Glossar
Inhaltsverzeichnis
Textüberschrift Link

PSD2-Konformität

PSD2 (Payment Services Directive) ist eine überarbeitete EU-Richtlinie, die die Sicherheit von Online-Zahlungen und den Datenzugriff grundlegend verändert hat.

Ihr Hauptziel war es, einen effizienteren und integrierten Zahlungsverkehrsmarkt zu schaffen und den Verbrauchern mehr Kontrolle über ihre Daten zu geben. Durch die Förderung von Wettbewerb und Innovation in der FinTech-Branche sorgt PSD2 für eine sicherere und dynamischere digitale Wirtschaft.

Obwohl PSD2 eine europäische Richtlinie ist, betrifft sie Unternehmen weltweit. Da Datenverwaltung und Sicherheit im Mittelpunkt von PSD2 stehen, sind Unternehmen wie Cyera entscheidend, um Organisationen bei der Einhaltung zu unterstützen und das Vertrauen ihrer Kunden zu stärken.

Was ist PSD2 und warum wurde sie eingeführt?

PSD1 wurde bereits 2007 eingeführt, um die EU-Zahlungsdienste zu harmonisieren und grenzüberschreitende Transaktionen effizienter zu gestalten. Allerdings digitalisierte sich der Zahlungssektor rasant, und PSD1 reichte nicht mehr aus, um mit den Veränderungen Schritt zu halten.

Die PSD2, die 2016 eingeführt und bis Januar 2018 verbindlich wurde, modernisierte diese Regeln, um sie an das digitale Zeitalter anzupassen.

Die wichtigsten Ziele von PSD2 sind:

  • Geben Sie den Verbrauchern mehr Kontrolle über ihre persönlichen Finanzdaten und einen stärkeren Schutz vor unautorisierten Transaktionen und Bankgebühren.
  • Erhöhen Sie die Datensicherheit durch starke Kundenauthentifizierung (SCA).
  • Ermöglichen Sie Open-Banking-Praktiken mit Drittanbieterdiensten
  • Fördern Sie Innovation und Wettbewerb, indem Sie Drittanbietern den Zugang zur Bankeninfrastruktur ermöglichen.
  • Zahlungsvorschriften in der gesamten EU vereinheitlichen, um grenzüberschreitende Zahlungen einfach und effizient zu gestalten.

Obwohl PSD2 eine EU-Verordnung ist, hat sie weltweit Auswirkungen gehabt. Jedes Unternehmen, das Zahlungen mit EU-Mitgliedern abwickelt oder EU-Finanzdaten verarbeitet, muss die Vorschriften einhalten.

Die Kernanforderungen der PSD2-Konformität

PSD2 enthält mehrere verpflichtende Anforderungen für alle Zahlungsdienstleister, die innerhalb der EU tätig sind.

Starke Kundenauthentifizierung

SCA verlangt von Zahlungs-Gateways, dass sie ihre Nutzer auffordern, ihre Identität mit mindestens zwei unabhängigen Faktoren zu verifizieren, was oft als Zwei-Faktor- oder Multi-Faktor-Authentifizierung bezeichnet wird.

Anbieter müssen mindestens zwei der folgenden Punkte anfordern:

  • Etwas, das der Benutzer weiß, wie ein Passwort oder 3D Secure 2-Protokolle
  • Etwas, das sie besitzen, wie ein Telefon mit SMS-Verifizierung
  • Etwas, das sie sind, wie biometrische Daten, zum Beispiel Fingerabdrücke oder Gesichtserkennung

Open Banking und Drittanbieter-Zugriff (TPPs)

Banken sind verpflichtet, ihre APIs zu öffnen, damit lizenzierte Drittanbieter (mit Zustimmung) auf ihre Finanzinfrastruktur zugreifen können.

Beispielsweise können Kontoinformationsdienstleister (AISPs) die APIs nutzen, um auf Kontodetails zuzugreifen, und Zahlungsauslösedienstleister (PISPs) können Zahlungen im Namen eines Nutzers initiieren.

Dies ermöglicht Dienstleistungen wie Zahlungsauslösung und Kontoinformationen-Aggregation durch FinTech-Unternehmen.

Daten­transparenz und Gebühren­klarheit

Alle Finanzdienstleistungen und -produkte müssen nun transparente Informationen zu Transaktionsgebühren und Wechselkursen bereitstellen.

Aufschläge sind jetzt für Dinge wie Ticketverkauf, Lieferdienste und Reisen sowie für EU-Verbraucher-Kredit- und Debitkarten verboten.

Zusätzlich müssen Nutzervereinbarungen klar und für Verbraucher leicht verständlich sein.

Beschwerdemanagement und Verbraucherrechte

Unternehmen sind nun verpflichtet, Probleme zeitnah und geregelt zu lösen. Es müssen transparente Verfahren für die Bearbeitung von Beschwerden vorhanden sein, wobei zugängliche Möglichkeiten zur Streitbeilegung zur Verfügung stehen müssen.

Unternehmen müssen detaillierte Compliance-Aufzeichnungen führen, um die Einhaltung nachzuweisen.

Wer muss PSD2-konform sein?

Viele globale Unternehmen gehen fälschlicherweise davon aus, dass PSD2 nur für Länder innerhalb des Europäischen Wirtschaftsraums (EWR) gilt. Das ist jedoch nicht der Fall.

Im Wesentlichen umfasst PSD2 alle folgenden Punkte:

  • Unternehmen, die Zahlungen innerhalb der EU abwickeln.
  • Weltweit tätige Unternehmen mit Nutzern oder Aktivitäten in der EU.
  • Fintechs, Zahlungsdienstleister, Online-Marktplätze und E-Commerce-Plattformen.
  • Selbst US-basierte Unternehmen müssen die Vorschriften einhalten, wenn sie mit Daten von EU-Verbrauchern umgehen.

Zum Beispiel muss ein US-amerikanisches E-Commerce-Unternehmen, das Produkte auf dem deutschen Markt verkauft, für diese Transaktionen die PSD2-Konformität umsetzen.

Wie sich PSD2 auf Unternehmen auswirkt

PSD2 kann die täglichen Geschäftsabläufe eines Unternehmens auf verschiedene Weise beeinflussen:

  • Sicherheits-Upgrades: Unternehmen müssen SCA implementieren, um die Anmelde- und Transaktionsdaten der Kunden zu schützen. Dies erfordert in der Regel aktualisierte Software und Verfahren.
  • Investitionen in die Infrastruktur: Unternehmen müssen APIs erstellen oder bestehende APIs aufrüsten sowie sichere Gateways einrichten. Außerdem müssen sie Systeme einrichten, um die Einhaltung der Vorschriften in Echtzeit zu überwachen und zu melden.
  • Änderungen im Kundenerlebnis: Zusätzliche Authentifizierungsschritte können für Kunden zu Reibungen führen, daher müssen die Checkout-Seiten möglicherweise angepasst werden, um ein gutes Kundenerlebnis zu gewährleisten.
  • Strategische Veränderungen: Traditionelle Banken müssen sich an ein offeneres Ökosystem anpassen und möglicherweise mit FinTechs zusammenarbeiten oder mit ihnen konkurrieren.

Auch wenn diese Veränderungen von einem Unternehmen als unbequem empfunden werden können, zeigen die Ergebnisse bereits eine spürbare Wirkung.

Während die USA weiterhin die höchsten Verluste durch Betrugsfälle verzeichnen, konnte die EU (durch die Umsetzung von PSD2) ihre Verluste um 40 % bis 60 % senken.

Häufige Herausforderungen bei der Einhaltung von Vorschriften

Bei der Umsetzung der PSD2-Compliance können Finanzunternehmen auf erhebliche Hürden stoßen, die sich über technische, regulatorische und operative Bereiche erstrecken.

Die größten Herausforderungen betreffen:

  • Altsysteme, die sich nicht gut mit modernen APIs integrieren lassen.
  • Das Gleichgewicht zwischen Benutzererlebnis und Sicherheitsverbesserungen, die sich auf die Konversionsraten auswirken können.
  • Der richtige Weg, Verbraucher über die neuen Authentifizierungsverfahren aufzuklären.
  • Überwachung von Risiken durch Drittanbieter (TPP), Durchführung von Due-Diligence-Prüfungen und Sicherstellung einer korrekten Datenverarbeitung.
  • Steigende Compliance-Kosten, insbesondere für kleinere oder mittelgroße Unternehmen.

Best Practices zur Einhaltung von Vorschriften

Wenn Sie noch nicht PSD2-konform sind, finden Sie hier eine Checkliste mit den notwendigen Schritten:

  • Setzen Sie kontextbezogene und verhaltensbasierte Authentifizierungstools für SCA ein.
  • Integrieren Sie Verhaltensbiometrie, um die Reibung für Kunden zu verringern, ohne die Sicherheit zu beeinträchtigen.
  • Stellen Sie API-Gateways für Drittanbieter bereit, die Sicherheitsmaßnahmen in Echtzeit anpassen können und eine Zero-Trust-Architektur verwenden.
  • Sensiblen Kundendaten tokenisieren oder anonymisieren, um die Exponierung zu minimieren.
  • Richten Sie kontinuierliche Überwachungssysteme für das Risikomanagement und die Analyse ein. Zum Beispiel bietet Cyera vollständige Transparenz bei der Datenklassifizierung und kennzeichnet automatisch alle Risiken.
  • Legen Sie alle Transaktionsgebühren, Umrechnungskurse und Nutzungsbedingungen für Verbraucher klar offen.
  • Führen Sie regelmäßig Audits von Drittanbietern und Integrationen durch.
  • Registrieren Sie sich bei den zuständigen Aufsichtsbehörden und halten Sie sich über die sich entwickelnden PSD2-Anforderungen auf dem Laufenden.
  • Schulen Sie die Nutzer durch ein UX-orientiertes Onboarding.
  • Schulen Sie das Personal zu den PSD2-Pflichten.

Vorbereitung auf PSD3 und zukünftige Zahlungsregulierungen

PSD2 ist sicherlich nicht die letzte Ausbaustufe dieses regulatorischen Rahmens. PSD3 und neue Zahlungsdiensteverordnungen stehen bereits vor der Tür, und Sie müssen vorbereitet sein.

Um sich auf diese Veränderungen vorzubereiten, ist ein agiles und Compliance-orientiertes Rahmenwerk unerlässlich.

Hier kann Cyera einspringen und Ihr langfristiger Partner bei der Bewältigung dieser sich entwickelnden Anforderungen werden. Dank seiner adaptiven Technologie macht Cyera Ihr Unternehmen zukunftssicher, indem es flexible Rahmenwerke, Echtzeit-Datengovernance und Automatisierung bietet, die sich an Ihre Anforderungen anpassen und mitwachsen.

Die Nutzung eines Systems wie Cyera verlagert Ihr Unternehmen von reaktiver Compliance hin zu proaktiver Resilienz, die sich schnell an sich ändernde regulatorische Rahmenbedingungen anpassen kann.

Globale Auswirkungen: PSD2 außerhalb der EU

Wir können diesen Punkt nicht genug betonen: Selbst wenn Ihr Unternehmen geografisch nicht im EWR ansässig ist, müssen Sie dennoch die PSD2 einhalten, wenn Sie Geschäfte mit Verbrauchern in diesem Teil der Welt machen.

EU-Bürger kaufen weltweit ein, und wenn Ihre Website oder App sie bedient, müssen Sie die Vorschriften einhalten.

Neben dem Nachteil für Ihre Kunden können die Folgen der Nichteinhaltung gravierend sein. Sie riskieren Bußgelder, Zahlungsunterbrechungen und letztlich einen Reputationsschaden als unzuverlässiges Unternehmen.

Die Ausrichtung Ihres Unternehmens an globalen Best Practices ist der beste Weg, um der Konkurrenz einen Schritt voraus zu sein und sich vor den Folgen von regulatorischer Nichteinhaltung zu schützen.

Wie Cyera die PSD2-Compliance unterstützt

Um Ihrer Organisation den bestmöglichen Vorsprung zu verschaffen, ist es entscheidend, in moderne Technologien zu investieren, die mit den häufigen Veränderungen rund um PSD2 Schritt halten können.

Cyera ist Ihr Verbündeter, um dies zu ermöglichen. Die innovative Technologie kann:

  • Klassifizieren, überwachen und verwalten Sie sensible Finanzdaten in Echtzeit über Cloud-, lokale und hybride Umgebungen hinweg.
  • Überwachen Sie kontinuierlich den Zugriff Dritter auf Daten und API-Flüsse.
  • Automatisieren Sie Compliance-Prüfungen und senden Sie Warnmeldungen bei potenziellen Verstößen, bevor diese eskalieren.
  • Stellen Sie agile Steuerungsmechanismen für sich ändernde regulatorische Umgebungen bereit.
  • Schulen Sie Stakeholder mit zugänglichen Dashboards und tiefgehenden Analyseerkenntnissen.

Letztendlich hilft Ihnen Cyera dabei, eine anpassungsfähige, langfristige Strategie für Compliance und Innovation zu entwickeln – ganz gleich, welche Veränderungen es anderswo auf der Welt gibt.

Machen Sie die PSD2-Compliance zu einem strategischen Vorteil

Versuchen Sie, die PSD2-Compliance weniger als regulatorische Belastung und mehr als Chance zu sehen, Ihre Systeme zu modernisieren und das Vertrauen sowie die Loyalität Ihrer Kunden zu stärken.

Mit dem richtigen Partner können Sie sich problemlos an wechselnde Vorschriften anpassen und Ihr Unternehmen langfristig zukunftssicher machen.

Wir laden Sie ein, die Lösungen von Cyera für Finanzdienstleistungen und Compliance-Bereitschaft zu entdecken.

Nehmen Sie Kontakt mit uns auf, um eine Demo zu vereinbaren und eine kostenlose Risikoanalyse für den Datenzugriff durchzuführen.

Verwandte Begriffe

Sarbanes-Oxley Act (SOX)

Der Sarbanes-Oxley Act (SOX) legt Prüfungs- und Rechnungslegungsstandards für börsennotierte Unternehmen fest.

Mehr erfahren →
GLBA

Das Gramm-Leach-Bliley-Gesetz (GLBA) verpflichtet Finanzinstitute, nicht-öffentliche personenbezogene Informationen (NPI) zu schützen und Transparenz darüber zu gewährleisten.

Mehr erfahren →