PSD2

Einheitliche Standards für die Sicherheit elektronischer Zahlungen

Zahlungsverkehr: Das gilt es zu beachten

Am 14. September 2019 wurde die sogenannte "zweite Stufe" der Umsetzung der "Zweiten EU-Zahlungsdiensterichtlinie (PSD2)" wirksam. Ziel ist die Schaffung einheitlicher Standards für die Sicherheit elektronischer Zahlungen sowie die Verbesserung des Verbraucherschutzes im Europäischen Wirtschaftsraum. Informieren Sie sich hier, was jetzt zu beachten ist.

Hinweis: Die nachstehenden PSD2-Informationen beziehen sich auf den Zahlungsverkehr unserer Firmenkunden. PSD2-Informationen für Privatkunden zu den Bereichen Online-Banking, VR-BankingApp, Online-Shopping mit Kreditkarte und Drittanbieter-Kontozugriff finden Sie hier.

Das müssen Sie tun

Für Nutzer von Zahlungsverkehrsprogrammen der Volksbank Kassel Göttingen eG

Sind Sie Nutzer von VR-NetWorld Software 7, Profi cash 11 oder GENO cash 4? Dann sind Sie gerüstet.

  • In der aktuellen Version unterstützen diese Banking-Software-Lösungen die Anforderungen von PSD2 bereits vollständig.

Tipp: Prüfen Sie ggf. noch innerhalb der Software, ob ein Online-Update verfügbar ist.

Für Nutzer von Fremdsoftware
  • Bitte prüfen Sie, ob Sie die aktuellste Version der jeweiligen Fremdsoftware nutzen und führen Sie ggf. ein Update durch.
  • Bei Fragen oder Supportbedarf kontaktieren Sie die entsprechende Programm-Hotline des jeweiligen Herstellers – dieser kann Ihnen auch die reibungslose PSD2-Unterstützung bestätigen.

Die Volksbank Kassel Göttingen eG kann keinen technischen Support für Fremdsoftware leisten.

Für Nutzer eines Service-Rechenzentrums des Steuerberaters (z. B. DATEV, EFIS)
  • Informieren Sie sich bitte bei Ihrem Steuerberater oder dem Dienstleister, ob sich für Sie Anpassungsbedarf hinsichtlich PSD2-Unterstützung ergibt.
  • Beachten Sie dabei bitte, dass es bei der zukünftigen Verwendung eines Zugangsweges über einen Drittanbieter über eine sogenannte API-Schnittstelle zu Einschränkungen bei den unterstützten Auftragsarten kommen kann. So ist z. B. die Einreichung von Lastschriften hierüber nicht möglich.
Für Betreiber von Online-Shops
  • Für Online-Shop-Betreiber, die Kreditkarten als Zahlungsart anbieten, wird die Anwendung des Sicherheitsverfahrens 3D-Secure Pflicht.
  • Sollten Sie diese Methode noch nicht in Ihren Shop integriert haben, treten Sie bitte zur Einrichtung mit Ihrem Payment-Service-Provider in Kontakt.

Unser Tipp:

Integrieren Sie unsere Software "VR pay eCommerce" in Ihren Shop. Damit sind Sie perfekt gerüstet für PSD2 und bieten Ihren Kunden das Bezahlen per Kreditkarte, paydirekt, SEPA-Lastschrift, giropay, SOFORT Überweisung, PayPal und bald noch mehr an. Gern beraten wir Sie ausführlich.

>> Mehr Infos zu VR pay eCommerce

Häufige Fragen rund um die neuen Regelungen zur PSD2

Was bedeutet PSD2?

Am 13. Januar 2018 sind aufgrund europäischer Vorgaben mit der "Payment Services Directive2" (PSD2) bzw. dem "Gesetz zur Umsetzung der zweiten Zahlungsdiensterichtlinie" neue gesetzliche Bestimmungen für die Erbringung von Zahlungsdiensten in Kraft getreten. Kontoführende Zahlungsdienstleister, zu denen auch die Volksbanken und Raiffeisenbanken zählen, müssen ab dem 14. September 2019 Drittanbietern einen Zugang zu den Konten ihrer Kunden zur Verfügung stellen – vorausgesetzt, die Kunden haben ihnen dafür eine Erlaubnis erteilt. Zuvor waren die Daten der Bankkunden durch das Bankgeheimnis grundsätzlich geschützt. Jetzt kann der Kunde aber im Sinne seiner eigenen Daten-Souveränität selbst entscheiden, ob er die Daten bzw. seine PIN an Drittdienste weitergeben möchte. Ihre Erlaubnis vorausgesetzt, erfolgt dann der Zugriff dieser Drittdienste über eine technische Schnittstelle Ihrer Volksbank Kassel Göttingen eG. Mit dieser Schnittstelle werden natürlich die hohen Sicherheitsstandards weiterhin gewahrt.

Kann ein Drittanbieter, also zum Beispiel ein Zahlungsauslösedienst oder ein Kontoinformationsdienst, ohne meine Zustimmung auf meine Konten zugreifen?

Nein, ein Drittanbieter kann grundsätzlich nur mit Ihrer vorherigen Zustimmung auf Ihre Kontodaten zugreifen. In unserem Online-Banking steht Ihnen eine entsprechende Zugriffsverwaltung zur Verfügung, mit der Sie beispielsweise auch Drittanbietern Zugriffsberechtigungen wieder entziehen können.

Was bedeutet "2-Faktor-Authentifizierung"?

Mit der PSD2 werden die Anforderungen an die Authentifizierung der Kunden bei Zahlungen verschärft. Authentifizierung bedeutet, dass nicht nur Sie als Auftraggeber identifiziert werden, sondern dass auch die inhaltliche Richtigkeit Ihrer Willenserklärung geprüft wird. 2-Faktor-Authentifizierung bzw. starke Kundenauthentifizierung bedeutet, dass Sie sich mit zwei von drei möglichen Faktoren "ausweisen" müssen:

  • "Wissenselemente": etwas, das nur Sie wissen, wie zum Beispiel eine PIN,
  • "Besitzelemente": etwas, das nur Sie besitzen, wie zum Beispiel Ihre girocard (Debitkarte) mit TAN-Generator oder ein Mobiltelefon, an das eine TAN übermittelt wird, oder
  • ein "Seinselement" ("Inhärenz"), also etwas, das nur Sie sind, wie zum Beispiel Ihr Fingerabdruck als biometrisches Merkmal.
Warum muss ich beim Login im Online-Banking seit dem 14. September 2019 nicht zusätzlich eine TAN eingeben?

Die PSD 2 erlaubt der Bank, Ausnahmenregelungen von der starken Kundenauthentifizierung zuzulassen. In diesen Fällen müssen Sie die TAN zur starken Kundenauthentifizierung nur alle 90 Tage eingeben. Ihre Volksbank Kassel Göttingen eG nutzt diese Ausnahmeregelung. Sie werden das erst wieder Mitte Dezember 2019 beim Login im Online-Banking dazu aufgefordert, sich mit Ihrem VR-NetKey bzw. Ihrer VR-Kennung und Ihrem Kennwort bzw. Ihrer PIN sowie einer TAN zu legitimieren.

Warum sehe ich in der Zugriffsverwaltung im Online-Banking nicht, welche Drittanbieter ich berechtigt habe, Zahlungen auszulösen oder Kontoinformationen von Zahlungsverkehrskonten abzurufen?

Drittanbieter nutzen eine sogenannte Schnittstelle, um auf Ihr Konto zuzugreifen. Aktuell nutzen viele dafür die technische Lösung FinTS oder Web-Banking. Beide Lösungen sind übergangsweise erlaubt, dürfen aber mittelfristig nicht mehr verwendet werden. Sie werden durch eine neue technische Lösung mit dem Namen XS2A ersetzt. Das hat die deutsche Bankenaufsicht so festgelegt. Die Zugriffsverwaltung im Online-Banking ist bereits auf XS2A ausgerichtet. Wenn ein Drittanbieter also XS2A nutzt, sehen Sie dessen Zugriffe auf Ihr Konto auch in der Zugriffsverwaltung. Wenn ein Drittanbieter FinTS oder Web-Banking verwendet, sehen Sie dessen Zugriffe nicht in der Zugriffsverwaltung.

Häufige Fragen zur VR-BankingApp & PSD2

Warum steht der Finanzmanager in der VR-BankingApp nicht mehr zur Verfügung?

Mit der Veröffentlichung der neuen Version der VR-BankingApp voraussichtlich im August 2019 steht der Finanzmanager in der App nicht mehr zur Verfügung. Der Grund dafür: Im Finanzmanager werden die Umsätze immer 13 Monate rückwirkend angezeigt. Folglich müsste bei jedem Abruf eine TAN abgefragt werden. Dies ist für Smartphone-Nutzer nicht praktikabel. Der Zugriff auf den Finanzmanager ist aber weiterhin im Online-Banking möglich.

Was bedeutet "Gerätebindung" und warum sollte ich diese herstellen?

Die Regelungen der PSD2 sehen vor, dass Sie beim Login in die VR-BankingApp – analog zum Online-Banking über PC/Laptop – grundsätzlich alle 90 Tage zusätzlich eine TAN eingeben müssen. Der Gesetzgeber sieht jedoch eine Ausnahme vor: Liegt eine Gerätebindung zwischen Ihrer VR-BankingApp und Ihrem Smartphone/Tablet vor, entfällt die TAN-Eingabe beim Login. Die Gerätebindung ist ein technischer Vorgang, beim dem eine eindeutige Verknüpfung zwischen Ihrem Endgerät und der App hergestellt wird.

Wie stelle ich die Gerätebindung her?

Die Gerätebindung können Sie auf zwei Arten herstellen:

1. Durch Registrierung der Funktion "Kwitt" in der VR-BankingApp
Bei der Registrierung zu Kwitt wird automatische eine Gerätebindung erzeugt. Sie finden diese Funktion in der Menüleiste unter dem Punkt  "Aufträge".

2. Über die Funktion "Gerät registrieren"
Diese Funktion wird mit der App-Version 19.15 unter dem Punkt "Einstellungen" zu finden sein. Das Update auf diese Version steht in Ihrem Apple App Store bzw. Google Play Store bereit.

Mit der Version 19.15 erhalten Sie außerdem beim Öffnen der VR-BankingApp immer einen Hinweis auf die Gerätebindung, sofern Sie diese noch nicht hergestellt haben.

Was passiert mit der Gerätebindung, wenn ich mein Smartphone/Tablet wechsle?

Wenn Sie die VR-BankingApp auf einem neuen Endgerät installieren, muss die Gerätebindung erneut hergestellt werden. Das Vorgehen bleibt dabei wie zuvor beschrieben.

Woran erkenne ich, ob mein Smartphone/Tablet bereits eine Gerätebindung aufweist?

Wenn eine Gerätebindung vorliegt bzw. Sie die Gerätebindung gerade hergestellt haben, sehen Sie im Impressum eine App-ID. Zudem ist die Funktion "Gerät registrieren" in den Einstellungen nicht mehr vorhanden.

Ansicht der App-ID bei vorhandener Gerätebindung
Beispielhafte Darstellung der App-ID im Impressum bei vorhandener Gerätebindung.
Ich verwalte mehrere Bankverbindungen in der VR-BankingApp. Was muss ich beachten?

Die oben auf der Seite beschriebenen Änderungen und Ausnahmeregeln gelten ausschließlich für die erste Bankverbindung in der App. Wenn Sie weitere Bankverbindungen in der VR-BankingApp hinzugefügt haben – egal, ob Volksbank Kassel Göttingen eG oder ein anderes Institut – gelten diese nicht. Konkret heißt das für Sie:

Eine von Ihnen hergestellte Gerätebindung gilt nur für die erste Bankverbindung, nicht jedoch für weitere. Das bedeutet, dass Sie beim Aufruf der Zweitbank-Verbindung sowie beim Abruf von Umsatzdaten zur Zweitbank-Verbindung unter Umständen eine TAN eingeben müssen. Ob und wann diese abgefragt wird, hängt von den Vorgaben bzw. Einstellungen der "Drittbank" ab.

Hinweis zum "Kontorundruf":
Beim ersten Einrichten sowie in den Einstellungen der VR-BankingApp können Sie ab App-Version 19.15 für jede Bankverbindung den Kontorundruf konfigurieren. Er sorgt dafür, dass nach dem Login in der VR-BankingApp alle Daten automatisch aktualisiert werden. Je nach Einstellung der Zweitbank-Verbindung kann es dort an verschiedenen Stellen zu TAN-Abfragen kommen. Das können durchaus mehrere TAN-Abfragen hintereinander sein (z.B. bei Anmeldung, Salden- und Umsatzaktualisierung). Sollten Sie zu viele TAN-Eingaben stören, können Sie den Kontorundruf deaktivieren.

Gern beraten wir Sie zur Abwicklung des ganzheitlichen Zahlungsverkehrs

Annette Böhle
Carina Engelhard
Imke Janitzek
Bettina Lenhart
Carina Engelhard
Thorsten Schäfer
Matthias Schaller