Tommorrow und der Umgang mit PSD2

Hi @vielleicht,

Gute Frage! Wir klären den genauen Ablauf noch mit Solaris und werden euch rechtzeitig aufklären.

1 Like

Hi Leo,
in euren letzten Rundmail(12.07) Betreff " Aufgepasst: Wir änderung unsere AGB" wird der von mir angemerkte Vorgang nun auch erwähnt.

Der Satz in der Mail lautet “Nur wenn Ihr diesem zustimmt versteht sich.”

Gibt es zu meiner Frage bezĂĽglich der Zustimmung neue Informationen?

Viele GrĂĽĂźe
M.

1 Like

Hallo @vielleicht,

ich vermute deine Zustimmung gibst du in dem Moment, in dem du den Zugang fĂĽr den Drittanbieter mit einer TAN freigibst.

Viele GrĂĽĂźe
Tomky

1 Like

Hi @vielleicht

Wir werden auf jeden Fall euch rechtzeitig so transparent wie möglich wissen lassen ob und was sich genau ändert.

Habe eben die Benachrichtigung ĂĽber die Ă„nderungen wegen PSD2 erhalten.
Meine Frage dazu, dann funktioniert es ja nicht mehr ein zweites Gerät als Notlösung zu besitzen…
Wie kann man dann im Falle eines Defekt/Verlustes des verknĂĽpften Smartphone auf das Konto zugreifen?
Genügt es dann die App auf einem neuen Gerät zu installieren und es neu zu verknüpfen?
Wenn die Zugangsdaten geklaut werden und derjenige nimmt ein Smartphone installiert darauf die App und verknüpft es, dann wird das Erstgerät gelöscht und das zweite ist Herr über mein Konto???
Wo ist mein Gedankenfehler…

GruĂź
Joachim

1 Like

Das ist in der FAQ erklärt: https://support.tomorrow.one/de/support/solutions/folders/15000008648

1 Like

Danke passt
Habe ich leider nicht selbst gefunden.

Hi tomky,

deine Beschreibung wäre in meinen Augen ein total stimmiger Ablauf, sind zwischenzeitlich, genau für den von tomky beschriebenen Ablauf neue Informationen veröffentlicht worden?
Wenn ja hat mir hierzu jemand einen Link?

Wie es absolut nicht funktionieren sollte zeigt mir die Deutsche Bank. Hier wird, wahrscheinlich durch einen “versteckten” Hinweis in der neuen AGB der Zugriff für die Drittanbieter einfach freigeschaltet. Es ist aktuell möglich diese Aktivierung wieder mittels Phototan zu beenden, aber ich wünsche mir dahingehend einfach mehr Transparenz und Menschlichkeit. Ich will kein Objekt sein, ich will subjektiv als Kunde und als Mensch von der Bank der ich mein Geld leihe gesehen werden!

1 Like

Das ganze Thema “Strong Customer Authentication” hängt ja gerade auch damit zusammen. Du musst Kontozugriffen nicht nur einmal zustimmen, sondern immer wieder aufs Neue mindestens 1× alle 90 Tage. Eine starke Kundenauthentifizierung ist dabei vorgeschrieben.“Einfach Freischalten” von Zugriffen gibt es so nicht.

Danke fĂĽr deine Antwort Frnk, kannst du mir im Detail Beschreiben wie der Vorgang des Kontozugriffes in der Praxis bei der TmR Bank von Statten geht?

Wie ich bereits beschriebe habe läuft es bei der deutschen Bank absolut inakzeptabel ab.

1 Like

Leider nein, ich nutze keinen Dienst, der den PSD2-Zugang von Solarisbank/Tomorrow bereits implementiert hätte.

Nur dies: Die Gerätebindung der App erlaubt TAN-freies Anmelden via App. Und würde eine Freigabe eines Drittanbieterzugangs hierüber erlauben, weil damit ein Faktor “Besitz” für 2-Faktor-Authentifizierung bereitsteht.

Ich kann auf den ersten Blick nicht erkennen, was bei der Deutschen Bank hier problematisch sein könnte?

Hi Frnk,

das Problem der deutschen Bank ist folgendes. Ein Textbaustein aus deinem Link lautet:

Mit der Umsetzung der PSD2 bieten wir Ihnen die Möglichkeit, über Drittanbieter auf Ihre Kontodaten zuzugreifen. Im Service-Bereich des Online-Bankings können Sie künftig unter „Banking über Drittanbieter“ einsehen, welcher Anbieter auf welche Informationen zugreifen darf, erhalten einen Überblick über bereits erfolgte Zugriffe und können diese jederzeit verwalten. Freigaben zum Abruf von Kontoinformationen gelten bis zu 90 Tage und müssen danach von Ihnen erneut erteilt werden. Wichtig: Wir geben Ihre Daten nie ohne Ihre Genehmigung weiter.

Spannend hierbei ist die Aussage Wir geben Ihre Daten nie ohne Ihre Genehmigung weiter.

Die Umsetzung dieser oben genannten Behauptung offenbart die Problematik und ist absolut inakzeptabel fĂĽr mich!

Ich selbst habe nie die Zustimmung gegeben das ein Zugriff der Drittanbieter gewĂĽnscht ist, loggt man sich in sein Konto an findet man folgendes vor:

4

Dies geschieht ohne Zutun des Inhabers, deshalb zielt meine Anfrage exakt auf die Praxis der TmR-Bank, wie Sie damit umgehen.

Herzliche GrĂĽĂźe
M.

1 Like

Du solltest dich freuen, die Deutsche Bank ist hier restriktiver als gesetzlich gefordert. Denke an die alte Fin/TS-Schnittstelle.

Es liegt in erster Linie in deiner Verantwortung, dass du die Zugangsdaten zu deinem Konto nicht herausgibst, wenn du keinen Zugriff erlauben willst. Und wenn du zum Beispiel einer Multibanking-Software Zugriff erlauben möchtest, dann schreibt der Gesetzgeber nun vor, dass das nicht mehr nur wie bisher mit Benutzerkennung und Passwort sondern zusätzlich stark mittels 2FA (2-Faktor-Authentifizierung) gesichert sein muss. Ungeachtet der prinzipiellen Aktivierung von Drittanbieterzugängen im Onlinebanking ist dein Konto stärker abgesichert als noch vor der Umstellung auf PSD2. Dein Einverständnis zum Kontozugriff gibst du nicht pauschal hier durch die prinzipielle Aktivierung dieses Zugangs sondern erst in dem Moment, wo du dich beim Drittanbieter als zugriffsberechtigt authentifizierst und ihm erlaubst, auf Daten zuzugreifen. Neu ist außerdem, dass das alle 90 Tage erneuert werden muss.

„Zugriffe zulassen“ bedeutet nicht, dass die Türe offen ist. Es heißt, dass es überhaupt eine Türe gibt. Alle Schlüssel hast aber du.

2 Like

Das ist auch korrekt. Die Zustimmung zur Datennutzung im Rahmen von PSD2 erfolgt nicht unmittelbar gegenĂĽber der Bank sondern auf Seiten des Drittanbieters.

Du gehst auf eine Website irgend eines Drittanbieters. Gibts dort an, er möge auf dein DeuBa-Konto zugreifen. Dann erfolgt dort an dieser Stelle eine SCA (Strong Customer Authentication) mit mindestens 2 Faktoren. Im Rahmen dieser Authentifizierung gibst du dann auch dein Einverständnis zur Nutzung deiner Daten.

Was die Bank hier schreibt ist dass sie deine Daten nur weitergeben, wenn diese PSD2-konforme Authentifizierung über den Drittanbieter erfolgt (das wäre dann „deine Genehmingung“). Drittanbieter müssen übrigens bei der BaFin registriert sein. Da kann nicht eben mal jeder Hansdampf Zugriff haben wollen.

3 Like

Du scheinst ja vom Team zu sein:
An anderer Stelle , z.B. hier oder hier wurde das Them schon angesprochen - Laut meinen Infos hat die Solaris Bank bzw ihr da auch nicht so vorgelegt - also gar keine Schnittstelle fĂĽr Drittanbieter Apps. Zumindest meinte der Support von Finanzguru das.
Ich würde nämlich gerne eine nutzen, aber aktuell habe ich keinen einzigen Service gefunden, der mit Tomorrow kompatibel ist.

Hey,

bis @Frnk antwortet, verlinke ich schon mal folgende Antwort von Leo:

Tomorrow/ Die SolarisBank hat eine Schnittstelle, allerdings nicht auf HBCI-Basis (HBCI wird vorerst nicht kommen),dennoch psd2-konform offen bereitgestellt, leider ist die solarisBank „zu klein“, deshalb hat noch kein TPP eine Verbindung aufgebaut.

Frnk kann da mit Sicherheit etwas genauer werden, solange hast du aber schon mal eine Antwort :slight_smile:.

Lieben GruĂź

2 Like

Nö. Bin nicht vom Team, nur ein Tomrrow-Kunde wie jeder andere auch.

Zum Status der APIs von Solarisbank: Hier gibt es eine Statusseite, die darauf hindeutet, dass alle Services laufen: https://status.solarisbank.de

Das sagt nun freilich noch nichts ĂĽber PSD2-konforme Schnittstellen fĂĽr Drittanbieter. Aber hier: https://xs2a-portal.solaris-sandbox.de/#/

Im Frühling dieses Jahres nahmen die meisten Banken Testumgebungen ihrer Schnittstellen in Betrieb und stellten Drittanbietern die Dokumentation dafür zur Verfügung. Auf dieser Seite findet man einen weiteten Link mit dem Seitentitel “Solarisbank PSD2 API Status”. http://ndgit-view.s3-website.eu-central-1.amazonaws.com/Solarisbank

Ich würde also mal ganz naiv davon ausgehen, das die Solarisbank-Schnittstellen gemäß der gesetzlichen Anforderung verfügbar sind und laufen.

Outbank bietet bereits eine Integration fĂĽr Kontist, die ebenfalls Solarisbank als Bankendienstleister nutzen. Ob via PSD2-APIs oder Screenscraping weiĂź ich leider nicht.

Ergänzung: “xs2a-interface: Operational”

xs2a beduetet “access to account” und ist eine der Kategorien von Drittanbietern, wie sie unter PSD2 beschrieben werden.

1 Like

Alles klar, hört sich ja schonmal gut an.
Weißt du zufällig auch, ob es sich dabei um den Berlin-Griup-Standard handelt?
Den hat Finanzguru empfohlen, wenn tomorrow integriert werden soll.

Dann noch abseits davon - was bedeutet denn dieses Schild neben dem Usernamen?
Ich bin immer davon ausgegangen, dass User damit Mitarbeiter*innen sind - aber ist jetzt nur @Leo einer und der Rest der Forummitglieder nur Kunden? Oder ist Leo auch kein Mitarbeiter? Ich bin ein bisschen verwirrt.

Tomorrow-Team-Mitglieder sind unter Tomorrow - Admins ersichtlich.

Das Zeichen neben unseren Namen ist fĂĽr Moderatoren und Admins.

Moderatoren (wie z.B. @Frnk und ich) versuchen mit „erweiterten Informationen“ der Community zu helfen, allgemeine Hilfestellung zu geben, Tipps für Kunden oder zukünftigen Kunden da zu lassen und das Forum allgemein zu „moderieren“

Offizielle Mitarbeiter von Tomorrow sind:
@Leo
@Inas
@jakob
@Michael
@Pavel
@Peter
@ryan
@sasha
@sebmel

Und Leute die hier aufgelistet werden.

Dabei ist @Leo Hauptansprechpartner für das Community-Forum und „Brücke“ zwischen Community-Forum und Tomorrow-Team.

3 Like

Also ehrlich, diese Schlafmützen von Finanzguru sollten eigentlich keine Probleme haben, die öffentliche Website der Solarisbank zum Thema zu finden. Ich hab’s auch geschafft, hat ungefähr eine Minute gedauert. Der Berlin-Group-Standard ist da bereits in den ersten Sätzen erwähnt …

Eigentlich traurig, dass man als Kunde denen sagen muss, dass sie halt einfach mal die Anleitung lesen sollen.

2 Like