PSD2 und Open Banking
Mit der EU-Regelung PSD2 entwickelt sich der europäische Zahlungsverkehr weiter – die Banken werden verpflichtet den Datenzugang für Dritte zu ermöglichen
Was ist PSD2?
PSD2 steht für „Payment Services Directive 2“ – die von der Europäischen Kommission verabschiedete, überarbeitete Version der EU-Zahlungsdienste-Richtlinie. Damit soll eine Liberalisierung des Bankenmarkts, ein verbessertes Niveau an Kundensicherheit und die Förderung von Innovation und Wettbewerb erreicht werden.
Das Ziel der Richtlinie: Sie selbst sollen entscheiden, wer auf Ihre Bankdaten zugreifen kann oder Transaktionen in Ihrem Namen vornehmen kann. Dies bedeutet, dass sogenannte Drittanbieter (Third Party Provider, TPP) Zugriff auf Ihre bei der Bank gespeicherten Daten erhalten.
Was ist ein Drittanbieter (TPP)?
Ein Drittanbieter im Sinne der PSD2 ist ein zugelassener Anbieter von Zahlungsdienstleistungen, der keine Konten für seine KundInnen führt, aber auf Kundenanfrage Zahlungen initiiert, Kredit- oder Kundenkarten für ein bestehendes Konto bereitstellt und Kontoinformationsdienste erbringt.
Die TPPs müssen sich bei einer nationalen Aufsichtsbehörde der EU registrieren bzw. lizenzieren lassen (in Österreich ist das die FMA). Die TPPs unterliegen der PSD2 oder den nationalen Umsetzungsgesetzen (in Österreich dem Zahlungsdienstegesetz 2018).
Nur mit Ihrer ausdrücklichen Zustimmung wird TPPs der Zugriff auf Ihr Zahlungskonto ermöglicht. Dazu muss das Zahlungskonto online zugänglich sein (George oder Telebanking Pro). Der Zugang erfolgt über gesicherte Kommunikations-Schnittstellen (APIs).
Wie lange gilt eine Zustimmung?
Jeden Zahlungsauftrag müssen Sie freigeben, so wie Sie das vom Internetbanking oder einer eps-Überweisung gewohnt sind.
Für Kontoinformationsdienste müssen Sie Ihre Zustimmung spätestens nach 90 Kalendertagen erneuern.
Und was ist mit dem Datenschutz?
Drittanbieter unterliegen der PSD2. Sie sind somit nicht als „unbefugte Dritte“ zu sehen (in Bezug auf die Weitergabe nicht sensibler Daten).
Geben Sie keine Zustimmung zur Weitergabe Ihrer Daten, so halten wir Ihre Daten selbstverständlich weiterhin geheim – gemäß den Bestimmungen des Bankgeheimnisses und des Datenschutzgesetzes.
Fragen & Antworten
Geben Erste Bank und Sparkassen meine Daten im Zuge von Open Banking ohne mein Zutun an Drittanbieter weiter?
Nein. Gemäß Bankgeheimnis und Datenschutzgesetz übermitteln wir ohne Ihre ausdrückliche Zustimmung keinerlei Daten an Drittanbieter. Ob und welchem Drittanbieter Sie diese Zustimmung geben, entscheiden nur Sie.
Wie kann ich steuern, wer auf meine Bankdaten Zugriff hat?
Sie entscheiden, welche Drittanbieter Sie nutzen wollen. Nur wenn Sie bei einem Drittanbieter Ihre Bank-Zugangsdaten eingeben und Ihre ausdrückliche Zustimmung geben, kann dieser Drittanbieter Dienste für Sie erbringen.
Wie kann ich mein Einverständnis zur Erbringung von Diensten von Drittanbietern widerrufen?
Da Sie Ihre ausdrückliche Zustimmung dem Drittanbieter (und nicht Ihrer Bank) gegeben haben, müssen Sie diese auch beim Drittanbieter widerrufen. Sollte Ihnen das nicht gelingen, kontaktieren Sie bitte unsere KundenbetreuerInnen oder unser Servicecenter unter +43 (0)5 0100 - 50888.
Kann ein Drittanbieter Zahlungen von meinem Konto ohne meine Zustimmung durchführen?
Nein. So wie in den bestehenden Internetbanking-Zugängen müssen Sie jede Überweisung zeichnen.
Welche Arten von Konten können Drittanbietern zugänglich gemacht werden?
Im Zuge der PSD2 können Drittanbietern nur Zahlungsverkehrskonten zugänglich gemacht werden.
Kommen Gebühren auf mich zu, wenn ich Zahlungen über einen Drittanbieter durchführe?
Zahlungen, die Sie über Drittanbieter tätigen, entsprechen „elektronischen Zahlungen“ in Ihrem Internetbanking. Ob der von Ihnen betraute Drittanbieter zusätzliche Gebühren einhebt, erfragen Sie bitte direkt beim Drittanbieter.
Ist Open Banking sicher?
Ja. Drittanbieter werden von der nationalen Bankenaufsicht überwacht (in Österreich von der FMA). Im Rahmen der PSD2 müssen Drittanbieter und Banken erhöhte Sicherheitsanforderungen erfüllen. Ein Beispiel dafür ist die s Identity-App von Erste Bank und Sparkassen zur sicheren Freigabe von Zahlungen.
Ich habe über eine externe Anwendung eine Zahlung von meinem Konto bei Erste Bank oder Sparkasse vorgenommen. Aber die Zahlung wurde nicht so durchgeführt, wie ich das erwartet hätte.
Bitte kontaktieren Sie Ihren Drittanbieter zwecks Nachforschung. Sollten Sie weitere Informationen benötigen, wenden Sie sich an unsere KundenbetreuerInnen oder unser Servicecenter unter +43 (0)5 0100 - 50888.
Was kann ich tun, wenn ich eine von einem Drittanbieter veranlasste Transaktion bemerke, bei der ich mir nicht sicher bin, ob ich sie getätigt habe?
Bitte wenden Sie sich an unsere KundenbetreuerInnen oder an unser Servicecenter unter +43 (0)5 0100 - 50888.
Was kann ich tun, wenn ich vermute, dass meine Bank-Zugangsdaten gestohlen wurden?
Bitte wenden Sie sich an unsere KundenbetreuerInnen oder an unser Servicecenter unter +43 (0)5 0100 - 50888.
Welche Dienste können Drittanbieter unter PSD2 für mich erbringen?
Ihr Einverständnis vorausgesetzt, können Drittanbieter auf Kontostand, Transaktionshistorie und Kontodeckung zugreifen sowie Zahlungen von Ihren Konten veranlassen.
Ich bin ein Firmenkunde und erhalte eine Fehlermeldung, wenn ich meinen Verfüger verwenden möchte.
Eventuell verwenden Sie noch den Telebanking MBS client und sind noch nicht auf George oder Telebanking Pro umgestiegen. Nur online zugängliche Konten werden über die PSD2-APIs zur Verfügung gestellt.
Ich bin Entwickler/TPP und benötige Informationen zum Erste Developer Portal.
Lassen sich Ihre Fragen nicht durch die Dokumentation am Erste Developer Portal klären? Dann schicken Sie uns bitte eine Anfrage über https://developers.erstegroup.com/support
Ich habe weitere Fragen zu Open Banking. An wen kann ich mich wenden?
Bitte senden Sie uns eine E-Mail an openbanking@erstebank.at
Gesetzliche Regelungen
Die „Payment Service Directive (EU) 2015/2366“ (PSD2) wurde per 13.01.2018 wirksam und per 01.06.2018 in Österreich umgesetzt („ZaDiG 2018“ – Zahlungsdienstegesetz 2018).
Eine der letzten noch zu erfüllenden EBA-Leitlinien sind die „RTS“ (Regulatory Technical Standards on strong customer authentication and secure communication under PSD2), die ab 14.09.2019 anzuwenden sind. Sie schreiben die Öffnung der Banken gegenüber TPPs vor (Third Party Provider, Drittanbieter), welche über gesicherte Schnittstellen (APIs – Application Programming Interfaces) kostenlosen Zugang zu Zahlungsverkehrskonten erhalten müssen, um KundInnen ihre Services anbieten zu können:
- Mit Zahlungsauslösediensten können direkt Zahlungsaufträge von Zahlungskonten ausgelöst werden (etwa nach Abschluss eines Geschäfts in einem Online-Shop).
- Mit Kontoinformationsdiensten können auf Kontoinformationen basierende Dienste angeboten werden (etwa Konten verschiedener Banken auf einer Plattform sehen und verwalten).
- Ein Zahlungsdienstleister, der z. B. Kundenkarten ausgibt, kann um Bestätigung der Verfügbarkeit eines gewissen Geldbetrags bei der Bank anfragen.
Diese Drittanbieter müssen sich dafür bei einer nationalen Aufsichtsbehörde im EWR registrieren bzw. lizenzieren lassen und unterliegen genauso wie Banken der PSD2.
Nur mit ausdrücklicher Zustimmung der KundIn – etwa durch s Identity – wird Drittanbietern der Zugriff auf Zahlungsverkehrsdaten ermöglicht. Dazu muss das betreffende Konto online zugänglich sein (via George oder Telebanking Pro).
