PSD2

Einheitliche Standards für die Sicherheit elektronischer Zahlungen

Neue Regeln beim Online-Banking und Shoppen im Internet

Am 14. September 2019 wird die sogenannte "zweite Stufe" der Umsetzung der "Zweiten EU-Zahlungsdiensterichtlinie (PSD2)" wirksam. Ziel ist die Schaffung einheitlicher Standards für die Sicherheit elektronischer Zahlungen sowie die Verbesserung des Verbraucherschutzes im Europäischen Wirtschaftsraum. Damit werden das Online-Banking, die VR-BankingApp sowie das Online-Shopping mit Kreditkarte noch sicherer. Außerdem wird dritten Zahlungsdienstleistern die Möglichkeit gegeben, Ihnen neue Services anzubieten. Verschaffen Sie sich hier einen Überblick über die wesentlichen Neuerungen.

Das ändert sich für Sie

Änderungen im Online-Banking

1. TAN-Eingabe beim Login zum Online-Banking

Ab 11. Dezember müssen Sie beim Login zum Online-Banking neben Ihren gewohnten Anmeldedaten (VR-NetKey/Alias und PIN) mindestens alle 90 Tage zusätzlich eine TAN eingeben.
 

2. TAN-Eingabe bei Umsatzabfrage und beim Aufruf des Finanzmanagers

Wenn Sie Umsätze abrufen, die mehr als 90 Tage zurückliegen, müssen Sie ab 11. Dezember gemäß den neuen Regelungen eine TAN eingeben.

Der Finanzmanager im Online-Banking zeigt Ihnen die Umsätze der letzten 13 Monate an. Aus diesem Grund wird beim Aufruf des Finanzmanagers im Online-Banking immer eine TAN abgefragt.
 

3. Automatische Abmeldung aus dem Online-Banking

Bisher wurden Sie aus Sicherheitsgründen nach 15 Minuten Inaktivität automatisch aus dem Online-Banking ausgeloggt. Ab dem 11. September findet der automatische Logout bereits nach 5 Minuten Inaktivität statt.

Änderungen in der VR-BankingApp

1. TAN-Eingabe beim Login in die VR-BankingApp

Auch in der VR-BankingApp müssen Sie künftig grundsätzlich alle 90 Tage zusätzlich eine TAN beim Login eingeben.

Ausnahme: Die TAN-Eingabe beim Login in die VR-BankingApp entfällt, wenn ...

  • ... Sie für die Funktion "Kwitt" in der VR-BankingApp registriert sind.
  • ... eine sogenannte Gerätebindung1 zwischen der VR-BankingApp und Ihrem Gerät (Smartphone/Tablet) hergestellt wird. Diese Gerätebindung können Sie mit der App-Version 19.15 in den Einstellungen der VR-BankingApp einrichten. Mit der neuen Version wird Ihnen bei jedem Start der App ein Hinweis zur Einrichtung der Gerätebindung angezeigt.
 

2. TAN-Eingabe bei der Umsatzabfrage in der VR-BankingApp

Für die VR-BankingApp gilt analog zum Online-Banking: Werden Umsätze abgerufen, die älter als 90 Tage sind, wird eine TAN abgefragt.

Ausnahmeregel: Die TAN-Eingabe beim Umsatzabruf entfällt, wenn Sie sich für KWITT registriert oder eine Gerätebindung1 vorgenommen haben.

Unser Tipp:

Registrieren Sie sich bei Kwitt oder nehmen Sie die Gerätebindung1 vor – so sind der Login und der Umsatzabruf in der VR-BankingApp weiterhin ohne TAN möglich.

1 Die Gerätebindung ist ein technischer Vorgang, bei dem eine eindeutige, systemische Verknüpfung zwischen der Hardware (also Ihrem Smartphone/Tablet) und der Software (also Ihrer VR-BankingApp) hergestellt wird.

Online-Shopping mit Kreditkarten

Änderung beim Online-Shopping mit Kreditkarte

Um Online-Einkäufe mit Ihrer Kreditkarte noch sicherer zu gestalten, wird ab 14. September die Eingabe einer TAN verpflichtend. Bisher reichte bei vielen Händlern die Angabe der dreistelligen Kreditkarten-Prüfziffer zum Abschluss des Online-Einkaufs aus.
Die TAN wird mit Hilfe der Sicherheitsverfahren Mastercard® Identity Check™ (für Inhaber von Mastercard®-Kreditkarten) bzw. Verified by Visa (für Inhaber von Visa-Kreditkarten) erzeugt.

Die folgenden Links bieten Ihnen mehr Informationen über die beiden Verfahren und den Ablauf der Registrierung.

Zugriffsverwaltung von Drittanbietern im Online-Banking

Drittanbieter als Zahlungsdienstleister

Ein Zahlungsauslösedienst (ZAD oder auch Payment Initiation Service Provider (PISP)) ist ein Dienst, der – Ihre Einwilligung vorausgesetzt – einen Zahlungsauftrag wie zum Beispiel eine Überweisung auf ein bei einem anderen Zahlungsdienstleister geführtes Zahlungskonto auslöst. Die Zahlung wird aber nur ausgeführt, wenn Sie dies zuvor erlaubt und mit einer Zwei-Faktor-Authentifizierung abgeschlossen haben. Diese Zahlungsauslösedienstleister müssen künftig von der nationalen Finanzaufsicht zugelassen und beaufsichtigt werden.

 

Drittanbieter als Kontoinformationsdienstleister

Ein Kontoinformationsdienst (KID oder auch Account Information Service Provider (AISP)) ist ein Online-Dienst zur Mitteilung konsolidierter Informationen über Zahlungskonten, die Sie entweder bei einem anderen Zahlungsdienstleister bzw. einer anderen Bank oder bei mehreren Zahlungsdienstleistern bzw. mehreren Banken haben. Dieser gibt Ihnen in der Regel anhand Ihrer Kontodaten einen Überblick über Ihre aktuelle finanzielle Situation. Dafür darf er bis zu vier Mal am Tag Informationen von Ihrem Konto wie zum Beispiel Salden oder Umsätze abrufen, ohne dass Sie nochmals aktiv zustimmen. Diese Drittdienstleister müssen sich künftig bei der nationalen Finanzaufsicht registrieren.

 

Drittanbieter als Kartenausgebende Zahlungsdienstleister

Mit Ihrer girocard (Debitkarte) und Kreditkarte verfügen Sie bereits über Zahlungsmittel mit Zugriff auf Ihr Konto. Zukünftig werden Sie auch neue Angebote von Zahlungskarten erhalten, beispielweise von Transportunternehmen wie der Deutschen Bahn, Fluggesellschaften oder Einzelhandelsketten. Wenn Sie dann mit diesen Zahlungskarten bezahlen, kann der kartenausgebende Zahlungsdienstleister die Verfügbarkeit des Kaufbetrages bei Ihrer Volksbank Lüneburger Heide eG anfragen. Der Kaufbetrag wird dabei aber nicht reserviert. Sie müssen dazu jedoch zuvor dem Drittanbieter im Online-Banking die Erlaubnis erteilen, und zwar unter "Service > Konten und Verträge > Zugriffsverwaltung > Verfügbarkeitsabfragen > Neue Berechtigungen erteilen".

 

Zugriffsverwaltung im Online-Banking: Drittanbieter steuern

Grundsätzlich dürfen dritte Zahlungsdienstleister nur mit Ihrer vorherigen Zustimmung auf Ihre Kontodaten zugreifen. Ihre Zustimmung gilt erst als erteilt, wenn Sie die vom Drittanbieter bei Ihrer Bank angeforderten Informationen mit einer starken Kundenauthentifizierung bestätigt haben. Zudem muss der Drittanbieter bei der nationalen Aufsichtsbehörde registriert sein und sich gegenüber Ihrer VR-NetWorld GmbH legitimieren können. Für einen weiteren Kontozugriff benötigt der Drittanbieter nach spätestens 90 Tagen erneut Ihre vorherige Zustimmung mittels starker Kundenauthentifizierung.

Mit der Zugriffsverwaltung im Online-Banking im Bereich "Service > Konten und Verträge > Zugriffsverwaltung" können Sie jederzeit kontrollieren, welchen Drittanbieter Sie berechtigt und welche Zahlungen Drittanbieter durchgeführt haben. Sie können dort auch Zugriffsberechtigungen wieder entziehen. Ihnen stehen diese Daten bis 180 Tage rückwirkend zur Verfügung. Die Zugriffsverwaltung im Online-Banking ist wie folgt strukturiert:

  • Verfügbarkeitsabfragen,
  • Kontoinformationsabfragen und
  • Zahlungsauslösungen
 

Strukturierung der Zugriffsverwaltung

In diesem Bereich im Online-Banking sehen Sie, welche Berechtigungen Sie dritten Zahlungsdienstleistern sowie Unternehmen der Genossenschaftlichen FinanzGruppe gegeben haben. Sie können hier neue Berechtigungen erteilen oder bestehende entziehen. Wenn dritte Zahlungsdienstleister und Unternehmen der Genossenschaftlichen FinanzGruppe Ihre Berechtigung genutzt haben, ist das hier auch aufgelistet.

Häufige Fragen zur Gerätebindung in der BankingApp

Was bedeutet "Gerätebindung" und warum sollte ich diese herstellen?

Die Regelungen der PSD2 sehen vor, dass Sie beim Login in die VR-BankingApp – analog zum Online-Banking über PC/Laptop – grundsätzlich alle 90 Tage zusätzlich eine TAN eingeben müssen. Der Gesetzgeber sieht jedoch eine Ausnahme vor: Liegt eine Gerätebindung zwischen Ihrer VR-BankingApp und Ihrem Smartphone/Tablet vor, entfällt die TAN-Eingabe beim Login. Die Gerätebindung ist ein technischer Vorgang, bei dem eine eindeutige Verknüpfung zwischen Ihrem Endgerät und der App hergestellt wird.

Wie stelle ich eine Gerätebindung her?

Die Gerätebindung können Sie auf zwei Arten herstellen:

1. Durch Registrierung der Funktion "Kwitt" in der VR-BankingApp
Bei der Registrierung zu Kwitt wird automatische eine Gerätebindung erzeugt. Sie finden diese Funktion in der Menüleiste unter dem Punkt  "Aufträge".

2. Über die Funktion "Gerät registrieren"
Diese Funktion wird mit der App-Version 19.15 unter dem Punkt "Einstellungen" zu finden sein.  

Mit der Version 19.15 erhalten Sie außerdem beim Öffnen der VR-BankingApp immer einen Hinweis auf die Gerätebindung, sofern Sie diese noch nicht hergestellt haben.

Was passiert mit der Gerätebindung, wenn ich mein Gerät wechsel?

Wenn Sie die VR-BankingApp auf einem neuen Endgerät installieren, muss die Gerätebindung erneut hergestellt werden. Das Vorgehen bleibt dabei wie zuvor beschrieben.

Woran erkenne ich, ob mein Gerät bereits eine Gerätebindung aufweist?

Wenn eine Gerätebindung vorliegt bzw. Sie die Gerätebindung gerade hergestellt haben, sehen Sie im Impressum eine App-ID. Zudem ist die Funktion "Gerät registrieren" in den Einstellungen nicht mehr vorhanden.

Was Sie jetzt tun müssen

Grundsätzlich finden die beschriebenen Änderungen automatisch statt – Sie müssen nichts weiter tun.

Ausnahme: Wenn eine der nachfolgenden Aussagen auf Sie zutrifft, sollten Sie jetzt tätig werden.

Sie haben kein TAN-Verfahren oder es ist gesperrt?

Sie haben kein TAN-Verfahren oder es ist gesperrt?

Kunden, die kein TAN-Verfahren haben oder deren TAN-Verfahren gesperrt sind, können sich nach dem 14. September nicht mehr in das Online-Banking einloggen. Im Online-Banking können Sie unter dem Navigationspunkt Banking > Service > Online-Banking >TAN-Verwaltung sehen, welche TAN-Verfahren Sie besitzen und ob diese aktiv oder gesperrt sind.

  • Sollten Sie noch kein TAN-Verfahren besitzen, haben Sie jetzt zwei Möglichkeiten:

1. Laden Sie sich die kostenlose TAN-App VR-SecureGo herunter und empfangen Sie TANs künftig sicher auf dem Smartphone oder Tablet.

>> TAN-App VR-SecureGo


2. Mit dem kostenpflichtigen Sm@rt-TAN photo-Generator und Ihrer girocard erzeugen Sie TANs schnell und komfortabel. 

>>Sm@rt-TAN photo

 

  • Sollten Ihre TAN-Verfahren gesperrt sein, wenden Sie sich bitte zur Entsperrung an unser DialogCenter unter Telefon 04171-884-0.
Sie haben eine Kreditkarte und nutzen diese für Online-Einkäufe?

Sie haben eine Kreditkarte und nutzen diese für Online-Einkäufe.

Ab dem 14. September können Sie Ihre Mastercard® bzw. Visa-Karte nicht mehr zum Online-Shopping verwenden, wenn Sie nicht für das Sicherheitsverfahren Mastercard® Identity Check™ bzw. Verified by Visa (zukünftig Visa Secure) registriert sind.  

Sie nutzen noch Sm@rtTAN plus oder mobileTAN?

Sie nutzen noch einen älteren Sm@rt-TAN plus-Generator ohne Farbcode-Grafik.

Die gute Nachricht: Auch nach den neuen Regelungen können Sie Ihren alten Sm@rt-TAN plus-Generator weiter verwenden. Die TAN-Erzeugung ist mit dieser Geräte-Generation aber eher unhandlich.

Unser Tipp: Bestellen Sie sich einen neuen Sm@rt-TAN photo-Generator. Hiermit lässt sich eine TAN wesentlich schneller und einfacher erzeugen.  

Sie nutzen noch das mobileTAN-Verfahren per SMS

Auch hier gilt, dass Sie das mobileTAN-Verfahren nach den neuen Regelungen vorerst weiter nutzen können. Allerdings wird dieses Verfahren perspektivisch abgeschaltet. Zudem ist es bereits heute nicht möglich, Transaktionen und andere TAN-pflichtige Vorgänge in der VR-BankingApp mit einer mobileTAN freizugeben.

Unser Tipp: Steigen Sie jetzt auf das App-basierte TAN-Verfahren VR-SecureGo um. Nach der einmaligen Einrichtung erhalten Sie Ihre TAN nicht mehr per SMS, sondern als Push-Nachricht auf Ihr Smartphone oder Tablet. Außerdem können Sie mit VR-SecureGo TAN-pflichtige Vorgänge in der VR-BankingApp ohne händische Übertragung der TAN freigeben.

Häufige Fragen rund um PSD2

Was bedeutet PSD2?

Am 13. Januar 2018 sind aufgrund europäischer Vorgaben mit der "Payment Services Directive2" (PSD2) bzw. dem "Gesetz zur Umsetzung der zweiten Zahlungsdiensterichtlinie" neue gesetzliche Bestimmungen für die Erbringung von Zahlungsdiensten in Kraft getreten. Kontoführende Zahlungsdienstleister, zu denen auch die Volksbanken und Raiffeisenbanken zählen, müssen ab dem 14. September 2019 Drittanbietern einen Zugang zu den Konten ihrer Kunden zur Verfügung stellen – vorausgesetzt, die Kunden haben ihnen dafür eine Erlaubnis erteilt. Zuvor waren die Daten der Bankkunden durch das Bankgeheimnis grundsätzlich geschützt. Jetzt kann der Kunde aber im Sinne seiner eigenen Daten-Souveränität selbst entscheiden, ob er die Daten bzw. seine PIN an Drittdienste weitergeben möchte. Ihre Erlaubnis vorausgesetzt, erfolgt dann der Zugriff dieser Drittdienste über eine technische Schnittstelle Ihrer Volksbank Lüneburger Heide eG. Mit dieser Schnittstelle werden natürlich die hohen Sicherheitsstandards weiterhin gewahrt.

Kann ein Drittanbieter, also zum Beispiel ein Zahlungsauslösedienst oder ein Kontoinformationsdienst, ohne meine Zustimmung auf meine Konten zugreifen?

Nein, ein Drittanbieter kann grundsätzlich nur mit Ihrer vorherigen Zustimmung auf Ihre Kontodaten zugreifen. In unserem Online-Banking steht Ihnen eine entsprechende Zugriffsverwaltung zur Verfügung, mit der Sie beispielsweise auch Drittanbietern Zugriffsberechtigungen wieder entziehen können.

Was bedeutet "2-Faktor-Authentifizierung"?

Mit der PSD2 werden die Anforderungen an die Authentifizierung der Kunden bei Zahlungen verschärft. Authentifizierung bedeutet, dass nicht nur Sie als Auftraggeber identifiziert werden, sondern dass auch die inhaltliche Richtigkeit Ihrer Willenserklärung geprüft wird. 2-Faktor-Authentifizierung bzw. starke Kundenauthentifizierung bedeutet, dass Sie sich mit zwei von drei möglichen Faktoren "ausweisen" müssen:

  • "Wissenselemente": etwas, das nur Sie wissen, wie zum Beispiel eine PIN,
  • "Besitzelemente": etwas, das nur Sie besitzen, wie zum Beispiel Ihre girocard (Debitkarte) mit TAN-Generator oder ein Mobiltelefon, an das eine TAN übermittelt wird, oder
  • ein "Seinselement" ("Inhärenz"), also etwas, das nur Sie sind, wie zum Beispiel Ihr Fingerabdruck als biometrisches Merkmal.

Weitere Fragen zur BankingApp und PSD2

Ich verwalte mehrere Bankverbindungen in der VR-BankingApp. Was muss ich beachten?

Die oben auf der Seite beschriebenen Änderungen und Ausnahmeregeln gelten ausschließlich für die erste Bankverbindung in der App. Wenn Sie weitere Bankverbindungen in der VR-BankingApp hinzugefügt haben – egal, ob Volksbank Lüneburger Heide eG oder ein anderes Institut – gelten diese nicht. Konkret heißt das für Sie:

Eine von Ihnen hergestellte Gerätebindung gilt nur für die erste Bankverbindung, nicht jedoch für weitere. Das bedeutet, dass Sie beim Aufruf der Zweitbank-Verbindung sowie beim Abruf von Umsatzdaten zur Zweitbank-Verbindung unter Umständen eine TAN eingeben müssen. Ob und wann diese abgefragt wird, hängt von den Vorgaben bzw. Einstellungen der "Drittbank" ab.

Hinweis zum "Kontorundruf":
Beim ersten Einrichten sowie in den Einstellungen der VR-BankingApp können Sie ab App-Version 19.15 für jede Bankverbindung den Kontorundruf konfigurieren. Er sorgt dafür, dass nach dem Login in der VR-BankingApp alle Daten automatisch aktualisiert werden. Je nach Einstellung der Zweitbank-Verbindung kann es dort an verschiedenen Stellen zu TAN-Abfragen kommen. Das können durchaus mehrere TAN-Abfragen hintereinander sein (z.B. bei Anmeldung, Salden- und Umsatzaktualisierung). Sollten Sie zu viele TAN-Eingaben stören, können Sie den Kontorundruf deaktivieren.

Warum steht der Finanzmanager in der VR-BankingApp nicht mehr zur Verfügung?

Mit der Veröffentlichung der neuen Version der VR-BankingApp voraussichtlich im August 2019 steht der Finanzmanager in der App nicht mehr zur Verfügung. Der Grund dafür: Im Finanzmanager werden die Umsätze immer 13 Monate rückwirkend angezeigt. Folglich müsste bei jedem Abruf eine TAN abgefragt werden. Dies ist für Smartphone-Nutzer nicht praktikabel. Der Zugriff auf den Finanzmanager ist aber weiterhin im Online-Banking möglich.