PSD2

PSD2

Zahlungsverkehr unter der PSD2

Allgemeine Einführung in PSD2
PSD steht für Payment Services Directive (dt. Zahlungsdiensterichtlinie). Als EU-Richtlinie für den Europäischen Wirtschaftsraum (EWR) bestimmt diese den Rahmen zur Regulierung von Zahlungsdiensten und Zahlungsdienstleistern. Mit der Überarbeitung der Zahlungsdiensterichtlinie entstand die sogenannte PSD2, die zum 13. Januar 2018 gültig wurde. Die EU-Kommission verfolgt damit die Ziele

Mit dem Einführungstermin im Januar 2018 traten Regelungen in Kraft, die sich mit Änderungen in der Zahlungsabwicklung, Beschwerde-Management, Transparenz und Haftung beschäftigen. Dabei wurde insbesondere auch der Anwendungsbereich der Richtlinie erweitert auf Fremdwährungen und sogenannte one-leg-out-Transaktionen, bei denen mindestens einer der beteiligten Zahlungsdienstleister innerhalb des EWR seinen Sitz hat.

Zudem regelt die PSD2 die Autorisierung von online erteilten Aufträgen und definiert neue Rollen von Zahlungsdienstleistern, die unter dem Begriff Drittdiensteanbieter (engl. TPP: Third-Party-Provider) zusammengefasst werden. Kontoführende Institute müssen es Drittdienstleistern ermöglichen, technisch auf Kontoinhalte zuzugreifen und Zahlungen auszulösen. Zur technischen Umsetzung wurden Standards verabschiedet, die zum 14. September 2019 in Kraft treten. Die PSD2 bezieht sich in diesen Punkten auf zahlungsverkehrsfähige Konten (in Folge: Zahlungskonten), die nicht im Referenzkontomodell geführt werden. Im Referenzkontomodell werden Konten geführt, die eine Überweisung nur auf ein vorher hinterlegtes Referenzkonto ermöglichen.

Zur Autorisierung online erteilter Aufträge, was die Zahlungsinitiierung sowie auch die Kontenabfrage umfasst, wird die "starke Kundenauthentifizierung" (engl. SCA: Strong-Customer-Authentication) eingeführt. Die SCA erfordert zwei unabhängige Merkmale aus den Bereichen Besitz (z.B. Mobiltelefon), Wissen (z.B. PIN) und Eigenschaft/Inhärenz (z.B. Fingerabdruck). Dabei wird im Rahmen der Auftragserteilung die konkrete Autorisierung dynamisch mit den Auftragsdaten verknüpft, so dass allein der angefragte Auftrag durch den generierten Autorisierungs-Code (z.B. TAN) autorisiert werden kann.

Drittdienstleister erhalten über eine Online-Schnittstelle, die sogenannte Drittdienstleisterschnittstelle, Zugriff auf die Zahlungskonten der Zahlungsdienstnutzer. Services zur Abfrage und Auswertungen von Kontodaten und Initiierung von Überweisungen können somit unter der Regelungen der PSD2 direkt durch Drittdienstleister betrieben werden. Die PSD2 regelt den Zugang der Drittdienstleister auf Zahlungskonten. Zahlungsdienstnutzer müssen dem Zugang durch Drittdienstleister explizit zustimmen.

Ohne Zustimmung durch den Zahlungsdienstnutzer darf kein Drittdienstleister auf Kontoinhalte zugreifen und er darf keine Zahlung auslösen.

Weiterführende Links:

PSD2: https://eur-lex.europa.eu/legal-content/DE/TXT/PDF/?uri=CELEX:32015L2366&from=DE
RTS on SCA and CSC (Starke Kundenauthentifizierung und Drittdienstleisterschnittstelle): https://eur-lex.europa.eu/legal-content/DE/TXT/PDF/?uri=CELEX:32018R0389&qid=1551351965844&from=EN
Deutsche Bundesbank: https://www.bundesbank.de/de/aufgaben/unbarer-zahlungsverkehr/psd2/psd2-775434
Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin): https://www.bafin.de/SharedDocs/Veroeffentlichungen/DE/Fachartikel/2018/fa_bj_1801_Zahlungsdienste.htmll

Drittdienstleister
Die PSD2 definiert neue Kategorien von Zahlungsdienstleistern, denen es ermöglicht wird, auf Kontodaten zuzugreifen und Überweisungen auszulösen. Dies wird unter dem Begriff Drittdienstleister gruppiert:

Alle Aktionen die Drittdienstleister gegenüber dem kontoführenden Institut unterliegen der Genehmigung durch den Zahlungsdienstnutzer. Die Genehmigung erteilt der Zahlungsdienstnutzer mit dem vom kontoführenden Institut ausgegebenen Authentifizierungsinstrument, welches den Regelungen der starken Kundenauthentifizierung (engl. SCA: Strong Customer Authentification) genügen muss. Prüfung und Akzeptanz einer Autorisierung obliegt dem kontoführenden Institut in gleicher Weise wie beim Online-Banking.

Statistikinformationen
Statistikinformationen zur Zahlungsverkehrsabwicklung mit Blick auf Verfügbarkeit und Durchsatz der verschiedenen Schnittstellen. Die Auswertung erfolgt einmal im Quartal und erstreckt sich auf einen Zeitraum von 90 Tagen.

Statistikinformationen: https://www.flatex-bank.com/fileadmin/fintech_relaunch/Public/pdf/psd2/2021/2020Q4_PSD2_Durchlaufzeiten_und_Verfuegbarkeiten.pdf

PSD2 TPP

Informationen für Drittdienstleister

Dokumentation XS2A
Die Implementierung der Drittdienstleisterschnittstelle verwendet den Standard des NextGenPSD2-Frameworks der Berlin Group für XS2A (Access to Account). Im Nachfolgenden finden Sie die Verlinkung zu den Spezifikationsdokumenten der Berlin Group sowie in einem separaten Dokument unsere Darstellung als kontoführendes Institut, welcher Umfang des Standards gem. unseres Angebots für Zahlungskonten abgebildet ist.

Berlin Group: https://www.berlin-group.org/nextgenpsd2-downloads
Ausprägung XS2A-Schnittstelle der flatexDEGIRO Bank: https://www.flatex-bank.com/fileadmin/fintech_relaunch/Public/pdf/psd2/2019/III_4_6_3_7_1_Auspraegung_XS2A-Schnittstelle_der_FTX-Bank.pdf

Bei Fragen wenden Sie sich bitte an den Support.

Produktiv-System
Für den produktiven Betrieb stellt die flatexDEGIRO Bank als kontoführendes Institut den Drittdienstleistern (TPP) die XS2A-Schnittstelle für den Zugriff auf Kontodaten sowie zur Auslösung von Überweisungen bereit.

Für das Produktiv-System bestehen folgende Rahmenbedingungen:

Ausweichmodell
Im Falle eines Ausfalls des primären Produktiv-Systems steht den TPP als Ausweichmodell das sekundäre System zur Verfügung. Dieses System deckt als Stand-By-System den gleichen Umfang der XS2A-Schnitstelle wie das primäre Produktiv-System ab, d.h. das sekundäre System wird bei anderer URL (s.u.) mit den gleichen Methoden angesprochen, wie das primäre Produktiv-System.

Auf den Einsatz des sekundären Systems wird durch entsprechende Meldung auf dieser WebSite ausdrücklich hingewiesen. Sie erreichen dann die XS2A-Schnittstelle unter der URL: https://eb2.flatex-bank.com/tristan/xs2a-prod/

Test-System
Als kontoführendes Institut stellt die flatexDEGIRO Bank zur XS2A-Schnittstelle den Drittdienstleistern (TPP) ein Testsystem bereit. Dieses System ermöglicht es, den technischen Anschluss und die funktionale Kommunikation zu testen bevor das produktive System angesprochen wird.

Für das Test-Sytem bestehen folgende Rahmenbedingungen:

Testvorgaben
Zur Durchführung der Anschlusstests an die XS2A-Schnittstelle durch die Drittdienstleister (TPP) werden folgende Testvorgaben bereitgestellt. Die Testvoraben betrachten konkrete Services der XS2A-Schnittstelle in Gut- und Fehlerfällen. Dabei werden nicht alle möglichen Ausführungsvarianten ausgebreitet. Ziel ist es, eine exemplarische Abdeckung zu erreichen, die es TPP ermöglicht, deren Implementierung der XS2A-Schnittstelle bzgl. des technischen Anschlusses zu testen.

Die Testvorgaben bestehen aus den folgenden Elementen:

Daten und Vorgaben für Konnektivitätstests der XS2A-Schnittstelle: https://www.flatex-bank.com//fileadmin/fintech_relaunch/Public/pdf/psd2/2019/III_4_6_3_10_1_Daten_und_Vorgaben_fuer_Konnektivitaetstests_der_XS2A-Schnittstelle.pdf

Bei Fragen wenden Sie sich bitte an den Support.

PSD2 PSU

Informationen für Kunden
Als Zahlungsverkehrskunden (Payment Service User - PSU) im Sinne der PSD2 gelten Kunden, die über zahlungsverkehrsfähige Konten, also Zahlungskonten verfügen. Zahlungskonten sind dabei dadurch gekennzeichnet, dass über diese Konten vollumfänglich Zahlungsverkehr durch den Kontoinhaber insbesondere in Form von Überweisungen betrieben werden kann. Konten, die zum Teil oder ganz im Referenzkontomodell geführt werden, fallen nicht unter diese Kategorie von Konten.

Zur Authentisierung von Online-Zugriffen auf Kontoinformationen (Kontensaldo, Kontoauszüge) und Beauftragung von Überweisungen benötigt der PSU ein PSD2-konformes Authentifizierungsinstrument. Ein solches Authentifizierungsinstrument wird durch die flatexDEGIRO Bank in Form des pTAN-Verfahrens bereitgestellt. Beim pTAN-Verfahren handelt es sich um ein App-gestütztes Verfahren, bei dem die relevanten Daten einer Transaktion mit der generierten TAN an eine App übertragen wird ("gepushed") und zur Freigabe einer Transaktion nachfolgend verwendet werden kann. Weitere Informationen können den Informationsseiten in der WebFiliale Corporate Clients entnommen werden.

Sofern bei Nutzung einer Drittdienstleister-App, die per XS2A mit uns als kontoführendem Institut kommuniziert, eine Freigabe erforderlich ist, geschieht dies nicht wie gewohnt im Online-Banking oder innerhalb der Drittdienstleister-App. Zur Erfassung der TAN wird der PSU auf die sogenannte Consent-App geleitet, die sich im Browser öffnet.

Die Authentifizierung bzw. Freigabe per TAN ist bei Zugriff auf Kontoinformationen alle 90 Tage erforderlich. Innerhalb dieses Zeitraums von 90 Tagen kann der Zugriff ohne weitere TAN-Eingabe erfolgen. Zur Beauftragung von Überweisungen ist stets eine Freigabe per TAN erforderlich.