Zweite EU-Zahlungsdiensterichtlinie (PSD2)

Einheitliche Standards für die Sicherheit elektronischer Zahlungen

Neue Regeln beim Online-Banking und Shoppen im Internet

Am 11. September 2019 wird die sogenannte "zweite Stufe" der Umsetzung der "Zweiten EU-Zahlungsdiensterichtlinie (PSD2)" bei der Volksbank Reutlingen eG wirksam. Ziel ist die Schaffung einheitlicher Standards für die Sicherheit elektronischer Zahlungen sowie die Verbesserung des Verbraucherschutzes im Europäischen Wirtschaftsraum. Damit werden das Online-Banking, die VR-BankingApp sowie das Online-Shopping mit Kreditkarte noch sicherer. Außerdem wird dritten Zahlungsdienstleistern die Möglichkeit gegeben, Ihnen neue Services anzubieten. Verschaffen Sie sich hier einen Überblick über die wesentlichen Neuerungen.

Das ändert sich für Sie

Änderungen im Online-Banking

1. TAN-Eingabe beim Login zum Online-Banking

Ab 11. September müssen Sie beim Login zum Online-Banking neben Ihren gewohnten Anmeldedaten (VR-NetKey/Alias und PIN) alle 90 Tage zusätzlich eine TAN eingeben.

2. TAN-Eingabe bei Umsatzabfrage und beim Aufruf des Finanzmanagers

Wenn Sie Umsätze abrufen, die mehr als 90 Tage zurückliegen, müssen Sie ab 11. September gemäß den neuen Regelungen eine TAN eingeben.

Der Finanzmanager im Online-Banking zeigt Ihnen die Umsätze der letzten 13 Monate an. Aus diesem Grund wird beim Aufruf des Finanzmanagers im Online-Banking immer eine TAN abgefragt.

3. Automatische Abmeldung aus dem Online-Banking

Bisher wurden Sie aus Sicherheitsgründen nach 15 Minuten Inaktivität automatisch aus dem Online-Banking ausgeloggt. Ab dem 11. September findet der automatische Logout bereits nach 5 Minuten Inaktivität statt.

Änderungen in der VR-BankingApp

Die folgenden Änderungen gelten nur für die erste in der VR-BankingApp hinterlegte Bankverbindung. Kunden, die mehrere Bankverbindungen in der App verwalten bzw. hinzugefügt haben, beachten bitte die Informationen in unserer FAQ "Ich verwalte mehrere Bankverbindungen in der VR-BankingApp. Was muss ich beachten?

1. TAN-Eingabe beim Login in die VR-BankingApp

Auch in der VR-BankingApp müssen Sie künftig grundsätzlich alle 90 Tage zusätzlich eine TAN beim Login eingeben.

Ausnahme: Die TAN-Eingabe beim Login in die VR-BankingApp entfällt, wenn ...

  • ... Sie für die Funktion "Kwitt" oder "Mobile Auszahlung" in der VR-BankingApp registriert sind.
  • ... eine sogenannte Gerätebindung1 zwischen der VR-BankingApp und Ihrem Gerät (Smartphone/Tablet) hergestellt wird. Diese Gerätebindung können Sie mit der App-Version 19.15 (voraussichtlich ab Ende August 2019) in den Einstellungen der VR-BankingApp einrichten. Mit der neuen Version wird Ihnen bei jedem Start der App ein Hinweis zur Einrichtung der Gerätebindung angezeigt.
Neue Funktion "Gerät registrieren" in den Einstellungen
Hinweis zur Geräte-Registrierung beim Öffnen der App

2. Finanzmanager zukünftig nicht mehr in der VR-BankingApp

Mit der Veröffentlichung der neuen Version der VR-BankingApp voraussichtlich Ende August 2019 steht der Finanzmanager in der App nicht mehr zur Verfügung. Der Grund dafür: Im Finanzmanager werden die Umsätze immer 13 Monate rückwirkend angezeigt. Folglich müsste bei jedem Abruf eine TAN abgefragt werden. Dies ist für Smartphone-Nutzer nicht praktikabel. Die Umsatzabfrage kürzer 90 Tage ist nach wie vor möglich.

Der Zugriff auf den Finanzmanager ist aber weiterhin im Online-Banking möglich.

Unser Tipp

Registrieren Sie sich für "Kwitt" oder "Mobile Auszahlung" oder nehmen Sie die Gerätebindung1 vor – so sind der Login und der Umsatzabruf in der VR-BankingApp weiterhin ohne TAN möglich.

¹ Die Gerätebindung ist ein technischer Vorgang, bei dem eine eindeutige, systemische Verknüpfung zwischen der Hardware (also Ihrem Smartphone/Tablet) und der Software (also Ihrer VR-BankingApp) hergestellt wird.

Online-Shopping mit Kreditkarten

Änderung beim Online-Shopping mit Kreditkarte

Um Online-Einkäufe mit Ihrer Kreditkarte noch sicherer zu gestalten, wird ab 11. September die Eingabe einer TAN verpflichtend. Bisher reichte bei vielen Händlern die Angabe der dreistelligen Kreditkarten-Prüfziffer zum Abschluss des Online-Einkaufs aus.
Die TAN wird mit Hilfe der Sicherheitsverfahren Mastercard® Identity Check™ (für Inhaber von Mastercard®-Kreditkarten) bzw. Verified by Visa (für Inhaber von Visa-Kreditkarten) erzeugt. Die folgenden Links bieten Ihnen mehr Informationen über die beiden Verfahren und den Ablauf der Registrierung.

Zugriffsverwaltung für Dritte im Online-Banking

Zugriffsverwaltung im Online-Banking für mehr Transparenz

Ab dem 11. September können Sie auf Ihr Girokonto auch mittels Kontoinformationsdiensten, Zahlungsauslösediensten und von Ihnen ausgewählten sonstigen Drittanbietern zugreifen. Diese Drittanbieter greifen dabei auf Ihre Authentifizierungselemente wie beispielsweise PIN und TAN zurück.

Damit Sie stets im Blick haben, wem Sie Zugriff auf Ihr Konto eingeräumt haben, steht Ihnen in Ihrem Online-Banking der neue Bereich "Zugriffsverwaltung" (unter Service > Konten und Verträge > Zugriffsverwaltung) zur Verfügung. Dort können Sie künftig kontrollieren, welchen Drittanbieter Sie berechtigt und welche Zahlungen Drittanbieter durchgeführt haben. Sie können dort Zugriffsberechtigungen auch wieder entziehen. Alle Daten stehen Ihnen bis 180 Tage rückwirkend zur Verfügung. Die "Zugriffsverwaltung" im Online-Banking ist wie folgt strukturiert:

  • Verfügbarkeitsabfragen
    Hier sehen Sie, welchen dritten Zahlungsdienstleister Sie für eine Verfügbarkeitsabfrage berechtigt haben.
  • Kontoinformationsabfragen
    Hier sehen Sie, ob – und wenn ja, welchem Kontoinformationsdienstleister Sie eine Berechtigung zum Abruf von Kontoinformationen erteilt haben.
  • Zahlungsauslösungen
    Hier sehen Sie über welchen Zahlungsdienstleister Sie in den letzten 180 Tagen Zahlungen ausgelöst haben.

Hintergrund: Was sind "Drittdienstleister"?

Drittdienstleister sind Unternehmen, die im Auftrag und Namen eines Bankkunden Transaktionen (Zahlungen, Umsatzabfragen etc) durchführen. Dabei greifen sie über eine Schnittstelle auf das Online-Banking des Kunden und seine Authentifizierungselemente (PIN/TAN) zu. Sie unterliegen strengen Vorschriften, werden durch die Finanzaufsicht kontrolliert und dürfen nur auf ausdrückliche Ermächtigung des Kunden hin tätig werden.

Auch wenn diese Unternehmen durch die neuen Regelungen der PSD2 hohe Anforderungen zu erfüllen haben und kontrolliert werden: Wählen Sie stets sorgfältig aus, welchen Drittdienstleister Sie zur Durchführung von Transaktionen beauftragen. Die neue Zugriffsverwaltung im Online-Banking hilft Ihnen dabei, den Überblick zu behalten und Ermächtigungen bei Bedarf wieder zu entziehen.

Was Sie jetzt tun müssen

Grundsätzlich finden die beschriebenen Änderungen automatisch statt – Sie müssen nichts weiter tun.

Ausnahme: Wenn eine der nachfolgenden Aussagen auf Sie zutrifft, sollten Sie jetzt tätig werden.

Sie haben kein TAN-Verfahren oder Ihre vorhandenen TAN-Verfahren sind gesperrt.

Sie haben kein TAN-Verfahren oder Ihre vorhandenen TAN-Verfahren sind gesperrt.

Kunden, die kein TAN-Verfahren haben oder deren TAN-Verfahren gesperrt sind, können sich nach dem 11. September nicht mehr in das Online-Banking einloggen. Im Online-Banking können Sie unter dem Navigationspunkt Banking > Service > Online-Banking >TAN-Verwaltung sehen, welche TAN-Verfahren Sie besitzen und ob diese aktiv oder gesperrt sind.

  • Sollten Sie noch kein TAN-Verfahren besitzen, haben Sie jetzt zwei Möglichkeiten:
    1. Laden Sie sich die kostenlose TAN-App VR-SecureGo herunter und empfangen Sie TANs künftig sicher auf dem Smartphone oder Tablet. Mehr Informationen und eine Anleitung finden Sie  >> hier.
    2. Mit dem kostenpflichtigen Sm@rt-TAN photo-Generator und Ihrer girocard erzeugen Sie TANs schnell und komfortabel. Mehr Informationen und ein Bestellformular für den TAN-Generator finden Sie >> hier.
  • Sollten Ihre TAN-Verfahren gesperrt sein, wenden Sie sich bitte zur Entsperrung an Ihren Berater oder unser Kontakt- und BeratungsCenter unter Telefon 07121 314-0.
Sie besitzen eine Kreditkarte und nutzen diese für Online-Einkäufe.

Sie besitzen eine Kreditkarte und nutzen diese für Online-Einkäufe.

Ab dem 11. September können Sie Ihre Mastercard® bzw. Visa-Karte nicht mehr zum Online-Shopping verwenden, wenn Sie nicht für das Sicherheitsverfahren Mastercard® Identity Check™ bzw. Verified by Visa (zukünftig Visa Secure) registriert sind. Ausführliche Informationen und die Möglichkeit zur Registrierung erhalten Sie über den nachstehenden Link.

Sie nutzen noch einen Sm@rt-TAN plus-Generator oder das mobileTAN-Verfahren.

Sie nutzen noch einen älteren Sm@rt-TAN plus-Generator ohne Farbcode-Grafik.

Die gute Nachricht: Auch nach den neuen Regelungen können Sie Ihren alten Sm@rt-TAN plus-Generator weiter verwenden. Die TAN-Erzeugung ist mit dieser Geräte-Generation aber eher unhandlich.

Unser Tipp: Bestellen Sie sich einen neuen Sm@rt-TAN photo-Generator. Dieser Gerätetyp ist weniger störanfällig und die TAN lässt sich wesentlich schneller und einfacher erzeugen. Außerdem können Sie ihn auch für andere Bankverbindungen einsetzen.

Sie nutzen noch das mobileTAN-Verfahren per SMS

Auch hier gilt, dass Sie das mobileTAN-Verfahren nach den neuen Regelungen vorerst weiter nutzen können. Allerdings wird dieses Verfahren perspektivisch abgeschaltet. Zudem ist es bereits heute nicht möglich, Transaktionen und andere TAN-pflichtige Vorgänge in der VR-BankingApp mit einer mobileTAN freizugeben.

Unser Tipp: Steigen Sie jetzt auf das App-basierte TAN-Verfahren VR-SecureGo um. Nach der einmaligen Einrichtung erhalten Sie Ihre TAN nicht mehr per SMS, sondern als Push-Nachricht auf Ihr Smartphone oder Tablet. Außerdem können Sie mit VR-SecureGo TAN-pflichtige Vorgänge in der VR-BankingApp ohne händische Übertragung der TAN freigeben.

Häufige Fragen rund um die neuen Regelungen zur PSD2

Was bedeutet PSD2?

Am 13. Januar 2018 sind aufgrund europäischer Vorgaben mit der "Payment Services Directive2" (PSD2) bzw. dem "Gesetz zur Umsetzung der zweiten Zahlungsdiensterichtlinie" neue gesetzliche Bestimmungen für die Erbringung von Zahlungsdiensten in Kraft getreten. Kontoführende Zahlungsdienstleister, zu denen auch die Volksbanken und Raiffeisenbanken zählen, müssen ab dem 14. September 2019 Drittanbietern einen Zugang zu den Konten ihrer Kunden zur Verfügung stellen – vorausgesetzt, die Kunden haben ihnen dafür eine Erlaubnis erteilt. Zuvor waren die Daten der Bankkunden durch das Bankgeheimnis grundsätzlich geschützt. Jetzt kann der Kunde aber im Sinne seiner eigenen Daten-Souveränität selbst entscheiden, ob er die Daten bzw. seine PIN an Drittdienste weitergeben möchte. Ihre Erlaubnis vorausgesetzt, erfolgt dann der Zugriff dieser Drittdienste über eine technische Schnittstelle Ihrer Volksbank Reutlingen eG. Mit dieser Schnittstelle werden natürlich die hohen Sicherheitsstandards weiterhin gewahrt.

Kann ein Drittanbieter, also zum Beispiel ein Zahlungsauslösedienst oder ein Kontoinformationsdienst, ohne meine Zustimmung auf meine Konten zugreifen?

Nein, ein Drittanbieter kann grundsätzlich nur mit Ihrer vorherigen Zustimmung auf Ihre Kontodaten zugreifen. In unserem Online-Banking steht Ihnen eine entsprechende Zugriffsverwaltung zur Verfügung, mit der Sie beispielsweise auch Drittanbietern Zugriffsberechtigungen wieder entziehen können.

Was bedeutet "2-Faktor-Authentifizierung"?

Mit der PSD2 werden die Anforderungen an die Authentifizierung der Kunden bei Zahlungen verschärft. Authentifizierung bedeutet, dass nicht nur Sie als Auftraggeber identifiziert werden, sondern dass auch die inhaltliche Richtigkeit Ihrer Willenserklärung geprüft wird. 2-Faktor-Authentifizierung bzw. starke Kundenauthentifizierung bedeutet, dass Sie sich mit zwei von drei möglichen Faktoren "ausweisen" müssen:

  • "Wissenselemente": etwas, das nur Sie wissen, wie zum Beispiel eine PIN,
  • "Besitzelemente": etwas, das nur Sie besitzen, wie zum Beispiel Ihre girocard (Debitkarte) mit TAN-Generator oder ein Mobiltelefon, an das eine TAN übermittelt wird, oder
  • ein "Seinselement" ("Inhärenz"), also etwas, das nur Sie sind, wie zum Beispiel Ihr Fingerabdruck als biometrisches Merkmal.
(Welche Anpassungen erfolgen noch im Online-Banking aufgrund der PSD2?)

Gemäß PSD2 darf die maximale Zeitspanne ohne Aktivität (Session-Timeout) im Online-Banking nicht mehr als fünf Minuten betragen. Wir haben diese Vorgabe umgesetzt. Bitte beachten Sie, dass zur Verlängerung der Session eine Bewegung der Mouse oder Ähnliches nicht ausreicht. Es ist eine Transaktion erforderlich, die den Online-Banking-Server anspricht. Dabei handelt es sich beispielsweise um den Abruf von Umsatzdaten oder den Aufruf der TAN-Verwaltung bzw. der Zugriffsverwaltung.

Häufige Fragen zur VR-BankingApp & PSD2

Warum steht der Finanzmanager in der VR-BankingApp nicht mehr zur Verfügung?

Mit der Veröffentlichung der neuen Version der VR-BankingApp voraussichtlich Ende August 2019 steht der Finanzmanager in der App nicht mehr zur Verfügung. Der Grund dafür: Im Finanzmanager werden die Umsätze immer 13 Monate rückwirkend angezeigt. Folglich müsste bei jedem Abruf eine TAN abgefragt werden. Dies ist für Smartphone-Nutzer nicht praktikabel. Der Zugriff auf den Finanzmanager ist aber weiterhin im Online-Banking möglich.

Was bedeutet "Gerätebindung" und warum sollte ich diese herstellen?

Die Regelungen der PSD2 sehen vor, dass Sie beim Login in die VR-BankingApp – analog zum Online-Banking über PC/Laptop – grundsätzlich alle 90 Tage zusätzlich eine TAN eingeben müssen. Der Gesetzgeber sieht jedoch eine Ausnahme vor: Liegt eine Gerätebindung zwischen Ihrer VR-BankingApp und Ihrem Smartphone/Tablet vor, entfällt die TAN-Eingabe beim Login. Die Gerätebindung ist ein technischer Vorgang, beim dem eine eindeutige Verknüpfung zwischen Ihrem Endgerät und der App hergestellt wird.

Wie stelle ich die Gerätebindung her?

Die Gerätebindung können Sie auf zwei Arten herstellen:

1. Durch Registrierung der Funktion "Kwitt"  oder "Mobile Auszahlung" in der VR-BankingApp
Bei der Registrierung zu Kwitt oder Mobile Auszahlung wird automatische eine Gerätebindung erzeugt. Sie finden diese Funktionen in der Menüleiste unter dem Punkt  "Aufträge".

2. Über die Funktion "Gerät registrieren"
Diese Funktion wird mit der App-Version 19.15 unter dem Punkt "Einstellungen" zu finden sein. Das Update auf diese Version steht voraussichtlich ab Ende August in Ihrem Apple App Store bzw. Google Play Store bereit.

Mit der Version 19.15 erhalten Sie außerdem beim Öffnen der VR-BankingApp immer einen Hinweis auf die Gerätebindung, sofern Sie diese noch nicht hergestellt haben.

Was passiert mit der Gerätebindung, wenn ich mein Smartphone/Tablet wechsele?

Wenn Sie die VR-BankingApp auf einem neuen Endgerät installieren, muss die Gerätebindung erneut hergestellt werden. Das Vorgehen bleibt dabei wie zuvor beschrieben.

Woran erkenne ich, ob mein Smartphone/Tablet bereits eine Gerätebindung aufweist?

Wenn eine Gerätebindung vorliegt bzw. Sie die Gerätebindung gerade hergestellt haben, sehen Sie im Impressum eine App-ID. Zudem ist die Funktion "Gerät registrieren" in den Einstellungen nicht mehr vorhanden.

Beispielhafte Darstellung der App-ID im Impressum bei vorhandener Gerätebindung.
Ich verwalte mehrere Bankverbindungen in der VR-BankingApp. Was muss ich beachten?

Die oben auf der Seite beschriebenen Änderungen und Ausnahmeregeln gelten ausschließlich für die erste Bankverbindung in der App. Wenn Sie weitere Bankverbindungen in der VR-BankingApp hinzugefügt haben – egal, ob Volksbank Reutlingen eG oder ein anderes Institut – gelten diese nicht. Konkret heißt das für Sie:

Eine von Ihnen hergestellte Gerätebindung gilt nur für die erste Bankverbindung, nicht jedoch für weitere. Das bedeutet, dass Sie beim Aufruf der Zweitbank-Verbindung sowie beim Abruf von Umsatzdaten zur Zweitbank-Verbindung unter Umständen eine TAN eingeben müssen. Ob und wann diese abgefragt wird, hängt von den Vorgaben bzw. Einstellungen der "Drittbank" ab.

Hinweis zum "Benachrichtigungsservicef":
Beim ersten Einrichten sowie in den Einstellungen der VR-BankingApp können Sie ab App-Version 19.15 für jede Bankverbindung den Kontorundruf konfigurieren. Er sorgt dafür, dass nach dem Login in der VR-BankingApp alle Daten automatisch aktualisiert werden. Je nach Einstellung der Zweitbank-Verbindung kann es dort an verschiedenen Stellen zu TAN-Abfragen kommen. Das können durchaus mehrere TAN-Abfragen hintereinander sein (z.B. bei Anmeldung, Salden- und Umsatzaktualisierung). Sollten Sie zu viele TAN-Eingaben stören, können Sie den Benachrichtigungsservice deaktivieren.