das sog. HBCI (Homebanking Computer Interface) bzw. nunmehr FinTS (Financial Transaction Services) genannt.
Dieser Standard hat es Drittanbietern wie uns ermöglicht, den Großteil der Bankzugänge mit vertretbarem Aufwand an den Banking-Service anzubinden, sodass Änderungen zentral und für Sie als Nutzer regelmäßig ohne spürbare Einbußen eingepflegt werden konnten.
Alle anderen Bankzugänge konnten bislang über das sog. Screen Scraping angebunden werden. Dabei handelt es sich um eine intelligente Technik, mit deren Hilfe Bankzugänge, die nicht via FinTS erreichbar waren, ebenfalls relativ einfach – wenn auch etwas aufwändiger als via FinTS – implementiert werden konnten.
Leider handelt es sich bei FinTS nur um einen Standard in der deutschen Bankenlandschaft. Da die PSD2 europaweit gilt, werden die Banken die bisherigen Bankzugänge verändern und neu entwickeln, um den neuen regulatorischen Normen und den höheren Sicherheitsstandards im Zahlungsverkehr zu entsprechen. Und auch das Screen Scraping darf bei Zahlungskonten (d.h. in erster Linie bei Ihrem Girokonto) aufgrund der Vorgaben der PSD2 künftig grundsätzlich nicht mehr verwendet werden.
Jede Bank wird also künftig eine PSD2-konforme, sog. Access to Account-Schnittstelle (kurz: „XS2A“) bereitstellen, d.h. eine technische Schnittstelle, die dritten Zahlungsdienstleistern wie uns eine standardisierte Möglichkeit gibt, Zahlungen auszulösen und Kontoinformationen abzurufen.
Zwar gibt es auch für diese PSD2-konformen XS2A-Schnittstellen einen europäischen Standard – die sog. „NextGenPSD2“-Schnittstelle der Berlin Group, einem Zusammenschluss der wichtigsten Banken, Fintechs und sonstigen Akteuren der Branche. Dieser Standard bietet aber nicht den Grad an Vereinheitlichung, den die FinTS bislang geboten hatte. Den Banken bleibt in der Umsetzung des Standards ein relativ großer Spielraum.
Mit anderen Worten: Die Banken haben sich zwar auf eine gemeinsame Sprache geeinigt, sie sprechen diese Sprache dann aber jeweils in ihrem eigenen Dialekt. Das wiederum führt dazu, dass nahezu jede Bank individuell angebunden werden muss. Das erhöht auf Seiten der Drittanbieter den Implementierungs- und Pflegeaufwand enorm. Je nach Häufigkeit und Anzahl der Änderungen kann das zu Einbußen für Sie als Nutzer führen, z.B. dass Ihre Bank für den Zeitraum der Anpassung an die Änderungen nicht erreichbar ist (sog. Downtime).
Die Banken hätten die PSD2-konformen XS2A-Schnittstellen eigentlich bis spätestens 14.09.2019 bereitstellen müssen. Da die XS2A-Schnittstellen aber vor der Liveschaltung einen dreimonatigen Testlauf bestehen müssen und die bisher vorliegenden XS2A-Schnittstellen diesen Test nach einem aktuellen Schreiben der BaFin aus unterschiedlichen Gründen nicht bestanden haben (z.B. weil Daueraufträge nicht ermöglicht wurden), werden die bisherigen Bankzugänge (FinTS, Screen Scraping) voraussichtlich auch über den 14.09.2019 hinaus weiter genutzt werden dürfen. Die oben dargestellten Vorgaben zur starken Kundenauthentifizierung gelten aber auch für die bisherigen Bankzugänge.
Einschränkungen im Funktionsumfang des Online-Bankings
Aufgrund der gesetzlichen Neuerungen wird sich auch der bisherige Funktionsumfang beim Online-Banking künftig verändern. Hier die wichtigsten Einschränkungen für Sie:
• Das sog. „iTAN-Verfahren“ wird abgeschafft, d.h. Papierlisten mit TANs werden die Banken nicht mehr zur Verfügung stellen. Wenn Sie noch iTANs verwenden, benötigen Sie ein alternatives TAN-Verfahren (z.B. einen TAN-Generator oder eine separate push-TAN App). Bitte wenden Sie sich hierzu an Ihre Bank.
• Wenn Sie ING-Kunde sind, können Sie ab dem 14.09.2019 keine Zahlungen von Ihrem Girokonto über FinTS/HBCI ausführen, da die ING aktuell nur die iTAN in ihrem FinTS Kanal integriert hat.
• Da die Banken bei Kontoumsatzabfragen in den XS2A-Schnittstellen nur noch bis zu vier automatische Abfragen pro Tag zulassen und in bestimmten Intervallen eine TAN eingegeben werden muss, ist ein automatischer Abruf von Kontoumsätzen
(sog. „Auto-Banking“) nur noch eingeschränkt möglich. Je nach dem in
welchen Abständen Ihre Bank eine TAN verlangt, ist das „Auto-Banking“ ggf. bei
Ihnen nicht mehr möglich.
Hier zwei Beispiele:
1. Wenn Ihre Bank bei jedem Login eine TAN-Eingabe verlangt, kann unser „finanzblick“ Ihre aktuellen Umsätze nicht mehr automatisch für Sie abrufen. Sie müssten dann jedes Mal, wenn Sie Ihre aktuellen Umsätze in unserem „finanzblick“ einsehen möchten, eine TAN eingeben.
2. Wenn Ihre Bank nach x bzw. 90 Tagen eine TAN-Eingabe verlangt, kann unser finanzblick Ihre aktuellen Umsätze immer nur bis zur TAN-Eingabe automatisch für Sie abrufen. Danach müssen Sie die TAN jeweils erneut eingeben, damit der automatische Abruf erfolgen kann.
• Ein Teil der Banken hat angekündigt, seine XS2A-Schnittstelle so auszugestalten, dass Sie als Zahlungsdienstnutzer Ihre Credentials stets direkt bei der Bank eingeben müssen und dass Sie hierzu auch dann auf die Webseite der Bank weitergeleitet werden (sog. „Redirection“), wenn Sie einen Banking-Service eines von der BaFin lizenzierten dritten Zahlungsdienstleisters nutzen. Ein solcher „Weltenwechsel“ würde Ihr Banking-Erlebnis natürlich einschränken und die Erreichung der PSD2-Ziele, insbesondere der Schaffung eines fairen Wettbewerbs zwischen Banken und innovativen dritten Zahlungsdienstleistern, in Frage stellen. Inwieweit diese Banken nach dem oben genannten Schreiben der BaFin noch an dieser Ankündigung festhalten bzw. in
welcher Form sie die „Redirection“ ausgestalten werden, bleibt allerdings abzuwarten.
• Manche Banken haben darüber hinaus weitere Einschränkungen angekündigt, z.B.
dass sie keine Sammel- oder Terminüberweisungen oder SEPA-Lastschriften mehr anbieten werden. Auch hier bleibt allerdings nach dem oben genannten Schreiben der BaFin abzuwarten, inwieweit diese Banken noch an dieser Ankündigung festhalten werden.
Zwischenbilanz und Ausblick
Durch die PSD2 ändert sich vieles:
Für die Banken, für uns als dritten Zahlungsdienstleister, aber auch für Sie als Zahlungsdienstnutzer.
Online-Banking wird für Sie sicherer, dadurch aber leider auch teilweise etwas unkomfortabler – wobei sich das genaue Ausmaß der Einschränkungen erst abschätzen lässt, wenn die XS2A-Schnittstellen der Banken in PSD2-konformer Fassung vorliegen und den dreimonatigen Testlauf bestanden haben. Das könnte noch etwas dauern. Bis dahin können Sie unsere Banking-Services (fast) wie gewohnt weiternutzen. Sie werden sich aber häufiger durch eine TAN-Eingabe authentifizieren müssen.
Weitere Infos
Sie möchten mehr zur PSD2 erfahren? Dann doch am besten aus erster Quelle –
hier die Informationsseiten der deutschen Finanzaufsichtsbehörden:
PSD2-Informationsseite der BaFin
PSD2-Informationsseite der Deutschen Bundesbank