Was ist PSD2?

Damit Verbraucher und Verbraucherinnen nicht mit unseriösen Unternehmen zusammenarbeiten müssen, hat die Europäische Kommission 2015 eine überarbeitete Version der Zahlungsdiensterichtlinie verabschiedet. Was steckt genau hinter PSD2?

PSD2-Richtline: Was ist das?

PSD2 ist eine überarbeitete Version der 2007 veranlassten Payment Service Directive (PSD). Sie wurde am 16. November 2015 vom Rat der Europäischen Union verabschiedet und zu Beginn 2018 in Deutschland in nationales Recht umgesetzt. Sie regelt den europaweiten Zahlungsverkehr durch Unternehmen, die nicht als traditionelle Banken gewertet werden. Der Sinn dahinter ist es, neben Banken auch anderen Unternehmen zu ermöglichen, Zahlungsdienstleistungen über das Internet anzubieten und damit den Wettbewerb in diesem Bereich des Finanzsektors anzukurbeln und gleichzeitig zu regulieren.

Die Payment Services Directive 1 & 2 dienen somit verschiedenen Zielen:

  • Wettbewerb bei Zahlungsdienstleistungen öffnen
  • Kosten für Verbraucher und Verbraucherinnen senken
  • Startups aus dem Bereich Finanztechnologie (kurz: Fintech) kontrollieren und stärken
  • Mehr Sicherheit beim Bezahlen im Internet schaffen
Grafik: PSD2 im Überblick
Die Grafik fasst die wichtigsten Punkte von PSD2 zusammen.

Payment Services Directive 2 im Detail

Die zweite Version der Zahlungsdiensterichtlinie wurde in mehreren Stufen in deutsches Recht überführt. Eine der wichtigsten Neuerungen, die sie mit sich gebracht hat, ist die Tatsache, dass Banken anderen Unternehmen Zugang zu den Informationen ihrer Kundschaft liefern müssen. Allerdings selbstverständlich nur dann, wenn die jeweilige Person dazu auch ihr Einverständnis gegeben hat.

Banken müssen den dafür zugelassenen Anbietern eine Schnittstelle liefern, damit diese Überweisungen direkt veranlassen und außerdem Informationen über Kontostände und andere Finanzdetails der Kunden und Kundinnen abrufen können. Gerade im Fintech-Bereich bieten einige Unternehmen interessante Software an, mit denen Nutzende ihr Vermögen verwalten können. Apps zum Sparen, zum Abschließen von Versicherungen oder zum Spekulieren an der Börse brauchen Informationen der Bank. Seit Inkrafttreten der PSD2 sind Banken dazu verpflichtet, Unternehmen mit entsprechenden Zertifikaten eine Schnittstelle zu bieten, über die Dienstleistende die benötigten Informationen abrufen und Zahlungen bzw. Überweisungen durchführen können.

Hinweis

Auch mit PSD II können Unternehmen nicht willkürlich auf Ihre sensiblen Finanzdaten zugreifen. Neben der behördlichen Zulassung brauchen Dienstleistende nämlich insbesondere Ihre ausdrückliche Zustimmung, um Daten von Ihrer Bank zu erhalten.

Wie funktioniert PSD2?

Dienstleistende haben zwar schon früher auf Informationen aus dem Bankkonto zugegriffen, hatten davor aber keinen einheitlichen Zugang. Während man in Deutschland zwar mit Homebanking Computer Interface (HBCI) eine standardisierte Schnittstelle geschaffen hat, waren Unternehmen international auf eine Technik namens Web Scraping angewiesen. Bei diesem Verfahren zieht der Dienstleistende alle Informationen aus der Website des Onlinebanking-Anbieters. Das ist nicht sonderlich effizient und zudem anfällig für Fehler. PSD2 verpflichtet Banken dazu, einen Access to Account (XS2A) einzurichten, über den Dienstleistende Zugriff erhalten.

PSD2 bietet außerdem Lösungen, damit die Übertragung der sensiblen Daten über die Schnittstellen ohne Risiken für die Verbrauchenden abläuft. Mit zwei verschiedenen Mitteln wird die Sicherheit der Daten garantiert:

  • QWAC: Über dieses Zertifikat identifizieren sich Anbieter und Bank gegenseitig. Außerdem verschlüsselt QWAC die Übertragung der Daten.
  • QSiegel: Das Siegel wird Daten beigefügt und ordnet sie einem Unternehmen zu. So lässt sich später nachvollziehen, welche Unternehmen über die Schnittstelle auf das Bankkonto zugegriffen und Daten übermittelt haben. Außerdem garantiert das Siegel, dass Daten nicht unbemerkt verändert werden.

Um diese Lizenzen bzw. Siegel beantragen zu können, brauchen Anbieter die Genehmigung einer nationalen Aufsichtsbehörde. Die BaFin regelt dies für Deutschland. PSD2 sieht vor, dass man zwei verschiedene Genehmigungen erhalten kann:

  • Kontoinformationsdienst: Dienstleistende dieser Kategorie sind an Informationen aus dem Bankkonto des Kunden interessiert, um sie zu verwerten. In diesem Fall ist nur eine Registrierung und keine Lizensierung notwendig.
  • Zahlungsauslösungsdienst: Das Unternehmen mit dieser Lizenz kann im Auftrag des Kunden bzw. der Kundin Zahlungen bzw. Überweisungen vornehmen.

Was bedeutet die Zahlungsdiensterichtlinie für Onlineshops?

Die Zahlungsdiensterichtlinie betrifft zum allergrößten Teil Banken und andere Dienstleistende im Finanzsektor. Normale Anwendende bekamen nur wenig von den entsprechenden Änderungen im Hintergrund mit. Und auch für Onlinehändler und -händlerinnen hat sich seitdem nur wenig geändert.

PSD2 aus Nutzersicht

Die PSD in der 2. Version hat für mehr Sicherheit bei der Bezahlung gesorgt. Die Vergabe von Lizenzen für die technischen Lösungen sowie die Überprüfung durch Aufsichtsbehörden gewährleisten seit Inkrafttreten einen verlässlicheren Schutz sensibler Daten. Vor allem die obligatorische Zwei-Faktor-Authentisierung – beispielsweise über eine SMS mit einer TAN – ist hierbei ein wichtiger Faktor.

Fakt

Mit der Einführung der Zwei-Faktor-Authentisierung werden nach und nach auch die inzwischen veralteten iTAN-Listen für das Onlinebanking abgelöst. Auch diesbezüglich setzen die Banken immer häufiger auf SMS, Apps oder spezielle TAN-Geräte.

Onlinehändler & PSD II: Auf was muss man achten?

Viele Aspekte der Payment Service Directive 2 haben mit der technischen Umsetzung zu tun, wie zum Beispiel der Pflicht zur Zwei-Faktor-Authentisierung und den damit einhergehenden Mechanismen. Dieser Zwang entsteht durch die in der PSD2 geforderte Strong-Customer-Authentication (SCA). Kunden und Kundinnen müssen die Überweisung von Geld durch mindestens zwei Faktoren aus den Bereichen Wissen (z. B. Passwort oder PIN), Besitz (z. B. Karte oder Smartphone) oder Inhärenz (z. B. Stimme oder Fingerabdruck) autorisieren. Das gilt für alle Summen über 30 Euro. Sollten mehrere Käufe innerhalb von einem Tag insgesamt einen Wert von 100 Euro überschreiten, ist selbst dann die 2FA notwendig, wenn die einzelnen Posten unter die Schwelle von 30 Euro fallen.

Um Zahlungen ausführen zu können, arbeiten Betreibende eines Onlineshops meist mit einem Partner zusammen. Dieser sollte die Anforderungen der PSD2 in seinem System umsetzen. Die Kreditkarteninstitute haben zum Beispiel mit Sicherheitsverfahren wie 3D Secure wichtige Maßnahmen im Angebot. Händlerinnen und Händler im E-Commerce müssen nur darauf achten, dass ihr Shop derartige Sicherungsverfahren auch korrekt einbaut.

Ganz explizit gelten die Anforderungen von SCA nicht für das Lastschriftverfahren. Hierbei handelt es sich um Pull Payment – der Verkäufer oder die Verkäuferin fordert das Geld bei der Bank an. Das sichere Verfahren ist aber nur für Push Payments vorgesehen, wenn Kundinnen und Kunden also direkt eine Zahlung veranlassen.

Hinweis

In Deutschland muss die Zwei-Faktor-Authentisierung seit dem 15. März 2021 in Onlineshops implementiert sein.

Auch die sogenannte Surcharge ist nicht dank PSD2 nicht mehr zulässig. Vor der Durchsetzung der Richtlinie war es zum Beispiel üblich, dass Händler bzw. Händlerinnen für Zahlungen per Kreditkarte einen Aufschlag auf den Kaufpreis gefordert haben, um nicht auf den dadurch entstehenden zusätzlichen Kosten sitzen zu bleiben.

Geschichte der Zahlungsdiensterichtlinien: Von PSD I zu PSD II

Mit der ersten Version der Zahlungsdiensterichtlinie hatte die Europäische Kommission einen wichtigen Vorstoß vorgenommen, den internationalen Zahlungsverkehr zu regulieren. Im Sinne der Angleichung des europäischen Zahlungsverkehrs (Stichwort SEPA) schafft PSD die rechtlichen Grundlagen für Dienstleistende in diesem Bereich. Dies bezog sich damals wie heute auch explizit auf Anbieter, die nicht der Bankenbranche entstammen. Das Monopol der Kreditinstitute auf den Zahlungsverkehr wurde durch PSD also gebrochen.

Als sogenanntes Zahlungsinstitut kann aber nicht jedes Unternehmen auftreten. Die Payment Services Directive hat verbindliche Kriterien festgelegt, die ein solcher Anbieter erfüllen muss. Doch trotz vieler klarer Regeln blieben weiterhin einige Unsicherheiten bestehen und Spielräume offen – einige solcher Probleme wurden sogar erst mit der Richtlinie geschaffen. Mit PSD2 wurden diese Lücken geschlossen und darüber hinaus noch mehr Sicherheit für Verbraucher und Verbraucherinnen geschaffen.

Das funktioniert zum Beispiel über die Vergabe von verbindlichen Zertifikaten und Siegeln, die nur über anerkannte Organisationen bezogen werden können. In Deutschland beispielsweise über die Bundesdruckerei (bzw. deren Tochter D-Trust), die auch für die Herstellung von Reisepässen und Personalausweisen zuständig ist. Außerdem brauchen Unternehmen eine Genehmigung der nationalen Finanzaufsicht – in Deutschland ist das die Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin).

Bitte beachten Sie den rechtlichen Hinweis zu diesem Artikel.

War dieser Artikel hilfreich?