Zertifikate für PSD2

Was Unternehmen, Banken und FinTechs für den Einsatz von elektronischen Zertifikaten und Siegeln jetzt wissen müssen.

Payment Services Directive

Mit der zweiten Edition der Payment Services Directive, kurz PSD2, regelt die EU den Online-Zahlungsverkehr zwischen Marktteilnehmern innerhalb der EU. Die PSD2 verpflichtet unter anderem Banken mit Geschäftstätigkeit in der EU, Drittanbietern Zugang zu Kundenkonten zu gewähren. Zusätzlich muss bei Zugriff auf das Konto die Zwei-Faktor-Authentisierung (Strong Customer Authentication, SCA) durch den Kontoinhaber eingesetzt werden.
Die Regelungen der PSD2 gelten für Banken sowie für Drittanbieter wie FinTechs und Zahlungsdienstleister, wenn sie für ihren Geschäftszweck Zahlungen auslösen oder Kontodaten einsehen wollen. Hierzu müssen die Banken eine Schnittstelle öffnen (Application Programming Interface, API).
Für ihre Geschäftstätigkeit innerhalb der EU benötigen Drittanbieter eine Lizenz der Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) oder ihrer zuständigen nationalen Aufsichtsbehörde. Der Lizenztyp bestimmt die Zugriffsrechte des Drittanbieters, die dieser im Rahmen seines Geschäftsmodells für den Zugriff auf die Kontodaten über die Bankenschnittstelle benötigt.
Um als Drittanbieter Zugang zu Bankkonten zu erhalten, müssen sich Unternehmen beim automatisierten Zugriff mit einem oder mehreren Zertifikaten identifizieren. Auch Banken weisen sich mittels Zertifikat gegenüber den zugreifenden Zahlungsdienstleistern aus. Das Zertifikat gilt als „Unternehmensausweis“ im elektronischen Geschäftsverkehr. Der Artikel 34 der RTS (EU 2018/389) schreibt die Verwendung von qualifizierten Website-Zertifikaten (QWACs) oder qualifizierten Zertifikaten für elektronische Siegel (QSiegel) vor.
Die nötigen elektronischen Zertifikate werden von einem in der EU gelisteten qualifizierten Trust Service Provider (QTSP), z. B. bei der D-TRUST GmbH, einer Tochter der Bundesdruckerei GmbH, herausgegeben. Die Beantragung erfolgt online. Die Lizenz muss dem Zahlungsdienstleister zuvor durch die BaFin oder seiner nationalen Aufsicht erteilt worden sein. Wenn eine Bank als Drittanbieter agieren will, um ihrerseits auf Konten anderer Banken zuzugreifen, benötigt sie ebenfalls ein QWAC und ggf. ein QSiegel. Eine separate Lizenzierung bei der BaFin oder der zuständigen nationalen Finanzaufsicht ist nicht erforderlich, wenn sie bereits eine Vollbanklizenz besitzt.
Echtzertifikate nach den PSD2-Vorgaben werden bei der D-TRUST GmbH rechtzeitig im Mai 2019 verfügbar sein, so dass Banken die Frist zur Vermeidung der Fallback-Lösung gemäß EU 2018/389 Artikel 33(6) einhalten können. Für den Test der Schnittstelle können Testzertifikate ohne Validierung ab sofort bereitgestellt werden. Testzertifikate mit Validierung sind ab März erhältlich. Ab spätestens 14. März müssen Banken gemäß EU 2018/389 Artikel 30(5) den vorgeschriebenen Testbetrieb mit Testzertifikaten starten. 
Ja, die Beantragung eines qualifizierten Website-Zertifikats erfolgt nach einem definierten Prozess. Für produktive Zertifikate muss ein Drittanbieter erst einen Antrag auf Zulassung als Zahlungsdienstleister bei der BaFin oder seiner zuständigen nationalen Finanzaufsichtsbehörde (National Competent Authority, NCA) stellen. Nach der Erteilung der BaFin-Lizenz kann die Zertifikatsausstellung bei der D-TRUST GmbH erfolgen. Eine Beantragung ist auch bereits vor der Zulassung möglich. CRR-Kreditinstitute und Banken, die auch als Zahlungsdienstleister auftreten wollen, benötigen keine zusätzliche Zulassung und können alle Zertifikatstypen beantragen.
Für Testzertifikate gibt es keine Lizenzverpflichtung durch die BaFin. Die D-TRUST erstellt Testzertifikate ohne weitere Prüfungen.
Es gibt qualifizierte Website-Zertifikate (QWACs), qualifizierte Zertifikate für elektronische Siegel (QSiegel) und Extended-Validation–Zertifikate (EV-Zertifikate). Das QWAC belegt die Identität des zugreifenden Unternehmens und sichert den Kommunikationskanal (Transportschicht). Das Siegel schützt die signierten Daten vor Veränderungen. Es macht nachträgliche Änderungen sichtbar und dokumentiert die Identität des zugreifenden Unternehmens (Anwendungsschicht). Artikel 34 der RTS (EU 2018/389) schreibt Drittanbietern die Verwendung von QWAC oder QSiegel vor. Die Empfehlung der European Banking Authority (EBA) ist, ein QWAC und ein QSiegel einzusetzen. Im Standard NextGenPSD2 der Berlin Group ist ein QWAC verpflichtend vorgesehen. Eine Bank kann sich ihrerseits durch ein QWAC oder EV-Zertifikat ausweisen, auch in diesem Fall empfiehlt die EBA ein QWAC.
Anbieter qualifizierter Zertifikate sind in der EU-Vertrauensliste aufgeführt, dazu müssen sie u. a. den Betrieb bei ihrer nationalen Aufsichtsstelle anmelden und alle 24 Monate eine Konformitätsbewertung durch eine dritte Stelle durchführen lassen. Die EU-Vertrauensliste erlaubt vertrauenswürdige, authentisierte, verschlüsselte Kommunikationsbeziehungen (z. B. zwischen EU-Bürgern und Websites oder zwischen IT-Systemen).
Testzertifikate ohne Validierung sind nicht im Testsystem der D-TRUST hinterlegt. Deswegen können sie zwar zum Test der Schnittstelle eingesetzt werden, eine Statusabfrage mittels OCSP (Online Certificate Status Protocol) ist aber – anders als bei Testzertifikaten mit Validierung – nicht möglich.

Testzertifikate werden formlos per E-Mail an PSD2 [at] bdr.de beantragt. Die Schlüsselerstellung erfolgt bei der D-TRUST. Die Auslieferung von QWAC und QSiegel erfolgt ebenfalls per E-Mail (PKCS#12 mit PIN-Code). 

Die Nutzer der Testzertifikate erhalten von der Bundesdruckerei ein Stammzertifikat, das als vertrauenswürdiges Zertifikat in den Zertifikatsspeicher einzutragen ist – dieses Zertifikat ist nur für das Testsystem zu verwenden.

Das Root-Zertifikat der D-TRUST kann direkt auf der Website der D-TRUST heruntergeladen werden, die Informationen dazu finden Sie in den Certification Practice Statements (CPS). Um die Root-Zertifikate aller eIDAS QTSPs zu erhalten, benötigen Sie zunächst die EU Trusted List aller QTSPs. Dort finden Sie alle Root-Zertifikate.

Die PSD2-Regulierung (EU 2015/2366) unterscheidet verschiedene Rollen bzw. Berechtigungen für Zahlungsdienstleister. Im ETSI-Standard TS 119 495 sind die genannten Abkürzungen definiert. Die gebräuchlichen Rollen sind Kontoinformationsdienst (account information, PSP_AI) und Zahlungsauslösedienst (payment initiation, PSP_PI). Daneben gibt es noch Kontoführung (account servicing, PSP_AS) und Kartenausgabe (issuing cards, PSP_IC). Zahlungsdienstleister können die Zulassung für eine oder mehrere dieser Rollen bei ihrer nationalen Aufsichtsstelle beantragen, erscheinen dann mit diesen Rollen im Register und können Zertifikate mit diesen Rollen ausgestellt bekommen.

Service und Support

In unserem Service Portal finden Sie Hilfe bei technischen Problemen, Informationen über Voraussetzungen und Anwendungsmöglichkeiten unserer Lösungen sowie unseren Dokumentationen und Preislisten. Wir helfen Ihnen weiter.