PSD2 Richtlinie Diese Regeln gelten beim Bezahlen und Online-Banking
Josefine Lietzau
Finanztip-Expertin für Bank und Kredit
Finanztip-Expertin für Bank und Kredit
Das Wichtigste in Kürze
Die PSD2 ist eine Richtlinie, die das Online-Banking und das Bezahlen im Internet regelt.
Die Richtline soll das Bezahlen sicherer machen, aber auch neue Möglichkeiten eröffnen.
So gehst Du vor
- Wenn Du mit Kreditkarte im Internet bezahlen willst, registriere Dich bei dem Sicherheitsdienst, den Deine Bank nutzt.
- Du kannst Anbietern von Zahlungsdiensten und Finanz-Apps erlauben, auf Deine Girokontodaten zuzugreifen. Vor der Einführung der PSD2 war das nicht erlaubt.
Ein doppeltes Sicherheitsnetz beim Online-Banking, neue Finanz-Apps und keine Extra-Gebühren mehr, wenn Du im Internet mit Kreditkarte zahlst – alles dank einer EU-Richtlinie. Die Payment Service Directive 2 (PSD2) stellte die Welt des Bezahlens auf den Kopf. Mittlerweile ist sie für Anbieter und Kunden Alltag.
Was bedeutet die PSD2 fürs Online-Banking?
Beim Einloggen zum Online-Banking musstest Du früher nur Deine Kundenkennung (zum Beispiel die Kontonummer) und ein Passwort oder eine Pin eingeben. Das reicht nun nicht mehr, Du musst zusätzlich andere Log-in-Daten eingeben, beispielsweise eine Tan.
Dieser doppelte Log-in muss nicht jedes Mal erfolgen, aber wenigstens alle 180 Tage. Es hängt von Deiner Bank ab, ob sie die Spanne nutzt oder bei jedem Einloggen eine zusätzliche Absicherung verlangt.
Dieser zusätzliche Sicherheitsschritt nennt sich starke Kundenauthentifizierung. Er spielt künftig auch beim Bezahlen mit Kreditkarten und allen anderen elektronischen Zahlungen eine Rolle.
Doppelter Log-in beim Girokonto
| Bank | Wann? | Wie |
|---|---|---|
| Comdirect | alle 90 Tage | Pin + Tan |
| Consorsbank | bei jedem Log-in | Pin + Tan |
| DKB | bei jedem Log-in | Pin + Tan |
| ING | bei jedem Log-in | Pin + Tan/Fingerabdruck/ Gesichtserkennung oder QR-Log-In |
Quelle: Websites der Banken (Stand: Februar 2024)
Tan-Verfahren
Durch die PSD2-Richtlinie mussten die Banken die iTan einstellen. Die Papierlisten galten als unsicher und erfüllten auch nicht die Kriterien der Richtlinie. Nun muss hingegen für jede Überweisung eine neue Tan erzeugt werden.
Wir erklären Dir verschiedene Tan-Verfahren in unserem Ratgeber zum sicheren Online-Banking.
Tan-Verfahren
| Bank | Verfahren |
|---|---|
| Comdirect | App, photoTAN-Generator, mTan |
| Consorsbank | App, photoTAN-Generator |
| DKB | App, chipTAN-Generator |
| ING | App, photoTAN-Generator |
Quelle: Websites der Banken (Stand: Februar 2024)
Überweisungen und Lastschriften
Bei Überweisungen ändert sich neben dem Tan-Verfahren nichts. Der Ablauf von Online-Überweisungen entsprach schon den Regeln. Auch bei Lastschriften blieb alles beim Alten.
Allerdings kannst Du nun Summen unter 30 Euro ganz ohne Tan überweisen. Wenn Du mehrmals kleine Summen überweist, ist nach einem Gesamtbetrag von 150 Euro oder fünf Überweisungen allerdings Schluss mit dem Komfort: Du musst zumindest einmal wieder eine Überweisung mit Tan erledigen.
Bankgeschäfte über Software
Auch wenn Du die Bankgeschäfte lieber über eine Software per Home-Banking erledigst, statt den direkten Zugang über das Online-Banking zu nutzen, musst Du nun Deine Identität nachweisen. Dafür nutzt Du das Tan-Verfahren Deiner Bank.
Allerdings gibt es auch Banken, die das Home-Banking nicht mehr unterstützen, wenn es über die Schnittstelle HBCI läuft. Die Konten dieser Banken kannst Du nicht mehr korrekt über die Software eines Drittanbieters verwalten. Teilweise hast Du zumindest noch einen Lesezugriff, Zahlungen kannst Du nicht mehr auslösen. Anders sieht es aus, wenn der Anbieter die PSD2-konforme Schnittstelle nutzt, um auf das Konto zuzugreifen.
Haftungsgrenze
Falls Deine Pin beim Online-Banking missbraucht wird oder es zu anderen Betrügereien kommt, haftest Du bis maximal 50 Euro, bis das Online-Konto gesperrt ist. Nachdem Du das Konto gesperrt hast, haftest Du überhaupt nicht mehr. Allerdings gelten Ausnahmen, falls Du vorsätzlich gehandelt oder Dich grob fahrlässig verhalten hast.
Wie weist Du Dich beim Bezahlen aus?
Neben Überweisungen und Lastschriften gibt es zahlreiche andere Wege, um zu bezahlen. Jedes Mal, wenn Du elektronisch zahlst, musst Du diese Zahlung doppelt bestätigen. Das soll beweisen, dass Du tatsächlich hinter der Zahlung steckst. Die Banken bieten Dir unterschiedliche Möglichkeiten an, diesen Nachweis zu erbringen. Neben der Nummer Deiner Kreditkarte und der Sicherheitsnummer auf der Rückseite der Karte kann Deine Bank beispielsweise zusätzlich ein Passwort, eine Tan oder eine Bestätigung per Fingerabdruck verlangen.
Kreditkarte beim Online-Shopping
Wenn Du mit Kreditkarte im Online-Shop bezahlst, darf der Händler keine zusätzlichen Gebühren verlangen. Außerdem wird das Bezahlen mit der Kreditkarte im Internet in einigen Fällen doppelt abgesichert.
Dafür läuft im Hintergrund ein Sicherheitsverfahren ab. Das funktioniert so: Du gibst Deine persönlichen Daten und die Daten der Kreditkarte ein und bestätigst per Klick den Kauf. Im Hintergrund tauschen der Händler und Deine Bank zahlreiche weitere Daten aus, zum Beispiel über das Gerät, das Du in diesem Moment zum Einkaufen nutzt.
Sollte Deiner Bank etwas komisch vorkommen, wird sie Dich auffordern, den Kauf noch einmal zu bestätigen. Das kann über eine App funktionieren oder aber Deine Bank schickt eine Tan oder ein Einmal-Passwort an Dein Handy.
Einen Haken hat das Verfahren für Kunden ohne Smartphone oder Verbraucher, die ihre Bankgeschäfte nicht mit dem Smartphone erledigen wollen: Bei manchen Banken funktioniert das Bezahlen im Internet mit Kreditkarte nur, wenn Du den Kauf in einer App bestätigst. Wer das nicht will oder kein Smartphone hat, muss seine Einkäufe dann anders zahlen, zum Beispiel per Rechnung oder Lastschrift.
Ausnahmeregelungen beim Zahlen mit Karte
Wie beim Online-Banking gibt es beim Bezahlen mit Kreditkarte im Internet Ausnahmen von den Regeln. In einigen Fällen wird Deine Bank keine zweite Bestätigung verlangen. Das macht diese Einkäufe nicht automatisch unsicherer: Die Bank überprüft im Hintergrund, ob sie den Zahlungsvorgang für sicher hält.
Geringe Summen - Bei Summen unter 30 Euro muss die Bank keinen zweiten Nachweis verlangen, dies gilt auch beim Zahlen mit Kreditkarte. Erst wenn Du insgesamt mehr als 150 Euro ausgibst, wird die Bank Dich auffordern, die Zahlung doppelt zu bestätigen. Gleiches gilt, falls Du fünfmal hintereinander ohne einen zweifachen Nachweis bezahlt hast.
Geringes Risiko - Falls Deine Bank die Zahlung als ein geringes Risiko einschätzt, kann sie auf die doppelte Identitätsprüfung verzichten.
Regelmäßige Zahlungen - Bei regelmäßigen Zahlungen musst Du die Zahlung nur beim ersten Mal doppelt absichern. Alle weiteren Zahlungen laufen dann automatisch weiter. Das gilt zum Beispiel für Abos von Streaming-Diensten wie Netflix oder iTunes.
Vertraute Händler - Du kannst Händler, bei denen Du öfter einkaufst, auf eine sogenannte Whitelist bei Deiner Bank setzen. Damit teilst Du der Bank mit, dass Du diesen Händlern vertraust. Die Banken sind allerdings nicht verpflichtet, solche Positivlisten anzubieten und können trotz der Einschätzung des Kunden auf einem zweiten Nachweis bestehen, falls ihnen die Zahlung suspekt vorkommt.
Kontaktloses Bezahlen mit Kreditkarte oder Smartphone
Du kannst inzwischen mit zahlreichen Girocards und Kreditkarten zahlen, ohne dass Du die Karte in das Bezahlterminal stecken musst. Bei Summen unter 50 Euro klappt das ganz ohne Pin.
Auch mit Deinem Smartphone kannst Du so kontaktlos zahlen. In Deutschland bieten zum Beispiel die Sparkassen und Volksbanken eigene Apps für das Bezahlen mit dem Handy an. Andere Banken arbeiten mit den amerikanischen Konzernen Apple und Google zusammen.
Erst wenn Du fünfmal ohne Pin gezahlt hast, musst Du wieder eine eingeben. Wieder ist die Gesamtsumme auf 150 Euro beschränkt.
Vorreservieren von Beträgen
Wenn Du mit einer Kreditkarte zahlst, können Händler Beträge vorreservieren; diese sind dann für eine bestimmte Zeit geblockt. Das ist vor allem beim Buchen von Hotels oder Mietwagen Routine. Du musst darauf ausdrücklich hingewiesen werden und zustimmen, bevor ein Unternehmen einen Betrag blocken kann.
Verlust von Kreditkarte oder Girocard
Falls Du die Kreditkarte oder Girocard verlierst oder diese gestohlen wird, haftest Du für mögliche Schäden, bis Du die Karte sperrst. Allerdings ist Deine Haftung auf 50 Euro gedeckelt.
Du kannst die Karten über die Notfallnummer 116 116 sperren oder direkt bei Deiner Bank. Allerdings nimmt nicht jede Bank an der Sperrnummer teil. Denk auch daran, den Verlust der Polizei zu melden und die Girocard bei der Polizei über das sogenannte Kuno-System zu sperren. Das soll verhindern, dass eine gesperrte Karte weiterhin zum Zahlen mit Unterschrift genutzt werden kann.
Was gilt beim Zugriff aufs Konto?
Früher durftest Du Fremden keinen Zugriff auf Dein Girokonto gewähren. Die Banken verboten ihren Kunden, Log-in-Daten vom Online-Banking weiterzugeben. Inzwischen sieht das durch die PSD2 anders aus. Sie erlaubt es Kunden, neben ihrer Bank auch anderen Anbietern Zugriff auf ihre Kontodaten zu gewähren. Mit diesen Daten können die Unternehmen Verbrauchern dann unterschiedliche Dienste anbieten.
Das heizt nicht nur die Konkurrenz zwischen den Banken an, sondern auch den Wettbewerb zwischen den Banken und Anbietern aus anderen Geschäftskreisen. Das können junge Unternehmen sein, die Finanzen und Technologie zusammenführen, sogenannte Fintechs, aber auch große amerikanische Konzerne wie Google, Apple, Amazon und Facebook.
Mögliche Produkte sind Dienste, die eine Übersicht über alle Deine Konten bieten und analysieren, ob es Sparpotenzial bei Verträgen gibt. Oder aber Dienste, mit denen Du schnell und komfortabel Geld überweisen kannst.
Der Zugriff auf Deine Daten funktioniert in den meisten Fällen über eine Schnittstelle. Das hat den Vorteil, dass Banken prüfen können, ob ein Anbieter berechtigt ist, auf Deine Daten zuzugreifen, und nur noch solche Informationen weitergeben, die für eine Dienstleistung wirklich notwendig sind. Allerdings haben noch nicht alle Banken diese Schnittstelle zufriedenstellend umgesetzt. In solchen Fällen gehen die Anbieter dann über das normale Log-in des Kontos.
Anbieter von Apps und anderen Diensten, die auf fremde Konten zugreifen möchten, müssen sich bei der Aufsichtsbehörde Bafin registrieren und bestimmte Auflagen erfüllen. Dazu gehören zum Beispiel Maßnahmen, mit denen die Anbieter Geldwäsche verhindern, oder aber Strategien zum Thema Sicherheit.
Welchen Diensten Du Zugang zu Deinem Konto gewährt hast, kannst Du nachschauen. Informationen dazu findest Du beispielsweise auf dem Kontoauszug. Diese Erlaubnis kannst Du jederzeit widerrufen.
Was bringt die PSD3?
Die PSD3 (Payment Service Directive 3) tritt zusammen mit der PSR (Payment Service Regulation) die Nachfolge der PSD2 an. Beide sollen Teile der Richtlinie schärfen oder erweitern. Die europäische Kommission hat dazu Vorschläge vorgelegt, das Europäische Parlament und die Mitgliedsstaaten der Europäischen Union diskutieren diese nun. Vor 2026 werden die neuen Regeln jedoch kaum gelten.
Folgende Vorschläge hat die Kommission unter anderem gemacht:
Betrugsbekämpfung - Zahlungsdienstleister sollen Daten untereinander austauschen, um Betrugsfälle einzudämmen. Auch Händler sollen mehr Daten an die kartenausgebenden Banken weitergeben, sodass diese besser einschätzen können, ob es sich um eine betrügerische Zahlung handelt oder nicht. Dabei handelt es sich zum Beispiel über Daten zu den Transaktionen und den Ausgabengewohnheiten der Kunden.
Außerdem müssen Zahlungsdienstleister bei Überweisungen kostenlos prüfen, ob die Iban und der Name des Kontoinhabers zusammenpassen. Bei Abweichungen werden Kunden informiert und können entscheiden, ob sie trotzdem überweisen wollen.
Die Mitarbeiter der Zahlungsanbieter müssen regelmäßig zu neuen Betrugsmethoden geschult werden und diese Informationen auch an die Kunden weitergeben.
Verbraucherrechte - Bei Betrugsfällen sollen die Zahlungsanbieter mehr haften als bisher. So sollen sie zukünftig auch das verlorene Geld bei unautorisierten Abbuchungen erstatten, wenn sich Kunden grob fahrlässig verhalten haben. Nur wenn sie betrügerisch handeln, haften die Anbieter nicht.
Auch wenn die Zahlung vom Kunden autorisiert wurde, kriegen sie unter Umständen ihr Geld zurück. Nämlich wenn sie auf Betrüger hereingefallen sind, die sich als Bankmitarbeiter ausgeben (Spoofing) und sie den Betrug sofort bei der Bank und der Polizei melden.
Unterliegt ein Zahlungsinstitut keiner gesetzlichen Einlagensicherung, schützt es das Geld zurzeit zum Beispiel über Treuhandkonten bei anderen Banken mit Einlagensicherung. Zukünftig kann das Geld auch direkt bei der jeweiligen Zentralbank liegen. Dabei dürfen die Anbieter das Kundengeld aber nicht mehr bei nur einem Anbieter absichern, sondern müssen es verteilen.
Transparenz - Kontoauszüge sollen verständlicher werden, indem Händler auch mit ihrem sogenannten Commercial Trade Name genannt werden. Das ist der Name, mit dem sie öffentlich arbeiten und den Kunden eher kennen als den rechtlichen.
Kommt es zu einer Währungsumrechnung, sollen die Anbieter vor der Zahlung eine Schätzung abgeben, wie teuer die Zahlung wird.
Bei Abhebungen an Geldautomaten sollen alle anfallenden Gebühren angezeigt werden.
Open-Banking - Die Schnittstellen für Drittanbieter, die Open-Banking anbieten, sollen verbessert werden. Zudem sollen Banken ihren Kunden eine Übersicht zu den Anbietern geben, die von ihnen eine Berechtigung bekommen haben, auf das Konto zuzugreifen. Dabei geht es zum Beispiel um Drittanbieter, über die Du alle Deine Girokonten zusammenführen kannst.
Es wird klarer gemacht, in welchen Fällen eine starke Kundenauthentifizierung nötig ist. Zum Beispiel müssen Drittanbieter bei der ersten Anwendung über zwei Optionen überprüfen, dass der richtige Kunde hinter der Freigabe steckt. Danach soll das mindestens alle 180 Tage wiederholt werden.
Weiterer Diskussionspunkt: Bisher müssen die zwei Nachweise für die Authentifizierung aus unterschiedlichen Kategorien kommen. Bei den möglichen Kategorien handelt es sich um Wissen, Besitz und Inhärenz. Der Vorschlag sieht vor, dass eine Kategorie reicht.
Zudem sollen die Anbieter mehrere Möglichkeiten für die starke Kundenauthentifizierung anbieten und ein Smartphone soll nicht immer zwingend notwendig sein. So sollen auch älteren Menschen und Menschen, die nicht digitalaffin sind, die starke Kundenauthentifizierung ohne Probleme nutzen können. So könnte beispielsweise auch eine SMS als Identifizierung dienen.
Bargeld - Du sollst zukünftig bei Händlern Summen bis zu 50 Euro abheben können, ohne vorher eingekauft zu haben.
* Was der Stern bedeutet:
Finanztip gehört zu 100 Prozent der gemeinnützigen Finanztip Stiftung. Die hat den Auftrag, die Finanzbildung in Deutschland zu fördern. Alle Gewinne, die Finanztip ausschüttet, gehen an die Stiftung und werden dort für gemeinnützige Projekte verwendet – wie etwa unsere Bildungsinitiative Finanztip Schule.
Wir wollen mit unseren Empfehlungen möglichst vielen Menschen helfen, ihre Finanzen selber zu machen. Daher sind unsere Inhalte kostenlos im Netz verfügbar. Wir finanzieren unsere aufwändige Arbeit mit sogenannten Affiliate Links. Diese Links kennzeichnen wir mit einem Sternchen (*).
Bei Finanztip handhaben wir Affiliate Links aber anders als andere Websites. Wir verlinken ausschließlich auf Produkte, die vorher von unserer unabhängigen Experten-Redaktion empfohlen wurden. Nur dann kann der entsprechende Anbieter einen Link zu diesem Angebot setzen lassen. Geld bekommen wir, wenn Du auf einen solchen Link klickst oder beim Anbieter einen Vertrag abschließt.
Ob und in welcher Höhe uns ein Anbieter vergütet, hat keinerlei Einfluss auf unsere Empfehlungen. Was Dir unsere Experten empfehlen, hängt allein davon ab, ob ein Angebot gut für Verbraucher ist.
Mehr Informationen über unsere Arbeitsweise findest Du auf unserer Über-uns-Seite.
