Sponsored Post Was ist das?

So klappt die PSD2-Umsetzung – eine Anleitung in 5 Schritten

QWACs Fintech Bundesdruckerei
(Grafik: Getty Images)

Anzeige
Die PSD2 ermöglicht Zahlungsdiensten den Zugang zu Bankkonten von Kunden aller europäischen Banken. Eine riesige Chance für Fintechs, die damit aber auch erstmals von Regulierung betroffen sind und technische Sicherheitsvorkehrungen treffen müssen.

1. Schritt: Klärt eure Regulierungspflicht

Der PSD2-Regulierung unterliegen nur Fintechs, die über die neuen Banking-API auf Konten bei anderen Banken (genauer: auf Online-Zahlungskonten) zugreifen wollen. Und nur diese Unternehmen benötigen eine Lizenz der nationalen Finanzaufsichtsbehörde, in Deutschland also der Bafin. Betroffen sind Zahlungsauslösedienstleister (ZAD), die auf Bankkonten zugreifen, um Überweisungen vorzunehmen. Zudem betrifft die Richtlinie Kontoinformationsdienstleister (KID), die nur Auskünfte über Kontodaten benötigen. Beide müssen sich bei der Bafin registrieren.

2. Schritt: Beantragt eure Bafin-Lizenz. Achtung: Aufwand!

Bundesdruckerei
Bundesdruckerei

Sichere Identitäten und sichere Daten sind die Kernkompetenz der Bundesdruckerei. Das Unternehmen schützt mit Technologien „Made in Germany“ sensible Daten und Infrastrukturen.

Die Bafin stellt unterschiedliche Anforderungen an ZAD und KID. Einige Auflagen müssen von beiden Anbietern erfüllt werden.

Dazu zählen:

  • die verbindliche Rechtsform „juristische Person“ oder „Personenhandelsgesellschaft“;
  • eine Berufshaftpflicht oder eine vergleichbare Garantie;
  • eine Sicherheitsstrategie zum Schutz der Nutzer;
  • Beschreibungen, wie man Sicherheitsvorfälle und Kundenbeschwerden über die Sicherheit behebt und verhindert und wie man das Geschäft im Krisenfall fortführt.

Zahlungsauslösedienstleister erwartet auf dem Weg zur Bafin-Erlaubnis allerdings zusätzlicher Aufwand – so etwa der Nachweis über ein Anfangskapital von mindestens 50.000 Euro, statistische Daten über Leistungsfähigkeit, Geschäftsvorgänge sowie Betrugsfälle und eine Inhaberkontrolle. Einen Überblick über den kompletten Registrierungsprozess gibt es hier.

Wichtig: ZAD und KID sollten für die Bafin-Lizenzierung genügend Zeit einplanen. Drei bis vier Monate kann es durchaus dauern. Die Gebühren liegen zwischen 6.000 und 12.000 Euro.

3. Schritt: Wählt den passenden Vertrauensdiensteanbieter

Die Bafin-Lizenz ist da? Spätestens jetzt benötigen Zahlungsdienste qualifizierte Zertifikate (QWACs), um auf die API des Kreditinstituts zugreifen zu können. Mit QWACs weisen sie sich gegenüber der Bank als Lizenzinhaber aus und sichern die Datenübermittlung.

Erhältlich sind die Zertifikate bei qualifizierten Vertrauensdiensteanbietern, die auf einer Vertrauensliste der EU stehen und zusätzlich die PSD2-Erweiterungen haben. Ein deutscher Anbieter ist D-TRUST, eine Tochter der Bundesdruckerei – das erste europäische Unternehmen, das überhaupt zur Ausgabe von QWACs berechtigt war.

Bundesdruckerei PSD2
Der Sitz der Bundesdruckerei in Berlin. (Foto: Bundesdruckerei)

4. Schritt: Testet doch jetzt schon – auch ohne Bafin-Lizenz

Die PSD2 schreibt für Banken ab Mitte März eine Testphase vor, in der Drittanbieter die geöffneten Schnittstellen prüfen können. Für die ZAD und KID ist die Teilnahme an dieser Testphase empfehlenswert, um das eigene System und die Schnittstelle der Banken zu überprüfen. Hier können sich Zahlungsdienste dann auch einen Eindruck vom jeweiligen Schnittstellen-Standard verschaffen, den die PSD2 nicht vorschreibt und der deshalb variieren kann. Europaweit am anerkanntesten ist der Berlin-Group-Standard. Für die Testphase ist keine Bafin-Lizenz erforderlich. Kostenlose Testzertifikate sind jetzt schon bei der Bundesdruckerei erhältlich.

5. Schritt: Sichert euch QWACs und QSiegel – und behaltet den API-Standard im Blick

Spätestens ab Mitte Juni müssen die Banken ihr Produktivsystem öffnen, Drittanbieter können dann testweise auf echte Kundenkonten zugreifen.

Wichtig zu wissen: Für die Testphase mit echten Kundenkonten muss die Bafin-Lizenz bereits vorliegen! Die benötigten Echtzertifikate gibt es bei den ausgewählten Vertrauensdiensteanbietern. Die D-TRUST zum Beispiel stellt ab Mai Echtzertifikate mit PSD2-Erweiterungen zur Verfügung. Übrigens: Die European Banking Authority (EBA) empfiehlt Banken, neben den QWACs auch qualifizierte Siegel vom Drittanbieter zu verlangen. Diese QSiegel signieren einen Dateninhalt und machen beispielsweise eine Transaktion über Jahre nachvollziehbar. Auch sie sind bei Vertrauensdiensteanbietern wie der D-TRUST erhältlich.

Du willst mehr Details zur PSD2-Richtlinie und zu den Zertifikaten erfahren?

Jetzt informieren!

Hey du! Schön, dass du hier bist. 😊

Bitte schalte deinen Adblocker für t3n.de aus, um diesen Artikel zu lesen.

Wir sind ein unabhängiger Publisher mit einem Team bestehend aus 65 fantastischen Menschen, aber ohne riesigen Konzern im Rücken. Banner und ähnliche Werbemittel sind für unsere Finanzierung sehr wichtig.

Danke für deine Unterstützung.

Digitales High Five,
Stephan Dörner (Chefredakteur t3n.de) & das gesamte t3n-Team

Anleitung zur Deaktivierung