Zum Inhalt

Webinar: Melden Sie sich jetzt für unser kommendes Webinar an!

Jetzt registrieren

  1. Education Center
    2. Vorschriften, Standards und Compliance

Was ist die Zahlungsdiensterichtlinie 2? 

Geschrieben vonShruti Chandan 20 Minuten
Was ist die Zahlungsdiensterichtlinie 2?
Inhaltsverzeichnis

Die Zahlungsdiensterichtlinie 2, auch „PSD2“ genannt, ist die verbesserte Version der Zahlungsdiensterichtlinie. Es handelt sich um eine Verordnung der Europäischen Union (EU), die den Verbraucherschutz bei elektronischen Zahlungen zum Ziel hat.

Die PSD2 ist eine kundenorientierte Verordnung, die den Kunden mehr Kontrolle darüber gibt, wer auf ihre Finanzinformationen von Drittanbietern zugreifen und diese nutzen kann. Zudem vereinfacht sie Zahlungsprozesse durch strenge Sicherheitsmaßnahmen. Sie ermöglicht ein kundenzentriertes Finanzdienstleistungsmodell durch sichere und nahtlose Zahlungsabwicklung und verändert die Art und Weise, wie wir mit digitalen Finanzdienstleistungen interagieren. 

Was bringt PSD2 in den nächsten 5 Jahren?  

Mit der Einführung der PSD1 wurde ein neues, sicheres und strukturiertes Modell für Zahlungsdienste auf den Markt gebracht. Es befasste sich mit Fragen der Transparenz, dem Schutz der Kunden und den Richtlinien für Zahlungsdienstleister. Es konnte jedoch nicht mit dem rasanten Wachstum digitaler Zahlungen Schritt halten, wie der Digitalisierung von Zahlungsmethoden, dem Aufkommen von Drittanbietern und Sicherheitsbedenken. Hier setzt die PSD2 an, schließt diese Lücken und bereitet den Zahlungssektor auf zukünftige Veränderungen vor. So entwickelt sich die PSD-2 in den nächsten fünf Jahren: 

Stärkerer globaler Einfluss von SCA

PSD2 unterstreicht die weltweite Notwendigkeit einer starken Kundenauthentifizierung (SCA). Diese Verordnung erfordert sichere Zahlungsmittel und die dynamische Verknüpfung von Transaktionsbeträgen mit Authentifizierungsdaten, um die End-to-End-Sicherheit digitaler Zahlungsprozesse zu gewährleisten.

Ausbau des Open Banking  

Da PSD2 Open Banking durch die Förderung der Verwendung von Anwendungsprogrammierschnittstellen (APIs) fördert, ermöglicht es Finanzinstituten und Drittanbietern von Zahlungsdiensten (TPPs), ihre verschiedenen Systeme nahtlos miteinander zu verbinden.

Durch die Verwendung von APIs tauschen Banken ihre spezifischen Daten oder Dienste, einschließlich Kontodaten, Zahlungsauslösungen usw., sicher mit autorisierten Drittparteien (TPPs) aus. Dies führt dazu, dass TPPs ihren Kunden Finanzdienstleistungen anbieten und so Open Banking fördern.

Verstärkte Zusammenarbeit zwischen Banken und TPPs 

PSD2 hebt die bisherigen Beschränkungen für Nichtbanken auf und ermöglicht Drittanbietern (TPPs), Zahlungsauslöse- und Kontozugriffsdienste auch außerhalb der EU anzubieten. Die Richtlinie sieht Mechanismen vor, die eine Brücke zwischen alten und neuen Betriebssystemen schlagen. 

Verbesserter Rahmen für grenzüberschreitende Zahlungen 

Mit der Einführung von PSD2 wird das grenzüberschreitende Zahlungssystem effektiver, da Gebühren, Wechselkurse in Echtzeit und genaue Zeitrahmen für die Transaktionsabwicklung offengelegt werden müssen. Eine Standardisierung der Zahlungsabwicklungsstandards und -protokolle sowie wirksame Datenschutz- und Sicherheitskontrollen fördern die Effizienz grenzüberschreitender Transaktionen und senken gleichzeitig die damit verbundenen Kosten. Dies stärkt den EU-Binnenmarkt und die globale Wettbewerbsfähigkeit.  

Solche Fortschritte ermöglichen eine effektive und effiziente Interaktion zwischen Finanzinstituten und Drittparteien innerhalb der EU. Diese Maßnahmen werden die EU zweifellos zu einem Vorreiter digitaler Finanzinnovationen machen. Darüber hinaus gewährleisten diese Fortschritte eine dynamische Zahlungsstruktur, verstärken die Wirkung von PSD2 und sorgen für einen sichereren, interoperablen und nutzerorientierten Zahlungsbereich für Finanzinstitute und Drittparteien. 

PSD2-Bild

Zwei Kernbereiche der PSD2-Konformität  

Die PSD2-Verordnung legt einen starken Fokus auf zwei wesentliche Bereiche: 

  • Beseitigen Sie Monopole, indem Sie den Wettbewerb auf dem Markt steigern und Innovationen fördern.

  • Sicherung kundensensibler Daten und Ermöglichung sicherer Transaktionen.

Beseitigung des Monopols

PSD2 hat das Finanzökosystem reformiert, indem es faire Chancen bietet und andere Formen der Kreativität fördert und so das Monopol der konventionellen Banken abbaut. Möglich wird dies durch die Aufnahme zweier neuer regulierter Dienste:

Zahlungsauslösedienst (PIS)

Dieser Service ermöglicht die Bezahlung von Waren oder Dienstleistungen ohne die Nutzung einer speziellen Bankanwendung. Dadurch sinkt der Bedarf an herkömmlichen Zahlungsmethoden und Verbraucher erhalten mehr Möglichkeiten. Dies ist ein Open-Banking-Aspekt, bei dem ein Payment Initiation Service Provider (PISP) ​​eine entscheidende Rolle spielt. PIS ermöglicht es dem Verbraucher, über bestimmte PISPs zu bezahlen, d. h. zuvor validierte Drittanbieteranwendungen wickeln die Zahlungen im Namen des Nutzers ab. Dieser Aspekt sorgt für mehr Flexibilität und Benutzerfreundlichkeit. 

Kontoinformationsdienst (AIS)

Dieser Dienst ermöglicht es Drittanbietern, sogenannten Account Information Service Providern (AISPs), Bankkontoinformationen verschiedener Banken zusammenzuführen. So können Nutzer ihre Finanzen zentral verwalten und ihre Ausgabengewohnheiten effektiv verfolgen. Zudem fallen für Kartentransaktionen keine Kosten an, da die Zahlung direkt von ihrem Bankkonto erfolgt.   

Damit diese Dienste in Anspruch genommen werden können, sind Banken gemäß PSD2 dazu verpflichtet, über APIs Zugriff auf einen lizenzierten Drittanbieter von Zahlungsdiensten zu gewähren. Dadurch wird sichergestellt, dass ein Ökosystem entsteht, das nicht nur kundenorientiert ist, sondern auch monopolistische Tendenzen ausschließt.  

Schutz kundensensibler Daten und Ermöglichung sicherer Transaktionen

Die weite Verbreitung digitaler Zahlungsmethoden hat das Finanzökosystem grundlegend verändert und eine bedeutende Entwicklung durchlaufen. Der Schutz sensibler Kundendaten und die Wahrung der Transaktionsintegrität sind jedoch zu einem wichtigen Anliegen geworden. Die PSD2 begegnet diesen Bedrohungen durch Datenschutzverletzungen und Betrug mit der Einführung der starken Kundenauthentifizierung (SCA), die die Benutzerverifizierung verbessert, und der sicheren offenen Kommunikationsstandards (CSC), die übertragene Informationen vor dem Zugriff Unbefugter schützen.  

psd 2 sca

1. Starke Kundenauthentifizierung (SCA)

Die Einführung der starken Kundenauthentifizierung (SCA) ist eine zentrale Maßnahme der PSD2. Sie soll die Sicherheit im Zahlungsverkehr erhöhen und Kundendaten vor unbefugtem Zugriff schützen. SCA verpflichtet alle Online-Dienstleister, die Zahlungen verarbeiten, zur Anwendung Multi-Faktor-Authentifizierung (MFA), was bedeutet, dass ein Benutzer seine Identität mit zwei oder mehr von drei verschiedenen Authentifizierungsfaktoren bestätigen muss. 

  • Der erste Faktor, Wissen, bezieht sich auf etwas, das der Benutzer kennt, wie beispielsweise ein Passwort oder eine persönliche Identifikationsnummer. Dies stellt die erste Barriere für den Zugriff auf Server oder andere kritische Ressourcen dar.

  • Zweitens Besitz bezieht sich auf etwas, das dem Benutzer gehört, wie etwa ein Mobiltelefon oder ein Hardware-Token. Beispielsweise kann ein Benutzer ein Einmalkennwort (OTP) per SMS erhalten oder eine Geräteanwendung verwenden, um einen Authentifizierungscode zu erstellen.

  • Der dritte Faktor, Inhärenzist etwas, das den Benutzer ausmacht, wie biometrische Muster wie Fingerabdrücke, Gesichtszüge oder Stimmerkennung. SCA erzwingt die biometrische Verifizierung, die für jeden einzigartig ist und so eine zusätzliche Sicherheitsebene bietet.

PSD 2 SCA-Anforderungen

Bei elektronischen Bankgeschäften beispielsweise gibt der Benutzer zunächst sein Bankkennwort oder seine PIN ein. Diese dient als „Wissensfaktor“, der ein OTP auslöst, das an das registrierte Mobiltelefon des Benutzers gesendet wird, um den „Besitz“ zu bestätigen. Um zusätzliche Sicherheit zu gewährleisten, kann der Benutzer außerdem aufgefordert werden, sich mittels „Inhärenz“ zu authentifizieren, indem er seinen Fingerabdruck oder seine Gesichtserkennung verwendet. Somit, Schutz des Benutzers im Rahmen des Mehrfachauthentifizierungsprozesses. 

2. Dynamische Verknüpfung

Dynamische Verknüpfung ist eine Funktion der starken Kundenauthentifizierung (SCA), die durch die PSD2 zum Schutz vor Transaktionsbetrug erzwungen wird. Dabei wird ein eindeutiges Authentifizierungstoken erstellt, das im Voraus für eine bestimmte Transaktion generiert wird, beispielsweise für den Betrag und den Zahlungsempfänger. 

  • Netto-Transaktionstoken: Jeder Token wird für eine bestimmte Transaktion ausgegeben und kann nicht für andere Beträge oder Empfänger wiederverwendet werden. Dies verhindert Playback-Angriffe, bei denen Authentifizierungstoken für unrechtmäßige Transaktionen wiederverwendet werden.

  • Manipulationssicher: Jede Änderung von Transaktionsdaten, einschließlich früherer Token, oder der Versuch, eine Transaktion durchzuführen, führt zum Abbruch dieser Transaktion. Somit werden nur beabsichtigte Transaktionen ausgeführt, was die allgemeine Sicherheit erhöht.

3. Sichere offene Kommunikationsstandards (CSC)

Um die Interaktionen zwischen Banken und Drittanbietern (TPPs) nach der Einführung des Drittanbieterzugriffs mit PSD2 zu schützen, werden außerdem Secure Open Communication Standards (CSC) eingeführt, die aus Folgendem bestehen: 

  • Gesicherter Zugang: APIs werden von Banken für Drittanbieter entwickelt und gewährleisten gleichzeitig den Schutz der Kundendaten. Ziel ist es, bisherige Praktiken des Datenzugriffs, wie beispielsweise Screen Scraping, bei dem Bildschirmdaten kopiert werden, zu verbessern. Mithilfe von APIs erfolgt der Datenaustausch geordneter und sicherer, was Sicherheitsrisiken reduziert.

  • Vertraulichkeit und Integrität: Durch die vertrauensvolle Kommunikation zwischen der jeweiligen Bank und den TPPs sollte sichergestellt werden, dass die übertragenen Daten vor Verstößen geschützt bleiben und nur relevante Personen darauf zugreifen können, um ihre Integrität zu wahren.

  • Digitale Zertifikate: Diese Art von Zertifikat stellt sicher, dass nur autorisierte und vertrauenswürdige Personen auf Verbraucherinformationen zugreifen können, und erhöht so die Sicherheit. Beispielsweise erkennt eIDAS-basierte digitale Zertifikate sichern die Identität der an Transaktionen beteiligten Parteien.

Maßgeschneiderte Verschlüsselungsdienste

Wir bewerten, entwickeln Strategien und implementieren Verschlüsselungsstrategien und -lösungen.

Mehr erfahren

Ein umfassender Überblick über PSD1 

2007 wurde die Zahlungsdiensterichtlinie 1 (PSD1) der Europäischen Union eingeführt, um die Zahlungsabwicklung in der EU zu harmonisieren und einen gemeinsamen Markt für Zahlungen zu schaffen. Die Richtlinie trat 2009 in Kraft und definierte Regeln für Zahlungsdienste. Mit der Einführung des einheitlichen Euro-Zahlungsverkehrsraums (SEPA) wurde die Infrastruktur für Bankzahlungen in Europa legalisiert. Diese Infrastruktur, basierend auf internationalen Bankkontonummern und Lastschriften, ermöglichte effektive Zahlungen über europäische Grenzen hinweg. Die Richtlinie öffnete den Markt für neue Zahlungsdienstleister und erleichterte gleichzeitig grenzüberschreitende Geschäfte für Unternehmen in der EU. 

Das Ziel

Die Richtlinie soll alle Zahlungsarten, ob elektronisch oder nicht, im Europäischen Wirtschaftsraum (EWR), bestehend aus der EU, Island, Norwegen und Liechtenstein, abdecken. Sie kommt der europäischen Wirtschaft weltweit zugute, indem sie die Mitgliedstaaten zu einer einheitlichen Wirtschaft integriert, die schnellere Zahlungen innerhalb der Region, mehr Transparenz für Verbraucher und stärkere Rückerstattungsrechte bietet. Durch die gesetzliche Einordnung von Zahlungsdiensten erreicht PSD1 eine noch höhere Konformität mit der Akzeptanz bestimmter Standards durch alle Zahlungsdienstleister und erhöht die Zuverlässigkeit und Sicherheit von Transaktionen in ganz Europa. 

Warum wurde aus PSD1 PSD2?

Die digitale Entwicklung im Zahlungsverkehr veranlasste die Europäische Kommission Ende 2013 zur Aktualisierung der Zahlungsdiensterichtlinie. 2014 wurde daher eine Richtlinie vorgeschlagen, die die bestehenden Rechtstexte um Bestimmungen zum fortgesetzten Verbraucherschutz, zur Verbesserung der Sicherheit und zur Schaffung eines offeneren und wettbewerbsfähigeren Zahlungsmarktes ergänzte. Diese Richtlinie, bekannt als PSD2, wurde 2015 verabschiedet und am 13. Januar 2018 verabschiedet. 

Was sind die wichtigsten Änderungen zwischen PSD2 und PSD1?

Ändern Beschreibung
Verbesserte Sicherheitsvorkehrungen für Online-Transaktionen  PSD2 erhöht die Sicherheit durch Multi-Faktor-Authentifizierung (MFA) und reduziert so die Zahl der Online-Zahlungsbetrügereien.  
Zugriff auf Konten (XS2A)  Bevor sie einem TPP Zugriff auf die Kontodaten eines Kunden gewähren, wird von den Banken erwartet, dass sie die Kunden schützen und auf das System vorbereiten.  
Verbot von ZahlungsaufschlägenFür Kartenzahlungen werden keine zusätzlichen Gebühren erhoben, was die Fairness fördert und die Kundenzufriedenheit erhöht.
Unterstützung für E-Payment-Bestimmungen  Es werden Erläuterungen zu den Ausführungsfristen und Gebühren für Zahlungen bei internationalen Transaktionen durch Nicht-EU-Dienstleister bereitgestellt.     
Erweiterte Verbraucherrechte  Besserer Schutz der Rechte der Benutzer zur Verwaltung ihrer von Dritten gespeicherten Informationen.  
Strengere Vorschriften für TPPs  Strengere Bestimmungen sollen verhindern, dass unbefugte Akteure in den Markt für digitale Zahlungen eintreten, und so das Vertrauen der Verbraucher stärken. 
Open Banking-Anforderungen für Banken  Banken sind verpflichtet, TPPs Zugriff auf ihre System-APIs zu gewähren.     
Transparenz bei Gebühren und Kosten  Ermutigt Benutzer, an Entscheidungsfindungsaktivitäten teilzunehmen, bei denen die Dienste der Zahlungsanbieter involviert sind.  
Technische Regulierungsstandards (RTS)  Zur Verbesserung des Schutzes wurden Sicherheitsmaßnahmen wie die starke Kundenauthentifizierung (SCA), einschließlich Biometrie und OTPs, eingeführt.   
Haftungsbestimmungen  Klärt Verantwortlichkeiten im Zusammenhang mit nicht autorisierten Transaktionen und minimiert Risiken bei rechtzeitiger Meldung.     
Verbesserte grenzüberschreitende Transaktionen  Für grenzüberschreitende Zahlungen innerhalb der EU gilt ein einheitlicher Regulierungsansatz.  

Wo ist PSD2 anwendbar und wer muss die Vorschriften einhalten?  

PSD2 gilt in allen EU-Mitgliedsstaaten und regelt Finanzinstitute, Zahlungsdienstleister und alle anderen an solchen Zahlungssystemen beteiligten Parteien.  

Während sich die Verordnung in erster Linie auf Verbraucher in der EU-Region konzentriert, unterliegt jeder Zahlungsdienstleister, jede Bank oder jedes Finanzinstitut außerhalb der Europäischen Union, das Kunden in der Europäischen Union hat oder Dienstleistungen für Einzelpersonen in der Europäischen Union anbietet, ebenfalls den Bestimmungen der PSD2-Verordnung.  

Wer muss sich daran halten?

Die Einhaltung der PSD2 ist für mehrere Unternehmen im Finanzdienstleistungssektor erforderlich. 

  • Banken, darunter sowohl traditionelle Banken, die Zahlungsdienste oder Konten auf dem europäischen Markt anbieten, als auch Fintech und Neobanken, bei denen es sich um Technologie- oder Digitalbanken sowie andere Nicht-Eintrittsinstitute handelt, die in der Region Zahlungs- oder Kontozugangsdienste anbieten, müssen die Vorschriften einhalten.

  • Drittanbieter, sowie ausländische Anbieter von Zahlungsdienstensind außerhalb der EU gegründete Unternehmen, die EU-Bürgern oder in einigen Fällen auch Einwohnern der EU Zahlungsdienste anbieten und ebenfalls konform sein müssen.

Voraussetzungen: 

1. Implementieren Sie eine starke Kundenauthentifizierung (SCA)

Eine der wesentlichen Anforderungen der überarbeiteten Zahlungsdiensterichtlinie (PSD2) besteht darin, dass Banken für den Fernzugriff auf Kundenkonten und für Online-Zahlungen eine starke Kundenauthentifizierung (SCA) als Sicherheitsmaßnahme durch Zwei-Faktor-Authentifizierung implementieren müssen. Dabei kommen zwei der drei Faktoren zum Tragen: etwas, das der Kunde weiß (Passwort), etwas, das er besitzt (Smartphone oder Token) oder etwas, das er ist (biometrische Daten wie Fingerabdrücke oder Gesichtserkennung).  

2. Sicherheit

Die Sicherheit wird in erster Linie durch APIs gewährleistet, deren Identität über PSD2-Konformitätszertifikate authentifiziert wird. Diese SSL/TLS-Zertifikate Verschlüsseln Sie sensible Daten und authentifizieren Sie Bankinstitute und Drittanbieter von Zahlungsdiensten (PSPs) für vertrauenswürdige Handelstransaktionen auf Websites. Dieser Ansatz zur verbesserten Transaktionssicherheit basiert auf einem Prozess namens „Strong Customer Authentication“ (SCA), einer neuen Anforderung, die spezifische technische Standards wie PSD2-konforme Zertifikate einführt und eine Multi-Faktor-Authentifizierung (MFA) erfordert. 

3. Digitale Zertifikate

Die Regulatory Technical Standards (RTS) definieren die beiden Hauptanforderungen für die Verwendung digitaler Zertifikate. Diese lauten wie folgt: 

 i) Zur Identifizierung von Zahlungsdienstleistern: Artikel 34 von RTS besagt, dass sich Zahlungsdienstleister (PSPs) gegenüber der API des Finanzinstituts identifizieren müssen. Daher verlangt RTS beim Zugriff auf die Kontoinformationen eines Kunden die Verwendung eines qualifizierten Website-Authentifizierungszertifikats (QWAC) oder eines qualifizierten elektronischen Siegelzertifikats (QSealC).  

ii) So wenden Sie eine sichere Verschlüsselung zwischen allen kommunizierenden Parteien an: Artikel 35 von RTS besagt, dass alle kommunizierenden Parteien, wie PSPs, Finanzinstitute usw., mithilfe „starker und allgemein anerkannter Verschlüsselungstechniken“ verschlüsselt werden müssen. 

Die Regulatory Technical Standards (RTS) für die starke Kundenauthentifizierung (SCA) und die gemeinsamen und sicheren offenen Kommunikationsstandards (CSC) spezifizieren zwei Arten digitaler Zertifikate für Finanzinstitute und TPPs zur sicheren Kommunikation, um PSD2-Konformität zu gewährleisten. Diese lauten wie folgt: 

  • Qualifiziertes Website-Authentifizierungszertifikat (QWAC)

    • Diese dienen dem Schutz von Daten in der Peer-to-Peer-Kommunikation und der Identifizierung von Endpunkten wie Banken und Drittanbietern (TPPs). Dies bedeutet, dass alle Daten, die den Kanal passieren, hinsichtlich Authentifizierung, Integrität und Vertraulichkeit geschützt sind. 

    Diese Zertifikatstypen verwenden die in IETF RFC 5246 oder IETF RFC 8446 definierten SSL/TLS-Protokolle, um die Sitzungen zu verschlüsseln und die Daten während der Übertragung zu schützen. 

  • Qualifiziertes Zertifikat für elektronische Siegel (QSealC)

    • Diese werden verwendet, um elektronische Siegel zum Schutz von Daten oder Dokumenten unter Verwendung von Standards wie PAdES, CAdES oder XAdES von ETSI zu erstellen und ihren Ursprung von einer juristischen Person anzugeben. Sie bieten Schutz für bestimmte Datenblöcke im Ruhezustand und während der Übertragung, d. h. End-to-End-Schutz, auch wenn die Daten über einen Vermittler übertragen werden.

    Diese Zertifikate sorgen für Authentifizierung und Vertraulichkeit. 

PSP-Zertifizierungsprozess

Schritt 1:: Der PSP muss sich bei seiner jeweiligen nationalen zuständigen Behörde registrieren.    

Schritt 2: Der PSP wird nun einen qualifizierten Vertrauensdiensteanbieter (QTSP) auffordern, ein qualifiziertes Zertifikat zu erhalten.  

Schritt 3: Der QTSP verwendet das von der zuständigen nationalen Behörde erstellte öffentliche Register zur Validierung des PSP und stellt dem PSP anschließend das QWAC und/oder QSealC aus.  

Schritt 4: Sobald der PSP das qualifizierte Zertifikat erhalten hat, kann er die API(s) des Finanzinstituts nutzen. Diese API(s) gewähren ihm Zugriff auf Kundeninformationen und Zahlungsnetzwerke. Hier kommen QWACs und QSealCs ins Spiel, da sie zur Identifizierung der PSPs und zur Verschlüsselung der Kommunikation zwischen den Parteien dienen.  

Schritt 5: Wenn ein Kunde nun seine Daten einsehen möchte, werden diese sicher vom Finanzinstitut über den PSP an den Endkunden übertragen. 

4. Verbot von Zuschlägen

Gemäß PSD2 ist es Unternehmen wie Fluggesellschaften und Veranstaltern untersagt, zusätzliche Gebühren für die Transaktion zu erheben, die auch als Zuschläge bezeichnet werden. Dies bedeutet, dass PSD2 ein Zuschlagsverbot für Ticketing-, Lebensmittel- und Reisezwecke definiert hat. 

5. Der Reidentifizierungsprozess zum Zurücksetzen der Anmeldeinformationen

Die erneute Identifizierung erfolgt im Zuge der Zurücksetzung der Zugangsdaten. Banken sollten Kunden, die ein Schlüsselelement vergessen oder verlegt haben, dann zu einer erneuten Identifizierung auffordern, bevor sie elektronische Zahlungen und Transaktionen zulassen. Die erneute Identifizierung bedeutet, dass sich der Kunde gegenüber seiner Bank erneut identifizieren muss, indem er den Prozess der starken Kundenidentitätsprüfung (SCeID) zur Überprüfung seiner Identität durchführt. 

PSD2-Ausnahmen verstehen 

PSD2 enthält mehrere Ausnahmen, und die meisten davon betreffen den Zahlungsbetrag:  

  • Wiederkehrende Zahlungen oder Umsätze unter 30 Euro können von der Steuer befreit werden.

  • Auch Transaktionen mit hohem Wert können von der Steuer befreit werden, wenn die Bank durch eine Risikoanalyse nachweisen kann, dass die Transaktion unter einem bestimmten Risikoniveau liegt, beispielsweise:

    • – 100 Euro bei einer Betrugsrate unter 0.13 %.

    – 250 Euro bei einer Betrugsrate unter 0.06 %.

    -500 Euro bei Betrugsraten unter 0.01 %.

Maßgeschneiderte Verschlüsselungsdienste

Wir bewerten, entwickeln Strategien und implementieren Verschlüsselungsstrategien und -lösungen.

Mehr erfahren

Die Vorteile von PSD2   

Für Endbenutzer Für Zahlungsdienstleister 
Verbesserter Zahlungsmechanismus. Erhöhte Kundenbindung.  
Verbesserte Transaktionssicherheit.  Neue Einnahmequellen durch Drittantragsgebühren.  
Bietet verbesserte Sicherheit für die Bankdaten der Kunden.  Verbesserte übergreifende Funktionalität und Benutzererfahrung.  
Vielseitigkeit der Zahlungsmöglichkeiten.  Verbesserter Wettbewerb auf dem Markt.  

Konkrete Auswirkungen der PSD2 auf Verbraucher und Unternehmen 

1. Erhöhte Sicherheit

Die PSD2 bietet Verbrauchern zahlreiche Vorteile, vor allem eine erhöhte Sicherheit. So müssen Verbraucher bei Online-Zahlungen aufgrund der neuen Richtlinie zur starken Kundenauthentifizierung (SCA) ihre Identität durch zwei oder mehr Faktoren nachweisen.  

Wenn Verbraucher beispielsweise im Internet einkaufen, müssen sie zunächst ihr Passwort eingeben. Dies ist der Wissensfaktor. Anschließend erhalten sie einen OTP (Read One Time Passcode). Anschließend bestätigen sie ihre Identität per Fingerabdruck. All diese Maßnahmen dienen der Sicherheit der Transaktion und der Betrugsbekämpfung.  

2. Erweiterung der Zahlungsmethoden

Ein weiterer Vorteil von PSD 2 ist die Zunahme der Zahlungsmethoden. Diese Informationen ermöglichen es Drittanbieter-Zahlungsdiensten, die Zahlungsanforderung über Zahlungsauslösedienste (PISPs) an die Bank des Kunden zu senden. Beispielsweise kann eine Online-Zahlung von einem Bankkonto erfolgen, eine Zahlungsform, die sich von der üblichen Kartenzahlung unterscheidet.  

PSD2 ermöglicht Verbrauchern den Zugriff auf Informationen zu ihren Finanzen über Kontoinformationsdienste verschiedener Anbieter. So können Verbraucher beispielsweise ihre Finanzdaten verschiedener Banken direkt über eine App einsehen, um sich einen klaren Überblick über ihre Finanzen zu verschaffen und fundierte Finanzentscheidungen zu treffen. Dieses Maß an Transparenz und Kontrolle ermöglicht es Verbrauchern, ihre finanzielle Gesundheit mühelos im Blick zu behalten.   

3. Erhöhtes Vertrauen in Unternehmen

Das gesteigerte Kundenvertrauen ist einer der größten Vorteile der PSD2 für Unternehmen. Durch die Einhaltung von Sicherheitsmaßnahmen schützen Unternehmen sensible Daten und Transaktionen ihrer Kunden und stärken so deren Vertrauen. Ein Online-Händler beispielsweise gewährleistet durch die SCA die Sicherheit der Zahlungsinformationen seiner Kunden und erhöht so das Sicherheitsniveau.  

Es ist nicht nur zunehmendem Wettbewerb und Innovation ausgesetzt, sondern beinhaltet auch die Einbindung von Drittanbietern, die mit Zustimmung der Kunden Zugriff auf deren Daten gewähren. Dadurch werden neue Dienstleistungen und Produkte für Unternehmen möglich. So entwickelte beispielsweise ein Fintech-Unternehmen ein Budgetierungstool, das mit dem Bankkonto eines Kunden verknüpft ist und personalisierte Beratung auf Grundlage der Transaktionen des Kundenverlaufs bietet – etwas, das vor PSD2 nicht möglich war.   

4. Effiziente Abläufe in Unternehmen

Die betriebliche Effizienz wird durch API-gestützte, sichere Kommunikation zwischen Banken und Drittanbietern gewährleistet. Ein Unternehmen, das die API einer Bank für Direktzahlungen integriert, kann daher die Zahlungsabwicklungszeiten verkürzen und seinen Kunden ein nahtloseres Erlebnis bieten. 

Schlüssel Herausforderung  

1. Für Unternehmen

Unternehmen stehen bei der Implementierung von PSD2 und der Aufrechterhaltung ihrer Wettbewerbsfähigkeit vor zahlreichen Herausforderungen.  

  • Hohe Kosten für die Einhaltung gesetzlicher Vorschriften

    Die Einhaltung der PSD2-Richtlinie kann kostspielig sein, da die Aktualisierung und Sicherung der Datensysteme für Unternehmen, insbesondere kleinere Unternehmen, eine enorme Ressourcenbelastung darstellt. Traditionelle Banken müssen mit agilen Fintech-Unternehmen konkurrieren. Andernfalls verlieren sie zwangsläufig Kunden.

  • Integration von Systemen

    Da Unternehmen Dienste von Drittanbietern installieren, ohne den laufenden Betrieb zu unterbrechen, besteht immer das Risiko schwerwiegender Sicherheitsverletzungen. Daher müssen sich Unternehmen auf die Sicherheit der Kundendaten konzentrieren und sicherstellen, dass Drittanbieter die strengsten Sicherheitsmaßnahmen einhalten.

  • Verbraucheraufklärung

    Die Gründe für die zusätzlichen Authentifizierungsschritte und die möglicherweise verwendeten neuen Finanzanwendungen sollten den Kunden klar dargelegt werden. Außerdem sollten sie angemessen unterstützt und nicht erst in diese Umgebung eingeführt werden, um das Vertrauen in die PSD2-Richtlinie zu stärken.

2. Sicherheitsherausforderungen

Die PSD2 zielt darauf ab, Innovationen zu fördern und Zahlungsdienste in ganz Europa zu verbessern. Sie vereinfacht zwar das Bank- und Zahlungsökosystem, bringt aber auch einige Sicherheitsherausforderungen mit sich.  

  • Risiken von Cyberangriffen

    PSD2 ermöglicht Drittanbietern den Zugriff auf Bank-APIs und Kundenkontodaten mit deren Zustimmung. Dies stellt einen erheblichen Innovationsschub dar, lenkt aber auch die Aufmerksamkeit von Cyberkriminellen auf diese Konten. Denn es entstehen mehrere Angriffspunkte, über die ein Angreifer nur einen davon ausnutzen kann, um Zugriff auf hochsensible Finanzdaten zu erhalten und einen Verstoß zu verursachen.

    Dies liegt daran, dass die Richtlinie die Zusammenarbeit zwischen Banken und Drittanbietern besonders betont, was zu einem großen Datenaustausch führt. Je mehr sensible Zahlungs- und persönliche Daten auf mehrere Unternehmen verteilt werden, desto größer ist das Risiko eines Missbrauchs durch eines der Unternehmen. Dies führt zu Datenlecks und Fehlern aufgrund von Fehlverarbeitung aufgrund inkonsistenter Sicherheitsmaßnahmen.

  • Komplexe Transaktionsüberwachung

    Die Überwachung von Transaktionen ist erforderlich, um einen Rahmen zur Bekämpfung der Geldwäsche (AML) zu schaffen. Mit PSD2 wird dies jedoch komplexer, da Finanzdaten auf viele Beteiligte verteilt werden. Diese fragmentierten Daten erschweren die Gewährleistung der Compliance überall und schaffen Schlupflöcher für Betrug im System, da es schwieriger wird, verdächtige Transaktionen unter Einhaltung der Vorschriften aller Beteiligten zu verfolgen.

Daher besteht ein klarer Bedarf an wirksamen Maßnahmen wie einer starken Benutzerauthentifizierung, Datenverschlüsselung und kontinuierlichen Überwachung, um die Sicherheitsherausforderungen von PSD2 und Open Banking zu lösen. 

Fazit   

Die Zahlungsdiensterichtlinie (PSD2) revolutioniert die europäische Finanzdienstleistungslandschaft. Sie berücksichtigt Aspekte wie Sicherheit, Wettbewerb und Kundenrechte und macht Verbraucher zu den wichtigsten Stakeholdern ihrer Daten. Die meisten Änderungen betreffen bestehende Einheiten wie Banken und Fintech-Unternehmen sowie allgemeine Prozesse, beispielsweise das Verbraucherverhalten. Dies trägt zu einer sichereren und besseren Bereitstellung von Finanzdienstleistungen für Verbraucher bei. 

Entdecken

Weitere Themen