Anzeige
STRATEGIE6. Dezember 2016

260 Stellungnahmen zur PSD2: Streit über technische Standards (RTS) führt zu weiterer Verzögerung!

Dr. Christian Conreder, Rechtsanwalt, ist Manager bei der KPMG Rechtsanwaltsgesellschaft mbH am Standort Hamburg und Mitglied der Praxisgruppe Financial ServicesKPMG
Dr. Christian Conreder, Rechtsanwalt, ist Manager bei der KPMG Rechtsanwaltsgesellschaft mbH am Standort Hamburg und Mitglied der Praxisgruppe Financial ServicesKPMG

Die European Banking Authority (EBA) hat am 12. August 2016 ein Konsultationspapier sowie Entwürfe der RTS zur starken Kunden­au­then­ti­fi­zierung sowie zur gemeinsamen sicheren Kommunikation unter der Payment Service Directive 2 (PSD2) veröffentlicht (mehr dazu hier). Seit Beginn des Konsultationsprozesses zu den RTS-Entwürfen sind ca. 260 Stellungnahmen bei der EBA eingegangen. Insbesondere hat auch der Ausschuss für Wirtschaft und Währung des Europäischen Parlaments (ECON) zahlreiche Kritikpunkte an den RTS-Entwürfen geäußert. Dies deutet darauf hin, dass es noch zu erheblichen Anpassungen bis zur Veröffentlichung der endgültigen RTS kommen wird.

von Dr. Christian Conreder, Rechtsanwalt & Manager, KPMG Rechtsanwaltsgesellschaft

Der ECON hat sich am 24. Oktober 2016 in den Konsultationsprozess zu den RTS Entwürfen der EBA zur starken Kundenauthentifizierung sowie zur gemeinsamen sicheren Kommunikation unter der PSD2 eingeschaltet. Die Stellungnahme des ECON enthält zahlreiche Kritikpunkte an den RTS-Entwürfen der EBA.

Im Wesentlichen handelt es sich dabei um die folgenden Punkte

1. Bankenschnittstellen
Der ECON äußert seine Bedenken zu den Regelungen der RTS hinsichtlich den Bankenschnittstellen. Er kritisiert insbesondere, dass der RTS-Entwurf nicht vorsieht, dass das übliche Online-Banking als Zugang für dritte Zahlungsdienstleister ebenfalls zur Verfügung zu stellen ist („direct access“). Eine ausschließlich für dritte Zahlungsdienstleister geschaffene Schnittstelle, wie sie der RTS-Entwurf vorsieht, ist hingegen nicht ausreichend und verstößt nach Ansicht des ECON gegen die Vorgaben der PSD2.

2. Ausnahmen zur starken Kundenauthentifizierung
Die im RTS-Entwurf der EBA zur starken Kundenauthentifizierung enthaltenen Ausnahmen sind unklar und im Ergebnis zu eng. Insbesondere ist keine Möglichkeit vorgesehen, weitere Ausnahmen nach einer risikobasierten Analyse von bestimmten Zahlungspraktiken einzuführen. Außerdem muss nach Ansicht des ECON klargestellt werden, ob die Ausnahmen optional oder zwingend sind.

3. Schwellenwerte
Der ECON bemängelt schließlich die Schwellenwerte für die Ausnahmen zur starken Kundenauthentifizierung. Nach Ansicht der ECON ist der Schwellenwert von EUR 10 bei Fernzahlungen zu niedrig. Auch bei den kontaktlosen Zahlungen sind die Maximalbeträge ebenfalls anzuheben, bei deren Überschreitung eine erneute starke Kundenauthentifizierung gefordert wird.

Die kühle Reaktion der EBA – trotzdem Verschiebung

Die EBA hat auf die Stellungnahme des ECON in der vergangenen Woche reagiert und dargelegt, dass sie in vielen Punkten eine andere Ansicht vertritt:

1. Weder die PSD2 noch die darauf basierenden Vorschläge der EBA schreiben einen umfassenden direkten Zugang über alle Kundenkanäle für dritte Zahlungsdienstleister zu den Zahlungskonten bei kontoführenden Zahlungsdienstleistern vor. Nach Ansicht der EBA enthalte die PSD2 ohnehin keine konkrete Definition eines direkten Zugangs zu den Zahlungskonten oder eine Antwort auf die Frage, ob ein Zugriff via „Screen Scraping“ als direkter Zugang zu werten ist.

2. Eine Erweiterung der im RTS-Entwurf enthaltenen Ausnahmen nach einer risikobasierten Analyse würde den Anwendungsbereich der starken Kundenauthentifizierung zu stark einschränken. Vielmehr ist die risikobasierte Analyse als zusätzliches Sicherheitsverfahren neben der starken Kundenauthentifizierung zu sehen.

3. Die EBA wird jedoch kritisch prüfen, ob eine Veränderung der Schwellenwerte bei Fernzahlungen und bei kontaktlosen Zahlungen sinnvoll ist.

Besonders beachtenswert für Banken und dritte Zahlungsdienstleister ist, dass es nach Angaben der EBA mit großer Wahrscheinlichkeit zu einer Verschiebung des Veröffentlichungsdatums der RTS um mindestens einen Monat kommen wird.

Autor Dr. Christian Conreder
Dr_Conreder_Chrsitian_KPMG-516Dr. Christian Conreder, Rechtsanwalt, ist Manager bei der KPMG Rechtsanwaltsgesellschaft mbH am Standort Hamburg und Mitglied der Praxisgruppe Financial Services. Der Schwerpunkt seiner anwaltlichen Tätigkeit bildet das Bank- und Bankaufsichtsrecht mit einem Fokus auf den Bereich des Zahlungsverkehrs. Er berät u.a. Banken, Zahlungsdienstleister, Kartenemittenten und FinTechs in zivil- und aufsichtsrechtlichen Fragestellungen.
Die RTS werden damit wohl frühestens im Februar 2017 von der EBA veröffentlicht und nicht – wie bisher geplant – am 12. Januar 2017. Damit dürfte es also auch zu einer Verschiebung der Umsetzungspflicht bezüglich der Artikel der PSD2 kommen, die sich mit starker Kundenauthentifizierung und Standards für die gemeinsame sichere Kommunikation befassen. Denn nach Art. 115 Abs. 4 PSD2 müssen die in Artikeln 65, 66, 67 und 97 genannten Sicherheitsmaßnahmen 18 Monate nach dem Inkrafttreten des in Art. 98 genannten RTS angewendet werden.

Die Vielzahl der Stellungnahmen zu den RTS-Entwürfen sowie die Ausführungen des ECON belegen, dass die RTS-Entwürfe zu den Anforderungen an eine starke Kundenauthentifizierung und gemeinsame sichere Kommunikation noch zahlreiche Schwachstellen aufweisen. Die Verschiebung der Veröffentlichung der RTS zeigt, dass wohl auch die EBA selbst noch einigen Anpassungsbedarf sieht. Banken und Dritte Zahlungsdienstleister sollten den Konsultationsprozess daher sorgsam beobachten und sich auf Änderungen bei den endgültigen Fassungen der RTS im Vergleich zu den Entwurfsfassungen einstellen.aj

Schreiben Sie einen Kommentar

Ihre E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert