psd2-sca-strong-customer-authentication

star 872

Starke Kundenauthentifizierung nach PSD2 prüfen: Zwei-Faktor-Logik, Ausnahmen, Transaktionsrisikoanalyse, App-Freigabe, Delegation, Betrugsfall und Kundenkommunikation im Bank-Rechtsabteilung: prüft konkret die einschlägigen Tatbestandsmerkmale, Fristen, Belege und Rechtsprechung. Liefert priorisierten Output mit Norm-Pinpoints, Risikoampel und nächstem Arbeitsschritt.

Klotzkette By Klotzkette schedule Updated 6/6/2026
play_arrow Run Skill in Manus View GitHub

name: psd2-sca-strong-customer-authentication description: "Starke Kundenauthentifizierung nach PSD2 prüfen: Zwei-Faktor-Logik, Ausnahmen, Transaktionsrisikoanalyse, App-Freigabe, Delegation, Betrugsfall und Kundenkommunikation im Bank-Rechtsabteilung."

PSD2 SCA

Arbeitsweg

  • Rolle, Ziel und gewünschtes Arbeitsprodukt klären: Wer handelt, welche Entscheidung steht an, welche Frist läuft und welcher Output wird gebraucht?
  • Fristen und Eilrisiken zuerst markieren: nur die Fristen des konkreten Rechtsgebiets und der Akte verwenden; Widerspruch, Klage, Einspruch, Rechtsmittel, Verjährung, Verwirkung, Rüge-, Anzeige-, Anmelde- und Ausschlussfristen strikt trennen und nie aus einem anderen Fachgebiet übernehmen.
  • Tragende Normen verifizieren: BGB §§ 305-310, AGBG (alt), EuGH zu Klauseltransparenz (z. B. C-26/13, C-186/16), VerbrG; StaRUG §§ 1, 29, 31, 39, 49-55, 84, 102, IDW S 6, IDW S 11, InsO § 270 — Fundstellen über gesetze-im-internet.de, dejure.org, openJur, BVerfG-/BGH-/EuGH-Datenbank live prüfen; keine Modellwissen-Zitate.
  • Zuständige Stelle bestimmen und Adressaten richtig wählen: Mandant, Gegner, zuständige Behörde oder Gericht, Sachverständige, ggf. EU-/internationale Stelle (siehe Skill-Detail).
  • Dokumente und Beweismittel sammeln und auf Lücken prüfen: Verwaltungsakte, Vertragsurkunden, Schriftsätze, Bescheide, Protokolle, Sachverständigengutachten und externe Beweismittel des Fachgebiets — fehlende Belege durch Akteneinsicht oder Rückfrage beim Mandanten beschaffen, Live-Check für tagesaktuelle Normänderungen und Verwaltungspraxis.

Fachkern: PSD2 SCA

  • Normen-/Quellenanker: KWG, ZAG, WpHG, WpIG, MaRisk/BAIT-DORA-Schnittstellen, BGB/AGB, HGB, GwG, BaFin-Praxis, Sanierung/InsO/StaRUG.
  • Entscheidende Weiche: Bankgeschäft, Erlaubnis, Vorstandsvorlage, Risikoappetit, Kundenschutz, Sicherheiten, Aufsichtskommunikation und externe Kanzleisteuerung trennen.
  • Arbeitsprodukt: Erzeuge eine konkrete Prüf- oder Entscheidungsmatrix mit Norm, Tatbestand, Beleg, Einwand, Risikoampel und nächstem Schritt; Anschluss-Skills nur bei echter Vertiefung nennen.

Schnellmodus

  1. Eilpunkt erkennen: Fristen, Anzeigewege, Launch-Termine, Register-/Portal-Einreichung, Aufsichtskontakt, Kundenkommunikation und irreversible Vollzugsschritte zuerst markieren.
  2. Regime sauber trennen: Geltendes Recht, Verwaltungspraxis, EU-Entwurf/Vorschau und reine Produktidee nicht vermischen. Bei PSD3/PSR oder Roadmap-Themen ausdrücklich als Monitoring oder Gap-Vorschau kennzeichnen.
  3. Tatbestand vor Meinung: Erst Geschäftsmodell, Zahlungsfluss, Tokenrecht, Organrolle oder Registerfunktion sauber beschreiben, dann rechtlich einordnen.
  4. Quellenhygiene: Gesetze, BaFin, Bundesbank, EBA, EZB und EUR-Lex bevorzugen. Rechtsprechung nur mit Gericht, Entscheidungsform, Datum, Aktenzeichen und freier oder amtlicher Quelle.
  5. Bankrealität: Nicht nur sagen, ob etwas erlaubt ist. Immer mitliefern: wer entscheidet, welche Unterlagen fehlen, welcher Fachbereich Owner ist und wie die Bank das dokumentiert.

Intake

Frage nur nach, wenn ohne Antwort ein falscher nächster Schritt droht. Andernfalls mit Annahmen arbeiten und sie sichtbar markieren.

  • Kerninformationen: Authentifizierungsverfahren, Betrag, Kanal, Ausnahme, Fraud, Logs, Kundenvortrag, Dienstleister.
  • Institut und Rolle: Bank, Zahlungsinstitut, E-Geld-Institut, Wertpapierinstitut, CRR-Kreditinstitut, FinTech-Tochter, Vermittler, Agent, Registerführer, CASP, Emittent oder Dienstleister.
  • Produkt oder Vorgang: Zahlungsdienst, E-Geld, Kredit, Wertpapier, Token, Register, Organwechsel, Auslagerung, Betrugsfall, Trade Finance oder Kooperation.
  • Aufsicht und Einreichweg: BaFin, Bundesbank, EZB/SSM, EBA, FIU, Register, MVP, IMAS, Bundesanzeiger, Handelsregister oder interner Ausschuss.
  • Dokumente: Produktbeschreibung, Flow-of-Funds, Vertragsentwurf, API-Doku, Token Terms, Organ-CV, Eignungsmatrix, Registerauszug, Kundenkommunikation, Logs oder Vorstandsvorlage.

Prüfaufbau

1. Kurzbild

Punkt Klärung
Ergebnisbedarf Vermerk, Freigabe, BaFin-Anfrage, Vertrag, Vorstandsvorlage oder Prozessstrategie
Rechtsregime KWG, ZAG, WpHG, WpIG, eWpG, MiCAR, DORA, GwG, BGB, HGB, AktG, SEPA-/EU-Regime oder Entwurf
Risiko Aufsicht, Bußgeld, Zivilhaftung, Organhaftung, Kundenstreit, AML, Datenschutz, IT oder Reputation
Frist Anzeige, Launch, Antwort, Rückgabe, Register, Gremium oder Verjährung
Entscheidung Go, Go mit Auflagen, Stop, BaFin-Vorabklärung oder externe Spezialprüfung

2. Subsumtion und Geschäftsmodell

Arbeite in dieser Reihenfolge:

  1. Lebenssachverhalt und Rollen in einfachen Sätzen festhalten.
  2. Geld-, Daten-, Wertpapier- oder Tokenfluss als Tabelle beschreiben.
  3. Tatbestandsmerkmale einzeln prüfen.
  4. Ausnahmen, Privilegierungen, Bestandsschutz, Übergangsregeln oder Entwurfsstand gesondert behandeln.
  5. Gegenargumente und Red-Team-Sicht der Aufsicht formulieren.
  6. Praktische Auflagen für Launch, Fortführung, Korrektur oder Ablehnung schreiben.

3. Beleg- und Unterlagenliste

Frage Beleg Fehlt Owner Wirkung
Wer erbringt welche Leistung? Vertrag, Produktbild, Prozess ... Legal/Produkt Regimewahl
Fließen Kundengelder oder Kryptowerte? Flow-of-Funds, Wallet-/Kontoauszug ... Operations/Risk Erlaubnis/Haftung
Gibt es Aufsichtskontakt? Schreiben, Ticket, Portalnachweis ... Legal/Compliance Frist/Strategie
Sind Kunden betroffen? AGB, FAQ, Beschwerde, Marketing ... Vertrieb/Legal Transparenz/Haftung

4. Ergebnis

Liefer SCA-Check, Beweismatrix, Haftungsampel, technische Fragen und Antworttext.

Baue das Ergebnis mit diesen Elementen:

  • Entscheidungssatz: Ein Satz, der intern zitiert werden kann.
  • Risikoampel: Rot/Gelb/Grün mit kurzer Begründung.
  • Auflagen: Welche Bedingungen müssen vor Go-Live oder vor Antwort erfüllt sein?
  • Offene Punkte: konkrete Rückfragen statt allgemeiner Rechercheaufträge.
  • Anschluss-Skills: passende Skills aus bank-rechtsabteilung nennen, insbesondere bafin-kommunikation-und-anhoerung, bankaufsichtsrecht-kwg-marisk-triage, dora-ict-vertraege-vorfall, gwg-aml-kyc-verdachtsmeldung, vorstandsvorlage-gutachten oder produktfreigabe-new-product-process.

Spezialhinweise

  • PSD3/PSR: Als EU-Gesetzgebungsvorschau behandeln, bis finaler Text und nationale Umsetzung/Anpassung greifbar sind. Keine Scheingeltung behaupten.
  • eWpG/MiCAR: Immer zuerst trennen, ob der Token ein Finanzinstrument, elektronisches Wertpapier, Kryptowert, E-Geld-Token, vermögenswertreferenzierter Token oder etwas anderes ist.
  • ZAG: Zahlungsfluss und Besitz an Kundengeldern sind zentral. Grafische Flow-of-Funds-Logik in Worte übersetzen.
  • Geschäftsleiter/FAP: Nicht nur Einzelperson prüfen, sondern Kollektiveignung, Zeitverfügbarkeit, Interessenkonflikte und Einreichkanal.
  • Tokenisierung: Keine Technikromantik. Rechtsposition, Register, Verwahrung, Übertragung, Verlustfall, Kundenschutz und Aufsicht zuerst.

SCA-Spezifika (PSD2)

  • Rechtsgrundlagen: Art. 97 PSD2 (RL 2015/2366) iVm § 55 ZAG, Delegierte VO (EU) 2018/389 RTS SCA (Regulatory Technical Standards), EBA Final Report on RTS Amendments, EBA Opinions zu SCA.
  • Drei-Faktoren-Modell: Wissen (PIN/Passwort), Besitz (Karte/Smartphone), Inhärenz (Biometrie); zwei unabhängige Faktoren aus verschiedenen Kategorien zwingend; "Independence" und "Dynamic Linking" (Art. 5 RTS) bei Überweisungen — Betrag und Empfänger müssen in Auth integriert sein.
  • Ausnahmen (Art. 10-18 RTS): Kontoabfragen 90-Tage-Regel (Art. 10 — Anpassung durch Delegierte VO 2022/2360 unter strengeren Bedingungen), Niedrigwertige Zahlungen (Art. 16 — bis 30 EUR/100 EUR kumulativ), Trusted Beneficiary (Art. 13), Transaktionsanalyse mit niedrigem Risk Score (Art. 18); jede Ausnahme dokumentieren und Risiko-Monitoring.
  • Haftung: § 675v BGB iVm § 675w BGB — bei fehlender SCA Bank haftet (außer Vorsatz/grobe Fahrlässigkeit Kunde); bei korrekter SCA Beweislast für Authentifizierungsmangel beim Zahler.
  • Praktiker-Tipp: Reporting nach Art. 96 PSD2 zu Major Incidents an BaFin/Bundesbank (über MVP); Phishing-Resilience prüfen (Push-Notification-Spam, OAuth-Phishing), Kundenkommunikation klare SCA-Erläuterungen ohne irreführende Versprechen; Bei Reklamation forensische Logs (Device-Fingerprint, Geolocation, Zeitstempel) für Gerichtsverfahren bereithalten.

Qualitätsgate

Vor Ausgabe prüfen:

  • Steht klar da, was geltendes Recht ist und was Entwurf/Monitoring ist?
  • Sind BaFin-/EBA-/EUR-Lex-Quellen als Live-Check markiert, wenn sie tragen?
  • Gibt es eine konkrete Unterlagenliste?
  • Ist die Bankentscheidung dokumentationsfest?
  • Sind keine BeckRS-, Juris-, Kommentar- oder Aufsatz-Blindzitate enthalten?
Install via CLI
npx skills add https://github.com/Klotzkette/claude-fuer-deutsches-recht --skill psd2-sca-strong-customer-authentication
Repository Details
star Stars 872
call_split Forks 114
navigation Branch main
article Path SKILL.md
More from Creator
Klotzkette
Klotzkette Explore all skills →