PSD2 und die Drittanbieter: Nur administrativ-technischer Aufwand oder Chance zur Erneuerung?  

Durch die technische Innovation der letzten Jahre sind die bisherigen PSD-Richtlinien teilweise überholt. Der Regulator fordert deshalb mehr Sicherheit von Zahlungsdiensten und dem Zahlungsverkehr, da Verbraucherschutz und Rechtssicherheit sich an der aktuellen Technologie orientieren müssen. Zudem soll eine transparente Marktregulierung auch Drittanbieter einschließen. Diese Standards werden nun mit PSD2 geschaffen werden.

von Aline Weirich (regulatorische Projektleiterin) und Eugen Hölzl (technischer Projektleiter), Visco Consulting

Drittanbieter erhalten mit Einwilligung des Kunden via PSD2 das Recht, spezifische Informationen von der Bank des Kunden abzurufen, um damit Leistungen für den Kunden zu erbringen. Mit diesem neuen Recht sind jedoch auch Pflichten verbunden. Neben Anforderungen, die von Banken und Drittdienstleistern zu beachten sind, bieten sich aber auch neue Chancen für Banken.

Der Countdown läuft längst …

Am 13. Januar 2018 muss die neue Richtlinie PSD2, die am 23.12.2015 verabschiedet wurde, (mit Ausnahme der Artikel 65, 66, 67 und 97 EBA/RTS) in nationales Recht umgesetzt sein. Dabei werden auch Zahlungsdienstleister außerhalb der EU angesprochen, sofern der Zahlungsdienst innerhalb der EU erbracht wird.

Hinzu kommt, dass ein EBA Register (EBA-Register “European Banking Association”) der Zahlungsdienstleister mit Veröffentlichung von Name und Standort der Drittanbieter in Zukunft eine höhere Transparenz über die Marktteilnehmer ermöglichen soll.

Durch bestehende Gesetzgebungen (KWG,  MaRisk, BGB,  EGBGB, BDSG, TMG und GoBD (GoBD  “Grundsätze zur ordnungsmäßigen Führung und Aufbewahrung von Büchern, Aufzeichnungen und Unterlagen in elektronischer Form sowie zum Datenzugriff“)) sind viele der Anforderungen bereits geläufig; allerdings werden die bereits bestehenden, allgemein angesetzten Bestimmungen nun mit der PSD2 konkret auf Zahlungsdienstleister fokussiert.

Somit erweitert sich der Kreis der Regulierung auch auf Drittdienstleister.”

Rechte und Plichten für Drittanbieter

Spezifische Regelungen, u.a. zum Kontozugang für Drittanbieter (Erweiterung des Zahlungsdienstekatalog §1 Abs. 1 S.2 Nr. 7,8 ZAG-E), starke Kundenauthentifizierung sowie der Umgang mit missbräuchlichen Transaktionen stehen im Fokus der neuen Richtlinie.

Als Drittanbieter im Sinne der Richtlinie werden Zahlungsauslösedienste, Kontoinformationsdienste sowie Herausgeber von Zahlungsinstrumenten (bspw. Kreditkartenemittenten) verstanden.”

Zahlungsauslöse- sowie Informationsdienste fallen unter den Begriff der erlaubnisfreien Dienstleistungen (§1 Abs 10 Nr. 9 ZAG). Die Behandlung als auch die Rechte und Pflichten dieser Anbieter sind dementsprechend ähnlich.

Die PSD2-Richtlinie versteht unter einem „Zahlungsauslösedienst“ einen Service, der im Auftrag eines Kunden einen Zahlungsauftrag von einem bei einer Bank geführten Zahlungskonto des Kunden auslöst (Artikel 4 Nr. 15 PSD2). Durch die neue Regelung kann der Zahlungsempfänger schneller Gewissheit über das Auslösen einer Zahlung erhalten, um so die Ware/Dienstleistung ebenfalls schneller versenden zu können.

Als „Kontoinformationsdienst“ hingegen bezeichnet man einen Dienst, der Informationen von Zahlungskonten bei Banken abfragt und sie dem Kunden mitteilt. Wenn der Zahlungsinformationsdienst diese Informationen von allen Konten des Kunden erhebt, strukturiert und aufbereitet, kann der Kunde dadurch – idealerweise in Echtzeit – einen Überblick über seine finanzielle Situation erhalten.

Voraussetzungen für Drittanbieter

Um zunächst als dritter Zahlungsdienstleister zugelassen zu werden, ist die Erfüllung einiger Voraussetzungen notwendig. Zum einen ist es erforderlich, eine BaFin-Zulassung in Form eines sogenannten EU-Passportings zu erhalten. Diese gibt die Berechtigung, Finanzgeschäfte zu tätigen, die innerhalb der Europäischen Union erbracht werden.

Als nächste Voraussetzung muss der Dienstleister sicherstellen, dass die technischen Standards der EBA sowie die Anforderungen an die Schnittstelle zur Bank eingehalten werden.”

Zudem darf der Drittanbieter zu keinem Zeitpunkt im Besitz von Fremdgeldbeträgen sein. Ebenso ist die Speicherung sensibler Zahlungsdaten und die Weiterverwertung der Daten, z.B. Verkauf von Kontaktdaten für Werbemaßnahmen oder die Übermittlung des Kontostandes unzulässig. Hintergrund: Aus den Materialien der den MaSI zugrunde liegenden EBA-Leitlinien ist zu entnehmen, dass unter sensiblen Daten alle Daten gemeint sind, die für Betrugszwecke bei Internetzahlungen missbraucht werden können. Dazu gehören
1. Daten, die dazu dienen, eine Internetzahlung auszulösen,
2. Daten, die für die Kundenauthentifizierung verwendet werden,
3. Daten, die der Bestellung und Übermittlung von Zahlungsinstrumenten für die Durchführung von Internetzahlungen oder Kundenauthentifizierung dienen, sowie
4. Daten, welche – wenn diese verändert werden – die Fähigkeit des jeweils legitimierten Kunden beeinflussen.

Als weitere Voraussetzung muss der Dienstleister garantieren, dass er über sichere Kanäle zur Übermittlung der Daten verfügt und keine anderen Parteien außer dem Zahler selbst sowie dem Herausgeber der Sicherheitsmerkmale Zugang zu den Informationen haben.

Darüber hinaus ist die ausdrückliche Zustimmung der Datenabfrage oder der Zahlungsauslösung des Zahlers erforderlich.

Zugangsberechtigung für Drittanbieter

Eine der gravierendsten neuen Bestimmungen ist, dass eine Bank (Kontoführendes Zahlungs­institut) einen Zugang für Drittanbieter zum Konto ermöglichen muss. Eine Ablehnung des Zugangs ist nur zulässig, wenn die Vermutung eines betrügerischen, nicht autorisierten Zugangs naheliegt. In diesem Fall ist der Kunde unverzüglich zu den Gründen der Verweigerung zu informieren.”

Mit der Pflicht, dem Drittanbieter Zugang zu spezifischen Informationen zu gewähren, sind bestimmte Folgepflichten verbunden.

Zum einen muss die Bank nachweisen, dass sie mit dem Zahlungsauslösedienstleister auf eine sichere Weise kommuniziert und zum anderen muss sie gewährleisten, dass nur die Informationen weitergegeben werden, die angefragt wurden. So darf die Bank bei der Abfrage, ob eine Überweisung getätigt werden kann, lediglich mit „Ja“ oder „Nein“ antworten. Dabei ist beispielsweise die Höhe des Kontostandes nicht erforderlich (§ 48 ZAG). Dies bestärkt der Gesetzgeber, indem der Zahlungsauslösedienst auch gar keine anderen Daten verlangen und zudem auch keine sensiblen Zahlungsdaten speichern darf (§ 49 ZAG).

Ähnlich verhält es sich bei den Kontoinformationsdiensten. Auch hier muss die ausdrückliche Zustimmung des Nutzers vorhanden sein. Zudem dürfen nur Daten abgefragt werden, die unmittelbar zum Zwecke der Bereitstellung der vom Nutzer angeforderten Informationen dienen. Der Kontoinformationsdienstleister darf dabei keine sensiblen Zahlungsdaten anfordern, die mit den Zahlungskonten in Zusammenhang stehen (§ 51 ZAG). Darüber hinaus ist zu erwähnen, dass grundsätzlich kein Vertrag zwischen Kontoinformationsdienst sowie der Bank notwendig ist, um Informationen weiterzuleiten.

Die PSD2-Richtlinie orientiert sich mit ihren Anforderungen der Authentifizierung stark an den Empfehlungen der SecuRe Pay. Demnach ist die Nutzung von mindestens zwei Elementen notwendig.”

Hierbei sind drei Kategorien von Elementen möglich: Wissen (z.B. PIN, Passwort), Besitz (z.B. Smartphone, Smartcard, Token) und Inhärenz (z.T. auch als biometrisches Merkmal bezeichnet, bspw. Fingerabdruck, Augenscan). Neu ist im Hinblick auf die elektronischen Zahlungsvorgänge, dass die Kundenauthentifizierung dabei einen dynamischen Code (z.B. via SMS oder Mobile TAN) enthalten muss (§ 55 (2) ZAG).

Für die Authentifizierung in Bezug auf Drittparteien (Artikel. 87) bedeutet dies, dass die Authentifizierungsverfahren der Bank genutzt werden dürfen (§ 55 (4) ZAG). D.h., Drittanbieter benötigen kein eigenes Authentifizierungsverfahren, sondern können sich an das der jeweiligen Bank anlehnen.”

Die EBA verpflichtet sich zudem, die Zahlungsdienstleister (Artikel 1, Absatz 1 PSD2) kontinuierlich über den neusten Stand der Kundenauthentifizierung mit jeglichen Ausnahmen der verstärkten Kundenauthentifizierung zu unterrichten (Artikel 87 Nr. 3 PSD ll).

Ausnahmen hinsichtlich der Authentifizierung sind möglich. Ein gängiges Beispiel hierfür sind Kleinbetrags-Zahlungen für Zahlungsinstrumente, die nur einzelne Zahlungsvorgänge bis höchstens 30 EUR zulassen, eine Ausgabenobergrenze von 150 EUR haben, oder Geldbeträge bis maximal 150 EUR speichern können (Artikel 42 PSD ll).

Drittdienstleister werden ausschließlich über eine dedizierte Schnittstelle der Bank Zugang erhalten (DK-Pressemeldung). Wie konkret die Schnittstelle ausgestaltet werden kann oder muss, wird erwartungsgemäß durch eine Spezifikation der DK (Deutsche Kreditwirtschaft) erfolgen.”

Fazit

Wir sehen in der Gesetzesänderung/-anpassung durch die PSD2-Richtlinie eine große Chance für die Umsetzung und Erweiterung technologischer Möglichkeiten. Denn zum einen wird durch die Verbesserung der Sicherheit die Akzeptanz bei Kunden für neue IT-gestützte Lösungen gesteigert und zum anderen wird gesunder Wettbewerb gefördert, da Drittanbieter auf die Dienste der Banken zugreifen und damit dem Kunden eine neue Art von Dienstleistung anbieten können.

Zunächst heißt es jedoch sowohl für Drittanbieter als auch für Banken, den signifikanten administrativen Aufwand zu bewältigen – zumal das Gesetz an vielen Stellen noch Konkretisierungen verspricht; die Marktteilnehmer sind jedoch bereits heute durch die regulatorische Deadline zur Umsetzung gezwungen, zeitnah zu handeln. Dies hat zur Folge, dass oft kurzfristig eigene Ansätze entwickelt werden. So müssen beispielsweise durch eigene Lösungen Alternativen zur noch ausstehenden standardisierten Schnittstelle gefunden werden, weil es zu dieser noch keine belastbaren Spezifikationen gibt.

Insgesamt ist durch die spezifischen Anpassungen sowie weitere Hürden anzunehmen, dass der Druck auch nach der Einführung der Richtlinie weiter steigen wird. Insbesondere da einige Bereiche, die bislang von Banken selbst übernommen wurden, durch Drittanbieter besetzt werden.

Die Entwicklung kann sich aber auch sehr positiv für eine Bank auswirken. Denn Felder, die ohnehin unrentabel geworden sind, können womöglich mit Hilfe von Drittanbietern und der neuen Gesetzeslage leichter ausgelagert werden.”

Darüber hinaus werden Banken verstärkt Chancen geboten, durch Innovationslabs, Inkubatoren sowie Beteiligungen an spezifischen FinTechs die neuesten und besten Entwicklungen aus dem Markt zu adaptieren.aj