Zurück zu Aktuelles

Digitaler Zahlungsverkehr wird komplizierter

„PSD2“ klingt nach einem Verwandten des wohl berühmtesten Droiden aus dem Star Wars Universum, R2D2. Tatsächlich verbirgt sich hinter dieser galaktisch anmutenden Abkürzung eine EU-Richtlinie, die den Zahlungsverkehr in Europa vereinheitlichen und sicherer machen und gleichzeitig Innovation und Wettbewerb unter Drittanbietern fördern soll. Die EU-Zahlungsdiensterichtlinie („Payment Services Directive 2“, kurz: PSD2) ist bereits im Januar 2018 in nationales Recht umgesetzt worden, stellt derzeit aber noch einige Dienstleister und Banken vor große Herausforderungen.

Das EU-Parlament hat entschieden

Lange haben Kreditinstitute vor dem „gläsernen Bankkunden“ gewarnt und auch rechtliche Schritte gegen den Zugriff Dritter auf Bankdaten ihrer Kunden eingeleitet. Eine der wichtigsten Folgen von PSD2 ist nun, dass Banken verpflichtet sind, Drittanbietern wie Finanz-Startups („Fintechs“) den Zugriff auf Konten und Daten ihrer Kunden zu ermöglichen, wenn die Kunden dies explizit wünschen und dem Drittanbieter eine entsprechende Erlaubnis erteilen. Hierzu müssen die Banken eine Schnittstelle öffnen.

Der Kunde entscheidet

Heute schon gilt: Ob über einen Kontoinformationsdienst (KID) wie das Berliner Startup Billie oder durch einen Zahlungsauslösedienst (ZAD) wie figo oder finAPI - ohne Zustimmung des Kunden ist ein Zugriff auf die Kontodaten nicht möglich. Mit der PSD2 kommt jedoch hinzu, dass ab dem 14. September 2019 bei Zugriff auf das Konto die Zwei-Faktor-Authentifizierung des Kontoinhabers vorgeschrieben ist. Das erhöht einerseits den Schutz der Kontoinformationen, macht die Nutzung für den Kontoinhaber jedoch umständlicher als bisher.

Die Bafin entscheidet

Ab dem 14. September gilt auch: Banken müssen nur solchen Anbietern freien Zugriff auf die Konten gewähren, die hohe Sicherheitsstandards erfüllen und eine Erlaubnis der Bundesanstalt für Finanzdienstleistungsaufsicht (Bafin) nachweisen können. Trotz der regulatorischen und technischen Herausforderungen, vor der Fintechs stehen, wurden bereits 52 Anbieter in das Zahlungsinstituts- und E-Geld-Instituts-Register der Bafin aufgenommen, darunter auch finAPI.

Die Bank entscheidet

Europaweit sind Banken dank PSD2 verpflichtet, Schnittstellen für regulierte Anbieter zu öffnen. Dafür obliegt es der jeweiligen Bank zu entscheiden, wie die Zwei-Faktor-Authentifizierung umgesetzt und wie die Sicherheitsregeln im Umgang mit PIN und TAN ausgelegt werden. Fest steht: Die ausgedruckten TAN-Listen sind künftig nicht mehr erlaubt. Zur Abfrage von Kontoinformationen oder zum Ausführen von Zahlungsdiensten wird aber weiterhin eine TAN nötig sein, die z. B. als SMS-TAN zur Verfügung gestellt werden kann. Zusätzlich muss der Kontoinhaber mindestens alle 90 Tage eine starke Kundenauthentifizierung durchführen und z. B. per PIN-Eingabe bestätigen, dass der Drittanbieter weiterhin tätig sein darf. Die Banken dürfen allerdings selbst entscheiden, ob „nur“ alle 90 Tage eine solche starke Authentifizierung erfolgen soll oder ob sie den Zeitraum dafür sogar noch kürzer fassen.

Auswirkungen auf unsere Mandanten

Aufgrund der Entscheidungsfreiheit der einzelnen Banken können wir keine genauen Vorhersagen treffen, wie stark unsere Mandanten von der Umstellung auf PSD2-konforme Abwicklung von Zahlungsgeschäften betroffen sind. Einige Banken bieten zukünftig kein SEPA-Lastschriftverfahren per PIN/TAN-Verfahren an, andere kein Batch-Booking-Kennzeichen. Ihre Bank sollte Sie bereits über wesentliche Änderungen informiert haben.

Für Mandanten, die HPTP OneClick Online-Banking nutzen, wird der Abruf von Kontoumsätzen in Zukunft dadurch erschwert, dass der Zugriff über den Dienstleister finAPI spätestens alle 90 Tage bestätigt werden muss. In welchen Abständen dies geschieht, entscheidet Ihre Bank.

Wir sind natürlich weiterhin bestrebt, Ihnen die Zusammenarbeit mit uns über HPTP OneClick so angenehm wie möglich zu gestalten, und werden Sie individuell informieren, wenn zusätzliche Authentifizierungen durch Sie nötig werden.