Die EU-Kommission hat dem Datenschutz in der neuen Zahlungsdiensterichtlinie PSD2 stärker Rechnung getragen, als bislang zu erwarten war. Wie bewerten Sie nun das Rahmenwerk PSD2 aus Sicht der Deutschen Bundesbank, aber auch mit Blick auf den Zahlungsverkehr in Europa?
Alles in allem halte ich das Gesamtwerk der PSD2, also einschließlich der von der Europäischen Bankenaufsichtsbehörde EBA entwickelten technischen Standards und Leitlinien, für eine ausgewogene Regulierung. Es ist ein insgesamt guter Kompromiss zwischen Wettbewerb, Sicherheit und Verbraucherschutz.
Erste Marktreaktionen zeigen bereits, dass insbesondere der Sicherheitsaspekt schon vor dem Inkrafttreten der Regulierung in den einzelnen Mitgliedsstaaten der Europäischen Union bei vielen Anbietern von Zahlungsdiensten an Bedeutung gewonnen hat. Mir ist bewusst, dass dies nicht allein auf die Regelungen der PSD2 zurückzuführen ist, sondern auch dem gegenwärtigen Umfeld geschuldet ist, in dem die Verteidigung gegen Angriffe aus dem Cyberspace zum täglichen Geschäft gehört.
Die grundsätzlichen Richtungsentscheidungen sind bereits 2015 durch die Verabschiedung der PSD2 getroffen worden. Über die technischen Details wurde besonders im Zusammenhang mit der Erarbeitung der technischen Regulierungsstandards zur starken Kundenauthentifizierung und sicheren Kommunikation durch die EBA sehr intensiv und von Marktteilnehmern auch zum Teil kontrovers diskutiert. Letztlich hat die EU-Kommission Ende November mit der Veröffentlichung ihres finalen Entwurfs, der sogenannten RTS, die jetzt nur noch der Zustimmung des Europäischen Parlaments und des Rates bedürfen, eine wichtige Entscheidung eingeleitet.
Eine möglichst zeitnahe Verabschiedung der Regelungen wäre von Vorteil, um die notwendige Planungssicherheit bei den Marktteilnehmern zu gewährleisten. Auch wenn diese Regelungen erst 18 Monate nach ihrer Veröffentlichung in Kraft treten, sollten die Marktteilnehmer die jeweiligen Anforderungen im Interesse der Sicherheit im Zahlungsverkehr so früh wie möglich umsetzen.
Wenn man das "Gesamtwerk" PSD2 einschließlich der nachgeordneten Rechtsakte betrachtet, werden die Regelungen der PSD2 zum Datenschutz durch die technischen Standards und Leitlinien der EBA unterstützt. Die darin enthaltenen Anforderungen an die Sicherheit und Integrität von Daten und Datenverbindungen werden ergänzt.
Wichtig ist, dass die entsprechenden Regelungen innerhalb Europas möglichst harmonisiert angewandt werden. Hierzu tauschen sich die nationalen Aufsichtsbehörden Europas bereits aus. Außerdem plant die EBA zum Beispiel eine Veröffentlichung von Fragen und Antworten zu diesen Themen.
Ist eine komplette Kontoöffnung für Dritte damit endgültig vom Tisch oder rechnen Sie mit einem neuen Vorstoß?
Bei den Regelungen der PSD2 geht es immer um den Zugriff eines Dritten, der sogenannten Zahlungsauslösedienste oder Kontoinformationsdienste anbietet, auf online zugängliche Zahlungskonten. Diese Dienstleistungen gibt es schon heute, sie sind aber bislang nicht reguliert.
Künftig ist ein solcher Zugriff nur mit ausdrücklicher Zustimmung des Kontoinhabers möglich, wobei der Dritte nur solche Informationen abfragen darf, die er für das Angebot seiner eigenen Dienstleistungen benötigt. Mit der PSD2 benötigen Dritte künftig eine Lizenz beziehungsweise Registrierung und unterliegen der Institutsaufsicht. Damit ist es der PSD2 gelungen, einen rechtlichen Graubereich zu regeln. Zunächst sollten auf dieser Grundlage Erfahrungen gesammelt werden.
Bei der Umsetzung der PSD2 ist viel darüber diskutiert worden, ob der Kontozugriff für Drittanbieter über Schnittstellen oder im Direktzugriff erfolgen sollte. Die EU-Kommission hat sich nun gegen dieses "Screen Scraping" entschieden. Zu Recht?
In dem aktuellen Entwurf der technischen Regulierungsstandards zur starken Authentifizierung und sicheren Kommunikation wird es den Kontoführern freigestellt, ob sie Drittanbietern einen Zugang über eine dedizierte Schnittstelle oder über die angepasste Kundenschnittstelle erlauben. Wichtig ist nur, dass sich die Drittanbieter - egal auf welchem Weg sie auf das Kundenkonto zugreifen - gegenüber dem Kontoführer identifizieren. Das heißt also, die Kommission hat lediglich den unidentifizierten Zugriff über die Kundenschnittstelle unterbunden. Und das aus gutem Grund.
Die Fintech-Branche befürchtet nun, dass die Kreditwirtschaft sich nicht ausreichend bemühen wird, leistungsfähige Schnittstellen zur Verfügung zu stellen, wenn es kein gleichberechtigtes Nebeneinander beider Zugriffsmöglichkeiten gibt. Kann diese Sorge berechtigt sein? Oder würden dann nicht sofort die Aufsichts- beziehungsweise Wettbewerbsbehörden eingreifen?
Diese Befürchtungen sind nicht begründet. So sieht der aktuelle Entwurf der technischen Regulierungsstandards die Bereitstellung einer Rückfalllösung für ungeplante Ausfälle der dedizierten Schnittstelle vor. Diese Lösung soll den Drittanbietern einen Zugriff auf das Kundenkonto über die angepasste Kundenschnittstelle ermöglichen. Dabei ist zu berücksichtigen, dass sich der Drittanbieter im Interesse der Sicherheit gegenüber dem Kontoführer identifizieren muss.
Um die Kreditwirtschaft mit dieser Forderung nicht übermäßig zu belasten, können die nationalen Aufsichtsbehörden allerdings Institute, die in ausführlichen Tests nachgewiesene leistungsfähige Schnittstellen anbieten, von der Bereitstellung einer solchen Rückfalllösung frei stellen. Zu beachten ist auch, dass diese Freistellung widerrufen werden kann, wenn die Schnittstelle über zwei Wochen nicht die notwendige Performanz aufweist. Darüber hinaus steht es Drittanbietern frei, Beschwerden an die entsprechenden Behörden zu richten.
Ist durch den Zugriff über von den Banken bereitgestellte Schnittstellen genug für den Datenschutz getan?
Für den Datenzugriff von Drittanbietern und die dahinter liegende Kommunikation formulieren die technischen Regulierungsstandards eine Reihe von Sicherheitsanforderungen. Deren Einhaltung entbindet die Kontoführer allerdings nicht davon, die ohnehin geltenden Datenschutzbestimmungen einzuhalten. Daher halte ich den Datenschutz in der Summe für ausreichend gewahrt.
Wie bewerten Sie die Regelungen zur starken Kundenauthentifizierung: Sind die flexibel genug, um den Nutzerkomfort und innovative Verfahren nicht auszuhebeln, aber gleichzeitig Sicherheit zu gewährleisten?
Aus meiner Sicht stellen die Ausnahmen von der starken Kundenauthentifizierung einen guten Kompromiss zwischen dem Bedürfnis der Kunden nach Sicherheit und Komfort dar. So wird dem Aspekt der Bequemlichkeit dort Rechnung getragen, wo Transaktionen ein geringes Betrugsrisiko erwarten lassen. Beispiele sind das kontaktlose Bezahlen an der Ladenkasse, wiederkehrende Zahlungen an vertrauenswürdige Empfänger oder Zahlungen im öffentlichen Nahverkehr und an Mautstellen.
Auch die Ausnahme auf Basis einer in Echtzeit durchgeführten Transaktionsrisikoanalyse des Kontoführers ist zu begrüßen. Aber auch hier gilt: Man wird die Regelungen im Zeitverlauf bewerten und bei Bedarf gegebenenfalls anpassen müssen.
Gehen von der Absenkung der Haftungsgrenze für Kartenzahlungen mögliche Risiken aus, weil die Kunden dadurch leichtsinniger im Umgang mit Karten beziehungsweise Zahlungsdaten werden könnten?
Zunächst einmal möchte ich darauf hinweisen, dass ein leichtsinniger Umgang mit der Zahlungskarte und den dazugehörigen Authentifizierungsinstrumenten (sprich PIN und TAN) weiterhin als "grob fahrlässig" eingestuft werden könnte. Wer grob fahrlässig handelt, ist aber auch künftig nicht von der Haftungsobergrenze "geschützt".
Die Idee hinter der Senkung der Mithaftung von maximal 150 auf 50 Euro war vielmehr, einen Anreiz für die Anbieter von Zahlungsdiensten zu schaffen, vermehrt die strenge Kundenauthentifizierung anzuwenden.
Ist der Kontozugriff für Drittanbieter, der mit der PSD2 kommen wird, aus Ihrer Sicht für Banken und Sparkassen eher ein Risiko oder eine Chance?
Ich sehe die PSD2 ganz klar als Chance, denn auf dieser Basis können Banken und Sparkassen ihr Angebot hin zu Plattformdiensten erweitern und den Kunden wieder enger an sich binden.
Wo sehen Sie neue Chancen für Banken?
Wenn es den Banken und Sparkassen gelingt, die Kunden beispielsweise über entsprechende, auf der PSD2 aufsetzende Produkte in ihrer Banking-App enger an sich zu binden, so können sie es schaffen, Dreh- und Angelpunkt für Finanzdienste zu bleiben beziehungsweise zu werden. Das Konto ist nach wie vor die Basis für das "Ökosystem" Finanzdienste. Ich sehe in kontozentrierten Dienstleistungen eine sehr gute Möglichkeit, die viel zitierte Schnittstelle zum Kunden weiterhin zu besetzen und gegenüber Dritten zu behaupten.
Wird der Kontozugriff für Dritte wirklich den Wettbewerb beflügeln? Der Wettbewerb im Bereich des Zahlungsverkehrs war ja auch bisher schon hoch. Oder geht es eher darum, bei Modellen wie dem von Sofortüberweisung Rechtssicherheit zu schaffen?
Rechtssicherheit spielt natürlich eine wichtige Rolle. Sie ist das Fundament für Vertrauen im Zahlungsverkehr - für Anbieter und Nutzer. Daher sind entsprechende Regelungen hierzu in der PSD2 sehr wichtig.
Die wettbewerblichen Effekte sind derzeit noch schwer einzuschätzen. Eine wichtige Determinante dürfte sein, inwieweit sich die Marktteilnehmer auf eine standardisierte und harmonisierte Schnittstelle einigen werden. Ich erwarte trotz dieser Ungewissheit insgesamt einen zunehmenden Wettbewerb.
Braucht es für neue Payment-Szenarien, die durch das Internet der Dinge möglich werden, wieder eine neue Regulierung? Oder reichen dazu die bisherigen Regelungen aus?
In unserer Rechtsordnung sind Handelnde immer natürliche oder juristische Personen. Daran ändert auch das Internet der Dinge grundsätzlich nichts.
Beim "Internet der Dinge" dürfte sich die rechtlich spannende und entscheidende Frage um den Vertragsabschluss über das Grundgeschäft drehen, der dem Zahlungsdienst zugrunde liegt. Die Zahlung selber ist also eher ein nachgelagerter Prozess. Aber ich kann nicht ausschließen, dass das Internet der Dinge neue Geschäftsmodelle und -prozesse hervorbringt, die auch Änderungen beim derzeit geltenden Zahlungsverkehrsrecht notwendig machen.