PSD2 - die wichtigsten Änderungen

Neue Regelungen beim Online-Banking

In Zukunft gilt die sogenannte "zweite Stufe" der Umsetzung der "Zweiten EU-Zahlungsdiensterichtlinie (PSD2)". 

Damit wird:

  • eine Zwei-Faktor-Authentifizierung für noch sichereres Banking eingeführt
  • das Online-Banking, die VR-BankingApp sowie das Online-Shopping mit Kreditkarte noch sicherer
  • dritten Zahlungsdienstleistern die Möglichkeit gegeben, Ihnen neue Services anzubieten

Verschaffen Sie sich hier einen Überblick über die wesentlichen Neuerungen.

2-Faktor-Authentifizierung

Erläuterung der starken Kundenauthentifizierung

Mit der PSD2 werden die Anforderungen an die Authentifizierung der Kunden bei Zahlungen verschärft. Die starke Kundenauthentifizierung bedeutet, dass Sie sich mit zwei von drei möglichen Faktoren "ausweisen" müssen:

"Wissenselemente"

Etwas, das nur Sie wissen, wie zum Beispiel eine PIN.

"Besitzelemente"

Etwas, das nur Sie besitzen, wie zum Beispiel Ihre girocard mit TAN-Generator oder ein Mobiltelefon, an das eine TAN übermittelt wird.

"Seinselemente"

 ("Inhärenz") Etwas, das nur Sie sind, wie zum Beispiel Ihr Fingerabdruck als biometrisches Merkmal.


Fit für PSD2 mit dem TAN-Verfahren VR-SecureGo

Mit VR-SecureGo erhalten Sie Ihre TAN einfach, sicher und PSD2-konform auf dem Smartpohne oder Tablet

Mit der TAN-App VR-SecureGo erfüllen Sie ganz unkompliziert das "Besitzelement". 

  • Sie erhalten Ihre TAN jederzeit bequem auf Ihrem Smartphone oder Tablet
  • Sie können die TAN automatisch in Ihre VR-BankingApp übertragen lassen
  • Die App bietet durch spezielle Härtungsmaßnahmen und verschlüsselte Übertragung ein hohes Sicherheitsniveau
  • Sie können Ihre VR-SecureGo-App mittels Fingerabdruck oder Passwort entsperren

Fit für PSD2 mit dem TAN-Verfahren VR-SecureGo

Mit VR-SecureGo erhalten Sie Ihre TAN einfach, sicher und PSD2-konform auf dem Smartpohne oder Tablet

Mit der TAN-App VR-SecureGo erfüllen Sie ganz unkompliziert das "Besitzelement". 

  • Sie erhalten Ihre TAN jederzeit bequem auf Ihrem Smartphone oder Tablet
  • Sie können die TAN automatisch in Ihre VR-BankingApp übertragen lassen
  • Die App bietet durch spezielle Härtungsmaßnahmen und verschlüsselte Übertragung ein hohes Sicherheitsniveau
  • Sie können Ihre VR-SecureGo-App mittels Fingerabdruck oder Passwort entsperren

Sicherheit durch die starke Kundenauthentifizierung

Wenn Sie eine Zahlung über das Online-Banking ausführen, nutzen Sie die mit Ihrer Volksbank Raiffeisenbank Rosenheim-Chiemsee eG vereinbarten Authentifizierungselemente, wie zum Beispiel Online-PIN und -TAN. Die PSD2 erkennt unsere Authentifizierungsverfahren an und regelt diese nunmehr gesetzlich. In der Regel wird bei jeder Transaktion eine starke Kundenauthentifizierung erfolgen. Wie bisher müssen dabei zwei Authentifizierungselemente aus den Kategorien Wissen, Besitz und Sein eingesetzt werden.

Anwendungsfälle

Die 2-Faktor-Authentifizierung wird in der Regel angewendet bei:

  • Login zum Online-Banking (alle 90 Tage)
  • Serviceaufträge und Produktabschlüsse
  • allen Zahlungen (außer Umbuchungen, Kleinbeträgen via Kwitt)
  • Zahlungen mit Ihrer Kreditkarte von Mastercard®/Visa beim Online-Einkauf 

Verständlich erklärt: Starke Kundenauthentifizierung mit PSD2

Quelle: Bundesverband der Deutschen Volksbanken Raiffeisenbanken (Stand: August 2019)

Konkrete Änderungen durch die PSD2

Online-Banking
PSD2

Die PSD2 erlaubt den Banken eine Ausnahmeregelung in Bezug auf die starke Kundenauthentifizierung. In diesem Fall müssen Sie Ihre TAN nur alle 90 Tage eingeben. Wir nutzen diese Ausnahmeregelung.

Mitte Dezember 2019 erhalten Sie beim Log-in im Online-Banking erstmals die Aufforderung, sich mit Ihrem VR-NetKey bzw. Ihrer VR-Kennung und Ihrem Kennwort bzw. Ihrer PIN sowie einer TAN anzumelden.

Finanzmanager

Den Finanzmanager, das digitale Haushaltsbuch, können Sie zukünftig grundsätzlich nur mit einer starken Kundenauthentifizierung öffnen, zum Beispiel durch Eingabe einer TAN. Danach sind alle Daten im Finanzmanager ohne weitere TAN-Eingabe verfügbar.

Online-Banking mit Software

Wenn Sie eine Software für Ihr Online-Banking nutzen (z.B. die VR-NetWorld-Software) und einen Umsatzzeitraum größer 90 Tage abrufen, erhalten Sie eine zusätzliche TAN-Zustellung als 2-Faktor-Authentifizierung für den Zugriff.

Aktueller Hinweis: Durch die Vorbereitungen auf die veränderten technischen Regelungen kann es seit dem 08.08.2019 bereits zu einer TAN-Anforderung bzw. TAN-Zustellung für die Umsatzabfrage in Ihrer Zahlungsverkehrssoftware kommen.

Sie können das Online-Banking auch mittels von Ihnen ausgewählten Drittanbietern nutzen. Ihre Einwilligung vorausgesetzt, dürfen diese für Sie Zahlungen auslösen oder Informationen von Ihrem Girokonto oder Geschäftskonto abrufen. Hierzu verwenden Sie wie gewohnt Online-PIN und -TAN. Mit der Zugriffsverwaltung im Online-Banking können Sie sehen, welche Drittanbieter Sie berechtigt haben. Sie können dort auch Zugriffsberechtigungen wieder entziehen. 

VR-BankingApp

Gerätebindung sowie Finanzmanager

Bei der Anmeldung in der VR-BankingApp entfällt die Eingabe einer TAN, da durch die Gerätebindung eine starke Kundenauthentifizierung erreicht wird. Sollten Sie die Gerätebindung nicht haben, müssen Sie beim Login zusätzlich eine TAN eingeben.

Zur Herstellung der Gerätebindung müssen Sie einmalig eine TAN eingeben. Sollten Sie bereits die Funktionen Kwitt oder VR-mobileCash nutzen, ist die Gerätebindung bereits erfolgt. Sie können dann auch nur noch die Umsatzdaten der letzten 90 Tage einsehen.
Mit der neuen Version der VR-BankingApp (19.15), die voraussichtlich im August 2019 veröffentlicht wird, wird Ihnen ein entsprechender Hinweis zur Einrichtung der Gerätebindung angezeigt. Alternativ können Sie dies auch in den Einstellungen der VR-BankingApp einrichten. 

Zudem steht Ihnen der Finanzmanager nur noch im Online-Banking zur Verfügung.

Analog zum Online-Banking können Sie die VR-BankingApp auch mittels von Ihnen ausgewählten Drittanbietern nutzen. Ihre Einwilligung vorausgesetzt, dürfen diese für Sie Zahlungen auslösen oder Informationen von Ihrem Girokonto oder Geschäftskonto abrufen. Hierzu verwenden Sie wie gewohnt Online-PIN und -TAN. Mit der Zugriffsverwaltung im Online-Banking können Sie sehen, welche Drittanbieter Sie berechtigt haben. Sie können dort auch Zugriffsberechtigungen wieder entziehen. 

Online-Shopping mit Kreditkarte

Änderung beim Online-Shopping mit Kreditkarte

Mit Mastercard® Identity Check™ sowie Verified by Visa (zukünftig Visa Secure) ist das Online-Shopping mit Kreditkarte bereits heute schon einfach und sicher möglich. Für diese beiden Verfahren zur Authentifizierung von Kreditkartenzahlungen gibt es die Lösung via SMS oder Push-Nachricht in der VR-SecureCARD App. Zukünftig wird Mastercard® Identity Check™ sowie Verified by Visa (zukünftig Visa Secure) beim Online-Shopping mit Kreditkarte verpflichtend.

Verständlich erklärt: Starke Kundenauthentifizierung durch Mastercard® Identity Check™ und Visa Secure

Der nachfolgende Erklärfilm zeigt beispielhaft am Mastercard® Identity Check™, wie die Registrierung und die Online-Zahlungen mit Ihrer Debit- und Kreditkarte von Mastercard® oder Visa funktionieren.

Quelle: DZ BANK (Stand: Mai 2019)

Über die folgenden Links können Sie sich in wenigen Schritten für Mastercard® Identity Check™ oder Visa Secure registrieren.


Zugriffe von dritten Zahlungsdienstleistern

Drittanbieter können zukünftig agieren als:

  • Zahlungsdienstleister (Zahlungsaufträge ausführen)
  • Kontoinformationsdienstleister (Überblick über aktuelle finanzielle Situation geben)
  • Kartenausgebende Zahlungsdienstleister (Zahlungskarten können von anderen Unternehmen ausgegeben werden, diese fragen die Verfügbarkeit des Kaufbetrages bei uns an)


Mit der Zugriffsverwaltung im Online-Banking im Bereich "Service > Konten und Verträge > Zugriffsverwaltung" können Sie jederzeit kontrollieren, welchen Drittanbieter Sie berechtigt und welche Zahlungen Drittanbieter durchgeführt haben. Sie können dort auch Zugriffsberechtigungen wieder entziehen. Ihnen stehen diese Daten bis 180 Tage rückwirkend zur Verfügung. Die Zugriffsverwaltung im Online-Banking ist wie folgt strukturiert:

  • Verfügbarkeitsabfragen,
  • Kontoinformationsabfragen und
  • Zahlungsauslösungen.

Häufige Fragen zur PSD2

Was bedeutet PSD2?

Am 13. Januar 2018 sind aufgrund europäischer Vorgaben mit der "Payment Services Directive2" (PSD2) bzw. dem "Gesetz zur Umsetzung der zweiten Zahlungsdiensterichtlinie" neue gesetzliche Bestimmungen für die Erbringung von Zahlungsdiensten in Kraft getreten. Kontoführende Zahlungsdienstleister, zu denen auch die Volksbanken und Raiffeisenbanken zählen, müssen ab dem 14. September 2019 Drittanbietern einen Zugang zu den Konten ihrer Kunden zur Verfügung stellen – vorausgesetzt, die Kunden haben ihnen dafür eine Erlaubnis erteilt. Zuvor waren die Daten der Bankkunden durch das Bankgeheimnis grundsätzlich geschützt. Jetzt kann der Kunde aber im Sinne seiner eigenen Daten-Souveränität selbst entscheiden, ob er die Daten bzw. seine PIN an Drittdienste weitergeben möchte. Ihre Erlaubnis vorausgesetzt, erfolgt dann der Zugriff dieser Drittdienste über eine technische Schnittstelle Ihrer Volksbank Raiffeisenbank Rosenheim-Chiemsee eG. Mit dieser Schnittstelle werden natürlich die hohen Sicherheitsstandards weiterhin gewahrt.

Kann ein Drittanbieter, also zum Beispiel ein Zahlungsauslösedienst oder ein Kontoinformationsdienst, ohne meine Zustimmung auf meine Konten zugreifen?

Nein, ein Drittanbieter kann grundsätzlich nur mit Ihrer vorherigen Zustimmung auf Ihre Kontodaten zugreifen. In unserem Online-Banking steht Ihnen eine entsprechende Zugriffsverwaltung zur Verfügung, mit der Sie beispielsweise auch Drittanbietern Zugriffsberechtigungen wieder entziehen können.

Kann ich die Einstellungen meiner Bank zur starken Kundenauthentifizierung selbst ändern?

Sie können Ihre Volksbank Raiffeisenbank Rosenheim-Chiemsee eG damit beauftragen, die von ihr für alle Kunden eingerichteten Ausnahmen von der starken Kundenauthentifizierung individuell für Sie zurückzunehmen. D.h. die Sicherheitsanforderungen werden damit verschärft. Beispiel: Bietet Ihre Volksbank Raiffeisenbank Rosenheim-Chiemsee eG die TAN-lose Ausführung einer Kleinbetragszahlung im Online-Banking an, so können Sie diese nur zurücknehmen lassen. Sie müssen dann bei jeder Zahlung eine TAN eingeben. Bitte nehmen Sie zur Änderung Kontakt mit Ihrer Bank auf.

Warum muss ich beim Log-in im Online-Banking seit dem 14. September 2019 nicht zusätzlich eine TAN eingeben?

Die PSD 2 erlaubt der Bank, Ausnahmenregelungen von der starken Kundenauthentifizierung zuzulassen. In diesen Fällen müssen Sie die TAN zur starken Kundenauthentifizierung nur alle 90 Tage eingeben. Ihre Volksbank Raiffeisenbank Rosenheim-Chiemsee eG nutzt diese Ausnahmeregelung. Sie werden das erst Mal Mitte Dezember 2019 beim Log-in im Online-Banking dazu aufgefordert, sich mit Ihrem VR-NetKey bzw. Ihrer VR-Kennung und Ihrem Kennwort bzw. Ihrer PIN sowie einer TAN zu legitimieren.

Warum sehe ich in der Zugriffsverwaltung im Online-Banking nicht, welche Drittanbieter ich berechtigt habe, Zahlungen auszulösen oder Kontoinformationen von Zahlungsverkehrskonten abzurufen?

Drittanbieter nutzen eine sogenannte Schnittstelle, um auf Ihr Konto zuzugreifen. Aktuell nutzen viele dafür die technische Lösung FinTS oder Web-Banking. Beide Lösungen sind übergangsweise erlaubt, dürfen aber mittelfristig nicht mehr verwendet werden. Sie werden durch eine neue technische Lösung mit dem Namen XS2A ersetzt. Das hat die deutsche Bankenaufsicht so festgelegt. Die Zugriffsverwaltung im Online-Banking ist bereits auf XS2A ausgerichtet. Wenn ein Drittanbieter also XS2A nutzt, sehen Sie dessen Zugriffe auf Ihr Konto auch in der Zugriffsverwaltung. Wenn ein Drittanbieter FinTS oder Web-Banking verwendet, sehen Sie dessen Zugriffe nicht in der Zugriffsverwaltung.

Warum sehe ich in der Zugriffsverwaltung im Online-Banking nicht, welche Drittanbieter ich berechtigt habe, Zahlungen auszulösen oder Kontoinformationen von Zahlungsverkehrskonten abzurufen?

Drittanbieter nutzen eine sogenannte Schnittstelle, um auf Ihr Konto zuzugreifen. Aktuell nutzen viele dafür die technische Lösung FinTS oder Web-Banking. Beide Lösungen sind übergangsweise erlaubt, dürfen aber mittelfristig nicht mehr verwendet werden. Sie werden durch eine neue technische Lösung mit dem Namen XS2A ersetzt. Das hat die deutsche Bankenaufsicht so festgelegt. Die Zugriffsverwaltung im Online-Banking ist bereits auf XS2A ausgerichtet. Wenn ein Drittanbieter also XS2A nutzt, sehen Sie dessen Zugriffe auf Ihr Konto auch in der Zugriffsverwaltung. Wenn ein Drittanbieter FinTS oder Web-Banking verwendet, sehen Sie dessen Zugriffe nicht in der Zugriffsverwaltung.

Warum muss ich beim Login im Online-Banking seit dem 14. September 2019 nicht zusätzlich eine TAN eingeben?

Die PSD 2 erlaubt der Bank, Ausnahmenregelungen von der starken Kundenauthentifizierung zuzulassen. In diesen Fällen müssen Sie die TAN zur starken Kundenauthentifizierung nur alle 90 Tage eingeben. Ihre VR-NetWorld GmbH nutzt diese Ausnahmeregelung. Sie werden das erst Mal Mitte Dezember 2019 beim Login im Online-Banking dazu aufgefordert, sich mit Ihrem VR-NetKey bzw. Ihrer VR-Kennung und Ihrem Kennwort bzw. Ihrer PIN sowie einer TAN zu legitimieren.

Welche Anpassungen erfolgen noch im Online-Banking aufgrund der PSD2?

Gemäß PSD2 darf die maximale Zeitspanne ohne Aktivität (Session-Timeout) im Online-Banking nicht mehr als fünf Minuten betragen. Wir haben diese Vorgabe umgesetzt. Bitte beachten Sie, dass zur Verlängerung der Session eine Bewegung der Mouse oder Ähnliches nicht ausreicht. Es ist eine Transaktion erforderlich, die den Online-Banking-Server anspricht. Dabei handelt es sich beispielsweise um den Abruf von Umsatzdaten oder den Aufruf der TAN-Verwaltung bzw. der Zugriffsverwaltung.

Warum steht der Finanzmanager in der VR-BankingApp nicht mehr zur Verfügung?

Mit der Veröffentlichung der neuen Version der VR-BankingApp voraussichtlich im August 2019 steht der Finanzmanager in der App nicht mehr zur Verfügung. Der Grund dafür: Im Finanzmanager werden die Umsätze immer 13 Monate rückwirkend angezeigt. Folglich müsste bei jedem Abruf eine TAN abgefragt werden. Dies ist für Smartphone-Nutzer nicht praktikabel. Der Zugriff auf den Finanzmanager ist aber weiterhin im Online-Banking möglich.