PSD2 und Open Banking

Mit der EU-Regelung PSD2 entwickelt sich der europäische Zahlungsverkehr weiter – die Banken werden verpflichtet den Datenzugang für Dritte zu ermöglichen

Was ist PSD2?

PSD2 steht für „Payment Services Directive 2“ – die von der Europäischen Kommission verabschiedete, überarbeitete Version der EU-Zahlungsdienste-Richtlinie. Damit soll eine Liberalisierung des Bankenmarkts, ein verbessertes Niveau an Kundensicherheit und die Förderung von Innovation und Wettbewerb erreicht werden.

Das Ziel der Richtlinie: Sie selbst sollen entscheiden, wer auf Ihre Bankdaten zugreifen kann oder Transaktionen in Ihrem Namen vornehmen kann. Dies bedeutet, dass sogenannte Drittanbieter (Third Party Provider, TPP) Zugriff auf Ihre bei der Bank gespeicherten Daten erhalten.

Was ist ein Drittanbieter (TPP)?

Ein Drittanbieter im Sinne der PSD2 ist ein zugelassener Anbieter von Zahlungsdienstleistungen, der keine Konten für seine KundInnen führt, aber auf Kundenanfrage Zahlungen initiiert, Kredit- oder Kundenkarten für ein bestehendes Konto bereitstellt und Kontoinformationsdienste erbringt. 

Die TPPs müssen sich bei einer nationalen Aufsichtsbehörde der EU registrieren bzw. lizenzieren lassen (in Österreich ist das die FMA). Die TPPs unterliegen der PSD2 oder den nationalen Umsetzungsgesetzen (in Österreich dem Zahlungsdienstegesetz 2018). 

Nur mit Ihrer ausdrücklichen Zustimmung wird TPPs der Zugriff auf Ihr Zahlungskonto ermöglicht. Dazu muss das Zahlungskonto online zugänglich sein (George oder Telebanking Pro). Der Zugang erfolgt über gesicherte Kommunikations-Schnittstellen (APIs).

Wie lange gilt eine Zustimmung?

Jeden Zahlungsauftrag müssen Sie freigeben, so wie Sie das vom Internetbanking oder einer eps-Überweisung gewohnt sind.

Für Kontoinformationsdienste müssen Sie Ihre Zustimmung spätestens nach 90 Kalendertagen erneuern.

Und was ist mit dem Datenschutz?

Drittanbieter unterliegen der PSD2. Sie sind somit nicht als „unbefugte Dritte“ zu sehen (in Bezug auf die Weitergabe nicht sensibler Daten).

Geben Sie keine Zustimmung zur Weitergabe Ihrer Daten, so halten wir Ihre Daten selbstverständlich weiterhin geheim – gemäß den Bestimmungen des Bankgeheimnisses und des Datenschutzgesetzes.

Fragen & Antworten

Gesetzliche Regelungen

Die „Payment Service Directive (EU) 2015/2366“ (PSD2) wurde per 13.01.2018 wirksam und per 01.06.2018 in Österreich umgesetzt („ZaDiG 2018“ – Zahlungsdienstegesetz 2018).

Eine der letzten noch zu erfüllenden EBA-Leitlinien sind die „RTS“ (Regulatory Technical Standards on strong customer authentication and secure communication under PSD2), die ab 14.09.2019 anzuwenden sind. Sie schreiben die Öffnung der Banken gegenüber TPPs vor (Third Party Provider, Drittanbieter), welche über gesicherte Schnittstellen (APIs – Application Programming Interfaces) kostenlosen Zugang zu Zahlungsverkehrskonten erhalten müssen, um KundInnen ihre Services anbieten zu können:

  • Mit Zahlungsauslösediensten können direkt Zahlungsaufträge von Zahlungskonten ausgelöst werden (etwa nach Abschluss eines Geschäfts in einem Online-Shop).
  • Mit Kontoinformationsdiensten können auf Kontoinformationen basierende Dienste angeboten werden (etwa Konten verschiedener Banken auf einer Plattform sehen und verwalten).
  •  Ein Zahlungsdienstleister, der z. B. Kundenkarten ausgibt, kann um Bestätigung der Verfügbarkeit eines gewissen Geldbetrags bei der Bank anfragen.

Diese Drittanbieter müssen sich dafür bei einer nationalen Aufsichtsbehörde im EWR registrieren bzw. lizenzieren lassen und unterliegen genauso wie Banken der PSD2.

Nur mit ausdrücklicher Zustimmung der KundIn – etwa durch s Identity – wird Drittanbietern der Zugriff auf Zahlungsverkehrsdaten ermöglicht. Dazu muss das betreffende Konto online zugänglich sein (via George oder Telebanking Pro).

Kennen Sie schon ...?