PSD2

Zahlungsverkehr unter der PSD2

Allgemeine Einführung in PSD2
PSD steht für Payment Services Directive (dt. Zahlungsdiensterichtlinie). Als EU-Richtlinie für den Europäischen Wirtschaftsraum (EWR) bestimmt diese den Rahmen zur Regulierung von Zahlungsdiensten und Zahlungsdienstleistern. Mit der Überarbeitung der Zahlungsdiensterichtlinie entstand die sogenannte PSD2, die zum 13. Januar 2018 gültig wurde. Die EU-Kommission verfolgt damit die Ziele

• die Sicherheit im Zahlungsverkehr zu erhöhen,
• den Verbraucherschutz zu stärken,
• Innovationen zu fördern und
• den Wettbewerb im Markt zu steigern.

Mit dem Einführungstermin im Januar 2018 traten Regelungen in Kraft, die sich mit Änderungen in der Zahlungsabwicklung, Beschwerde-Management, Transparenz und Haftung beschäftigen. Dabei wurde insbesondere auch der Anwendungsbereich der Richtlinie erweitert auf Fremdwährungen und sogenannte one-leg-out-Transaktionen, bei denen mindestens einer der beteiligten Zahlungsdienstleister innerhalb des EWR seinen Sitz hat.

Zudem regelt die PSD2 die Autorisierung von online erteilten Aufträgen und definiert neue Rollen von Zahlungsdienstleistern, die unter dem Begriff Drittdiensteanbieter (engl. TPP: Third-Party-Provider) zusammengefasst werden. Kontoführende Institute müssen es Drittdienstleistern ermöglichen, technisch auf Kontoinhalte zuzugreifen und Zahlungen auszulösen. Zur technischen Umsetzung wurden Standards verabschiedet, die zum 14. September 2019 in Kraft treten. Die PSD2 bezieht sich in diesen Punkten auf zahlungsverkehrsfähige Konten (in Folge: Zahlungskonten), die nicht im Referenzkontomodell geführt werden. Im Referenzkontomodell werden Konten geführt, die eine Überweisung nur auf ein vorher hinterlegtes Referenzkonto ermöglichen.

Zur Autorisierung online erteilter Aufträge, was die Zahlungsinitiierung sowie auch die Kontenabfrage umfasst, wird die "starke Kundenauthentifizierung" (engl. SCA: Strong-Customer-Authentication) eingeführt. Die SCA erfordert zwei unabhängige Merkmale aus den Bereichen Besitz (z.B. Mobiltelefon), Wissen (z.B. PIN) und Eigenschaft/Inhärenz (z.B. Fingerabdruck). Dabei wird im Rahmen der Auftragserteilung die konkrete Autorisierung dynamisch mit den Auftragsdaten verknüpft, so dass allein der angefragte Auftrag durch den generierten Autorisierungs-Code (z.B. TAN) autorisiert werden kann.

Drittdienstleister erhalten über eine Online-Schnittstelle, die sogenannte Drittdienstleisterschnittstelle, Zugriff auf die Zahlungskonten der Zahlungsdienstnutzer. Services zur Abfrage und Auswertungen von Kontodaten und Initiierung von Überweisungen können somit unter der Regelungen der PSD2 direkt durch Drittdienstleister betrieben werden. Die PSD2 regelt den Zugang der Drittdienstleister auf Zahlungskonten. Zahlungsdienstnutzer müssen dem Zugang durch Drittdienstleister explizit zustimmen.

Ohne Zustimmung durch den Zahlungsdienstnutzer darf kein Drittdienstleister auf Kontoinhalte zugreifen und er darf keine Zahlung auslösen.

Weiterführende Links:
PSD2 – RICHTLINIEN der EU (PDF)
RTS on SCA and CSC (Starke Kundenauthentifizierung und Drittdienstleisterschnittstelle) (PDF)
Deutsche Bundesbank www.bundesbank.de
Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) www.bafin.de

Drittdienstleister
Die PSD2 definiert neue Kategorien von Zahlungsdienstleistern, denen es ermöglicht wird, auf Kontodaten zuzugreifen und Überweisungen auszulösen. Dies wird unter dem Begriff Drittdienstleister gruppiert:

• Kontoinformationsdienste (engl. AIS: Account Information Service)
  Kontoinformationsdienste greifen auf die Kontoinformation von Zahlungskonten zu. Dabei erhalten Sie den gleichen Informationsgehalt, der auch für den Zahlungsdienstnutzer über sein Online-Banking bzw. die Kontoauszüge sichtbar ist. Dienstleister, die Kontoinformationsdienste anbieten, sind bei der jeweiligen nationalen Aufsichtsbehörde (in Deutschland ist dies die BaFin) registiert. Sie werden englischsprachig mit AISP (Account Information Service Provider) abgekürzt.

• Zahlungsauslösedienste (engl. PIS: Payment Initiating Service)
  Zahlungsauslösedienste ermöglichen die Beauftragung einer Überweisung ohne dass der Zahlungsdienstnutzer das Online-Banking seines kontoführenden Instituts verwenden muss. Z.B. kann ein Online-Händler mit Hilfe eines Zahlungsauslösediensts seinem Kunden direkt die Zahlung seiner Bestellung im Rahmen des Verkaufsprozesses auf der Website des Händlers ermöglichen. Die Rückmeldung, die dem Zahlungsauslösedienst über die Beauftragung einer Überweisung gegeben wird, entspricht dabei der Bestätigungsmeldung, die der Zahlungsdienstnutzer im Online-Banking erhält. Dienstleister, die Zahlungsauslösedienste anbieten, sind durch die jeweilige nationale Aufsichtsbehörde (in Deutschland ist dies die BaFin) zugelassen. Sie werden englischsprachig mit PISP (Payment Initiating Service Provider) abgekürzt.

• Kartenherausgebender Dienst (engl. PIIS: Payment Instrument Issuing Service)
  Ein kartenherausgebender Dienst stellt einem Zahlungsdienstnutzer ein Zahlungsinstrument bereit, dessen Abrechnung an ein Zahlungskonto, dass der Nutzer bei einem kontoführenden Institut führt, gebunden ist. Einem solchen Dienst wird es im Rahmen der PSD2 ermöglicht, mit Angabe des konkreten Geldbetrags eine Verfügbarkeitsabfrage an das referenzierte Zahlungskonto zu richten. Die Antwort ist dabei eingeschränkt auf "ja" oder "nein", gilt für den Zeitpunkt der Abfrage und führt nicht zu einer Reservierung des angefragten Geldbetrags. Dienstleister, die kartenherausgebende Dienste anbieten, sind durch die jeweilige nationale Aufsichtsbehörde (in Deutschland ist dies die BaFin) zugelassen. Sie werden englischsprachig mit PIISP (Payment Instrument Issuing Service Provider) abgekürzt.
  Der Zugang der Drittdienstleister erfolgt über eine eigene Schnittstelle, die den Anforderungen der PSD2 genügt und gemäß dem standardisierten NextGenPSD2-Framework der Berlin Group implementiert ist.

Alle Aktionen die Drittdienstleister gegenüber dem kontoführenden Institut unterliegen der Genehmigung durch den Zahlungsdienstnutzer. Die Genehmigung erteilt der Zahlungsdienstnutzer mit dem vom kontoführenden Institut ausgegebenen Authentifizierungsinstrument, welches den Regelungen der starken Kundenauthentifizierung (engl. SCA: Strong Customer Authentification) genügen muss. Prüfung und Akzeptanz einer Autorisierung obliegt dem kontoführenden Institut in gleicher Weise wie beim Online-Banking.

Statistikinformationen
Statistikinformationen zur Zahlungsverkehrsabwicklung mit Blick auf Verfügbarkeit und Durchsatz der verschiedenen Schnittstellen. Die Auswertung erfolgt einmal im Quartal und erstreckt sich auf einen Zeitraum von 90 Tagen.

Statistikinformationen (PDF / 2MB)

PSD2 TPP

Informationen für Drittdienstleister

Dokumentation XS2A
Die Implementierung der Drittdienstleisterschnittstelle verwendet den Standard des NextGenPSD2-Frameworks der Berlin Group für XS2A (Access to Account). Im Nachfolgenden finden Sie die Verlinkung zu den Spezifikationsdokumenten der Berlin Group sowie in einem separaten Dokument unsere Darstellung als kontoführendes Institut, welcher Umfang des Standards gem. unseres Angebots für Zahlungskonten abgebildet ist.

Berlin Group (Link)
Ausprägung XS2A-Schnittstelle der flatexDEGIRO Bank (PDF)

Bei Fragen wenden Sie sich bitte an den Support.

Produktiv-System
Für den produktiven Betrieb stellt die flatexDEGIRO Bank als kontoführendes Institut den Drittdienstleistern (TPP) die XS2A-Schnittstelle für den Zugriff auf Kontodaten sowie zur Auslösung von Überweisungen bereit.

Für das Produktiv-System bestehen folgende Rahmenbedingungen:

• TPP identifizieren sich gegenüber dem Produktiv-System mit gültigen Zertifikaten gem. Erfordernis der PSD2
  elektronisches qualifiziertes Zertifikat gem. eIDAS-Verordnung mit den Zertifikatsattributen zur Rolle des TPP, zuständiger Aufsichtsbehörde und Autorisierungsnummer
• Die XS2A-Schnittstelle erfordert Verbindungs-Zertifikat (QWAC - Qualified certificate for website authentication) und Siegel-Zertifikat (QCert for ESeal - Qualified certificate for electronic seals).
• SCA wird im Redirect-Ansatz (redirect approach) ausgeführt
  Zahlungsdienstenutzer werden auf eine separate Consent-App auf Browserbasis geleitet.
  Das Produktiv-System ist wie folgt erreichbar:
  https://eb1.flatex-bank.com/tristan/xs2a-prod/

Ausweichmodell
Im Falle eines Ausfalls des primären Produktiv-Systems steht den TPP als Ausweichmodell das sekundäre System zur Verfügung. Dieses System deckt als Stand-By-System den gleichen Umfang der XS2A-Schnitstelle wie das primäre Produktiv-System ab, d.h. das sekundäre System wird bei anderer URL (s.u.) mit den gleichen Methoden angesprochen, wie das primäre Produktiv-System.

Auf den Einsatz des sekundären Systems wird durch entsprechende Meldung auf dieser WebSite ausdrücklich hingewiesen.
Sie erreichen dann die XS2A-Schnittstelle unter der URL:
https://eb2.flatex-bank.com/tristan/xs2a-prod/

Test-System
Als kontoführendes Institut stellt die flatexDEGIRO Bank zur XS2A-Schnittstelle den Drittdienstleistern (TPP) ein Testsystem bereit. Dieses System ermöglicht es, den technischen Anschluss und die funktionale Kommunikation zu testen bevor das produktive System angesprochen wird.

Für das Test-Sytem bestehen folgende Rahmenbedingungen:

• TPP identifizieren sich gegenüber dem Testsystem mit gültigen Zertifikate gem. Erfordernis der PSD2
  elektronisches qualifiziertes Zertifikat gem. eIDAS-Verordnung mit den Zertifikatsattributen zur Rolle des TPP, zuständiger Aufsichtsbehörde und Autorisierungsnummer
• Die XS2A-Schnittstelle erfordert Verbindungs-Zertifikat (QWAC - Qualified certificate for website authentication) und Siegel-Zertifikat (QCert for ESeal – Qualified certificate for electronic seals).
• Aktuell werden Test-Zertifikate der Bundesdruckerei bzw. des Vertrauensdiensteanbieters (TSP - Trusted service providers) D-Trust GmbH akzeptiert. Weitere TSP auf Anfrage.
• Dem Test-System ist kein Kernbanksystem (Backend) angeschlossen.
• Life-Cycle Tests Zahlungseinreichung und anschließende Kontenprüfung sind nicht möglich.
• Das Antwortverhalten wird gemäß der Testvorgaben durch Nutzung spezifischer Daten gem. der Testvorgaben gesteuert.
• SCA ist kein Testgegenstand. Das Verhalten der SCA ist an den jeweils angesprochenen Testfall gekoppelt.
• Der volle Umfang der durch das kontoführende Institut implementierten XS2A-Services kann getestet werden
  (siehe hierzu auch Ausprägung XS2A-Schnittstelle der flatexDEGIRO Bank)

Das Testsystem berücksichtigt dabei keine Einschränkungen, die eventuell im Angebot eines angebundenen Vertragspartners bestehen.
Das Test-System ist wie folgt erreichbar:
https://eb1.dev.flatex.com/tristan/xs2a-test/

Testvorgaben
Zur Durchführung der Anschlusstests an die XS2A-Schnittstelle durch die Drittdienstleister (TPP) werden folgende Testvorgaben bereitgestellt. Die Testvoraben betrachten konkrete Services der XS2A-Schnittstelle in Gut- und Fehlerfällen. Dabei werden nicht alle möglichen Ausführungsvarianten ausgebreitet. Ziel ist es, eine exemplarische Abdeckung zu erreichen, die es TPP ermöglicht, deren Implementierung der XS2A-Schnittstelle bzgl. des technischen Anschlusses zu testen.

Die Testvorgaben bestehen aus den folgenden Elementen:

• Testfallbeschreibung zu den relevanten Services
• Testdaten zur Auslösung der Testfälle gem. des spezifierten Verhaltens (Gut-/Fehlerfälle)
• Referenzangaben zu den Antworten gem. der ausgelösten Testfälle
  Zu beachten sind die im Abschnitt "Test-System" aufgeführten Rahmenbedingungen.

Daten und Vorgaben für Konnektivitätstests der XS2A-Schnittstelle (PDF)

Bei Fragen wenden Sie sich bitte an den Support.

PSD2 PSU

Informationen für Kunden
Als Zahlungsverkehrskunden (Payment Service User - PSU) im Sinne der PSD2 gelten Kunden, die über zahlungsverkehrsfähige Konten, also Zahlungskonten verfügen. Zahlungskonten sind dabei dadurch gekennzeichnet, dass über diese Konten vollumfänglich Zahlungsverkehr durch den Kontoinhaber insbesondere in Form von Überweisungen betrieben werden kann. Konten, die zum Teil oder ganz im Referenzkontomodell geführt werden, fallen nicht unter diese Kategorie von Konten.

Zur Authentisierung von Online-Zugriffen auf Kontoinformationen (Kontensaldo, Kontoauszüge) und Beauftragung von Überweisungen benötigt der PSU ein PSD2-konformes Authentifizierungsinstrument. Ein solches Authentifizierungsinstrument wird durch die flatexDEGIRO Bank in Form des pTAN-Verfahrens bereitgestellt. Beim pTAN-Verfahren handelt es sich um ein App-gestütztes Verfahren, bei dem die relevanten Daten einer Transaktion mit der generierten TAN an eine App übertragen wird ("gepushed") und zur Freigabe einer Transaktion nachfolgend verwendet werden kann. Weitere Informationen können den Informationsseiten in der WebFiliale Corporate Clients entnommen werden.

Sofern bei Nutzung einer Drittdienstleister-App, die per XS2A mit uns als kontoführendem Institut kommuniziert, eine Freigabe erforderlich ist, geschieht dies nicht wie gewohnt im Online-Banking oder innerhalb der Drittdienstleister-App. Zur Erfassung der TAN wird der PSU auf die sogenannte Consent-App geleitet, die sich im Browser öffnet.

Die Authentifizierung bzw. Freigabe per TAN ist bei Zugriff auf Kontoinformationen alle 90 Tage erforderlich. Innerhalb dieses Zeitraums von 90 Tagen kann der Zugriff ohne weitere TAN-Eingabe erfolgen. Zur Beauftragung von Überweisungen ist stets eine Freigabe per TAN erforderlich.