STRATEGIE29. Aug. 2016

EBA legt Entwürfe für die Anforderungen der PSD2-API von Banken vor – Wenig Licht am Ende des Tunnels?

Dr. Christian Conreder, Rechtsanwalt, ist Manager bei der KPMG Rechtsanwaltsgesellschaft mbH am Standort Hamburg und Mitglied der Praxisgruppe Financial ServicesKPMG
Dr. Christian Conreder, Rechtsanwalt, ist Manager bei der KPMG Rechtsanwaltsgesellschaft mbH am Standort Hamburg und Mitglied der Praxisgruppe Financial Services.KPMG

Die European Banking Authority („EBA“) hat am 12. August 2016 ein Konsultationspapier inklusive eines Entwurfs technischer Regulierungsstandards (RTS) zur starken Kundenauthentifizierung sowie zu Standards für die Kommunikation zwischen Dritten Zahlungsdienstleistern, wie bspw. Konto­infor­mations­diensten und Zahlungsauslösediensten, und Banken vorgelegt.

von Dr. Christian Conreder, Rechtsanwalt & Manager – in Zusammenarbeit mit RA Andres Prescher (beide KPMG Rechtsanwaltsgesellschaft)

Art. 98 PSD2 sieht vor, dass die EBA in enger Zusammenarbeit mit der Europäischen Zentralbank („EZB“) und nach Anhörung aller maßgeblichen Akteure technische Regulierungsstandards ausarbeitet. Vor diesem Hintergrund hat die EBA bereits am 8. Dezember 2015 ein Diskussionspapier zu den Themen starke Kundenauthentifizierung und Kommunikation zwischen Dritten Zahlungsdienstleistern und Banken veröffentlicht. Hieraus ist das nun vorliegende Konsultationspapier einschließlich der Entwürfe technischer Regulierungsstandards entstanden.

Spannend ist insbesondere für Banken und Dritte Zahlungsdienstleister, wie die Schnittstelle für die Kommunikation zwischen den Akteuren aussehen wird. Über diese Schnittstelle werden zukünftig die Dienste der Dritten Zahlungsdienstleister ermöglicht, für die ein Zugriff auf das Kundenkonto erforderlich ist. Erwartungsgemäß stellt Art. 19 der Entwürfe der RTS, der die Anforderungen an die Kommunikationsschnittstellen von kontoführenden Zahlungsdienstleistern regelt, kaum technische Spezifikationen dar, sondern beschränkt sich lediglich auf funktionale und nichtfunktionale Anforderungen an die technischen Systeme von Banken.

Autor Dr. Christian Conreder
Dr_Conreder_Chrsitian_KPMG-516Dr. Christian Conreder, Rechtsanwalt, ist Manager bei der KPMG Rechtsanwaltsgesellschaft mbH am Standort Hamburg und Mitglied der Praxisgruppe Financial Services. Der Schwerpunkt seiner anwaltlichen Tätigkeit bildet das Bank- und Bankaufsichtsrecht mit einem Fokus auf den Bereich des Zahlungsverkehrs. Er berät u.a. Banken, Zahlungsdienstleister, Kartenemittenten und FinTechs in zivil- und aufsichtsrechtlichen Fragestellungen.

Im Einzelnen müs­sen kontofüh­r­en­de Zahlungs­dienst­leis­ter, die dem Zah­ler ein Konto mit Online-Zugang anbie­ten, min­des­tens ei­ne Kommunikati­ons­schnitt­stel­le anbie­ten, die den Kontoin­formati­ons­dienst­leistern, Zahlungs­auslösedienst­leistern und Zahlungs­dienst­leis­ter, die kar­ten­gebun­dene Zahlungs­in­strumente aus­ge­ben, folgen­de drei Nutzungs­möglichkei­ten kumu­lativ zur Verfügung stellen:

I. Müssen sich diese gegenüber dem kontoführenden Zahlungsdienstleister identifizieren können.
II. Müssen sie sicher mit dem kontoführenden Zahlungsdienstleister kommunizieren können, um Zahlungskonteninformationen anzufragen, Zahlungen auszulösen und Bestätigungen zu erhalten, ob der für die Ausführung einer kartenbasierten Zahlung erforderliche Betrag auf dem Zahlungskonto des Zahlers verfügbar ist.
III. Müssen sie sich auf die Authentifizierungsverfahren des kontoführenden Zahlungsdienstleisters verlassen können.

Insbesondere hinsichtlich der Authen­ti­fi­zierungs­ver­fahren sind ergänzend folgende Aspekte zu beachten:

1. Muss die Möglichkeit des Kontoinformationsdienstleisters oder Zahlungsauslösedienstleisters bestehen, den kontoführenden Zahlungsdienstleister anzuweisen, den Authentifizierungsprozess zu starten
2. Muss der Aufbau und die Aufrechterhaltung eines Kommunikationsvorgangs zwischen den beteiligten Parteien während des Authentifizierungsprozesses gewährleistet werden.
3. Muss der Schutz der Integrität und Vertraulichkeit der persönlichen Sicherheitsmerkmale und Authentifizierungscodes gewährleistet werden, wenn diese vom Zahlungsauslösedienstleister oder Kontoinformationsdienstleiter übertragen werden.

Schließlich müssen die Kommunikationsschnittstellen ISO 20022 und anderen Kommunikationsstandards entsprechen.

Darüber hinaus ist eine Dokumentation der technischen Spezifikation der Kommunikationsschnittstelle von den kontoführenden Zahlungsdienstleistern auf ihrer Webseite kostenlos und öffentlich zur Verfügung zu stellen – einschließlich einer Liste von Routinen, Protokollen und Tools, die erforderlich sind, um mit dem System zu interagieren. Veröffentlichungen von Änderungen an den technischen Spezifikationen sind so früh wie möglich, spätestens jedoch drei Monate vor der Implementierung der Änderung (außer in Notfällen) vorzunehmen.

Die Kommunikationsschnittstelle muss das gleiche Servicelevel (einschließlich Support) bieten, wie die eigene Online-Banking-Plattform; Statistiken über die Verfügbarkeit der Kommunikationsschnittstelle sind den zuständigen Behörden auf Anfrage zur Verfügung zu stellen.

Weiterhin muss eine Testfunktion einschließlich Support angeboten werden, um Drittanbietern den Test ihrer Software und Applikationen zu ermöglichen.

Der RTS-Entwurf konkretisiert zwar die Regelungen der PSD2 und ist gegenüber dieser auch detaillierter. Allerdings bewegt er sich aber auf einem recht hohen Abstraktionsniveau, so dass er für die Implementierung der Schnittstelle nur von geringer Hilfe sein wird.“

Die Konsultationsphase des vorgelegten EBA-Papiers läuft bis zum 12. Oktober 2016. Anschließend wird die EBA bis zum 12. Januar 2017 den finalen RTS-Entwurf veröffentlichen. Da der RTS gemäß der PSD2 jedoch erst 18 Monate nach seiner Annahme durch die EU-Kommission anwendbar sein wird, ist mit dessen Anwendbarkeit nach aktuellem Stand frühestens im Oktober 2018 zu rechnen. Der RTS soll in Form einer sog. Delegierten Verordnung erlassen werden und wäre dann unmittelbar in allen Mitgliedstaaten anwendbar. Spielräume für eine nationale Umsetzung bestehen dann nicht mehr.

Text in Zusammenarbeit mit RA Andres Prescher (KPMG Rechtsanwaltsgesellschaft mbH)

Sie finden diesen Artikel im Internet auf der Website:
http://www.it-finanzmagazin.de/?p=35698
1 Stern2 Sterne3 Sterne4 Sterne5 Sterne (14 Stimmen, Durchschnitt: 4,21 von maximal 5)
Loading...

Schreiben Sie einen Kommentar

Ihre E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

Unfallhelden
Unfallhelden: Versicherungs-Assistance zum Nulltarif

Eigentlich sind Assistance-Leistungen die ureigenste Domäne der Versicherer - besser gesagt: sollten Sie sein. Nun startet mit Unfallhelden ein FinTech, dass einige Versicherer nachdenklich machen...

Schließen