PSD2 Bankverbindungen
Guten Tag, ich bin Sophie! Die PSD2-Richtlinie regelt, wie Ihre Bankverbindungen sicher mit BuchhaltGenie verknüpft werden. Ich erkläre Ihnen die wichtigsten Punkte.
Die Payment Services Directive 2 (PSD2) ist eine EU-Richtlinie, die den sicheren Zugang zu Bankkonten für Drittanbieter regelt. In Österreich wurde PSD2 durch das Zahlungsdienstegesetz (ZaDiG 2018) umgesetzt.
Open Banking: PSD2 ermöglicht Ihnen, Ihre Banktransaktionen automatisch in BuchhaltGenie zu importieren - sicher, verschlüsselt und unter Ihrer vollen Kontrolle.
Was ist PSD2?
Die Payment Services Directive 2 (EU-Richtlinie 2015/2366) wurde am 13. Jänner 2018 in der gesamten EU wirksam. Sie verfolgt drei Hauptziele:
| Ziel | Beschreibung |
|---|---|
| Mehr Wettbewerb | Drittanbieter (wie BuchhaltGenie) können Bankdaten mit Ihrer Zustimmung abrufen |
| Höhere Sicherheit | Strong Customer Authentication (SCA) für alle Bankzugriffe |
| Verbraucherschutz | Klare Regeln für Consent-Management und Datenzugriff |
Die drei PSD2-Dienste
AIS - Kontoinformationen
Account Information Service (AIS)
BuchhaltGenie nutzt AIS zum Abrufen Ihrer Kontoinformationen:
- Kontostände und Transaktionshistorie
- Automatischer Import in Ihre Buchhaltung
- Kategorisierung und Zuordnung zu Buchungen
Ihr Vorteil: Keine manuelle Eingabe von Banktransaktionen mehr.
ZaDiG: Die österreichische Umsetzung
Das Zahlungsdienstegesetz 2018 (ZaDiG 2018) ist die österreichische Umsetzung der PSD2-Richtlinie.
| Aspekt | Details |
|---|---|
| Gesetz | Zahlungsdienstegesetz 2018 (ZaDiG 2018) |
| Inkrafttreten | 13. Jänner 2018 |
| EU-Grundlage | PSD2 (EU 2015/2366) |
| Aufsichtsbehörde | Finanzmarktaufsicht (FMA) |
| Anwendbar auf | Alle in Österreich tätigen Zahlungsdienstleister |
Relevante ZaDiG-Bestimmungen
| ZaDiG-Paragraph | PSD2-Artikel | Anforderung |
|---|---|---|
| § 32 ZaDiG | Art. 67(2) | 90-Tage Consent-Fenster |
| § 69 ZaDiG | Art. 97-98 | Strong Customer Authentication |
| § 33 ZaDiG | Art. 68 | Datenzugriffsrechte |
Österreichische Besonderheit: Das ZaDiG 2018 enthält zusätzliche Bestimmungen zum Verbraucherschutz, die über die EU-Mindestanforderungen hinausgehen.
finAPI: Unser Bankverbindungs-Provider
BuchhaltGenie verwendet finAPI als Bankverbindungs-Provider für alle PSD2-konformen Bankanbindungen.
Warum finAPI?
| Kriterium | finAPI |
|---|---|
| Lizenz | BaFin-lizenziert (Deutschland) |
| Spezialisierung | DACH-Markt (Deutschland, Österreich, Schweiz) |
| Bankenabdeckung | 4.000+ Banken, inkl. alle großen österreichischen Institute |
| Authentifizierung | Web Form 2.0 mit SCA-Unterstützung |
| Datenschutz | EU-basiert, DSGVO-konform |
Unterstützte österreichische Banken
finAPI unterstützt alle großen österreichischen Banken:
- Erste Bank & Sparkassen (George)
- Raiffeisen (Mein ELBA)
- Bank Austria (24You)
- BAWAG P.S.K. (eBanking)
- Oberbank, BKS, BTV (3-Banken-Gruppe)
- Volksbanken
- Hypo-Banken
- Und viele weitere…
Ihre Bank fehlt? Kontaktieren Sie uns unter office@buchhaltgenie.at - wir prüfen, ob eine Anbindung möglich ist.
90-Tage Consent-Fenster
Eine zentrale PSD2-Anforderung ist das 90-Tage Consent-Fenster (Art. 67 Abs. 2 PSD2, § 32 ZaDiG).
Warum 90 Tage?
Der Gesetzgeber schreibt vor, dass Ihre Zustimmung zum Kontozugriff maximal 90 Tage gültig sein darf. Danach müssen Sie die Verbindung aktiv erneuern.
Gründe für diese Regelung:
- Sicherheit: Regelmäßige Überprüfung verhindert unbefugten Zugriff
- Kontrolle: Sie behalten die volle Kontrolle über Ihre Bankdaten
- Aktualität: Sicherstellung, dass nur aktive Verbindungen bestehen
Der Erneuerungsprozess
Erinnerung erhalten
BuchhaltGenie informiert Sie 14 Tage und 3 Tage vor Ablauf des Consents per E-Mail und Dashboard-Benachrichtigung.
Bankverbindung erneuern
Klicken Sie auf “Verbindung erneuern” in Ihren Einstellungen oder folgen Sie dem Link in der E-Mail.
Bei Ihrer Bank authentifizieren
Sie werden zum sicheren Login-Fenster Ihrer Bank (finAPI Web Form 2.0) weitergeleitet.
SCA durchführen
Bestätigen Sie den Zugriff mit Strong Customer Authentication (z.B. TAN, Fingerabdruck).
Fertig
Ihre Bankverbindung ist für weitere 90 Tage aktiv. Transaktionen werden automatisch importiert.
Wichtig: Nach Ablauf des 90-Tage-Fensters werden keine neuen Transaktionen mehr importiert, bis Sie die Verbindung erneuern. Bereits importierte Daten bleiben erhalten.
Consent-Verwaltung im Dashboard
| Status | Bedeutung | Aktion erforderlich |
|---|---|---|
| Aktiv (grün) | Verbindung funktioniert | Keine |
| Bald ablaufend (gelb) | Weniger als 14 Tage gültig | Erneuerung empfohlen |
| Abgelaufen (rot) | Consent ungültig | Erneuerung erforderlich |
| Getrennt (grau) | Manuell getrennt | Neuverbindung wenn gewünscht |
Strong Customer Authentication (SCA)
Die Strong Customer Authentication (Art. 97-98 PSD2, § 69 ZaDiG) ist eine Zwei-Faktor-Authentifizierung, die bei jeder Bankverbindung erforderlich ist.
Die drei SCA-Faktoren
| Faktor | Typ | Beispiele |
|---|---|---|
| Wissen | Etwas, das nur Sie wissen | PIN, Passwort, Geheimfrage |
| Besitz | Etwas, das nur Sie haben | Smartphone, TAN-Generator, Bankkarte |
| Inhärenz | Etwas, das Sie sind | Fingerabdruck, Gesichtserkennung, Stimme |
SCA bei der Bankverbindung
Bei der Einrichtung oder Erneuerung einer Bankverbindung müssen Sie mindestens zwei dieser Faktoren nachweisen:
finAPI Web Form 2.0
Die SCA-Authentifizierung erfolgt über das finAPI Web Form 2.0 - ein sicheres, von finAPI bereitgestelltes Fenster:
| Merkmal | Beschreibung |
|---|---|
| Sichere Umgebung | Direkte Verbindung zur Bank, ohne Umweg über BuchhaltGenie |
| Keine Speicherung | Zugangsdaten werden niemals bei BuchhaltGenie gespeichert |
| Bank-Layout | Viele Banken zeigen ihr eigenes Design im Web Form |
| TLS 1.3 | Höchste Verschlüsselung für die Übertragung |
Ihre Sicherheit: Ihre Bank-Zugangsdaten (Verfügernummer, PIN) werden ausschließlich an Ihre Bank übermittelt. BuchhaltGenie hat zu keinem Zeitpunkt Zugriff auf diese Daten.
Wie BuchhaltGenie PSD2 umsetzt
Technische Implementierung
| Anforderung | Umsetzung | Status |
|---|---|---|
| Art. 67(2) PSD2 | 90-Tage Consent mit automatischer Ablauf-Erinnerung | Vollständig |
| Art. 98 PSD2 | Transaktionshistorie auf 90 Tage begrenzt | Vollständig |
| Art. 97 PSD2 | Strong Customer Authentication via finAPI | Vollständig |
| § 32 ZaDiG | Österreichische Consent-Anforderungen | Vollständig |
Sicherheitsmaßnahmen
| Maßnahme | Details |
|---|---|
| Verschlüsselung | AES-256 für gespeicherte Transaktionen |
| Transport | TLS 1.3 für alle API-Aufrufe |
| Token-Speicherung | OAuth2-Tokens serverseitig, niemals im Browser |
| Rate-Limiting | Max. 30 Anfragen/Minute an Sync-Endpoints |
| Audit-Logging | Alle Bankaktionen werden protokolliert (BAO §132) |
Datenschutz (DSGVO-Konformität)
| Aspekt | Umsetzung |
|---|---|
| Datensparsamkeit | Nur Transaktionsdaten, keine Zugangsdaten |
| Speicherort | EU-Server (Frankfurt) |
| Aufbewahrung | 7 Jahre (BAO §132), dann automatische Löschung |
| Löschrecht | Soft-Delete mit Anonymisierung (Art. 17 DSGVO) |
Bankverbindung einrichten
Bankverbindungen öffnen
Navigieren Sie zu Einstellungen → Bankverbindungen → Neue Bank hinzufügen
Bank auswählen
Suchen Sie Ihre Bank in der Liste oder geben Sie den Namen ein. finAPI unterstützt über 4.000 Banken.
Zur Bank weiterleiten
Sie werden zum finAPI Web Form 2.0 weitergeleitet - eine sichere Umgebung für Ihren Bank-Login.
Bei der Bank anmelden
Geben Sie Ihre Online-Banking-Zugangsdaten ein. Diese werden direkt an Ihre Bank übermittelt.
SCA bestätigen
Bestätigen Sie den Zugriff mit Ihrer gewohnten TAN-Methode (pushTAN, smsTAN, cardTAN).
Konten auswählen
Wählen Sie, welche Konten Sie mit BuchhaltGenie verbinden möchten.
Fertig!
Ihre Transaktionen werden automatisch importiert und kategorisiert.
Dauer: Die Ersteinrichtung dauert ca. 2-5 Minuten. Die tägliche Synchronisation erfolgt automatisch im Hintergrund.
Sicherheitsmaßnahmen
Was BuchhaltGenie speichert
| Daten | Gespeichert | Details |
|---|---|---|
| Transaktionen | Ja | Betrag, Datum, Verwendungszweck, Empfänger |
| Kontostände | Ja | Aktueller und verfügbarer Saldo |
| Kontodetails | Ja | IBAN, Bankname, Kontobezeichnung |
| Zugangsdaten | Nein | Niemals - werden nur an die Bank übermittelt |
| TAN/PIN | Nein | Niemals - verbleiben bei der Bank |
Verschlüsselung
| Schicht | Technologie |
|---|---|
| Transport | TLS 1.3 (modernster Standard) |
| Speicherung | AES-256 Verschlüsselung |
| OAuth-Tokens | Serverseitige Speicherung, verschlüsselt |
| Backups | Separater Schlüssel, AES-256 |
Zugriffsprotokollierung
Gemäß BAO §132 werden alle Bankdaten-Zugriffe protokolliert:
- Wer hat zugegriffen (User-ID)
- Wann (Zeitstempel)
- Welche Aktion (Sync, Export, Anzeige)
- Von welcher IP-Adresse
Diese Protokolle werden 7 Jahre aufbewahrt.
Häufig gestellte Fragen (FAQ)
Was ist PSD2 und warum betrifft es meine Buchhaltung?
PSD2 (Payment Services Directive 2) ist eine EU-Richtlinie, die den Zugang zu Bankkonten für Drittanbieter regelt. In Österreich als ZaDiG umgesetzt, ermöglicht sie BuchhaltGenie den sicheren, automatischen Import Ihrer Banktransaktionen - mit Ihrer ausdrücklichen Zustimmung.
Warum muss ich meine Bankverbindung alle 90 Tage erneuern?
Dies ist eine gesetzliche Anforderung nach PSD2 Art. 67(2) und § 32 ZaDiG. Ihr Consent für den Kontozugriff ist maximal 90 Tage gültig. Danach müssen Sie die Verbindung aus Sicherheitsgründen bei Ihrer Bank neu autorisieren.
Was passiert, wenn ich den Consent nicht erneuere?
Nach Ablauf werden keine neuen Transaktionen mehr importiert. Bereits importierte Daten bleiben vollständig erhalten. Sie können die Verbindung jederzeit erneuern, um den Import fortzusetzen.
Was ist Strong Customer Authentication (SCA)?
SCA ist eine Zwei-Faktor-Authentifizierung, die bei jeder Bankverbindung erforderlich ist. Sie müssen mindestens zwei von drei Faktoren nachweisen:
- Wissen (PIN/Passwort)
- Besitz (Smartphone/TAN-Generator)
- Inhärenz (Fingerabdruck/Face ID)
Sind meine Bankdaten bei BuchhaltGenie sicher?
Ja, absolut. Ihre Bankzugangsdaten werden niemals bei BuchhaltGenie gespeichert. Die Authentifizierung erfolgt direkt bei Ihrer Bank über finAPI. Wir speichern nur die Transaktionsdaten - verschlüsselt mit AES-256 auf EU-Servern.
Rechtliche Grundlagen
| Rechtsgrundlage | Details |
|---|---|
| PSD2 | EU-Richtlinie 2015/2366 über Zahlungsdienste im Binnenmarkt |
| ZaDiG 2018 | Zahlungsdienstegesetz 2018 (BGBl. I Nr. 17/2018) |
| DSGVO | Verordnung (EU) 2016/679 - Datenschutz |
| BAO §132 | Aufbewahrungspflicht für Geschäftsunterlagen |
Aufsichtsbehörden
| Behörde | Zuständigkeit |
|---|---|
| FMA | Finanzmarktaufsicht Österreich - Zahlungsdienstleister |
| BaFin | Bundesanstalt für Finanzdienstleistungsaufsicht (finAPI-Lizenz) |
| DSB | Datenschutzbehörde Österreich - DSGVO |
Kontakt & Support
| Anliegen | Kontakt |
|---|---|
| Technische Probleme | office@buchhaltgenie.at |
| Bankverbindung funktioniert nicht | office@buchhaltgenie.at mit Bankname |
| Datenschutz-Fragen | office@buchhaltgenie.at |
| Aufsichtsbehörde (FMA) | www.fma.gv.at |
Rechtlicher Hinweis: Diese Dokumentation dient ausschließlich der Information und ersetzt keine Rechtsberatung. Bei konkreten Fragen zu PSD2 oder ZaDiG wenden Sie sich bitte an einen Rechtsanwalt oder die FMA.
Zurück zur Übersicht: Compliance