PSD2 — Was sich für Sie ändert

Einheitliche Standards für die Sicherheit elektronischer Zahlungen

Am 11. September 2019 wurde die sogenannte "zweite Stufe" der Umsetzung der "Zweiten EU-Zahlungsdiensterichtlinie (PSD2)" wirksam. Ziel ist die Schaffung einheitlicher Standards für die Sicherheit elektronischer Zahlungen sowie die Verbesserung des Verbraucherschutzes im Europäischen Wirtschaftsraum.

Damit wird das Online-Banking, die VR-BankingApp sowie das Online-Shopping mit Kreditkarte noch sicherer. Außerdem wird dritten Zahlungsdienstleistern die Möglichkeit gegeben, Ihnen neue Services anzubieten. Verschaffen Sie sich hier einen Überblick über die wesentlichen Neuerungen.

Die wichtigsten Neuerungen im Überblick

  • Zukünftig müssen Sie alle 90 Tage beim Login im Online-Banking eine TAN eingeben. Zum ersten Mal am 11.12.2019
  • Möchten Sie Umsatzdaten die älter als 90 Tage sind abrufen, benötigen Sie ebenfalls eine TAN zur Einsicht
  • Kleinbeträge bis max. 30 Euro können ab dem 11.09.2019 TAN-los überwiesen werden. Außerdem sind fünf aufeinanderfolgende Zahlungen, die in der Summe nicht mehr als 100,00 Euro ergeben, ebenfalls ohne TAN-Eingabe ausführbar
  • Bei internen Konto-Umbuchungen (z.B. Übertrag vom Girokonto auf das Tagesgeld) benötigen Sie keine TAN mehr
  • Multibankenfähig VR-BankingApp: Verwaltung Ihrer gesamten Konten – egal bei welcher Bank Sie diese führen. Zugriff auf die Kontostände und Überweisungen von allen in der App eingebundenen Konten.
  • Sind Sie im Online-Banking länger als 5 Minuten inaktiv, werden Sie automatisch ausgeloggt.
  • Mastercard® Identity Check™ und Verified by Visa (zukünftig Visa Secure) werden im Europäischen Wirtschaftsraum beim Online-Shopping mit der Kreditkarte vermehrt notwendig. D. h. ohne die Registrierung Ihrer Kreditkarte können Sie bei europäischen Online-Händlern zukünftig nicht mehr bezahlen.
  • Sie können berechtigte Drittanbieter beauftragen, für Sie Zahlungen auszulösen oder Kontoinformationen von Zahlungsverkehrskonten abzurufen. Dies können Sie ab sofort in Ihrem Online-Banking selbst verwalten

Verständlich erklärt: Starke Kundenauthentifizierung mit PSD2

Quelle: Bundesverband der Deutschen Volksbanken Raiffeisenbanken (Stand: August 2019)

Die 2-Faktor-Authentifizierung wird in der Regel angewendet bei:

  • Ihrer Anmeldung zum OnlineBanking,
  • einem Zahlungsauftrag,
  • einer anderen Aktion, die ein Risiko birgt, wie zum Beispiel eine Adressänderung,
  • Zahlungen mit Ihrer Debit- oder Kreditkarte von Mastercard® oder Visa beim Online-Einkauf und im Geschäft.

Änderungen durch die PSD2

OnlineBanking

Änderung bei Anmeldung und Umsatzabfrage

Login
Zukünftig werden Sie mindestens alle 90 Tage beim Login im Online-Banking aufgefordert, sich mit Ihrem VR-NetKey/Alias und Ihrer PIN sowie einer TAN zu legitimieren. Am 11.12.2019 müssen Sie dies zum ersten Mal tun. Bei der Auslösung von Zahlungen sowie dem Abruf von Umsatzinformationen, die älter als 90 Tage sind, trifft dies ebenso zu.

Neu: TAN-loses Verfahren
Kleinbeträge bis max. 30 Euro können ab dem 11.09.2019 TAN-los überwiesen werden. Außerdem sind fünf aufeinanderfolgende Zahlungen, die in der Summe nicht mehr als 100,00 Euro ergeben, ebenfalls ohne TAN-Eingabe ausführbar. Bei internen Konto-Umbuchungen (z.B. Übertrag vom Girokonto auf das Tagesgeld) benötigen Sie auch keine TAN mehr.

Finanzmanager
Den Finanzmanager, das digitale Haushaltsbuch, können Sie zukünftig grundsätzlich nur mit einer starken Kundenauthentifizierung öffnen, zum Beispiel durch Eingabe einer TAN. Danach sind alle Daten im Finanzmanager ohne weitere TAN-Eingabe verfügbar, auch weit zurückliegende Umsatzinformationen.

Logout
Ihr Online-Banking wird noch sicherer, denn zukünftig werden Sie automatisch nach 5 Minuten Innaktivität ausgeloggt.

Die PSD2 erlaubt den Banken eine Ausnahmeregelung in Bezug auf die starke Kundenauthentifizierung. In diesem Fall müssen Sie Ihre TAN nur alle 90 Tage eingeben. Wir nutzen diese Ausnahmeregelung. Mitte Dezember 2019 haben Sie beim Login im OnlineBanking erstmals die Aufforderung erhalten, sich mit Ihrem VR-NetKey und Ihrem Kennwort bzw. Ihrer PIN sowie einer TAN anzumelden.

VR Banking App

Anmeldung bzw. Gerätebindung sowie Finanzmanager

Login
Bei der Anmeldung in der VR-BankingApp entfällt die Eingabe einer TAN, da durch die sogenannte Gerätebindung eine starke Kundenauthentifizierung erreicht wird. Zur Herstellung der Gerätebindung müssen Sie einmalig eine TAN eingeben. Mit der neuen Version der VR-BankingApp wird Ihnen ein entsprechender Hinweis zur Einrichtung der Gerätebindung angezeigt. Alternativ können Sie dies auch in den Einstellungen der VR-BankingApp einrichten. Sollten Sie bereits die Funktion Kwitt nutzen, ist die Gerätebindung bereits erfolgt. Sollten Sie die Gerätebindung nicht eingerichtet haben, müssen Sie beim Login zusätzlich eine TAN eingeben. Sie können dann auch nur noch die Umsatzdaten der letzten 90 Tage einsehen.

Multibankenfähig
Verwaltung Ihrer gesamten Konten – egal bei welcher Bank Sie diese führen. Zugriff auf die Kontostände und Überweisungen von allen in der App eingebundenen Konten, die den Standard "Homebanking Computer Interface (HBCI)" unterstützen

Finanzmanager
Zudem steht Ihnen der Finanzmanager in der App generell nicht mehr zur Verfügung.

Mastercard® Identity Check™ und Visa Secure

Änderung beim Online-Shopping mit Kreditkarte

Mit Mastercard® Identity Check™ oder Visa Secure ist das Online-Shopping mit Kreditkarte bereits heute schon einfach und sicher möglich. Für diese beiden Verfahren zur Authentifizierung von Kreditkartenzahlungen gibt es die Lösung via SMS oder Push-Nachricht in der App VR SecureGo plus. Mastercard® Identity Check™ sowie Visa Secure sind beim Online-Shopping mit Kreditkarte verpflichtend.2

Mithilfe der folgenden Links können Sie sich in wenigen Schritten für Mastercard® Identity Check™ oder Visa Secure registrieren.

Zugriffe von dritten Zahlungsdienstleistern

Nutzung des Online-Bankings und der VR-BankingApp über Drittanbieter

Sie können das Online-Banking und die VR-BankingApp auch mittels Kontoinformationsdiensten, Zahlungsauslösediensten und von Ihnen ausgewählten sonstigen Drittanbietern nutzen. Ihre Einwilligung vorausgesetzt dürfen diese für Sie über eine sogenannte "Kontenschnittstelle für Dritte Zahlungsdienstleister" Zahlungen auslösen oder Kontoinformationen von Zahlungsverkehrskonten abrufen, also zum Beispiel von Ihrem Girokonto oder Geschäftskonto.

Mit der Zugriffsverwaltung im Online-Banking können Sie sehen, welche Drittanbieter Sie berechtigt haben. Sie können dort auch Zugriffsberechtigungen wieder entziehen. Sofern Sie sonstige Drittanbieter nutzen, empfehlen wir Ihnen diese sorgfältig auszuwählen.

Zugriffe von dritten Zahlungsdienstleistern

Zugriffsverwaltung im OnlineBanking: Drittanbieter steuern

Grundsätzlich dürfen dritte Zahlungsdienstleister nur mit Ihrer vorherigen Zustimmung auf Ihre Kontodaten zugreifen. Ihre Zustimmung gilt erst als erteilt, wenn Sie die vom Drittanbieter bei Ihrer Bank angeforderten Informationen mit einer starken Kundenauthentifizierung bestätigt haben. Zudem muss der Drittanbieter bei der nationalen Aufsichtsbehörde registriert sein und sich gegenüber Ihrer Volksbank Dreiländereck legitimieren können. Für einen weiteren Kontozugriff benötigt der Drittanbieter nach spätestens 90 Tagen erneut Ihre vorherige Zustimmung mittels starker Kundenauthentifizierung.

Mit der Zugriffsverwaltung im Online-Banking im Bereich "Service > Konten und Verträge > Zugriffsverwaltung" können Sie jederzeit kontrollieren, welchen Drittanbieter Sie berechtigt und welche Zahlungen Drittanbieter durchgeführt haben. Sie können dort auch Zugriffsberechtigungen wieder entziehen. Ihnen stehen diese Daten bis 180 Tage rückwirkend zur Verfügung. Die Zugriffsverwaltung im Online-Banking ist wie folgt strukturiert:

  • Verfügbarkeitsabfragen,
  • Kontoinformationsabfragen und
  • Zahlungsauslösungen.
Strukturierung der Zugriffsverwaltung

In diesem Bereich im OnlineBanking sehen Sie, welche Berechtigungen Sie dritten Zahlungsdienstleistern sowie Unternehmen der Genossenschaftlichen FinanzGruppe gegeben haben. Sie können hier neue Berechtigungen erteilen oder bestehende entziehen. Wenn dritte Zahlungsdienstleister und Unternehmen der Genossenschaftlichen FinanzGruppe Ihre Berechtigung genutzt haben, ist das hier auch aufgelistet.

Kontoauswahl Hier wählen Sie aus, für welches Zahlungskonto Informationen angezeigt werden sollen. Wenn zu dem Konto keine Berechtigungen erteilt worden sind, wird nur die Möglichkeit "Neue Berechtigung erteilen" angeboten.
Bereich unterhalb der Kontoauswahl Hier sehen Sie, für welche kartenausgebenden Zahlungsdienstleister Berechtigungen erteilt wurden. Mit Klick auf "+" können Sie sich weitere Informationen anzeigen lassen oder Berechtigungen sperren.
Neue Berechtigungen erteilen Unterhalb der Kontoauswahl steht Ihnen die Möglichkeit zur Verfügung, einem dritten Zahlungsdienstleister die Abfrage zu erlauben, ob ein bestimmter Betrag auf Ihrem Konto verfügbar ist. Die Anzahl der Abfragen ist unbeschränkt.
Drittanbieter als Zahlungsdienstleister

Ein Zahlungsauslösedienst (ZAD oder auch Payment Initiation Service Provider (PISP)) ist ein Dienst, der – Ihre Einwilligung vorausgesetzt – einen Zahlungsauftrag wie zum Beispiel eine Überweisung auf ein bei einem anderen Zahlungsdienstleister geführtes Zahlungskonto auslöst. Die Zahlung wird aber nur ausgeführt, wenn Sie dies zuvor erlaubt und mit einer Zwei-Faktor-Authentifizierung abgeschlossen haben. Diese Zahlungsauslösedienstleister müssen künftig von der nationalen Finanzaufsicht zugelassen und beaufsichtigt werden.

Drittanbieter als Kontoinformationsdienstleister

Ein Kontoinformationsdienst (KID oder auch Account Information Service Provider (AISP)) ist ein Online-Dienst zur Mitteilung konsolidierter Informationen über Zahlungskonten, die Sie entweder bei einem anderen Zahlungsdienstleister bzw. einer anderen Bank oder bei mehreren Zahlungsdienstleistern bzw. mehreren Banken haben. Dieser gibt Ihnen in der Regel anhand Ihrer Kontodaten einen Überblick über Ihre aktuelle finanzielle Situation. Dafür darf er bis zu vier Mal am Tag Informationen von Ihrem Konto wie zum Beispiel Salden oder Umsätze abrufen, ohne dass Sie nochmals aktiv zustimmen. Diese Drittdienstleister müssen sich künftig bei der nationalen Finanzaufsicht registrieren.

Drittanbieter als kartenausgebende Zahlungsdienstleister

Mit Ihrer girocard (Debitkarte) und Kreditkarte verfügen Sie bereits über Zahlungsmittel mit Zugriff auf Ihr Konto. Zukünftig werden Sie auch neue Angebote von Zahlungskarten erhalten, beispielsweise von Transportunternehmen wie der Deutschen Bahn, Fluggesellschaften oder Einzelhandelsketten. Wenn Sie dann mit diesen Zahlungskarten bezahlen, kann der kartenausgebende Zahlungsdienstleister die Verfügbarkeit des Kaufbetrages bei Ihrer Volksbank Dreiländereck anfragen. Der Kaufbetrag wird dabei aber nicht reserviert. Sie müssen dazu jedoch zuvor dem Drittanbieter im OnlineBanking die Erlaubnis erteilen, und zwar unter "Service > Konten und Verträge > Zugriffsverwaltung > Verfügbarkeitsabfragen > Neue Berechtigungen erteilen".

Häufige Fragen zur PSD2

Was bedeutet PSD2?

Am 13. Januar 2018 sind aufgrund europäischer Vorgaben mit der "Payment Services Directive2" (PSD2) bzw. dem "Gesetz zur Umsetzung der zweiten Zahlungsdiensterichtlinie" neue gesetzliche Bestimmungen für die Erbringung von Zahlungsdiensten in Kraft getreten. Kontoführende Zahlungsdienstleister, zu denen auch die Volksbanken und Raiffeisenbanken zählen, müssen seit dem 14. September 2019 Drittanbietern einen Zugang zu den Konten ihrer Kunden zur Verfügung stellen – vorausgesetzt, die Kunden haben ihnen dafür eine Erlaubnis erteilt. Zuvor waren die Daten der Bankkunden durch das Bankgeheimnis grundsätzlich geschützt. Jetzt kann der Kunde aber im Sinne seiner eigenen Daten-Souveränität selbst entscheiden, ob er die Daten bzw. seine PIN an Drittdienste weitergeben möchte. Ihre Erlaubnis vorausgesetzt, erfolgt dann der Zugriff dieser Drittdienste über eine technische Schnittstelle Ihrer Volksbank Dreiländereck. Mit dieser Schnittstelle werden natürlich die hohen Sicherheitsstandards weiterhin gewahrt.

Welche Anpassungen erfolgen noch im OnlineBanking aufgrund der PSD2?

Gemäß PSD2 darf die maximale Zeitspanne ohne Aktivität (Session-Timeout) im OnlineBanking nicht mehr als fünf Minuten betragen. Wir haben diese Vorgabe umgesetzt. Bitte beachten Sie, dass zur Verlängerung der Session eine Bewegung der Mouse oder Ähnliches nicht ausreicht. Es ist eine Transaktion erforderlich, die den Online-Banking-Server anspricht. Dabei handelt es sich beispielsweise um den Abruf von Umsatzdaten oder den Aufruf der TAN-Verwaltung bzw. der Zugriffsverwaltung.

Kann ein Drittanbieter, also zum Beispiel ein Zahlungsauslösedienst oder ein Kontoinformationsdienst, ohne meine Zustimmung auf meine Konten zugreifen?

Nein, ein Drittanbieter kann grundsätzlich nur mit Ihrer vorherigen Zustimmung auf Ihre Kontodaten zugreifen. In unserem OnlineBanking steht Ihnen eine entsprechende Zugriffsverwaltung zur Verfügung, mit der Sie beispielsweise auch Drittanbietern Zugriffsberechtigungen wieder entziehen können.

Warum muss ich beim Login im OnlineBanking seit dem 14. September 2019 nicht zusätzlich eine TAN eingeben?

Die PSD2 erlaubt der Bank, Ausnahmenregelungen von der starken Kundenauthentifizierung zuzulassen. In diesen Fällen müssen Sie die TAN zur starken Kundenauthentifizierung nur alle 90 Tage eingeben. Ihre Volksbank Dreiländereck nutzt diese Ausnahmeregelung. Sie wurden das erst Mal Mitte Dezember 2019 beim Login im OnlineBanking dazu aufgefordert, sich mit Ihrem VR-NetKey und Ihrem Kennwort bzw. Ihrer PIN sowie einer TAN zu legitimieren.

Warum sehe ich in der Zugriffsverwaltung im OnlineBanking nicht, welche Drittanbieter ich berechtigt habe, Zahlungen auszulösen oder Kontoinformationen von Zahlungsverkehrskonten abzurufen?

Drittanbieter nutzen eine sogenannte Schnittstelle, um auf Ihr Konto zuzugreifen. Aktuell nutzen viele dafür die technische Lösung FinTS oder Web-Banking. Beide Lösungen sind übergangsweise erlaubt, dürfen aber mittelfristig nicht mehr verwendet werden. Sie werden durch eine neue technische Lösung mit dem Namen XS2A ersetzt. Das hat die deutsche Bankenaufsicht so festgelegt. Die Zugriffsverwaltung im OnlineBanking ist bereits auf XS2A ausgerichtet. Wenn ein Drittanbieter also XS2A nutzt, sehen Sie dessen Zugriffe auf Ihr Konto auch in der Zugriffsverwaltung. Wenn ein Drittanbieter FinTS oder Web-Banking verwendet, sehen Sie dessen Zugriffe nicht in der Zugriffsverwaltung.

  1. In Ausnahmefällen muss die TAN im Sinne einer sogenannten starken Kundenauthentifizierung nur alle 90 Tage eingegeben werden, zum Beispiel bei der Anmeldung. Sprechen Sie uns an und wir schauen gemeinsam, ob eine Ausnahme möglich ist.
  2. Als Ausnahme von der Pflicht gelten zum Beispiel als risikoarm eingestufte Kleinbetragstransaktionen sowie wiederkehrende Zahlungen mit gleicher Betragshöhe an denselben Empfänger; dies jedoch erst nach erfolgreicher Registrierung der Kreditkarte für Mastercard® Identity Check™ bzw. Visa Secure.