PSD2

Einheitliche Standards für die Sicherheit elektronischer Zahlungen

Neue Regeln beim Online-Banking und Shoppen im Internet

Am 14. September 2019 wurde die sogenannte "zweite Stufe" der Umsetzung der "Zweiten EU-Zahlungsdiensterichtlinie (PSD2)" wirksam. Ziel ist die Schaffung einheitlicher Standards für die Sicherheit elektronischer Zahlungen sowie die Verbesserung des Verbraucherschutzes im Europäischen Wirtschaftsraum. Damit werden das Online-Banking, die VR-BankingApp sowie das Online-Shopping mit Kreditkarte noch sicherer. Außerdem wird jetzt dritten Zahlungsdienstleistern die Möglichkeit gegeben, Ihnen neue Services anzubieten. Verschaffen Sie sich hier einen Überblick über die wesentlichen Neuerungen.

Das ändert sich für Sie

Änderungen Online-Banking

1. TAN-Eingabe beim Login zum Online-Banking

Wenn Sie sich im Online-Banking oder in der VR-BankingApp einloggen, geben Sie in Zukunft neben Ihren gewohnten Anmeldedaten (VR-NetKey/Alias und PIN) spätestens alle 90 Tage eine TAN ein.

2. TAN-Eingabe bei Umsatzabfrage und beim Aufruf des Finanzmanagers

Wenn Sie Umsätze abrufen, die mehr als 90 Tage zurückliegen, werden Sie jetzt gemäß den neuen Regelungen aufgefordert, eine TAN einzugeben.

Der Finanzmanager im Online-Banking zeigt Ihnen die Umsätze der letzten 13 Monate an. Aus diesem Grund wird beim Aufruf des Finanzmanagers im Online-Banking immer eine TAN abgefragt.

3. Automatische Abmeldung aus dem Online-Banking

Bisher wurden Sie aus Sicherheitsgründen nach 15 Minuten Inaktivität automatisch aus dem Online-Banking ausgeloggt. Jetzt findet der automatische Logout bereits nach 5 Minuten Inaktivität statt.

Änderungen VR-BankingApp

Die folgenden Änderungen gelten nur für die erste in der VR-BankingApp hinterlegte Bankverbindung. Kunden, die mehrere Bankverbindungen in der App verwalten bzw. hinzugefügt haben, beachten bitte die Informationen in unserer FAQ "Ich verwalte mehrere Bankverbindungen in der VR-BankingApp. Was muss ich beachten?"  

1. TAN-Eingabe beim Login in die VR-BankingApp

Auch in der VR-BankingApp müssen Sie jetzt grundsätzlich alle 90 Tage zusätzlich eine TAN beim Login eingeben.

Ausnahme: Die TAN-Eingabe beim Login in die VR-BankingApp entfällt, wenn ...

  • ... Sie für die Funktion "Kwitt" in der VR-BankingApp registriert sind.
  • ... eine sogenannte Gerätebindung1 zwischen der VR-BankingApp und Ihrem Gerät (Smartphone/Tablet) hergestellt wird. Diese Gerätebindung können Sie ab der App-Version 19.15 in den Einstellungen der VR-BankingApp einrichten (bitte prüfen Sie Ihre Version und updaten Sie ggf.). Mit der neuen Version wird Ihnen bei jedem Start der App ein Hinweis zur Einrichtung der Gerätebindung angezeigt.

  

2. TAN-Eingabe bei der Umsatzabfrage in der VR-BankingApp

Für die VR-BankingApp gilt analog zum Online-Banking: Werden Umsätze abgerufen, die älter als 90 Tage sind, wird eine TAN abgefragt.

Ausnahmeregel: Die TAN-Eingabe beim Umsatzabruf entfällt, wenn Sie sich für KWITT registriert oder eine Gerätebindung1 vorgenommen haben.

Der Finanzmanager wird mit dem nächsten Update vorerst aus der VR-BankingApp entfernt und ist nur noch über das Online-Banking aufrufbar.

Unser Tipp:

Registrieren Sie sich bei Kwitt oder nehmen Sie die Gerätebindung1 vor – so sind der Login und der Umsatzabruf in der VR-BankingApp weiterhin ohne TAN möglich.

1 Die Gerätebindung ist ein technischer Vorgang, bei dem eine eindeutige, systemische Verknüpfung zwischen der Hardware (also Ihrem Smartphone/Tablet) und der Software (also Ihrer VR-BankingApp) hergestellt wird.

Online-Shopping mit Kreditkarten

Änderung beim Online-Shopping mit Kreditkarte

Um Online-Einkäufe mit Ihrer Kreditkarte noch sicherer zu gestalten, wird seit 14. September die Eingabe einer TAN verpflichtend. Bisher reichte bei vielen Händlern die Angabe der dreistelligen Kreditkarten-Prüfziffer zum Abschluss des Online-Einkaufs aus.
Die TAN wird mit Hilfe der Sicherheitsverfahren Mastercard® Identity Check™ (für Inhaber von Mastercard®-Kreditkarten) bzw. Verified by Visa (für Inhaber von Visa-Kreditkarten) erzeugt. Die folgenden Links bieten Ihnen mehr Informationen über die beiden Verfahren und den Ablauf der Registrierung.

Drittanbieter-Zugriffsverwaltung im Online-Banking

Drittanbieter als Zahlungsdienstleister

Ein Zahlungsauslösedienst (ZAD oder auch Payment Initiation Service Provider (PISP)) ist ein Dienst, der – Ihre Einwilligung vorausgesetzt – einen Zahlungsauftrag wie zum Beispiel eine Überweisung auf ein bei einem anderen Zahlungsdienstleister geführtes Zahlungskonto auslöst. Die Zahlung wird aber nur ausgeführt, wenn Sie dies zuvor erlaubt und mit einer Zwei-Faktor-Authentifizierung abgeschlossen haben. Diese Zahlungsauslösedienstleister müssen künftig von der nationalen Finanzaufsicht zugelassen und beaufsichtigt werden.

Drittanbieter als Kontoinformationsdienstleister

Ein Kontoinformationsdienst (KID oder auch Account Information Service Provider (AISP)) ist ein Online-Dienst zur Mitteilung konsolidierter Informationen über Zahlungskonten, die Sie entweder bei einem anderen Zahlungsdienstleister bzw. einer anderen Bank oder bei mehreren Zahlungsdienstleistern bzw. mehreren Banken haben. Dieser gibt Ihnen in der Regel anhand Ihrer Kontodaten einen Überblick über Ihre aktuelle finanzielle Situation. Dafür darf er bis zu vier Mal am Tag Informationen von Ihrem Konto wie zum Beispiel Salden oder Umsätze abrufen, ohne dass Sie nochmals aktiv zustimmen. Diese Drittdienstleister müssen sich künftig bei der nationalen Finanzaufsicht registrieren.

Drittanbieter als Kartenausgebende Zahlungsdienstleister

Mit Ihrer girocard (Debitkarte) und Kreditkarte verfügen Sie bereits über Zahlungsmittel mit Zugriff auf Ihr Konto. Zukünftig werden Sie auch neue Angebote von Zahlungskarten erhalten, beispielweise von Transportunternehmen wie der Deutschen Bahn, Fluggesellschaften oder Einzelhandelsketten. Wenn Sie dann mit diesen Zahlungskarten bezahlen, kann der kartenausgebende Zahlungsdienstleister die Verfügbarkeit des Kaufbetrages bei Ihrer VR-NetWorld GmbH anfragen. Der Kaufbetrag wird dabei aber nicht reserviert. Sie müssen dazu jedoch zuvor dem Drittanbieter im Online-Banking die Erlaubnis erteilen, und zwar unter "Service > Konten und Verträge > Zugriffsverwaltung > Verfügbarkeitsabfragen > Neue Berechtigungen erteilen".

Zugriffsverwaltung im Online-Banking: Drittanbieter steuern

Grundsätzlich dürfen dritte Zahlungsdienstleister nur mit Ihrer vorherigen Zustimmung auf Ihre Kontodaten zugreifen. Ihre Zustimmung gilt erst als erteilt, wenn Sie die vom Drittanbieter bei Ihrer Bank angeforderten Informationen mit einer starken Kundenauthentifizierung bestätigt haben. Zudem muss der Drittanbieter bei der nationalen Aufsichtsbehörde registriert sein und sich gegenüber Ihrer VR-NetWorld GmbH legitimieren können. Für einen weiteren Kontozugriff benötigt der Drittanbieter nach spätestens 90 Tagen erneut Ihre vorherige Zustimmung mittels starker Kundenauthentifizierung.

Mit der Zugriffsverwaltung im Online-Banking im Bereich "Service > Konten und Verträge > Zugriffsverwaltung" können Sie jederzeit kontrollieren, welchen Drittanbieter Sie berechtigt und welche Zahlungen Drittanbieter durchgeführt haben. Sie können dort auch Zugriffsberechtigungen wieder entziehen. Ihnen stehen diese Daten bis 180 Tage rückwirkend zur Verfügung. Die Zugriffsverwaltung im Online-Banking ist wie folgt strukturiert:

  • Verfügbarkeitsabfragen,
  • Kontoinformationsabfragen und
  • Zahlungsauslösungen

Strukturierung der Zugriffsverwaltung

In diesem Bereich im Online-Banking sehen Sie, welche Berechtigungen Sie dritten Zahlungsdienstleistern sowie Unternehmen der Genossenschaftlichen FinanzGruppe gegeben haben. Sie können hier neue Berechtigungen erteilen oder bestehende entziehen. Wenn dritte Zahlungsdienstleister und Unternehmen der Genossenschaftlichen FinanzGruppe Ihre Berechtigung genutzt haben, ist das hier auch aufgelistet.

Kontoauswahl Hier wählen Sie aus, für welches Zahlungskonto Informationen angezeigt werden sollen. Wenn zu dem Konto keine Berechtigungen erteilt worden sind, wird nur die Möglichkeit "Neue Berechtigung erteilen" angeboten.
Bereich unterhalb der Kontoauswahl Hier sehen Sie, für welche kartenausgebenden Zahlungsdienstleister Berechtigungen erteilt wurden. Mit Klick auf "+" können Sie sich weitere Informationen anzeigen lassen oder Berechtigungen sperren.
Neue Berechtigungen erteilen Unterhalb der Kontoauswahl steht Ihnen die Möglichkeit zur Verfügung, einem dritten Zahlungsdienstleister die Abfrage zu erlauben, ob ein bestimmter Betrag auf Ihrem Konto verfügbar ist. Die Anzahl der Abfragen ist unbeschränkt.

Was Sie jetzt tun müssen

Grundsätzlich finden die beschriebenen Änderungen automatisch statt – Sie müssen nichts weiter tun.

Ausnahme: Wenn eine der nachfolgenden Aussagen auf Sie zutrifft, sollten Sie jetzt tätig werden.

Sie haben kein TAN-Verfahren oder Ihre vorhandenen TAN-Verfahren sind gesperrt.

Sie haben kein TAN-Verfahren oder Ihre vorhandenen TAN-Verfahren sind gesperrt.

Im Online-Banking können Sie unter dem Navigationspunkt Banking > Service > Online-Banking >TAN-Verwaltung sehen, welche TAN-Verfahren Sie besitzen und ob diese aktiv oder gesperrt sind.

  • Sollten Sie noch kein TAN-Verfahren besitzen, haben Sie jetzt zwei Möglichkeiten:
    1. Laden Sie sich die kostenlose TAN-App VR-SecureGo herunter und empfangen Sie TANs künftig sicher auf dem Smartphone oder Tablet. Mehr Informationen und eine Anleitung finden Sie  >> hier.
    2. Mit dem kostenpflichtigen Sm@rt-TAN photo-Generator und Ihrer girocard erzeugen Sie TANs schnell und komfortabel. Mehr Informationen und ein Bestellformular für den TAN-Generator finden Sie >> hier.
  • Sollten Ihre TAN-Verfahren gesperrt sein, wenden Sie sich bitte zur Entsperrung an Ihren Berater oder unser KundenServiceCenter unter Telefon 0561 7893-0 bzw. 0551 404-0.
Sie besitzen eine Kreditkarte und nutzen diese für Online-Einkäufe.

Sie besitzen eine Kreditkarte und nutzen diese für Online-Einkäufe.

Seit dem 14. September können Sie Ihre Mastercard® bzw. Visa-Karte nicht mehr zum Online-Shopping verwenden, wenn Sie nicht für das Sicherheitsverfahren Mastercard® Identity Check™ bzw. Verified by Visa (zukünftig Visa Secure) registriert sind. Ausführliche Informationen und die Möglichkeit zur Registrierung erhalten Sie über den nachstehenden Link.

Sie nutzen noch einen Sm@rt-TAN plus-Generator oder das mobileTAN-Verfahren.

Sie nutzen noch einen älteren Sm@rt-TAN plus-Generator ohne Farbcode-Grafik.

Die gute Nachricht: Auch nach den neuen Regelungen können Sie Ihren alten Sm@rt-TAN plus-Generator weiter verwenden. Die TAN-Erzeugung ist mit dieser Geräte-Generation aber eher unhandlich.

Unser Tipp: Bestellen Sie sich einen neuen Sm@rt-TAN photo-Generator. Dieser Gerätetyp ist weniger störanfällig und die TAN lässt sich wesentlich schneller und einfacher erzeugen. Außerdem können Sie ihn auch für andere Bankverbindungen einsetzen.

Sie nutzen noch das mobileTAN-Verfahren per SMS

Auch hier gilt, dass Sie das mobileTAN-Verfahren nach den neuen Regelungen vorerst weiter nutzen können. Allerdings wird dieses Verfahren perspektivisch abgeschaltet. Zudem ist es bereits heute nicht möglich, Transaktionen und andere TAN-pflichtige Vorgänge in der VR-BankingApp mit einer mobileTAN freizugeben.

Unser Tipp: Steigen Sie jetzt auf das App-basierte TAN-Verfahren VR-SecureGo um. Nach der einmaligen Einrichtung erhalten Sie Ihre TAN nicht mehr per SMS, sondern als Push-Nachricht auf Ihr Smartphone oder Tablet. Außerdem können Sie mit VR-SecureGo TAN-pflichtige Vorgänge in der VR-BankingApp ohne händische Übertragung der TAN freigeben.

Häufige Fragen rund um die neuen Regelungen zur PSD2

Was bedeutet PSD2?

Am 13. Januar 2018 sind aufgrund europäischer Vorgaben mit der "Payment Services Directive2" (PSD2) bzw. dem "Gesetz zur Umsetzung der zweiten Zahlungsdiensterichtlinie" neue gesetzliche Bestimmungen für die Erbringung von Zahlungsdiensten in Kraft getreten. Kontoführende Zahlungsdienstleister, zu denen auch die Volksbanken und Raiffeisenbanken zählen, müssen ab dem 14. September 2019 Drittanbietern einen Zugang zu den Konten ihrer Kunden zur Verfügung stellen – vorausgesetzt, die Kunden haben ihnen dafür eine Erlaubnis erteilt. Zuvor waren die Daten der Bankkunden durch das Bankgeheimnis grundsätzlich geschützt. Jetzt kann der Kunde aber im Sinne seiner eigenen Daten-Souveränität selbst entscheiden, ob er die Daten bzw. seine PIN an Drittdienste weitergeben möchte. Ihre Erlaubnis vorausgesetzt, erfolgt dann der Zugriff dieser Drittdienste über eine technische Schnittstelle Ihrer Volksbank Kassel Göttingen eG. Mit dieser Schnittstelle werden natürlich die hohen Sicherheitsstandards weiterhin gewahrt.

Kann ein Drittanbieter, also zum Beispiel ein Zahlungsauslösedienst oder ein Kontoinformationsdienst, ohne meine Zustimmung auf meine Konten zugreifen?

Nein, ein Drittanbieter kann grundsätzlich nur mit Ihrer vorherigen Zustimmung auf Ihre Kontodaten zugreifen. In unserem Online-Banking steht Ihnen eine entsprechende Zugriffsverwaltung zur Verfügung, mit der Sie beispielsweise auch Drittanbietern Zugriffsberechtigungen wieder entziehen können.

Was bedeutet "2-Faktor-Authentifizierung"?

Mit der PSD2 werden die Anforderungen an die Authentifizierung der Kunden bei Zahlungen verschärft. Authentifizierung bedeutet, dass nicht nur Sie als Auftraggeber identifiziert werden, sondern dass auch die inhaltliche Richtigkeit Ihrer Willenserklärung geprüft wird. 2-Faktor-Authentifizierung bzw. starke Kundenauthentifizierung bedeutet, dass Sie sich mit zwei von drei möglichen Faktoren "ausweisen" müssen:

  • "Wissenselemente": etwas, das nur Sie wissen, wie zum Beispiel eine PIN,
  • "Besitzelemente": etwas, das nur Sie besitzen, wie zum Beispiel Ihre girocard (Debitkarte) mit TAN-Generator oder ein Mobiltelefon, an das eine TAN übermittelt wird, oder
  • ein "Seinselement" ("Inhärenz"), also etwas, das nur Sie sind, wie zum Beispiel Ihr Fingerabdruck als biometrisches Merkmal.

Häufige Fragen zur VR-BankingApp & PSD2

Warum steht der Finanzmanager in der VR-BankingApp nicht mehr zur Verfügung?

Mit der Veröffentlichung der neuen Version der VR-BankingApp voraussichtlich im August 2019 steht der Finanzmanager in der App nicht mehr zur Verfügung. Der Grund dafür: Im Finanzmanager werden die Umsätze immer 13 Monate rückwirkend angezeigt. Folglich müsste bei jedem Abruf eine TAN abgefragt werden. Dies ist für Smartphone-Nutzer nicht praktikabel. Der Zugriff auf den Finanzmanager ist aber weiterhin im Online-Banking möglich.

Was bedeutet "Gerätebindung" und warum sollte ich diese herstellen?

Die Regelungen der PSD2 sehen vor, dass Sie beim Login in die VR-BankingApp – analog zum Online-Banking über PC/Laptop – grundsätzlich alle 90 Tage zusätzlich eine TAN eingeben müssen. Der Gesetzgeber sieht jedoch eine Ausnahme vor: Liegt eine Gerätebindung zwischen Ihrer VR-BankingApp und Ihrem Smartphone/Tablet vor, entfällt die TAN-Eingabe beim Login. Die Gerätebindung ist ein technischer Vorgang, beim dem eine eindeutige Verknüpfung zwischen Ihrem Endgerät und der App hergestellt wird.

Wie stelle ich die Gerätebindung her?

Die Gerätebindung können Sie auf zwei Arten herstellen:

1. Durch Registrierung der Funktion "Kwitt" in der VR-BankingApp
Bei der Registrierung zu Kwitt wird automatische eine Gerätebindung erzeugt. Sie finden diese Funktion in der Menüleiste unter dem Punkt  "Aufträge".

2. Über die Funktion "Gerät registrieren"
Diese Funktion wird mit der App-Version 19.15 unter dem Punkt "Einstellungen" zu finden sein. Das Update auf diese Version steht in Ihrem Apple App Store bzw. Google Play Store bereit.

Mit der Version 19.15 erhalten Sie außerdem beim Öffnen der VR-BankingApp immer einen Hinweis auf die Gerätebindung, sofern Sie diese noch nicht hergestellt haben.

Was passiert mit der Gerätebindung, wenn ich mein Smartphone/Tablet wechsle?

Wenn Sie die VR-BankingApp auf einem neuen Endgerät installieren, muss die Gerätebindung erneut hergestellt werden. Das Vorgehen bleibt dabei wie zuvor beschrieben.

Woran erkenne ich, ob mein Smartphone/Tablet bereits eine Gerätebindung aufweist?

Wenn eine Gerätebindung vorliegt bzw. Sie die Gerätebindung gerade hergestellt haben, sehen Sie im Impressum eine App-ID. Zudem ist die Funktion "Gerät registrieren" in den Einstellungen nicht mehr vorhanden.

Ansicht der App-ID bei vorhandener Gerätebindung
Beispielhafte Darstellung der App-ID im Impressum bei vorhandener Gerätebindung.
Ich verwalte mehrere Bankverbindungen in der VR-BankingApp. Was muss ich beachten?

Die oben auf der Seite beschriebenen Änderungen und Ausnahmeregeln gelten ausschließlich für die erste Bankverbindung in der App. Wenn Sie weitere Bankverbindungen in der VR-BankingApp hinzugefügt haben – egal, ob Volksbank Kassel Göttingen eG oder ein anderes Institut – gelten diese nicht. Konkret heißt das für Sie:

Eine von Ihnen hergestellte Gerätebindung gilt nur für die erste Bankverbindung, nicht jedoch für weitere. Das bedeutet, dass Sie beim Aufruf der Zweitbank-Verbindung sowie beim Abruf von Umsatzdaten zur Zweitbank-Verbindung unter Umständen eine TAN eingeben müssen. Ob und wann diese abgefragt wird, hängt von den Vorgaben bzw. Einstellungen der "Drittbank" ab.

Hinweis zum "Kontorundruf":
Beim ersten Einrichten sowie in den Einstellungen der VR-BankingApp können Sie ab App-Version 19.15 für jede Bankverbindung den Kontorundruf konfigurieren. Er sorgt dafür, dass nach dem Login in der VR-BankingApp alle Daten automatisch aktualisiert werden. Je nach Einstellung der Zweitbank-Verbindung kann es dort an verschiedenen Stellen zu TAN-Abfragen kommen. Das können durchaus mehrere TAN-Abfragen hintereinander sein (z.B. bei Anmeldung, Salden- und Umsatzaktualisierung). Sollten Sie zu viele TAN-Eingaben stören, können Sie den Kontorundruf deaktivieren.