PSD II Sammelthread (ab 09/2019)

[marima]

ANZEIGE

Irgendwie durchblicke ich das ganze noch nicht zu 100 %.

Die PSD2-Richtline ist ja eine EU-Richtlinie. Das bedeutet doch, dass diese nicht automatisch in jedem EU-Land gleichmäßig umgesetzt wird, oder Irre ich mich da?

Klar, in dem deutschen Gesetz ist es so umgesetzt, dass eine Zwei-Faktor-Authorisierung beim Login, bei Zahlungsvorgängen als auch bei Online-Kreditkartenzahlungen notwendig ist/wird.

Wie verhält es sich aber nun in anderen Ländern?
Wenn meine Hausbank zum Beispiel in Luxemburg, Malta oder Polen sitzt?

Es könnte ja folgende Fälle geben:

1. Kreditkarte aus Luxemburg -> Zahlung in Luxemburg
2. Kreditkarte aus Luxemburg -> Zahlung in Deutschland

Luxemburg kann hierbei durch jedes andere EU-Land ersetzt werden.

Und was ist, wenn ich meine deutsche Kreditkarte im Nicht-EU-Ausland einsetzen will, die PSD2 ja gar nicht kennen?

Und last but not least:
Wie sieht es mit einer ausländischen Kreditkarte (Nicht-EU-Ausland) bei einem Online-Kauf in Deutschland aus?

In der PSD2-Richtline finde ich nämlich auf die schnelle nicht, dass 2FA wirklich von der EU vorgeschrieben wird.
Auch finde ich dort nicht, dass iTAN-Listen ungültig werden.
Aber vielleicht lese ich ja auch in der falschen Richtlinie?

 

[Amic]

Irgendwie durchblicke ich das ganze noch nicht zu 100 %.

Die PSD2-Richtline ist ja eine EU-Richtlinie. Das bedeutet doch, dass diese nicht automatisch in jedem EU-Land gleichmäßig umgesetzt wird, oder Irre ich mich da?

De jure ist das so. Wobei man da tatsächlich oft nicht viel davon abweichen kann.
De facto eigentlich auch, also was die tatsächliche Durchsetzung betrifft (siehe IBAN-Diskriminierung).

Es könnte ja folgende Fälle geben:

1. Kreditkarte aus Luxemburg -> Zahlung in Luxemburg
2. Kreditkarte aus Luxemburg -> Zahlung in Deutschland

Sind ja alles Zahlungen innerhalb des EWR, insofern also ziemlich irrelevant, wenn ich richtig verstehe?

In der PSD2-Richtline finde ich nämlich auf die schnelle nicht, dass 2FA wirklich von der EU vorgeschrieben wird.
Auch finde ich dort nicht, dass iTAN-Listen ungültig werden.

ITAN-Listen werden ja auch nicht ungültig - sie dürfen einfach nicht mehr für Überweisungen etc. verwendet werden.

Artikel 97. Der Begriff starke Kundenauthentifizierung ist in Artikel 4 definiert.

 

[marima]

De jure ist das so. Wobei man da tatsächlich oft nicht viel davon abweichen kann.
De facto eigentlich auch, also was die tatsächliche Durchsetzung betrifft (siehe IBAN-Diskriminierung).

Sind ja alles Zahlungen innerhalb des EWR, insofern also ziemlich irrelevant, wenn ich richtig verstehe?

Wäre nicht irrelevant, wenn Luxemburg das Gesetz anders umgesetzt hätte.

ITAN-Listen werden ja auch nicht ungültig - sie dürfen einfach nicht mehr für Überweisungen etc. verwendet werden.

Das ist korrekt. War falsch von mir formuliert. Ungülitig für Transaktionen. Für andere Aufträge dürfen sie ja weiter verwendet werden.

Artikel 97. Der Begriff starke Kundenauthentifizierung ist in Artikel 4 definiert.

Top! (Oder auch eher nicht so Top)
Das habe ich gesucht.

Tausend Dank

 

[SPZO]

Na ja, vielleicht gelten ja bei Abruf via Schnittstelle andere Intervalle. Sonst wäre das ja quasi der Todesstoß für sämtliche Homebanking Clients, das kann ja eigentlich nicht das Ziel von PSD2 sein.

Negativ. Intervale sind unabhängig vom Client.
Das ganze HBCI / FinTS Verfahren ist kontobasiert, d.h. pro Konto wird eine TAN abgefragt.
ING stellt dabei den Zugriff über HBCI ein, die ING möchte bei jedem Abruf. AFAIK kommt bei den Sparkassen die 90-Tage-Regel zum Einsatz.

Es wird ein Chaos geben. Vor allem im gewerblichen Bereich. Mir fallen da explizit die Hausverwalter ein, die ihre 200 Konten morgens abrufen. Wenn sie mit den TAN Eingaben, womöglich auch noch chipTAN manuell, fertig sind, können sie fast schon den nächsten Abruf starten...

Irgendwie freue ich mich schon auf das letzte Quartal 2019

 

[Olaf Berlin]

Es wird ein Chaos geben. Vor allem im gewerblichen Bereich. Mir fallen da explizit die Hausverwalter ein, die ihre 200 Konten morgens abrufen. Wenn sie mit den TAN Eingaben, womöglich auch noch chipTAN manuell, fertig sind, können sie fast schon den nächsten Abruf starten...

Mitunter wegen so was kann ich mir das irgendwie nicht vorstellen. Allein die ganzen Fintechs, die damit gekillt werden würden. Ich bleibe da optimistisch, dass es dafür nachträglich noch gesetzliche Regelungen geben wird, die die Nutzung von Banking Clients weiterhin ermöglichen. Ist natürlich Spekulation, aber warten wir es ab.

 

[monk]

Negativ. Intervale sind unabhängig vom Client.
Das ganze HBCI / FinTS Verfahren ist kontobasiert, d.h. pro Konto wird eine TAN abgefragt.
ING stellt dabei den Zugriff über HBCI ein, die ING möchte bei jedem Abruf. AFAIK kommt bei den Sparkassen die 90-Tage-Regel zum Einsatz.

Es wird ein Chaos geben. Vor allem im gewerblichen Bereich. Mir fallen da explizit die Hausverwalter ein, die ihre 200 Konten morgens abrufen. Wenn sie mit den TAN Eingaben, womöglich auch noch chipTAN manuell, fertig sind, können sie fast schon den nächsten Abruf starten...

Irgendwie freue ich mich schon auf das letzte Quartal 2019

Hausverwalter (kenne mehrere persönlich) arbeiten häufig mit EBICS. Und da ändert sich nichts, es muss nicht für jede Umsatzaktualisierung eine TAN eingegeben werden.

 

[donaldml]

Es wird ein Chaos geben. Vor allem im gewerblichen Bereich. Mir fallen da explizit die Hausverwalter ein, die ihre 200 Konten morgens abrufen. Wenn sie mit den TAN Eingaben, womöglich auch noch chipTAN manuell, fertig sind, können sie fast schon den nächsten Abruf starten...

solch ein Hausverwalter sollte seinen Job pruefen, wenn er noch nicht mit Ebics arbeitet...

 

[Tord]

Aber EBICS kostet halt gewöhnlich, selbst bei der DKB, da stört sich so mancher dran.

Hat mich aber enorm beruhigt, als ich dann vor einiger Zeit verstanden habe, dass EBICS außen vor bleibt bei PSD II - hatte kurzzeitig schon Schnappatmung wegen der Anbindung an DATEV Unternehmen online. Wäre der GAU gewesen.

 

[monk]

Aber EBICS kostet halt gewöhnlich, selbst bei der DKB, da stört sich so mancher dran.

Hat mich aber enorm beruhigt, als ich dann vor einiger Zeit verstanden habe, dass EBICS außen vor bleibt bei PSD II - hatte kurzzeitig schon Schnappatmung wegen der Anbindung an DATEV Unternehmen online. Wäre der GAU gewesen.

Das wäre kein Problem gewesen. Mit DATEV-RZ-Bankinfo können die Umsätze automatisch an Unternehmen Online übermittelt werden.

Und für Aufträge kann DATEV in Zusammenarbeit mit finAPI auch die PSD2-Schnittstelle nutzen.

EBICS kostet dich bei der DKB mtl. 25 Euro, oder?

 

[Tord]

Das wäre kein Problem gewesen. Mit DATEV-RZ-Bankinfo können die Umsätze automatisch an Unternehmen Online übermittelt werden.

Aber läuft das nicht im Hintergrund auch über EBICS? Oder steckt da eine proprietäre Lösung hinter?

Als ich mir bezüglich der nichtvorhandenen Auswirkungen von PSD II auf EBICS noch nicht sicher war, hatte ich noch die Sorge, dass wir keine Zahlungsaufträge mehr raus kriegen, da...

Und für Aufträge kann DATEV in Zusammenarbeit mit finAPI auch die PSD2-Schnittstelle nutzen.

... mir das nicht bekannt war. Aber sehr gut zu wissen!

EBICS kostet dich bei der DKB mtl. 25 Euro, oder?

Die DKB mag leider keine juristischen Personen, daher laufen alle Geschäftskonten bei der Commerzbank. Bei der läuft das Ganze dann als COINFO und COTRANSFER in den nicht ganz kleinen Modellen ohne weitere Kosten mit.

 

[kmak]

Hat mich aber enorm beruhigt, als ich dann vor einiger Zeit verstanden habe, dass EBICS außen vor bleibt bei PSD II

Warum eigentlich? Was unterscheider EBICS rechtlich von HBCI?

 

[monk]

Aber läuft das nicht im Hintergrund auch über EBICS? Oder steckt da eine proprietäre Lösung hinter?

Als ich mir bezüglich der nichtvorhandenen Auswirkungen von PSD II auf EBICS noch nicht sicher war, hatte ich noch die Sorge, dass wir keine Zahlungsaufträge mehr raus kriegen, da...

... mir das nicht bekannt war. Aber sehr gut zu wissen!

Das Verfahren RZ-Bankinfo ist proprietär ein spezielles Verfahren zwischen dem DATEV-Rechenzentrum und den Banken-Rechenzentren.

Hier findest du Infos zum neuen FinTS via PSD2-Schnittstelle:
https://www.datev.de/web/de/top-the...iensterichtlinie-psd2/neues-pintan-verfahren/

Und hier noch RZ-Bankinfo und EBICS im Vergleich:
https://www.datev.de/web/de/top-the...nie-psd2/alternative-uebermittlungsverfahren/

 

[Olaf Berlin]

Warum eigentlich? Was unterscheider EBICS rechtlich von HBCI?

Das frage ich mich auch. Viele Leute hier im Forum können ein Lied davon singen, dass man auch als Privatperson zwingend auf mehrere Konten angewiesen sein kann.

Geht ja auch schon los: die Targobank hat schon die starke Authentifizierung eingeführt, bei der Postbank benötigt man selbst als Sparcard Kunde bald die BestSign App. Könnte k*****...

 

[Tord]

Warum eigentlich? Was unterscheider EBICS rechtlich von HBCI?

Fände ich auch interessant. Argumentiert wird in der Regel damit, dass EBICS für das Privatkundengeschäft nicht relevant ist und sich die PSD2 auf eben jenes konzentriert.
Eine klare Abgrenzung dazu konnte ich aber bisher nicht finden.
Und vor dem Hintergrund ist dann eben auch nicht verständlich, warum sich die Pflicht zur 2FA an der Technologie (HBCI/EBICS/etc.) und nicht am Charakter des Kontos (geschäftlich/privat) festmacht.

 

[Holodoc79]

Fände ich auch interessant. Argumentiert wird in der Regel damit, dass EBICS für das Privatkundengeschäft nicht relevant ist und sich die PSD2 auf eben jenes konzentriert.
Eine klare Abgrenzung dazu konnte ich aber bisher nicht finden.
Und vor dem Hintergrund ist dann eben auch nicht verständlich, warum sich die Pflicht zur 2FA an der Technologie (HBCI/EBICS/etc.) und nicht am Charakter des Kontos (geschäftlich/privat) festmacht.

Einen gewissen Einfluss auf EBICS scheint es aber zu haben. Die Commerzbank verlangt ab 14.9. für den Zugang zum GlobalPaymentPlus (Online-Tool für Geschäftskunden mit EBICS) eine Photo-TAN beim Einloggen.

 

[Tord]

Einen gewissen Einfluss auf EBICS scheint es aber zu haben. Die Commerzbank verlangt ab 14.9. für den Zugang zum GlobalPaymentPlus (Online-Tool für Geschäftskunden mit EBICS) eine Photo-TAN beim Einloggen.

Aber vermutlich wieder nur, weil man darüber auch andere Konten über EBICS anbinden kann und Global Payment Plus eher so eine Art Wrapper in Gestalt einer Web-Anwendung ist. Kann man dort nicht sogar die Signaturen für Konten anderer Institute hinterlegen und die Freigabe eines Auftrags dann mit photoTAN anstoßen? Untergräbt damit den EBICS-Standard ja eher.

 

[Tord]

Und hier noch RZ-Bankinfo und EBICS im Vergleich:
https://www.datev.de/web/de/top-the...nie-psd2/alternative-uebermittlungsverfahren/

Der Vergleich ist ganz aufschlussreich. Anscheinend unterstützt die RZ-Bankinfo bei der Übermittlung von Zahlungsaufträgen keine verteilten Signaturen. Das dürfte dann auch das Hauptargument für EBICS sein.

Interessanterweise spricht die DATEV bei beiden Verfahren von "Kosten gemäß Preisliste". Mir wäre nicht aufgefallen, dass wir dazu je separate Posten auf den DATEV-Rechnungen gehabt hätten. Aber vielleicht gilt da ein Bestandsschutz, alle unsere Anbindungen gibt es quasi seit Ewigkeiten.

Um die Kurve zu PSD2 wieder zu kriegen: Wo wird nun überhaupt die Grenze für die 2FA gezogen? EBICS ist außen vor, die DATEV kann über ihre RZ Umsätze abrufen und ist außen vor, HBCI geht nicht mehr ohne 2FA, Web-Anwendungen müssen 2FA anbieten... wirkt tatsächlich willkürlich.

 

[_AndyAndy_]

Consorsbank stellt zum 09.09. um:
https://aktionen.consorsbank.de/secure-plus/

Alle, die kein Smartphone benutzen wollen, haben das Nachsehen.
Auch wenn ich nicht zu dieser Gruppe gehöre, finde ich es schon krass.

 

[dapacerman]

Falls Sie kein mobiles Endgerät besitzen, auf dem die SecurePlus App funktioniert, steht Ihnen alternativ der SecurePlus Generator zur Verfügung. Diesen können Sie kostenpflichtig ab August 2019 bestellen.

Also wie die ING (Generator kostet). Die bieten aber zusätzlich noch mTAN.

 

[_AndyAndy_]

Also wie die ING (Generator kostet). Die bieten aber zusätzlich noch mTAN.

Genau, ein feiner Unterschied.

 

[dapacerman]

Wäre es für mich auch, wenn mir das per App nichts wäre. Aber klang halt so, dass ohne Smartphone gar nichts möglich sei. Und das ist eben nicht der Fall.

 

[WiCo]

Schlimmer finde ich, daß selbst bei grundsätzlich gleichem Verfahren jede Bank unbedingt ihre eigene App haben muß.

 

[_AndyAndy_]

Wäre es für mich auch, wenn mir das per App nichts wäre. Aber klang halt so, dass ohne Smartphone gar nichts möglich sei. Und das ist eben nicht der Fall.

Es ist möglich, aber nicht kostenlos.

 

[geos]

Consorsbank stellt zum 09.09. um:
https://aktionen.consorsbank.de/secure-plus/

Alle, die kein Smartphone benutzen wollen, haben das Nachsehen.
Auch wenn ich nicht zu dieser Gruppe gehöre, finde ich es schon krass.

kein *unterstütztes* Smartphone
man kann wohl auch einen separaten TAN-Generator erwerben.

 

[geos]

ANZEIGE

Schlimmer finde ich, daß selbst bei grundsätzlich gleichem Verfahren jede Bank unbedingt ihre eigene App haben muß.

der Grund ist einfach: Apps sind ein Kundenbindungs- und Verkaufsinstrument und Werbemedium. Natürlich möchte jede Bank (und viele andere Anbieter ebenso) den Kunden in ihrem Ökosystem halten.