PSD2 beim Banking und Shoppen: So funktioniert’s und das müsst ihr tun!

Marco Kratzenberg

PSD2, die „zweite Zahlungsdiensterichtlinie“ der EU, soll dem Verbraucher mehr Sicherheit und den teilnehmenden Diensten und Banken bessere Wettbewerbsbedingungen bringen. Doch erst bedeutet sie für den Verbraucher Verwirrung und mehr Aufwand. GIGA erklärt, was ihr jetzt tun müsst und wie euch PSD2 betrifft.

PSD2 verlangt von euch mehr Aufwand beim Online-Shopping und beim Zugang zu euren Bankkonten. Gleichzeitig verpflichtet es die Banken, für Dienstleister Schnittstellen bereitzustellen, damit sie auf euer Konto zugreifen können. Wenn ihr euch also wundert, dass eure Online-Bank demnächst außer dem Benutzernamen und einer PIN auch noch eine aktuelle TAN verlangt, wird es Zeit, aktiv zu werden.

Die Deutsche Bundesbank erklärt die Änderungen durch PSD2 in einem kleinen Video:

Deutsche Bundesbank - Änderungen beim Online-Banking.

Das bedeutet PSD2 für den Bankkunden

Für Kunden von Banken und Sparkassen bedeutet PSD2 in erster Linie eine weitere Ebene der Absicherung durch eine TAN-Nummer, die für jede Bezahlung und gelegentlich auch für Konto-Logins aktuell generiert wird.  Und auch da bezieht sich das Ganze auf Kreditkarten und nicht auf Debitkarten – die sogenannte „EC-Karte“.

Wenn ihr also etwas in einem Onlineshop kauft und dort mit der Kreditkarte eurer Bank bezahlen wollt, dann muss die Shop-Software zur Abwicklung eine TAN verlangen. Dafür braucht man dann eine App, die auf die jeweilige Karte zugeschnitten ist. Bei VISA-Karten heißt das Verfahren dann Visa Secure, bei der Mastercard nennt es sich Mastercard Identity Check. Für die Verfahren muss man sich bei seiner Bank oder Sparkasse registrieren.

Eine TAN muss theoretisch auch bei jedem Login ins Bankkonto eingegeben werden. Allerdings hat die Bank die Möglichkeit, darauf zu verzichten. So reicht etwa die einmalige Eingabe einer TAN aus, um die nächsten 90 Tage darauf zu verzichten – dann wird aber wieder eine TAN nötig.

Alternativ kann eure Bank eine PIN oder die Bestätigung durch euren Fingerabdruck verlangen. Das ist zum Beispiel bei Banking-Apps häufig so, in denen Benutzername und PIN bereits gespeichert wurden und die erst Daten anzeigen, wenn man sie mit dem Fingerabdruck entsperrt.

PSD2 regelt den Zugriff anderer Dienstleister auf eure Kontodaten

PSD2 sorgt auch dafür, dass die Banken nicht mehr das Monopol auf eure Bankdaten haben. Sie müssen auch anderen Dienstleistern den Zugang zu diesen Daten erlauben.

Das bedeutet aber nun nicht, dass zum Beispiel irgendwelche Schufa-ähnlichen Unternehmen nachgucken dürfen, welche Einnahmen und Ausgaben ihr habt, wie oft das Konto überzogen ist und ob ihr spart. Diese Dienstleister müssen ein Zulassungsverfahren bei der Bankenaufsichtsbehörde durchlaufen und benötigen außerdem eure eindeutige Genehmigung zum Kontenzugriff.

Dadurch haben nun Zahlungsdienstleister wie beispielsweise „Sofortüberweisung“ das Recht, in eurem Auftrage eine Bezahlung abzuwickeln. Dazu müsst ihr eure Login-Daten diesem Dienstleister geben und der loggt sich in euer Konto ein, um Geld von eurem auf das Konto des Händlers zu überweisen.

Ihr könntet das zwar auch selbst erledigen, aber diese Anbieter haben eben den Service, beiden Teilnehmern der Transaktion die Zahlung zu bestätigen, wodurch die Abwicklung des Kaufs beschleunigt wird. Wenn der Shop mitgeteilt bekommt, dass das Geld gesendet wurde, kann sofort der Versand der Ware angestoßen werden.

Aber der Wegfall dieses Monopols bedeutet auch etwas anderes:

Ihr könnt nun eure verschiedenen Konten in einem „Konto-Manager“ verwalten, der nicht zu eurer Bank gehört. Diese Programme oder Webseiten können nun all eure Kontobewegungen verwalten, euch Tipps und Analysen geben und sogar Daueraufträge ausführen.

In dem Fall müssen die dahinterstehenden Unternehmen die Sicherheit eurer Daten garantieren. Doch man sollte sich genau ansehen, wer im Schadensfall haftet. Bei Banken ist das klar gesetzlich geregelt.

Hinweis:

Was bereits in der ersten Durchführung der Richtlinie festgelegt wurde, ist die Befreiung von Sondergebühren: Händler dürfen von euch keine Sonder-Gebühren mehr verlangen, wenn ihr „unliebsame“ Zahlungsmethoden wählt.

Was sich beim Online-Shopping ändert

Die zweite Zahlungsdiensterichtlinie PSD2 gilt ab dem 14. September 2019 für alle Online-Zahlungen, bei der eine Kreditkarte eingesetzt wird. Zahlungsdienstleister wie zum Beispiel PayPal könnt ihr weiter wie gewohnt nutzen. Nur wenn ihr als Zahlungsmöglichkeit eine Kreditkarte wählt und dann die Daten eurer Karte eingebt, benötigt ihr zur endgültigen Bezahlung eine 2-Faktor-Authentifizierung.

Dazu wird dann beispielsweise ein TAN nötig, die in einer Identifizierungs-App zu eurer Kreditkarte erzeugt wird. Die muss zusätzlich zu den bisherigen Kreditkartendaten wie der Nummer, dem Ablaufdatum und dem Sicherheitscode auf der Rückseite eingegeben werden.

Das muss ein Bankkunde jetzt tun, um PSD2 nutzen zu können

Die TAN-Liste auf Papier ist Geschichte und nicht länger zulässig. Es gibt drei verschiedene Möglichkeiten, wie ihr an eine TAN kommen könnt:

chipTAN Für die chipTAN bekommt ihr einen kleinen TAN-Generator von eurer Bank zur Verfügung gestellt. In den lassen sich Karten mit einem Chip einschieben und dann gültige TAN-Nummern erzeugen. Die werden ins Formular eingetragen und dann kann die Überweisung erfolgen.

Hier gibt es drei Techniken zur TAN-Erzeugung:

Manuell: ihr tippt die Daten ein und es wird eine TAN generiert.

Optisch: Ein flackerndes Bild muss gelesen werden und stößt die TAN-Erzeugung an. Diese Methode gilt als die sicherste.

QR: Dabei muss ein individuell erzeugter QR-Code eingelesen werden, der dann die TAN generiert.

smsTAN Das smsTAN-Verfahren setzt ein Gerät voraus, auf dem man SMS empfangen kann – also etwa ein Handy. Nachteil: Man darf die Bankgeschäfte nicht auf dem gleichen Gerät machen, auf dem die SMS eingeht!

smsTAN wurden von einigen Bankinstituten aber bereits abgeschafft, da sie als unsicher gelten.

pushTAN Für eine pushTAN braucht ihr eine entsprechende App eurer Bank. Jede Bank hat da ihre eigene Spezial-App. Die App ist eng mit dem Konto verzahnt und sobald ihr sie aufruft, zeigt sie schon die Daten der soeben abgeschickten Überweisung zur Überprüfung auf dem Display. Es wird eine TAN angezeigt, die ins Überweisungsformular zu übertragen ist.

Jedes der drei Verfahren ist möglich und gültig. Wenn ihr also zum Beispiel bereits einen TAN-Generator habt der nach dem Einstecken der Karte eine TAN erzeugt, braucht ihr die anderen Verfahren nicht.

Wichtig: Diese Möglichkeiten der TAN-Generierung beziehen sich alle nur auf normale Überweisungen in eurem Online-Bankkonto. Für Bezahlungen mit der Kreditkarte benötigt ihr eine App, die eure Identität bestätigt. Das wiederum erfordert die Nutzung eines vorher vereinbarten Merkmals. Das können euer Fingerabdruck oder Face-ID sein, aber auch eine PIN oder Passwort.

Das sollte bereits für alle Onlineshops gelten, aber wie sich gezeigt hat, sind europaweit speziell kleinere Händler darauf noch gar nicht vorbereitet. Also hat die Bankenaufsicht eine Übergangsfrist eingeräumt. Die ist aber nicht einheitlich, sondern von Land zu Land unterschiedlich. Für Deutschland wird der Termin für diese Frist nach weiteren Untersuchungen erst noch festgelegt.
Bilderstrecke starten(5 Bilder)
Die 5 besten PayPal-Alternativen in Stichpunkten

PSD2-Probleme, auf die ihr achten solltet

Zum einen ist da das bereits erwähnte Problem, dass viele Shops noch gar nicht in der Lage sind, den technischen Anforderungen für die zweite Zahlungsdiensterichtlinie nachzukommen. Aber es gibt auch ein Sicherheitsproblem, das dadurch entsteht, dass es sicherer werden soll:

Experten raten dringend, für das Banking und die TAN-Generierung zwei unterschiedliche Geräte zu verwenden. Es scheint so praktisch, dass man nun die Banking-App und die App zur Erzeugung der TAN auf dem Handy oder Tablet greifbar hat, aber für einen Dieb bedeutet das nur, dass er einen guten Griff gemacht hat. Zwar sollte in so einem Fall jede App durch einen Fingerabdruck oder Face-ID geschützt sein – aber das macht eben nicht jeder. Und durch Phishing-Mails zur angeblichen Konto-Prüfung kommen die Gauner gleich noch an eure Zugangsdaten.

Hat dir dieser Artikel gefallen? Schreib es uns in die Kommentare oder teile den Artikel. Wir freuen uns auf deine Meinung - und natürlich darfst du uns gerne auf Facebook oder Twitter folgen.

Zu den Kommentaren

Kommentare zu diesem Artikel

* Werbung