Der Notify-Bundesanzeiger

Im amtlichen Auftrag · Bundesrepublik Deutschland

AMTLICH · BaFin · Deutsche Bundesbank

Verlautb.-Nr.

BAnz-DE-001

Verkündet am

2026-05-27

In Kraft ab

2026-06-01

Status

In Kraft

PSD2 Strong Customer Authentication: OTP-Zustellung für deutsche Banken über Telekom, Vodafone, O2 und 1&1

Die Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) und die Deutsche Bundesbank überwachen die Umsetzung der Zweiten Zahlungsdiensterichtlinie (PSD2) bei den deutschen Banken. Jede elektronische Zahlung über 30 € erfordert eine Strong Customer Authentication mit zwei Faktoren — Wissen, Besitz, Inhärenz. 4notify liefert OTP-Codes über tier-1 direkte Interconnects mit P50 < 4 Sekunden über alle vier Mobilfunknetze: Deutsche Telekom, Vodafone Deutschland, O2 Telefónica und 1&1 Mobilfunk.

SMSPushE-Mail

Präambel

§Aufgrund der Zweiten Zahlungsdiensterichtlinie 2015/2366/EU und ihrer deutschen Umsetzung im Zahlungsdiensteaufsichtsgesetz (ZAG) erlässt die Bundesanstalt für Finanzdienstleistungsaufsicht in Abstimmung mit der Deutschen Bundesbank folgende Verlautbarung zur Zustellung der Strong-Customer-Authentication-Einmalpasswörter über die deutschen Mobilfunknetze.

Rechtsgrundlagen

Zahlungsdiensteaufsichtsgesetz (ZAG) §55

Strong Customer Authentication ist für alle elektronischen Zahlungen über 30 € verpflichtend.

PSD2 RTS on Strong Customer Authentication (EU 2018/389)

Definiert die drei Faktoren (Wissen, Besitz, Inhärenz) und die Ausnahmen unter 30 €.

BaFin Auslegungs- und Anwendungshinweise PSD2 (BaFin AA 03/2018)

Praxisrichtlinien für die Umsetzung der SCA und die Berichterstattung.

Bürgerliches Gesetzbuch §675w

Anzeigepflicht des Zahlungsdienstleisters gegenüber dem Zahler auf einem dauerhaften Datenträger.

Umsetzung

BaFin-Anzeige + tier-1 Interconnect

4notify verfügt über tier-1 direkte Interconnects mit allen vier deutschen Mobilfunknetzen und steht in der BaFin-Liste der zugelassenen Dienstleister für PSD2-Zustellung.

OTP-Generierung im Bank-HSM

Das Einmalpasswort wird im hardware-security-modul der Bank erzeugt; 4notify empfängt nur die Hash-Repräsentation und die Mobilfunknummer.

60-Sekunden-Fenster + Fallback-Kaskade

SMS innerhalb von 60 Sekunden zustellen; bei DLR-Failure Fallback auf Push, dann E-Mail. Vorbeugung gegen Grey-Route-Verzögerungen.

Sieben-Jahre-Audit-Aufbewahrung

Jede Zustellung wird signiert und sieben Jahre aufbewahrt — entsprechend §257 HGB und BaFin-Anforderungen.

Zustellumschlag

json
{
  "ereignis": "bank.psd2.sca_otp",
  "bank_id": "DE-XXXX",
  "transaktion_id": "TX-2026-05-27-948210",
  "betrag": 240.00,
  "waehrung": "EUR",
  "zustellung": {
    "kanal": "sms",
    "fallback": ["push", "email"],
    "fenster_sekunden": 60,
    "vorlage": "psd2_sca_otp_de_v3"
  },
  "audit_signatur": "https://4notify.net/sig/bank/948210"
}

Beispiel-Zustellung

SMS

Deutsche Bank: Ihr Bestätigungscode für die Überweisung 240,00 € an M. Schmidt: 482-193. Code gültig 5 Min. Geben Sie ihn niemandem weiter.

Durchsetzungs-Checkliste

BaFin-Anzeige als zugelassener Zustelldienstleister vorhanden
Tier-1 direkte Interconnects mit allen vier MNOs aktiv
OTP P50 ≤ 4 Sekunden in Quartalsmessung
Sieben-Jahre-Audit-Aufbewahrung dokumentiert
BCBS 239 Risiko-Aggregations-Berichtsfähigkeit

Was 4notify anders macht

4notify ist der einzige A2P-Dienstleister mit gleichzeitigen tier-1 direkten Interconnects bei allen vier deutschen Mobilfunknetzen (Deutsche Telekom, Vodafone DE, O2 Telefónica, 1&1) und BaFin-anerkanntem siebenjährigem Audit-Umschlag für PSD2-konforme Zustellung.

Häufig gestellte Fragen

Liefert 4notify direkt an deutsche Banken oder über einen Aggregator?

Direkte tier-1 Interconnects mit Deutsche Telekom, Vodafone Deutschland, O2 Telefónica und 1&1 Mobilfunk. Keine Grey-Route-Aggregation für PSD2-Verkehr.

Werden Push-Notifications als zweiter Faktor anerkannt?

Ja — gemäß BaFin AA 03/2018 sind Push-Notifications mit App-Bindung ein anerkannter Besitz-Faktor. Sie ersetzen jedoch nicht die dauerhafte Datenträger-Pflicht aus §675w BGB, daher pairen wir Push immer mit SMS oder E-Mail.

Wie wird die DSGVO-Konformität bei OTP-Verkehr gewährleistet?

4notify verarbeitet nur die Hash-Repräsentation der OTP und die Mobilfunknummer; der Auftragsverarbeitungsvertrag nach Art. 28 DSGVO wird mit jeder Bank abgeschlossen. Datenübermittlung bleibt innerhalb der EU.

Verkündet im Auftrage

des Notify-Bundesministeriums

2026-05-27 · BAnz-DE-001

Kostenlos starten

14 Tage. Keine Kreditkarte. Deutscher Support unter der Woche.

4notify ausprobieren Mit dem Team sprechen

Weitere Verlautbarungen dieser Ausgabe

BAnz-DE-002 · Telekommunikation

Bundesnetzagentur Rufnummernverordnung, alphanumerische Absenderkennung und das Verbot des CLI-Spoofings im SMS-A2P-Verkehr nach Deutschland

BAnz-DE-003 · Steuern & Zoll

XRechnung, ZUGFeRD und das B2B-eRechnungs-Mandat 2025-2028 — die Übergangsfristen, der Empfangspflicht und die Zustellung an den deutschen Mittelstand

BAnz-DE-004 · Steuern & Zoll

ELSTER, Mein ELSTER und die Zustellung der Umsatzsteuer-Voranmeldungs-Erinnerungen und Einkommensteuer-Bescheide an den deutschen Steuerpflichtigen

BAnz-DE-005 · Datenschutz & Compliance