Am 28. Juni 2023 hat die Europäische Kommission zusammen mit dem geplanten „Framework for Financial Data Access (FIDA)“ ihre Legislativvorschläge zur Überarbeitung der Zweiten Zahlungsdiensterichtlinie (PSD2) vorgelegt, nämlich die Entwürfe einer dritten Zahlungsdiensterichtlinie (PSD3-E) und einer neuen EU-Zahlungsdiensteverordnung (Payment Services Regulation – PSR-E). Nun hat die Deutsche Kreditwirtschaft ihre bisherige Bewertung der aus ihrer Sicht wichtigsten Punkte in diesen Legislativvorschlägen vorgelegt. Darin fordert sie in erster Linie, den bestehenden Rechtsrahmen für Zahlungsdienste entlang der Bedürfnisse von Verbrauchern, Unternehmen und Zahlungsdienstleistern weiterzuentwickeln und dabei das Ziel der Stabilität und Kontinuität nicht aus dem Auge zu verlieren. Denn eine erneute einseitige beziehungsweise noch weiter erhöhte regulatorische Belastung von Banken und Sparkassen zugunsten einzelner Geschäftsmodelle beziehungsweise Marktteilnehmer trage weder dem Gedanken des Wettbewerbes noch der Schaffung europäischer Souveränität im Zahlungsverkehr oder einer ausgewogenen Risikoverteilung Rechnung. Dass die Legislativvorschläge kaum wesentliche neue Regelungskreise eröffnen und somit ein gewisses Maß an Stabilität für geschäftspolitische Entscheidungen ermöglichen, wird von der DK begrüßt. Dennoch seien im Vergleich zu den bisherigen Regulierungstexten überraschend viele Änderungen im Detail festzustellen, die in Summe zu einer hohen Komplexität und potenziell ungewollten Wechselwirkungen führen würden. Zugleich kritisiert die DK, dass eine eigentlich notwendige, bessere Differenzierung zwischen Angeboten für Verbraucher und Nicht-Verbraucher von der Europäischen Kommission unberücksichtigt bleibt. Dieser Aspekt müsse im weiteren Verlauf des Gesetzgebungsverfahrens zielorientiert berücksichtigt werden.
Kritik gibt es auch an der Aufspaltung der Vorschriften der PSD2 in zwei Rechtsakte werden, nämlich in die PSD3 mit vorrangig aufsichtsrechtlichen Vorgaben sowie in die PSR mit den wesentlichen zivilrechtlichen Vorgaben. Dies führe teilweise zu unnötigen Doppelungen und Abgrenzungsfragen. Gerade der Wechsel von einer Richtlinie zur Verordnung müsse bei den zivilrechtlichen Vorschriften genau bedacht sein. Denn seit der Umsetzung der PSD1 vor über 15 Jahren besteht gerade in Deutschland ein in das Bürgerliche Gesetzbuch gut integriertes Zahlungsdienstezivilrecht, das auf das Auftrags- und Geschäftsbesorgungsrecht sowie den sonstigen zivilrechtlichen Grundsätzen (zum Beispiel zur Haftung in § 280 BGB) aufbaut. Hierzu gibt es mittlerweile eine ausgereifte rechtswissenschaftliche Literatur und eine Vielzahl von höchstrichterlicher Rechtsprechung. Aus Gründen der Rechtssicherheit darf nach Einschätzung der DK nicht allein aus dem Wechsel in die EU-Verordnung und der daraus resultierenden weitgehenden Streichung der Vorschriften in §§ 675c ff. BGB mit einem Federstrich rechtswissenschaftliche Literatur und Rechtsprechung obsolet werden. Daher sollte die bisherige Systematik der Regelung mittels einer alle Themenbereiche umfassende EU-Richtlinie beibehalten werden. Zudem sei fraglich, ob das Ziel der EU-weiten Harmonisierung des Rechts durch eine Verordnung maßgeblich erreicht werden könnte, insbesondere vor dem Hintergrund, dass der Verordnungsvorschlag weiterhin eine Vielzahl von nationalen Abweichungen in verschiedenen Regelungsbereichen ermöglicht. So haben die Erfahrungen aus der PSD2 gezeigt, dass diese zu einer weiteren zeitlichen und geographischen Fragmentierung bei der Umsetzung führen und die Planungsunsicherheit erhöhen können. Aus Sicht der Deutschen Kreditwirtschaft sollten daher nur dort Änderungen vorgenommen werden, wo begründeter Anpassungsbedarf besteht. Ansonsten sollte das Zahlungsdiensterecht unverändert bleiben, um Rechtssicherheit, Stabilität und Kontinuität zu gewährleisten, den Anpassungsaufwand für Zahlungsdienstleister, wie Banken und Sparkassen und deren Nutzer auf das Nötigste zu beschränken und die Funktionsfähigkeit des etablierten Zahlungsverkehrsangebotes – insbesondere im Massenzahlungsverkehr (Einheitlicher Euro-Zahlungsraum, SEPA) – zu bewahren.
Lob gibt es von der DK für die Pläne, den Zugriff auf Zahlungskonten der Kunden mittels Drittdienstleistern zukünftig nur noch über die von der Kreditwirtschaft geschaffenen technischen Infrastrukturen und dedizierte Schnittstellen (APIs) zu ermöglichen und die Vorgabe zur sogenannten „Fallback-Schnittstelle“ zu verzichten (Artikel 35 Absatz 1 PSR-E). Gleichwohl werde dies durch die Vorgaben zu alternativen Schnittstellen im Falle eines Ausfalls der dedizierten Schnittstelle gem. Artikel 38 Absatz 2 PSR-E konterkariert.
Die Ausweitung der gegenüber Drittdiensten entgeltfrei zu unterstützenden Angebote wird hingegen sehr kritisch gesehen. Damit werde erneut ohne Notwendigkeit gesetzlich in die Produktgestaltungsfreiheit von Kreditinstituten eingegriffen – mit der Folge, dass die kostenlosen Angebote die Motivation reduzieren, die Angebote der Kreditinstitute zu optimieren und gleichzeitig deren Innovationsfähigkeit zu behindern. Die Forderung der DK: Keinesfalls sollen Services für Privatkunden gefordert werden, die diese nicht benötigen oder die heute noch nicht angeboten werden und ein unkalkulierbares Risiko für Kunden und Banken bedeuten, wie etwa „multiple Beneficiaries“ oder die Anforderungen zu Lastschriften (Artikel 36 Absatz 4 PSR-E). Nicht zuletzt würde durch eine solche Ausweitung die Entwicklung von und Teilnahme an marktwirtschaftlich orientierten Verfahren weniger attraktiv gemacht.
Bei den von der EU-Kommission vorgesehenen Instrumenten, die bestimmten Betrugsszenarien im Zusammenhang mit dem Zahlungsverkehr begegnen sollen, mahnt die Kreditwirtschaft eine sorgfältige Ausbalancierung an, um keine Fehlanreize zu setzen, die effektiv zu einer Zunahme von Betrugsfällen führen, anstatt diese einzudämmen. Das betrifft insbesondere das Haftungsrecht, unter anderem bei Social Engineering. Und die Änderungsvorschläge zur starken Kundenauthentifizierung entsprechen aus Sicht der DK nicht den Marktbedürfnissen. Da nur ein geringer Teil der Kunden, die das Online-Banking nutzen, nicht über ein Smartphone verfügt, müsse eine marktgerechte Bepreisung weiterhin möglich sein, wenn die PSR die Bereitstellung nicht-Smartphone-basierter Verfahren vorschreibt.
Nicht zuletzt fordert die DK realistische Umsetzungsfristen von mindestens 24 Monaten. Bei ergänzenden Umsetzungen mit umfassenden IT-Auswirkungen sollte die Friste sogar mindestens 36 Monate betragen. Und: Die Erfahrungen mit der Umsetzung der PSD2 haben gezeigt, dass auch für die Umsetzung sogenannter „Level-2-Regelungen“ frühzeitige Planungssicherheit notwendig ist. Sofern entsprechende Standards oder ergänzende delegierte Vorgaben (zum Beispiel RTS) erforderlich sind, sollten die entsprechenden Umsetzungsfristen an die Veröffentlichung der entsprechenden RTS-Standards zu koppeln.