PSD2

Einheitliche Standards für die Sicherheit elektronischer Zahlungen

Am 14. September 2019 ist die sogenannte "zweite Stufe" der Umsetzung der "Zweiten EU-Zahlungsdiensterichtlinie (PSD2)" wirksam geworden. Ziel ist die Schaffung einheitlicher Standards für die Sicherheit elektronischer Zahlungen sowie die Verbesserung des Verbraucherschutzes im Europäischen Wirtschaftsraum. Damit werden das OnlineBanking, die VR Banking App sowie das Online-Shopping mit Kreditkarte noch sicherer. Außerdem wird dritten Zahlungsdienstleistern die Möglichkeit gegeben, Ihnen neue Services anzubieten. Verschaffen Sie sich hier einen Überblick über die wesentlichen Neuerungen.

Wesentliche Neuerungen

Das Wichtigste für Sie im Überblick


Höhere Sicherheit:

  • Zum Login ins Online-Banking über unsere Homepage geben Sie künftig alle 90 Tage eine Transaktionsnummer ein. Eine automatische Abmeldung bei Inaktivitiät im Online-Banking erfolgt zukünftig in 5:00 Minuten.
  • Beim Abruf Ihrer Kontoumsätze über das Online-Banking unserer Homepage, werden Sie ebenfalls aufgefordert eine TAN einzugeben, sofern Sie den Abrufzeitraum auf "Alle Umsätze" voreingestellt oder ausgewählt haben.
  • Bei der Nutzung der VR-BankingApp entfällt die zusätzliche Eingabe einer TAN beim Login. Voraussetzung dafür ist, dass Sie in der VR-BankingApp einmalig eine Gerätebindung vorgenommen haben. Dies ist beispielsweise der Fall, wenn Sie bereits KWITT oder die Mobiles Auszahlung am Geldautomaten (VR-mobileCash) nutzen.
  • Für europäische Online-Händler ist die Nutzung des sicheren Bezahlverfahrens seit dem 14. September 2019 verpflichtend, momentan gilt aber noch eine Übergangsfrist. Seit dem 1. Januar 2021 können Sie Ihre Internet-Einkäufe jedoch nur noch per Karte zahlen, wenn Sie für Mastercard® Identity Check™ oder Visa Secure freigeschaltet sind. Registrieren Sie sich jetzt, um weiterhin uneingeschränkt online einkaufen zu können.

 

Mehr Verbraucherschutz und Transparenz:

  • Sie können berechtigte Drittanbieter beauftragen, für Sie Zahlungen auszulösen oder Kontoinformationen von Zahlungsverkehrskonten abzurufen.
  • Im Online-Banking gibt es die neue Funktion "Zugriffsverwaltung" (Banking > Service > Zugriffsverwaltung), mit der Sie Konto­zugriffe von Dritt­diensten ganz bequem verwalten können. Hier sehen Sie, welche Zahlungs­auslöse- oder Konto­informations­dienste in Ihrem Auftrag auf Ihr Konto zugegriffen haben. Selbstverständlich können Sie an dieser Stelle auch bestehende Berechtigungen entziehen.

Darauf sollten Sie achten

 

  • Ihre Banking-Software und die VR-BankingApp müssen auf den neusten Stand gebracht werden.
  • Online-Banking - TAN-Eingabe alle 90 Tage:
    Beim Login zum Online-Banking werden Sie alle 90 Tage aufgefordert zusätzlich einen TAN einzugeben.
  • Online-Banking - Logout:
    Eine automatische Abmeldung bei Inaktivitiät im Online-Banking erfolgt nach 5:00 Minuten.
  • Online-Banking - Umsatzabfrage:
    Beim Abruf Ihrer Kontoumsätze über das Online-Banking unserer Homepage, werden Sie ebenfalls aufgefordert eine TAN einzugeben, sofern Sie den Abrufzeitraum auf "Alle Umsätze" voreingestellt oder ausgewählt haben.
  • VR-BankingApp:
    Sollten Sie die App-Funktionen KWITT oder die mobile Auszahlung am Geldautomaten (VR-mobileCash) NICHT nutzen, nehmen Sie einmalig eine Gerätebindung innerhalb der VR-BankingApp vor und bestätigen diese mit einer TAN.
    Durch die Gerätebindung entfällt die zusätzliche Eingabe einer TAN beim Login.
  • Online-Banking / VR-BankingApp - TAN-Eingabe entfällt bei:
    • Umbuchungen (Zahlungen an sich selbst im selben Bankinstitut)
    • Überweisung von Kleinstbeträgen bis 30,00 Euro (max. 100 Euro pro Tag, danach ist zur Ihrer Sicherheit wieder eine TAN-Eingabe erforderlich). Intelligente Sicherheits­systeme prüfen im Einzelfall, ob eine TAN-Eingabe erforderlich ist.
  • Dritt­dienste können einfach über die Zugriffsverwaltung im Online-Banking (Banking > Service > Zugriffsverwaltung) verwaltet werden: Sie können einsehen, wer von den Berechtigten wann Informationen abgerufen hat und können weitere Konto­zugriffe von Dritt­diensten widerrufen.

Verständlich erklärt: Starke Kundenauthentifizierung mit PSD2

Quelle: Bundesverband der Deutschen Volksbanken Raiffeisenbanken (Stand: August 2019)

Änderungen durch die PSD2

OnlineBanking

Änderung bei Anmeldung

Zukünftig werden Sie mindestens alle 90 Tage beim Login im Online-Banking aufgefordert, sich mit Ihrem VR-NetKey bzw. Ihrer VR-Kennung und Ihrem Kennwort bzw. Ihrer PIN sowie einer TAN zu legitimieren. Bei der Auslösung von Zahlungen sowie dem Abruf von Umsatzinformationen trifft dies ebenso zu. Gegebenenfalls können bankindividuelle Voreinstellungen bzw. Ausnahmen vorliegen. Sie können die von Ihrer Volksbank Beckum-Lippstadt eG getroffenen Einstellungen auch ändern lassen.1

Die PSD2 erlaubt den Banken eine Ausnahmeregelung in Bezug auf die starke Kundenauthentifizierung. In diesem Fall müssen Sie Ihre TAN nur alle 90 Tage eingeben. Wir nutzen diese Ausnahmeregelung. Mitte Dezember 2019 haben Sie beim Login im OnlineBanking erstmals die Aufforderung erhalten, sich mit Ihrem VR-NetKey und Ihrem Kennwort bzw. Ihrer PIN sowie einer TAN anzumelden.

Zugriff auf Ihr Girokonto oder Geschäftskonto über Drittanbieter

Sie können auf Ihr Girokonto oder Geschäftskonto auch mittels Kontoinformationsdiensten, Zahlungsauslösediensten und von Ihnen ausgewählten sonstigen Drittanbietern zugreifen. Ihre Einwilligung vorausgesetzt, dürfen diese für Sie über eine sogenannte "Kontenschnittstelle für Dritte Zahlungsdienstleister" Zahlungen auslösen oder Kontoinformationen von Zahlungsverkehrskonten abrufen, also zum Beispiel von Ihrem Girokonto oder Geschäftskonto. Da diese Drittanbieter nunmehr gesetzlich reguliert und beaufsichtigt werden, dürfen Sie Ihre Authentifizierungselemente wie zum Beispiel Online-PIN und -TAN bei einem von Ihnen ausgewählten Kontoinformationsdienst, Zahlungsauslösedienst oder einem sonstigen Drittanbietern verwenden. Mit der Zugriffsverwaltung im OnlineBanking können Sie sehen, welche Drittanbieter Sie berechtigt haben. Sie können dort auch Zugriffsberechtigungen wieder entziehen. Sofern Sie sonstige Drittanbieter nutzen, empfehlen wir Ihnen, diese sorgfältig auszuwählen.

VR Banking App

Anmeldung bzw. Gerätebindung

Bei der Anmeldung in der VR Banking App entfällt die Eingabe einer TAN, da durch die sogenannte Gerätebindung eine starke Kundenauthentifizierung erreicht wird. Die Gerätebindung erfolgt automatisch. Ihr Gerät wird dabei fest mit der App verknüpft.

Zugriff auf Ihr Girokonto oder Geschäftskonto über Drittanbieter

Sie können auf Ihr Girokonto oder Geschäftskonto auch mittels Kontoinformationsdiensten, Zahlungsauslösediensten und von Ihnen ausgewählten sonstigen Drittanbietern zugreifen. Ihre Einwilligung vorausgesetzt, dürfen diese für Sie über eine sogenannte "Kontenschnittstelle für Dritte Zahlungsdienstleister" Zahlungen auslösen oder Kontoinformationen von Zahlungsverkehrskonten abrufen, also zum Beispiel von Ihrem Girokonto oder Geschäftskonto. Da diese Drittanbieter nunmehr gesetzlich reguliert und beaufsichtigt werden, dürfen Sie Ihre Authentifizierungselemente wie zum Beispiel Online-PIN und -TAN bei einem von Ihnen ausgewählten Kontoinformationsdienst, Zahlungsauslösedienst oder einem sonstigen Drittanbietern verwenden. Mit der Zugriffsverwaltung im OnlineBanking können Sie sehen, welche Drittanbieter Sie berechtigt haben. Sie können dort auch Zugriffsberechtigungen wieder entziehen. Sofern Sie sonstige Drittanbieter nutzen, empfehlen wir Ihnen, diese sorgfältig auszuwählen.

Mastercard® Identity Check™ und Visa Secure

Änderung beim Online-Shopping mit Kreditkarte

Mit Mastercard® Identity Check™ sowie Visa Secure ist das Online-Shopping mit Kreditkarte bereits heute schon einfach und sicher möglich. Für diese beiden Verfahren zur Authentifizierung von Kreditkartenzahlungen gibt es die Lösung via SMS oder Push-Nachricht in der App VR-SecureGO plus. Seit dem 1. Januar 2021 wird Mastercard® Identity Check™ sowie Visa Secure beim Online-Shopping mit Kreditkarte verpflichtend.2

Mithilfe der folgenden Links können Sie sich in wenigen Schritten für Mastercard® Identity Check™ oder Visa Secure registrieren.

Geschäftsbedingungen bzw. Sonderbedingungen

Neue Fassungen der Geschäftsbedingungen und Sonderbedingungen

Mit der PSD2 sind neue gesetzliche Bestimmungen für die Erbringung von Zahlungsdiensten in Kraft getreten. In diesem Zusammenhang gelten auch bei uns neue Fassungen der mit Ihnen vereinbarten Geschäftsbedingungen zum Zahlungsverkehr. Ferner werden auch die Sonderbedingungen für die girocard (Debitkarte), für die VR-ServiceCard (Debitkarte), für das OnlineBanking und für die Datenfernübertragung geändert. Es handelt sich hierbei um eine gesetzlich notwendige Anpassung, die für alle Banken und Sparkassen verpflichtend ist.

Zugriffe von dritten Zahlungsdienstleistern

Drittanbieter als Zahlungsdienstleister

Ein Zahlungsauslösedienst (ZAD oder auch Payment Initiation Service Provider (PISP)) ist ein Dienst, der – Ihre Einwilligung vorausgesetzt – einen Zahlungsauftrag wie zum Beispiel eine Überweisung auf ein bei einem anderen Zahlungsdienstleister geführtes Zahlungskonto auslöst. Die Zahlung wird aber nur ausgeführt, wenn Sie dies zuvor erlaubt und mit einer Zwei-Faktor-Authentifizierung abgeschlossen haben. Diese Zahlungsauslösedienstleister müssen künftig von der nationalen Finanzaufsicht zugelassen und beaufsichtigt werden.

Drittanbieter als Kontoinformationsdienstleister

Ein Kontoinformationsdienst (KID oder auch Account Information Service Provider (AISP)) ist ein Online-Dienst zur Mitteilung konsolidierter Informationen über Zahlungskonten, die Sie entweder bei einem anderen Zahlungsdienstleister bzw. einer anderen Bank oder bei mehreren Zahlungsdienstleistern bzw. mehreren Banken haben. Dieser gibt Ihnen in der Regel anhand Ihrer Kontodaten einen Überblick über Ihre aktuelle finanzielle Situation. Dafür darf er bis zu vier Mal am Tag Informationen von Ihrem Konto wie zum Beispiel Salden oder Umsätze abrufen, ohne dass Sie nochmals aktiv zustimmen. Diese Drittdienstleister müssen sich künftig bei der nationalen Finanzaufsicht registrieren.

Drittanbieter als kartenausgebende Zahlungsdienstleister

Mit Ihrer girocard (Debitkarte) und Kreditkarte verfügen Sie bereits über Zahlungsmittel mit Zugriff auf Ihr Konto. Zukünftig werden Sie auch neue Angebote von Zahlungskarten erhalten, beispielsweise von Transportunternehmen wie der Deutschen Bahn, Fluggesellschaften oder Einzelhandelsketten. Wenn Sie dann mit diesen Zahlungskarten bezahlen, kann der kartenausgebende Zahlungsdienstleister die Verfügbarkeit des Kaufbetrages bei Ihrer Volksbank Beckum-Lippstadt eG anfragen. Der Kaufbetrag wird dabei aber nicht reserviert. Sie müssen dazu jedoch zuvor dem Drittanbieter im OnlineBanking die Erlaubnis erteilen, und zwar unter "Service > Konten und Verträge > Zugriffsverwaltung > Verfügbarkeitsabfragen > Neue Berechtigungen erteilen".

Zugriffsverwaltung im OnlineBanking: Drittanbieter steuern

Grundsätzlich dürfen dritte Zahlungsdienstleister nur mit Ihrer vorherigen Zustimmung auf Ihre Kontodaten zugreifen. Ihre Zustimmung gilt erst als erteilt, wenn Sie die vom Drittanbieter bei Ihrer Bank angeforderten Informationen mit einer starken Kundenauthentifizierung bestätigt haben. Zudem muss der Drittanbieter bei der nationalen Aufsichtsbehörde registriert sein und sich gegenüber Ihrer Volksbank Beckum-Lippstadt eG legitimieren können. Für einen weiteren Kontozugriff benötigt der Drittanbieter nach spätestens 180 Tagen erneut Ihre vorherige Zustimmung mittels starker Kundenauthentifizierung.

Die Zugriffsverwaltung finden Sie im OnlineBanking oben rechts unter Ihrem Namen (angemeldeter Benutzer) im Bereich "Zugriffsverwaltung". Hier können Sie jederzeit kontrollieren, welche Drittanbieter Sie berechtigt und welche Zahlungen Drittanbieter durchgeführt haben. Sie können dort auch Zugriffsberechtigungen wieder entziehen.

Die Zugriffsverwaltung im OnlineBanking ist wie folgt strukturiert:

  • Verfügbarkeitsabfragen,
  • Datenübermittlung,
  • Nutzungsbedingungen,
  • Zahlungsauslösungen und
  • Kontoinformationsabfrage.
Strukturierung der Zugriffsverwaltung

In diesem Bereich im OnlineBanking sehen Sie, welche Berechtigungen Sie dritten Zahlungsdienstleistern sowie Unternehmen der Genossenschaftlichen FinanzGruppe gegeben haben. Sie können hier neue Berechtigungen erteilen oder bestehende entziehen. Wenn dritte Zahlungsdienstleister und Unternehmen der Genossenschaftlichen FinanzGruppe Ihre Berechtigung genutzt haben, ist das hier auch aufgelistet.

Kontoauswahl Hier wählen Sie aus, für welches Zahlungskonto Informationen angezeigt werden sollen. Wenn zu dem Konto keine Berechtigungen erteilt worden sind, wird nur die Möglichkeit "Neue Berechtigung erteilen" angeboten.
Bereich unterhalb der Kontoauswahl Hier sehen Sie, für welche kartenausgebenden Zahlungsdienstleister Berechtigungen erteilt wurden. Mit Klick auf "+" können Sie sich weitere Informationen anzeigen lassen oder Berechtigungen sperren.
Neue Berechtigungen erteilen Unterhalb der Kontoauswahl steht Ihnen die Möglichkeit zur Verfügung, einem dritten Zahlungsdienstleister die Abfrage zu erlauben, ob ein bestimmter Betrag auf Ihrem Konto verfügbar ist. Die Anzahl der Abfragen ist unbeschränkt.

Die 2-Faktor-Authentifizierung

Mit der PSD2 werden die Anforderungen an die Authentifizierung der Kunden bei Zahlungen verschärft. Authentifizierung bedeutet, dass nicht nur Sie als Auftraggeber identifiziert werden, sondern dass auch die inhaltliche Richtigkeit Ihrer Willenserklärung geprüft wird. 2-Faktor-Authentifizierung bzw. starke Kundenauthentifizierung bedeutet, dass Sie sich mit zwei von drei möglichen Faktoren "ausweisen" müssen:

  • "Wissenselemente": etwas, das nur Sie wissen, wie zum Beispiel eine PIN,
  • "Besitzelemente": etwas, das nur Sie besitzen, wie zum Beispiel Ihre girocard (Debitkarte) mit TAN-Generator oder ein Mobiltelefon, an das eine TAN übermittelt wird, oder
  • ein "Seinselement" ("Inhärenz"), also etwas, das nur Sie sind, wie zum Beispiel Ihr Fingerabdruck als biometrisches Merkmal.

 

Die 2-Faktor-Authentifizierung wird in der Regel angewendet bei1:

  • neu: Login zum Online-Banking (alle 90 Tage),
  • neu: Beim Abruf Ihrer Kontoumsätze über das Online-Banking unserer Homepage, werden Sie ebenfalls aufgefordert eine TAN einzugeben, sofern Sie den Abrufzeitrauf auf "Alle Umsätze" voreingestellt oder ausgewählt haben.
  • einer Zahlung (gilt nicht für Lastschriften),
  • einer Aktion, die zu einem Risiko führen kann, wie zum Beispiel eine Adressänderung,
  • Zahlungen mit Ihrer Debit- oder Kreditkarte von Mastercard®/Visa beim Online-Einkauf und im Geschäft,
  • weiteren Produkten der Genossenschaftlichen FinanzGruppe, zum Beispiel giropay.

Die 2-Faktor-Authentifizierung wird in der Regel angewendet bei:

  • Ihrer Anmeldung zum OnlineBanking,
  • einem Zahlungsauftrag,
  • einer anderen Aktion, die ein Risiko birgt, wie zum Beispiel eine Adressänderung,
  • Zahlungen mit Ihrer Debit- oder Kreditkarte von Mastercard® oder Visa beim Online-Einkauf und im Geschäft.

Sicherheit durch die starke Kundenauthentifizierung

Wenn Sie eine Zahlung über das OnlineBanking ausführen, nutzen Sie die mit Ihrer Volksbank Beckum-Lippstadt eG vereinbarten Authentifizierungselemente, wie zum Beispiel Online-PIN und -TAN. So können wir feststellen, dass tatsächlich Sie diese Vorgänge berechtigterweise veranlasst haben. Die PSD2 erkennt diese Authentifizierungsverfahren an und regelt diese nunmehr gesetzlich. In der Regel wird bei jeder Transaktion eine starke Kundenauthentifizierung erfolgen. Authentifizierungselemente aus den Kategorien Wissen, Besitz und Sein müssen eingesetzt werden, beispielsweise eine PIN als Wissenselement oder ein Mobiltelefon als Besitzelement, an das eine TAN übermittelt wird. Wie schon bisher bei einer Zahlung über das OnlineBanking müssen Sie beim Zugriff auf Kontoinformationen in der Regel zwei Authentifizierungselemente einsetzen: Online-PIN und -TAN. Bei Kreditkartenzahlungen im Internet sind mit der PSD2 die sicheren Bezahlverfahren Mastercard® Identity Check™ oder Visa Secure verpflichtend.

Die Absicherung mit zwei Faktoren ist eventuell nicht nötig, wenn:

Gemäß PSD2 besteht die Möglichkeit, in bestimmten Fällen den Einsatz nur eines Authentifizierungselements anzufordern. Die zweifache Absicherung durch eine starke Kundenauthentifizierung ist nicht nötig, wenn:

  • Sie Zahlungen an sich selbst im selben Bankinstitut vornehmen3,
  • zum Beispiel mit Kwitt Kleinstbeträge bis 30 Euro (max. 100 Euro pro Tag, danach ist zur Ihrer Sicherheit wieder eine TAN-Eingabe erforderlich) elektronisch bezahlt werden3,
  • Zahlungen an unbeaufsichtigten Terminals vorgenommen werden,
  • es um kontaktlose Kleinbetragszahlungen geht.

Sicherheit von Zahlungen im Internet wird weiter erhöht

Wir legen großen Wert darauf, dass Ihr OnlineBanking, Ihr Banking mit der VR Banking App sowie Kartenzahlungen auf höchstem Sicherheitsniveau erfolgen. Die von uns angebotenen TAN-Verfahren erfüllen bereits heute die aktuellen Sicherheitsanforderungen.

Zudem werden die durch Sie beauftragten Überweisungen mittels eines Sicherheitssystems, eines sogenannten Fraud-Detection-System bewertet und geprüft. Dadurch können beispielsweise Abweichungen und Unstimmigkeiten festgestellt werden. Sollte hierbei der Verdacht eines Betruges aufkommen, werden weitere Prüfungen durch Ihre Volksbank Beckum-Lippstadt eG eingeleitet. Gegebenenfalls kann es dann zur direkten Ablehnung einer betrugsverdächtigen Überweisung kommen.

Häufige Fragen zu PSD2

Allgemeines & Online-Banking

Was bedeutet PSD2?

Am 13. Januar 2018 sind aufgrund europäischer Vorgaben mit der "Payment Services Directive2" (PSD2) bzw. dem "Gesetz zur Umsetzung der zweiten Zahlungsdiensterichtlinie" neue gesetzliche Bestimmungen für die Erbringung von Zahlungsdiensten in Kraft getreten. Kontoführende Zahlungsdienstleister, zu denen auch die Volksbanken und Raiffeisenbanken zählen, müssen seit dem 14. September 2019 Drittanbietern einen Zugang zu den Konten ihrer Kunden zur Verfügung stellen – vorausgesetzt, die Kunden haben ihnen dafür eine Erlaubnis erteilt. Zuvor waren die Daten der Bankkunden durch das Bankgeheimnis grundsätzlich geschützt. Jetzt kann der Kunde aber im Sinne seiner eigenen Daten-Souveränität selbst entscheiden, ob er die Daten bzw. seine PIN an Drittdienste weitergeben möchte. Ihre Erlaubnis vorausgesetzt, erfolgt dann der Zugriff dieser Drittdienste über eine technische Schnittstelle Ihrer Volksbank Beckum-Lippstadt eG. Mit dieser Schnittstelle werden natürlich die hohen Sicherheitsstandards weiterhin gewahrt.

Was passiert, wenn ich kein TAN-Verfahren nutzt?

Da zukünftig für den Login oder die Herstellung der Gerätebindung eine TAN notwendig ist, können Sie sich ohne TAN-Verfahren nicht mehr im Online-Banking anmelden. In diesem Fall, sprechen Sie uns an, so dass wir Ihnen ein gültiges TAN-Verfahren zur Verfügung stellen können.

Bisher wurde der Kunde nach 15 Minuten Inaktivität im eBanking automatisch ausgeloggt. Bleibt das so?

Nein, es erfolgt der automatische Logout bereits nach 5 Minuten Inaktivität.

Kann ein Drittanbieter, also zum Beispiel ein Zahlungsauslösedienst oder ein Kontoinformationsdienst, ohne meine Zustimmung auf meine Konten zugreifen?

Nein, ein Drittanbieter kann grundsätzlich nur mit Ihrer vorherigen Zustimmung auf Ihre Kontodaten zugreifen. In unserem OnlineBanking steht Ihnen eine entsprechende Zugriffsverwaltung zur Verfügung, mit der Sie beispielsweise auch Drittanbietern Zugriffsberechtigungen wieder entziehen können.

Kann ich die Einstellungen meiner Bank zur starken Kundenauthentifizierung selbst ändern?

Sie können Ihre Volksbank Beckum-Lippstadt eG damit beauftragen, die von ihr für alle Kunden eingerichteten Ausnahmen von der starken Kundenauthentifizierung individuell für Sie zurückzunehmen. D. h. die Sicherheitsanforderungen werden damit verschärft. Beispiel: Bietet Ihre Volksbank Beckum-Lippstadt eG die TAN-lose Ausführung einer Kleinbetragszahlung im OnlineBanking an, so können Sie diese nur zurücknehmen lassen. Sie müssen dann bei jeder Zahlung eine TAN eingeben. Bitte nehmen Sie zur Änderung Kontakt mit Ihrer Bank auf.

Warum muss ich beim Login im OnlineBanking seit dem 14. September 2019 nicht zusätzlich eine TAN eingeben?

Die PSD2 erlaubt der Bank, Ausnahmenregelungen von der starken Kundenauthentifizierung zuzulassen. In diesen Fällen müssen Sie die TAN zur starken Kundenauthentifizierung nur alle 90 Tage eingeben. Ihre Volksbank Beckum-Lippstadt eG nutzt diese Ausnahmeregelung. Sie wurden das erst Mal Mitte Dezember 2019 beim Login im OnlineBanking dazu aufgefordert, sich mit Ihrem VR-NetKey und Ihrem Kennwort bzw. Ihrer PIN sowie einer TAN zu legitimieren.

Warum sehe ich in der Zugriffsverwaltung im OnlineBanking nicht, welche Drittanbieter ich berechtigt habe, Zahlungen auszulösen oder Kontoinformationen von Zahlungsverkehrskonten abzurufen?

Drittanbieter nutzen eine sogenannte Schnittstelle, um auf Ihr Konto zuzugreifen. Aktuell nutzen viele dafür die technische Lösung FinTS oder Web-Banking. Beide Lösungen sind übergangsweise erlaubt, dürfen aber mittelfristig nicht mehr verwendet werden. Sie werden durch eine neue technische Lösung mit dem Namen XS2A ersetzt. Das hat die deutsche Bankenaufsicht so festgelegt. Die Zugriffsverwaltung im OnlineBanking ist bereits auf XS2A ausgerichtet. Wenn ein Drittanbieter also XS2A nutzt, sehen Sie dessen Zugriffe auf Ihr Konto auch in der Zugriffsverwaltung. Wenn ein Drittanbieter FinTS oder Web-Banking verwendet, sehen Sie dessen Zugriffe nicht in der Zugriffsverwaltung.

Welche Anpassungen erfolgen noch im OnlineBanking aufgrund der PSD2?

Gemäß PSD2 darf die maximale Zeitspanne ohne Aktivität (Session-Timeout) im OnlineBanking nicht mehr als fünf Minuten betragen. Wir haben diese Vorgabe umgesetzt. Bitte beachten Sie, dass zur Verlängerung der Session eine Bewegung der Mouse oder Ähnliches nicht ausreicht. Es ist eine Transaktion erforderlich, die den Online-Banking-Server anspricht. Dabei handelt es sich beispielsweise um den Abruf von Umsatzdaten oder den Aufruf der TAN-Verwaltung bzw. der Zugriffsverwaltung.

Was ist bei der Zugriffsverwaltung im Online-Banking zu beachten?

Berechtigungen die Sie vergeben, müssen Sie mit einer TAN bestätigt. Entziehen Sie eine Berechtigung, ist keine TAN-Eingabe erforderlich.

Von Ihnen vergebene Berechtigungen können von Ihnen auch umgehend wieder gelöscht werden.

Kann ein Drittanbieter, also zum Beispiel ein Zahlungsauslösedienst oder ein Kontoinformationsdienst, ohne meine Zustimmung auf meine Konten zugreifen?

Nein, ein Drittanbieter kann grundsätzlich nur mit Ihrer vorherigen Zustimmung auf Ihre Kontodaten zugreifen. In unserem Online-Banking steht Ihnen eine entsprechende Zugriffsverwaltung zur Verfügung, mit der Sie beispielsweise auch Drittanbietern Zugriffsberechtigungen wieder entziehen können.

VR-BankingApp

Was ist die Gerätebindung?

Bei der Gerätebindung verknüpft Sie Ihre VR-BankingApp eindeutig mit Ihrem VR-NetKey. Durch diese Gerätebindung erhalten Sie den Faktor „Besitz“.

Habe ich bereits eine Gerätebindung?

Wenn Sie die Funktion KWITT und/oder VR-mobileCash (mobile Auszahlung am Geldautomaten) verwenden, haben Sie die Gerätebindung bereits durchgeführt. In diesem Fall müssen Sie nichts mehr tun.

Wie wird die Gerätebindung hergestellt?

Nach dem Login in der App erhalten Sie einen entsprechenden Hinweis und Sie können die Gerätebindung direkt durchführen. Alternativ können Sie die Gerätebindung über die "Einstellungen" (Einstellungen > Gerät registrieren) in der VR-BankingApp starten.

Um die Gerätebindung herzustellen, benötigen Sie eine TAN. Hierbei sind alle TAN-Verfahren möglich (auch mobileTAN).

Woran erkennt ich, ob die Gerätebindung funktioniert hat?

Wenn die App registriert ist, erscheint die App-ID ganz unten im Impressum der VR-BankingApp. Zudem ist in den Einstellungen der Menüpunkt „Gerät registrieren“ nicht mehr verfügbar.

Welchen Vorteil hat die Gerätebindung?

Die TAN-Eingabe beim Login in die VR-BankingApp erübrigt sich. Gleichzeitig speichert das System diesen Login als Anmeldung mit dem zweiten Faktor „Besitz“ am VR-NetKey.

Diese Speicherung hat auch Auswirkung auf die Anmeldung im Online-Banking über unsere Homepage. Denn in diesem Fall gilt für die 90-Tage-Regel nicht der letzte Login im Online-Banking, sondern der letzte Login in der VR-BankingApp.

Was passiert mit der Gerätebindung, wenn ich ein neues Smartphone habe?

In diesem Fall müssen Sie die Gerätebindung erneut herstellen. Aktuell ist ein Gerätewechsel mit Datenübernahme nicht möglich.

Wie kann ich die Gerätebindung wieder auflösen?

In den Einstellungen gibt es dafür den Menüpunkt „Funktionen zurücksetzen“.

Was passiert, wenn ich kein TAN-Verfahren nutzt?

Da zukünftig für den Login oder die Herstellung der Gerätebindung eine TAN notwendig ist, können Sie sich ohne TAN-Verfahren nicht mehr im Online-Banking anmelden. In diesem Fall, sprechen Sie uns an, so dass wir Ihnen ein gültiges TAN-Verfahren zur Verfügung stellen können.

MobileTAN und VR-BankingApp. Funktioniert hier die Geräteregistrierung und kann ich die VR-BankingApp weiterhin zur Umsatzabfrage nutzen?

Ab dem Update auf die Version 19.15 hat der Kunde die Möglichkeit, die mobileTAN als Code für die Herstellung der Gerätebindung und den Login in die VR-BankingApp zu verwenden.
Das mobileTAN-Verfahren funktioniert für die VR-BankingApp ausschließlich für den Login und die Umsatzabfrage. Transaktionen können weiterhin aus Sicherheitsgründen nicht mit einer mobileTAN abgeschlossen werden.

  1. In Ausnahmefällen muss die TAN im Sinne einer sogenannten starken Kundenauthentifizierung nur alle 90 Tage eingegeben werden, zum Beispiel bei der Anmeldung. Sprechen Sie uns an und wir schauen gemeinsam, ob eine Ausnahme möglich ist.
  2. Bei allen Volksbanken Raiffeisenbanken, die diesen Service anbieten.
  3. Als Ausnahme von der Pflicht gelten zum Beispiel als risikoarm eingestufte Kleinbetragstransaktionen sowie wiederkehrende Zahlungen mit gleicher Betragshöhe an denselben Empfänger, dies jedoch erst nach erfolgreicher Registrierung der Kreditkarte für Mastercard® Identity Check™ bzw. Verified by Visa.