PSD2 und Open Banking

Mit der EU-Regelung PSD2 entwickelt sich der europäische Zahlungsverkehr weiter – die Banken werden verpflichtet den Datenzugang für Dritte zu ermöglichen

Was ist PSD2?

PSD2 steht für „Payment Services Directive 2“ – die von der Europäischen Kommission verabschiedete, überarbeitete Version der EU-Zahlungsdienste-Richtlinie. Damit soll eine Liberalisierung des Bankenmarkts, ein verbessertes Niveau an Kundensicherheit und die Förderung von Innovation und Wettbewerb erreicht werden.

Das Ziel der Richtlinie: Sie selbst sollen entscheiden, wer auf Ihre Bankdaten zugreifen kann oder Transaktionen in Ihrem Namen vornehmen kann. Dies bedeutet, dass sogenannte Drittanbieter (Third Party Provider, TPP) Zugriff auf Ihre bei der Bank gespeicherten Daten erhalten.

Was ist ein Drittanbieter (TPP)?

Ein Drittanbieter im Sinne der PSD2 ist ein zugelassener Anbieter von Zahlungsdienstleistungen, der keine Konten für seine KundInnen führt, aber auf Kundenanfrage Zahlungen initiiert, Kredit- oder Kundenkarten für ein bestehendes Konto bereitstellt und Kontoinformationsdienste erbringt. 

Die TPPs müssen sich bei einer nationalen Aufsichtsbehörde der EU registrieren bzw. lizenzieren lassen (in Österreich ist das die FMA). Die TPPs unterliegen der PSD2 oder den nationalen Umsetzungsgesetzen (in Österreich dem Zahlungsdienstegesetz 2018). 

Nur mit Ihrer ausdrücklichen Zustimmung wird TPPs der Zugriff auf Ihr Zahlungskonto ermöglicht. Dazu muss das Zahlungskonto online zugänglich sein (George oder Telebanking Pro). Der Zugang erfolgt über gesicherte Kommunikations-Schnittstellen (APIs).

Wie lange gilt eine Zustimmung?

Jeden Zahlungsauftrag müssen Sie freigeben, so wie Sie das vom Internetbanking oder einer eps-Überweisung gewohnt sind.

Für Kontoinformationsdienste müssen Sie Ihre Zustimmung spätestens nach 90 Kalendertagen erneuern.

Und was ist mit dem Datenschutz?

Drittanbieter unterliegen der PSD2. Sie sind somit nicht als „unbefugte Dritte“ zu sehen (in Bezug auf die Weitergabe nicht sensibler Daten).

Geben Sie keine Zustimmung zur Weitergabe Ihrer Daten, so halten wir Ihre Daten selbstverständlich weiterhin geheim – gemäß den Bestimmungen des Bankgeheimnisses und des Datenschutzgesetzes.

Fragen & Antworten

Nein. Gemäß Bankgeheimnis und Datenschutzgesetz übermitteln wir ohne Ihre ausdrückliche Zustimmung keinerlei Daten an Drittanbieter. Ob und welchem Drittanbieter Sie diese Zustimmung geben, entscheiden nur Sie. 

Sie entscheiden, welche Drittanbieter Sie nutzen wollen. Nur wenn Sie bei einem Drittanbieter Ihre Bank-Zugangsdaten eingeben und Ihre ausdrückliche Zustimmung geben, kann dieser Drittanbieter Dienste für Sie erbringen.

Da Sie Ihre ausdrückliche Zustimmung dem Drittanbieter (und nicht Ihrer Bank) gegeben haben, müssen Sie diese auch beim Drittanbieter widerrufen. Sollte Ihnen das nicht gelingen, kontaktieren Sie bitte unsere KundenbetreuerInnen oder unser Servicecenter unter +43 (0)5 0100 - 50888.

Nein. So wie in den bestehenden Internetbanking-Zugängen müssen Sie jede Überweisung zeichnen.

Im Zuge der PSD2 können Drittanbietern nur Zahlungsverkehrskonten zugänglich gemacht werden.

Zahlungen, die Sie über Drittanbieter tätigen, entsprechen „elektronischen Zahlungen“ in Ihrem Internetbanking. Ob der von Ihnen betraute Drittanbieter zusätzliche Gebühren einhebt, erfragen Sie bitte direkt beim Drittanbieter.

Ja. Drittanbieter werden von der nationalen Bankenaufsicht überwacht (in Österreich von der FMA). Im Rahmen der PSD2 müssen Drittanbieter und Banken erhöhte Sicherheitsanforderungen erfüllen. Ein Beispiel dafür ist die s Identity-App von Erste Bank und Sparkassen zur sicheren Freigabe von Zahlungen.

Bitte kontaktieren Sie Ihren Drittanbieter zwecks Nachforschung. Sollten Sie weitere Informationen benötigen, wenden Sie sich an unsere KundenbetreuerInnen oder unser Servicecenter unter +43 (0)5 0100 - 50888.

Bitte wenden Sie sich an unsere KundenbetreuerInnen oder an unser Servicecenter unter +43 (0)5 0100 - 50888.

Bitte wenden Sie sich an unsere KundenbetreuerInnen oder an unser Servicecenter unter +43 (0)5 0100 - 50888.

Ihr Einverständnis vorausgesetzt, können Drittanbieter auf Kontostand, Transaktionshistorie und Kontodeckung zugreifen sowie Zahlungen von Ihren Konten veranlassen.

Eventuell verwenden Sie noch den Telebanking MBS client und sind noch nicht auf George oder Telebanking Pro umgestiegen. Nur online zugängliche Konten werden über die PSD2-APIs zur Verfügung gestellt.

Lassen sich Ihre Fragen nicht durch die Dokumentation am Erste Developer Portal klären? Dann schicken Sie uns bitte eine Anfrage über https://developers.erstegroup.com/support

Bitte senden Sie uns eine E-Mail an openbanking@erstebank.at

Gesetzliche Regelungen

Die „Payment Service Directive (EU) 2015/2366“ (PSD2) wurde per 13.01.2018 wirksam und per 01.06.2018 in Österreich umgesetzt („ZaDiG 2018“ – Zahlungsdienstegesetz 2018).

Eine der letzten noch zu erfüllenden EBA-Leitlinien sind die „RTS“ (Regulatory Technical Standards on strong customer authentication and secure communication under PSD2), die ab 14.09.2019 anzuwenden sind. Sie schreiben die Öffnung der Banken gegenüber TPPs vor (Third Party Provider, Drittanbieter), welche über gesicherte Schnittstellen (APIs – Application Programming Interfaces) kostenlosen Zugang zu Zahlungsverkehrskonten erhalten müssen, um KundInnen ihre Services anbieten zu können:

  • Mit Zahlungsauslösediensten können direkt Zahlungsaufträge von Zahlungskonten ausgelöst werden (etwa nach Abschluss eines Geschäfts in einem Online-Shop).
  • Mit Kontoinformationsdiensten können auf Kontoinformationen basierende Dienste angeboten werden (etwa Konten verschiedener Banken auf einer Plattform sehen und verwalten).
  •  Ein Zahlungsdienstleister, der z. B. Kundenkarten ausgibt, kann um Bestätigung der Verfügbarkeit eines gewissen Geldbetrags bei der Bank anfragen.

Diese Drittanbieter müssen sich dafür bei einer nationalen Aufsichtsbehörde im EWR registrieren bzw. lizenzieren lassen und unterliegen genauso wie Banken der PSD2.

Nur mit ausdrücklicher Zustimmung der KundIn – etwa durch s Identity – wird Drittanbietern der Zugriff auf Zahlungsverkehrsdaten ermöglicht. Dazu muss das betreffende Konto online zugänglich sein (via George oder Telebanking Pro).

Legende

API

Application Programming Interface / Schnittstelle

PSD2

Payment Service Directive 2 / in Österreich Zahlungsdienstegesetz 2018

RTS

Regulatory Technical Standards on strong customer authentication and secure communication under PSD2

SCA

Strong Customer Authentication / starke Kundenauthentifizierung (s Identity, CardTAN)

TPP

Third Party Provider / Drittanbieter

Kennen Sie schon ...?