Als „Dritte“ bezeichnet man Nicht-Banken, die Zahlungsauslöse- und Kontoinformationsdienste anbieten. Dazu benötigen sie Ihre Zustimmung zum Zugang zu Ihrem Bankkonto. Sie stehen dabei zwischen Ihnen und Ihrer Bank - als Dritte. Ein Drittdienstleister kann ein FinTech-, Telekommunikations- oder Großhandelsunternehmen sein. Diese müssen sich zunächst als Zahlungsauslösedienstleister oder Kontoinformationsdienstleister etablieren und die entsprechende Genehmigung der Aufsichtsbehörden einholen bzw. sich dort registrieren. Auch Banken und Sparkassen dürfen Zahlungsauslöse- und Kontoinformationsdienste im Rahmen ihrer Banklizenz anbieten.

Kauft ein Kunde im E-Commerce ein, so kann er für die Zahlungsabwicklung einen auf der Homepage des Verkäufers angebotenen Zahlungsauslösedienstleister nutzen. Dieser reicht für den Kunden den Überweisungsauftrag bei der Bank ein, wenn der Kunde dem vorher zugestimmt hat und sein Konto am Online-Banking seiner Bank teilnimmt.

Kontoinformationsdienstleister rufen Kontoinformationen wie Umsätze, Salden und Vormerkposten bei der kontoführenden Bank oder Sparkasse ab und bereiten diese für den Kunden auf. Voraussetzung ist, dass das Kundenkonto am Online-Banking seiner Bank teilnimmt und der Kunde seine Zustimmung erteilt hat. Dies ist insbesondere für Kunden interessant, die Konten bei mehreren Banken haben und sich damit einen besseren Überblick über ihre Kontenlage verschaffen wollen.

Drittdienstleister unterliegen der Aufsicht. So benötigen Zahlungsauslösedienstleister für ihre Tätigkeit eine Zulassung von der nationalen Aufsichtsbehörde. Das ist in Deutschland die Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin). Kontoinformationsdienstleister müssen sich bei der Aufsicht registrieren lassen. Für die Zulassung und Registrierung wird bei Zahlungsauslöse- und Kontoinformationsdienstleistern eine Berufshaftpflichtversicherung oder eine gleichwertige Garantie vorausgesetzt.

Kunden können im Online-Banking Drittdienstleister damit beauftragen, Zahlungen auszulösen oder Kontoinformationen abzurufen (beispielsweise für ihre Finanzplanung). Da diese Dienstleister nunmehr gesetzlich anerkannt sind und der Aufsicht unterliegen, dürfen Kunden gegenüber diesen Diensten auch ihre PIN und TAN einsetzen.

Nein, Sie müssen Dritten keinen Zugang zu Ihrem Konto gewähren – die PSD2 gibt Ihnen nur das Recht dazu. Um genau zu sein: Die PSD2 gibt Ihnen das Recht, die Dienste eines neuen Anbieters zu nutzen, der Zugang zu Ihrem Online-Konto benötigt, um diese Dienste anbieten zu können.

Wenn Sie Ihre Zustimmung geben, bedeutet dies, dass Sie dem Dritten Zugang zu Ihrem Bankkonto gewähren.

Wenn Sie Ihre Zustimmung nicht geben, wird sich nichts ändern. Der Dritte erhält keinen Zugang zu Ihrem Bankkonto.

Wenn Sie einen Zahlungsauslösedienstleister beauftragen, kann dieser bei Ihrer Bank in Ihrem Namen eine Zahlung oder Überweisung von Ihrem Konto veranlassen. Sie sollten beachten, dass Ihre Zustimmung zu einem Zahlungsauslösungsdienst grundsätzlich nur für eine einzige Zahlung gilt.

Ein Kontoinformationsdienstleister kann den Saldo und die Kontoumsätze von Ihren Zahlungskonten bei einer oder mehreren Banken abrufen und die Daten für Sie übersichtlich aufbereiten. Einen Kontoinformationsdienstleister können Sie über einen längeren Zeitraum ggf. bis zum Widerruf mit der Aufbereitung Ihrer Kontodaten beauftragen. Während dieses Zeitraums kann der Dienstleister für Kontoinformationen auf Ihr Bankkonto oder Ihre Bankkonten zugreifen, um die Übersicht über Zahlungen und Kontostände zu aktualisieren.

Sie können einem Zahlungsauslösedienst- oder Kontoinformationsdienstleister die Zustimmung erteilen, auf Ihr Bankkonto zuzugreifen. Unter der PSD2 dürfen diese Anbieter das Überprüfungsverfahren Ihrer Bank verwenden. Die PSD2 schreibt vor, dass dies immer ein zweistufiges Verfahren sein muss (starke Kundenauthentifizierung, siehe hierzu auch untenstehenden Link), die genauen Details können jedoch je nach Bank/Sparkasse oder Zahlungsinstitut variieren.

In der Regel wird nach einer Kombination von mindestens zwei der folgenden Elemente gefragt:

• etwas, das Sie besitzen (z. B. eine Debitkarte, ein Mobiltelefon oder ein TAN-Generator),
• etwas, das nur Sie kennen (Zugangscode, PIN oder Passwort),
• biometrische Identifizierung (z. B. Fingerabdruck, Iris-Scan).

Zunächst überprüft Ihre Bank/Sparkasse oder Ihr Zahlungsinstitut, ob Sie der Kontoinhaber sind.

Zur Auslösung einer Zahlung muss ein Element (TAN) mit der vorgeschlagenen Transaktion (Betrag und Begünstigter) verknüpft sein. Diese TAN kann nur für diese bestimmte Zahlung verwendet werden: Wenn sich der Betrag oder der Begünstigte ändert, ändert sich auch die TAN. Mit der Eingabe der TAN erklären Sie sich einverstanden, die Zahlung zu veranlassen.

In Kombination mit anderen Sicherheitsmaßnahmen wird so sichergestellt, dass der Zahlungsdienstleister Transaktionen nur mit Ihrer Zustimmung durchführen kann.

Wenn Sie einem Zahlungsauslösungsdienstleister die Einwilligung zur Ausführung einer Zahlung erteilen, ähnelt dies dem Einleiten eines Zahlungsauftrags bei Ihrer Bank/Sparkasse.

Das Verfahren für Anbieter von Kontoinformationsdiensten unterscheidet sich geringfügig. Bei der erstmaligen Beauftragung des Kontoinformationsdienstes und danach spätestens alle 90 Tage müssen Sie den Zugang zu Ihrem Bankkonto mit einer starken Kundenauthentifizierung autorisieren.

Sie sind nicht dazu verpflichtet, die neue Zahlungsmethode zu verwenden. Wenn Sie Ihre Zustimmung nicht geben, erhält der Dritte keinen Zugang zu Ihrem Konto.