Zum OnlineBanking

 

Rechtliche Informationen

FATCA-Gesetz - CRS & FKAustG - PSD2

Erfahren Sie mehr über FATCA, CRS, FKAustG und PSD2 – wichtige rechtliche Regelungen zu Steuerdaten und Zahlungsverkehr

Eine Lupe steht auf einem Laptop, in der Lupe ist ein Paragrafen-Zeichen zu sehen

Aktuelles im Überblick:

  • FATCA-Gesetz – US-amerikanisches Gesetz zur Bekämpfung von Steuerhinterziehung 
  • CRS & FKAustG – Weltweiter Austausch steuerrelevanter Kundendaten zwischen Finanzbehörden
  • PSD2 – Neuerungen durch die zweite EU-Zahlungsdiensterichtlinie

FATCA-Gesetz

Meldepflicht für US-amerikanische Konto- und Depotinhaber

Der Foreign Account Tax Compliance Act (FATCA) ist ein US-amerikanisches Gesetz zur Bekämpfung der Steuerhinterziehung. Aufgrund dieser Gesetzesgrundlage vereinbarten Deutschland und viele weitere Staaten eine Erweiterung der bilateralen Zusammenarbeit mit den USA mit dem Ziel, die Steuerhinterziehung zu bekämpfen. Das bedeutet, dass Finanzinstitute, die nicht in den USA ansässig sind, den USA steuerlich relevante Informationen zu US-Kunden zur Verfügung stellen müssen.

Überblick

  • FATCA betrifft neben Finanzinstituten auch Versicherungen

    Wir sind verpflichtet, Informationen über unsere US-amerikanischen Konto- und Depotinhaber über das Bundeszentralamt für Steuern an die amerikanische Finanzverwaltung (Internal Revenue Service – IRS) zu übermitteln. Neben Finanzinstituten müssen aber auch Versicherungen Informationen über US-amerikanische Kunden, die bestimmte Renten- und Lebensversicherungen abgeschlossen haben, an die USA melden.

    Bilaterale Zusammenarbeit zur Bekämpfung der Steuerhinterziehung

    Mit FATCA möchten die USA die Steuerhinterziehung bei Auslandskonten bekämpfen und das Steueraufkommen erhöhen. Der deutsche Fiskus erhält im Gegenzug Steuerinformationen von US-Banken über Anleger, die in Deutschland steuerpflichtig sind.

    Natürliche Personen und Unternehmen sind betroffen

    Von FATCA betroffen sind die bei uns unterhaltenen Konten und Depots natürlicher Personen und Unternehmen bzw. Gesellschaften, an denen US-Personen zu mindestens 25 Prozent beteiligt sind.

    Informationen des U.S. Department of the Treasury zu FATCA

    Informationen des Internal Revenue Service (IRS) zu FATCA

Betroffene Kunden

  • Kundendaten auf US-Bezüge prüfen

    Meldepflichtig sind alle Kunden mit einer US-Staatsangehörigkeit oder einer steuerlichen Ansässigkeit in den USA. Nach dem amerikanischen Steuerrecht führt die US-Staatsangehörigkeit zur unbeschränkten Steuerpflicht in den USA. Wir sind auch verpflichtet diejenigen Kunden zu melden, bei denen nach unseren Informationen nur möglicherweise eine US-Steuerpflicht besteht bzw. bei denen wir einen US-Bezug festgestellt haben, wenn der Kunde keine bzw. keine ausreichenden, den Verdacht entkräftenden Dokumente zur Verfügung stellt.

    Start der Überprüfung

    Seit dem 1. Juli 2014 sind wir verpflichtet, Kundendaten innerhalb von zwei Jahren auf US-Bezüge hin zu untersuchen, bei einem Anlagevermögen von über 1 Million USD innerhalb von zwölf Monaten. Kunden mit einem Anlagevermögen bis zu 50.000 USD sind davon ausgenommen.

    Zu prüfende US-Bezüge

    • US-Staatsbürgerschaft oder dauerhafte US-Ansässigkeit (zum Beispiel mit einer Greencard)
    • Geburtsort in den USA
    • Postanschrift oder Postfach in den USA
    • US-Telefonnummer
    • Dauerauftrag zur Überweisung von Finanzmitteln in die USA
    • Handlungs- oder Verfügungsvollmacht zugunsten einer Person mit US-Adresse
    • c/o-Adresse in den USA bzw. Postlagerungsadresse als einzige verfügbare Adresse (auch außerhalb der USA)
Das ist zu tun

  • Aufforderung, den US-Steuerstatus zu klären

    Bei Feststellung eines der zuvor genannten US-Bezüge fordern wir den Kunden auf, seinen US-Steuerstatus zu klären. Bestätigt der Kunde die US-Steuerpflicht, dann übermitteln wir seine steuerlichen Daten jährlich über das Bundeszentralamt für Steuern an die amerikanische Finanzverwaltung (Internal Revenue Service – IRS). Widerlegt der Kunde unsere Hinweise zur US-Steuerpflicht, sind wir zu keiner Meldung verpflichtet. Falls wir vom Kunden keine Rückmeldung erhalten, sind wir dazu verpflichtet, seine steuerlichen Daten zu melden.

    Regelung für Unternehmen und Gesellschaften

    Das FATCA-Gesetz sieht vor, dass Finanzinstitute und Versicherungen US-Personen, die unmittelbar oder mittelbar in Höhe von mindestens 25 Prozent an einem Unternehmen beteiligt sind, über das Bundeszentralamt für Steuern an die amerikanische Finanzverwaltung (Internal Revenue Service – IRS) melden, sofern die Erträge mehrheitlich aus Finanzanlagen stammen. Bei Gesellschaften oder Unternehmen, die ihren Sitz oder ihre Geschäftsleitung in den USA haben, sind wir generell zu einer Meldung verpflichtet.

Ihre Daten

  • Diese Daten werden gemeldet

    Die Meldung beschränkt sich neben persönlichen Daten des Gläubigers auf den Konto- bzw. Depotstand am Jahresende bzw. bei einer Kontoschließung im Laufe des jeweiligen Jahres zum Zeitpunkt vor der Kontoschließung.

    Meldebestandteile im Überblick

    • Kontostand am Ende des Kalenderjahres (bzw. der Saldo unmittelbar vor einer Kontoschließung ab 01.01.2014)
    • Depots: Zinsen, Dividenden und andere Erträge, jeweils brutto
    • Depots: Bruttoerlöse aus Einlösung, Veräußerung oder Abtretung
    • Einlagekonten: Bruttozinserträge
    • Andere Anlageformen: Bruttoerträge

CRS und FKAustG

Das neue Gesetz (FKAustG) tritt am 01.01.2016 in Kraft. Weltweit über 90 Staaten und Gebiete haben sich darauf verständigt, dass die jeweiligen Finanzbehörden zukünftig steuerrelevante Kundendaten untereinander austauschen.

Warum nehmen alle wichtigen Finanzzentren der Welt und alle Staaten der EU daran teil? Das neue Gesetz ist ein wichtiger Schritt hin zu mehr Transparenz und zur Bekämpfung von Steuerhinterziehung.

PSD2

Einheitliche Standards für die Sicherheit elektronischer Zahlungen

Am 14. September 2019 ist die sogenannte "zweite Stufe" der Umsetzung der "Zweiten EU-Zahlungsdiensterichtlinie (PSD2)" wirksam geworden. Ziel ist die Schaffung einheitlicher Standards für die Sicherheit elektronischer Zahlungen sowie die Verbesserung des Verbraucherschutzes im Europäischen Wirtschaftsraum. Damit werden das OnlineBanking, die Banking-App sowie das Online-Shopping mit Kreditkarte noch sicherer. Außerdem wird dritten Zahlungsdienstleistern die Möglichkeit gegeben, Ihnen neue Services anzubieten. Verschaffen Sie sich hier einen Überblick über die wesentlichen Neuerungen.

Wesentliche Neuerungen

  • Sie können berechtigte Drittanbieter beauftragen, für Sie Zahlungen auszulösen oder Kontoinformationen von Zahlungsverkehrskonten abzurufen.
  • Sie können Drittanbieter berechtigen, vor Ihrer Kartenzahlung die Verfügbarkeit des Kaufbetrages bei Ihrer PSD Bank München anzufragen.
  • Sie müssen sich beim Log-in im OnlineBanking, in der Banking-App oder beim Online-Shopping mit Kreditkarte sowie bei Zahlungen und beim Abruf von Umsatzinformationen in der Regel mit zwei voneinander unabhängigen Faktoren im Sinne einer sogenannten starken Kundenauthentifizierung legitimieren.1
  • Visa Secure ist im Europäischen Wirtschaftsraum beim Online-Shopping mit der Kreditkarte verpflichtend.

Änderungen durch die PSD2

OnlineBanking

  • Änderung bei Anmeldung und Umsatzabfrage

    Sie werden mindestens alle 90 Tage beim Log-in im OnlineBanking aufgefordert, sich mit Ihrem PSD-Key und Ihrem Kennwort bzw. Ihrer PIN sowie einer TAN zu legitimieren. Bei der Auslösung von Zahlungen sowie dem Abruf von Umsatzinformationen trifft dies ebenso zu. Gegebenenfalls können bankindividuelle Voreinstellungen bzw. Ausnahmen vorliegen. Sie können die von Ihrer PSD Bank München getroffenen Einstellungen auch ändern lassen.1

    Die PSD2 erlaubt den Banken eine Ausnahmeregelung in Bezug auf die starke Kundenauthentifizierung. In diesem Fall müssen Sie Ihre TAN nur alle 90 Tage eingeben. Wir nutzen diese Ausnahmeregelung. Mitte Dezember 2019 haben Sie beim Log-in im OnlineBanking erstmals die Aufforderung erhalten, sich mit Ihrem PSD-Key und Ihrem Kennwort bzw. Ihrer PIN sowie einer TAN anzumelden.

    Zugriff auf Ihr Girokonto oder Geschäftskonto über Drittanbieter

    Sie können auf Ihr Girokonto oder Geschäftskonto auch mittels Kontoinformationsdiensten, Zahlungsauslösediensten und von Ihnen ausgewählten sonstigen Drittanbietern zugreifen. Ihre Einwilligung vorausgesetzt, dürfen diese für Sie über eine sogenannte "Kontenschnittstelle für Dritte Zahlungsdienstleister" Zahlungen auslösen oder Kontoinformationen von Zahlungsverkehrskonten abrufen, also zum Beispiel von Ihrem Girokonto oder Geschäftskonto. Da diese Drittanbieter nunmehr gesetzlich reguliert und beaufsichtigt werden, dürfen Sie Ihre Authentifizierungselemente wie zum Beispiel Online-PIN und -TAN bei einem von Ihnen ausgewählten Kontoinformationsdienst, Zahlungsauslösedienst oder einem sonstigen Drittanbietern verwenden. Mit der Zugriffsverwaltung im OnlineBanking können Sie sehen, welche Drittanbieter Sie berechtigt haben. Sie können dort auch Zugriffsberechtigungen wieder entziehen. Sofern Sie sonstige Drittanbieter nutzen, empfehlen wir Ihnen, diese sorgfältig auszuwählen.

PSD Banking-App

  • Anmeldung bzw. Gerätebindung

    Bei der Anmeldung in der Banking-App entfällt die Eingabe einer TAN, da durch die sogenannte Gerätebindung eine starke Kundenauthentifizierung erreicht wird. Zur Herstellung der Gerätebindung müssen Sie einmalig eine TAN eingeben. In der Banking-App wird Ihnen ein entsprechender Hinweis zur Einrichtung der Gerätebindung angezeigt. Alternativ können Sie dies auch in den Einstellungen der Banking-App einrichten. Sollten Sie bereits die Funktion giropay | Kwitt nutzen, ist die Gerätebindung bereits erfolgt. Sollten Sie die Gerätebindung nicht eingerichtet haben, müssen Sie beim Log-in zusätzlich eine TAN eingeben. Sie können dann auch nur noch die Umsatzdaten der letzten 90 Tage einsehen.

    Zugriff auf Ihr Girokonto oder Geschäftskonto über Drittanbieter

    Sie können auf Ihr Girokonto oder Geschäftskonto auch mittels Kontoinformationsdiensten, Zahlungsauslösediensten und von Ihnen ausgewählten sonstigen Drittanbietern zugreifen. Ihre Einwilligung vorausgesetzt, dürfen diese für Sie über eine sogenannte "Kontenschnittstelle für Dritte Zahlungsdienstleister" Zahlungen auslösen oder Kontoinformationen von Zahlungsverkehrskonten abrufen, also zum Beispiel von Ihrem Girokonto oder Geschäftskonto. Da diese Drittanbieter nunmehr gesetzlich reguliert und beaufsichtigt werden, dürfen Sie Ihre Authentifizierungselemente wie zum Beispiel Online-PIN und -TAN bei einem von Ihnen ausgewählten Kontoinformationsdienst, Zahlungsauslösedienst oder einem sonstigen Drittanbietern verwenden. Mit der Zugriffsverwaltung im OnlineBanking können Sie sehen, welche Drittanbieter Sie berechtigt haben. Sie können dort auch Zugriffsberechtigungen wieder entziehen. Sofern Sie sonstige Drittanbieter nutzen, empfehlen wir Ihnen, diese sorgfältig auszuwählen.

Visa Secure

  • Änderungen beim Online-Shopping mit Kreditkarte

    Mit Visa Secure ist das Online-Shopping mit Kreditkarte bereits heute schon einfach und sicher möglich. Für dieses Verfahren zur Authentifizierung von Kreditkartenzahlungen gibt es die Lösung via SMS oder Push-Nachricht in der SecureGo plus App. Visa Secure ist beim Online-Shopping mit Kreditkarte verpflichtend.2

    Mithilfe des folgenden Links können Sie sich in wenigen Schritten für Visa Secure registrieren.

    Visa Secure

Geschäftsbedingungen bzw. Sonderbedingungen

  • Neue Fassung der Geschäftsbedingungen und Sonderbedingungen

    Mit der PSD2 sind neue gesetzliche Bestimmungen für die Erbringung von Zahlungsdiensten in Kraft getreten. In diesem Zusammenhang gelten auch bei uns neue Fassungen der mit Ihnen vereinbarten Geschäftsbedingungen zum Zahlungsverkehr. Ferner werden auch die Sonderbedingungen für die girocard (Debitkarte), für die VR-ServiceCard (Debitkarte), für das OnlineBanking und für die Datenfernübertragung geändert. Es handelt sich hierbei um eine gesetzlich notwendige Anpassung, die für alle Banken und Sparkassen verpflichtend ist.

Zugriffe von dritten Zahlungsdienstleistern

Zahlungsdienstleister

  • Ein Zahlungsauslösedienst (ZAD oder auch Payment Initiation Service Provider (PISP)) ist ein Dienst, der – Ihre Einwilligung vorausgesetzt – einen Zahlungsauftrag wie zum Beispiel eine Überweisung auf ein bei einem anderen Zahlungsdienstleister geführtes Zahlungskonto auslöst. Die Zahlung wird aber nur ausgeführt, wenn Sie dies zuvor erlaubt und mit einer Zwei-Faktor-Authentifizierung abgeschlossen haben. Diese Zahlungsauslösedienstleister müssen künftig von der nationalen Finanzaufsicht zugelassen und beaufsichtigt werden.

Kontoinformationsdienstleister

  • Ein Kontoinformationsdienst (KID oder auch Account Information Service Provider (AISP)) ist ein Online-Dienst zur Mitteilung konsolidierter Informationen über Zahlungskonten, die Sie entweder bei einem anderen Zahlungsdienstleister bzw. einer anderen Bank oder bei mehreren Zahlungsdienstleistern bzw. mehreren Banken haben. Dieser gibt Ihnen in der Regel anhand Ihrer Kontodaten einen Überblick über Ihre aktuelle finanzielle Situation. Dafür darf er bis zu vier Mal am Tag Informationen von Ihrem Konto wie Salden oder Umsätze abrufen, ohne dass Sie nochmals aktiv zustimmen. Diese Drittdienstleister müssen sich künftig bei der nationalen Finanzaufsicht registrieren.

Kartenausgebende Zahlungsdienstleister

  • Mit Ihrer girocard (Debitkarte) und Kreditkarte verfügen Sie bereits über Zahlungsmittel mit Zugriff auf Ihr Konto. Zukünftig werden Sie auch neue Angebote von Zahlungskarten erhalten, beispielsweise von Transportunternehmen wie der Deutschen Bahn, Fluggesellschaften oder Einzelhandelsketten. Wenn Sie dann mit diesen Zahlungskarten bezahlen, kann der kartenausgebende Zahlungsdienstleister die Verfügbarkeit des Kaufbetrages bei Ihrer PSD Bank München anfragen. Der Kaufbetrag wird dabei aber nicht reserviert. Sie müssen dazu jedoch zuvor dem Drittanbieter im OnlineBanking die Erlaubnis erteilen, und zwar unter "Service > Konten und Verträge > Zugriffsverwaltung > Verfügbarkeitsabfragen > Neue Berechtigungen erteilen".

Zugriffsverwaltung im OnlineBanking

  • Drittanbieter steuern

    Grundsätzlich dürfen dritte Zahlungsdienstleister nur mit Ihrer vorherigen Zustimmung auf Ihre Kontodaten zugreifen. Ihre Zustimmung gilt erst als erteilt, wenn Sie die vom Drittanbieter bei Ihrer Bank angeforderten Informationen mit einer starken Kundenauthentifizierung bestätigt haben. Zudem muss der Drittanbieter bei der nationalen Aufsichtsbehörde registriert sein und sich gegenüber Ihrer PSD Bank München legitimieren können. Für einen weiteren Kontozugriff benötigt der Drittanbieter nach spätestens 90 Tagen erneut Ihre vorherige Zustimmung mittels starker Kundenauthentifizierung.

    Mit der Zugriffsverwaltung im OnlineBanking im Bereich "Service > Konten und Verträge > Zugriffsverwaltung" können Sie jederzeit kontrollieren, welchen Drittanbieter Sie berechtigt und welche Zahlungen Drittanbieter durchgeführt haben. Sie können dort auch Zugriffsberechtigungen wieder entziehen. Ihnen stehen diese Daten bis 180 Tage rückwirkend zur Verfügung. Die Zugriffsverwaltung im OnlineBanking ist wie folgt strukturiert:

    • Verfügbarkeitsabfragen,
    • Kontoinformationsabfragen und
    • Zahlungsauslösungen.
Strukturierung der Zugriffsverwaltung

  • In diesem Bereich im OnlineBanking sehen Sie, welche Berechtigungen Sie dritten Zahlungsdienstleistern sowie Unternehmen der Genossenschaftlichen FinanzGruppe gegeben haben. Sie können hier neue Berechtigungen erteilen oder bestehende entziehen. Wenn dritte Zahlungsdienstleister und Unternehmen der Genossenschaftlichen FinanzGruppe Ihre Berechtigung genutzt haben, ist das hier auch aufgelistet.

  • KontoauswahlHier wählen Sie aus, für welches zahlungskonto Informationen angezeigt werden soll. Wenn zu dem Konto keine Berechtigungen erteilt worden sind, wird nur die Möglichkeit "Neue Berechtigung erteilen" angeboten.
    Bereich unterhalb der KontoauswahlHier sehen Sie, für welche kartenausgebenden zahlungsdienstleister Berechtigungen erteilt wurden. Mit Klick auf "+" können Sie sich weitere Informationen anzeigen lassen oder Berechtigungen sperren.
    Neue Berechtigungen erteilenUnterhalb der Kontoauswahl steht Ihnen die Möglichkeit zur Verfügung, einem dritten Zahlungsdienstleister die Abfrage zu erlauben, ob ein bestimmter Betrag auf Ihrem Konto verfügbar ist. Die Anzahl der Abfrage ist unbeschränkt. 

2-Faktor-Authentifizierung

Erläuterung der starken Kundenauthentifizierung

Mit der PSD2 wurden die Anforderungen an die Authentifizierung der Kunden bei Zahlungen verschärft. Authentifizierung bedeutet, dass nicht nur Sie als Auftraggeber identifiziert werden, sondern dass auch die inhaltliche Richtigkeit Ihrer Willenserklärung geprüft wird. 2-Faktor-Authentifizierung bzw. starke Kundenauthentifizierung bedeutet, dass Sie sich mit zwei von drei möglichen Faktoren "ausweisen" müssen:

  • "Wissenselemente": etwas, das nur Sie wissen, wie zum Beispiel eine PIN,
  • "Besitzelemente": etwas, das nur Sie besitzen, wie zum Beispiel Ihre girocard (Debitkarte) mit TAN-Generator oder ein Mobiltelefon, an das eine TAN übermittelt wird, oder
  • ein "Seinselement" ("Inhärenz"), also etwas, das nur Sie sind, wie zum Beispiel Ihr Fingerabdruck als biometrisches Merkmal.

Die 2-Faktor-Authentifizierung wird in der Regel angewendet bei1:

  • Log-in zum OnlineBanking,
  • einer Zahlung (gilt nicht für Lastschriften),
  • einer Aktion, die zu einem Risiko führen kann, wie zum Beispiel eine Adressänderung,
  • Zahlungen mit Ihrer Debit- oder Kreditkarte von Visa beim Online-Einkauf und im Geschäft,
  • weiteren Produkten der Genossenschaftlichen FinanzGruppe.

Ausnahmen von der starken Kundenauthentifizierung

Gemäß PSD2 besteht die Möglichkeit, in bestimmten Fällen den Einsatz nur eines Authentifizierungselements anzufordern. Die zweifache Absicherung durch eine starke Kundenauthentifizierung ist nicht nötig, wenn:

  • Sie Zahlungen an sich selbst im selben Bankinstitut vornehmen3,
  • zum Beispiel mit giropay | Kwitt Kleinstbeträge bis 30 Euro elektronisch bezahlt werden3,
  • Zahlungen an unbeaufsichtigten Terminals vorgenommen werden,
  • es um kontaktlose Kleinbetragszahlungen geht.

Sicherheit von Zahlungen im Internet wird weiter erhöht

Wir legen großen Wert darauf, dass Ihr OnlineBanking, Ihr Banking mit der Banking-App sowie Kartenzahlungen auf höchstem Sicherheitsniveau erfolgen. Die von uns angebotenen TAN-Verfahren erfüllen bereits heute die aktuellen Sicherheitsanforderungen.

Zudem werden die durch Sie beauftragten Überweisungen mittels eines Sicherheitssystems, eines sogenannten Fraud-Detection-System bewertet und geprüft. Dadurch können beispielsweise Abweichungen und Unstimmigkeiten festgestellt werden. Sollte hierbei der Verdacht eines Betruges aufkommen, werden weitere Prüfungen durch Ihre PSD Bank München eingeleitet. Gegebenenfalls kann es dann zur direkten Ablehnung einer betrugsverdächtigen Überweisung kommen.

1In Ausnahmefällen muss die TAN im Sinne einer sogenannten starken Kundenauthentifizierung nur alle 90 Tage eingegeben werden, zum Beispiel bei der Anmeldung. Sprechen Sie uns an und wir schauen gemeinsam, ob eine Ausnahme möglich ist.

2Als Ausnahme von der Pflicht gelten zum Beispiel als risikoarm eingestufte Kleinbetragstransaktionen sowie wiederkehrende Zahlungen mit gleicher Betragshöhe an denselben Empfänger; dies jedoch erst nach erfolgreicher Registrierung der Kreditkarte für Visa Secure

3Bei allen Banken, die diesen Service anbieten

Illustration Mann mit großer Lupe

Sie haben noch Fragen?

Schauen Sie doch gerne bei unseren FAQs vorbei?

Die richtige Frage ist nicht dabei? Wir helfen Ihnen gerne auch persönlich weiter.

FAQs Kontakt