EU-Zahlungsdiensterichtlinie: PSD2

PSD2 ist die die neue EU-Zahlungsdiensterichtlinie. PSD steht für Payment Services Directive. Die Richtlinie regelt u.a. den Zugriff auf Zahlungskontodaten (Girokonten) durch Dritte. Dazu zählen neben den Kreditinstituten/Banken auch Zahlungsauslösedienste, Anbieter von Zahlungskarten und Kontoinformationsdienste. Die „2“ steht für die Version 2.

Kunden*innen können Dritten den Zugriff erlauben. Banken müssen für den Zugriff Drittanbietern eine technische Schnittstelle zur Verfügung stellen. Die Drittunternehmen unterliegen der Aufsicht und Kontrolle der BaFin bzw. der jeweiligen nationalen Aufsichtsbehörde. Ein Missbrauch ist mit hohen Strafen und ggf. dem Entzug der Lizenz verbunden.

Wie die technische Schnittstelle, über die der Zugriff erfolgen soll, technisch gestaltet sein wird, ist noch nicht endgültig festgelegt. Auch nicht, ob zukünftig Einschränkungen beim Datenzugriff möglich sein werden, ob es Widerspruch- oder Sperrmöglichkeiten geben wird. Das wird die sogenannte Berlin Group voraussichtlich bis Ende 2018 festlegen.

Häufige Fragen zu PSD2

PSD2 erlaubt nur die Abfrage von Daten eines Zahlungskontos (=Girokonto). Sie erfolgt über eine spezielle technische Schnittstelle, die Stand heute noch nicht vorhanden ist. Sie soll Ende des Jahres zur Verfügung stehen.

Ein*e Kunde*in muss dann beim ersten Mal eine Kontoabfrage durch einen Dritten immer explizit mit seinen/ihren Zugangsdaten (Kontonummer, PIN und TAN) genehmigen. Diese Genehmigung gilt für 90 Tage, spätestens dann muss er/sie erneut seine Zugangsdaten mit einer neuen TAN bestätigen.

Der Vorgang ist streng reguliert und muss durch den Dritten dokumentiert werden. Ein alleiniger Hinweis in den AGBs ist nicht gestattet. Durch die notwendige TAN ist die Zustimmung nicht manipulierbar.

Solange die "PSD2-Schnittstelle" noch nicht zur Verfügung steht, wird für die Abfrage von Kontodaten die FinTS-Schnittstelle genutzt. Hierfür fragen die Drittanbieter*innen bei den Kunden*innen die Zugangsdaten zum Konto ab. Damit „sieht“ der/die externe Dienstleister*in alle Daten, die auch ein*e Kontoinhaber*in in seinem/ihrem Onlinebanking sieht.

Mehr zu PSD2 im GLS Bank-Blog

Nach der PSD2 Richtlinie muss für den Zugriff auf die Kontodaten die explizite Zustimmung des Kontoinhabers vorliegen. Diese müssen dafür z. B. Kontonummer und PIN oder Alias und PIN angeben. Widerspruch- oder Sperrmöglichkeiten gibt es bisher nicht.

Kreditkartenkonten sind nicht von der PSD2-Regulierung betroffen, dafür wird es keine Abfragemöglichkeit geben. Bei der Kreditkartenzahlung gibt man die IBAN seines Girokontos nicht an, sondern nur die Kreditkartennummer.

Mehr zu PSD2 im GLS Bank-Blog

Bei Lastschrifteinzug benötigt der/die Händler*in die Daten, um das Mandat zu erstellen und die Lastschrift einziehen zu können. Er/sie benötigt keinen Zugriff auf das Kundenkonto.

Falls die Kontozugangsdaten für den Lastschrifteinzug abgefragt werden, sollte man diese Daten verweigern, da sie nicht erforderlich sind.

Mehr zu PSD2 im GLS Bank-Blog