Was bedeutet PSD2?
Die „Payment Services Directive 2“ (kurz „PSD2“) ist eine EU-Richtlinie der Europäischen Kommission im Zahlungsdiensterecht. Sie schafft europaweit einheitliche Regelungen für den Zahlungsverkehr und tritt am 14. September 2019 in Kraft.
Die PSD2 sollen dabei helfen, den europaweiten Wettbewerb mit der Teilnahme auch von Nichtbanken (z. B. bei einem Einkauf im Internet über einen auf der Händlerseite angebotenen Zahlungsauslösedienst) zu verstärken. Durch die Harmonisierung des Verbraucherschutzes und die Rechte und Pflichten für Zahlungsdienstleister und Nutzer sollen europaweit gleiche Wettbewerbsbedingungen geschaffen werden.
Für Sie bedeutet dies noch mehr Sicherheit und Stärkung Ihrer Kundenrechte im
Online-Banking!
Die wichtigsten Änderungen ab 14. September 2019
- Regelmäßige TAN-Eingaben beim Abruf von Kontoinformationen erhöht die Sicherheit.
- Zahlung an sich selbst – also zwischen Ihren Zahlungskonten im selben Institut – sind bequem ohne TAN-Eingabe möglich.
- Kleinbetragszahlungen bis 30 Euro können (nur bei teilnehmenden Sparkassen) ganz ohne TAN-Eingabe erfolgen.
- Eine TAN-freie IBAN-Liste, die sogenannte Whitelist, kann eingerichtet werden (nur bei teilnehmenden Sparkassen) und vereinfacht Zahlungsaufträge, die so schneller ohne TAN freigegeben werden.
- Sie sind bestimmt schon mit Drittdienstleistern beim Online-Shopping in Berührung gekommen. Viele Internethändler nutzen Drittanbieter zur Zahlungsabwicklung. Das sind die sogenannten Zahlungsauslösedienste. Um einen Einkauf im Internet per Überweisung zu bezahlen, müssen Sie sich nicht in Ihr Online-Banking einloggen. Indem ein Drittdienstleister Zugang zu Ihren Kontodaten hat, kann er Bezahlungen auslösen. Beispiele für Zahlungsauslösedienste sind die SOFORT-Überweisung oder paydirekt.
Die Drittdienste müssen dabei sicherstellen, dass Ihre personalisierten Sicherheitsmerkmale wie Anmeldename, PIN und TAN niemand anderem zugänglich sind.
Alle Drittdienste müssen künftig von der Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) zugelassen sein – zu Ihrer Sicherheit.
Noch höhere Sicherheit im Zahlungsverkehr durch Starke Kundenauthentifizierung!
Mit der PSD2 kommt die „Starke Kundenauthentifizierung". Dies bedeutet, dass neben Online- und Kartenzahlungen nun auch Kontostands- und Umsatzabfragen grundsätzlich durch zwei unabhängige Merkmale aus den Kategorien Wissen, Besitz und Inhärenz bestätigt werden.
- Wissen: z. B. PIN, Passwort
- Besitz: z. B. Handy, Karte, TAN-Generator
- Inhärenz: z. B. biometrische Merkmale wie Fingerabdruck, Stimmerkennung
Ausgenommen von der Starken Kundenauthentifizierung sind zurzeit:
- Reine Informationsabfragen ohne Anzeige sicherheitskritischer Daten (d.h. Online-Banking-Login). Hinweis: Diese müssen allerdings beim ersten Mal und dann jeden Monat neu stark authentisiert werden.
- Zahlungen an vertrauenswürdige Empfänger. Diese werden durch eine sogenannte Whitelist definiert, welche Sie für sich persönlich erstellen.
- Überweisungen innerhalb desselben Instituts an denselben Empfänger, z. B. Überträge, Umbuchungen.
- Kontaktlose POS-Zahlungen, bargeldlose Zahlungen über Online-Terminals, bis max. 30 Euro.
- Remote electronic Payments mit dem Handy (über NFC, Near Field Comunications) bis max. 10 Euro.
Was ändert sich für mich in StarMoney?
Für Ihr StarMoney bedeutet die PSD2 und die Starke Kundenauthentifizierung, dass Sie sich häufiger als bisher mit einer TAN authentifizieren müssen.
War es in der Vergangenheit so, dass eine TAN-Eingabe nur bei der Durchführung einer Transaktion (z. B. einer Überweisung) notwendig war, werden Sie nun in regelmäßigen Abständen schon beim Einrichten eines neuen Kontos sowie beim Abfragen Ihrer Kontenstände und Umsätze neben einer PIN (die schon immer erforderlich war) auch eine TAN eingeben müssen!
Dabei obliegt das Intervall, in dem Sie eine TAN eingeben müssen, Ihrer Bank. Bei manchen Banken werden Sie bei jeder Konten- oder Umsatzabfrage eine TAN eingeben müssen, bei manchen Banken nur einmal innerhalb von 90 Tagen.
Ab wann muss ich die
Starke Kundenauthentifizierung in StarMoney durchführen?
Die Starke Kundenauthentifizierung wird ab dem 14. September 2019 zur Pflicht. Das bedeutet, dass Sie sich spätestens ab dann immer wieder mit PIN und TAN authentifizieren müssen.
Einige Banken werden die Starke Kundenauthentifizierung jedoch schon früher einführen. Bitte wenden Sie daher an Ihren Ansprechpartner zum technischen Zahlungsverkehr in Ihrer Bank.
Kommt es zu Einschränkungen beim HBCI PIN/TAN-Verfahren?
Die PSD2 schreibt vor, dass dritte Zahlungsdienstleister und Banken für den Datenaustausch die sogenannte XS2A-Schnittstelle, nutzen müssen. Dies kann für Sie zu Einschränkungen bei der Nutzung von HBCI PIN/TAN führen. Die Einschränkungen sind zum Teil bankenabhängig. Was bedeutet, einige Banken bieten bestimmte Funktionen weiterhin an, andere nicht.
Bitte fragen Sie Ihre Ansprechpartner zum technischen Zahlungsverkehr in Ihrer Bank, ob und bis wann die betroffenen Funktionen von Ihrer Bank für Drittanbieter bzw. über eine Drittanbieter-Schnittstelle (XS2A-Schnittstelle) noch angeboten werden.
Weitere Fragen und Antworten rund um die PSD2 und StarMoney:
-
Mit welchen Einschränkungen bei der Verwendung des HBCI PIN/TAN-Verfahrens muss ich rechnen?
-
Warum ist nur das HBCI PIN/TAN-Verfahren vom neuen Zahlungsdiensteaufsichtsgesetzes (ZAG) betroffen?
-
Gibt es für die Banken eine gesetzliche Regelung zur Umsetzung der Starken Authentifizierung?
-
Was ändert sich im Zahlungsverkehr für mich, z. B. Online-Shopping?
-
Warum werde ich bei der Kontoeinrichtung nach einer TAN gefragt?
-
Wann bzw. wird überhaupt die PSD2-Schnittstelle in der Software StarMoney unterstützt?
-
Plant StarMoney für die ING-Bank die Implementierung der PSD2-konformen Drittanbieter-Schnittstelle? Wenn ja mit welchem Verfahren, App, TAN-Generator oder etwas anderes?
Informationen der Kreditinstitute zu PSD2
Hier finden Sie eine Auswahl von Informationen und Hilfestellungen einiger Kreditinstitute zur PSD2:
- Sparkasse: https://www.sparkasse.de/aktuelles/psd2-mehr-wettbewerb-mehr-sicherheit.html
- Deutsche Kreditbank: https://www.dkb.de/info/psd2
- Hannoversche Volksbank (beispielhaft): https://www.hannoversche-volksbank.de/privatkunden/girokonto-kreditkarten/service/psd2.html
- ING: https://www.ing.de/ueber-uns/wissenswert/psd2-richtlinien/
- Deutsche Bundesbank: https://www.bundesbank.de/de/aufgaben/unbarer-zahlungsverkehr/psd2
- Postbank: https://www.postbank.de/themenwelten/artikel_psd2-innovation-kundenfreundlichkeit-und-sicherheit.html
Fragen und Antworten
Warum werde ich jetzt über die PSD2 informiert?
Durch die gesetzlichen Vorgaben des neuen Zahlungsdiensteaufsichtsgesetzes (ZAG) ergeben sich mit in Kraft treten der neuen EU-Zahlungsdiensterichtlinie PSD2 Änderungen beim HBCI PIN/TAN Verfahren. Die Vorgaben für die PSD2 müssen bis September 2019 umgesetzt sein und sind ab 14.09.2019 verpflichtend.
Mit welchen Einschränkungen bei der Verwendung des HBCI PIN/TAN-Verfahrens muss ich rechnen?
Je nach Umsetzung von PSD2 kann es in Abhängigkeit vom jeweiligen Kreditinstitut weitere Änderungen geben, z. B. dass einzelne Zahlungsfunktionen nicht mehr bereitgestellt werden können. Eine Ursache kann sein, dass die Institute keine Anpassungen für HBCI vornehmen und stattdessen eine sog. PSD2-Schnittstelle (XS2A) bereitstellen.
Zum heutigen Zeitpunkt ist unklar, ob und bis wann welche Banken welche Funktionalitäten weiterhin anbieten. Bitte fragen Sie Ihre Ansprechpartner zum technischen Zahlungsverkehr in Ihrer Bank ob und bis wann diese Funktionalitäten von Ihrer Bank noch angeboten werden.
Warum ist nur das HBCI PIN/TAN-Verfahren vom neuen Zahlungsdiensteaufsichtsgesetzes (ZAG) betroffen?
Das Übermittlungsverfahren HBCI PIN/TAN übermittelt sowohl persönliche Sicherheitsmerkmale des Kunden an die Bank als auch, personenbezogene Informationen der Bank an den Kunden bzw. das Kundenprodukt. Deshalb ordnet die Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) den Einsatz des HBCI PIN/TAN-Verfahrens als Kontoinformationsdienst und Zahlungsdienstleister im Sinne der neuen Fassung neuen Zahlungsdiensteaufsichtsgesetzes (ZAG) ein.
Ist auch HBCI PIN/TAN – iTAN betroffen?
Ja, das iTAN-Verfahren ist betroffen. TAN-Listen auf Papier wird es ab September 2019 nicht mehr geben. Wir gehen davon aus, dass Sie von Ihrer Bank darüber informiert werden, welche HBCI-Verfahren in Zukunft für Sie nutzbar sind.
Bin ich als EBICS-Anwender betroffen?
Nach unserem heutigen Kenntnisstand ist das EBICS-Verfahren nicht von diesen Einschränkungen betroffen.
Ist PayPal betroffen?
Die Starke Kundenauthentifizierung wird ebenso Auswirkungen haben auf die Bezahlung mit Online-Bezahldiensten wie PayPal. Wie die Zahlungsdienstleister die Richtlinie umsetzen werden, ist noch nicht bekannt.
Gibt es für die Banken eine gesetzliche Regelung zur Umsetzung der Starken Authentifizierung?
Nein, jede Bank kann selbst entscheiden, wie die gesetzliche Vorgabe zur Starken Authentifizierung umsetzt bzw. in welchem zeitlichen Intervall sie vom Kunden eine Starke Authentifizierung verlangt.
Was ändert sich im Zahlungsverkehr für mich, z. B. Online-Shopping?
Das Online-Shopping wird sicherer! Wie bisher können Sie Ihre Käufe auch über die vom Online-Shop angebotenen Bezahldiensten bezahlen. Nur authentifizieren Sie sich zukünftig eben mit zwei Sicherheitsfaktoren.
Welche StarMoney Versionen werden PSD2 fähig sein?
- StarMoney 11, StarMoney 11 Deluxe, StarMoney Business 8
- StarMoney 12, StarMoney 12 Deluxe, StarMoney Business 9
- StarMoney 13 Basic, StarMoney 13 Deluxe, StarMoney Business 10
- StarMoney für Mac 3
Warum werde ich bei der Kontoeinrichtung nach einer TAN gefragt?
Mit der PSD2 kommt die „Starke Kundenauthentifizierung", d. h. Online- und Kartenzahlungen und auch Umsatzabfragen müssen nun grundsätzlich durch zwei unabhängige Merkmale aus den Kategorien Wissen, Besitz und Inhärenz bestätigt werden:
- Wissen: z. B. PIN, Passwort
- Besitz: z. B. Handy, Karte, TAN-Generator
- Inhärenz: z. B. biometrische Merkmale wie Fingerabdruck, Stimmerkennung
Sie müssen künftig bei Umsatz- und Kontoumsatzabfragen mit dem HBCI PIN/TAN-Verfahren spätestens alle 90 Tage eine TAN eingeben.
Wann bzw. wird überhaupt die PSD2-Schnittstelle in der Software StarMoney unterstützt?
Wir werden die notwendigen Änderungen im Rahmen unserer ServicePacks für StarMoney bereitstellen.
Bitte haben Sie Verständnis dafür, dass wir zum jetzigen Zeitpunkt noch keine genaueren Aussagen über Art der Anpassung und Termine sagen können.
Plant StarMoney für die ING-Bank die Implementierung der PSD2-konformen Drittanbieter-Schnittstelle?
Wenn ja mit welchem Verfahren, App, TAN-Generator oder etwas anderes?
Im Zuge der PSD2 werden Sie Ihr ING Girokonto ab September voraussichtlich nicht mehr über die HBCI-Schnittstelle in StarMoney abrufen können.
Aktuell arbeiten wir daran, eine Alternative zu implementieren, so dass Sie auch weiterhin Ihr ING Girokonto per Online-Banking in StarMoney führen können.
Wir werden die notwendigen Änderungen im Rahmen unserer ServicePacks für StarMoney bereitstellen.
Bitte haben Sie Verständnis dafür, dass wir zum jetzigen Zeitpunkt noch keine genaueren Aussagen über die Art der Anpassung und Termine sagen können.
Was muss ich in StarMoney ändern, wenn PSD2 eingeführt ist?
Künftig werden Sie sich auch für Ihre Anmeldung zum Online-Banking mit der „Zwei-Faktor-Authentifizierung“ autorisieren müssen. Zwei Identifikationsmerkmale dreier unterschiedlicher Sicherheitskategorien müssen dabei miteinander kombiniert werden:
- Wissen: z. B. PIN, Passwort
- Besitz: z. B. Handy, Karte, TAN-Generator
- Inhärenz: z. B. biometrische Merkmale wie Fingerabdruck, Stimmerkennung
Für Ihr StarMoney bedeutet die PSD2 und die Starke Kundenauthentfizierung, dass Sie sich häufiger als bisher mit einer TAN authentifizieren müssen.
War es in der Vergangenheit so, dass eine TAN-Eingabe nur bei der Durchführung einer Transaktion (z. B. einer Überweisung) notwendig war, werden Sie nun in regelmäßigen Abständen schon beim Einrichten eines neuen Kontos sowie beim Abfragen Ihrer Kontenstände und Umsätze neben einer PIN (die schon immer erforderlich war) auch eine TAN eingeben müssen!
Dabei obliegt das Intervall, in dem Sie eine TAN eingeben müssen, Ihrer Bank.
Bei manchen Banken werden Sie bei jeder Konten- oder Umsatzabfrage eine TAN eingeben müssen, bei manchen Banken nur einmal innerhalb von 90 Tagen.
Die Postbank hat mir heute mitgeteilt, dass sie ab 11.08.2019 auf die zwei Faktoren Authentifizierung umstellen wird, was bedeutet dies für mein StarMoney?
Künftig werden Sie sich auch für Ihre Anmeldung zum Online-Banking mit der „Zwei-Faktor-Authentifizierung“ autorisieren müssen. Zwei Identifikationsmerkmale dreier unterschiedlicher Sicherheitskategorien müssen dabei miteinander kombiniert werden:
- Wissen: z. B. PIN, Passwort
- Besitz: z. B. Handy, Karte, TAN-Generator
- Inhärenz: z. B. biometrische Merkmale wie Fingerabdruck, Stimmerkennung
Für Ihr StarMoney bedeutet die PSD2 und die Starke Kundenauthentfizierung, dass Sie sich häufiger als bisher mit einer TAN authentifizieren müssen.
War es in der Vergangenheit so, dass eine TAN-Eingabe nur bei der Durchführung einer Transaktion (z. B. einer Überweisung) notwendig war, werden Sie nun in regelmäßigen Abständen schon beim Einrichten eines neuen Kontos sowie beim Abfragen Ihrer Kontenstände und Umsätze neben einer PIN (die schon immer erforderlich war) auch eine TAN eingeben müssen!
Dabei obliegt das Intervall, in dem Sie eine TAN eingeben müssen, Ihrer Bank. Bei manchen Banken werden Sie bei jeder Konten- oder Umsatzabfrage eine TAN eingeben müssen, bei manchen Banken nur einmal innerhalb von 90 Tagen.
Wird der Kontorundruf in StarMoney komplett gestoppt, wenn bei einer Bank nach 90 Tagen eine TAN Eingabe erforderlich ist?
Wenn Sie einen Kontenrundruf in StarMoney durchführen und es erscheint eine TAN - Abfrage, wird der Kontenrundruf solange angehalten, bis Sie die gültige TAN eingeben, oder ihrerseits die Aktion abbrechen.
Beim Abbruch werden alle Aktualisierungen übersprungen, die zu dem gleichen Sicherheitsmedium gehören, d.h. alle Aktualisierungen, für die die abgefragte TAN gültig wäre. StarMoney macht dann mit den Aktualisierungsabfragen weiter, die zu einem anderen Sicherheitsmedium gehören und wird Sie nach der entsprechenden TAN fragen.
Im Rundruf sind mehrere Banken enthalten. Wenn bei einer Bank eine TAN Eingabe wegen PSD2 notwendig ist, wird der Rundruf dann komplett nicht ausgeführt oder nur diese eine Bank nicht?
Wenn Sie einen Kontenrundruf durchführen und es erscheint eine TAN - Abfrage, wird der Kontenrundruf solange angehalten, bis Sie die gültige TAN eingeben, oder ihrerseits die Aktion abbrechen.
Beim Abbruch werden alle Aktualisierungen übersprungen, die zu dem gleichen Sicherheitsmedium gehören, d.h. alle Aktualisierungen, für die die abgefragte TAN gültig wäre. StarMoney macht dann mit den Aktualisierungsabfragen weiter, die zu einem anderen Sicherheitsmedium gehören und wird Sie nach der entsprechenden TAN fragen.
Gibt es Kontoabfragen beim gleichen Institut, jedoch mit einem anderen, abweichenden Sicherheitsmedium, werden diese ausgeführt. Dieses gilt dann auch für Abfragen von Konten bei anderen Instituten. Die Abfrage würde zu diesen übergehen.
Eine Besonderheit gibt es in StarMoney Business:
Hier können Sie den sogenannten zeitgesteuerten Kontenrundruf einstellen, der von Ihnen gewählte Konten in einem Zeitintervall und Zeitraum automatisch aktualisiert.
Ist bei der Aktualisierung eine TAN-Eingabe erforderlich, wird diese von StarMoney Business unterbunden und alle zu aktualisierenden Konten, die das gleiche Sicherheitsmedium haben, werden a) übersprungen, also nicht mehr aktualisiert, um eine evtl. Kontosperre zu vermeiden und b) aus der ursprünglichen Konfiguration des zeitgesteuerten Kontenrundrufs (Menü Einstellungen > Kontenrundruf) herausgenommen.
Dazu wird Ihnen mit einer Meldung angezeigt, in der die betroffenen Konten aufgeführt werden.
Sie können die Aktualisierung dann manuell über den Ausgangskorb (Menü Ausgangskorb) versenden. Bitte halten Sie dafür Ihre Zugangsdaten bereit.
Bitte beachten Sie, dass die zeitgesteuerte Aktualisierung für alle Konten, die das betroffene Sicherheitsmedium verwenden, unter Einstellungen > Kontenrundruf im Reiter „Zeitgesteuerter Rundruf“ zudem deaktiviert wurde, um z. B. eine Kontosperre zu verhindern. Sie können die betroffenen Konten jederzeit wieder aktivieren.