PSD2: Was sich 2021 (nicht) ändert

Am 14. September 2019 trat die zweite Zahlungsrichtlinie (PSD2) in Kraft. Damit sollte das Online-Banking (und eigentlich auch das Bezahlen im Internet) zwar teilweise komplizierter, aber auch sicherer werden. Aber wie genau und warum nur teilweise? Am 15. März 2021 endet die PSD2-Schonfrist nun wirklich. 

Onlinekonto auf Bezahlen.de
Onlinekonto auf Bezahlen.de

PSD2: Was sich 2021 (nicht) ändert

psd2-eu-flagge

Was: Definition

Die EU-Richtlinie "PSD2" steht kurz für "Payment Service Directive 2", also die zweite Zahlungsrichtlinie. Sie soll Online-Banking und das Bezahlen im Internet zwar sicherer machen.

Aber teilweise ist es für Kunden auch etwas komplizierter. Aber wie genau und warum nur teilweise? 

Wo: EU

PSD2 gilt für die gesamten Europäischen Wirtschaftsraum. Die Richtlinie gilt also in den 28 Mitgliedsländern der Europäischen Union (EU) – inklusive Deutschlands – sowie in Norwegen, Island und Liechtenstein. 

Wann: Zeitpunkt

Seit 2021

Die Bundesanstalt für Finanzdienstleistungsaufsicht (Bafin) hat den deutschen Banken bei den sicheren Kreditkarten-Zahlungen im Internet eine weitere schrittweise Schonfrist bis zum 15. März 2021 gewährt.

Allerdings galt die "Zwei-Faktor-Authentifizierung" (im Rahmen von PSD2) ab dem 15. Januar 2021 bereits für Zahlungen ab 250 Euro. Am 15. Februar 2021 sank diese Grenze auf 150 Euro. Erst Mitte März müssen Sie für alle Online-Kreditkarten zwei voneinander unabhängige Faktoren angeben.

Ein Bafin-Sprecher sagte gegenüber Börse Online:

"Wir wollen damit den Beteiligten ein sicheres Hochfahren ihrer neu implementierten Systeme ermöglichen."

Eigentlich gilt die zweite Zahlungsdiensterichtlinie der EU bereits seit dem 14. September 2019. Sie soll das Online-Banking und Einkaufen im Internet sicherer machen. Diese Frist wurde teilweise auf den 1. Januar 2021 verschoben. Nun folgte also die erneute Schonfrist (siehe oben).

Ab 15. März 2021 müssen Internet-Shops nun auf die starke Kundenauthentifizierung (Englisch: Strong Customer Authentication (SCA)) setzen. Dabei müssen User mindestens zwei von drei Sicherheitsfaktoren nachweisen (siehe unten).

Allerdings gibt es auch Ausnahmen bei der starken Kundenauthentifizierung im Online-Handel (Auswahl): 

  • Kleinstzahlungen: unter 30 Euro
  • Transaktionen mit geringem Betrugsrisiko
  • Wiederkehrende Zahlungen, wie Abos zum Beispiel von Netflix usw.
  • Vom Kunden als vertrauenswürdig eingestufte Händler (Whitelisting)

Abgesehen von diesen Ausnahmen riskieren es Online-Händler ab (März) 2021, dass Zahlungen von Kunden-Bank abgelehnt werden, wenn sie die Zwei-Faktor-Authentifizierung nicht umsetzen. Außerdem dürfte das Fehlen Kunden ab einer gewissen Eingewöhnungs-Zeit sowieso abschrecken.

Jarno-Alexander Stuth von Concardis, ein führender Anbieter digitaler Bezahllösungen, sagte noch Ende Oktober 2020: 

"Die Online-Händler müssen sich jetzt dringend darum kümmern, dass ihr Webshop die zwei-Faktor-Authentifizierung abbilden kann."

Vor 2021

PSD2 trat (zum Teil) am 14. September 2019 in Kraft (Details siehe unten). Sie sollten also Post oder elektronische Nachrichten von Ihrer Bank bzw. Dritt-Anbietern bekommen haben. Die meisten betroffenen Unternehmen haben ihre Kunden über die konkreten Änderungen informiert. Denn jeder Anbieter kann die Richtlinie etwas anders umsetzen. 

zeitgeld-timemoney

WICHTIG: Viele Online-Shops konnten die Deadline 2019 nicht einhalten. Daher hat ihnen die Bundesanstalt für Finanzdienstleistungsaufsicht (Bafin) einen Aufschub bis zum 1. Januar 2021 gewährt (bzw. nun bis 15. März 2021). Denn Kunden sollten weiterhin problemlos per Kreditkarte im Internet bezahlen können. 

Ein Teil der Zahlungsrichtlinie war bereits umgesetzt. Unternehmen wie Händler und Taxifahrer durften zum Beispiel seit Januar 2018 keine zusätzlichen Gebühren verlangen, wenn Sie per Kreditkarte bezahlen. 

Die folgende Grafik von Google Trends verdeutlicht die zwischenzeitlich steigende Informations-Nachfrage nach dem Begriff PSD2 - vor allem im September 2019: 

Warum: Ziel

Das Ziel von PSD2: Die neuen Regeln sollen Kartenzahlungen im Internet und das Online-Banking sicherer machen. Wichtig ist dabei die sogenannte "starke Kundenauthentifizierung". Damit soll zum Beispiel das Banking und Bezahlen im Internet doppelt abgesichert werden. Der Nutzer benötigt aus den folgenden drei Sicherheitskategorien jeweils mindestens zwei: 

  • Wissen: Informationen, wie Passwort bzw. PIN für das Login 
  • Besitz: Dinge, zum Beispiel das Smartphone, für den Empfang der SMS-Tan bzw. der TAN per App oder einen Tan-Generator 
  • Inhärenz: persönliche Merkmale des Kunden – dazu gehören biometrischen Merkmale wie der Fingerabdruck zum Beispiel für Touch ID oder die Gesichtserkennung für Face ID 

Vor PSD2 hat eventuell nur eine Kategorie genügt. Seitdem sind in der Regel zwei davon notwendig. Daher wird dieser Prozess auch Zwei-Faktor-Authentifizierung (kurz: 2FA) genannt.

rote-blaue-kreditkarten-klein

Besitzen Sie eine Kreditkarte, sollten Sie sich bei Ihrer Bank für das neue Sicherheitssystem "3D-Secure" anmelden. Dahinter steckt wiederum die starke Kundenauthentifizierung für Ihre Visa (Verified by Visa) oder Mastercard (Mastercard Identity Check). In der Regel geht es darum, dass Sie wie oben beschrieben zwei von drei Sicherheitselementen nachweisen können. 

Wie es bisher war: Vor PSD2 konnten Sie einfacher per Kreditkarte im Internet bezahlen. Sie mussten "nur" den Namen des Karteninhabers, die Kreditkartennummer, das Ablaufdatum und in der Regel auch die dreistellige Prüfnummer von der Karten-Rückseite eingeben. Betrüger soll es mit dem neuen Verfahren nun schwerer gemacht werden. 

Ratgeber-Tipp: Wie Sie per Fingerabdruck und Selfie bezahlen können

Zentrale Änderungen

Im Rahmen von PSD2 werden sich beim Bezahlen und Banking im Internet vor allem die folgenden Dinge verändern: 

Online-Banking

onlinebanking-laptop-smartphone-klein

Auch beim Online-Banking reichen dank PSD2 Benutzername und Passwort nicht mehr aus. Die meisten Banken wollen zum Beispiel eine zusätzliche TAN für die Anmeldung abfragen. Einige Institute setzen bei jedem Login auf dieses Verfahren, andere nur in regelmäßigen Abständen. Bei den Sparkassen soll die Login-Tan zum Beispiel alle 90 Tage abgefragt werden. Auch wie Sie die TAN erhalten, hängt in der Regel von Ihrer Bank ab. Die iTAN-Liste hat zwar ausgedient, dafür gibt es ja noch genug andere Verfahren (siehe nächster Punkt). 

Gut zu wissen: Durch PSD2 werden Sie seit September 2019 in der Regel schon nach rund 5 Minuten automatisch beim Online-Banking abgemeldet. Zuvor waren es in der Regel 12 Minuten ohne Nutzeraktivität. Daneben zeigen Ihnen viele Banken auch an, welche Drittanbieter (mit Ihrer Erlaubnis!) auf Ihr Konto zugreifen – zum Beispiel Stichwort Multibanking (siehe weiter unten)

TAN

iTAN-Liste

itan-liste-klein

Spätestens seit der PSD2-Umsetzung im September 2019 wurde die sogenannten TAN-Liste (iTAN) auf Papier ungültig. Dieses Verfahren war nicht mehr sicher genug und wurde durch neue ersetzt. Jede Bank hat ihren Kunden ein anderes TAN-Verfahren angeboten, teilweise auch mehrere. Dann haben Sie wenigstens die Auswahl. 

iTAN-Alternativen
Mobile TAN (SMS-TAN, mTAN)

Einige Banken haben die Mobile TAN per SMS eingestellt. Andere setzen statt der Papier-Liste genau auf solche Nachrichten. Denn dieses Verfahren wird wohl von vielen Instituten genutzt (Stand: 2020). Immerhin benötigen Kunden dafür "nur" ein normales Handy und nicht unbedingt ein Smartphone. 

TAN-Generator

tan-generator

Andere Institute setzen stattdessen auf TAN-Generatoren. Mithilfe dieser Geräte können Sie – wie der Name schon sagt – eine TAN – erzeugen. Der Vorteil ist auch gleichzeitig ein Nachteil: Denn Sie, aber auch potenzielle Diebe, benötigen immer dieses Gerät sowie Ihre Login-Daten, um eine Transaktion zu vollziehen. Der Prozess wird also etwas umständlicher, aber auch sicherer. 

Gut zu wissen: Teilweise müssen Sie einmalig für diese TAN-Generatoren bezahlen. Die Preise liegen je nach Bank zwischen 10 und 50 Euro. Haben Sie mehrere Konten bei verschiedenen Instituten, kann allein die Anschaffung recht teuer werden. 

TAN per App

smartphone-in-haenden-klein

Eine dritte Option ist die TAN per App. Dafür müssen Sie sich die mobile Anwendung ihrer Bank herunterladen und sich anmelden. Für eine TAN müssen Sie dann meist immer das Passwort eingeben. Erst dann können Sie eine Überweisung in Auftrag geben. 

Drittanbieter-Zugriff

Mit PSD2 können Sie Drittanbietern Zugang zu Ihren Bank-Daten geben. Warum Sie das tun sollten? So können Sie zum Beispiel per Multibanking all ihre Konten über eine Plattform verwalten. Ein solcher Anbieter kann auch selbst eine Bank sein, bei der sie andere Konten integrieren. Allerdings müssen Sie für die Weitergabe Ihrer Banking-Logins ausdrücklich zustimmen. 

multibanking-osdd-sparkasse-klein

Zwischenfazit

10/2019: PSD2 bringt tatsächlich Sicherheit und Hindernisse

mastercard-biometrie-idchek-2fa-klein

Die zweite Zahlungsrichtlinie (PSD2) ist Mitte September 2019 in Kraft getreten. Sie soll das Online-Banking und (eigentlich) auch das Bezahlen im Internet sicherer machen. Allerdings hatten einige Banken anfänglich auch Probleme bei der Umstellung. Kunden konnten sich zeitweise nicht einloggen oder den Kundenservice ihres Instituts erreichen. Inzwischen sind die meisten Hindernisse in diesem Bereich jedoch überwunden.

Ganz anders sah es dagegen im E-Commerce aus. Die Bafin hatte Online-Händlern in Deutschland einen vorerst unbefristeten Aufschub bei der Umsetzung der Zwei-Faktor-Authentifizierung (2FA) gegeben. Auch im Oktober 2019 hatten bekannte deutsche Shops im Internet noch nichts dergleichen umgesetzt. Danach hat die Bafin den 31. Dezember 2019 als Frist festgelegt. Bis dahin müssen auch Online-Shops die 2FA umgesetzt haben. 

Hinzu kommt, dass 73 Prozent der deutschen Verbraucher Ende 2019 noch nie von PSD2 gehört hatten oder etwas damit anzufangen wissen. Nur rund ein Viertel kannte sich damit aus. Diese Ergebnisse stammen aus einer Befragung mit über 2.000 Teilnehmern von Riskified, einem Spezialisten für E-Commerce. Demnach würden mehr als ein Drittel der Befragten sogar ihren Online-Einkauf sofort abbrechen, wenn sie nach einer PSD2-Authentifizierung gefragt werden.

12/2020: PSD2 greift beim Online-Banking

Was im Online-Handel noch nicht flächendeckend funktioniert hat, hat sich inzwischen beim Online-Banking etabliert. Das Einloggen und einige Funktionen sind dadurch zwar etwas umständlicher geworden. Aber dafür wind die Prozesse auch sicherer. 

Ähnlich wie beim Online-Banking werden sich die Kunden beim Shopping im Internet wohl auch an diese doppelten Sicherheitsabfragen gewöhnen müssen. Laut einer GfK-Befragung aus dem Sommer 2020 zur PSD2-Richtlinie befürwortet die Hälfte der deutschen die Zwei-Faktor-Authentifizierung:

Ratgeber-Tipp: Wie bezahle ich im Internet sicher mit Kreditkarte?

Bildquellen:

EU-Flagge: pixabay.com | iriusman
Time is Money: pixabay.com - geralt
PSD2 bei Google Trends: Google Trends
Rote und blaue Kreditkarte: Neirfy | Dreamstime.com
Onlinebanking: pixabay.com - Tumisu
iTAN-Liste: Björn Wylezich | Dreamstime.com
TAN-Generator: Björn Wylezich | Dreamstime.com
Smartphone in Händen: Creativecommonsstockphotos | Dreamstime Stock Photos
Multibanking: Sparkasse Osts. Sparkasse Dresden
Mastercard Identity Check: mastercard.de

Sehr beliebt

  • Onlinekonto auf Bezahlen.de

    Onlinekonto Mastercard

    Debit Mastercard mit Onlinekonto ohne Schufa - sofort eröffnet und weltweit nutzbar (bezahlen und Geld abheben).

    Mehr Infos

 
  • WhatsApp