BaFin äußert Sorge wegen PSD2-APIs der Kreditinstitute – die Einordnung durch KPMG Law

Nach den Vorgaben der Zweiten Zahlungs­dienste­richtlinie der Europäischen Union gelten ab dem 14. September 2019 verschärfte Sicherheitsvorschriften für elektronisch angebotene Zahlungsdienste. Unter anderem müssen die kontoführenden Zahlungs­dienstleister, die Kreditinstitute, für eine „starke Kundenauthentifizierung“ sorgen. Danach müssen sie sicherstellen, dass ein elektronischer Online-Zugriff auf Zahlungskonten durch den Konto­inhaber/Zahler oder – in dessen Auftrag durch einen Zahlungsdienstleister – grundsätzlich nur noch dann möglich ist, wenn sich der Zahler durch eine sogenannte starke Kunden­authentifi­zierung legitimiert. Aber auch in Bezug auf die “dedizierte Schnittstelle” setzt die BaFin Zeichen.

von Rechtsanwälten Miriam Bouazza und Dr. Peter Schad, KPMG Law

Die Zweite Zahlungsdiensterichtlinie setzt voraus, dass zwei von drei Elementen der Kategorie „Wissen“ (z.B. PIN), „Besitz“ (Mobiltelefon, Software) und Inhärenz (etwas, das der Nutzer ist, zum Beispiel Fingerabdruck) von dem Zahler eingesetzt werden, um sich und den Zugriff auf das Zahlungskonto zu legitimieren.

Ferner gibt sie und die sie ergänzende Delegierte Verordnung der EU-Kommission vom 27.11.2017 vor, dass die Kreditinstitute für sichere und offene Kommunikationsstandards und Schnittstellen zu sorgen haben, über die Kontoinhaber/Zahler aber auch von ihnen beauftragte Zahlungsdienstleister, wie etwa Kontoinformationsdienstleister und Zahlungsauslösedienstleister, Zugriff auf online zugängliche Zahlungskonten nehmen können.

Dabei wird es den Kreditinstituten überlassen, ob sie den Zahlungsdienstleistern dieselbe Schnittstelle zur Verfügung stellen, welche die Kontoinhaber/Zahler selbst nutzen, wenn sie online auf ihr Zahlungskonto zugreifen, oder ob sie den Zahlungsdienstleistern eine gesonderte Schnittstelle (eine sogenannte „dedizierte Schnittstelle“) zur Verfügung stellen!”

In ihrem Schreiben vom 14. August an die deutsche Kreditwirtschaft und die Zahlungsauslöse- und Kontoinformationsdienstleister äußert nunmehr die BaFin ihre Sorge hinsichtlich dieser dedizierten Schnittstellen. Dabei betont die Aufsichtsbehörde ausdrücklich, dass die dedizierten Schnittstellen für die Zahlungsdienstleister durch die Kreditinstitute so auszugestalten sind, dass sie von den Zahlungsdienstleistern ohne Hindernisse benutzt werden können, und nennt Beispiele, was sie darunter versteht:

So sieht die BaFin etwa ein Hindernis darin, wenn über eine solche Schnittstelle (zusätzlich) manuell Daten wie etwa die IBAN eingegeben werden müssen. Die Aufsichtsbehörde sieht zudem die gesetzlichen Anforderungen an solche dedizierten Schnittstellen nicht als erfüllt an, wenn sie für Kontoinformationsdienstleister etwa keine Daueraufträge anzeigen.

Notfallmechanismus vermeiden?

Hintergrund für das BaFin-Schreiben scheint zu sein, dass offenbar mehrere Kreditinstitute bei der BaFin den Antrag gestellt haben, einen „Notfallmechanismus“ für die Schnittstellen der Zahlungsdienstleister nicht bereitstellen zu müssen. Allerdings:

Dieser – von der Delegierten Verordnung als Regelfall vorgesehene Notfallmechanismus – soll sicherstellen, dass die Zahlungsdienstleister anderweitig auf die Zahlungskonten zugreifen können, falls die dedizierte Schnittstelle nicht die vorgesehene Leistung erbringt, nicht verfügbar ist oder ein Systemausfall eintritt.”

Die Aufsichtsbehörde merkt in ihrem Schreiben an, dass sie „funktionale“, nicht ausschließlich institutstypische Mängel und technische Probleme für eine erfolgreiche Migration auf diese neuen Schnittstellen bis zum 14. September sehe. Andererseits sprechen die von der BaFin erwähnten Beispiele, was sie unter der Ausgestaltung der dedizierten Schnittstelle „mit Hindernissen“ versteht, dafür, dass die Aufsichtsbehörde meint, dass einige Kreditinstitute versuchen, die Zahlungsauslöse- und Kontoinformationsdienstleister zu behindern.

Zahlungsauslöse- und Kontoinformationsdienstleister sind mittlerweile an vielen Stellen im Internet tätig und bieten etwa im Online-Handel Händlern die Bezahlung des Kaufpreises durch ihre Kunden über Zahlungsauslösedienstleister an. Dies beschleunigt die Abwicklung des Geschäftes erheblich, weil der Kunde dem Zahlungsdienstleister erlaubt, die Zahlung direkt auf seinem Konto anzustoßen. Zahlungsauslöse- und Kontoinformationsdienstleister bieten jedoch auch mittlerweile webbasierte Buchhaltungssoftware an, die es ihren Nutzern ermöglicht, Überweisungen direkt aus der Buchhaltung heraus auf solchen Bankkonten auszulösen, die zuvor mit der Buchhaltungssoftware verknüpft worden sind. Oftmals können dann auch Kontostände und -umsätze angezeigt und in der Buchhaltung direkt verarbeitet werden (Kontoinformationsdienste). Auch Anbieter von Multi-Banking-Apps oder Finanz-Apps nutzen Kontoinformationsdienste und ermöglichen es so ihren Nutzern, die Kontoumsätze aller angeschlossenen Bankkonten in einer einzigen App einzusehen. Sie brauchen sich dann nicht mehr über die Onlinebanking-Funktionen bei den einzelnen Kreditinstituten einzuloggen.

Hindernisse werden von der BaFin überprüft

Die BaFin merkt in ihrem Schreiben an, dass sie bei der Prüfung, ob Kreditinstitute ihre Schnittstellen mit Hindernissen versehen haben, auch auf die Rückmeldungen von Zahlungsauslöse- und Kontoinformationsdienstleister berücksichtigen wird. Derartige Rückmeldungen scheinen bereits vorzuliegen. So wird darüber berichtet, dass bei manchen Kreditinstituten die Testsysteme für die dedizierten Schnittstellen nicht verfügbar seien oder die Testsysteme einiger Kreditinstitute von deren Produktivsystemen abweichen.

Ferner würde eine Reihe von Kreditinstituten bei der Durchführung der starken Kundenauthentifizierung auf von ihnen selbst entwickelte Smartphone-App-Verfahren setzen und bietet alternative Verfahren der starken Kundenauthentifizierung (wie etwa SMS TAN) nur noch kostenpflichtig an.”

Nachdem diese App-Implementierungen nicht kompatibel mit den derzeit genutzten Schnittstellen seien, würde dies faktisch dazu führen, dass Nutzer von Zahlungsauslöse- und Kontoinformationsdiensten nur noch kostenpflichtig auf ihre Zahlungskonten zugreifen können. Damit würden die Kreditinstitute versuchen, über den Zugang zu ihren Zahlungskonten, ihre Wettbewerbssituation gegenüber den Zahlungsinstituten zu verbessern.

Zudem, so die Zahlungsauslöse- und Kontoinformationsdienstleister, würden manche Schnittstellen der Kreditinstitute nicht den gesetzlichen Vorgaben der delegierten Verordnung entsprechen.”

So würden manche Banken dazu übergehen, den Nutzern keine TAN mehr anzuzeigen, wenn sie sich etwa über Fingerabdruck identifiziert haben. Diese TAN wird jedoch von den Zahlungsauslöse- und Kontoinformationsdienstleistern benötigt, um ihre Zahlungsdienste ausführen zu können. Tatsächlich schreibt die Delegierte Verordnung vor, dass eine starke Kundenauthentifizierung einen Authentifizierungscode nach sich ziehen muss.

Die BaFin stellt in ihrem Schreiben vom 14. August klar, dass „sie erwarte“, dass die in Deutschland von den Zahlungsdienstleistern derzeit genutzten (und funktionierenden) Schnittstellen der Kreditinstitute bis auf Weiteres weiter genutzt werden können, und lädt die Vertreter der Kreditwirtschaft und der Zahlungsinstitute ein zu einem Workshop Anfang September.”

Es bleibt abzuwarten, zu welchem Ergebnis die beteiligten Zahlungsdienstleister und die BaFin kommen werden. Jedenfalls scheint jedoch der Termin des 14. September insoweit „entschärft“ zu sein, dass die Aufsichtsbehörde angeordnet hat, dass die Zahlungsinstitute die bisherigen Schnittstellen erst einmal weiter nutzen können müssen.RAs Miriam Bouazza und Dr. Peter Schad, KPMG