Update am 5.8.2019
Die Umsetzung der PSD 2 geht in die heiße Phase! Seit Mitte März sind Geldinstitute verpflichtet, die neuen vorgeschriebenen technischen Standards aus PSD 2 und den von der EBA veröffentlichten Regulatory Technical Standards (RTS) zu testen. Das bedeutet konkret, dass durch die Geldinstitute ein PSD2-konformes Testsystem bereitgestellt werden muss, bei dem Drittanbieter sich identifizieren und auf Testkonten zugreifen können. In einer zweiten Phase, die ebenfalls bereits angelaufen ist, müssen die Testkonten durch echte Konten ersetzt werden. Bis September muss dann die endgültige gesetzeskonforme Authentifizierungslösung feststehen, funktionieren und zum Einsatz kommen.
Hintergrund
Seit dem 13. Januar 2018 gilt die PSD2 (Payment Service Directive/ Zahlungsdiensterichtlinie) in Form des Zahlungsdienstaufsichtsgesetzes (ZAG) auch in Deutschland. Die neue Richtlinie regelt die Rahmenbedingungen für Zahlungsdienstleistungen und hat das Ziel diese sicherer und einfacher zu gestalten und zudem den Wettbewerb zwischen klassischen Banken (deren Monopol aufgebrochen werden soll) und modernen Zahlungsdienstleistern (FinTechs) zu fördern. Da die in diesem Zusammenhang verwendeten Daten sehr sensibel sind, war ein europaweit einheitlicher Rahmen zum Schutz dieser Daten erforderlich.
Welche FinTechs sind vom Anwendungsbereich der PSD2 umfasst?
Die PSD2 bietet erstmalig eine Rechtsgrundlage für den Marktzugang von FinTechs, da sie alle Zahlungsdienste (nicht nur solche durch klassische Banken) erfasst, die innerhalb der EU erfolgen. Zudem sind anders als bei der Vorgängerrichtlinie auch Zahlungen aus und mit Drittländern sowie in Fremdwährungen erfasst.
Namentlich umfasst sind dabei Zahlungsauslösedienstleister (Payment Initiation Service Providers, PISPs) und Kontoinformationsdienstleister (Account Information Service Provider, AISPs). PISPs, wie Klarna, führen Zahlungsvorgänge durch Zugriff auf das Bankkonto des Kunden aus. AISPs dienen vor allem dazu dem Kunden einen Überblick über Transaktionen und sonstige Kontoinformationen zu verschaffen, wenn er über mehrere Konten (bei verschiedenen Banken) verfügt.
Was verändert sich für Banken und FinTechs durch die PSD2?
Bisher mussten Kunden für Zahlungsdienste auf ihr Konto bei einer klassischen Bank zugreifen und die Instrumente ihrer Bank nutzen. Die PSD2 verlangt von Banken nun, dass sie Drittanbietern/FinTechs Zugriff auf das Kundenkonto gewähren, wenn der Kunde die Zahlungsdienstangebote des Drittanbieters wahrnehmen möchte. Die Bank ist in diesem Fall nicht mehr direkt an den Zahlungsdienstleistungen beteiligt.
Allerdings gibt es für FinTechs und sonstige Drittanbieter gewisse Hürden beim Eintritt in den Markt des Zahlungsverkehrs zu beachten. So sind die von der Europäischen Bankenaufsichtsbehörde EBA vorgegebenen technischen Regulierungsstandards/Regulatory Technical Standards (RTS) zwingend einzuhalten. Diese legen fest, wie Schnittstellen zu klassischen Banken und damit zum Kundenkonto ausgestaltet sein müssen. Daneben müssen FinTechs vor dem Markeintritt einen entsprechenden Antrag bei der BaFin stellen und die Registrierung (Lizenzierung) abwarten.
Welche Konsequenzen ergeben sich für Online-Händler durch die PSD2?
Zum einen setzt die PSD2 einen deutlichen Trend zum kostenlosen Onlinezahlen. Die extra Gebühren für ein bargeldloses Zahlungsmittel fallen weitestgehend weg, sodass Kunden sich eher für den Online-Handel entscheiden könnten. Zudem haben Online-Händler die Möglichkeit, eigene Zahlungsdienste anzubieten, sich entsprechend bei der BAFIN zu registrieren und dann etwa als AISP wertvolle Informationen über das Konsumentenverhalten und Kaufentscheidungen zu erlangen. Zudem können Händler sog. Instant Payment Services einrichten, durch die sie die Möglichkeit haben, den Kaufpreis direkt vom Kundenkonto auf ihr eigenes Konto einzuzahlen und damit anders als z.B. bei Lastschriften eine Zahlungsgarantie haben. (Siehe auch unseren Beitrag: „PSD 2 & 2-Faktor-Authentifizierung: Umsetzungsbedarf für Online-Händler“)
Sollten Online-Händler nicht selbst Zahlungsdienstleistungen anbieten, sollten sie darauf achten, bei der Auswahl der möglichen Zahlungsdienste neben dem Renommee und der Sicherheit der verschiedenen Anbieter, auch auf kreative Lösungen zu blicken. Die PSD2 ermöglicht FinTechs einen größeren Handlungsspielraum bei Zahlungsdiensten und somit die Chance Kundenerwartungen eher zu entsprechen, die in den letzten Jahren gerade auch unkomplizierte und schnelle Lösungen zu beinhalten schienen. Bei der Einbindung eines regulierten Zahlungsdienstleisters müssen allerdings bestimmte Anforderungen gewahrt werden, um nicht selbst in die Regulierung zu rutschen.
Teilweise befürchten Online-Händler durch die strengeren Sicherheitsvorkehrungen (dynamischer Code, TAN, Fingerabdruck s. dazu sogleich im Detail) jedoch auch eine Verkomplizierung der Online-Zahlungen, die Kunden abschrecken könnte.
Welche datenschutzrechtlichen Regelungen enthält die PSD2?
Nach der PSD2 ist vor allem darauf zu achten, dass Zahlungsdienstleister nur mit der ausdrücklichen Zustimmung (Einwilligung) ihrer Nutzer personenbezogene Daten verarbeiten dürfen. Durch den Verweis auf die seit dem 25. Mai 2018 geltende Datenschutz-Grundverordnung (DSGVO) kann diese Einwilligung mündlich, schriftlich oder elektronisch erfolgen, muss jedoch ausdrücklich ergehen und darf sich nicht etwa aus den Umständen ergeben. Eine Möglichkeit zur Einholung der Einwilligung ist die Datenschutzerklärung. Die PSD2 legt dabei in Verbindung mit der DSGVO größten Wert auf Transparenz und Verständlichkeit. Dem Kunden muss also in einer einfachen und verständlichen Sprache erklärt werden, worin er genau einwilligt.
Die EBA hat bei der Schaffung der technischen Standards ebenfalls die datenschutzrechtlichen Vorgaben zu berücksichtigen. Die Kommunikation zwischen FinTech und Bank muss dabei den selben Transparenzanforderungen unterliegen, wie sie gegenüber Betroffenen gelten.
Weiterhin haben FinTechs auf datenschutzfreundliche technische Voreinstellungen (Privacy by Design) zu achten und sollten dazu gegebenenfalls rechtlichen Rat einholen.
Zudem sollten FinTechs dringend den engen Zweckbindungsgrundsatz beachten. So dürfen AISPs zwecks Kontenübersicht mit Einwilligung des Nutzers erhobene Daten keinesfalls für Werbung oder Scoring verwenden.
FinTechs haben sowohl gegenüber Banken (ebenso wie Banken gegenüber FinTechs) als auch gegenüber Betroffenen den Grundsatz der Datensparsamkeit zu berücksichtigen. Demgemäß dürfen niemals mehr Daten erhoben werden, als für die Umsetzung des entsprechenden Kundenauftrages erforderlich sind.
In Verbindung mit der DSGVO drohen hohe Bußgelder von bis zu 4 % des weltweiten Jahresumsatzes oder 20 Millionen Euro.
Wie ist die Sicherheit der Daten darüber hinaus geregelt?
Da die PSD2 den Kontozugriff nicht mehr auf klassische Banken beschränkt, muss sie auch bei den Sicherheitsanforderungen höhere Standards anlegen. So reicht für Online-Zahlungen und sonstige Transaktionen ein Log-In mit Benutzername und Passwort nicht mehr aus. Ab bestimmten Summen wird nun immer die TAN oder ein dynamisch hergestellter Code, der per SMS an das Handy des Nutzers gesendet wird, abgefragt. Jedenfalls ist neben dem Passwort immer ein zweiter Sicherungsschritt erforderlich, der in Zukunft auch in einem Fingerabdruck oder anderen biometrischen Medium bestehen kann. Darüber hinaus müssen auch die Apps und Code-Algorithmen ebenso wie TAN-Systeme den strengeren Sicherheitsanforderungen der PSD2 angepasst werden.
Welche Probleme bestehen bezüglich der Umsetzung der PSD2?
Erstes Problem bezüglich der Umsetzung der PSD2 dürfte eine gewisse Unklarheit bezüglich des Anwendungsbereichs für bestimmte AISPs sein. So sind Dienste, die eine direkte Vertragsbeziehung zum Nutzer aufweisen und Übersichten über Multibanking-Produkte bieten unstreitig erfasst.
Schwieriger und durch die Rechtsprechung zu klären, ist jedoch die Frage ob auch zum Beispiel folgende Dienste einbezogen sind und damit ebenfalls der Antrags- und Registrierungspflicht durch die BAFIN unterliegen.
Buchhaltersoftware (soweit Kontoinformationen einsehbar sind); Dienste, die Kontowechsel erleichtern sollen; Dienste, die Kredite vermitteln und dabei Einsicht in Kontoinformationen nehmen; Kündigungsdienste, die u.a. auf Kontobewegungen blicken um über die Kündigung zu entscheiden. Eine Übersicht über die Antrags- und Lizenzpflicht geben die EBA Guidelines (Download als PDF).
Grundsätzlich besteht die Pflicht zur Registrierung bis April 2018, es sei denn das FinTech arbeitet bereits seit vor Januar 2016 in von der PSD2 reglementierten Gebieten. Unklar ist, ob die BAFIN im Falle registrierungspflichtigerer aber ohne Antrag ausgeübter Fin-Tech-Tätigkeit, die Zahlungsdienstleistungen untersagen kann.
Zudem ist teilweise unklar für welche Kontoarten, die PSD2 gelten soll. So ist das Girokonto unstreitig ein solches, auf das FinTechs auf Kundenanweisung nun zugreifen können. Weniger eindeutig ist dies etwa für Kreditkartenkonten oder kontoähnlichen Angeboten wie PayPal. Hier sind Einzelfallentscheidungen danach geboten, ob und inwieweit das Konto im jeweiligen Fall funktional einem Girokonto entspricht.
Darüber hinaus sind einige der RTS (z.B. zur „starken Kundenauthentifizierung“) noch ungenau oder umstritten. Insbesondere bezüglich der Schnittstellen von Banken und FinTech-Angeboten kann es europaweit zu unterschiedlichen Umsetzungen kommen, die sowohl FinTechs als auch Online-Händler vor große Herausforderungen stellen können. Banken, die hier eigeninitiativ einheitliche Lösungen anbieten, könnten sich trotz oder gerade wegen der neuen Konkurrenz durch FinTechs Wettbewerbsvorteile verschaffen. Zudem beklagen sowohl Online-Händler als auch FinTechs, dass die Summe, ab der Zusatz-Authentifikationen verlangt werden (derzeit liegt diese bei 30€) zu niedrig sei und den Online-Handel verlangsame. Auch hier haben klassische Banken die Möglichkeit durch Kooperationen mit Online-Händlern die Summe höher anzusetzen und sich im neuen Zahlungsdienstemarkt besser zu positionieren.
Ein Bereich, in dem lange Zeit Unklarheit bestand war der des sog. Screen Scrapings, mittels dessen die Internetseite von Banken durch FinTechs ausgelesen wurde, um Zugriff auf das Kundenkonto zu erlangen. Dieser Zugriff wird durch die RTS dahingehend konkretisiert, dass er nur über eine spezifische Schnittstelle (API) erfolgen darf, wodurch das Screen Scraping weitestgehend verboten ist. Zu einem maschinengesteuerten Auslesen des Kundenkontos kann es also nicht mehr kommen. Grundsätzlich müssen Banken diese APIs bis zum dritten Quartal 2019 umgestalten, um den Zugriff zu ermöglichen.
Fazit
Die PSD2 bietet FinTechs die Möglichkeit im Markt der Zahlungsdienste mitzumischen. Kreative Lösungen und Abweichungen von veralteten Bankinfrastrukturen sind somit möglich. Dies sollte jedoch nicht zu Lasten der Datensicherheit oder des Verbraucherschutzes gehen, da gerade wegen der größeren Angebotsvielfalt und der Sensibilität der betroffenen Daten, Kunden neuen, wenig etablierten Anbieten schneller den Rücken kehren werden. Bei der Ausgestaltung der Schnittstellenstruktur zwischen Banken und FinTechs ist im Idealfall von einer Kooperation aller beteiligten Parteien auszugehen, um den Übergang in die neue Zeitrechnung im Online-Zahlungsverkehr so schnell und sicher wie möglich zu bewerkstelligen.