Wasserzeichen
ZahlungsverkehrÜberweisungPSD2

Neue Regeln im Zahlungsverkehr: Was ändert sich?

11.01.2018Artikel
Sylvie Ernoult
Kathleen Altmann
background
hero

Ab dem 13. Januar 2018 treten neue, europaweit einheitliche Regeln für den Zahlungsverkehr in Kraft: mit der sogenannten PSD2-EU-Richtlinie. Was ändert sich, was ist neu? Was müssen Verbraucher wissen? Wir haben hier Antworten auf die wichtigsten Fragen zusammengestellt – unsere FAQs zu PSD2. 

Warum wurden die Allgemeinen Geschäftsbedingungen und sonstigen Bedingungswerke zum Zahlungsverkehr geändert?

Bankkunden haben in den letzten Wochen Post von ihrer Bank erhalten mit geänderten Allgemeinen Geschäftsbedingungen für ihr Konto. Anlass ist die Umsetzung der Zweiten Zahlungsdiensterichtlinie (Payment Service Directive 2, kurz PSD2), mit der neue, europaweit einheitliche Regeln für den Zahlungsverkehr ab dem 13. Januar 2018 auch in Deutschland gelten. Die Banken sind daher verpflichtet, die davon betroffenen Bedingungswerke anzupassen und ihre Kunden darüber zu informieren. Die Änderungen betreffen Überweisungen, Lastschriften, Kartenzahlungen und Online-Banking. Ziel des Gesetzgebers ist die Förderung von Innovationen und Wettbewerb im Zahlungsverkehr und die Stärkung der Rechte der Bankkunden.

Kann ich diesen Änderungen widersprechen? Bis wann?

Die Kunden können den Änderungen vor dem 13. Januar 2018 widersprechen oder den zugrundeliegenden Vertrag kündigen. Andernfalls gilt die Zustimmung als erteilt. Ob ein Kunde von seinem Widerspruchsrecht Gebrauch macht, steht in seinem Ermessen. Hierbei sollte bedacht werden, dass die Vertragsänderungen an die Änderung gesetzlicher Vorschriften anknüpfen.

Welche Änderungen sind besonders wichtig?

Mit der PSD2 werden neue Vorschriften für Drittdienste geschaffen. Das sind Zahlungsauslösedienste und Kontoinformationsdienste. Wenn der Kunde im Rahmen des Online-Banking solche Drittdienste nutzt, ist die Bank verpflichtet, diesen Zugang zum Zahlungskonto des Kunden zu gewähren. Die Drittdienste unterliegen nunmehr der Aufsicht der Bundesanstalt für Finanzdienstleistungsaufsicht.

Zusätzlich werden die Rechte der Bankkunden in einigen Punkten gestärkt, insbesondere:

  • Die Erstattungsfrist bei nicht autorisierten Zahlungen wird verkürzt.
  • Die Ansprüche bei verspäteter Ausführung einer Zahlung werden geregelt.
  • Die Haftungsgrenze im Fall von Missbrauch bei Karten- und Online-Banking-Zahlungen wird gesenkt.
  • Kartenzahlungen können künftig nur noch mit Zustimmung des Kunden vorreserviert werden.

Außerdem werden Zahlungen innerhalb des Europäischen Wirtschaftsraums in einer Drittstaatenwährung (zum Beispiel US-Dollar) stärker vom Zahlungsdiensterecht erfasst.

Was bedeuten die neuen Vorschriften zu Drittdienstleistern für den Kunden?

Kunden können im Online-Banking Drittdienstleister damit beauftragen, Zahlungen vorzunehmen oder Kontoinformationen abzurufen (beispielsweise für ihre Finanzplanung). Da diese Dienstleister nunmehr gesetzlich anerkannt sind und der Bankenaufsicht unterliegen, dürfen Kunden gegenüber diesen Diensten auch ihre PIN und TAN einsetzen.

Was ist ein Zahlungsauslösedienst?

Kauft ein Kunde im E-Commerce ein, so kann er für die Zahlungsabwicklung einen Dienstleister nutzen. Dieser reicht für den Kunden den Überweisungsauftrag bei der Bank ein, wenn der Kunde dem vorher zugestimmt hat.

Was ist ein Kontoinformationsdienst?

Kontoinformationsdienste sind in der Lage, für den Kunden Kontoinformationen wie Umsätze, Salden und Vormerkposten abzurufen, sofern der Kunde am Online-Banking seiner Bank teilnimmt. Dies ist insbesondere für Kunden interessant, die Konten bei mehreren Banken haben und sich damit einen besseren Überblick über ihre Kontenlage verschaffen wollen.

Welche Rechte und Pflichten haben die Drittdienste?

Die Drittdienstleister unterliegen zukünftig der Aufsicht. So benötigen Zahlungsauslösedienste für ihre Tätigkeit eine Zulassung von der der nationalen Aufsichtsbehörde. Das ist in Deutschland die Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin). Kontoinformationsdienste müssen sich bei der Aufsicht registrieren lassen. Für die Zulassung und Registrierung wird bei Zahlungsauslöse- und Kontoinformationsdiensten eine Berufshaftpflichtversicherung oder eine gleichwertige Garantie vorausgesetzt. Schon vor 2016 tätige Dienste genießen noch Bestandschutz.

Was hat es mit „Screen Scraping“ auf sich?

Die Europäische Kommission hat am 27. November 2017 die Technischen Regulierungsstandards (RTS, Regulatory Technical Standards) für die sichere Kommunikation und die starke Kundenauthentifizierung zur PSD2 veröffentlicht. Damit hat sich die Europäische Kommission eindeutig für den Zugriff auf Zahlungskonten über Schnittstellen (APIs) ausgesprochen. Screen Scraping (eine Technik zum Auslesen von Informationen aus Internetseiten) ist damit grundsätzlich nicht mehr erlaubt. Dies ist im Sinne des Kunden und stärkt sowohl die Sicherheit des Online Banking als auch die Transparenz über die Weitergabe von Daten.

Wie ist der Zeitplan für die Umsetzung der PSD2-Schnittstelle?

Die RTS enthalten Rahmenvorgaben für die weitere Ausgestaltung des Kontenzugriffs. Rat und Europäisches Parlament müssen diesen noch zustimmen. Nach Veröffentlichung durch die Europäische Kommission bleiben dem Markt 18 Monate für die Umsetzung. Die PSD2-Schnittstelle wird damit erst im 3. Quartal 2019 zur Verfügung stehen.

Banken und Sparkassen in Deutschland arbeiten in der Berlin Group Initiative an einer europaweit einheitlichen Schnittstellenspezifikation. Damit besteht die Chance, ein möglichst einheitliches digitales Ökosystem zum Vorteil der Verbraucher und Unternehmen zu schaffen.

Wie  kann ich als Kunde erkennen, ob der Drittdienstleister gesetzlich anerkannt ist und der Bankenaufsicht unterliegt?

Die Europäische Bankenaufsicht und die BaFin führen dazu Verzeichnisse, die auch über das Internet einsehbar sind: Ein europäisches Verzeichnis aller Drittdienste wird von der Europäischen Bankenaufsichtsbehörde zur Verfügung gestellt. In diesem können Kunden anhand verschiedenster Suchkriterien prüfen, ob der jeweilige Drittdienst auch über eine entsprechende Lizenz beziehungsweise Registrierung verfügt. Die BaFin veröffentlicht Verzeichnisse mit registrierten und lizensierten Drittdiensten. In Zweifelsfällen kann sich der Kunde auch bei der BaFin erkundigen.

Auf welche Kontodaten darf der Drittdienstleister zugreifen?

Der Kunde entscheidet, ob und gegebenenfalls welche Kontodaten der Drittdienst zur Erbringung seiner Dienstleistung für den Kunden einsehen darf. Der Kunde sollte sich dazu genau die Informationen des Drittdienstes zu dessen Datenzugriff durchlesen, damit er die Tragweite seiner Zustimmung verstehen kann.

Welche Erstattungsfrist gilt künftig bei nicht autorisierten Zahlungen?

Sollte auf dem Zahlungskonto eine Zahlung gebucht worden sein, ohne dass der Kontoinhaber diese veranlasst oder dieser zugestimmt hat, kann er Erstattung von der Bank verlangen. Die Erstattungsfrist ist auf einen Geschäftstag verkürzt worden, außer die Bank stellte eine Autorisierung der Zahlung durch den Kontoinhaber fest oder hat einen Betrugsverdacht gegen den Kunden.

Welche Ansprüche hat der Kunde künftig bei verspäteter Ausführung einer Zahlung?

Sollte eine Zahlung einmal verspätet beim Empfänger ankommen, sind die beteiligten Zahlungsdienstleister verpflichtet, diese Verspätung beim Zahlungsempfänger auszugleichen.

Wie hoch ist die Haftungsgrenze bei Missbrauch in Zukunft?

Bei einem Missbrauch der Bank- oder Kreditkarte oder der Online-Banking-PIN/TAN haftet der Kunde für entstandene Schäden derzeit bis zu einem Betrag von 150 Euro, solange er die Karte oder sein Online-Konto nicht gesperrt hat. Diese Haftungsgrenze sinkt auf 50 Euro. Lediglich bei grober Fahrlässigkeit oder Vorsatz haftet der Kunde auch weiterhin unbeschränkt.

Was ändert sich bei vorreservierten Kartenzahlungen?

Viele Hotels und Autovermietungen reservieren bei Buchung oder Anmietung einen bestimmten Betrag auf dem Kartenkonto des Kunden. Ab kommendem Jahr muss der Karteninhaber dem vorher zustimmen. Erst dann ist die Bank berechtigt, diesen Betrag auf dem Konto vorübergehend zu sperren.

Was ändert sich bei der Kundenauthentifizierung für das Online-Banking?

Bei Zahlungen im Internet ist die sogenannte Zwei-Faktor-Authentifizierung bereits heute Pflicht. Das bedeutet, dass die Authentifizierung des Kunden über zwei Faktoren erfolgen muss, die durch Wissen (z.B. PIN), Besitz (z.B. Smartphone) oder Inhärenz (z.B. Fingerabdruck) vermittelt werden. Die PSD2 verlangt dieses Verfahren künftig auch beim Einloggen im Online-Banking oder sonstigen Handlungen, die das Risiko eines Missbrauchs bergen. Die neuen Vorschriften zur „starken Kundenauthentifizierung“, durch die die iTAN abgeschafft werden, greifen erst 18 Monate nachdem die konkreten technischen Standards auf europäischer Ebene (RTS) veröffentlicht sein werden. Nach der Veröffentlichung im EU-Amtsblatt – voraussichtlich ab Februar 2018 – wird es eine 18-monatige Umsetzungsfrist für die Banken geben. Diese Regelungen werden daher voraussichtlich erst im Laufe des zweiten Halbjahres 2019 Anwendung finden.

Wie lange können iTAN-Listen noch verwendet werden?

Es steht noch nicht fest, ab wann die neuen Vorschriften zur „starken Kundenauthentifizierung“, durch die die iTAN abgeschafft werden, greifen (siehe oben). Ein finales Datum zur Abschaffung der iTAN-Listen gibt es also noch nicht, voraussichtlich wird dieser Zeitpunkt im Herbst 2019 liegen. Viele Banken bieten schon seit Jahren alternative Authentifizierungsverfahren an (wie TAN-Generator, Photo-TAN oder mobile-TAN) und lösen damit sukzessive die iTAN-Listen ab.

Entfallen durch PSD2 die zusätzlichen Gebühren der Händler für Kartenzahlungen?

Ab dem 13. Januar 2018 dürfen Händler für Kartenzahlungen von Verbrauchern mit Kreditkarten oder mit Debitkarten keine zusätzlichen Gebühren mehr verlangen. Das gilt auch für Überweisungen und Lastschriften. Damit entfällt der Aufschlag der Händler für Kreditkartenzahlungen, der bislang vor allem bei Einkäufen im Internet für Streit sorgte.