ab dem 14.09 soll die Zahlungsdiensterichtlinie PSD2 vollumfänglich in Kraft treten. Kurz beschrieben geht es in dieser Richtlinie darum, Drittanbietern den Zugriff auf Girokonten nach Zustimmung des Kunden zu ermöglichen.
Meine Frage bezieht sich darauf wie ihr als Bank den Prozess der Zustimmung gestaltet, wird dies in einer Erneuerung der ABG enden(Die zumeist nicht durchgelesen wird und mit „ja“ durchgewunken wird) oder klärt ihr eure Kunden über diese Änderungen in einer Art und Weise auf das ihnen bewusst werden kann was für eine Tragweite ihre Entscheidung haben kann?
Habe eben die Benachrichtigung über die Änderungen wegen PSD2 erhalten.
Meine Frage dazu, dann funktioniert es ja nicht mehr ein zweites Gerät als Notlösung zu besitzen…
Wie kann man dann im Falle eines Defekt/Verlustes des verknüpften Smartphone auf das Konto zugreifen?
Genügt es dann die App auf einem neuen Gerät zu installieren und es neu zu verknüpfen?
Wenn die Zugangsdaten geklaut werden und derjenige nimmt ein Smartphone installiert darauf die App und verknüpft es, dann wird das Erstgerät gelöscht und das zweite ist Herr über mein Konto???
Wo ist mein Gedankenfehler…
deine Beschreibung wäre in meinen Augen ein total stimmiger Ablauf, sind zwischenzeitlich, genau für den von tomky beschriebenen Ablauf neue Informationen veröffentlicht worden?
Wenn ja hat mir hierzu jemand einen Link?
Wie es absolut nicht funktionieren sollte zeigt mir die Deutsche Bank. Hier wird, wahrscheinlich durch einen “versteckten” Hinweis in der neuen AGB der Zugriff für die Drittanbieter einfach freigeschaltet. Es ist aktuell möglich diese Aktivierung wieder mittels Phototan zu beenden, aber ich wünsche mir dahingehend einfach mehr Transparenz und Menschlichkeit. Ich will kein Objekt sein, ich will subjektiv als Kunde und als Mensch von der Bank der ich mein Geld leihe gesehen werden!
Das ganze Thema “Strong Customer Authentication” hängt ja gerade auch damit zusammen. Du musst Kontozugriffen nicht nur einmal zustimmen, sondern immer wieder aufs Neue mindestens 1× alle 90 Tage. Eine starke Kundenauthentifizierung ist dabei vorgeschrieben.“Einfach Freischalten” von Zugriffen gibt es so nicht.
Leider nein, ich nutze keinen Dienst, der den PSD2-Zugang von Solarisbank/Tomorrow bereits implementiert hätte.
Nur dies: Die Gerätebindung der App erlaubt TAN-freies Anmelden via App. Und würde eine Freigabe eines Drittanbieterzugangs hierüber erlauben, weil damit ein Faktor „Besitz“ für 2-Faktor-Authentifizierung bereitsteht.
Ich kann auf den ersten Blick nicht erkennen, was bei der Deutschen Bank hier problematisch sein könnte?
das Problem der deutschen Bank ist folgendes. Ein Textbaustein aus deinem Link lautet:
Mit der Umsetzung der PSD2 bieten wir Ihnen die Möglichkeit, über Drittanbieter auf Ihre Kontodaten zuzugreifen. Im Service-Bereich des Online-Bankings können Sie künftig unter „Banking über Drittanbieter“ einsehen, welcher Anbieter auf welche Informationen zugreifen darf, erhalten einen Überblick über bereits erfolgte Zugriffe und können diese jederzeit verwalten. Freigaben zum Abruf von Kontoinformationen gelten bis zu 90 Tage und müssen danach von Ihnen erneut erteilt werden. Wichtig: Wir geben Ihre Daten nie ohne Ihre Genehmigung weiter.
Spannend hierbei ist die Aussage Wir geben Ihre Daten nie ohne Ihre Genehmigung weiter.
Die Umsetzung dieser oben genannten Behauptung offenbart die Problematik und ist absolut inakzeptabel für mich!
Ich selbst habe nie die Zustimmung gegeben das ein Zugriff der Drittanbieter gewünscht ist, loggt man sich in sein Konto an findet man folgendes vor:
Dies geschieht ohne Zutun des Inhabers, deshalb zielt meine Anfrage exakt auf die Praxis der TmR-Bank, wie Sie damit umgehen.
Du solltest dich freuen, die Deutsche Bank ist hier restriktiver als gesetzlich gefordert. Denke an die alte Fin/TS-Schnittstelle.
Es liegt in erster Linie in deiner Verantwortung, dass du die Zugangsdaten zu deinem Konto nicht herausgibst, wenn du keinen Zugriff erlauben willst. Und wenn du zum Beispiel einer Multibanking-Software Zugriff erlauben möchtest, dann schreibt der Gesetzgeber nun vor, dass das nicht mehr nur wie bisher mit Benutzerkennung und Passwort sondern zusätzlich stark mittels 2FA (2-Faktor-Authentifizierung) gesichert sein muss. Ungeachtet der prinzipiellen Aktivierung von Drittanbieterzugängen im Onlinebanking ist dein Konto stärker abgesichert als noch vor der Umstellung auf PSD2. Dein Einverständnis zum Kontozugriff gibst du nicht pauschal hier durch die prinzipielle Aktivierung dieses Zugangs sondern erst in dem Moment, wo du dich beim Drittanbieter als zugriffsberechtigt authentifizierst und ihm erlaubst, auf Daten zuzugreifen. Neu ist außerdem, dass das alle 90 Tage erneuert werden muss.
„Zugriffe zulassen“ bedeutet nicht, dass die Türe offen ist. Es heißt, dass es überhaupt eine Türe gibt. Alle Schlüssel hast aber du.
Das ist auch korrekt. Die Zustimmung zur Datennutzung im Rahmen von PSD2 erfolgt nicht unmittelbar gegenüber der Bank sondern auf Seiten des Drittanbieters.
Du gehst auf eine Website irgend eines Drittanbieters. Gibts dort an, er möge auf dein DeuBa-Konto zugreifen. Dann erfolgt dort an dieser Stelle eine SCA (Strong Customer Authentication) mit mindestens 2 Faktoren. Im Rahmen dieser Authentifizierung gibst du dann auch dein Einverständnis zur Nutzung deiner Daten.
Was die Bank hier schreibt ist dass sie deine Daten nur weitergeben, wenn diese PSD2-konforme Authentifizierung über den Drittanbieter erfolgt (das wäre dann „deine Genehmingung“). Drittanbieter müssen übrigens bei der BaFin registriert sein. Da kann nicht eben mal jeder Hansdampf Zugriff haben wollen.
Du scheinst ja vom Team zu sein:
An anderer Stelle , z.B. hier oder hier wurde das Them schon angesprochen - Laut meinen Infos hat die Solaris Bank bzw ihr da auch nicht so vorgelegt - also gar keine Schnittstelle für Drittanbieter Apps. Zumindest meinte der Support von Finanzguru das.
Ich würde nämlich gerne eine nutzen, aber aktuell habe ich keinen einzigen Service gefunden, der mit Tomorrow kompatibel ist.
bis @Frnk antwortet, verlinke ich schon mal folgende Antwort von Leo:
Tomorrow/ Die SolarisBank hat eine Schnittstelle, allerdings nicht auf HBCI-Basis (HBCI wird vorerst nicht kommen),dennoch psd2-konform offen bereitgestellt, leider ist die solarisBank „zu klein“, deshalb hat noch kein TPP eine Verbindung aufgebaut.
Frnk kann da mit Sicherheit etwas genauer werden, solange hast du aber schon mal eine Antwort .
Im Frühling dieses Jahres nahmen die meisten Banken Testumgebungen ihrer Schnittstellen in Betrieb und stellten Drittanbietern die Dokumentation dafür zur Verfügung. Auf dieser Seite findet man einen weiteten Link mit dem Seitentitel „Solarisbank PSD2 API Status“. http://ndgit-view.s3-website.eu-central-1.amazonaws.com/Solarisbank
Ich würde also mal ganz naiv davon ausgehen, das die Solarisbank-Schnittstellen gemäß der gesetzlichen Anforderung verfügbar sind und laufen.
Outbank bietet bereits eine Integration für Kontist, die ebenfalls Solarisbank als Bankendienstleister nutzen. Ob via PSD2-APIs oder Screenscraping weiß ich leider nicht.
Ergänzung: „xs2a-interface: Operational“
xs2a beduetet „access to account“ und ist eine der Kategorien von Drittanbietern, wie sie unter PSD2 beschrieben werden.
Alles klar, hört sich ja schonmal gut an.
Weißt du zufällig auch, ob es sich dabei um den Berlin-Griup-Standard handelt?
Den hat Finanzguru empfohlen, wenn tomorrow integriert werden soll.
Dann noch abseits davon - was bedeutet denn dieses Schild neben dem Usernamen?
Ich bin immer davon ausgegangen, dass User damit Mitarbeiter*innen sind - aber ist jetzt nur @inaktiv einer und der Rest der Forummitglieder nur Kunden? Oder ist Leo auch kein Mitarbeiter? Ich bin ein bisschen verwirrt.
Das Zeichen neben unseren Namen ist für Moderatoren und Admins.
Moderatoren (wie z.B. @Frnk und ich) versuchen mit „erweiterten Informationen“ der Community zu helfen, allgemeine Hilfestellung zu geben, Tipps für Kunden oder zukünftigen Kunden da zu lassen und das Forum allgemein zu „moderieren“
.