8. Juni 2017 von Klaus Huss
PSD2 wird den Wettbewerbsdruck erhöhen
Welche Zahlungsdienste werden in PSD2 in erster Linie betrachtet?
Zahlungsauslösedienst
Nach Artikel 4, Nr. 15 PSD2 ist ein Zahlungsauslösedienst ein Dienst, der - auf Antrag des Zahlungsdienstnutzers - den Zahlungsauftrag auf einem Zahlungskonto bei einem anderen Zahlungsdienstleister auslöst. Der Zahlungsauslösedienst soll das Auslösen der Zahlung sicherstellen und, beispielsweise bei Käufen im Internet, gleichzeitig den direkten Versand der Ware ermöglichen.
Kontoinformationsdienst
Nach Artikel 4, Nr. 16 PSD2 ist der Kontoinformationsdienst ein Online-Dienst zur Mitteilung konsolidierter Informationen über ein oder mehrere Zahlungskonten. Ein Zahlungsdienstnutzer hält dieses Zahlungskonto, beziehungsweise mehrere Zahlungskonten, entweder bei einem anderen Zahlungsdienstleister oder bei mehreren Zahlungsdienstleistern. Zweck dieser Dienste ist es, einen Gesamtüberblick über die finanzielle Situation der angefragten Person in Echtzeit zu bekommen. Bei Kontoinformationsdiensten existieren keine Vorgaben bezüglich Anfangs- oder Eigenkapital.
Gemeinsamkeiten von Zahlungsauslöse-und Kontoinformationsdiensten
Sowohl Zahlungsauslösedienste als auch Kontoinformationsdienste sind nach § 1 Abs. 10 Nr. 9 ZAG (Zahlungsdiensteaufsichtsgesetz) bisher eine erlaubnisfreie Dienstleistung. Beide Dienste besitzen keine Geldbeträge. Ein sicherlich wichtiger Punkt für euch als Verbraucher ist, dass die Dienste sensible Zahlungsdaten nicht speichern und sie die eingeholten Informationen und Daten keinesfalls weiterverwerten dürfen.
Erlaubniserteilung
Alle Zahlungs- und E-Geldinstitute, die im Inland gewerbsmäßig Zahlungsdienste als Zahlungsinstitut erbringen, benötigen dafür gemäß § 8 Abs. 1 ZAG eine schriftliche Erlaubnis der Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin). Werden Zahlungsdienste erbracht, ohne dafür die erforderliche Erlaubnis zu haben, kann die BaFin nach § 4 Abs. 1 ZAG die sofortige Einstellung des Geschäftsbetriebs und die unverzügliche Abwicklung dieser Geschäfte anordnen – und zwar gegenüber dem Unternehmen sowie gegenüber seinen Gesellschaftern und den Mitgliedern seiner Organe.
Die Rolle der EBA und deren Aufgaben
Die zweite EU-Zahlungsdiensterichtlinie PSD2 regelt jedoch nicht alles. Die Europäische Bankenaufsicht (EBA) setzt zusätzlich die sogenannten technischen Regulierungsstandards (RTS) fest.
Was sind diese technischen Regulierungsstandards?
Technische Regulierungsstandards haben ausschließlich einen technischen Hintergrund und beinhalten keine strategischen oder politischen Entscheidungen. Sie sind demnach Reaktionen oder besser gesagt ein nächster Schritt, wenn ein Gesetz verabschiedet wird und dafür technische Lösungen definiert werden müssen.
Ihr könnt technische Regulierungsstandards allerdings nicht mit Standards wie etwa ISO-Normierungen vergleichen. Es handelt sich nämlich um delegierte Rechtsakte der Kommission nach Artikel 290 des Vertrags über die Arbeitsweise der Europäischen Union. Dieser Vertrag erlaubt es dem EU-Gesetzgeber, das heißt dem Europäischen Parlament und dem Rat, die Befugnis zur Verabschiedung von nichtlegislativen Rechtsakten zur allgemeinen Anwendung an die Kommission abzutreten. Das ist dann der Fall, wenn diese bestimmte Elemente eines Gesetzgebungsakts ergänzen oder abändern.
Erster finaler Entwurf des RTS zu PSD2
Am 14. Dezember 2016 hat die Europäische Bankenaufsicht den ersten finalen Entwurf ihrer technischen Regulierungsstandards für die zweite EU-Zahlungsdiensterichtlinie PSD2 veröffentlicht. In diesen Standards sind Regelungen für eine starke Kundenauthentifizierung und die sichere, offene Kommunikation unter der PSD2 konkretisiert. Diese Regelungen könnt ihr im Artikel 98 PSD2 nachlesen.
Die Regulierungsstandards für Authentifizierung und die Kommunikation präzisieren beispielsweise:
- Anforderungen an die Sicherheitsmaßnahmen, um die Vertraulichkeit und die Integrität der personalisierten Sicherheitsmerkmale der Nutzer zu schützen.
- Anforderungen an gemeinsame und sichere offene Standards für die Kommunikation zum Zwecke der Identifizierung, der Authentifizierung, der Meldung und der Weitergabe von Informationen sowie der Anwendung von Sicherheitsmaßnahmen.
Ende Februar hat die Europäische Bankenaufsicht nun eine neue Version des Entwurfs veröffentlicht. Damit werden die Vorschriften der zweiten EU-Zahlungsdiensterichtlinie PSD2 weiter konkretisiert:
- Drittanbieter erhalten ab dem 13. Januar 2018 nur noch über eine spezielle Datenschnittstelle Zugang zum Konto des Bankkunden. Ein alternativer Zugang zum Konto – etwa das bisher häufig genutzte Screen-Scraping-Verfahren zum Auslesen von Texten aus Computerbildschirmen – ist nur noch während einer Übergangszeit bis Ende 2018 erlaubt.
- Eine weitere Neuerung ist, dass sich Multibanking-App-Nutzer nicht alle 30 Tage, sondern alle 90 Tage mit zwei Sicherheitsfaktoren erneut für ihre Konten authentifizieren müssen.
- Synchronisierungen von Kontodaten zwischen Bank und Drittanbieter dürfen zudem jetzt viermal täglich automatisiert durchgeführt werden. Zuvor war dies nur zweimal täglich vorgesehen.
- Zusätzlich besteht nun für die Bank und den Anbieter die Möglichkeit, Regelungen zu beschließen, die beispielsweise Datenübertragungen in Echtzeit ermöglichen. Aus Sicht des Nutzers ist das sicherlich eine gute Lösung. Aus der Banken- und Anbietersicht kann dadurch die Attraktivität des eigenen Service erhöht werden.
Ihr könnt euch sicher sein, dass auch dieser Entwurf wahrscheinlich noch nicht der letzte sein wird und dass noch weitere Ergänzungen folgen werden. Auch haben die Regelungen, je nach Sichtweise, Vor- und Nachteile. Die Digitale Transformation tut ihr Übriges: Sie zwingt Banken und Finanzinstitute zu digitalisieren und das nicht nur im Bereich des Online-Banking.
Dieser Beitrag ist auch im „Der Bank Blog“ erschienen.