Informationen zu PSD2
PSD2 im Überblick
PSD2 steht für die Zweite Zahlungsdiensterichtlinie (Payment Services Directive 2), eine EU-Richtlinie zur Regulierung von Zahlungsdiensten und Zahlungsdienstleistern. Die Ziele der PSD2 sind:
- Die Sicherheit im Zahlungsverkehr zu erhöhen
- Den Verbraucherschutz zu stärken
- Innovationen zu fördern
- Den Wettbewerb im Markt zu steigern
Die PSD2 gilt für Zahlungen in EU/EWR-Währungen zwischen im EU/EWR-Raum ansässigen Zahlungsdienstleistern und findet teilweise auch Anwendung auf Zahlungen in Nicht-EU/EWR Währungen sowie wenn ein Zahlungsdienstleister außerhalb des EU/EWR-Raums ansässig ist. Für Verbraucher bedeutet die PSD2 klare Regeln für die Nutzung von Zahlungsauslösediensten für das Initiieren von Überweisungen im Onlinebanking oder von Kontoinformationsdiensten zur Abfrage und Auswertung von Kontodaten. Diese Dienstleister benötigen Ihre Erlaubnis und den Zugang zu Ihrem Konto, um ihre Services anbieten zu können Durch die PSD2-Richtlinie ist der Kontozugriff von Drittdienstleistern gesetzlich geregelt. Sie können wählen, ob Sie direkt auf Ihr Zahlungskonto zugreifen – zum Beispiel über das Online-Banking – oder ob Sie auch Drittdienste eines Zahlungsdiensteanbieters in Anspruch nehmen. Diese Dienste dürfen nur mit Ihrer ausdrücklichen Zustimmung die entsprechenden Kontodaten abrufen.
Dedizierte PSD2-Schnittstelle
Unsere XS2A-Schnittstelle ist eine REST API, die mit Version 1.3.6 der Implementierungsrichtlinien der Berlin Group konform ist.
Wenn ein Drittanbieter Zugang zu der PSD2-Schnittstelle erhalten möchten, muss er von einer nationalen Aufsichtsbehörde lizenziert sein. In Deutschland ist dies die Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) in Bonn. Außerdem benötigen er für Nutzung der PSD2-Schnittstelle (API) ein QWAC-Zertifikat von einer qualifizierten Zertifizierungsstelle. Solche Zertifikate können bei qualifizierten Vertrauensdiensteanbietern (QTSPs - siehe Vertrauensliste der Europäischen Kommission auf Grundlage der eIDAS-Verordnung) beantragt werden.
Notfallmechanismus (Contingency Mechanism)
Für den Fall der nicht Verfügbarkeit der dedizierten PSD2-Schnittstelle wurde gemäß der gesetzlichen Verpflichtungen nach PSD2 ein Notfallmechanismus implementiert. Dabei gilt Folgendes:
- Der Zugriff erfolgt erst nach Identifizierung des Drittanbieters über den Besitz eines gültigen QWAC-Zertifikats.
- Sicherer und autorisierter Zugriff auf ein Konto über das eBanking.
Der Notfallmechanismus ist nur dann aktiviert, wenn lediglich die PSD2-Schnittstelle ausgefallen ist, aber das eBanking weiterhin zur Verfügung steht. In diesem Fall ist der Notfallmechanismus über folgende URL erreichbar: https://psd2-contingency-tradegate.secure-banking.de
Folgendes Dokument beschreibt die Nutzung des E-Banking als Notfallmechanismus sowie den Zugang über einen sicheren Kanal. Sie finden das Dokument hier. (Das Dokument felht)
Mitteilungen
PSD2-Schnittstelle
2024
15. November 2024: Unsere XS2A-Schnittstelle wird migriert von Version 1.3.0 zu Version 1.3.6 der Implementierungsrichtlinien der Berlin Group.
Notfallmechanismus
2024
10. Juni 2024: Beispielmeldung: Nach der Beendigung der geplanten Auszeit wurde um 13:00 Uhr der Notfallmechanismus deaktiviert.
10. Juni 2024: Beispielmeldung: Aufgrund einer geplanten Auszeit haben wir um 11:00 Uhr den Zugang zum Notfallmechanismus aktiviert.
Dokumentation
Die Dokumentationen unserer PSD2-Schnittstelle und unsere Mitteilungen zu Änderungen ihrer Umsetzung sind öffentlich zugänglich.
Kontoinformationsdienst
Zahlungsauslösedienst(H3)
Drittkartenemittent (H3)
FAQ
Was ist XS2A?
XS2A bedeutet "access to account" und meint die regulierte Zugriffsmöglichkeit auf Zahlungskonten bei Banken in der europäischen Union nach der Payment Services Directive 2 (PSD2). Die XS2A-Schnittstelle folgt dabei der Berlin Group Spezifikation und ist über RESTful Services (Representational State Transfer) umgesetzt.
Was hat die BaFin mit der XS2A-Schittstelle zu tun?
Die BaFin (Bundesanstalt für Finanzdienstleistungsaufsicht) reguliert im Kontext der XS2A-Schnittstelle nach ZAG (Zahlungsdiensteaufsichtsgesetz) die in Deutschland ansässigen TPP (Third Party Provider) in den wesentlichen Rollen eines Kontoinformationsdienstleisters (KID) und Zahlungsauslösedienstleisters (ZAD) und klassifiziert diese auch entsprechend.
Was ist eine Sandbox?
Die Sandbox (Sandkasten) ist ein Test- bzw. Integrationssystem für TPP (Third Party Provider), um sich mit Hilfe der bereitgestellten Testdaten bestmöglich auf das Verhalten der produktiven XS2A-Schnittstelle vorzubereiten. Der Zugriff auf die Sandbox API erfolgt über folgende URL: https://psd2-portalapi.tradegate.secure-banking.de
Das Sandbox-Portal hilft mit weiteren Dokumentationen. Dort können auch Supportanfragen übermittelt werden: PSD2-Portal
Was ist ein TPP?
Ein sogenannter Third Party Provider ist im Sinne der PSD2 ein Dritter, der für einen Kunden in dessen Auftrag mit dessen Zahlungskonten agiert.
Warum kann ich keinen Drittanbieter (TPP) mit meinem Konto verbinden?
Wenn der Drittanbieter keine Integration mit unserer dedizierten Schnittstelle vorgenommen hat, muss er zunächst diese Schnittstelle integrieren. Diese Entscheidung obliegt jedoch dem Drittanbieter.
Für wie lange erhält ein Drittanbieter Zugriff auf mein Konto, nachdem ich den Zugriff gewährt habe?
Nachdem einem Drittanbieter Zugriff auf die Kontoinformationen durch den Kunden gewährt wurde, hat dieser für maximal 180 Tage Zugriff, bevor er ein Einverständnis erneut einholen muss. Um Zahlungen zu bestätigen, musst der Kunde sein Einverständnis für jede Zahlung im Einzelnen erteilen.
Wie lange in der Vergangenheit kann ein Drittanbieter auf Kontobewegungen zugreifen?
Im Allgemeinen sind Transaktionsanfragen auf einen Zeitraum von 90 Tagen ab dem Zeitpunkt der Anfrage beschränkt. Die einzige Ausnahme von dieser Beschränkung gilt während der ersten 15 Minuten nach einer Erteilung der Zustimmung durch den Kunden. In diesem Zeitraum werden alle Transaktionsdaten uneingeschränkt übermittelt. Nach diesem Zeitraum gilt die 90 Tage Beschränkung. Alle Anfragen, Transaktionen abzurufen, die älter als 90 Tage sind, werden abgelehnt.
Wie kann ich eine Zugriffsbestätigung, die ich einem regulierten Drittanbieter gewährt habe, widerrufen?
Um eine Zugangsbestätigung zu widerrufen, die Du einem regulierten Drittanbieter gewährt hast, musst Du Dich direkt an den regulierten Drittanbieter wenden.
Informationen bzgl. der Implementierung der Berlin Group API:
- Ein TPP muss sich mit der dedizierten PSD2-API verbinden, indem er ein gültiges eIDAS-Zertifikat (QWAC) verwendet. Die offizielle Liste der QTSPs ist auf der vertrauenswürdigen eIDAS-Liste der Europäischen Kommission verfügbar. Für die PSD2-API (Dedizierte Schnittstelle) muss das QWAC-Zertifikat von einer Produktionszertifizierungsstelle ausgestellt werden.
- Das QWAC-Zertifikat wird automatisiert überprüft und dem TPP wird ermöglicht, sich bei den nachfolgenden API-Aufrufen zu identifizieren. Es sind keine manuelle Schritte für das Onboarding des TPPs erforderlich.
- Unterstützter Umfang:
| Service | Support |
|---|---|
| Supported SCA Approaches | Redirect |
| Maximum “frequency per day” supported by consents | 4 |
| Consent confirmation timeout | 5 minutes |
| Consent scope: Global consent (allPsd2=allAccounts, allAccountsWithOwnerName) | Not Supported |
| Consent scope: availableAccounts=allAccounts | Supported |
| Consent scope: availableAccountsWithBalances=allAccounts | Not Supported |
| Consent scope: Bank-offered consent | Supported |
| Consent scope: Detailed consent | Supported |
| Consents with/without Recurring indicator | Supported |
| SCA Validity | 180 days |
| Support of Signing Baskets | Not Supported |
| Support of Multicurrency accounts | Supported |
| Support of Account Owner extension | Supported |
| Parameter withBalance=true | Supported |
| Balance types supported | Expected, Interim, OpeningBooked, ClosingBooked |
| Transaction list retrieval through pagination | Supported |
| Transaction list retrieval through deltaList | Not supported |
| Transaction list format | application/json |
| Standing orders through bookingStatus=information | Supported |
| App to app redirection | Not supported |
Produktion API
Testing Facility
Statistiken (KPI) zu PSD2
Nach Artikel 32 Absatz 4 der Verordnung (EU) 2018/3 (PSD2) sind wir verpflichtet Statistiken mit Key Performance Indicator (KPI) und die Verfügbarkeiten unserer dedizierten PSD2-Schnittstelle als auch unseres Online Bankings zur Verfügung zu stellen. Die von uns zur Verfügung gestellten Daten sind tagesbasiert und werden Quartalsweise veröffentlicht.
Elektronisches Merkblatt nach Art. 106 Abs. 1 der Verordnung (EU) 2018/3 (PSD2) - Ihre Rechte bei europaweiten Zahlungen
Die Europäische Kommission hat eine Broschüre zu Ihren Rechten bei europaweiten Zahlungen bereitgestellt. Sie finden diese Broschüre zum Herunterladen hier im PDF-Format.
Vielen Dank für Ihr Interesse
Wenn Sie mehr über die Berliner Effektenbank erfahren möchten, stehen wir Ihnen jederzeit für ein persönliches Gespräch zur Verfügung. Bei uns in Berlin-Charlottenburg oder auch gerne bei Ihnen zu Hause.
