Payment Services Directive 2

Die Payment Services Directive 2 (PSD2) ist die überarbeitete Fassung der ursprünglichen Zahlungsdiensterichtlinie (PSD1) aus dem Jahr 2007. Sie wurde am 13. Januar 2018 in nationales Recht der EU-Mitgliedstaaten überführt und bildet einen zentralen Bestandteil des europäischen Zahlungsverkehrsrechts. Die PSD2 verfolgt das Ziel, Innovation, Sicherheit und Wettbewerb im Zahlungsverkehr zu stärken und zugleich die Rechte und den Schutz der Verbraucher auszubauen.

Die Richtlinie wurde eingeführt, um den Veränderungen im Zahlungsmarkt gerecht zu werden – insbesondere durch das Aufkommen neuer Technologien, mobiler Zahlungen, Online-Banking und digitaler Finanzdienstleister.

Öffnung des Marktes: Neue Zahlungsdienstleister

Eine der größten Neuerungen der PSD2 ist die Schaffung eines regulierten Zugangs zu Zahlungskonten für Drittanbieter, wodurch der Zahlungsverkehr für neue Akteure geöffnet wird. Dies umfasst insbesondere zwei neue Arten von Zahlungsdienstleistern:

  1. Zahlungsauslösedienste (PIS): Diese Anbieter ermöglichen dem Nutzer, eine Zahlung direkt von seinem Bankkonto auszulösen, ohne den klassischen Weg über Kartenzahlung oder Online-Überweisung zu nutzen. Beispiel: Eine Direktzahlung vom Girokonto beim Online-Shopping.
  2. Kontoinformationsdienste (AIS): Diese Anbieter bieten einen Überblick über mehrere Bankkonten an und helfen Kunden, ihre Finanzen zentral zu verwalten – etwa durch Haushaltsbuch-Apps oder Tools für Kreditwürdigkeitsprüfungen.

Beide Dienste benötigen eine behördliche Zulassung und unterliegen einer Aufsicht durch nationale Behörden wie z. B. die BaFin in Deutschland.

Sicherheit: Starke Kundenauthentifizierung (SCA)

Ein zentrales Element der PSD2 ist die Einführung der starken Kundenauthentifizierung (Strong Customer Authentication – SCA), geregelt in Artikel 97 der Richtlinie. Demnach müssen Zahlungsdienstleister bei elektronischen Zahlungen, Online-Kontozugriffen oder risikobehafteten Transaktionen eine Authentifizierung verlangen, die auf mindestens zwei von drei Faktoren basiert:

  • Wissen: z. B. Passwort oder PIN
  • Besitz: z. B. Smartphone oder Token
  • Inhärenz: z. B. Fingerabdruck oder Gesichtserkennung

Bei Kartenzahlungen im Internet oder beim Login ins Online-Banking ist die Anwendung von SCA verpflichtend, sofern keine gesetzlich definierte Ausnahme vorliegt (z. B. geringe Beträge oder Vertrauenswürdigkeit des Empfängers).

Zudem muss die Authentifizierung dynamisch mit dem Betrag und dem Zahlungsempfänger verknüpft sein – ein wirksames Mittel gegen sogenannte “Man-in-the-Middle”-Angriffe.

Access to Account (XS2A) – Der Konto-Zugang für Dritte

Mit der PSD2 wird das sogenannte „Access to Account“-Prinzip (XS2A) rechtlich verankert. Banken sind verpflichtet, Drittanbietern den Zugang zu Kundenkonten zu ermöglichen – sofern der Kunde dem ausdrücklich zustimmt. Dies erfolgt in der Regel über standardisierte Schnittstellen (APIs), über die Drittanbieter Zahlungen auslösen oder Kontoinformationen abrufen können.

Dadurch entsteht das Konzept des Open Banking, bei dem Finanzdienstleistungen durch offene Schnittstellen modular nutzbar und kombinierbar werden. Die Bank wird nicht mehr zum exklusiven Anbieter, sondern zu einem Teil eines vernetzten Finanzökosystems.

Verbraucherschutz und Haftung

Die PSD2 enthält eine Vielzahl von Regelungen, die den Verbraucherschutz stärken. Dazu zählen insbesondere:

  • Haftungsbeschränkung bei unautorisierten Zahlungen: Der Kunde haftet maximal mit 50 Euro, wenn seine Zugangsdaten missbraucht werden – es sei denn, grobe Fahrlässigkeit oder Betrug liegen vor.
  • Erstattungspflicht der Bank bei unautorisierten Transaktionen: Die Bank muss dem Kunden den Betrag unverzüglich zurückerstatten.
  • Informationspflichten: Kunden haben das Recht auf klare, transparente Informationen über Gebühren, Fristen, Wechselkurse, Widerrufsrechte und Vertragsbedingungen.
  • Verkürzung der Ausführungsfrist: Zahlungsaufträge innerhalb der EU müssen grundsätzlich am nächsten Geschäftstag abgeschlossen sein.

Die Richtlinie verbietet auch sogenannte Surcharges, also zusätzliche Gebühren bei Kreditkartenzahlungen (z. B. bei Online-Tickets), wenn regulierte Karten (z. B. Visa oder Mastercard) verwendet werden.

Technische Standards und Aufsicht

Zur Umsetzung der PSD2 wurde die European Banking Authority (EBA) beauftragt, technische Regulierungsstandards (RTS) zu entwickeln, insbesondere zur starken Kundenauthentifizierung und zur Kommunikation mit Drittanbietern (API-Spezifikationen). Diese Standards stellen sicher, dass:

  • alle Marktteilnehmer gleiche Voraussetzungen haben,
  • die Schnittstellen sicher und interoperabel sind,
  • der Datenschutz gemäß DSGVO gewahrt wird.

Die Umsetzung in den Mitgliedstaaten erfolgt durch die jeweiligen nationalen Aufsichtsbehörden – in Deutschland z. B. durch die BaFin.

Payment Services Directive 2

Herausforderungen in der Praxis

Die praktische Umsetzung der PSD2 war für viele Banken und Dienstleister eine Herausforderung:

  • Entwicklung sicherer Schnittstellen (APIs) für Drittanbieter,
  • Technische Komplexität bei der SCA-Umsetzung,
  • Kundenkommunikation zur Aufklärung über neue Authentifizierungsverfahren,
  • rechtliche Unsicherheiten im Umgang mit Haftung, Ausnahmen oder Datenschutz.

Gleichzeitig hat PSD2 aber auch Innovationen gefördert – etwa in den Bereichen Fintech, mobile Zahlungen, Multibanking oder Finanzplanung.

Fazit

Die Zahlungsdiensterichtlinie PSD2 ist ein grundlegender Meilenstein der europäischen Finanzmarktregulierung. Sie öffnet den Markt für neue Anbieter, regelt den Zugang zu Bankkonten, stärkt die Rechte der Verbraucher, erhöht die Sicherheit im Zahlungsverkehr und treibt die Digitalisierung durch Open Banking voran.

Obwohl die praktische Umsetzung nicht immer reibungslos war, gilt PSD2 als internationales Vorbild für eine moderne, verbraucherfreundliche und innovationsfördernde Zahlungsinfrastruktur. Ihre Bedeutung wird noch weiter zunehmen – etwa durch die geplante PSD3 und die geplante Verordnung über ein offenes Finanzökosystem (Open Finance).

Marktplatz IT-Sicherheit: weitere Angebote
BEITRÄGE IT-SICHERHEIT
newspaper - news - icon
News
IT-Sicherheit-News
artikel paper - artikel - icon
Artikel
IT-Sicherheit-Artikel
Sprechblasen - Blog - Icon
Blog
IT-Sicherheit-Blogeinträge
Büroklammer - Whitepaper - Icon
Whitepaper
IT-Sicherheit-Whitepaper
RATGEBER IT-SICHERHEIT
Glühbirne - Ratgeber - Icon
Cyber-Risiko-Check
Hilfestellungen IT-Sicherheit
Glossar Cyber-Sicherheit - Glossar - Icon
Glossar
Glossar Cyber-Sicherheit
Dokument mit Stern - Studien - Icon
IT-Sicherheitsstudien
IT-Sicherheit-Studien
Buch - Icon
Vorlesung Cyber-Sicherheit
Lehrbuch "Cyber-Sicherheit"
IT-Gesetze Icon
IT-Sicherheitsgesetze
Aktueller Gesetzesrahmen
secaware - icon
IT-Sicherheitszahlen
Aktuelle Kennzahlen
Tools - icon
IT-Sicherheitsthemen
Orientierung in der IT-Sicherheit
FORUM IT-SICHERHEIT
Datenschutz - Icon
Datenschutz
Diskussionsforum
Penetrationstests - Icon
Penetrationstests
Diskussionsforum
NIS2
NIS2
Diskussionsforum
Stand der Technik - icon
Stand der Technik
Diskussionsforum
IT Supply-Chain-Security Icon
IT-Supply Chain Security
Diskussionsforum
IT-COUCH
TS-Couch-Sofa-Icon
Marktplatz Formate
Experten sehen & hören
ts-couch-podcast-icon
IT-Sicherheit-Podcast
IT-Sicherheit zum hören
its-couch-video-icon
Livestream IT-Sicherheit
Events & Material
INTERAKTIVE LISTEN
IT-Notfall
IT-Notfall
IT-Notfall
Penetrationstests
IT-Notfall
Informationssicherheitsbeauftragte (ISB)
IT-Notfall
Security Operations Center (SOC)
IT-Notfall
Datenschutzbeauftragte (DSB)
IT-Notfall
IT-Sicherheitsrecht
Juristische Beratung
IT-SICHERHEITSTOOLS
secaware - icon
Interaktive Awareness-Schulung
Selbstlernangebot IT-Sicherheit
Tools - icon
Tools für IT-Sicherheitschecks
Tools zu verschiedenen Aspekten
ZERTIFIKATE IT-SICHERHEIT
Personenzertifikate - icon
Personenzertifikate
Interaktive Liste
unternehmenzertifikate - icon
Unternehmenszertifikate
Interaktive Liste
Produktzertifikate - icon
Produktzertifikate
Interaktive Liste
VERANSTALTUNGEN
ANBIETERVERZEICHNIS
Skip to content