Die Zweite Zahlungsdiensterichtlinie (PSD2) soll den Wettbewerb um neue digitale Lösungen und Produkte rund um den Zahlungsverkehr in Europa stärken. Ein digitales Ökosystem, eingebettet in einen digitalen europäischen Binnenmarkt, ist die Zielvision der Europäischen Kommission. Ein neu geordneter Zahlungsverkehr soll dabei das Vehikel für Innovationen und Weiterentwicklung, mehr Wettbewerb, niedrigere Kosten und das Aufbrechen von bestehenden Infrastrukturen und Abhängigkeiten sein. Diese Rolle fällt ihm zu, weil hier wie kaum irgendwo sonst in Menge und Qualität Daten anfallen, deren Nutzung und Aufbereitung Grundlage für vernetzte, digitale Dienste auch jenseits des Zahlungsverkehrs für Privatkunden und Unternehmen darstellen können.
Bei genauer Betrachtung sind weitere politische Ziele zu nennen, Cybersicherheit, Verbraucherschutz und die einfache Nutzbarkeit für die Kunden gehören dazu und bilden mit den genannten marktstrukturellen Zielen ein Spannungsfeld, in dem auch technisch erscheinende Fragen enormes politisches Gewicht entfalten können.
Markt in Bewegung
Die Regelungen der PSD2 sollen dafür ab Januar 2018 die entscheidenden Weichen stellen und den Markt in Bewegung setzen. Das ist bereits gelungen. Die Kommission und die Europäische Bankenaufsichtsbehörde (EBA) sind sich einig, dass kein Marktteilnehmer infolge der Umsetzung der PSD2 untätig bleiben dürfe. Der Aufwand dürfte aber nicht im gleichen Maße verteilt sein. Für die Institute, die Zahlungskonten für ihre Kunden führen und damit eine ganze Reihe von rechtlichen Anforderungen (Abgabenordnung, "know your customer - KYC") umsetzen, sind ganze Geschäfts- und Rollenmodelle perspektivisch gefährdet. Mit der PSD2 gehen eben nicht nur technische Anpassungen an IT-Systeme und im Online-Banking einher.
Mit der Umsetzung der ersten Zahlungsdiensterichtlinie im Oktober 2009 wurden für Anbieter von ausgewählten Zahlungsdiensten (beispielsweise in der Abwicklung von Kartenzahlungen) erstmals die Zugangsschwellen zum Markt aufsichtsrechtlich geregelt. Diese neuen Akteure werden als Zahlungsinstitute bezeichnet. Sie konnten im Vergleich mit Kreditinstituten von geringeren Anforderungen profitieren. Die PSD2 setzt nun die aufsichtsrechtlich geregelte Öffnung für weitere Marktteilnehmer fort.
Kontozugang für Drittdienstleister als zentrale Neuerung
Die PSD2 beschreibt die aufsichtsrechtlichen Anforderungen an die Anbieter von Zahlungsdiensten wie Überweisung, Lastschrift und Kartenzahlung (Zahlungsdienstleister) sowie die zivilrechtlichen Vorgaben für die Abwicklung von Zahlungsdiensten zwischen der Bank und ihren Kunden. Sie ergänzt die Regelungen der ersten Zahlungsdiensterichtlinie unter anderem um drei neue Zahlungsdienste, die durch Drittanbieter über den Zugang zum Konto des Kunden abgewickelt werden.
Neue Regelungen betreffen weiterhin die Ausweitung des Anwendungsbereichs auf Zahlungsdienste außerhalb der EU und in Nicht-EU-Währungen (Drittstaatensachverhalte) sowie die Stärkung der Verbraucherrechte (Haftungsregelungen) und den Ausbau von Informationspflichten. Die neuen Regelungen der PSD2 wurden national mit dem Zahlungsdiensteaufsichtsgesetz (ZAG) und dem Bürgerlichen Gesetzbuch (BGB) fristgemäß zum 13. Januar 2018 umgesetzt.
Die zentrale Neuerung der PSD2 ist der gesetzlich geregelte Zugang auf onlinefähige Zahlungskonten von Verbrauchern und Unternehmen bei Banken und Sparkassen durch Drittdienstleister. Die PSD2 sieht hierfür drei gesetzlich definierte Services vor:
- den Zahlungsauslösedienst,
- den Kontoinformationsdienst sowie
- den Service als Drittkartenemittent.
Die neuen Drittanbieter und auch die etablierten Banken und Sparkassen können so künftig - im expliziten Auftrag des Kunden - Überweisungen initiieren und vollen Einblick in dessen Kontoumsätze nehmen, diese für den Kunden aufbereiten und auswerten. Hierfür soll gemäß PSD2 - und um die Dienste durchführen zu können - der Zahler und somit der Kontoinhaber oder Bevollmächtigte seine persönlichen Zugangsdaten dem Drittdiensteanbieter zur Erfüllung des Dienstes übergeben beziehungsweise sie bei diesem zur Weiterleitung an das kontoführende Institut eingeben. Die persönlichen Zugangsdaten sind die von der kontoführenden Bank herausgegebenen Sicherheitsmerkmale, wie Zugangsname, Passwort und TAN zur Durchführung einer Zahlungsauslösung oder Kontoinformationsabfrage.
Die neuen Drittdienstleister, die im Sinne der PSD2 agieren wollen, werden zukünftig als Zahlungsdienstleister von den nationalen Aufsichtsbehörden registriert (Kontoinformationsdienst) beziehungsweise zugelassen (Zahlungsauslösedienst). Banken und Sparkassen hingegen können die neuen Zahlungsdienste nach PSD2 ohne weitere aufsichtsrechtliche Vorgaben anbieten.
Umstrittene RTS
Mit der PSD2 kommt der europäischen Bankenaufsichtsbehörde EBA erstmals eine höchst aktive Rolle bei der Detailregulierung zu. Mittlerweile dreizehn technische Regulierungsstandards (RTS) und Leitlinien enthalten konkrete Vorgaben zur Umsetzung der PSD2 in den Mitgliedstaaten (siehe Abbildung 1). Adressaten sind die Zahlungsdienstleister und die nationalen Aufsichtsbehörden in Europa.
Zentrale Rolle für die zukünftige Ausgestaltung und Nutzungsmöglichkeit des Online-Bankings und damit auch die darauf aufbauenden neuen Zahlungsdienste spielt der "RTS zur starken Kundenauthentifizierung und sicheren Kommunikation". Schon die Erarbeitung dieses RTS durch die EBA nahm deutlich mehr Zeit in Anspruch als ursprünglich geplant. Nicht zuletzt die mehr als 200 Rückmeldungen von Marktteilnehmern zur Konsultation des RTS Ende 2016 dürften der Grund gewesen sein. Somit lag der EBA-Entwurf für den RTS im Februar 2017 vor. Ende Mai 2017 hat die EU-Kommission der EBA ihre Anpassungen am Entwurf übermittelt.
Insbesondere die Ausgestaltung von Ausnahmen von der starken Kundenauthentifizierung und die Vorgaben zur Schnittstelle für Drittdienstleister waren Inhalt der Änderungen der Kommission am RTS. Die EBA blieb anschließend trotz politischem Druck aus Brüssel weitgehend bei ihrer ursprünglichen Einschätzung.
Diskussion um die Fallback-Lösung
Leider sehen vor allem EU-Kommission und einige Parlamentarier weiter den Bedarf, Drittdienstleistern eine zusätzliche Option einzuräumen. So soll auch die Kunde-Bank-Schnittstelle über die Online-Banking-Seite des Kreditinstituts für die Erhebung der Daten des Kunden für die neuen Zahlungsdienste genutzt werden dürfen ("Fallback"). Hintergrund ist die Sorge, die Leistungsfähigkeit und Verfügbarkeit der neuen dedizierten Schnittstelle (Application Protocol Interface, API) der kontoführenden Institute könnte für die Ansprüche der Drittdienstleister nicht ausreichend sein und nicht jener der Kunde-Bank-Schnittstellen entsprechen.
Demnach wäre eine erfolgreiche Umsetzung der Geschäftsmodelle beispielsweise im Online-Handel gefährdet - ein fragwürdiges Argument, wenn man bedenkt, dass die Bankkunden von technisch bedingten Ausfällen möglicherweise ebenso betroffen wären. Kontoführende Banken müssten dann de facto zwei Schnittstellen unterstützen, wenn man grundsätzlich die Kunde-Bank-Schnittstelle für den Zugang Dritter als ungeeignet betrachtet, wie dies unter anderem die EBA als gesammelte Position der nationalen Aufsichtsbehörden in Europa sieht.
Schnittstellenüberprüfung noch unklar
Im Spätsommer 2017 diskutierten EU-Kommission und einige EU-Parlamentarier sogar eine erweiterte Alternative des "Fallback", wonach eine Nutzung der Kundenschnittstelle ohne Identifizierung des Drittdienstleisters möglich sein sollte. Sowohl die Verbände der Deutschen Kreditwirtschaft als auch die Verbraucherschutzverbände sprachen sich vehement gegen diesen Vorschlag aus.
Letztendlich bleibt es nun bei der ursprünglichen Idee des "Fallback". Der finale Vorschlag der EU-Kommission sieht nun zudem vor, dass kontoführende Institute bei entsprechendem zeitlichem Vorlauf von sechs Monaten und Genehmigung durch die nationalen Aufsichtsbehörden die Möglichkeit haben, gar keinen "Fallback" anbieten zu müssen. Die Genehmigung erfolgt, wenn das kontoführende Institut eine bestmögliche technische Erreichbarkeit und Leistungsfähigkeit der dedizierten Schnittstelle gewährleisten kann und diese drei Monate lang im Markt erprobt wurde. Das Online-Banking-Angebot an die Kunden soll die Benchmark sein. Wie die nationalen Aufsichtsbehörden dies nach einheitlichem Muster in Europa überprüfen wollen, ist unklar und bleibt abzuwarten.
Die EU-Kommission hat ihre finale Version des RTS am 27. November 2017 veröffentlicht. Formal haben nun EU-Parlament und Rat drei Monate für einen Einspruch gegen den RTS Zeit. Die Erstanwendung durch die Institute muss 18 Monate nach der Veröffentlichung im EU-Amtsblatt, voraussichtlich im Sommer 2019, erfolgen. Drei Monate zuvor muss Drittdiensteanbietern der Test der Schnittstelle ermöglicht werden.
Sechs Monate vor Praxisbetrieb muss für die umgesetzte Schnittstelle gegenüber der jeweils zuständigen nationalen Aufsichtsbehörde - in Deutschland ist die Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) zuständig - bewiesen werden, dass diese Schnittstelle ausreichend leistungsfähig und verfügbar ist. Kann dies bestätigt werden, wird das kontoführende Institut davon befreit, zusätzlich einen Zugang für sich verpflichtend zu identifizierende, zugelassene Drittdiensteanbieter über die Kunde-Bank-Schnittstelle des Kunden bereitzustellen. Wie diese Bestätigung erfolgt, ist noch offen.
Dedizierte Schnittstelle statt Screen Scraping
Mit der Einführung der PSD2 erhalten beaufsichtigte Anbieter von Zahlungsauslöse- und Kontoinformationsdiensten (Drittdienstleister) gesetzlich das Recht, beim kontoführenden Institut auf das Zahlungskonto des Kunden, nach dessen Zustimmung, zuzugreifen. Zielbild der Deutschen Kreditwirtschaft ist, dass solche Zugriffe grundsätzlich nur über eine dedizierte Schnittstelle erfolgen dürfen, sodass das Auslesen der Online-Banking-Seite des Kreditinstituts, das sogenannte Screen Scraping, durch Drittdienstleister grundsätzlich nicht mehr erlaubt sein wird.
Positiv ist, dass die EBA wie auch die EU-Kommission diese Auffassung teilen. Dies ist im absoluten Interesse des Kunden, da dieser nunmehr im Sinne seiner Datensouveränität sicher sein kann, welche Daten von seinem Kreditinstitut an Drittdienstleister weitergereicht werden. So wären dies beim Zahlungsauslösedienst eine Bestätigung der Ausführung einer Überweisung und beim Kontoinformationsdienst die Umsatzdaten der vom Kunden benannten Zahlungskonten. Diese Dienstleistungen sind anders als bisher nunmehr durch die PSD2 gesetzlich normiert. Die Dienste beziehen sich ausschließlich auf online erreichbare Zahlungskonten. Spar- und Termingeldkonten sowie Depots werden von den gesetzlichen Regelungen der PSD2 nicht erfasst. Auch weitere persönliche Daten, die sich nicht direkt aus den Informationen des Zahlungskontos ableiten, fallen nicht unter die Regelungen der PSD2.
Gefahr eines anonymen Kontozugriffs scheint gebannt
Viele Banken und Sparkassen in Deutschland werden voraussichtliche eine dedizierte Schnittstelle, die die Vorgaben des RTS erfüllt, nach Standard der Berlin Group1) umsetzen. Der Bundesverband Öffentlicher Banken Deutschlands, VÖB, hat sich an der Erarbeitung eines europäischen Schnittstellenstandards im Rahmen der Berlin Group beteiligt. Wesentliche Teile der europäischen Kreditwirtschaft beabsichtigen ebenfalls, diesen Standard für eine solche Schnittstelle zu nutzen. Somit besteht die Chance, europaweit ein möglichst einheitliches digitales Ökosystem für Kunden, kontoführende Kreditinstitute und Zahlungsdiensteanbieter zu schaffen.
Anfang des Jahres 2018 ist mit einer Veröffentlichung der fertigen Spezifikation zu rechnen. Diese schafft Klarheit für alle Marktteilnehmer und sollte eine rechtzeitige Implementierung bei kontoführenden Instituten und Drittdienstleistern möglich machen. Die Gefahr eines unregulierten, anonymen Zugriffs auf das Zahlungskonto per Kontozugang zum Online-Banking scheint gebannt. Ob die mit einem "Fallback" verbundenen Risiken für die Daten der Kunden minimiert werden können, liegt in der Hand der kontoführenden Institute. Mit einer Entscheidung für die Umsetzung einer dedizierten Schnittstelle nach Berlin-Group-Standard und der Wahrnehmung der Ausnahme von der Pflicht zum "Fallback" sollte dies gelingen.
Chancen durch neue Rollen für Kreditinstitute
Wie segensreich der Einsatz der neuen Schnittstellen für Banken und Drittdienstleister wird, hängt auch davon ab, wie sich am Markt Mehrwertdienste durchsetzen, die über die PSD2-Dienste hinausgehen. Eine Validierung von Adresse oder Alter des Kunden könnte - die Einwilligung des Kunden immer vorausgesetzt - der Anfang von weitergehenden Geschäftsmodellen sein, die den Nutzen für Kunden und Unternehmen beziehungsweise Anbieter durch ergänzende und/oder personalisierte Angebote erhöhen.
Ebenso sind persönliche Finanzmanagementlösungen für Verbraucher, einschließlich Empfehlungen zur Optimierung von Versicherungen oder Telefon- und Versorgerverträgen, naheliegend. Cash-Management-Produkte für große und kleine Unternehmen, die über mehrere Konten bei verschiedenen Instituten agieren, profitieren von den neuen standardisierten Schnittstellen. Solche Angebote dürften durch die anstehende Ausbreitung von Echtzeitzahlzungen (Instant Payments) in Deutschland und Europa noch weiter an Attraktivität gewinnen. Chancen ergeben sich definitiv aus der angestoßenen Veränderung der Rollen der Banken und Sparkassen (siehe Abbildung 2).
Globale Technologieunternehmen wie Amazon, Apple, Facebook und Google agieren mit verschiedenen anderen Geschäftsmodellen. Sie werden künftig versuchen, Zahlungsdienste mit kundenspezifischen Daten und der bedarfsorientierten Auswertung von Daten zu kombinieren.
Infrastrukturöffnung darf keine Einbahnstraße bleiben
Zahlungsauslösedienste sowie Konto- und Umsatzinformationen aus Zahlungskonten dürften diesen Unternehmen zunächst ausreichen, um Mehrwertdienste zu generieren, indem sie diese mit anderen personalisierten Daten der Kunden kombinieren. Eine umfassende Banklizenz streben die Technologie-Firmen vermutlich zunächst nicht an, da der hiermit verbundene regulatorische Aufwand außerordentlich hoch ist. Aber auch ohne ein zusätzliches Angebot von Bankdienstleistungen könnten schnell marktbeherrschende Konstellationen, insbesondere von außereuropäischen Akteuren, entstehen.
Deshalb darf es nicht dabei bleiben, dass nur Banken ihre Infrastrukturen für andere Marktteilnehmer öffnen. Auch umgekehrt müssen Technologieunternehmen wie Apple ihre Angebote für Banken öffnen. Apple beispielsweise beschränkt jedoch die Kontaktlos-Schnittstelle in seinen mobilen Geräten auf seine eigene Bezahllösung "Apple Pay". Banken und andere Marktakteure möchten sichere und effiziente Zahlverfahren für alle Kunden mit allen Geräten auf gleiche Art und Weise anbieten können und dabei nicht auf eine Bezahllösung zwangsweise verpflichtet werden.
Kooperationen als Zukunftsmodell
Anders sieht die Situation bei den Start-Ups rund um die Bereiche Bezahlen und Konto aus. Einige davon haben sich zu effizient arbeitenden Fintechs entwickelt. Aus der einstmaligen Konfrontation zwischen etablierten Banken und Sparkassen und den Fintechs ist in vielen Fällen ein konstruktives Miteinander geworden. Viele Kreditinstitute kooperieren zunehmend mit Fintechs und bringen immer öfter gemeinsam Innovationen hervor und voran.
Die globalen Internetgiganten haben zwar aufgrund ihrer großen Reichweite und der hohen Kundennutzungszahlen einen großen Vorteil in der Kundenbeziehung, werden aber insbesondere in Europa aufgrund ihrer nahezu Marktbeherrschung kritisch gesehen.
Rahmenbedingungen für Kooperationsmodelle auf dem Prüfstand
Über die konkreten Regelungen der PSD2 mit ihrem Fokus auf Zahlverfahren hinaus überprüft die EBA gegenwärtig die Rahmenbedingungen für Kooperationsmodelle und -angebote zwischen Fintechs und etablierten Banken. Auch relevante regulatorische Aspekte und Fragestellungen, beispielsweise Anforderungen bei Auslagerungen von Daten und Services in Cloud-Lösungen, werden in diesem Zuge beleuchtet. So sollen Abhängigkeiten und Zusammenhänge transparent werden, um eventuellen zusätzlichen Regulierungsbedarf zu identifizieren.
PSD2 als Türöffner
Bereits heute ist eindeutig erkennbar, dass sich das gesamtwirtschaftliche Szenario im Zuge der fortschreitenden Digitalisierung, speziell durch die Vernetzung von zuvor unabhängigen Dienstleistungssystemen undplattformen, gravierend verändert hat. Dieser technologische Wandel wird das Bankengeschäft erheblich beeinflussen. Die Aufsichtsbehörden haben das weltweit erkannt. Zahlungsverkehr und Kontoführung können auch hier Vorreiter neuer Entwicklungen sein.
Der Wunsch vieler zukunftsorientierter Unternehmen, den Zahlungsverkehr und damit das "Bezahlen" als integrierten Bestandteil von Konsum oder Erleben anzubieten, ist eine Anforderung der digitalen Gegenwart und Zukunft. Digitale Mehrwertdienste und personalisierte Angebote für die Konsumenten sollen den Aspekt des Bezahlvorgangs aus dem Mittelpunkt ziehen. Coupons, Rabatte, Aktionen und Bonusprogramme sollen dabei aus Sicht des Handels die Umsätze steigern und die Kundenbindung erhöhen.
Der Bezahlvorgang könnte dabei "Mittel zum Zweck" werden. Allerdings können zukünftig sekundenschnelle, effiziente und rechtssichere Zahlverfahren sowie Infrastrukturen aber auch der nötige Garant dafür werden, dass neben dem optimalen Konsumerlebnis auch das Finanzielle immer stimmt, der Kontostand in Echtzeit immer korrekt ist. Die PSD2 kann hier nur ein Türöffner sein. Etablierte und künftige Anbieter müssen diese Transformation gestalten.
Auf dem Weg zur PSD3
Hier wird auch ein Schwachpunkt der PSD2 deutlich: Zahlungsverkehr in Echtzeit und damit Instant Payments waren noch nicht auf der Agenda von Kommission und Parlament, als die PSD2 Gestalt annahm. Sie kennt für Laufzeiten und Fristen nur Tage, keine Minuten und Sekunden. Eine "PSD3" dürfte insofern nicht allzu lange auf sich warten lassen, zumal die EU-Kommission schon bis Januar 2021 aufgefordert ist, einen Bericht für Parlament und Rat zur Anwendung und Auswirkungen der PSD2 vorzulegen.
Dieser Zeitpunkt ist aber wohl zu früh, um die langfristigen Erfahrungen aus der Etablierung des Kontozugangs für Drittdiensteanbieter (ab August oder September 2019) schon valide berücksichtigen zu können.
Nur Infrastrukturanbieter zu sein reicht nicht
Die damit skizzierten regulatorischen Anforderungen belasten die etablierten Anbieter im europaweiten Zahlungsverkehr, die heute noch höchst effiziente Infrastrukturen anbieten können. Mit zunehmendem Kostendruck auf Strukturanbieter einerseits und der Öffnung für den Wettbewerb mit weniger intensiv regulierten, kostengünstig operierenden Anbietern andererseits gerät die Schlüsseldienstleistung Zahlungsverkehr in gefährliches Fahrwasser. Die Regulierung und ihre Umsetzung droht die Ressourcen vollkommen in Anspruch zu nehmen, die eigentlich der Kundschaft und ihren Bedürfnissen zugutekommen sollten.
Um auch künftig Stabilität und Vertrauen in eine der Schlüsseldienstleistungen wie Zahlungsverkehr zu gewährleisten, muss daher nicht nur Waffengleichheit ("same business same rules") gegeben sein, sondern auch geklärt werden, wer künftig noch bereit sein wird, in Infrastrukturen zu investieren. Nur Infrastrukturanbieter zu sein, ist für einen Investor keine attraktive Aussicht.
Fußnote
1) Berlin-Group-Konferenz am 25. Oktober 2017 zur Spezifikation einer Schnittstelle für Drittdienstleister gemäß PSD2. www.berlin-group.org
