Hamburg, 20. Juni 2019. Ein Akronym hat in diesem Jahr Hochkonjunktur: PSD2. Die Zahlungsdienstrichtlinie regelt, welche Drittanbieter auf die Bankkonten von Verbraucherinnen und Verbrauchern zugreifen können, und wie diese sich in Zukunft für Payment- und Online-Banking-Dienste authentifizieren müssen. Die EU-Richtlinie Payment Services Directive 2, kurz PSD2, wurde bereits im Januar 2018 in nationales Recht umgesetzt. Einige Vorgaben entfalten aber erst ab 14. September dieses Jahres ihre Wirkung.
PSD2 bringt für Verbraucherinnen und Verbraucher viele Vorteile, sie soll den Zahlungsverkehr in der EU bequemer und sicherer machen und zugleich den Wettbewerb fördern. So verpflichtet die Richtlinie Banken, anderen Dienstleistern durch die Einrichtung von Schnittstellen Zugriff auf die Kontodaten ihrer Kunden zu ermöglichen. Wenn der Kunde dies möchte und aktiv einwilligt, können durch die Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) zertifizierte Drittanbieter auf Grundlage von PSD2 Kontoinformationen abfragen oder Zahlungen auslösen.
In diesem Jahr kommt die Richtlinie in ihre akute Umsetzungsphase: Seit März müssen Banken und Zahlungsdienste Drittanbietern eine Testumgebung (Sandbox) und die dazugehörige technische Dokumentation der Schnittstelle zur Verfügung stellen. Ab 14. September 2019 ist dann der Produktivbetrieb zu realisieren. Dann treten auch die Vorgaben der PSD2 über die „starke Kundenauthentifizierung“ im elektronischen Zahlungsverkehr endgültig in Kraft und haben spürbare Auswirkungen auf Online-Banking-Nutzer. Zusätzlich zum Benutzernamen und zum Passwort müssen Kunden dann in vielen Fällen auch eine TAN-Nummer eingeben – so wie heute schon bei Online-Überweisungen. TAN-Listen (iTAN) und andere statische Verfahren sind künftig nicht mehr erlaubt, da die Codes für jede Transaktion neu erzeugt werden müssen.
Starke Kundenauthentifizierung: Wissen, Besitz, Inhärenz
Ab 14. September 2019 gelten auf Grundlage der PSD2 neue Vorgaben zur "starken Kundenauthentifizierung". Beim Zugriff auf Informationen zum Konto mittels Online-Banking muss sich der Kunde ab diesem Zeitpunkt grundsätzlich mit zwei sogenannten "Faktoren" authentifizieren. Auch Kartenzahlungen, die im Internet durchgeführt werden, müssen künftig ebenfalls mit zwei Faktoren freigegeben werden. Diese Faktoren müssen zwingend aus den drei Kategorien Wissen, Besitz und Inhärenz stammen. Für Wissen steht bspw. ein Passwort, für Besitz das Smartphone oder ein TAN-Generator etc., die die Transaktionsnummer (TAN) zuliefern. Für Inhärenz stehen Elemente, die dem Nutzer persönlich oder körperlich zu eigen sind, wie bspw. sein Fingerabdruck.
Neuerungen bei Kartenzahlungen
Bei den zunehmend beliebten kontaktlosen Zahlungen gibt es verschiedene Anwendungsszenarien. Liegt der Betrag bei 50 Euro oder weniger, ist keine „starke Kundenauthentifizierung“ notwendig. Allerdings kann die verwendete Karte lediglich für maximal fünf aufeinanderfolgende kontaktlose Zahlungen bis in Summe 150 Euro verwendet werden, anschließend muss zwingend die „starke Kundenauthentifizierung“ erfolgen, zum Beispiel durch zusätzliche Eingabe einer PIN.
Auch das Bezahlen mit Kreditkarte im Internet verändert sich aufgrund der Anforderungen der PSD2. Bisher reicht es meistens, die auf der Kreditkarte befindlichen Daten beim Bezahlvorgang anzugeben, insbesondere die Kartennummer, das Ablaufdatum und die Prüfziffer. Diese Elemente erfüllen jedoch die Anforderungen an eine „starke Kundenauthentifizierung“ nicht mehr, voraussichtlich bedarf es künftig der zusätzlichen Eingabe einer PIN.
Zugriff auf Online-Banking-Konto
Beim Zugriff auf das Online-Banking-Konto kommt die „starke Kundenauthentifizierung“ ebenfalls zum Einsatz. Um zum Beispiel online den Kontostand abzurufen, muss der Kunde künftig zusätzlich zu seinem Benutzernamen und seinem Passwort einen weiteren Beweis seiner Identität eingeben. Dies kann beispielsweise eine TAN sein. Inwiefern diese TAN jedes Mal oder nur alle 90 Tage abgefragt wird, legt jedes Kreditinstitut individuell fest.