Schuldneransprache | 5 Minuten Lesezeit

PSD2: CHANCEN UND RISIKEN.

04. Juni 2020

Mit der Payment Services Directive 2 (PSD2) ist Anfang 2018 eine EU-Richtlinie zu Zahlungsdiensten in die deutsche Gesetzgebung aufgenommen worden, die für einiges Aufsehen sorgt. Kein Wunder, eine ähnlich tiefgreifende Änderung gab es lange nicht.

Bis zum 14. September 2019 dauerte die Übergangsperiode, in der sich Finanzinstitute, Zahlungsdienstleister, E-Commerce sowie FinTechs (und ihre Kunden) auf die PSD2-Änderungen einstellen und sowohl technische als auch rechtliche Anpassungen vornehmen konnten.

PSD2: Was sich ändert

Mit der neuen Zahlungsdienstrichtlinie ändert sich zweierlei: Erstens ist nun die starke Kundenauthentifizierung (oft SCA für strong customer authentification) Pflicht. Das gilt sowohl für Online-Käufe als auch für Überweisungen im Onlinebanking. 

Zweitens müssen nun Banken eine Schnittstelle zur Verfügung stellen, über die sowohl andere Banken als auch Drittanbieter, de facto Payment Services, auf die Konten der Kunden zugreifen können – solange diese ihre Erlaubnis dazu gegeben haben. Das Ganze hier noch einmal ausführlich:

PSD2-Änderung #1: Zwei Faktoren für stärkere Kundenauthentifizierung

War bisher zum Beispiel bei Onlinekäufen die Angabe der Kreditkartendaten ausreichend (also Kreditkartennummer, Gültigkeitsdatum und Prüfcode), reicht das nun nicht mehr aus.

Online-Shops müssen für eine solche Zahlungsart als zusätzliche Authentifizierung ein weiteres Merkmal verlangen, beispielsweise einen kurzen Zahlencode, der per SMS oder WhatsApp verschickt oder in einer App generiert wird.

Auch beim Onlinebanking wird eine stärkere Zwei-Faktor-Authentifizierung (2FA) vorgeschrieben, als sie die bekannten gedruckten TAN-Listen leisten konnten. Diese gehören der Vergangenheit an und verlieren ihre Gültigkeit. 

Zwei-Faktor-Authentifizierung (2FA)

2FA steht für: 2Faktor-Authentifizierung. Das bezeichnet den Identitätsnachweis eines Nutzers mithilfe der Kombination zweier verschiedener und unabhängiger Komponenten. 

Die erhöhte Sicherheit bei der 2FA wird durch zwei Maßnahmen gewährleistet: Zunächst müssen Authentifizierungscodes für jeden Zugriff neu generiert werden, außerdem muss sich der User auf mindestens zwei dieser drei verschiedenen Arten identifizieren:

  1. Wissen – PIN/Geheimnummer, die im Kopf des Users gespeichert ist 

  2. Haben – beispielsweise ein Smartphone 

  3. Sein – Fingerabdruck, Gesichtserkennung, Iris-Scan etc. 

Die ebenfalls kursierende Abkürzung SCA steht für dasselbe: Strong Customer Authentification, also starke Kundenauthentifizierung.

In der Praxis, so hat es sich schon längst herauskristallisiert, wird die Mischung aus persönlicher Geheimzahl und dynamisch generiertem Code angewendet. Dieser besteht aus einer alphanumerischen Zeichenfolge, die per Kurznachricht an den User gesendet oder vom Kunden mit einem zusätzlichen Gerät generiert wird. Die Banken setzen inzwischen auf verschiedene Verfahren:

  • photoTAN: Im Online-Banking (Browser) des Kunden wird ein Barcode angezeigt, der mit dem Handy abfotografiert wird. Daraufhin wird eine TAN generiert und die Buchung nach Freigabe durch den Kunden abgewickelt. 
  • mobileTan: Die TAN wird per SMS wird auf eine bei der Bank hinterlegte Handynummer gesendet. 
  • chipTAN: Hierbei kommt ein TAN-Generator zum Einsatz. Das kleine Gerät kann bei der Bank bestellt werden. Es wird per USB oder Bluetooth mit dem Rechner verbunden. Führt man seine Bankkarte ein, erzeugt das Gerät eine TAN fürs Online-Banking. 

Während Banken also beinahe schon traditionelle Mittel für die 2FA nutzen, sieht das bei technisch orientierten Playern ein wenig anders aus: beispielsweise bieten Alexa und Google Home optionale Freigabeprozesse per Fingerabdruck (Google Home) oder vierstelligem Code (Amazon Echo). Auch Apple Pay überprüft per biometrische Erkennung.

Bei den Kreditkartenunternehmen wiederum hat sich eine Technologie namens 3D Secure 2.0 etabliert. Sie kann in Online-Shops zur Kaufabwicklung integriert werden. Hierbei handelt es sich um ein Protokoll, das dank einer größeren Zahl verfügbarer Datenpunkte und der Möglichkeit, Prüfregeln einzurichten, größere Sicherheit verspricht als die bisher übliche Eingabe der Kreditkartendaten über eine Online-Maske.

Keine Regeln ohne Ausnahme

Nicht ALLE Online-Zahlungen benötigen die starke Kundenauthentifizierung. 

  • Kleinbeträge von unter 30 Euro sind von der 2FA ausgenommen.
  • Whitelisting möglich: Kunden können ihre „Lieblingsshops“ auf eine Whitelist bei ihrer Bank setzen, sodass bei der Zahlungsautorisierung keine 2FA notwendig ist.

Es sind nur Online-Zahlungen innerhalb der EU von der PSD2 betroffen

PSD2-Änderung #2: Schnittstellenkompetenz für die Harmonisierung

Die Payment Services Directive 2 verfügt außerdem, dass Banken eine Schnittstelle zur Verfügung stellen müssen, mit der andere Banken und Drittanbieter auf die Kundendaten zugreifen können – jedenfalls solange diese dies wünschen und erlauben. Diese Schnittstellenregelung sorgt also, sofern sie funktioniert, für eine massive Öffnung des Bankenmarkts in Richtung FinTechs.

PSD2: Was sich für Verbraucher ändert

  • Für das Online-Banking ändert sich das Authentifizierungsverfahren beim Login bzw. bei Überweisungen. Ausgedruckte TAN-Listen sind nicht mehr gültig, stattdessen muss eins der von der Bank angebotenen TAN-Verfahren genutzt werden, also Chip-TAN, photoTAN oder mobileTAN. Die Kosten für die Verfahren werden von den Banken an die Kunden weitergegeben. Die chipTAN-Geräte kosten meist einen niedrigen zweistelligen Betrag. Für die Einmal-TANs, die per SMS verschickt werden, wird meist ein zweistelliger Centbetrag fällig.
  • Bei Onlinekäufen wird ebenfalls eine 2-Faktor-Authentifizierung notwendig, wenn z. B. per Kreditkarte oder PayPal gezahlt wird. Dies geschieht meist durch eine per Smartphone-App gepushte oder per Kurznachricht verschickte TAN.
  • Lastschrift, Rechnungskauf und Vorkasse sind naturgemäß nicht von diesen Änderungen betroffen.

PSD2: Was sich für E-Commerce und Online-Shops ändert

  • Die Vorgaben der PSD2 richten sich eigentlich nicht an Online-Händler oder andere E-Commerce-Service-Anbieter, sondern an die Zahlungsdienstleister – also Kreditkartenunternehmen wie PayPal, Klarna und so weiter sowie Banken. 
     
    Nichtsdestotrotz müssen Online-Händler darauf achten, dass die von ihnen eingesetzten Payment-Dienste mit PSD2 kompatibel sind und die entsprechenden Plugins einbinden.

  • Die starke Kundenauthentifizierung wird weitläufig als Conversion-Killer betrachtet, weil dem Kunden beim Check-out ein weiterer Schritt aufgebürdet wird. Hierbei wird insbesondere der Online-Handel versuchen, die Nutzerführung so elegant wie unter den gegebenen regulatorischen Umständen möglich zu realisieren. 

PSD2: Was sich für Banken ändert

Banken sind nun verpflichtet, eine PSD2-konforme Datenschnittstelle anzubieten, und die entsprechende Dokumentation für die Implementierung für Payment-Service-Provider auch gleich mitzuliefern. 

Eine einheitliche Lösung gibt es zwar nicht im Sinne eines Industriestandards. Da aber lediglich eine Handvoll Softwarehäuser für die Realisierung der API-Anbindungen infrage kommt, wird ein De-facto-Standard wahrscheinlich das Ergebnis sein, auch wenn beispielsweise der HDE-Experte Ulrich Binnebößel auf etailment.de kritisiert, es gebe „zu viele Lösungen oder gar keine oder aber verschiedene ‚Dialekte‘“.

Auch beim Bundesverband deutscher Banken ist man wenig begeistert und warnt vor einem Gewinnrückgang von bis zu 40 Prozent im Privatkundengeschäft durch die Folgen der PSD2. 

PSD2: Was sich für FinTechs und Payment-Anbieter ändert

Die APIfizierung des Open Bankings eröffnet FinTechs natürlich eine Fülle von Möglichkeiten für Geschäftsmodelle für Apps und Services …

… falls denn alles funktioniert, wie es soll. Momentan sieht es noch danach aus, als blockierten sich diverse Player mindestens auf technischer Ebene dermaßen, dass die BaFin gar mit Duldung der europäischen Aufsichtsbehörde die Umsetzungsdeadline aufweicht, um Banken und FinTechs hinter den Kulissen noch ein wenig Zeit zu verschaffen. Ausführlich ist das nachzulesen auf Finanz-Szene.de.

Für FinTechs und Payment-Anbieter gilt es, eine Lizenz der BaFin zu halten, welche die Zugriffsrechte auf Kontodaten über die Banken-APIs bestimmt. Außerdem müssen die Zugriffe mit einem oder mehreren Zertifikaten identifiziert werden. Banken wiederum weisen sich beim automatisierten Zugriff ebenso (also per digitalem Zertifikat) bei den Payment-Dienstleistern aus. Nach der PSD2 müssen qualifizierte Zertifikate von einem in der EU gelisteten Trust Service Provider genutzt werden.

Die beiden vorhandenen Lizenztypen, AISP (Kontoinformationen) und PISP (Zahlungsauslösung), und die Liste von FinTechs, die diese beantragt oder bereits zugebilligt bekommen hat, illustrieren eine ganze Bandbreite von digitalen Banking-Geschäftsmodellen, die nun entstehen oder bereits entstanden sind: Multibanking-Apps sind genauso im Entstehen wie Bancassurance-Lösungen, Konto-Assistenten, Analyse-Tools, Wechsel-Services, Bonitäts- und Risiko-Prüfungen, Vermögensverwaltungen und mehr.

PSD2: Nebenwirkungen

Die dürfen nicht fehlen. Der Vollständigkeit halber hier also Dinge, die (neben dem Implementierungs- und Umsetzungschaos aufseiten der Banken) schieflaufen:

Phishing-Betrüger nutzen die Thematik und die Unsicherheit der Verbraucher, um ihnen ihre Kontodaten abzuphishen. Die Verbraucherzentrale und das LKA Rheinland-Pfalz warnen jedenfalls vor betrügerischen Mails, in denen Bankkunden oder PayPal-Nutzer dazu aufgefordert werden, ihre Daten zu bestätigen, vorgeblich wegen der PSD2-Einführung. Die Portale, auf denen die Nutzer landen und ihre Daten preisgeben sollen, sind aber ebenso gefälscht wie die Mails, die dorthin verweisen. 

Das könnte Sie ebenfalls interessieren:

Immer am Puls der Zeit. Unsere Mitgliedschaften für Ihren Mehrwert.

Von der Gesetzesänderung
bis hin zu neuen Data-Science-Lösungen aus dem
Hause Regis24 – wir sichern
uns das Wissen, damit Sie
Ihren Marktvorsprung ausbauen: dafür engagieren
sich die Regis24-Experten
in diversen Brancheninstitutionen.

Höchste Datenqualität trifft höchsten Datenschutz bei Regis24.

In Zeiten der Digitalisierung hängt die Qualität der Kundenbeziehungen zu einem großen Teil von der Qualität der vorhandenen Daten ab. Lesen Sie, wie verlässlich Regis24 in puncto Daten agiert und wie unsere patentierte KI-gestützte IdentConnect-Technologie Chancen für Sie hebt.

Entscheider-News:

Eine Vision für die digitale Identität

Können zentral, transparent und ökonomisch verwaltete Daten einen echten Mehrwert für Verbraucherinnen und Verbraucher und deren digitale Identität schaffen?