Anfang 2018 tritt die neue europäische Zahlungsdienste-Richtlinie PSD2 in Kraft. Sie soll die Sicherheit bei Geldtransaktionen im Internet steigern und wird den Wettbewerb zwischen Banken und alternativen Zahlungsdiensten erhöhen.
Zu Beginn des kommenden Jahres, genau am 13.01.2018, sollen im europäischen Zahlungsverkehr neue Regeln gelten. Die zweite EU-Zahlungsdienste-Richtlinie (PSD2) soll die Sicherheit bei Geldtransaktionen im Internet steigern und den Wettbewerb insbesondere zwischen den alternativen Zahlungsdiensten anregen.
Inhalte von PSD2 im Kurzüberblick
Welche Zahlungsdienste werden in PSD2 in erster Linie betrachtet?
Zahlungsauslösedienst
Nach Artikel 4, Nr. 15 PSD2 ist ein Zahlungsauslösedienst ein Dienst, der auf Antrag des Zahlungsdienstnutzers seinen Zahlungsauftrag in Bezug auf ein bei einem anderen Zahlungsdienstleister geführtes Zahlungskonto auslöst. Der Zahlungsauslösedienst soll das Auslösen der Zahlung sicherstellen und gleichzeitig den direkten Versand der Ware ermöglichen.
Kontoinformationsdienst
Nach Artikel 4, Nr. 16 PSD2 ist der Kontoinformationsdienst ein Online-Dienst zur Mitteilung konsolidierter Informationen über ein Zahlungskonto oder mehrere Zahlungskonten, das/die ein Zahlungsdienstnutzer entweder bei einem anderen Zahlungsdienstleister oder bei mehr als einem Zahlungsdienstleister hält. Zweck dieser Dienste ist es, einen Gesamtüberblick in Echtzeit über die finanzielle Situation der angefragten Person zu bekommen. Bei Kontoinformationsdiensten existieren keine Vorgaben bezüglich Anfangs- oder Eigenkapital.
Gemeinsamkeiten von Zahlungsauslöse-und Kontoinformationsdiensten
Sowohl Zahlungsauslösedienste als auch Kontoinformationsdienste sind bisher in der Regel eine erlaubnisfreie Dienstleistung nach § 1 Abs. 10 Nr. 9 ZAG (Zahlungsdiensteaufsichtsgesetz). Beide Dienste besitzen keine Geldbeträge. Ein sicherlich wichtiger Punkt für die Verbraucher ist, dass die Dienste sensible Zahlungsdaten nicht speichern und sie die eingeholten Informationen und Daten keinesfalls weiterverwerten dürfen.
Erlaubniserteilung
Alle Zahlungs- und E-Geld-Institute, die im Inland gewerbsmäßig oder in einem Umfang, der einen in kaufmännischer Weise eingerichteten Geschäftsbetrieb erfordert, Zahlungsdienste als Zahlungsinstitut erbringen, benötigen dafür gemäß § 8 Abs. 1 ZAG eine schriftliche Erlaubnis der Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin). Erbringen sie Zahlungsdienste, ohne dafür die nach § 8a Abs. 1 ZAG erforderliche Erlaubnis zu haben, das E-Geld-Geschäft zu betreiben, kann die BaFin nach § 4 Abs. 1 ZAG die sofortige Einstellung des Geschäftsbetriebs und die unverzügliche Abwicklung dieser Geschäfte gegenüber dem Unternehmen sowie gegenüber seinen Gesellschaftern und den Mitgliedern seiner Organe anordnen.
Rolle und Aufgaben der Europäischen Bankenaufsicht
Die zweite EU-Zahlungsdienste-Richtlinie PSD2 regelt jedoch nicht alles. Die Europäische Bankenaufsicht (EBA) setzt zusätzlich die sogenannten technischen Regulierungsstandards (RTS) fest.
Was sind diese technischen Regulierungsstandards?
RTS haben ausschließlich einen technischen Hintergrund und beinhalten keine strategischen oder politischen Entscheidungen. Sie sind demnach Reaktion oder nächster Schritt, sobald ein Gesetz verabschiedet wurde und technische Lösungen definiert werden müssen.
RTS lassen sich zudem nicht mit Standards wie ISO-Normierungen vergleichen. Es handelt sich hierbei um delegierte Rechtsakte der Kommission nach Artikel 290 des AEUV (Vertrag über die Arbeitsweise der Europäischen Union). Dieser erlaubt es dem EU-Gesetzgeber, das heisst, dem Europäischen Parlament und dem Rat, an die Kommission die Befugnis zur Verabschiedung von nichtlegislativen Rechtsakten zur allgemeinen Anwendung abzutreten, wenn diese bestimmte, nicht wesentliche Elemente eines Gesetzgebungsakts ergänzen oder abändern.
Erster finaler Entwurf des RTS zu PSD2
Am 14. Dezember 2016 hat die EBA den ersten finalen Entwurf ihrer RTS für PSD2 veröffentlicht. In diesen RTS sind Regelungen für eine starke Kundenauthentifizierung und die sichere, offene Kommunikation unter der PSD2 konkretisiert (Artikel 98 PSD2).
Die Regulierungsstandards für Authentifizierung und die Kommunikation präzisieren beispielsweise:
- Anforderungen an die Sicherheitsmaßnahmen, um die Vertraulichkeit und die Integrität der personalisierten Sicherheitsmerkmale der Nutzer zu schützen
- Anforderungen an gemeinsame und sichere offene Standards für die Kommunikation zum Zwecke der Identifizierung, der Authentifizierung, der Meldung und der Weitergabe von Informationen sowie der Anwendung von Sicherheitsmaßnahmen
Ende Februar hat die EBA nun eine neue Version des Entwurfs veröffentlicht, der die Vorschriften der PSD2 weiter konkretisiert.
So definiert die Version zum Beispiel, dass Drittanbieter ab dem 13. Januar 2018 nur noch über eine spezielle Datenschnittstelle Zugang zum Konto des Bankkunden erhalten. Ein alternativer Zugang zum Konto wie zum Beispiel das bisher häufig genutzte Screen-Scraping-Verfahren zum Auslesen von Texten aus Computerbildschirmen, ist nur noch während einer Übergangszeit bis Ende 2018 erlaubt.
Eine weitere Neuerung ist, dass sich Multibanking-App-Nutzer nicht alle 30 Tage, sondern alle 90 Tage mit zwei Sicherheitsfaktoren erneut für all ihre Konten authentifizieren müssen.
Synchronisierungen von Kontodaten zwischen Bank und Drittanbieter dürfen zudem jetzt viermal täglich automatisiert durchgeführt werden, was zuvor nur zweimal täglich vorgesehen war. Zusätzlich besteht nun die Möglichkeit für Bank und Anbieter Regelungen zu beschließen, die beispielsweise Echtzeit-Datenübertragungen ermöglichen. Aus Sicht des Nutzers sicher eine gute Lösung und aus der Banken und Anbieter kann dadurch die Attraktivität des eigenen Service erhöhen werden.
Wahrscheinlich ist auch dieser Entwurf noch nicht der letzte und weitere Ergänzungen werden folgen. Auch haben die Regelungen, je nach Sichtweise, Vor- und Nachteile. Die Digitale Transformation tut ihr Übriges: Sie zwingt Banken und Finanzinstitute zu digitalisieren und das nicht nur im Bereich des Online-Banking.
Mehr über das Partnerkonzept des Bank Blogs erfahren Sie hier.