PSD2-Richtlinie

Einheitliche Standards für die Sicherheit elektronischer Zahlungen

Am 14.09.2019 wurde die sogenannte "zweite Stufe" der Umsetzung der "Zweiten EU-Zahlungsdiensterichtlinie (PSD2)" wirksam. Ziel war die Schaffung einheitlicher Standards für die Sicherheit elektronischer Zahlungen sowie die Verbesserung des Verbraucherschutzes im Europäischen Wirtschaftsraum.

Damit wurde das OnlineBanking, die VR Banking App sowie das online-bezahlen mit Kreditkarte noch sicherer. Außerdem wurde dritten Zahlungsdienstleistern die Möglichkeit gegeben, Ihnen neue Services anzubieten. Verschaffen Sie sich hier einen Überblick über die Inhalte.

Zusammenfassung - Was ändert sich aufgrund der PSD2-Richtlinie?

Was änderte sich aufgrund der PSD2-Richtlinie?

  • Sie müssen sich beim Login im OnlineBanking, in der VR Banking App oder beim online-bezahlen mit Kreditkarte sowie bei Zahlungen und beim Abruf von Umsatzinformationen in der Regel mit zwei voneinander unabhängigen Faktoren im Sinne einer sogenannten "starken Kundenauthentifizierung" legitimieren. 1)
  • Eine OnlineBanking-Session endet automatisch nach 5 Minuten Inaktivität.
  • "Mastercard® Identity Check" und "Visa Secure" werden im Europäischen Wirtschaftsraum zum bezahlen beim Online-Shopping mit der Kreditkarte verpflichtend.
  • Sie können berechtigte Drittanbieter beauftragen, für Sie Zahlungen auszulösen oder Kontoinformationen von Zahlungsverkehrskonten abzurufen.
  • Sie können Drittanbieter berechtigen, vor Ihrer Kartenzahlung die Verfügbarkeit des Kaufbetrages bei uns anzufragen.
Erläuterungen zu 1) "Starke Kundenauthentifzierung"

Mit PSD2 wurden die Anforderungen an die Authentifizierung der Kunden bei Zahlungen verschärft. Authentifizierung bedeutet, dass nicht nur Sie als Auftraggeber identifiziert werden, sondern dass auch die inhaltliche Richtigkeit Ihrer Willenserklärung geprüft wird. Die "starke Kundenauthentifizierung" bzw. "2-Faktor-Authentifizierung" bedeutet, dass Sie sich mit zwei von drei möglichen Faktoren "ausweisen" müssen:

  • Wissenselemente: etwas, das nur Sie wissen (z. B. PIN)
  • Besitzelemente: etwas, das nur Sie besitzen (z. B. girocard mit TAN-Generator oder ein Mobiltelefon, an das eine TAN übermittelt wird) oder
  • ein "Seinselement" ("Inhärenz"), also etwas, das nur Sie sind, wie zum Beispiel Ihr Fingerabdruck als biometrisches Merkmal.

 

Die "2-Faktor-Authentifizierung" wird in der Regel angewendet bei:

  • Login zum OnlineBanking
  • einer Zahlung (gilt nicht für Lastschriften)
  • einer Aktion, die zu einem Risiko führen kann, wie zum Beispiel eine Adressänderung
  • Zahlungen mit Ihrer Kreditkarte beim Online-Einkauf

 

Sicherheit durch die starke Kundenauthentifizierung

Wenn Sie eine Zahlung über das OnlineBanking ausführen, nutzen Sie die mit uns vereinbarten Authentifizierungselemente, wie zum Beispiel PIN und TAN. So können wir feststellen, dass tatsächlich Sie diese Vorgänge berechtigterweise veranlasst haben. Die PSD2 erkennt diese Authentifizierungsverfahren an und regelt diese nunmehr gesetzlich. In der Regel wird bei jeder Transaktion eine starke Kundenauthentifizierung erfolgen. Authentifizierungselemente aus den Kategorien Wissen, Besitz und Sein müssen eingesetzt werden, beispielsweise eine PIN als Wissenselement oder ein Mobiltelefon als Besitzelement, an das eine TAN übermittelt wird. Wie schon bisher bei einer Zahlung über das Online-Banking werden Sie beim Zugriff auf Kontoinformationen in der Regel zwei Authentifizierungselemente einsetzen: PIN und TAN. Bei Kreditkartenzahlungen im Internet werden mit der PSD2 die sicheren Bezahlverfahren "Mastercard® Identity Check" oder "Visa Secure" verpflichtend.

 

Ausnahmen von der starken Kundenauthentifizierung

Gemäß PSD2 besteht die Möglichkeit, in bestimmten Fällen den Einsatz nur eines Authentifizierungselements anzufordern. Die zweifache Absicherung durch eine starke Kundenauthentifizierung ist nicht nötig, wenn:

  • Sie Zahlungen an sich selbst im selben Bankinstitut vornehmen
  • zum Beispiel mit Kwitt Kleinstbeträge bis 30 Euro elektronisch bezahlt werden
  • Zahlungen an unbeaufsichtigten Terminals vorgenommen werden
  • es um kontaktlose Kleinbetragszahlungen geht.
Was ändert sich konkret im OnlineBanking

Änderung bei Anmeldung

Sie werden mindestens alle 90 Tage beim Login im OnlineBanking aufgefordert, sich mit Ihrem VR-NetKey/Alias und Ihrer PIN sowie einer TAN zu legitimieren. Bei der Auslösung von Zahlungen (z. B. Überweisung) sowie dem Abruf von Umsatzinformationen trifft dies ebenso zu.

Was ändert sich konkret für die VR-Banking App?

TAN-Eingabe beim Login in die VR-Banking App

Auch in der VR Banking App müssen Sie grundsätzlich alle 90 Tage zusätzlich eine TAN zum Login eingeben.

Ausnahme: Die TAN-Eingabe beim Login entfällt, wenn

  • Sie die Funktion "Kwitt" in der VR Banking App nutzen.
  • eine Gerätebindung zwischen der VR Banking App und Ihrem Gerät (Smartphone/Tablet) hergestellt wird. Diese Gerätebindung können Sie mit der App-Version 19.15 in den Einstellungen der VR Banking App einrichten. Zusätzlich wird Ihnen beim Start der App ein Hinweis zur Einrichtung der Gerätebindung angezeigt.

 

Unser Tipp: Registrieren Sie sich für "Kwitt" innerhalb der VR Banking App oder aktivieren Sie die Gerätebindung in der App – so bleibt der Login in der VR Banking App weiterhin ohne TAN möglich.

Was ändert sich konkret beim online-bezahlen mit der Kreditkarte?

Änderung beim Online-Shopping mit Kreditkarte

Mit "Mastercard® Identity Check" sowie "Visa Secure" ist das Online-Shopping mit Kreditkarte bereits heute schon einfach und sicher möglich. Für diese beiden Verfahren zur Authentifizierung von Kreditkartenzahlungen gibt es die Lösung via SMS oder Push-Nachricht in der App "VR-SecureGo Plus" (vormals "VR-SecureCARD-App").

 

Sofern Sie Ihre Kreditkarte unseres Hauses noch nicht für "Mastercard® Identity Check" bzw. "Visa Secure" registriert haben können Sie sich hier registrieren.

Zugriffe von dritten Zahlungsdienstleistern

Bitte beachten Sie...

Wir gehen äusserst sorgfältig mit Ihren gespeicherten Daten und Informationen um und
betreiben dafür einen sehr hohen Aufwand. Bitte seien Sie sich bewusst, welchem Unternehmen Sie welche Daten zum Abruf auf unseren deutschen Servern ermöglichen wollen!

Drittanbieter als Zahlungsdienstleister

Ein Zahlungsauslösedienst (ZAD oder auch Payment Initiation Service Provider (PISP)) ist ein Dienst, der – Ihre Einwilligung vorausgesetzt – einen Zahlungsauftrag wie zum Beispiel eine Überweisung auf ein bei einem anderen Zahlungsdienstleister geführtes Zahlungskonto auslöst. Die Zahlung wird aber nur ausgeführt, wenn Sie dies zuvor erlaubt und mit einer Zwei-Faktor-Authentifizierung abgeschlossen haben. Diese Zahlungsauslösedienstleister müssen künftig von der nationalen Finanzaufsicht zugelassen und beaufsichtigt werden.

Drittanbieter als Kontoinformationsdienstleister

Ein Kontoinformationsdienst (KID oder auch Account Information Service Provider (AISP)) ist ein Online-Dienst zur Mitteilung konsolidierter Informationen über Zahlungskonten, die Sie entweder bei einem anderen Zahlungsdienstleister bzw. einer anderen Bank oder bei mehreren Zahlungsdienstleistern bzw. mehreren Banken haben. Dieser gibt Ihnen in der Regel anhand Ihrer Kontodaten einen Überblick über Ihre aktuelle finanzielle Situation. Dafür darf er bis zu vier Mal am Tag Informationen von Ihrem Konto wie zum Beispiel Salden oder Umsätze abrufen, ohne dass Sie nochmals aktiv zustimmen. Diese Drittdienstleister müssen sich künftig bei der nationalen Finanzaufsicht registrieren.

Drittanbieter als kartenausgebende Zahlungsdienstleister

Mit Ihrer girocard (Debitkarte) und Kreditkarte verfügen Sie bereits über Zahlungsmittel mit Zugriff auf Ihr Konto. Zukünftig werden Sie auch neue Angebote von Zahlungskarten erhalten, beispielweise von Transportunternehmen wie der Deutschen Bahn, Fluggesellschaften oder Einzelhandelsketten. Wenn Sie dann mit diesen Zahlungskarten bezahlen, kann der kartenausgebende Zahlungsdienstleister die Verfügbarkeit des Kaufbetrages bei uns anfragen. Der Kaufbetrag wird dabei aber nicht reserviert. Sie müssen dazu jedoch zuvor dem Drittanbieter im Online-Banking die Erlaubnis erteilen, und zwar unter "Service > Konten und Verträge > Zugriffsverwaltung > Verfügbarkeitsabfragen > Neue Berechtigungen erteilen".

Zugriffsverwaltung im Online-Banking - Steuerung der Drittanbieter

Grundsätzlich dürfen dritte Zahlungsdienstleister nur mit Ihrer vorherigen Zustimmung auf Ihre Kontodaten zugreifen. Ihre Zustimmung gilt erst als erteilt, wenn Sie die vom Drittanbieter bei Ihrer Bank angeforderten Informationen mit einer starken Kundenauthentifizierung bestätigt haben. Zudem muss der Drittanbieter bei der nationalen Aufsichtsbehörde registriert sein und sich gegenüber uns legitimieren können. Für einen weiteren Kontozugriff benötigt der Drittanbieter nach spätestens 90 Tagen erneut Ihre vorherige Zustimmung mittels starker Kundenauthentifizierung.

Mit der Zugriffsverwaltung im Online-Banking im Bereich "Service > Konten und Verträge > Zugriffsverwaltung" können Sie jederzeit kontrollieren, welchen Drittanbieter Sie berechtigt und welche Zahlungen Drittanbieter durchgeführt haben. Sie können dort auch Zugriffsberechtigungen wieder entziehen. Ihnen stehen diese Daten bis 180 Tage rückwirkend zur Verfügung. Die Zugriffsverwaltung im Online-Banking ist wie folgt strukturiert:

  • Verfügbarkeitsabfragen
  • Kontoinformationsabfragen und
  • Zahlungsauslösungen