Damit Ver­brau­cher und Ver­brau­che­rin­nen nicht mit un­se­riö­sen Un­ter­neh­men zu­sam­men­ar­bei­ten müssen, hat die Eu­ro­päi­sche Kom­mis­si­on 2015 eine über­ar­bei­te­te Version der Zah­lungs­dienste­richt­li­nie ver­ab­schie­det. Was steckt genau hinter PSD2?

PSD2-Richtline: Was ist das?

PSD2 ist eine über­ar­bei­te­te Version der 2007 ver­an­lass­ten Payment Service Directive (PSD). Sie wurde am 16. November 2015 vom Rat der Eu­ro­päi­schen Union ver­ab­schie­det und zu Beginn 2018 in Deutsch­land in na­tio­na­les Recht umgesetzt. Sie regelt den eu­ro­pa­wei­ten Zah­lungs­ver­kehr durch Un­ter­neh­men, die nicht als tra­di­tio­nel­le Banken gewertet werden. Der Sinn dahinter ist es, neben Banken auch anderen Un­ter­neh­men zu er­mög­li­chen, Zah­lungs­dienst­leis­tun­gen über das Internet an­zu­bie­ten und damit den Wett­be­werb in diesem Bereich des Fi­nanz­sek­tors an­zu­kur­beln und gleich­zei­tig zu re­gu­lie­ren.

Die Payment Services Directive 1 & 2 dienen somit ver­schie­de­nen Zielen:

  • Wett­be­werb bei Zah­lungs­dienst­leis­tun­gen öffnen
  • Kosten für Ver­brau­cher und Ver­brau­che­rin­nen senken
  • Startups aus dem Bereich Fi­nanz­tech­no­lo­gie (kurz: Fintech) kon­trol­lie­ren und stärken
  • Mehr Si­cher­heit beim Bezahlen im Internet schaffen
Bild: Grafik: PSD2 im Überblick
Die Grafik fasst die wich­tigs­ten Punkte von PSD2 zusammen.

Payment Services Directive 2 im Detail

Die zweite Version der Zah­lungs­dienste­richt­li­nie wurde in mehreren Stufen in deutsches Recht überführt. Eine der wich­tigs­ten Neue­run­gen, die sie mit sich gebracht hat, ist die Tatsache, dass Banken anderen Un­ter­neh­men Zugang zu den In­for­ma­tio­nen ihrer Kund­schaft liefern müssen. Al­ler­dings selbst­ver­ständ­lich nur dann, wenn die jeweilige Person dazu auch ihr Ein­ver­ständ­nis gegeben hat.

Banken müssen den dafür zu­ge­las­se­nen Anbietern eine Schnitt­stel­le liefern, damit diese Über­wei­sun­gen direkt ver­an­las­sen und außerdem In­for­ma­tio­nen über Kon­to­stän­de und andere Fi­nanz­de­tails der Kunden und Kundinnen abrufen können. Gerade im Fintech-Bereich bieten einige Un­ter­neh­men in­ter­es­san­te Software an, mit denen Nutzende ihr Vermögen verwalten können. Apps zum Sparen, zum Ab­schlie­ßen von Ver­si­che­run­gen oder zum Spe­ku­lie­ren an der Börse brauchen In­for­ma­tio­nen der Bank. Seit In­kraft­tre­ten der PSD2 sind Banken dazu ver­pflich­tet, Un­ter­neh­men mit ent­spre­chen­den Zer­ti­fi­ka­ten eine Schnitt­stel­le zu bieten, über die Dienst­leis­ten­de die be­nö­tig­ten In­for­ma­tio­nen abrufen und Zahlungen bzw. Über­wei­sun­gen durch­füh­ren können.

Hinweis

Auch mit PSD II können Un­ter­neh­men nicht will­kür­lich auf Ihre sensiblen Fi­nanz­da­ten zugreifen. Neben der be­hörd­li­chen Zulassung brauchen Dienst­leis­ten­de nämlich ins­be­son­de­re Ihre aus­drück­li­che Zu­stim­mung, um Daten von Ihrer Bank zu erhalten.

Wie funk­tio­niert PSD2?

Dienst­leis­ten­de haben zwar schon früher auf In­for­ma­tio­nen aus dem Bankkonto zu­ge­grif­fen, hatten davor aber keinen ein­heit­li­chen Zugang. Während man in Deutsch­land zwar mit Home­ban­king Computer Interface (HBCI) eine stan­dar­di­sier­te Schnitt­stel­le ge­schaf­fen hat, waren Un­ter­neh­men in­ter­na­tio­nal auf eine Technik namens Web Scraping an­ge­wie­sen. Bei diesem Verfahren zieht der Dienst­leis­ten­de alle In­for­ma­tio­nen aus der Website des On­line­ban­king-Anbieters. Das ist nicht son­der­lich effizient und zudem anfällig für Fehler. PSD2 ver­pflich­tet Banken dazu, einen Access to Account (XS2A) ein­zu­rich­ten, über den Dienst­leis­ten­de Zugriff erhalten.

PSD2 bietet außerdem Lösungen, damit die Über­tra­gung der sensiblen Daten über die Schnitt­stel­len ohne Risiken für die Ver­brau­chen­den abläuft. Mit zwei ver­schie­de­nen Mitteln wird die Si­cher­heit der Daten ga­ran­tiert:

  • QWAC: Über dieses Zer­ti­fi­kat iden­ti­fi­zie­ren sich Anbieter und Bank ge­gen­sei­tig. Außerdem ver­schlüs­selt QWAC die Über­tra­gung der Daten.
  • QSiegel: Das Siegel wird Daten beigefügt und ordnet sie einem Un­ter­neh­men zu. So lässt sich später nach­voll­zie­hen, welche Un­ter­neh­men über die Schnitt­stel­le auf das Bankkonto zu­ge­grif­fen und Daten über­mit­telt haben. Außerdem ga­ran­tiert das Siegel, dass Daten nicht unbemerkt verändert werden.

Um diese Lizenzen bzw. Siegel be­an­tra­gen zu können, brauchen Anbieter die Ge­neh­mi­gung einer na­tio­na­len Auf­sichts­be­hör­de. Die BaFin regelt dies für Deutsch­land. PSD2 sieht vor, dass man zwei ver­schie­de­ne Ge­neh­mi­gun­gen erhalten kann:

  • Kon­to­in­for­ma­ti­ons­dienst: Dienst­leis­ten­de dieser Kategorie sind an In­for­ma­tio­nen aus dem Bankkonto des Kunden in­ter­es­siert, um sie zu verwerten. In diesem Fall ist nur eine Re­gis­trie­rung und keine Li­zen­sie­rung notwendig.
  • Zah­lungs­aus­lö­sungs­dienst: Das Un­ter­neh­men mit dieser Lizenz kann im Auftrag des Kunden bzw. der Kundin Zahlungen bzw. Über­wei­sun­gen vornehmen.

Was bedeutet die Zah­lungs­dienste­richt­li­nie für On­line­shops?

Die Zah­lungs­dienste­richt­li­nie betrifft zum al­ler­größ­ten Teil Banken und andere Dienst­leis­ten­de im Fi­nanz­sek­tor. Normale An­wen­den­de bekamen nur wenig von den ent­spre­chen­den Än­de­run­gen im Hin­ter­grund mit. Und auch für On­line­händ­ler und -händ­le­rin­nen hat sich seitdem nur wenig geändert.

PSD2 aus Nut­zer­sicht

Die PSD in der 2. Version hat für mehr Si­cher­heit bei der Bezahlung gesorgt. Die Vergabe von Lizenzen für die tech­ni­schen Lösungen sowie die Über­prü­fung durch Auf­sichts­be­hör­den ge­währ­leis­ten seit In­kraft­tre­ten einen ver­läss­li­che­ren Schutz sensibler Daten. Vor allem die ob­li­ga­to­ri­sche Zwei-Faktor-Au­then­ti­sie­rung – bei­spiels­wei­se über eine SMS mit einer TAN – ist hierbei ein wichtiger Faktor.

Fakt

Mit der Ein­füh­rung der Zwei-Faktor-Au­then­ti­sie­rung werden nach und nach auch die in­zwi­schen ver­al­te­ten iTAN-Listen für das On­line­ban­king abgelöst. Auch dies­be­züg­lich setzen die Banken immer häufiger auf SMS, Apps oder spezielle TAN-Geräte.

On­line­händ­ler & PSD II: Auf was muss man achten?

Viele Aspekte der Payment Service Directive 2 haben mit der tech­ni­schen Umsetzung zu tun, wie zum Beispiel der Pflicht zur Zwei-Faktor-Au­then­ti­sie­rung und den damit ein­her­ge­hen­den Me­cha­nis­men. Dieser Zwang entsteht durch die in der PSD2 ge­for­der­te Strong-Customer-Au­then­ti­ca­ti­on (SCA). Kunden und Kundinnen müssen die Über­wei­sung von Geld durch min­des­tens zwei Faktoren aus den Bereichen Wissen (z. B. Passwort oder PIN), Besitz (z. B. Karte oder Smart­phone) oder Inhärenz (z. B. Stimme oder Fin­ger­ab­druck) au­to­ri­sie­ren. Das gilt für alle Summen über 30 Euro. Sollten mehrere Käufe innerhalb von einem Tag insgesamt einen Wert von 100 Euro über­schrei­ten, ist selbst dann die 2FA notwendig, wenn die einzelnen Posten unter die Schwelle von 30 Euro fallen.

Um Zahlungen ausführen zu können, arbeiten Be­trei­ben­de eines On­line­shops meist mit einem Partner zusammen. Dieser sollte die An­for­de­run­gen der PSD2 in seinem System umsetzen. Die Kre­dit­kar­ten­in­sti­tu­te haben zum Beispiel mit Si­cher­heits­ver­fah­ren wie 3D Secure wichtige Maßnahmen im Angebot. Händ­le­rin­nen und Händler im E-Commerce müssen nur darauf achten, dass ihr Shop derartige Si­che­rungs­ver­fah­ren auch korrekt einbaut.

Ganz explizit gelten die An­for­de­run­gen von SCA nicht für das Last­schrift­ver­fah­ren. Hierbei handelt es sich um Pull Payment – der Verkäufer oder die Ver­käu­fe­rin fordert das Geld bei der Bank an. Das sichere Verfahren ist aber nur für Push Payments vor­ge­se­hen, wenn Kundinnen und Kunden also direkt eine Zahlung ver­an­las­sen.

Hinweis

In Deutsch­land muss die Zwei-Faktor-Au­then­ti­sie­rung seit dem 15. März 2021 in On­line­shops im­ple­men­tiert sein.

Auch die so­ge­nann­te Surcharge ist nicht dank PSD2 nicht mehr zulässig. Vor der Durch­set­zung der Richt­li­nie war es zum Beispiel üblich, dass Händler bzw. Händ­le­rin­nen für Zahlungen per Kre­dit­kar­te einen Aufschlag auf den Kaufpreis gefordert haben, um nicht auf den dadurch ent­ste­hen­den zu­sätz­li­chen Kosten sitzen zu bleiben.

Ge­schich­te der Zah­lungs­dienste­richt­li­ni­en: Von PSD I zu PSD II

Mit der ersten Version der Zah­lungs­dienste­richt­li­nie hatte die Eu­ro­päi­sche Kom­mis­si­on einen wichtigen Vorstoß vor­ge­nom­men, den in­ter­na­tio­na­len Zah­lungs­ver­kehr zu re­gu­lie­ren. Im Sinne der An­glei­chung des eu­ro­päi­schen Zah­lungs­ver­kehrs (Stichwort SEPA) schafft PSD die recht­li­chen Grund­la­gen für Dienst­leis­ten­de in diesem Bereich. Dies bezog sich damals wie heute auch explizit auf Anbieter, die nicht der Ban­ken­bran­che ent­stam­men. Das Monopol der Kre­dit­in­sti­tu­te auf den Zah­lungs­ver­kehr wurde durch PSD also gebrochen.

Als so­ge­nann­tes Zah­lungs­in­sti­tut kann aber nicht jedes Un­ter­neh­men auftreten. Die Payment Services Directive hat ver­bind­li­che Kriterien fest­ge­legt, die ein solcher Anbieter erfüllen muss. Doch trotz vieler klarer Regeln blieben weiterhin einige Un­si­cher­hei­ten bestehen und Spiel­räu­me offen – einige solcher Probleme wurden sogar erst mit der Richt­li­nie ge­schaf­fen. Mit PSD2 wurden diese Lücken ge­schlos­sen und darüber hinaus noch mehr Si­cher­heit für Ver­brau­cher und Ver­brau­che­rin­nen ge­schaf­fen.

Das funk­tio­niert zum Beispiel über die Vergabe von ver­bind­li­chen Zer­ti­fi­ka­ten und Siegeln, die nur über an­er­kann­te Or­ga­ni­sa­tio­nen bezogen werden können. In Deutsch­land bei­spiels­wei­se über die Bun­des­dru­cke­rei (bzw. deren Tochter D-Trust), die auch für die Her­stel­lung von Rei­se­päs­sen und Per­so­nal­aus­wei­sen zuständig ist. Außerdem brauchen Un­ter­neh­men eine Ge­neh­mi­gung der na­tio­na­len Fi­nanz­auf­sicht – in Deutsch­land ist das die Bun­des­an­stalt für Fi­nanz­dienst­leis­tungs­auf­sicht (BaFin).

Bitte beachten Sie den recht­li­chen Hinweis zu diesem Artikel.

Zum Hauptmenü