PSD2

Zahlungsdiensterichtlinie

PSD2 - Wichtige Neuerungen zum Online Zahlungsverkehr.

Zum 14. September 2019 setzt Santander - wie alle Banken - die Anforderungen aus der Zahlungsdiensterichtlinie PSD2 um. Doch was ist PSD2 eigentlich? Und was bedeutet das für Sie konkret? Informieren Sie sich hier über die Neuerungen:

Was ist PSD2?

  • PSD2 – Was ist das eigentlich?

    PSD2 steht für Payment Services Directive 2. Dahinter verbirgt sich die neue EU-Zahlungsdiensterichtlinie.

    Zum September 2019 müssen Banken aufgrund dieser erweiterten gesetzlichen Vorgaben technische und vertragliche Anpassungen im Online Banking und beim Bezahlen mit Karte vornehmen. Die Richtlinie wurde ins Leben gerufen, um z.B. den Zugriff auf Zahlungskontodaten (Girokonten) durch Dritte, die Sie als Kunde zuvor dazu ermächtigt haben müssen, zu regeln. Wir als Bank müssen für den Zugriff diesen Drittanbietern eine technische Schnittstelle zur Verfügung stellen. Die Drittunternehmen unterliegen der Aufsicht und Kontrolle der BaFin bzw. der jeweiligen nationalen Aufsichtsbehörde.

    Doch wie genau gestaltet sich dieser Zugriff eines dritten Zahlungsdienstleisters auf Ihre Girokontodaten?

    Die dritten Parteien können in Ihrem Auftrag

    • als „Zahlungsauslösedienstleister“ Zahlungen initiieren,

    PSD2
    Beispielhafte Darstellung, Quelle: https://www.bundesbank.de/de/aufgaben/unbarer-zahlungsverkehr/psd2/psd2-775434

    • als „Kontoinformationsdienstleister“ Kontoumsätze abfragen und

    PSD2
    Beispielhafte Darstellung, Quelle: https://www.bundesbank.de/de/aufgaben/unbarer-zahlungsverkehr/psd2/psd2-775434

    • als „Dienstleister zur Ausstellung von Zahlungsinstrumenten“ Deckungsanfragen vorlegen


    Sie als Kunde/in müssen dem Dritten im Voraus diesen Zugriff erlauben und behalten somit die alleinige Kontrolle über die Zugriffsrechte auf Ihre Informationen.

    Zusammengefasst:

    • PSD2 verpflichtet uns als Bank / Kreditinstitut, unsere Datenschnittstelle für externe Finanzdienstleister zu öffnen
    • Ziel ist ein stärkerer Wettbewerb zwischen traditionellen Banken und Finanztechnologie-Unternehmen (FinTechs) in Europa.
    • Abstriche beim Datenschutz gibt es für Sie als Bankkunden nicht. Alle Zugriffsmöglichkeiten von Drittunternehmen auf Ihre Daten unterliegen strengen Datenschutzkriterien.

Starke Kundenauthentifizierung

  • Starke Kundenauthentifizierung

    Gegen Missbrauch oder Betrug bei Zahlungen im Internet sind Sie als Verbraucher mit der PSD2 besser geschützt, da über die Zahlungsdiensterichtlinie auch die Verpflichtung zur sogenannten „starken Kundenauthentifizierung“ eingeführt wird. Dies bedeutet für Sie mehr Sicherheit im Zahlungsverkehr. Online- und Kartenzahlungen müssen nun grundsätzlich durch zwei unabhängige Merkmale aus den Kategorien Wissen, Besitz und Biometrie / Inhärenz bestätigt werden:

    • Wissen: etwas, das nur der Nutzer weiß, z.B. Passwort, Zugangscode
    • Besitz: etwas, das nur der Nutzer besitzt, z.B. Smartphone, TAN-Generator
    • Biometrie / Inhärenz : ein biometrisches Merkmal des Nutzers, z.B. Fingerabdruck

  • Wann ist eine starke Kundenauthentifizierung erforderlich?

    Die Umsetzung der PSD2 bedeutet für Sie als Kunden vor allem in einem Punkt eine wesentliche Veränderung. Auch beim Log-in in Ihr gewohntes Online Banking oder beim Zugriff auf Ihre sensiblen persönlichen Daten wird eine Zwei-Faktor-Authentifizierung nötig sein. So kann für das Log-in neben der Eingabe von Benutzerkennung und Online Banking-PIN zukünftig eine TAN oder Freigabe mittels Fingerabdruck in einer App abgefragt werden. Die starke Kundenauthentifizierung ist also erforderlich, wenn Sie als Kunde online auf Ihr Konto zugreifen sowie grundsätzlich bei jeder Online-Überweisung oder Kartenzahlung im Internet (sprich bei elektronischen Zahlungsvorgängen).

  • Was heißt das für Santander Kunden?

    Derzeit nutzen Sie im Online Banking die iTAN für die Ausführung von Transaktionen. Ab September diesen Jahres sind für die Zahlungsauslösung nur noch TAN-Verfahren erlaubt, bei denen für jede Transaktion jeweils eine TAN neu generiert wird (das sogenannte dynamische TAN-Verfahren). Wir, genau wie alle anderen Banken, müssen somit bis zum September alle iTAN-Listen für den Zahlungsverkehr abschalten.

    Santander wird die iTAN gegen ein neues Verfahren ersetzen und hat dazu ein neues, App-basiertes Verfahren entwickelt, das ein einfaches und schnelles Signieren / Freigeben von Transaktionen ermöglicht. Über Push Benachrichtigungen werden Sie als Kunde direkt über die App zur Freigabe der Transaktion aufgefordert. Das Verfahren wird sowohl für iOS als auch Android geeignet sein. Bis spätestens zum 14. September 2019 müssen Sie sich auf dieses Verfahren umstellen.

    Alternativ bieten wir als optionale Variante die mobileTAN als Verfahren an. Dabei wird Ihnen zur Transaktionsfreigabe ein Code per SMS an die von Ihnen hinterlegte Mobilfunknummer zugesendet. Diesen Code müssen Sie dann zur Freigabe der Transaktion im Online Banking eintragen.

    Wir geben Ihnen an dieser Stelle bekannt, ab wann die neue App zur Authentifizierung zum Download zur Verfügung stehen wird.

Phishing Mails zu PSD2

  • Phishing Mails zu PSD2

    Mit Einführung der PSD2 wird der Zahlungsverkehr im Internet insgesamt sicherer und einfacher. Die Erfahrung zeigt allerdings, dass technische Änderungen dieser Art auch verstärkt Betrüger auf den Plan rufen, die zum Beispiel über so genanntes Phishing versuchen, an sensible Daten zu gelangen. Phishing bezeichnet einen per E-Mail durchgeführten Betrugsversuch, bei dem Sie eine echt und vertrauenswürdig wirkende Nachricht erhalten. Allerdings ist diese präpariert und soll Sie zur Preisgabe persönlicher und finanzieller Daten verleiten.

    Aktuell kursieren bereits die ersten Phishing-Mails zur Abschaffung der iTAN. Wir möchten Sie deshalb bitten, ganz genau hinzusehen, falls Sie eine E-Mail „Ihrer Bank“ erhalten – insbesondere wenn Sie in dieser E-Mail aufgefordert werden, vertrauliche Daten (z.B. Online Banking Zugangsdaten, Karten PIN, PIN für Telefonbanking) über einen mitgelieferten Link oder Anhang einzugeben. Weitere Informationen rund um Online Sicherheit finden Sie hier .

Was ändert sich in Bezug auf Kartenzahlungen?

  • Was ändert sich in Bezug auf Kartenzahlungen?

    Mit dem Inkrafttreten der zweiten Stufe der Zahlungsdiensterichtlinie zum 14.09.2019 gelten neue Sicherheitsvorschriften in Bezug auf die Zahlungsvorgänge mit Karten.


    Bezahlen vor Ort im Handel

    Karte vorzeigen, bezahlen und unterschreiben - bislang waren Sie es gewohnt, Ihre Kreditkartenzahlungen mittels Unterschrift zu bestätigen.

    Statt mit Ihrer Unterschrift bestätigen Sie die Zahlung zukünftig mit Ihrer Kreditkarten-PIN. Grund dafür sind die bereits erläuterten strengeren Regularien, die ab dem 14. September 2019 gültig sind.

    Derzeit statten wir unsere Karten schrittweise mit einer Kontaktlosfunktion (NFC) aus, die das Bezahlen beschleunigt. Die kontaktlose Funktion Ihrer Santander Kreditkarte kann bei Zahlungen bis 50 Euro ohne PIN und ohne Unterschrift in Deutschland genutzt werden. Erst bei Beträgen über 50 Euro werden Sie nach der PIN gefragt. Dies kann von Terminal zu Terminal unterschiedlich sein. Bitte beachten Sie, dass das Limit im Ausland abweichen kann. Aus Sicherheitsgründen können Sie jederzeit zur Autorisierung Ihrer Zahlung nach Ihrer PIN gefragt werden.


    Die Nutzung Ihrer girocard/Maestro-Karte (Debitkarte) ändert sich nach dem 14. September 2019 nicht. Sofern Sie bereits eine Karte mit Kontaktlosfunktion besitzen, können Sie nach wie vor kontaktlos bis zu fünf Mal jeweils bis zu einem Betrag von 25 Euro ohne Eingabe der PIN mit Ihrer girocard/Maestrokarte (Debitkarte) bezahlen.


    Bezahlen im Internet

    Mastercard, Visa und weitere Unternehmen aus dem Kreditkartenbereich haben sich in Vorbereitung auf die ab 14. September 2019 greifenden gesetzlichen Anforderungen auf einen weltweit geltenden Standard zur Abbildung der starken Kundenauthentifizierung geeinigt (EMVSecure-Standard der EMVCo) und in die eigenen Sicherheitsprogramme übernommen. Für alle Zahlungen mit Ihrer Kreditkarte in europäischen Online-Shops ist ab dem ab 14. September 2019 eine Legitimation über „Mastercard® Identity Check™“ beziehungsweise „Visa Secure“ verpflichtend. Die bisherigen Sicherheitsprogramme „Verified by Visa“ und „Mastercard 3DSecure“ werden damit abgelöst.

    Als Kunde von Santander müssen Sie sich nicht selbst aktiv für „Mastercard® Identity Check™“ oder „Visa Secure“ registrieren, das werden wir automatisch auf Basis Ihrer bisherigen Registrierung für „Verified by Visa“ und „Mastercard 3DSecure“ für Sie anpassen. Mit „Mastercard® Identity Check™“ und „Visa Secure“ geben wir Ihnen die Möglichkeit, unsere neue, komfortable Authentifizierungs-App nicht nur für das Online Banking, sondern auch für alle Kreditkartenzahlungen im Internet zu nutzen.

    Sollten Sie die App nicht installieren können, z.B., weil Sie kein Smartphone besitzen, besteht die Möglichkeit, weiterhin eine mobileTAN als Sicherheitsfaktor zu verwenden. Die mobileTAN gilt zusammen mit der Mobilnummer / SIM-Karte als Sicherheitsmerkmal der Kategorie Besitz (siehe unter Punkt 2). Anders als bisher gilt die Prüfziffer (PAN) auf Ihrer Kreditkarte ab 14. September 2019 nicht mehr als Sicherheitsmerkmal. Deshalb müssen Sie bei Nutzung der mobileTAN für Kreditkartenzahlungen zusätzlich Ihre Online Banking-PIN (Sicherheitsmerkmal Wissen, siehe unter Punkt 2) eingeben, um die gesetzlichen Anforderungen an eine starke Kundenauthentifizierung zu erfüllen.

    Zur Einrichtung der Authentifizierungs-App oder PIN/mobileTAN für Kartenzahlungen im Internet empfehlen wir Ihnen, bis spätestens zum 14. September 2019 Ihre aktuelle Mobilnummer bei uns zu hinterlegen und – falls noch nicht geschehen – einen Zugang für das Online Banking einzurichten.

    Sofern Sie noch keinen Online Banking-Zugang besitzen, können Sie diesen unter hier (0.5 MB, PDF) beantragen. Die Beantragung des Online Banking-Zugangs ermöglicht Ihnen auch zukünftig die Nutzung Ihrer Kreditkarte im Internet.


    Wichtige Information: Ohne Nutzung der Online Banking-Zugangsdaten (PIN/mobileTAN) ist die Nutzung Ihrer Kreditkarte im Internet ab 14. September 2019 stark eingeschränkt.

    Im stationären Handel (am Geldautomaten, im Restaurant oder in einem Verkaufsgeschäft vor Ort) können Sie weiterhin auch ohne Online Banking-Zugangsdaten mit Ihrer Karte bezahlen.

Wird mit der neuen Richtlinie alles sicherer?

  • Wird mit der neuen Richtlinie alles sicherer?

    Mit unserer neuen Authentifizierungs-App bieten wir Ihnen ein sicheres Verfahren an, um online bequem Ihre Transaktionen vorzunehmen. Falls Sie künftig über einen Drittanbieter Services in Anspruch nehmen und dabei werden Fehler gemacht oder Sie werden Opfer eines Betruges, haften wir als kontoführende Bank für den entstandenen Schaden. Santander kann anschließend Schadenersatz beim Drittanbieter geltend machen, falls dieser für den Fehler verantwortlich ist. Als Kunde können Sie somit ohne persönliches Risiko Dienstleistungen von Drittanbietern in Anspruch nehmen.

    PSD2
    Beispielhafte Darstellung, Quelle: https://www.bundesbank.de/de/aufgaben/unbarer-zahlungsverkehr/psd2/psd2-775434

Warum werden die Bedingungen zum Zahlungsverkehr geändert?

  • Warum werden die Bedingungen zum Zahlungsverkehr geändert?

    Die Bedingungen wurden aufgrund der Umsetzung der zweiten Stufe der Zahlungsdiensterichtlinie geändert, die vor allem neue Vorgaben zur starken Kundenauthentifizierung (sehen Sie auch Punkt 2 auf dieser Seite) und zum Zugriff auf Konten durch Drittanbieter enthält. Die Neuerungen sollen die allgemeine Sicherheit für den elektronischen Zahlungsverkehr, den Wettbewerb zwischen Serviceanbietern und den Verbraucherschutz weiter erhöhen. Als Bank sind wir gesetzlich verpflichtet, die entsprechenden Bedingungen für das Online Banking und für Kartenzahlungen anzupassen und Sie als Kundin und Kunden darüber zu informieren. Die Änderungen gelten ab dem 14. September 2019.

  • Zusammenfassung der wesentlichen Änderungen

    Wesentliche Änderungen in den „Bedingungen für das Online Banking“:

    • Nummer 1 Absatz 1 - Nutzung von Drittdiensten
      Wie schon zum 13. Januar 2018 in den Bedingungstext eingefügt, sind Sie als Kunde berechtigt, durch das Zahlungsdiensteaufsichtsgesetz regulierte Zahlungsauslösedienste und Kontoinformationsdienste zu nutzen. Zur Klarstellung wird nunmehr ergänzt, dass Sie auch sonstige von Ihnen ausgewählte Drittdienste nutzen können. Wichtig hierbei: Sonstige Drittdienste sollten sie sorgfältig auswählen, um in Ihrem Interesse die Sicherheit des Online Banking zu schützen (vgl. dazu auch Nummer 7.1. Absatz 5).

    • Nummer 2 – Neuer Begriff „Authentifizierungselement“
      Um im Online Banking Informationen abzurufen oder Aufträge zu erteilen, müssen Sie sich mit den mit uns gesondert vereinbarten Authentifizierungselementen, beispielsweise Online-PIN und –TAN, ausweisen (vgl. auch Nummer 3 und 4). Damit können wir als Bank die Berechtigung des Online Banking-Zugriffs prüfen (Authentifizierung). Um einerseits den neuen gesetzlichen Vorgaben zu entsprechen und anderseits den Bedingungstext technikneutral zu halten, werden die bisherigen Begriffe „Authentifizierungsinstrument“ und „personalisiertes Sicherheitsmerkmal“ durch den neuen Sammelbegriff „Authentifizierungselement“ ersetzt. Sodann werden entsprechend dem Gesetz die Unterarten, nämlich Wissens-, Besitz- und Seinselemente, beschrieben.

      Mit dem neuen Sammelbegriff „Authentifizierungselement“ ändern sich auch weitere Regelungen. So sind die „Authentifizierungselemente“ nunmehr der Bezugspunkt für die Regelungen über den Zugang zum Online Banking (Nummer 3), die Auftragserteilung (Nummer 4), die Sorgfaltspflichten (Nummer 7.1), die Sperranzeigepflicht (Nummer 8.1), die Nutzungssperre (Nummer 9) und die Haftung (Nummer 10).

    • Nummer 7.1 – Sorgfaltspflichten
      Ihre Sorgfaltspflichten im Online Banking werden wegen der Einführung des neuen Sammelbegriffs „Authentifizierungselemente“ und der technischen Entwicklungen aktualisiert (Nummer 7.1). Zum Schutz Ihrer Authentifizierungselemente vor unbefugtem Zugriff müssen Sie - wie bisher - alle zumutbaren Vorkehrungen treffen. Anderenfalls besteht die Gefahr, dass das Online Banking von Unbefugten missbräuchlich genutzt werden könnte.

      In Nummer 7.1 Absatz 2 werden die Schutzpflichten an Hand von Regelbeispielen beschrieben, die nach den Kategorien Wissen, Besitz und Sein untergliedert sind. Indem Sie diese Sorgfaltspflichten beachten, schützen Sie das Online Banking und reduzieren Betrugsrisiken. Bei vorsätzlicher oder grob fahrlässiger Verletzung dieser Sorgfaltspflichten könnten Sie für den hieraus entstandenen Schaden haften (vgl. Nummer 10.2.1 Absatz 3).

      Sie können das Online Banking auch mittels Kontoinformationsdiensten, Zahlungsauslösediensten und von Ihnen ausgewählten sonstigen Drittdiensten nutzen (vgl. Nummer 1 Absatz 1) und hierbei Ihre Authentifizierungselemente verwenden (Nummer 7.1 Absatz 5 Satz 1). Sofern Sie „sonstige Drittdienste“ nutzen, müssen Sie diese sorgfältig auswählen (Nummer 7.1 Absatz 5 Satz 2), um die Sicherheit des Online Banking auch in Ihrem Interesse zu schützen.


    Änderungen der „Bedingungen für die girocard (Debitkarte)“:

    Nummer A.II.15. Absatz 6 – Haftung bei fehlender starker Kundenauthentifizierung In Umsetzung der gesetzlichen Vorgaben wird für den Fall einer fehlenden „starken“ Kundenauthentifizierung bei der Kartenzahlung mit dem neuen Absatz 6 in Nummer A.II.15.1 eine besondere Haftungsregelung zugunsten des Karteninhabers aufgenommen.


    Änderungen der „Kreditkartenbedingungen“:

    • Nummer 1 - Verwendungsmöglichkeiten
      Aufgrund der technischen Weiterentwicklungen kann die Kreditkarte auch als digitale Karte zur Nutzung auf einem mobilen Endgerät (z.B. Smartphone) ausgegeben werden. Sollten Sie eine solche digitale Karte nutzen wollen, ist dies gesondert mit uns als Bank zu vereinbaren. Neben den Kreditkartenbedingungen gelten dann gesonderte Nutzungsbedingungen (vgl. Nummer 1.1 am Ende).


    • Nummer 3 - Autorisierung von Kartenzahlungen durch den Karteninhaber
      Die Nutzungsmöglichkeiten der Kreditkarte und die hierbei einzusetzenden Authentifizierungselemente sind aufgrund der gesetzlichen Vorgaben und der technischen Weiterentwicklungen aktualisiert worden. Beim Bezahlen mit der Kreditkarte bei Vertragsunternehmen vor Ort (beispielsweise an der Ladenkasse, an Parkautomaten) kann in bestimmten Fällen auf die Eingabe der Karten-PIN verzichtet werden (vgl. Nummer 3.1 Absatz 3). Bei Online-Bezahlvorgängen (beispielsweise Karteneinsatz im Online-Handel) erfolgt die Authentifizierung des Karteninhabers – vergleichbar zum Online Banking - mit den jeweils angeforderten Authentifizierungselementen aus den Kategorien Wissen, Besitz und/oder Sein (vgl. Nummer 3.1 Absatz 4). Welche Authentifizierungselemente hierfür konkret zur Verfügung stehen, richtet sich nach gesonderter Vereinbarung mit uns. Der statt dem bisherigen Begriff „personalisiertes Sicherheitsmerkmal“ eingeführte Sammelbegriff „Authentifizierungselement“ ist aus den neuen gesetzlichen Vorgaben abgeleitet. Er ist technikneutral, um die verschiedenen von den Kreditkartenorganisationen unterstützten Verfahren erfassen zu können. Der Sammelbegriff wird dann auch in den weiteren Regelungen mit Bezug zu Online-Bezahlvorgängen verwendet (vgl. u.a. Nummer 3.4, Nummer 8.4, Nummer 13).


    • Nummer 8.4 - Schutz der Authentifizierungselemente für Online-Bezahlvorgänge
      Die Sorgfaltspflichten des Karteninhabers in Bezug auf seine Authentifizierungselemente für Online-Bezahlvorgänge werden nach dem Vorbild der „Bedingungen für das Online Banking“ konkretisiert. Zum Schutz Ihrer Authentifizierungselemente vor unbefugtem Zugriff müssen Sie - wie bisher - alle zumutbaren Vorkehrungen treffen. Anderenfalls besteht die Gefahr, dass das Ihre Kreditkarte für Online-Bezahlvorgänge von Unbefugten missbräuchlich genutzt werden könnte.

      In Nummer 8.4 Absatz 2 werden die Schutzpflichten an Hand von Regelbeispielen beschrieben, die nach den Kategorien Wissen, Besitz und Sein untergliedert sind. Indem Sie diese Sorgfaltspflichten beachten, schützen Sie Online-Bezahlvorgänge mit Ihrer Kreditkarte und reduzieren Betrugsrisiken. Bei vorsätzlicher oder grob fahrlässiger Verletzung dieser Sorgfaltspflichten könnten Sie für den hieraus entstandenen Schaden haften (vgl. Nummer 13.1 Absatz 4).


    • Nummer 8.5 - Kontrollpflichten bei Online-Bezahlvorgängen
      Wegen des Sachzusammenhangs schließt sich die Regelung zur Kontrollpflicht bei Online-Bezahlvorgängen an Nummer 8.4 an.


    • Nummer 13.1 Absatz 7 – Haftung bei fehlender starker Kundenauthentifizierung
      In Umsetzung der gesetzlichen Vorgaben wird für den Fall einer fehlenden „starken“ Kundenauthentifizierung bei der Kartenzahlung mit dem neu formulierten Absatz 7 in Nummer 13.1 eine besondere Haftungsregelung zugunsten des Karteninhabers aufgenommen.

    Der Verweis in der Klammer bezieht sich auf die jeweiligen Bedingungen.