Mit der PSD2 ist es wie mit dem Brexit: Es gibt einen offiziellen Stichtag - und doch weiß niemand genau, wann es so weit sein wird. Beim Brexit steht mittlerweile schon der zweite Stichtag infrage, bei der PSD2 ist erst einmal nur klar, dass es eine Gnadenfrist geben wird.
Die Möglichkeit, einer Fristverlängerung bei Kartenzahlungen im E-Commerce-Bereich ergibt sich aus der "Opinion on the elements of strong customer authentification under PSD II", die die EBA am 21. Juni 2019 veröffentlicht hat. Dass sie davon Gebrauch machen wird, hat die BaFin genau zwei Monate später mitgeteilt: "Zahlungsdienstleister mit Sitz in Deutschland dürfen Kreditkartenzahlungen im Internet ab dem 14. September 2019 vorerst auch ohne starke Kundenauthentifizierung ausführen", heißt es in der Mitteilung der Bundesanstalt für Finanzdienstleistungsaufsicht vom 21. August. Diese Entscheidung kam nicht überraschend und war von vielen Marktteilnehmern sogar schon rund zwei Wochen früher erwartet worden.
Neue Anforderungen an die Schnittstellen
Stattdessen sorgte die BaFin erst einmal für Aufregung. Während die Erste Bank in Österreich bereits mitteilte, dass die österreichische Aufsichtsbehörde FMA den Stichtag für die PSD2 verschieben werde (die offizielle Meldung dazu datiert vom 19. August), schreckte die BaFin die deutsche Kreditwirtschaft am 14. August erst einmal mit einer Mail an die Verbände, sowie die Zahlungsauslöse- und Kontoinformationsdienste auf. Hier äußerte Raimund Röseler, Exekutivdirektor Bankenaufsicht, Bedenken, ob die Voraussetzungen für eine Nutzung der nach PSD2 vorgesehenen Schnittstellen bis zum 14. September erfüllt werden können. Kritik gab es in Richtung der Drittdienstleister wie auch der kontoführenden Institute. Drittdienstleister dürften sich nicht weigern, sich mit den bereitgestellten Schnittstellen oder einzelnen von ihnen auseinanderzusetzen, sondern müssten dies intensiv und konstruktiv tun. Diese von Rösler geäußerte Erwartungshaltung bestätigt die von der DK geäußerte Beobachtung, dass die Beteiligung an Schnittstellentests geringer ausfiel als erwartet.
Andererseits fordert die BaFin von kontoführenden Instituten, die den Zugang zu Zahlungskonten im Weg einer dezidierten Schnittstelle anbieten, einen sogenannten Notfallmechanismus bereitzustellen. Anderenfalls müssten die derzeit von Drittdienstleistern genutzten Zugangsschnittstellen nicht nur weiter bereitgestellt, sondern auch an die Anforderungen der Starken Kundenauthentifiizierung angepasst werden.
Dass viele der neuen Schnittstellen bislang aus Sicht der BaFin noch nicht genehmigungsfähig sind und die Aufsicht nur vier Wochen vor dem Stichtag neue Anforderungen an die Schnittstellen stellt, hat die deutsche Kreditwirtschaft "überrascht", wie es in der Reaktion der DK heißt. Verärgert wäre vermutlich das passendere, wenn auch nicht eben diplomatische Wort gewesen. Schließlich war der vorgegebene Zeitrahmen ohnehin sehr eng. Dass nicht alle Schnittstellen bereits drei Monate genutzt werden konnten, um sie auf Funktionalität, Verfügbarkeit und Leistung zu testen, ist am ehesten dem Regulator beziehungsweise der EBA anzulasten.
Auch angesichts der von der BaFin angekündigten Gnadenfrist in Sachen starke Kundenauthentifizierung hat die DK deshalb darauf hingewiesen, dass Banken und Sparkassen ihre Vorbereitungen für die Umsetzung der starken Kundenauthentifizierung durch Einsatz des 3D-Secure-Verfahren bereits nahezu abgeschlossen haben und nun der Handel beziehungsweise dessen Zahlungsdienstleister am Zug seien, die Vorbereitungen weiter voranzutreiben, da nur sie beim Einsatz einer Kreditkarte im Online-Geschäft den Einsatz des 3D-Secure-Verfahrens auslösen können.
Es bringt freilich nichts, einander gegenseitig den schwarzen Peter zuzuschieben. Denn noch immer ist Gefahr im Verzug. Mit der Formulierung "vorerst" ist die BaFin vielleicht absichtlich schwammig geblieben. So geraten die Akteure nicht in Versuchung, es angesichts einer womöglich großzügig bemessenen Frist allzu entspannt angehen zu lassen, bis es am Schluss doch wieder knapp wird.
Abstimmung in Europa
Primär ist diese Unklarheit wahrscheinlich der Abstimmung mit den anderen Aufsichtsbehörden in Europa geschuldet. Wann die gewährte Karenzfrist ausläuft, will die BaFin festlegen, nachdem sie die Markteilnehmer konsultiert und sich mit der EBA und den nationalen europäischen Aufsichtsbehörden abgestimmt hat. Das zumindest stößt auf volle Zustimmung bei der DK, die bei einer zusätzlichen Übergangszeit ein europaweit einheitliches Vorgehen gefordert hat. Wenn das in jedem Land anders gehandhabt wird, droht wirklich Chaos.