PSD2 statt R2D2
Digitales Zahlen wird noch sicherer und rettet Menschenleben
Die Kreditinstitute fordern ihre Kunden derzeit verstärkt auf, zu sichereren Banking-Verfahren zu wechseln. Und bieten dafür wahlweise z.B. kostenlose Apps oder kostenpflichtige TAN-Generatoren an.
Und reden im Zusammenhang mit elektronischen Zahlungen und Online-Banking ständig von PSD 2. Was hat es damit auf sich?
Zugegeben, erst habe ich bei PSD 2 an meinen „Lieblingsroboter“ R2D2 aus Star Wars gedacht 😉
Aber PSD 2 ist natürlich etwas ganz anderes.
Hierbei handelt es sich um eine neue EU-Vorgabe. Nämlich das Gesetz zur Umsetzung der Zweiten Zahlungsdienste-Richtlinie (englisch: Payment Services Directive 2).
Diese schreibt spätestens ab Mitte September diesen Jahres u.a. neue Sicherheitsverfahren im elektronischen Zahlungsverkehr vor.
Die Regelungen gelten für kontoführende Zahlungsdienstleister wie Banken und Sparkassen. Aber auch für dritte Zahlungsdienstleister, welche – ohne Banken zu sein (Nichtbanken) – Zahlungskarten ausgeben oder verschiedene Zahlungsdienste anbieten.
Zahlungsdienste sind etwa Zahlungsauslösedienste wie die Durchführung von Sofortüberweisungen. Oder Kontoinformationsdienste wie z.B. eine App, welche alle Konten eines Kunden bei unterschiedlichen Banken zusammengefasst aufführt. Umgesetzt werden solche Dienste zumeist von Finanz-Start-ups (sogenannten FinTechs).
Mehr Sicherheit für Kundendaten
Die PSD 2 regelt den Zugriff der Zahlungsdienstleister auf die Zahlungskonten und soll die Sicherheit im Open Banking fördern.
Zugriff und Weitergabe der Kontendaten dürfen nur mit ausdrücklicher Zustimmung des Kunden erfolgen.
Pflicht wird zudem die sog. “starke Kundenauthentifizierung” (strong customer authentication – SCA). Damit soll sichergestellt werden, dass die Kundendaten nicht in unbefugte Hände geraten.
SCA schreibt die Verwendung zweier unabhängiger Faktoren (Zwei-Faktor-Authentifizierung) vor – und zwar aus den unterschiedlichen Kategorien:
- Wissen (das nur der Nutzer weiß, z.B. Passwort, Code, PIN),
- Besitz (was nur der Nutzer besitzt, z.B. Karte, Smartphone, Token) und
- Inhärenz (ein biometrisches Merkmal des Nutzers, z.B. Fingerabdruck, Stimmerkennung).
Klingt zunächst ein wenig kompliziert, ist jedoch sehr plausibel und nachvollziehbar. Und dient unserer Sicherheit als Kunde im digitalen Zahlungsverkehr
Apps und PINs und TANs
Derzeit stellen die Anbieter von Zahlungsverkehrsdienstleistungen ihren Kunden dafür Identifizierungsgeräte und neue Software zur Verfügung.
Zum Beispiel bieten sie TAN-Generatoren an. Das sind kleine Geräte, die TANs erzeugen – also jeweils eine Transaktionsnummer (Codenummer), die für den konkreten Online-Banking-Vorgang einmalig gültig ist. Meist sind die Identifizierungsgeräte wie TAN-Generatoren kostenpflichtig.
Kostenfrei bieten die Akteure ihren Kunden Apps an. Also kleine Computerprogramme, die man sich auf sein Smartphone oder Tablet lädt. Erforderlich ist eine Registrierung über die App und eine Bestätigung.
Die einzelnen Akteure legen übrigens jeweils ihren eigenen Maßstab zum Thema Sicherheit an.
So bewerten sie zum Beispiel mobileTAN-Verfahren (sms-TANs) unterschiedlich. Manche meinen, eine sms-TAN (also eine auf das Smartphone gesendete Codenummer) sei nicht mehr ausreichend. Da der mobile Banking-Vorgang über das Smartphone durchgeführt werden könne. Und das Smartphone somit nicht gleichzeitig für den TAN-Empfang gelten darf (siehe Zwei-Faktor-Authentifizierung).
Andere Akteure sehen das anders – und ersetzen ihre Papier-TAN-Listen gerade mit mobileTANS.
Und sonst
Die Richtlinie PSD 2 übernimmt und ersetzt die Richtlinie PSD 1 aus dem Jahre 2007. Ging es bei PSD 1 sozusagen um den sicheren Geldverkehr, geht es bei PSD 2 nun um den sicheren Datenverkehr.
Die PSD 2 gilt für alle Zahlungstransaktionen innerhalb der EU sowie Transaktionen, bei denen sich nur eine Partei in der EU befindet.
Die Richtlinie beinhaltet auch noch andere Regelungen. So sollen Verbraucher bei Betrug oder Missbrauch (etwa Diebstahl der Kreditkarte) nur noch 50 Euro statt der bisherigen 150 Euro selbst zahlen müssen. Bei grober Fahrlässigkeit oder Eigenverschulden gelten natürlich andere Regelungen.
„Embrace the future – Umarmen Sie die Zukunft!“ Denn die Zukunft kommt ohnehin. Und die Digitalisierung wird auch voranschreiten, wenn wir sie nicht mögen…
Ich selbst liebe das digitale Zahlen – und sehe einen weiteren großen Vorteil darin: Im Gegensatz zum Bezahlen am Bankschalter ist beim digitalen Bezahlen noch niemals jemand in einen Banküberfall verwickelt und versehentlich erschossen worden…
Fazit
Verbraucher und Unternehmen sollen elektronische Zahlvorgänge künftig innovativer, sicherer und weiterhin kostengünstig erledigen können.
Die Politik spricht von „sicheren offenen Standards für die Kommunikation, die elektronische Zahlungen in Geschäften und im Internet sicherer machen sollen“.
Es bleibt abzuwarten, ob die Transaktionsüberwachung, Zahlungsdaten zu erfassen und zu überwachen, diese Erwartungen erfüllen wird. Die Vorzeichen sind jedoch gut. Ein Schritt in die richtige Richtung ist die PSD 2 auf alle Fälle.
Und was bedeutet das nun konkret für Sie?
- Wenn Sie Online-Banking betreiben, sollten Sie sich unbedingt zeitnah mit den verschiedenen Sicherungsverfahren beschäftigen, die Ihre Anbieter konkret zur Verfügung stellen. Warten Sie keinesfalls bis zum Auslaufen der Gültigkeit der bisherigen Sicherungsverfahren, dies würde Ihre Handlungsfähigkeit gefährden.
- Gehen Sie positiv an diese Veränderungen heran. Auch wenn sie zunächst umständlicher oder mühevoller erscheinen mögen, als die von Ihnen bisher praktizierte Lösung. Die verstärkten Sicherheitsfunktionen dienen uns allen vor dem Hintergrund der weiter zunehmenden digitalen Dienste rund um Zahlungsverkehr und Finanzdienstleistungen.
- Betrachten Sie die verschiedenen Verfahren nicht als „Geldmacherei“ der Banken oder Zahlungsdienstleister. Es wird stets mindestens eine kostenlose Sicherungsalternative angeboten.
- Und je nach Ihren Vorlieben und Bequemlichkeitsempfinden sollten Sie ggfs. alternativ einmalig die 20 oder 30 Euro (es sind natürlich 19,99 oder 29,95 Euro 😉 für eine Hardwarelösung als sinnvolle Investition in Ihre eigene Datensicherheit betrachten.
- Entscheiden Sie sich zeitnah für ein zu Ihrem Typ und Ihren Gewohnheiten passendes Verfahren (z.B. sich mittels App oder per TAN-Generator authentifizieren).
- Und setzen Sie sodann die dafür notwendigen Maßnahmen um (z.B. App herunterladen oder TAN-Generator bestellen).
- Ein idealer Test der Funktionsfähigkeit Ihrer neuen Zahlungssicherheit ist eine Spende an die gemeinnützige Bürgerbewegung „Finanzwende“. Sie wissen: Bis 200 Euro gilt der Überweisungsbeleg als Spendennachweis.
Für darüberhinausgehende Beträge sendet Ihnen die Organisation gerne eine Zuwendungsbestätigung… 😉
Herzliche Grüße
Hartmut Walz
Sei kein LeO!
Erschienen am 19. Juli 2019.
“Lieblingsroboter” ausgetauscht am 14. August 2019 😉
Der Hartmut Walz Finanzblog ist unabhängig, kosten- und werbefrei. Ich erhalte für Links und Empfehlungen keinerlei Honorar, Kick-back, Beteiligung o. ä.
Hallo Herr Walz, das soll wohl auch für Kreditkartenzahlungen beim Onlineshoppen gelten. Richtig?
Liebe/r D. MÜller, richtig, Kreditkartenzahlungen im Internet sind grundsätzlich auch mit dem neuen Sicherheitsverfahren zu authentifizieren. Der Händler entscheidet selbst, ob er die konkrete Kreditkartenzahlung mit dem zusätzlichen Verfahren absichern möchte.
Herzliche Grüße, Hartmut Walz – Sei kein LeO!