Bitte warten...

 

FAQ zu PSD2

 

Die wichtigsten Informationen für Unternehmen, Banken und FinTechs über den Einsatz von elektronischen Zertifikaten und Siegeln

 

Was ist das Ziel der PSD2?

Mit der überarbeiteten Zahlungsdiensterichtlinie (Payment Services Directive 2 = PSD2) regelt die EU den Online-Zahlungsverkehr zwischen Marktteilnehmern innerhalb der EU. Unter anderem verpflichtet die PSD2 Banken dazu, ihre Systeme für Anfragen von Drittanbietern in Form einer Schnittstelle (Application Programming Interface = API) zu öffnen. Bei Zugriff auf das Konto muss die Zwei-Faktor-Authentisierung (Strong Customer Authentication = SCA) durch den Kontoinhaber eingesetzt werden.

Für wen ist die PSD2 wichtig?

Die Regelungen der PSD2 gelten sowohl für Banken als auch für Drittanbieter. Drittanbieter sind FinTechs und Zahlungsdienstleister, die für ihren Geschäftszweck Zahlungen auslösen oder Kontodaten von Kunden einsehen wollen. Banken sind verpflichtet, diesen Drittanbietern eine Schnittstelle zur Verfügung zu stellen.

Unter welchen Voraussetzungen dürfen Drittanbieter auf Konten oder Kontoinformationen zugreifen?

Um zwecks ihrer Geschäftstätigkeit auf Kundenkonten und -Konteninformationen zugreifen zu dürfen, benötigen Drittanbieter eine Lizenz der Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) oder ihrer zuständigen nationalen Aufsichtsbehörde (National Competent Authority = NCA). Die Art der Lizenz bestimmt die jeweiligen Zugriffsrechte des Drittanbieters auf Kontodaten über die Bankenschnittstelle.

Welche technischen Voraussetzungen müssen Banken und Drittanbieter erfüllen?

Artikel 34 der technischen Regulierungsstandards (Regulatory Technical Standards = RTS, EU 2018/389) gibt die Verwendung von qualifizierten Zertifikaten (QWACs) und  ggfs. qualifizierten Zertifikaten für elektronische Siegel (QSiegel) im elektronischen Zahlungsverkehr vor. Unternehmen, die als Drittanbieter auf Bankkonten zugreifen wollen, müssen sich beim automatisierten Zugriff mit einem oder mehreren Zertifikaten identifizieren. Banken sind ebenfalls verpflichtet, sich gegenüber den zugreifenden Zahlungsdienstleistern anhand eines Zertifikats auszuweisen.

Wo erhalten Drittanbieter und Banken ein elektronisches Zertifikat zur Erfüllung der PSD2-Anforderungen?

Drittanbieter erhalten die nötigen elektronischen Zertifikate von in der EU gelisteten Vertrauensdiensteanbietern (Qualified Trust Service Provider = QTSP). Zuvor muss dem Zahlungsdienstleister die Lizenz durch die BaFin oder seiner nationalen Aufsicht erteilt worden sein.
Will eine Bank als Drittanbieter agieren um auf Konten anderer Banken zuzugreifen, benötigt sie ebenfalls ein QWAC und ggf. ein QSiegel. Sofern die Bank eine Vollbanklizenz besitzt, ist eine separate Lizensierung bei der BaFin oder der zuständigen nationalen Finanzaufsicht nicht nötig.

Ab wann sind Zertifikate nach den PSD2-Vorgaben erhältlich?

Seit dem 14. März 2019 müssen Banken gemäß EU 2018/389 Artikel 30(5) den vorgeschriebenen Testbetrieb mit Testzertifikaten durchführen. Zu diesem Zweck stellt der Bank-Verlag Testzertifikate ebenso wie eine Sandbox zum Testen der Schnittstelle auf Basis des Berlin Group Standards (Version 1.3) zur Verfügung.

Gibt es für die Beantragung eines qualifizierten Website-Zertifikats gemäß PSD2 eine definierte Vorgehensweise?

Der Drittanbieter muss einen Antrag auf Zulassung als Zahlungsdienstleister bei der BaFin oder seiner zuständigen nationalen Finanzaufsichtsbehörde stellen. Nach der Erteilung der BaFin-Lizenz kann die Zertifikatsausstellung erfolgen.

Muss für Testzertifikate auch ein Antrag bei der BaFin gestellt werden?

Für die Nutzung von Testzertifikaten ist kein Lizenzantrag bei der BaFin notwendig.

Welche Zertifikatstypen gibt es?

  • Qualifizierte Website-Zertifikate (QWACs): Das qualifizierte Website-Zertifikat verifiziert die Identität des anfragenden Unternehmens und sichert den Kommunikationskanal.
  • Qualifizierte Zertifikate für elektronische Siegel (QSiegel): Durch das QSiegel werden signierte Daten vor Veränderungen geschützt und die Identität des zugreifenden Unternehmens dokumentiert. Nachträgliche Änderungen werden sichtbar gemacht.
  • Extended-Validation-Zertifikate (EV-Zertifikate).

 

Zu welchen Zwecken werden die verschiedenen Zertifikatstypen eingesetzt?

Artikel 34 der Regulatory Technical Standards (EU 2018/389) gibt Drittanbietern die Verwendung von QWAC oder QSiegel vor. Die European Banking Authority (EBA) empfiehlt, sowohl ein QWAC als auch ein QSiegel einzusetzen. Der Standard der Berlin Group für die NextGenPSD2 sieht ein QWAC als verpflichtend vor. Eine Bank wiederum kann sich durch ein QWAC oder EV-Zertifikat ausweisen, auch hier empfiehlt die EBA ein QWAC.

Welche Voraussetzungen und Pflichten müssen Anbieter qualifizierter Zertifikate für elektronische Siegel (QSiegel) und qualifizierter Website-Zertifikate (QWAC) erfüllen?

Um in der EU-Vertrauensliste aufgeführt zu werden, müssen die Anbieter von der zuständigen nationalen Aufsichtsbehörde auf Basis einer Konformitätsbewertung als eIDAS-Vertrauensdienst zugelassen sein.

Woher erhalten Banken Testzertifikate?

Zur Prüfung der PSD2-Schnittstelle stellt der Bank-Verlag den Banken ebenfalls CA-Testzertifikate zur Verfügung.


Wenn Sie mehr zu unseren PSD2 Services wissen möchten, kontaktieren Sie uns unter produktanfrage@bank-verlag.de.

Wir beantworten gerne alle Ihre Fragen.