Tommorrow und der Umgang mit PSD2

Hi ihr lieben,

ab dem 14.09 soll die Zahlungsdiensterichtlinie PSD2 vollumfänglich in Kraft treten. Kurz beschrieben geht es in dieser Richtlinie darum, Drittanbietern den Zugriff auf Girokonten nach Zustimmung des Kunden zu ermöglichen.

Meine Frage bezieht sich darauf wie ihr als Bank den Prozess der Zustimmung gestaltet, wird dies in einer Erneuerung der ABG enden(Die zumeist nicht durchgelesen wird und mit „ja“ durchgewunken wird) oder klärt ihr eure Kunden über diese Änderungen in einer Art und Weise auf das ihnen bewusst werden kann was für eine Tragweite ihre Entscheidung haben kann?

Viele Grüße
M.

1 Like

Hi @vielleicht,

Gute Frage! Wir klären den genauen Ablauf noch mit Solaris und werden euch rechtzeitig aufklären.

1 Like

Hi Leo,
in euren letzten Rundmail(12.07) Betreff " Aufgepasst: Wir änderung unsere AGB" wird der von mir angemerkte Vorgang nun auch erwähnt.

Der Satz in der Mail lautet “Nur wenn Ihr diesem zustimmt versteht sich.”

Gibt es zu meiner Frage bezüglich der Zustimmung neue Informationen?

Viele Grüße
M.

1 Like

Hallo @vielleicht,

ich vermute deine Zustimmung gibst du in dem Moment, in dem du den Zugang für den Drittanbieter mit einer TAN freigibst.

Viele Grüße
Tomky

1 Like

Hi @vielleicht

Wir werden auf jeden Fall euch rechtzeitig so transparent wie möglich wissen lassen ob und was sich genau ändert.

Habe eben die Benachrichtigung über die Änderungen wegen PSD2 erhalten.
Meine Frage dazu, dann funktioniert es ja nicht mehr ein zweites Gerät als Notlösung zu besitzen…
Wie kann man dann im Falle eines Defekt/Verlustes des verknüpften Smartphone auf das Konto zugreifen?
Genügt es dann die App auf einem neuen Gerät zu installieren und es neu zu verknüpfen?
Wenn die Zugangsdaten geklaut werden und derjenige nimmt ein Smartphone installiert darauf die App und verknüpft es, dann wird das Erstgerät gelöscht und das zweite ist Herr über mein Konto???
Wo ist mein Gedankenfehler…

Gruß
Joachim

1 Like

Das ist in der FAQ erklärt: https://support.tomorrow.one/de/support/solutions/folders/15000008648

1 Like

Danke passt
Habe ich leider nicht selbst gefunden.

Hi tomky,

deine Beschreibung wäre in meinen Augen ein total stimmiger Ablauf, sind zwischenzeitlich, genau für den von tomky beschriebenen Ablauf neue Informationen veröffentlicht worden?
Wenn ja hat mir hierzu jemand einen Link?

Wie es absolut nicht funktionieren sollte zeigt mir die Deutsche Bank. Hier wird, wahrscheinlich durch einen “versteckten” Hinweis in der neuen AGB der Zugriff für die Drittanbieter einfach freigeschaltet. Es ist aktuell möglich diese Aktivierung wieder mittels Phototan zu beenden, aber ich wünsche mir dahingehend einfach mehr Transparenz und Menschlichkeit. Ich will kein Objekt sein, ich will subjektiv als Kunde und als Mensch von der Bank der ich mein Geld leihe gesehen werden!

1 Like

Das ganze Thema “Strong Customer Authentication” hängt ja gerade auch damit zusammen. Du musst Kontozugriffen nicht nur einmal zustimmen, sondern immer wieder aufs Neue mindestens 1× alle 90 Tage. Eine starke Kundenauthentifizierung ist dabei vorgeschrieben.“Einfach Freischalten” von Zugriffen gibt es so nicht.

Danke für deine Antwort Frnk, kannst du mir im Detail Beschreiben wie der Vorgang des Kontozugriffes in der Praxis bei der TmR Bank von Statten geht?

Wie ich bereits beschriebe habe läuft es bei der deutschen Bank absolut inakzeptabel ab.

1 Like

Leider nein, ich nutze keinen Dienst, der den PSD2-Zugang von Solarisbank/Tomorrow bereits implementiert hätte.

Nur dies: Die Gerätebindung der App erlaubt TAN-freies Anmelden via App. Und würde eine Freigabe eines Drittanbieterzugangs hierüber erlauben, weil damit ein Faktor “Besitz” für 2-Faktor-Authentifizierung bereitsteht.

Ich kann auf den ersten Blick nicht erkennen, was bei der Deutschen Bank hier problematisch sein könnte?

Hi Frnk,

das Problem der deutschen Bank ist folgendes. Ein Textbaustein aus deinem Link lautet:

Mit der Umsetzung der PSD2 bieten wir Ihnen die Möglichkeit, über Drittanbieter auf Ihre Kontodaten zuzugreifen. Im Service-Bereich des Online-Bankings können Sie künftig unter „Banking über Drittanbieter“ einsehen, welcher Anbieter auf welche Informationen zugreifen darf, erhalten einen Überblick über bereits erfolgte Zugriffe und können diese jederzeit verwalten. Freigaben zum Abruf von Kontoinformationen gelten bis zu 90 Tage und müssen danach von Ihnen erneut erteilt werden. Wichtig: Wir geben Ihre Daten nie ohne Ihre Genehmigung weiter.

Spannend hierbei ist die Aussage Wir geben Ihre Daten nie ohne Ihre Genehmigung weiter.

Die Umsetzung dieser oben genannten Behauptung offenbart die Problematik und ist absolut inakzeptabel für mich!

Ich selbst habe nie die Zustimmung gegeben das ein Zugriff der Drittanbieter gewünscht ist, loggt man sich in sein Konto an findet man folgendes vor:

4

Dies geschieht ohne Zutun des Inhabers, deshalb zielt meine Anfrage exakt auf die Praxis der TmR-Bank, wie Sie damit umgehen.

Herzliche Grüße
M.

1 Like

Du solltest dich freuen, die Deutsche Bank ist hier restriktiver als gesetzlich gefordert. Denke an die alte Fin/TS-Schnittstelle.

Es liegt in erster Linie in deiner Verantwortung, dass du die Zugangsdaten zu deinem Konto nicht herausgibst, wenn du keinen Zugriff erlauben willst. Und wenn du zum Beispiel einer Multibanking-Software Zugriff erlauben möchtest, dann schreibt der Gesetzgeber nun vor, dass das nicht mehr nur wie bisher mit Benutzerkennung und Passwort sondern zusätzlich stark mittels 2FA (2-Faktor-Authentifizierung) gesichert sein muss. Ungeachtet der prinzipiellen Aktivierung von Drittanbieterzugängen im Onlinebanking ist dein Konto stärker abgesichert als noch vor der Umstellung auf PSD2. Dein Einverständnis zum Kontozugriff gibst du nicht pauschal hier durch die prinzipielle Aktivierung dieses Zugangs sondern erst in dem Moment, wo du dich beim Drittanbieter als zugriffsberechtigt authentifizierst und ihm erlaubst, auf Daten zuzugreifen. Neu ist außerdem, dass das alle 90 Tage erneuert werden muss.

„Zugriffe zulassen“ bedeutet nicht, dass die Türe offen ist. Es heißt, dass es überhaupt eine Türe gibt. Alle Schlüssel hast aber du.

2 Like

Das ist auch korrekt. Die Zustimmung zur Datennutzung im Rahmen von PSD2 erfolgt nicht unmittelbar gegenüber der Bank sondern auf Seiten des Drittanbieters.

Du gehst auf eine Website irgend eines Drittanbieters. Gibts dort an, er möge auf dein DeuBa-Konto zugreifen. Dann erfolgt dort an dieser Stelle eine SCA (Strong Customer Authentication) mit mindestens 2 Faktoren. Im Rahmen dieser Authentifizierung gibst du dann auch dein Einverständnis zur Nutzung deiner Daten.

Was die Bank hier schreibt ist dass sie deine Daten nur weitergeben, wenn diese PSD2-konforme Authentifizierung über den Drittanbieter erfolgt (das wäre dann „deine Genehmingung“). Drittanbieter müssen übrigens bei der BaFin registriert sein. Da kann nicht eben mal jeder Hansdampf Zugriff haben wollen.

3 Like

Du scheinst ja vom Team zu sein:
An anderer Stelle , z.B. hier oder hier wurde das Them schon angesprochen - Laut meinen Infos hat die Solaris Bank bzw ihr da auch nicht so vorgelegt - also gar keine Schnittstelle für Drittanbieter Apps. Zumindest meinte der Support von Finanzguru das.
Ich würde nämlich gerne eine nutzen, aber aktuell habe ich keinen einzigen Service gefunden, der mit Tomorrow kompatibel ist.

Hey,

bis @Frnk antwortet, verlinke ich schon mal folgende Antwort von Leo:

Tomorrow/ Die SolarisBank hat eine Schnittstelle, allerdings nicht auf HBCI-Basis (HBCI wird vorerst nicht kommen),dennoch psd2-konform offen bereitgestellt, leider ist die solarisBank „zu klein“, deshalb hat noch kein TPP eine Verbindung aufgebaut.

Frnk kann da mit Sicherheit etwas genauer werden, solange hast du aber schon mal eine Antwort :slight_smile:.

Lieben Gruß

2 Like

Nö. Bin nicht vom Team, nur ein Tomrrow-Kunde wie jeder andere auch.

Zum Status der APIs von Solarisbank: Hier gibt es eine Statusseite, die darauf hindeutet, dass alle Services laufen: https://status.solarisbank.de

Das sagt nun freilich noch nichts über PSD2-konforme Schnittstellen für Drittanbieter. Aber hier: https://xs2a-portal.solaris-sandbox.de/#/

Im Frühling dieses Jahres nahmen die meisten Banken Testumgebungen ihrer Schnittstellen in Betrieb und stellten Drittanbietern die Dokumentation dafür zur Verfügung. Auf dieser Seite findet man einen weiteten Link mit dem Seitentitel “Solarisbank PSD2 API Status”. http://ndgit-view.s3-website.eu-central-1.amazonaws.com/Solarisbank

Ich würde also mal ganz naiv davon ausgehen, das die Solarisbank-Schnittstellen gemäß der gesetzlichen Anforderung verfügbar sind und laufen.

Outbank bietet bereits eine Integration für Kontist, die ebenfalls Solarisbank als Bankendienstleister nutzen. Ob via PSD2-APIs oder Screenscraping weiß ich leider nicht.

Ergänzung: “xs2a-interface: Operational”

xs2a beduetet “access to account” und ist eine der Kategorien von Drittanbietern, wie sie unter PSD2 beschrieben werden.

1 Like

Alles klar, hört sich ja schonmal gut an.
Weißt du zufällig auch, ob es sich dabei um den Berlin-Griup-Standard handelt?
Den hat Finanzguru empfohlen, wenn tomorrow integriert werden soll.

Dann noch abseits davon - was bedeutet denn dieses Schild neben dem Usernamen?
Ich bin immer davon ausgegangen, dass User damit Mitarbeiter*innen sind - aber ist jetzt nur @inaktiv einer und der Rest der Forummitglieder nur Kunden? Oder ist Leo auch kein Mitarbeiter? Ich bin ein bisschen verwirrt.

Tomorrow-Team-Mitglieder sind unter Tomorrow - Admins ersichtlich.

Das Zeichen neben unseren Namen ist für Moderatoren und Admins.

Moderatoren (wie z.B. @Frnk und ich) versuchen mit „erweiterten Informationen“ der Community zu helfen, allgemeine Hilfestellung zu geben, Tipps für Kunden oder zukünftigen Kunden da zu lassen und das Forum allgemein zu „moderieren“

Offizielle Mitarbeiter von Tomorrow sind:
@inaktiv
@Inas
@jakob
@Michael
@Pavel
@Peter
@ryan
@sasha
@sebmel

Und Leute die hier aufgelistet werden.

Dabei ist @inaktiv Hauptansprechpartner für das Community-Forum und „Brücke“ zwischen Community-Forum und Tomorrow-Team.

3 Like