PSD3 – die geleakten Neuerungen: Krypto, Gefähr­dungs­haftung, Freiheiten für GAA-Betreiber, Händler und AISPs

Vorab – wer von der PSD3 eine „Revolution“ erwartet, wird wohl enttäuscht sein. Soviel Drama traut offenbar die EU-Kommission dem europäischen Gesetzgeber nicht zu. Es gibt eher „Finetuning“ statt radikaler Neuerung. Dennoch: Im Einzelnen finden sich allerdings ein paar „Schmankerl“ in den Entwürfen, die in der letzten Woche durchgesickert sind.

von Dr. Matthias Terlau, Rechtsanwalt und Partner, Görg Partnerschaft von Rechtsanwälten mbB

Zukünftig soll es nicht nur eine PSD3 geben, sondern auch eine flankierende Verordnung (PSR). Die PSR soll für alle Zahlungsdienstleister (insbesondere Banken und Zahlungsinstitute) unmittelbar die allgemeinen Regeln für Zahlungsverträge, Haftung, Betrugsbekämpfung und insbesondere auch starke Kundenauthentifizierung aufstellen. Die Regeln für die Erlaubniserteilung und Beaufsichtigung der Zahlungsinstitute finden sich zukünftig in der neuen PSD3.

Starke Kundenauthentifizierung 2.0

Für viele eine gute Nachricht: Die (bisher von der EBA verlautbarten) Regeln zur starken Kundenauthentifizierung bei Merchant Initiated Transactions und bei Lastschrift werden wohl nicht verändert, sondern nur gesetzlich festgeschrieben. Was auch erwartet wurde: MOTO-Transaktionen werden reguliert, unterliegen aber nicht der SCA, sondern hier ist eine (andersartige) „Form der Authentifizierung“ gefordert.

Eine interessante Nachricht für Kontoinformationsdienstleister:

Die EU-Kommission schlägt vor, eine starke Authentifizierung nur bei der erstmaligen Anmeldung eines Kontoinformationsdienstleisters zu fordern und danach nicht mehr.”

Im Gegenzug haben die kontoführenden Zahlungsdienstleister ein Permission-Dashboard bereitzustellen, wo der Kunde seine an Drittdienstleister gewährten Zustimmungen verwalten kann.

ApplePay, GooglePay, SamsungPay als Auslagerung?

Zukünftig sollen Institute im Fall von Wallet-Lösungen Auslagerungsvereinbarungen mit den Wallet-Betreibern schließen, wenn diese eines oder mehrere Elemente der starken Kundenauthentifizierung bereitstellen und prüfen. Hier wird es entscheidend darauf ankommen, inwieweit die Wallet-Betreiber in die Authentifizierung eingebunden sind. Man darf gespannt sein, wie die Smartphone-Hersteller auf dieses Thema reagieren. Werden wir demnächst technisch erkennen, dass eigentlich nur der Kunde selbst mittels seines Smartphones eine Selbst-Authentifizierung durchführt?

Schutz von vulnerablen Gruppen

Auch dies hatten EU-Kommission und EBA mehrfach angekündigt:

Zahlungsdienstleister werden verpflichtet, alternative SCA-Möglichkeiten für Menschen mit Behinderungen und ältere Menschen anzubieten. Insbesondere dürfen sie die SCA nicht ausschließlich von dem Besitz eines Smartphones abhängig machen.”

Keine besondere SCA für Krypto-Transaktionen

Was verwundert: Nach der Lektüre von rund 250 Seiten Gesetzesentwurf reibt man sich die Augen, weil man feststellt, dass die in den letzten zwei Jahren im Rahmen von MiCAR so intensiv diskutierten Transaktionen mit Stable Coins, also E-Geld-Token oder wertreferenzierten Token, keinerlei besondere Regulierung im Rahmen der PSR gefunden haben. Sie kommen in den sehr umfassenden Entwürfen eigentlich nicht vor – mit Ausnahme des Hinweises, dass E-Geld-Token der Regulierung von E-Geld unterliegen. Dabei gibt es aus der Industrie durchaus zahlreiche Hinweise, dass herkömmliche SCA bei machine to machine-Payments Schwierigkeiten bereiten könnte. Möglicherweise lässt sich dies im Gesetzgebungsverfahren noch nachbessern.

Name Check für alle Überweisungen

Aus der Diskussion über den Entwurf der Instant-Payment-Verordnung kennen wir bereits den Vorschlag, vor Autorisierung einer Überweisung die Übereinstimmung von IBAN und Name des Zahlungsempfängers zu prüfen. Die sollen nun auf sämtliche Überweisungen ausgedehnt werden. Hier ist im Vorfeld einer Autorisierung die Kommunikation zwischen den beiden beteiligten Zahlungsdienstleistern erforderlich. Falls etwas schief läuft, soll immer der kontoführende Zahlungsdienstleister haften; dieser kann beim Zahlungsdienstleister des Empfängers Regress nehmen, wenn der den Fehler verursacht hat.

Gefährdungshaftung der Institute bei Social Engineering

Eine brandneue Haftungsregelung soll die SCA ergänzen und eine Lücke in der Betrugsbekämpfung stopfen. Man könnte sie so paraphrasieren: Wer den Namen seiner Bank oder seines Zahlungsinstituts an sein Haus oder seine Internetseite hängt, haftet zukünftig dafür, dass ein Dritter sich gegenüber einem Kunden als Mitarbeiter dieses Instituts ausgibt und dem Kunden einredet, dass er ihm seine PIN oder eine TAN für eine „wichtige“ Maßnahme überlässt. Eine Gefährdungshaftung kennen wir z.B. im Straßenverkehr oder in der Produkthaftung.

Wenn es dem Institut bei der neuen Haftungsregelung nicht gelingt, dem Kunden grobe Fahrlässigkeit oder betrügerisches Handeln nachzuweisen, hat dieses Institut den Schaden zu tragen.”

Ist das gerecht? Der Gesetzgeber geht offenbar von einer Idee aus, die aus der ökonomischen Analyse des Zivilrechts bekannt ist (z.B. Posner): Volkswirtschaftlich wird es als sinnvoll erachtet, die Haftung dort zu allokieren, wo sie am besten versichert werden kann oder wo auch am besten zentrale Präventivmaßnahmen (z.B. Kundenaufklärung) stattfinden können. Auf die Diskussion hierzu im Rahmen des Gesetzgebungsverfahrens wird man gespannt sein können.

Was ist reguliert, was nicht – Anwendungsbereich von PSR und PSD3

Der Anwendungsbereich ist entscheidend, wenn es um die Frage geht, ob für eine Dienstleistung eine Erlaubnis der BaFin erforderlich ist oder nicht. Auch für die Anwendung von Geldwäsche-Compliance oder Informationspflichten ist dies die Weichenstellung.

Bargeld

Bahnbrechende Neuerungen finden sich hier interessanterweise bei der Bargeldversorgung. Reine Geldausgabedienste ohne Kontoführung sollen von der Erlaubnispflicht freigestellt werden. Das hat die BaFin bisher – manche meinen: entgegen dem Wortlaut der PSD2 – anders gesehen.”

In die ähnliche Richtung geht die Neuregelung zu Cashback. An der Ladenkasse können Kassierer zukünftig selbst dann Bargeld ausgeben, wenn der Kunde überhaupt keinen Einkauf getätigt hat und keinerlei sonstige Zahlungstransaktionen durchgeführt hat. Hierdurch will die EU-Kommission insbesondere die Bargeldversorgung in ländlichen Gebieten fördern.

Handelsvertreterausnahme

Auch nicht überraschend: Die Ausnahmeregelung für Vermittler soll noch einmal nachjustiert werden. Dies ist relevant für Tankstellen, die Mineralöl als Agenten für Händler verkaufen, für Ticket-Verkäufer, die für Konzertveranstalter u.ä. handeln oder auch für Reisebüros. Zukünftig soll es darauf ankommen, dass der Kunde (!) einen Verhandlungsspielraum hat. Das ist merkwürdig! Eigentlich geht es ja darum, dass der Prinzipal dem Händler vertraut, sein Geld entgegenzunehmen und deshalb auf die Regulierung verzichtet wird. Hier sollte man den Entwurf noch einmal überdenken.

Gutscheine

Für Gutscheine und Geschenkkarten (Limited Loop und Limited Range) ist aktuell jedenfalls keine Änderung in Sicht.

Konzern-Ausnahme

Bei der Konzern-Ausnahme gibt es ebenfalls gute Nachrichten: Die Begründung des PSR-Entwurfs liest sich so, als wolle der EU-Gesetzgeber die in den letzten Jahren zwischen BDI/VDT und BaFin vereinbarte Auslegung umsetzen. Gut wäre es, wenn der Gesetzestext tatsächlich diese Idee reflektieren würde. Hier wird man den Entwurf noch nachbessern müssen.

Änderungen bei Zugang zu Zahlungskonten (XS2A)

Kein Entgelt

Für viele wird es enttäuschend sein, dass der PSR-Entwurf dem Wunsch vieler Institute eine harte Absage erteilt, den Zugang zu Zahlungskonten entgeltpflichtig zu stellen. Dies war bereits in der PSD2 so geregelt; seitens der Industrie gab es aber zahlreiche Anläufe, hier (ähnlich wie beim Zugang zu Stromnetzen oder Schienennetzen üblich) die Möglichkeit eines angemessenen Entgeltes vorzusehen.

Keine einheitliche API

Wie angekündigt, enthält der PSR-Entwurf auch keine Regelung einer vom Gesetzgeber vorgegebenen technischen Beschreibung einer API. Vielmehr beschränkt dieser sich darauf, die Verwendung europäischer oder internationaler Standards vorzuschreiben.

Die Ausdehnung von Zahlungsauslösediensten auf Lastschriften (bisher nur Überweisungen) wird in der Praxis wohl keine wesentliche Veränderung bringen.

Permission-Dashboards

Anders ist dies bei den Permission-Dashboards, die dem Verbraucher eine Übersicht über die von ihm erteilten Erlaubnisse geben sollen. Dies wird dem Verbraucher zukünftig mehr Transparenz gewähren, wer auf sein Konto zugreifen darf und dies auch tut. Die Einrichtung soll dem kontoführenden Zahlungsdienstleister obliegen.

Erlaubnisverfahren und Aufsicht über Zahlungsinstitute (die neue PSD3)

Die Zahlungsdiensterichtlinie (PSD3) wird zukünftig (nur noch) die Regulierung der Zulassungsverfahren und der laufenden Aufsicht für Zahlungsinstitute enthalten. Dies ist dann in nationales Recht umzusetzen und von den nationalen Aufsichtsbehörden zu beaufsichtigen.

Zukünftig keine E-Geld-Institute mehr

Die gesonderte E-Geld-Regulierung wird abgeschafft. Die Ausgabe von E-Geld ist nur noch ein anderer Zahlungsdienst. Dies wird materiell voraussichtlich nicht so viel Veränderung bringen.

Unterbindung von Forum Shopping

In der Gesetzesbegründung stellt die EU-Kommission klar, dass sie unter anderem das sogenannte Forum Shopping bekämpfen will. Sie habe in der Vergangenheit beobachtet, dass sich die Unternehmen in Europa die Jurisdiktion aussuchen, in der die Regulierung besonders wenig streng umgesetzt war und ausgelegt wurde. Zahlungsinstitute müssen also im Staat ihrer Gründung auch ihren Hauptverwaltungssitz unterhalten und zudem einen Teil (nicht allerdings die Mehrheit) ihrer Zahlungsdienste erbringen. Ob diese Regelung die bestehende Praxis wesentlich ändern wird, muss man wohl sehr verhalten beurteilen.

Beschleunigung von Erlaubnisverfahren

Gleichzeitig wird im Gesetz eine Beschleunigungsregel festgeschrieben, wonach vollständig eingereichte Erlaubnisanträge innerhalb von drei Monaten zu bescheiden sind. Wohl eher ein Papiertiger! In Deutschland galt diese Regel bisher schon, hat aber nicht dazu geführt, dass Erlaubnisverfahren besonders schnell abgeschlossen werden konnten.

Kundengeldsicherung auf Zentralbankkonten

Spannend sind dagegen Neuregelungen zur Kundengeldverwahrung.

Es soll den nationalen Zentralbanken erlaubt werden, für Zahlungsinstitute Treuhandkonten zu führen.”

Dies könnte eines der Probleme von Zahlungsinstituten lösen: Die unter anderem auf geldwäscherechtliche Schwierigkeiten gestützte Zurückhaltung von Geschäftsbanken, solche Produkte anzubieten.

BNPL und Kreditvergabe durch Zahlungsinstitute weiter beschränkt

Buy Now Pay Later ist beliebt. Die EU-Kommission erteilt allerdings im PSD3-Entwurf dem Wunsch von Zahlungsinstituten, zukünftig im gleichen Umfang wie Kreditinstitute BNPL-Produkte anbieten zu können, eine Absage. Zwar darf weiterhin im Zusammenhang mit der Ausführung von Überweisungen, Lastschriften oder Kartenzahlungen eine gewisse Kreditierung an den Zahler stattfinden. Die Kreditgewährung durch Zahlungsinstitute im Rahmen von Akquisitionsgeschäft, also an Händler, wurde dagegen gestrichen. Geschweige denn wurde Acquirer-Zahlungsinstituten erlaubt, Kredite an Zahler zu gewähren. Leider findet sich auch in der neuen PSD3 keine Definition, was als Kredit anzusehen sein könnte. Ist z.B. Factoring eine Kreditgewährung in diesem Sinn? Hier wären Klarstellungen wünschenswert. Vielleicht klappt das noch im Rahmen des Gesetzgebungsverfahrens.

Aufnahme der Zahlungsinstitute in die Settlement Finality Directive

Zukünftig sollen Zahlungsinstitute selbst, d. h. ohne Zwischenschaltung eines Kreditinstituts, an Zahlungssystemen teilnehmen können. Dies betrifft vor allem die Teilnahme am SEPA-Zahlungsverkehr. Hierzu enthält die PSD3 den Vorschlag, die Settlement Finality Directive zu ändern.

Zusammenfassung: Feuerwerk von Gesetzgebungsvorhaben mit kurzen Umsetzungsfristen.”

Die vorgelegten Entwürfe stehen im Zusammenhang auch mit den soeben verabschiedeten Gesetzgebungsvorhaben der MiCAR zu Crypto Assets und zur Digital Operational Resilience (DORA). Zudem gibt es Berührungen (Stichwort: BNPL) mit der gerade in der Reform befindlichen Verbraucherkreditrichtlinie. Nicht zuletzt wird in der nächsten Woche gleichzeitig die offizielle Veröffentlichung der Entwürfe zu einem Open Finance Framework und einem Framework Act zum digitalen Euro erwartet.

Bei solch einer Fülle von Regulierungsvorhaben ist es wichtig, nicht die Details aus den Augen zu verlieren und in den Gesetzen Fehler zu verankern.

Die beiden Regulierungswerke für Zahlungsdienstleister, die PSR und PSD3, sollen beide jeweils rund 18 Monate nach Beschlussfassung Anwendung finden.”

Zwar folgen jetzt erst einmal Verhandlungen über die Entwürfe. Allerdings ist der nach Verabschiedung vorgesehene Übergangszeitraum nicht lang und deshalb ist es wichtig, sich frühzeitig mit den bevorstehenden Änderungen vertraut zu machen.Dr. Matthias Terlau, Rechtsanwalt und Partner, Görg Partnerschaft von Rechtsanwälten mbB