Neue Regelungen beim Online-Banking

Einheitliche Standards für die Sicherheit elektronischer Zahlungen

Im Juli 2019 hatten wir Sie über gesetzliche Änderungen im Zahlungsverkehr informiert und gehen nachfolgend näher auf die Inhalte der zweiten europäischen Zahlungsdiensterichtlinie (PSD2) ein.

Bis 14. September 2019 sind Banken verpflichtet, technische und vertragliche Anpassungen im Online-Banking und beim Bezahlen mit Karte vorzunehmen. Dabei stehen die Implementierung der starken Kundenauthentifizierung im elektronischen Zahlungsverkehr und die Bereitstellung einer Schnittstelle für Drittdienstleister im Fokus.

Wesentliche Neuerungen

Die wichtigsten Neuerungen im Überblick

  • Sie können berechtigte Drittanbieter beauftragen, für Sie Zahlungen auszulösen oder Kontoinformationen von Zahlungsverkehrskonten abzurufen.
  • Sie können Drittanbieter berechtigen, vor Ihrer Kartenzahlung die Verfügbarkeit des Kaufbetrages bei Ihrer Raiffeisenbank im Allgäuer Land eG anzufragen.
  • Zukünftig müssen Sie sich beim Login im Online-Banking (alle 90 Tage), in der VR-BankingApp (alle 90 Tage) oder beim Online-Shopping mit Kreditkarte sowie bei Zahlungen und beim Abruf von Umsatzinformationen in der Regel mit zwei voneinander unabhängigen Faktoren im Sinne einer sogenannten starken Kundenauthentifizierung legitimieren.
  • Mastercard® Identity Check™ und Verified by Visa (zukünftig Visa Secure) werden im Europäischen Wirtschaftsraum beim Online-Shopping mit der Kreditkarte verpflichtend.

Erklärfilm zu den wichtigsten Neuerungen


Online-Banking

Zusätzliche TAN-Eingabe beim Login notwendig

Erstmals ab dem 11. Dezember 2019 werden Sie alle 90 Tage beim Login im Online-Banking aufgefordert, sich mit Ihrem VR-NetKey, Ihrer PIN sowie zusätzlich einer TAN zu legitimieren. Bei der Auslösung von Zahlungen sowie dem Abruf von älteren Umsatzinformationen trifft dies ebenso zu. Ausnahmen gibt es bei TAN-losen Zahlungen wie Umbuchungen und Kleinbetragszahlungen.

Den Finanzmanager, das digitale Haushaltsbuch, können Sie zukünftig grundsätzlich nur mit einer starken Kundenauthentifizierung öffnen, zum Beispiel durch Eingabe einer TAN. Danach sind alle Daten im Finanzmanager ohne weitere TAN-Eingabe verfügbar, auch weit zurückliegende Umsatzinformationen.

Timeout nach fünf Minuten

  • Sind Sie im Online Banking zu lange inaktiv schließt das System die Anwendung bereits nach fünf Minuten (bisher: 15 Minuten).
  • Wenn Sie das nicht wollen, starten Sie zwischendurch eine Abfrage (z. B. Umsatzabfrage). Lediglich eine Mausbewegung reicht nicht aus.

VR-Banking App

Auch in der VR-Banking App werden Sie künftig aufgefordert alle 90 Tage zusätzlich eine TAN zum Login einzugeben.

Unser Tipp

Die TAN-Eingabe beim Login entfällt, sofern Sie Ihr Smartphone als zweiten Faktor für die starke Kundenauthentifizierung nutzen. Folgende Möglichkeiten bestehen:

  • Schalten Sie sich für die Funktion Kwitt frei und verschicken Sie künftig Geld wie eine Nachricht an Ihre Smartphone-Kontakte. Das funktioniert einfach und schnell und ohne Eingabe der IBAN. Voraussetzung ist, dass sie und der Empfänger für die Funktion Kwitt in der VR-Banking App oder der App der Sparkasse registriert sind. Weitere Informationen zu Kwitt finden Sie hier
  • Oder stellen Sie eine Gerätebindung zwischen der VR-Banking App und Ihrem Smartphone her. Diese können Sie mit der Version 19.15 (voraussichtlich ab Ende August 2019) einrichten.

Hohe Sicherheit beim Online-Shopping mit Kreditkarte

Mit Mastercard® Identity Check™ sowie Verified by Visa (zukünftig Visa Secure) ist das Online-Shopping mit Kreditkarte bereits heute schon einfach und sicher möglich. Für diese beiden Verfahren zur Authentifizierung von Kreditkartenzahlungen gibt es die Lösung via SMS oder Push-Nachricht in der VR-SecureCARD App. Zukünftig wird Mastercard® Identity Check™ sowie Verified by Visa (zukünftig Visa Secure) beim Online-Shopping mit Kreditkarte verpflichtend.

Verständlich erklärt: Starke Kundenauthentifizierung durch Mastercard® Identity Check™ und Verified by Visa

Der nachfolgende Erklärfilm zeigt beispielhaft am Mastercard® Identity Check™, wie die Registrierung und die Online-Zahlungen mit Ihrer Debit- und Kreditkarte von Mastercard® oder Visa funktionieren.

Quelle: DZ BANK (Stand: Mai 2019)

Über die folgenden Links können Sie sich in wenigen Schritten für Mastercard® Identity Check™ oder Verified by Visa (zukünftig Visa Secure) registrieren.


Zugriffe von dritten Zahlungsdienstleistern

Gesetzlich geregelt ist auch die Möglichkeit, Dritten (Dienstleistern) einen Zugriff über die neue - einheitliche - Schnittstelle Access to Account (XS2A) zu ermöglichen. Als Verbraucher, können Sie individuell diesen Diensten Ihre Zustimmung erteilen (ähnlich der Zustimmung von AGB, Sonder- oder Lizenzbedingungen beim Onlinekauf).

Um die neuen, in der PSD2 aufgeführten Zahlungsdienste anbieten zu können, müssen Unternehmen und FinTechs über die Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) eine Erlaubnis zum Erbringen dieser Dienste beantragen. 

Nachfolgend erhalten Sie einen Überblick der möglichen Dienstleistungen:

Zahlungsdienstleister

Drittanbieter als Zahlungsauslöser

Ein Zahlungsauslösedienst führt – Ihre Einwilligung vorausgesetzt – einen Zahlungsauftrag, wie zum Beispiel eine Überweisung, aus. Die Zahlung muss über die Zwei-Faktor-Authentifizierung beauftragt werden.

Kontoinformationsdienstleister

Drittanbieter als Kontoinformationsdienst

Ein Kontoinformationsdienst ermöglicht einem Dritten anhand Ihrer Kontodaten einen Überblick über Ihre aktuelle finanzielle Situation. Nachdem Sie dem Dienst Ihre aktive Zustimmung erteilt haben, darf er bis zu vier Mal am Tag Informationen von Ihrem Konto wie zum Beispiel Salden oder Umsätze abrufen, ohne dass Sie erneut zustimmen müssen.

Kartenausgebende Zahlungsdienstleister

Drittanbieter als kartenausgebender Zahlungsdienstleister

Mit Ihrer girocard (Debitkarte) und unseren Kreditkarten verfügen Sie bereits über Zahlungsmittel mit Zugriff auf Ihr Konto.

Zukünftig werden Sie auch neue Angebote von Zahlungskarten erhalten, beispielweise von der Deutschen Bahn, Fluggesellschaften oder Einzelhandelsketten. Die kartenausgebenden Unternehmen fragen bei Bezahlvorgängen die Verfügbarkeit des Kaufbetrages (Bonität) bei Ihrer Raiffeisenbank im Allgäuer Land eG an.

Sie behalten den Überblick

Steuern Sie Ihre Zustimmungen

Wie bereits erwähnt, dürfen Drittdienstleister nur mit Ihrer vorherigen Zustimmung auf Ihre Kontodaten zugreifen.

Mit der neuen Zugriffsverwaltung im Online-Banking im Bereich "Service > Konten und Verträge > Zugriffsverwaltung" können Sie jederzeit kontrollieren, welchen Drittanbieter Sie berechtigt haben und welche Zahlungen ausgeführt wurden. Sie können dort auch Zugriffsberechtigungen wieder entziehen.

Ihnen stehen diese Daten bis 180 Tage rückwirkend zur Verfügung. Die Zugriffsverwaltung im Online-Banking ist wie folgt strukturiert:

  • Verfügbarkeitsabfragen,
  • Kontoinformationsabfragen und
  • Zahlungsauslösungen.

Häufige Fragen zur PSD2

Was bedeutet PSD2?

Am 13. Januar 2018 sind aufgrund europäischer Vorgaben mit der "Payment Services Directive2" (PSD2) bzw. dem "Gesetz zur Umsetzung der zweiten Zahlungsdiensterichtlinie" neue gesetzliche Bestimmungen für die Erbringung von Zahlungsdiensten in Kraft getreten. Kontoführende Zahlungsdienstleister, zu denen auch die Volksbanken und Raiffeisenbanken zählen, müssen ab dem 14. September 2019 Drittanbietern einen Zugang zu den Konten ihrer Kunden zur Verfügung stellen – vorausgesetzt, die Kunden haben ihnen dafür eine Erlaubnis erteilt. Zuvor waren die Daten der Bankkunden durch das Bankgeheimnis grundsätzlich geschützt. Jetzt kann der Kunde aber im Sinne seiner eigenen Daten-Souveränität selbst entscheiden, ob er die Daten bzw. seine PIN an Drittdienste weitergeben möchte. Ihre Erlaubnis vorausgesetzt, erfolgt dann der Zugriff dieser Drittdienste über eine technische Schnittstelle Ihrer Raiffeisenbank im Allgäuer Land eG. Mit dieser Schnittstelle werden natürlich die hohen Sicherheitsstandards weiterhin gewahrt.

Kann ein Drittanbieter, also zum Beispiel ein Zahlungsauslösedienst oder ein Kontoinformationsdienst, ohne meine Zustimmung auf meine Konten zugreifen?

Nein, ein Drittanbieter kann grundsätzlich nur mit Ihrer vorherigen Zustimmung auf Ihre Kontodaten zugreifen. In unserem Online-Banking steht Ihnen eine entsprechende Zugriffsverwaltung zur Verfügung, mit der Sie beispielsweise auch Drittanbietern Zugriffsberechtigungen wieder entziehen können.

Kann ich die Einstellungen meiner Bank zur starken Kundenauthentifizierung selbst ändern?

Sie können Ihre Raiffeisenbank im Allgäuer Land eG damit beauftragen, die von ihr für alle Kunden eingerichteten Ausnahmen von der starken Kundenauthentifizierung individuell für Sie zurückzunehmen. D.h. die Sicherheitsanforderungen werden damit verschärft. Beispiel: Bietet Ihre Raiffeisenbank im Allgäuer Land eG die TAN-lose Ausführung einer Kleinbetragszahlung im Online-Banking an, so können Sie diese nur zurücknehmen lassen. Sie müssen dann bei jeder Zahlung eine TAN eingeben. Bitte nehmen Sie zur Änderung Kontakt mit Ihrer Bank auf.

Welche Anpassungen erfolgen noch im Online-Banking aufgrund der PSD2?

Gemäß PSD2 darf die maximale Zeitspanne ohne Aktivität (Session-Timeout) im Online-Banking nicht mehr als fünf Minuten betragen. Wir haben diese Vorgabe umgesetzt. Bitte beachten Sie, dass zur Verlängerung der Session eine Bewegung der Maus oder Ähnliches nicht ausreicht. Es ist eine Transaktion erforderlich, die den Online-Banking-Server anspricht. Dabei handelt es sich beispielsweise um den Abruf von Umsatzdaten oder den Aufruf der TAN-Verwaltung bzw. der Zugriffsverwaltung.

Warum steht der Finanzmanager in der VR-BankingApp nicht mehr zur Verfügung?

Mit der Veröffentlichung der neuen Version der VR-BankingApp voraussichtlich im August 2019 steht der Finanzmanager in der App nicht mehr zur Verfügung. Der Grund dafür: Im Finanzmanager werden die Umsätze immer 13 Monate rückwirkend angezeigt. Folglich müsste bei jedem Abruf eine TAN abgefragt werden. Dies ist für Smartphone-Nutzer nicht praktikabel. Der Zugriff auf den Finanzmanager ist aber weiterhin im Online-Banking möglich.