PSD2 – Neue Richtlinie verpflichtet Banken und Zahlungsdienstleister zu besonderer Verschlüsselung

Schon morgen, am 14. September 2019 ist es soweit: Konformität zur Zahlungsdiensterichtlinie PSD2 wird für alle Marktteilnehmer Pflicht. PSD2, die zweite Payment Service Directive, bedeutet Veränderung – nicht nur für Banken und Zahlungsdienstleister, sondern auch für Kunden. Vorteil für alle: Die Richtlinie wird dem Online Banking zu gesteigerter Sicherheit verhelfen.

Die neue Zahlungsdiensterichtlinie PSD2

Die neue Vorschrift PSD2 ist eine EU-Richtlinie, welche von der Europäischen Kommission im Zahlungsdiensterecht beschlossen wurde und seit dem vergangenen Jahr bereits in abgespeckter Version in Kraft ist. Zweck: Zahlungsdienste und Zahlungsdienstleister (auch Nicht-Banken) in Europa zu einem gerechten Wettbewerb verhelfen. Hierfür werden Banken verpflichtet ihre zuvor gesammelten Kundendaten zu veröffentlichen und verlieren gegenüber Nicht-Banken damit einen klaren Vorteil. Dies erfordert natürlich die Zustimmung des Kunden und bietet diesem die Chance, weitere Angebote zu Finanzprodukten von anderen Mitbewerbern zu erhalten und direkt zu vergleichen. Weiterhin ist auf Kundenseite mit sinkenden Bankgebühren aufgrund des steigenden Wettbewerbs zu rechnen.

Für Banken ist die neue Richtlinie PSD2 aufgrund der in ihrer Position gestärkten Mitbewerber sicherlich eine Herausforderung. PSD2 kann für Banken jedoch auch viel Potential bieten. So kann zum Beispiel das eigene Produktsortiment durch Zusammenarbeit mit kleineren Start-ups erweitert werden.

Technische Anforderungen – PSD2 fordert besondere Zertifikate

Die Umsetzung von PSD2 ist an verschiedene technische Voraussetzungen gekoppelt, um weiterhin sowohl Sicherheit wie auch Transparenz zu garantieren. Für die Offenlegung der Kundendaten an Nicht-Banken werden Banken zur Nutzung einer sicheren Schnittstelle (API) verpflichtet. Abgesichert werden solche mit qualifizierten Website-Zertifikaten (auch QWACs). Auch Zahlungsdienstleister, die anschließend Zugriff auf die hinterlegten Kundendaten erhalten möchten, benötigen hierzu diese QWACs respektive qualifizierte Siegel. Weiterhin benötigen diese Nicht-Banken eine Lizenz der Bundesanstalt für Finanzdienstleitungsaufsicht (BaFin) oder einer anderen nationalen Aufsichtsbehörde. Diese Lizenz bestätigt, dass der Finanzdienstleister dazu berechtigt ist, Zugriff auf Kundendaten zu erhalten. Zudem legt die Lizenz den Umfang fest, zu dem der Finanzdienstleister Zugriff auf Informationen erhalten darf. Der Erwerb einer BaFin-Lizenz ist dementsprechend an einen langwierigen Prüfprozess des Finanzdienstleisters gekoppelt. Mit einer Dauer von 3 Monaten ist hierbei zu rechnen, da Zahlungsauslösedienste und Kontoinformationsdienste nach der Antragstellung bei der BaFin verschiedenste Informationen preisgeben müssen. Hierzu gehören zum Beispiel Verfahrensbeschreibungen, Businessplan, Sicherheitsstrategie u. v. m. Erst nachdem Sie diesen Prozess abgeschlossen und eine Lizenz erhalten haben, ist es Ihnen möglich ein QWAC zu erwerben.

QWAC: Besonderheiten dieses Zertifikats

Qualifizierte Website-Zertifikate entsprechen dem eiDAS-Standard und werden ausschließlich von qualifizierten Trust Service Providern ausgegeben. Daher gelten Sie besonders in der EU als angesehen und vertrauenserweckend. QWACs belegen zum einen Ihre Identität als Zahlungsdienstleister und erfüllen gleichzeitig die Funktion gewöhnlicher SSL-Zertifikate. Sie verschlüsseln also die Datenübertragung über Ihre Website.

Wie erhalte ich Zertifikate nach PSD2-Vorgaben?

Auch bei uns sind PSD2-konforme Zertifikate erhältlich. Da es sich um eine kompliziertere Beratung handelt, sind PSD2-konforme Zertifikate vorerst bei uns auf Anfrage erhältlich. Nehmen Sie bei Interesse gerne Kontakt mit uns auf!