Seit dem 14. September 2019 ist die Zahlungsrichtlinie PSD2 verpflichtend. Darauf machen die IT-Sicherheitsexperten der PSW Group (www.psw-group.de) aufmerksam. Diese zweite Payment-Service-Directive geht mit Veränderung für Banken, Zahlungsdienstleister und Kunden einher, beschert ihnen aber auch einen Vorteil: Die Richtlinie wird dem Online Banking zu gesteigerter Sicherheit verhelfen, so das Statement der PSW Group.

Die neue Vorschrift PSD2 ist eine EU-Richtlinie, die von der Europäischen Kommission im Zahlungsdiensterecht beschlossen wurde. Sie soll Zahlungsdiensten und Zahlungsdienstleistern in Europa zu einem gerechten Wettbewerb verhelfen. Patrycja Tulinska, Geschäftsführerin der PSW Group, erkläre in diesem Kontext: „Hierfür werden Banken verpflichtet, ihre zuvor gesammelten Kundendaten zu veröffentlichen und verlieren gegenüber Nicht-Banken damit einen klaren Vorteil. Dies erfordert natürlich die Zustimmung des Kunden und bietet diesem die Chance, weitere Angebote zu Finanzprodukten von anderen Mitbewerbern zu erhalten und direkt zu vergleichen. Weiterhin ist auf Kundenseite mit sinkenden Bankgebühren aufgrund des steigenden Wettbewerbs zu rechnen.“

Die Umsetzung von PSD2 ist an verschiedene technische Voraussetzungen gekoppelt, um weiterhin sowohl Sicherheit wie auch Transparenz zu garantieren. „Für die Offenlegung von Kundendaten an Nicht-Banken werden Banken zur Nutzung einer sicheren Schnittstelle verpflichtet. Abgesichert werden diese mit qualifizierten Website-Zertifikaten, kurz QWACs genannt. Auch Zahlungsdienstleister, die anschließend Zugriff auf die hinterlegten Kundendaten erhalten möchten, benötigen hierzu diese QWACs respektive qualifizierte Siegel. Weiterhin benötigen Nicht-Banken eine Lizenz der Bundesanstalt für Finanzdienstleitungsaufsicht oder einer anderen nationalen Aufsichtsbehörde“, so Tulinska weiter.

Die Lizenz bestätigt, dass der Finanzdienstleister dazu berechtigt ist, Zugriff auf Kundendaten zu erhalten. Zudem legt sie den Umfang fest, zu dem der Finanzdienstleister Zugriff auf Informationen erhalten darf. Der Erwerb einer BaFin-Lizenz ist an einen langwierigen Prüfprozess des Finanzdienstleisters gekoppelt und kann bis zu drei Monate dauern.

Qualifizierte Website-Zertifikate entsprechen dem eiDAS-Standard und werden ausschließlich von qualifizierten Trust-Service-Providern ausgegeben. Daher gelten sie besonders in der EU als angesehen und vertrauenserweckend. „QWACs belegen die Identität des Zahlungsdienstleisters und erfüllen gleichzeitig die Funktion gewöhnlicher SSL-Zertifikate. Sie verschlüsseln also die Datenübertragung über die Website“, ergänzt Tulinska. PDS2-konforme Zertifikate könne man auch über die PSW Group beziehen. Da es sich um eine kompliziertere Beratung handelt, seien diese Zertifikate vorerst nur auf Anfrage erhältlich.

Weitere Informationen gibt es unter: www.psw-group.de/blog/psd2-neue-richtlinie-verpflichtet-banken-und-zahlungsdienstleister-zu-besonderer-verschluesselung/7124.

Dr. Jörg Schröper ist Chefredakteur der LANline.