Starke Kundenauthentifizierung und sichere Kommunikation im Rahmen der PSD2

Die Geschichte der RTS für starke Kundenauthentifiierung und sichere Kommunikation ist lang. Am 14. September 2019 ist es  soweit, dann treten die neuen SCA-Regeln in Kraft.

Hier ein Überblick über die wichtigsten Milestones zur starken Kundenauthentifizierung und sicheren Kommunikation in gestürzter Reihenfolge, also zuerst die letzten News:

Hier fassen wir die wichigsten Punkte der RTS zusammen:

Starke Kundenauthentifizierung

Die PSD2 sieht strenge Sicherheitsvorkehrungen für die Auslösung und Durchführung elektronischer Zahlungen vor. Diese gelten für alle Zahlungsdienstleister (PSPs). PSPs müssen demnach eine starke Kundenauthentifizierung verlangen, wenn ein Zahler online auf sein Zahlungskonto zugreift, einen elektronischen Zahlungsvorgang auslöst oder über einen Fernzugang eine Handlung vornimmt, die das Risiko eines Betrugs im Zahlungsverkehr oder anderen Missbrauchs birgt. Starke Kundenauthentifizierung ist ein Authentifizierungsverfahren unter Heranziehung von mindestens zwei Elementen der Kategorien

  • Wissen (etwas, das nur der Nutzer weiß, z.B. ein Passwort oder eine PIN),
  • Besitz (etwas, das nur der Nutzer besitzt, z.B. eine Karte oder ein Gerät, das einen Authentifizierungscode generiert) oder
  • Inhärenz (etwas, das der Nutzer ist, z.B. ein Fingerabruck oder eine Stimmenerkennung).

Der Authentifizierungsvorgang muss einen nur einmalig verwendbaren Authentifizierungscodes generieren. Der Code muss zumindest gewährleisten, dass

  • keine auf einem der Elemente Wissen, Besitz und Inhärenz befindliche Information aus dem Authentifizierungscode abgeleitet werden kann,
  • es nicht möglich ist, basierend auf der Kenntnis eines Autentifizierungscodes einen neuen Authentifizierungscode zu generieren, und
  • der Authentifizierungscode nicht gefälscht werden kann.

Das Vefahren soll zudem Mechanismen beinhalten, um den Zeitraum zu beschränken, in dem der Zahler sein Zahlungskonto online erreichen kann. Auch die Zahl der Fehlversuche innerhalb eines zu definierenden Zeitraum soll beschränkt werden. Die Kommunikationsverfahren sollen auch gegen fremde Datenzugriffe und Manipulation geschützt werden. Außerdem sollen betrügerische Zahlungstransaktionen vor Durchführung vermieden, erkannt und geblockt werden.

Die Sicherheit von starken Kundenauthentifizierungsverfahren soll regelmäßig von internen oder externen unabhängigen und zertifizierten Prüfern getestet, evaluiert und geprüft werden.

Ausnahmen von der starken Kundenauthentifizierung

Ausnahmen von der starken Kundenauthentifizierung bestehen nach dem Konsultationsentwurf in folgenden Fällen:

  • Online-Zugriff auf das Konto, ohne dabei sensible Zahlungsdaten anzugeben. Diese Ausnahme gilt nicht beim ersten Zugriff, sowie wenn die letzte starke Kundenauthentifizierung über ein Monat her ist;
  • Auslösung kontaktloser elektronischer Zahlungen bis EUR 50, außer der Gesambetrag davor ausgelöster Transaktionen mittels der Kontaktlosfunktion ohne starker Kundenauthentifizierung übersteigt EUR 150;
  • Zahlungsausgänge an vertrauenswürdige Personen, die vom Kunden als solche festgelegt wurden;
  • Serie von Überweisungen mit demnselben Betrag an denselben Empfänger, außer bei der erstmaligen Einrichtung oder Änderung eines solchen Auftrags;
  • Transfers, bei denen Auftraggeber und Empfänger ident sind und das Empfängerkonto beim selben Zahlungsdienstleister gehalten wird;
  • Kleinstbetragszahlungen im Wege der elektronischen Ferntransaktion bis EUR 30, sofern der kumulierte Betrag der vorherigen Zahlungen EUR 100 nicht übersteigt;
  • bestimmte sichere Unternehmenstransaktionen; und
  • bei Anwendung einer sg "Transaction Risk Analysis" in Echtzeit und bis zu betimmten Schwellenwerten, sofern bestimmte Betrugsraten nicht überschritten werden.

Schnittstelle zwischen kontoführenden PSPs und Drittanbietern

Die RTS legen auch die Anforderungen an die Schnittstelle fest, über die kontoführende PSPs künftig Auslöse-, Kontoinformationsdienstleistern und Emittenten kartengebundener Zahlungsinstrumente Zugriffe auf das Kundenkonto ermöglichen müssen. Die RTS enthalten jedoch keine technischen Spezifikationen, sondern beschränken sich auf funktionale und nichtfunktionale Anforderungen an die technischen Systeme von kontoführenden PSPs.

Konkret müssen kontofüh­r­en­de Zahlungs­dienst­leis­ter, die dem Zah­ler ein Konto mit Online-Zugang anbie­ten, min­des­tens ei­ne Kommunikati­ons­schnitt­stel­le anbie­ten, die TTPs die folgen­den drei Nutzungs­möglichkei­ten zur Verfügung stellen. Mit der Schnittstelle müssen TTPs

  • sich gegenüber dem kontoführenden Zahlungsdienstleister identifizieren können,
  • mit dem kontoführenden Zahlungsdienstleister kommunizieren können, um Zahlungskonteninformationen anzufragen, Zahlungen auszulösen und Bestätigungen zu erhalten, ob der für die Ausführung einer kartenbasierten Zahlung erforderliche Betrag auf dem Zahlungskonto des Zahlers verfügbar ist, und
  • sich auf die Authentifizierungsverfahren des kontoführenden Zahlungsdienstleisters verlassen können.

Die Kommunikationsschnittstelle muss zudem so gestaltet sein, dass die TTPs auf die Authentifizierungsverfahren der kontoführenden Institute vertrauen können. Konkret müssen

  • Zahlungsauslöse- und Kontoinformationsdienstleister damit den kontoführenden Zahlungsdienstleister anweisen können, den Authentifizierungsprozess zu starten,
  • Aufbau und Aufrechterhaltung eines Kommunikationsvorgangs zwischen den beteiligten Parteien während des Authentifizierungsprozesses gewährleistet sein und
  • sie den Schutz der Integrität und Vertraulichkeit der persönlichen Sicherheitsmerkmale und Authentifizierungscodes der Kunden gewährleisten, wenn diese vom Zahlungsauslösedienstleister oder Kontoinformationsdienstleiter übertragen werden.

Die Kommunikationsschnittstellen sollen möglichst ISO 20022 und anderen von europäischen Standardisierungsorganisationen entwickelten Kommunikationsstandards entsprechen.

Weiters müssen kontoführende Institute die technischen Spezifikationen der Kommunikationsschnittstelle dokumentieren und auf ihrer Webseite öffentlich und kostenlos zur Verfügung zu stellen, insbesondere eine Liste von Routinen, Protokollen und Tools, die notwendig sind, um mit der Schnittstelle zu interagieren. Veröffentlichungen von Änderungen an den technischen Spezifikationen sind so früh wie möglich, spätestens jedoch drei Monate vor Implementierung vorzunehmen. Notfälle sind von dieser Frist ausgenommen.

PSD 2 - alle wichtigen Infos zusammengefasst

Im Mai 2015 hat sich der Europäische Rat mit dem EU-Parlament auf die geänderte Zahlungsdiensterichtlinie (bekannt unter der Abkürzung PSD2) geeinigt. Die PSD2 wurde dann am 25. November 2015 angenommen und im Dezember 2015 veröffentlicht. Sie musste von den Mitgliedstaaten bis 13. Jänner 2018 umgesetzt werden.

Hier finden Sie alle wichtigen Infos zur PSD2:

Ziele der PSD2

Mit der PSD2 wurde auf die vielfältigen Entwicklungen im Bereich innovativer Zahlungsprodukte der letzten Jahre reagiert, vor allem im Bereich Mobile und Online Payments. Zudem sollen Verbraucher besser vor Betrug, etwaigem Missbrauch und sonstigen Problemen bei der Durchfürhung von Zahlungen geschützt werden.

PSD2 Neuerungen

Die PSD2 brachte eine Reihe an Neuerungen mit sich. Diese haben beachtlichen Einfluss auf die Entwicklung neuer Zahlungsprodukte. Folgende Änderungen gehen mit der PSD2 einher:

  • Es entstanden in den letzten Jahren neue Zahlungsdienste, so genannte Drittdienste, die nun im Rahmen der PSD2 reguliert sind. Dabei handelt es sich um Zahlungsauslösedienste und Kontoinformationsdienste.
  • Mit der Einführung der Drittdienste endet auch das "Monopol" der Kreditinstitute auf die Kontoinformationen ihrer Kunden. Kontoinhaber können nun den Zugriff auf ihre Kontoinformationen für Drittdienstleister freigeben (sog "Open Banking" bzw "Access to Account", kurz auch "XS2A" genannt). Für den Kontenzugriff müssen entsprechende technische Schnittstellen geschaffen werden. Diese gelten jedoch erst ab 14. September 2019. Trotzdem dürfen kontoführende Institute Drittanbietern den Zugang zu den von ihnen geführten Zahlungskonten davor nicht verweigern, auch wenn die sicheren Kommunikationsstandards im Sinne der PSD2 noch nicht erfüllt werden.
  • Neu ist auch die mit der PSD2 eingeführte, so genannte "starke Kundenauthentifizierung" ("Strong Customer Authentication" bzw "SCA"). Sie gilt ebenfalls ab 14. September 2019 und bringt strengere Anforderungen an die Autorisierung von elektronischen Zahlungsvorgängen.

Größerer Anwendungsbereich der PSD2

Nach Ansicht der Europäischen Kommission bestand nach der PSD1 ein Rechtsvakuum für bestimmte innovative Anbieter von Internetdiensten, so genannten Drittdienstleistern, die Online-Banking-basierte Zahlungsauslösedienste anbieten. Dabei handelte es sich z.B. um Unternehmen, die zwischen einem Händler und der Bank eines Käufers stehen und eine Softwarebrücke zwischen der Händlerwebsite und der Online-Banking-Plattform des Kunden schaffen, um Überweisungen über das Internet auszulösen. Die Kommission betrachtete die Nutzung solcher Dienste als eine gangbare und häufig preisgünstige Alternative zu Kartenzahlungen, die auch für jene Verbraucher attraktiv ist, die keine Karten besitzen. Derartige Dienste wurden nun zum Schutz der Verbraucher mit der PSD2 reguliert, weshalb Zahlungsauslösedienste (sog Payment Initiation Services) mittlerweile als Erbringer von Zahlungsdiensten gelten. Derartige Unternehmen müssen daher nun im Rahmen der PSD2, wie alle anderen Zahlungsinstitute, über eine entsprechende Konzession verfügen, bevor sie tätig werden dürfen.

Auch Kontoinformationsdienstleister (sog Account Information Services) fallen in den Anwendungsbereich der PSD2. Mit derartigen Kontoinformationsdiensten kann ein Nutzer Informationen über Konten abrufen, etwa über Smartphone Apps, die er bei verschiedenen Banken und Zahlungsinstituten führt. Zu diesem Zweck erhält der Dienstleister Zugriff auf die Daten dieser Konten. Der Nutzer muss sich seine Informationen also nicht einzeln zusammentragen, indem er verschiedene Online-Banking-Zugänge öffnet, sondern kann die Informationen bei einem Anbieter zusammenführen. Damit hat er sie auf einen Blick verfügbar. Das ist aber nur ein Beispiel für Kontoinformationsdienstleister.

Das "digitalisierte Zahlungsgeschäft" wurde hingegen im Rahmen der PSD2 gestrichen. Dies bedeutet aber nicht, dass digitalisierte Zahlungsdienstleister nicht mehr konzessionspflichtig sind. Derartige Geschäftsmodelle fallen jetzt vielmehr unter allgemeinere Zahlungsdienstetatbestände (Ausgabe von Zahlungsinstrumenten und/oder Annahme und Abrechnung von Zahlungsinstrumenten), sofern kein PSD2-Ausnahmetatbestand erfüllt ist.

Einschränkungen der Ausnahmen mit PSD2

Die mit der PSD2 beschlossenen Einschränkung der Ausnahmen betrifft viele unter der PSD1 außerhalb der Regulierung agierende Anbieter, beispielsweise Online-Handelsplattformen, technische Dienstleister, Coupon-Systeme, etc.

Diese Entwicklung ist den früher bestehenden Rechtsunsicherheiten geschuldet, ob ein bestimmtes Geschäftsmodell einen Zahlungsdienst verwirklicht oder nicht. Vor der PSD2 wurden Geschäftsmodelle bewusst derart gestaltet, um von einer Ausnahmebestimmung der damaligen PSD1 zu profitieren. Mit den diesbezüglichen Änderungen, die die PSD2 bringt, soll vor allem eine kohärente Anwendung des Rechtsrahmens in allen Mitgliedstaaten und ein verbesserter Schutz der Verbraucherinteressen, besonders für neue Zahlungswege und innovative Zahlungsdienste, erreicht werden.

So wird etwa der Ausnahmetatbestand des begrenzten Netzes an Waren oder Händlern ("Closed Loop") restriktiver definiert. Dienstleister, die die Aufnahme eines "begrenzten Netzes" planen, müssen dies nunmehr vorab der zuständigen Aufsichtsbehörde anzeigen und einen Antrag auf Anerkennung als begrenztes Netz stellen, wenn innerhalb von zwölf Monaten im Monatsdurchschnitt mehr als 1 Mio € Transaktionsvolumen abgewickelt wird.

Auch die Ausnahmebestimmung für digitale Inhalte (sog "Klingeltonausnahme"), von der früher hauptsächlich der Telekom-Sektor profitierte, wurde neu und einschränkend definiert. Die Ausnahme gilt nur noch für Betreiber elektronischer Kommunikationsnetze oder -dienste, die Zahlungsvorgänge im Zusammenhang mit dem Erwerb digitaler Inhalte oder sprachbasierter Services als Nebendienstleistungen erbringen. Außerdem wurde eine Betragsgrenze eingezogen: Übersteigt der Wert eines einzelnen Zahlungsvorgangs 50 € und der kumulative Wert der Zahlungsvorgänge innerhalb eines Rechnungsmonats 300 €, gilt die PSD2-Ausnahme nicht mehr.

Weiters schränkt die PSD2 die Ausnahme für Handelsagenten ein. Die Befreiung wurde vor der PSD2 etwa von E-Commerce-Plattformen genutzt, die als Handelsvertreter eine treuhandähnliche Stellung einnehmen. Sie agierten als Vermittler zwischen Unternehmen und Verbrauchern und wickelten insbesondere die Kaufpreiszahlung treuhändig ab. Dies ging der EU-Kommission zu weit. Nach der PSD2 gelten nur mehr Zahlungsvorgänge von Zahlern an Zahlungsempfänger über Handelsagenten als befreit, die befugt sind, den Verkauf oder Kauf von Waren oder Dienstleistungen nur im Namen des Verkäufers oder nur im Namen des Käufers auszuhandeln oder abzuschließen. Geschäftsmodelle, bei denen der Agent für beide Seiten auftritt, können im Rahmen der PSD2 daher nicht mehr von der Ausnahme profitieren.

Starke Kundenauthentifizierung

Die PSD2 sieht auch vor, dass Zahlungsdienstleister eine "starke Kundenauthentifizierung" verlangen müssen, wenn Zahler online auf ein Zahlungskonto zugreifen. Dies ist auch so, wenn sie einen elektronischen Zahlungsvorgang auslösen oder sonst eine Aktion über einen Distanzkanal durchführen, die ein Betrugs- oder Missbrauchsrisiko des Zahlungsdienstes mit sich bringt. Authentifizierung bedeutet in diesem Fall, eindeutig und nachweisbar festzustellen, dass ein bestimmter Nutzer eine bestimmte Zahlung in Auftrag gegeben hat. Damit dient die Authentifizierung als Schutz davor, dass Zahlungen unberechtigt ausgeführt werden.

Die EBA entwickelte technische Regulierungsstandards, mit denen Anforderungen an starke Authentifizierungsmaßnahmen sowie Ausnahmen festgelegt wurden. Darin wurden auch die Voraussetzungen an die von Zahlungsdienstleistern zu erfüllenden Sicherheitsmaßnahmen konkretisiert, um die personalisierten Sicherheitsmerkmale der Nutzer zu schützen. Nach einigem Zank zwischen der EBA und der Europäischer Kommission wurden die finalen RTS zur starken Kundenauthentifizierung und sicheren Kommunikation im März 2018 von der Europäischen Kommission als delegierte Verordnung angenommen. Diese gilt großteils ab dem 14. September 2019.

Umsetzung der PSD2 in Österreich

Die PSD2 war von den Mitgliedstaaten bis 18. Jänner 2018 umzusetzen. In Österreich wurde der entsprechende Begutachtungsentwurf (Zahlungsdienstegesetz 2018 bzw. ZaDiG 2018) zur PSD2 Umsetzung erst am 20. Oktober 2017 veröffentlicht. Eine Zusammenfassung des ZaDiG 2018-Entwurfs finden Sie hier. Österreich musste dabei auch die von EBA noch zu erlassenden Regulierungsstandards und Leitlinien berücksichtigen. Das ZaDiG 2018 wurde schließlich Anfang 2018 beschlossen und am 24. April 2018 im Bundesgesetzblatt veröffentlicht.

Das ZaDiG 2018 trat großteils am 1. Juni 2018 in Kraft. Einige Bestimmungen zur starken Kundenauthentifizierung und zur sicheren Kommunikation mit Drittdienstleistern (Stichwort "Open Banking Schnittstelle") treten jedoch erst am 14. September 2019 in Kraft.

PSD2 Timeline

Hier finden Sie noch eine übersichtliche, chronologische Zusammenfassung der wichtigsten Ereignisse zur PSD2:

18. Juli 2018
Die EBA veröffentlicht ihre finalen Leitlinien über die Anforderungen an die Meldung von Betrugsfällen gemäß Artikel 96 Absatz 6 der Richtlinie (EU) 2015/2366 PSD2). Die offizielle deutsche Übersetzung dieser Leitlinien finden Sie HIER.
1. Juni 2018
Das ZaDiG 2018, mit dem die PSD2 in Österreich umgesetzt wurde, ist großteils in Kraft getreten.
25. Mai 2018
Hier ein Update des PSD2-Umsetzungsstands in den Mitgliedstaaten, veröffentlicht von der Kommission. Bislang haben die folgenden 23 Mitgliedstaaten die PSD2 umgesetzt: Österreich, Belgien, Bulgarien, Kroatien, Zypern, Tschechien, Dänemark, Estland, Finland, Frankreich, Deutschland, Griechenland, Ungarn, Irland, Italien, Lettland, Litauen, Luxemburg, Polen, Slowakei, Slowenien, Schweden und Großbritannien. Holland, Malta, Portugal, Rumänien und Spanien haben die PSD2 bislang noch nicht vollständig umgesetzt.
19. Dezember 2017
Die EBA veröffentlicht eine "Opinion" zum Übergang von der PSD1 auf die PSD2. Hier finden Sie eine Zusammenfassung dieser Opinion.
13. Dezember 2017
Die EBA veröffentlicht ihre finalen RTS und ITS-Entwürfe zum zentralen Register. Diese müssen nun noch von der EU-Kommission verabschiedet werden.
12. Dezember 2017
Die EBA veröffentlicht ihre finalen Leitlinien zu operationellen und sicherheitsrelevanten Risiken im Rahmen der PSD2.
11. Dezember 2017
Die EBA veröffentlicht finale RTS-Entwürfe zu zentralen Kontaktstellen im Rahmen der PSD2. Diese müssen nun noch von der EU-Kommission verabschiedet werden.
27. November 2017
Die Europäische Kommission hat die finalen technischen Regulierungsstandards zur starken Kundenauthentifizierung und sicheren Kommunikation (RTS) angenommen. Sofern Rat oder Europäisches Parlament dazu binnen drei Monaten keine Einwände haben, werden die RTS voraussichtlich Ende Februar 2018 veröffentlicht. Sie treten dann 18 Monate später in Kraft.
20. Oktober 2017
Das österreichische Finanzministerium veröffentlicht einen Begutachtungsentwurf zur Umsetzung der PSD2.

Ist ein Online-Sparkonto ein Zahlungskonto im Sinne der PSD?

Im Rahmen eines Verbandsprozesses betreffend die AGB-Klauseln einer österreichischen Bank hat der OGH mit Beschluss vom 28.3.2017 (8 Ob 88/16y) dem EuGH die Frage zur Entscheidung vorgelegt, ob ein Online-Sparkonto, auf das bzw von dem der Kunde im Wege des Telebanking jederzeit (und ohne Beiziehung der Bank) Einzahlungen und Abhebungen tätigen kann, wobei diese Überweisungen jeweils nur von einem bzw auf ein Referenzkonto des Kunden erfolgen könnnen, als Zahlungskonto iSd Zahlungsdienste-RL 2007/64/EG zu qualifizieren ist.

Diese Frage ist in dem beim OGH anhängigen „Klauselprozess“ insofern maßgeblich, als der klagende Verband die Ansicht vertritt, dass zahlreiche Klauseln der AGB unzulässig sind, weil sie gegen das ZaDiG verstoßen. Die beklagte Bank ist hingegen der Auffassung, dass die Bestimmungen des ersten und dritten Hauptstücks des ZaDiG auf die von ihr angebotenen Direkt-Sparkonten nicht anwendbar seien, da es sich um kein Zahlungskonto handelt. Bei den strittigen Sparkonten kann der Kunde bei täglicher Fälligkeit (und damit auch ohne negative Auswirkungen auf die Verzinsung) ohne Einschränkung entscheiden, ob, wann und wie viel Geld er vom Referenzkonto auf das Direkt-Sparkonto ein- oder auszahlt. Überträge sind zwar nur zwischen dem Sparkonto und dem Referenzkonto möglich, dadurch wird der Kontoinhaber aber nicht gehindert, jederzeit (und ohne notwendige Beiziehung des Zahlungsdienstleisters) über den auf dem Direkt-Sparkonto erliegenden Geldbetrag zu verfügen.

Nach Ansicht des OGH ist ein entscheidendes Kriterium für die Qualifikation als Zahlungskonto iSd Art 4 Nr 14 der Zahlungsdienste-RL die freie Dispositionsbefugnis des Kontoinhabers. Die Bezeichnung als „Sparkonto“ allein sei nach Ansicht des OGH kein Grund dafür, dieses aus dem Anwendungsbereich der Zahlungsdienste-RL auszunehmen. Für die Qualifikation des hier zu beurteilenden Online-Sparkontos als Zahlungskonto spricht nach Auffassung des OGH auch die Klarstellung, die in dieser Hinsicht mit der revidierten RL über Zahlungsdienste (RL 2015/2366/EU) vorgenommen wurde: Nach Anhang I Punkt 3 dieser RL stellt die Ausführung von Zahlungsvorgängen (Art 4 Nr 12 iVm Nr 5) einschließlich des Transfers von Geldbeträgen auf ein Zahlungskonto des Nutzers einen Zahlungsdienst (Art 4 Nr 3) dar. Es bestünden allerdings insofern Zweifel, als die gegenständlichen Sparkonten nach der Zweckbestimmung Spareinlagen darstellen und solche Einlagen nach § 31 BWG nicht dem Zahlungsverkehr dienen. Überweisungen können von dem und auf das Direkt-Sparkonto nur über ein sogenanntes Referenzkonto erfolgen, das auf den Kontoinhaber lauten und bei einer in Österreich befindlichen Bank als Girokonto eingerichtet sein muss. Ob dieser Zwischenschritt allerdings ausreicht, um eine Ausnahme vom Anwendungsbereich zu rechtfertigen, ist nach Ansicht des OGH insofern fraglich, als sich ein hinreichend deutlicher Anknüpfungspunkt an eine solche Funktionalität nicht (zwingend) aus der Zahlungsdienste-RL ergibt. Im Gegenteil stellt die Definition des Zahlungsvorgangs in Art 4 Nr 5 Zahlungsdienste-RL klar, dass ein solcher „unabhängig von etwaigen zugrunde liegenden Verpflichtungen im Verhältnis zwischen Zahler und Zahlungsempfänger“ jeden Transfer (von elektronischem Geld und damit alle Überweisungen auf diesem Wege) erfasst.

Die Entscheidung im Wortlaut können Sie hier lesen.

Adresse

  • 1010 Wien,
    Nibelungengasse 11/4

Kontakt

  • +43 1 877 04 54
  • office(a)pfr.at

Follow us

Suche