Zertifikate für PSD2

Was Unternehmen, Banken und FinTechs für den Einsatz von elektronischen Zertifikaten und Siegeln jetzt wissen müssen.

Payment Services Directive

Mit der zweiten Edition der Payment Services Directive, kurz PSD2, regelt die EU den Online-Zahlungsverkehr zwischen Marktteilnehmern innerhalb der EU. Die PSD2 verpflichtet unter anderem Banken mit Geschäftstätigkeit in der EU, Drittanbietern Zugang zu Kundenkonten zu gewähren. Zusätzlich muss bei Zugriff auf das Konto durch den Kontoinhaber die Zwei-Faktor-Authentisierung (Strong Customer Authentication, SCA) eingesetzt werden.

Die Regelungen der PSD2 gelten für Banken sowie für Drittanbieter wie FinTechs und Zahlungsdienstleister, wenn sie für ihren Geschäftszweck auf Konten oder Kontoinformationen zugreifen oder Kontodaten einsehen wollen. Hierzu werden die Banken eine Schnittstelle öffnen (Application Programming Interface, API).

Für ihre Geschäftstätigkeit innerhalb der EU benötigen Drittanbieter eine Lizenz der Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) oder vergleichbarer europäischer Aufsichtsbehörden. Die Berechtigungen durch die Lizenz richten sich nach den Zugriffsrechten des Drittanbieters, die dieser im Rahmen seines Geschäftsmodells für den Zugriff auf die Kontodaten über die Bankenschnittstelle benötigt.

Um als Drittanbieter Zugang zu Bankkonten zu erhalten, müssen sich Unternehmen beim automatisierten Zugriff mit einem oder mehreren Zertifikaten identifizieren. Das Zertifikat gilt als „Unternehmensausweis“ im elektronischen Geschäftsverkehr. Der Artikel 34 der RTS on SCA schreibt die Verwendung von qualifizierten Website-Zertifikaten (QWACs) oder qualifizierten elektronischen Siegel-Zertifikaten (QSiegel) vor.

Ein elektronisches Zertifikat ist wie ein elektronischer Ausweis, mit dem sich der Drittanbieter, beispielsweise ein FinTech-Unternehmen, gegenüber einer Bank als Lizenzinhaber ausweist. Die Bank stellt dem Drittanbieter für den Zugriff eine Kontoschnittstelle zur Verfügung.

Die nötigen elektronischen Zertifikate bekommen Unternehmen bei einem in der EU gelisteten Trust-Service-Provider, z. B. bei der D-TRUST GmbH, einer Tochter der Bundesdruckerei GmbH. Die Beantragung erfolgt online. Die BaFin-Lizenz muss dem Unternehmen zuvor erteilt worden sein.

Echtzertifikate nach den PSD2-Vorgaben werden bei der D-TRUST GmbH ab dem Sommer 2019 rechtzeitig verfügbar sein, so dass Banken die Frist zur Vermeidung der Fallback-Lösung gemäß EU 2018/389 Artikel 30(4) einhalten können. Für den Test der Schnittstelle können Testzertifikate ohne Validierung ab sofort bereitgestellt werden. Testzertifikate mit Validierung werden ab März erhältlich sein.

Ja, die Beantragung eines qualifizierten Website-Zertifikats erfolgt nach einem definierten Prozess. Für produktive Zertifikate muss ein Unternehmen erst einen Antrag bei der BaFin stellen. Nach der Erteilung der BaFin-Lizenz kann ein Zertifikatsantrag bei der D-TRUST GmbH erfolgen. 

Für Testzertifikate gibt es keine Lizenzverpflichtung durch die BaFin. Ein Antrag muss daher nicht gestellt werden.

Es gibt qualifizierte Website-Zertifikate (QWACs), qualifizierte elektronische Siegel-Zertifikate (QSiegel) und Extended-Validation (EV) -Zertifikate. Artikel 34 der RTS on SCA schreibt Drittanbietern die Verwendung von QWAC oder QSiegel vor. Eine Bank kann sich ihrerseits durch QWAC oder EV-Zertifikat ausweisen.

Anbieter qualifizierter Zertifikate sind in der EU-Vertrauensliste aufgeführt. Die EU-Vertrauensliste schafft vertrauenswürdige, authentisierte, verschlüsselte Kommunikationsbeziehungen (z. B. zwischen EU-Bürgern und Websites oder zwischen IT-Systemen).  Die qualifizierte Website-Authentifizierung ermöglicht die sichere Identifizierung von Websites auf Basis von qualifizierten Zertifikaten. Diese Technologie basiert auf SSL/TLS und wird weltweit angewendet. Die Vertrauenswürdigkeit der zugrunde liegenden Zertifikate wird durch die EU-Vertrauensliste belegt. Hier liegt der Unterschied zu reinen SSL- /TLS-Zertifikaten. Ihre Vertrauenswürdigkeit wird nur durch die Browser- bzw. Betriebssystemhersteller bestimmt. Zur Identifikation der Zahlungsdrittdienstleister ist die Verwendung von QWACs oder QSiegeln vorgeschrieben. Im Falle eines Missbrauchs liegt dem Zahlungsinstitut damit für den Haftungsfall eine sichere elektronische Identität der Geschäftspartner vor. QWACs sind damit eine verlässliche Quelle für handelnde Identitäten und in der Kommunikation zwischen Servern. Wenn sich Maschinen verlässlich gegenüber Maschinen ausweisen sollen, werden sie zu einem wichtigen Infrastrukturelement.

Ein qualifiziertes elektronisches Siegel (QSiegel) beruht auf einem qualifizierten Zertifikat. Unterschiede gibt es in der Funktionsweise. Das Siegel schützt die signierten Daten vor Veränderungen. Es macht nachträgliche Änderungen sichtbar und liefert die Identität des zugreifenden Unternehmens. Das QWAC belegt die Identität des zugreifenden Unternehmens und sichert den Kommunikationskanal (Schutz sensibler Daten nach Datenschutz-Grundverordnung). 

Service und Support

In unserem Service Portal finden Sie Hilfe bei technischen Problemen, Informationen über Voraussetzungen und Anwendungsmöglichkeiten unserer Lösungen sowie unseren Dokumentationen und Preislisten. Wir helfen Ihnen weiter.

Lesen Sie mehr