Die große Bedeutung der Richtlinie rührt aus der zentralen Funktion von Zahlungsdiensten, die eine wesentliche Voraussetzung für das Funktionieren zentraler wirtschaftlicher und gesellschaftlicher Tätigkeiten darstellen. Beobachter sehen mit der PSD2 die Tür zum Open Banking aufgestoßen, die wettbewerbliche Auseinandersetzung zwischen Fintech und Banken an einer Schwelle und die EU auf dem Weg zu einem einheitlichen digitalen Markt. Der Anspruch darf also als hoch bezeichnet werden.
Die Richtlinie beschäftigt die Branche intensiv, beim Verbraucher ist sie aber noch kaum angekommen: Laut einer repräsentativen Umfrage vom November 2018 im Auftrag des Informationsdienstleisters Crifbürgel hatten 69 Prozent der befragten Teilnehmer noch nie von PSD2 gehört. Die übrigen 31 Prozent kannten zwar den Begriff, doch nur schmale drei Prozent der Befragten gaben an, auch zu wissen, was sich dahinter verbirgt. Allerdings muss das Nicht-Wissen um den Hintergrund nicht die Nutzung selbst verhindern: Etwa ein Zehntel der Befragten gibt an, schon einmal PSD2-basierte Dienste genutzt zu haben; gestützt erinnern sie sich noch am häufigsten an die Nutzung von Online-Vergleichsseiten (sechs Prozent) oder Banking-Apps (fünf Prozent). Zudem sind für 28 Prozent PSD2-Dienstleistungen grundsätzlich attraktiv (Vgl. Crifbürgel (2019): PSD2 ist noch nicht in den Köpfen der Verbraucher).
Mit der Payment Service Directive II (kurz PSD2) erhalten die Kontoinhaber die Möglichkeit, ihre Bank anzuweisen Finanzdaten in digitaler Form an Dritte weiterzugeben. Außerdem dürfen sie Drittanbieter beauftragen, Zahlungen auf ihrem Bankkonto auszulösen. Dies bezieht sich aber nur auf online geführte Konten. Für die Leistungen dürfen die kontoführenden Institute keine Gebühren erheben.
Historie und Grundlagen
Die neue Richtlinie setzt auf der PSD1 von 2007 auf, die vor allem Harmonisierung zum Ziel hatte und damit auch die SEPA-Einführung unterstützte. Im Jahr 2015 hat sich die Europäische Union (EU) - auch auf Grundlage eines offiziellen Bewertungsbericht zur PSD1- wieder dem Thema Zahlungsverkehr angenommen und die PSD1 von 2007 überarbeitet. Hierbei ist die Zweite europäische Zahlungsdiensterichtlinie entstanden.
Damit die Richtlinie Rechtswirksamkeit erlangen kann, bedarf es der Umsetzung in nationales Recht, deren Frist im Januar 2018 hierfür verstrichen ist. Mit dem Gesetz zur Umsetzung der Zweiten Zahlungsdiensterichtlinie (ZDUG) vom 17. Juli 2017 (BGBl. I S. 2446) hat Deutschland den Prozess im Vergleich zu anderen EU-Mitgliedstaaten fristgerecht abgeschlossen, die europarechtlichen Vorgaben in nationales Recht umzusetzen. Insgesamt 24 andere EU-Staaten (per August 2019) haben die PSD2 umgesetzt.
Mit der Richtlinie wurden auch Akteure neu definiert und Graubereiche eliminiert: Aufsichtsrechtlich nicht geregelt waren Zahlungsdienste-Anbieter. Diese werden nun als so genannter Zahlungsauslösedienst/Payment Initiation Service Providers (ZAD, englisch PISP) bezeichnet. Ein Beispiel für einen ZAD ist ein in die Website eines Onlinehändlers integrierter Service, per Überweisung von seinem Bankkonto zu zahlen ohne auf die Online-Banking-Seite seiner Bank zu wechseln. Ein Beispiel wäre die seit 2005 operierende Sofort GmbH ("Sofortüberweisung"), die zur schwedischen Klarna Bank gehört. Dieser Bereich profitiert enorm vom Aufstieg des E-Commerce.
Eine weitere Definition ist die des Kontoinformationsdienstes/Account Information Service Provider (KID, englisch AISP). Beispiel wäre hier eine App, die dem Kunden eine aggregierte Übersicht über alle seine Konten bei verschiedenen Banken bietet. Personal Finance Management ist hier das Stichwort.
Den beiden neuen Akteure, die zusammen als Third Party Provider (TPP) definiert werden, wird mit der PSD2 offiziell einen Platz im traditionellen Verhältnis zwischen Bankkunde und Finanzinstitut zugewiesen: Es entsteht ein Mehrpersonenverhältnis, wie untenstehende Abbildung 1 zeigt. Interessant ist auch, dass keine vertragliche Beziehung zwischen dem kontoführenden Zahlungsdienstleister und den TPPs notwendig ist und dies keinerlei Auswirkung auf Zahlungstransaktionsgeschäfte hat. Auch zu einem eventuell eingebundenen Händler muss der PISP keine Vertragsbeziehung haben.
Ziele
Stärkung von Wettbewerb und Innovation - das sind die primären Ziele, die der europäische Gesetzgeber mit der Schaffung der Richtlinie verfolgt. Dazu bricht er die viele Jahrzehnte geltende Einheit von Kundenkonto und Kontoinformationen sowie Zahlungsauslösung auf. Unter Wettbewerb und Innovation können die Unterziele Marktöffnung für neue Zahlungsmittel sowie Effizienzgewinne im Zahlungssystem subsummiert werden.
Ein zweites wesentliches Ziel ist die Steigerung der Sicherheit im Zahlungsverkehr, und damit eng verbunden, die Stärkung des Verbrauchervertrauens. In Zeiten von zunehmenden und immer ausgereifteren Phishingattacken ist das sicherlich ein wünschenswertes Ziel. Auch die erhebliche Zunahme von Internetzahlungen und mobilen Zahlungen lässt eine Verbesserung der Sicherheit bei der Zahlungsabwicklung als geboten erscheinen.
Schlussendlich verfolgt die EU mit der PSD2 ein Grundziel ihres Wertekanons: Ein integrierter Binnenmarkt soll nicht nur für Waren Wirklichkeit werden, sondern auch für den Zahlungsverkehr. Der Zersplitterung des europäischen Zahlungsverkehrsmarktes soll ein Ende gesetzt werden. Dass wichtige Bereiche des Zahlungsverkehrsmarktes nach wie vor entlang der nationalen Ebenen aufgeteilt sind, ist nicht im Sinne der europäischen Idee.
Technische und rechtliche Aspekte
Im Zentrum der technischen Aspekte steht die Schnittstelle - im Fachjargon API (Application Programming Interfaces) genannt. Die Schnittstelle ist nicht unbedingt ein Kernelement des traditionellen Bankings, sondern vielmehr der Internetwirtschaft und digitaler Plattformen, die diese nutzen um Fremdanbieter einzubinden. Die Integration von Fremdanbietern zielt oft auf den Aufbau eines Ökosystems.
Für die Beratung und Erarbeitung der technischen und regulatorischen Anforderungen hat die EU die European Banking Authority (EBA) beauftragt. Die neuerdings in Paris sitzende Behörde hat im Rahmen von PSD2 insgesamt sechs Leitlinien (GL), einen technischen Durchführungsstandard (ITS) und fünf technische Regulierungsstandards (RTS) erstellt. Die RTS entwickelte die EBA in Zusammenarbeit mit der EZB und mehreren Zentralbanken aus dem Europäischen Wirtschaftsraum, darunter auch die Bundesbank; die Standards beschäftigen sich vor allem mit der sicheren Kommunikation und der starken Kundenauthentifizierung. Der Adressatenkreis dieser erstellten Anforderungskataloge sind die europäischen Zahlungsdienstleister (Banken, Fintechs et cetera) und die nationalen Aufsichtsbehörden (BaFin et cetera). Allerdings steht in einigen Bereichen den nationalen Aufsichtsbehörden das Recht zu, die von der EBA erstellten Vorschriften nicht oder verändert anzuwenden.
Darüber hinaus spielt die 2013 gegründete PRETA S.A.S. eine Rolle: Sie hat den Auftrag, marktfähige Dienstleistungen für digitale Zahlungs- und Identitätslösungen zu entwickeln und zu verbessern. Das Unternehmen ist eine hundertprozentige Tochtergesellschaft der EBA Clearing, dem Anbieter von paneuropäischen Zahlungsinfrastrukturlösungen.
Sicherheit ist wie bereits dargestellt ein erklärtes Ziel der neuen Regulierung: Leistungsträger dabei ist das Konzept der starken Authentisierung. Diese ist verpflichtend und beinhaltet, dass der Kunde aus mindestens drei Merkmalen zwei belegen kann. Folgende Merkmale existieren:
1. Wissen, zum Beispiel ein Passwort
2. Besitz, zum Beispiel eine Chipkarte oder ein Handy
3. Persönliches Merkmal/Inhärenz, zum Beispiel biometrische Eigenschaften
Eine dynamische Verknüpfung mit Attributen der Transaktion ist in Zukunft ebenfalls obligatorisch, beispielsweise eine SMS mit der TAN und den Merkmalen der Transaktion. Der Aufschub betrifft vor allem die starke Kundenauthentifizierung, auf die die BaFin nun übergangsweise nicht besteht. Der Verbraucher soll aber nicht nur durch technische Details, sondern auch durch rechtliche Vorgaben geschützt werden. Solange er nicht betrügerisch oder grob fahrlässig handelt, ist er im Falle eines Missbrauchs nur mit 50 Euro Haftung zu belangen. Kunden haben acht Wochen Zeit dies anzuzeigen, diesen Haftungsvorgaben entgegenstehende Klauseln sind nichtig. Wie anfällig das neue System für Attacken/Missbrauch ist und wie gut es damit umgehen kann, wird sicherlich auch eine Rolle bei einer rückblickenden Bewertung spielen.
Die Sicherheit des Datentransfers macht aber nur Sinn, wenn auch bei der TPPs Standards eingehalten werden. Zu den wichtigsten Vorgaben gehört bei den PISPs ein Anfangskapital von mindestens 50 000 Euro, für AISPs wird keines verlangt. Eine Berufshaftpflichtversicherung oder gleichwertige Garantie, deren Mindestdeckungssummen von der EBA festgelegt werden, ist von beiden zu vorzulegen. AISP unterliegen lediglich einer Registrierungspflicht aber keiner echten Erlaubnispflicht. Eine Übersicht aller Anforderungen gibt die Abbildung. Nur wenige Erfahrungswerte gibt es bisher zu dem Verfahren, aber mit einer Antragsdauer von drei Monaten kann gerechnet werden (sofern der Antrag nicht besonders komplex ist). Die BaFin verlangt je nach Komplexität des Antrages und des späteren Geschäftsmodells von Finanzdienstleistungen Gebühren zwischen 2 000 und 17 000 Euro.
Parallel zu diesem Beantragungsprozess sind zum Schutz der Kommunikation zwischen Banken und anderen Zahlungsdienstleistern sogenannte qualifizierte Website-Zertifikate, (Qualified Website Authentication Certificates - QWACs) mit PSD2-Erweiterungen einzuführen. Mit einem QWAC authentifiziert sich der Drittanbieter gegenüber dem kontoführenden Zahlungsdienstleister unter Angabe seiner Rolle und seiner Registrierungs-ID bei der nationalen Aufsichtsbehörde. Gleichzeitig sichert das qualifizierte Website-Zertifikat auf dem Transportlevel die Kommunikation mit Drittanbieter ab. Eine Tochter der Bundesdruckerei ist einer der wenigen europäischen qualifizierten Vertrauensdiensteanbieter, die diese Zertifikate anbieten dürfen (siehe Interview zum Stand der technischen Umsetzung mit einer Expertin der Bundesdruckerei).
Nicht weniger anspruchsvoll machen die vielfältigen Interferenzen zwischen PSD2 und EU-DSGVO die Implementierung. Für Banken und Zahlungsdienstleister ist das deshalb eine Herausforderung, da die Regularien der EU-DSGVO auch noch recht frisch sind und keinesfalls in allen Unternehmen als vollständig verstanden und umgesetzt vorausgesetzt werden können.
Kritik und Ausblick
Die Bankenbranche kritisiert, dass die Richtlinie einseitigen Wettbewerb fördert: Banken werden verpflichtet, einer Vielzahl an möglichen Wettbewerbern Zugang zu Kundendaten und zur Zahlungsinfrastruktur zu geben, umgekehrt werden jedoch zum Beispiel Internetplattformen de facto weiterhin die Hoheit über die personenbezogenen Daten ihrer Kunden behalten. Wenn man der Ansicht ist, dass Daten der Rohstoff der Zukunft sind und die Ökosysteme eine dominante Rolle im Wirtschaftsleben einnehmen werden, ist das Argument doppelt stark.
Die Datensituation führt auch noch aus anderer Perspektive zu einem Kritikansatz: Die Kundendaten werden bei den Banken und bei der Schnittstelle durch scharfe rechtliche Vorgaben geschützt. Einmal beim Third Party Provider angekommen, sind sie hingegen außerhalb der klassischen Finanzaufsicht. Hierbei ist aber anzumerken, dass die DSGVO gerade bei diesen besonders sensiblen Daten für Schutz sorgen sollte. Zur Wahrheit gehört allerdings auch, dass der Datenschutz in den verschiedenen EU-Mitgliedschaften trotz Richtlinie unterschiedlich gelebt wird. Experten ergänzen dazu auch, dass die Fintechs kein traditionsbewusstes Verständnis vom Schutz der Kundendaten wie die Banken besitzen.
Der Gesetzgeber hat vorhergesehen, dass die Komplexität des Regelwerks zu Unzulänglichkeiten und Fehlern führen muss. Daher beinhaltet die Richtlinie eine Überprüfungsklausel, nach der die Kommission bis zum Anfang 2021 einen Bericht über die Anwendung und die Auswirkungen der neuen Richtlinie vorlegen muss. Dies eröffnet die Möglichkeit für Anpassungen und Verbesserungen.
Literatur
Bundesdruckerei (2019): Wie Zahlungsdienste die PSD2 umsetzen
Bundesdruckerei (2019): Open Banking - PSD2 sicher und rechtswirksam umsetzen
Brener (2019): Payment Service Directive II and its Implications, in: Lynn et al.: Disrupting Finance DB Research (2018): PSD2, Open Banking und der Wert personenbezogener Daten
Krol/Herbstmann (Bluecarat) (2018): Die gesetzlichen und regulatorischen Anforderungen an die Europäische Zahlungsdienste-Richtlinie "Payment Service Directive" (PSD2) unter Berücksichtigung der Europäischen Datenschutzgrundverordnung (EUDSGVO)
