Das Zahlungsverhalten des Verbrauchers und das traditionelle Bankwesen haben in den letzten Jahren aufgrund des technologischen Fortschritts und der Entstehung neuer Akteure erhebliche Veränderungen erfahren. Banken, die früher als fundamental für die Bereitstellung von Schlüsseldienstleistungen wie Spareinlagen, Kredite und Zahlungen angesehen wurden, werden heutzutage durch Start-Ups mit neu entstehenden und schnell wachsenden Finanztechnologiemärkten -FinTechs- herausgefordert. Entscheidend ist in diesem Wettbewerb, sich die Position des First Players zu sichern, indem man rechtzeitig auf die Veränderungen reagiert.
Die überarbeitete Richtlinie über Zahlungsdienste (EU 2015/2366, auch als PSD II bekannt) ist am 12. Januar 2016 in Kraft getreten. Bei den meisten Bestimmungen hatten die Mitgliedstaaten bis zum 13. Januar 2018 Zeit, sie in nationales Recht umzusetzen. Die Hauptziele der Richtlinie werden in der Harmonisierung des Marktes, Förderung von Innovation und Verbesserung der Sicherheit der Zahlungsdienste gesehen. Durch die Bereitstellung neuer Definitionen und Sicherheitsanforderungen soll die Richtlinie die Lücken der PSD I schließen. Die PSD I war der erste Schritt zur Einführung einer Zahlungsdienstleistungsverordnung, die Rechte und Pflichten für Nutzer und Anbieter sowie die Anforderungen an Informationen und Transparenz im europäischen Zahlungsverkehrsraum festlegt. Sie legt daher die rechtlichen Grundlagen für SEPA fest, die für alle grenzüberschreitenden Transaktionen im Rahmen des Freihandelsabkommens (EFTA) unerlässlich sind. Um die Auswahlmöglichkeiten und den Wettbewerb zu verbessern, zielt PSD II darauf ab, gleiche Bedingungen zwischen den Betreibern zu gewährleisten, zu denen auch Nicht-Bank-Anbieter gehören, sodass alle Zahlungsdienstleister der Aufsicht unterliegen. Der Schwerpunkt der PSD II wurde insbesondere auf Verbraucherschutz und Transparenz gelegt. Die vollständige Harmonisierung der Richtlinie dient der Vermeidung der Regelungsunterschiede und der Verwirklichung eines integrierten Marktes.
Eine wesentliche Erweiterung der PSD II ist die Einbeziehungvon „One-Leg-Zahlungstransaktionen" in den Anwendungsbereich, Art. 2 (4) PSD II. In der PSD I konnte ein Zahlungspflichtiger oder Zahlungsempfänger nur dann geschützt werden, wenn beide Teilnehmer der Transaktion ihren Sitz im Europäischen Wirtschaftsraum (EWR) hatten. Mit dem Wachstum von TPPs (Third Party Provider, i.e. Drittanbieter im Zahlungsverkehr) wurde klar, dass PSD I verbessert werden musste. Der Geltungsbereich der PSD II hat sich jetzt erweitert. So sind europäische Zahlungsdienstleister, die Zahlungen in Nicht-EWR-Staaten transferieren, verpflichtet, die gleichen Informationen zu erteilen und die entsprechende Transparenz über etwaige Gebühren oder besondere Bestimmungen zu gewährleisten.
Die Ausweitung des Geltungsbereichs wird wahrscheinlich zu neuen Marktteilnehmern und einem verstärkten Wettbewerb führen, der letztendlich für die Verbraucher und für ein allgemeines Wachstum des Zahlungsverkehres von Vorteil ist. Durch die Transparenz der Vertragsbedingungen bekommen Verbraucher die Möglichkeit, die unterschiedlichen Konditionen und Bestimmungen des Zalungsdienstleisters zu vergleichen, ohne großen Aufwand Wettbewerbsvergleiche vorzunehmen und sich für das optimale Angebot zu entscheiden. Werden die Drittanbieter die günstigeren Gebühren für die Zahlungstransaktionen als die herkömmlichen Zahlungsdienste anbieten, steigen ihre Chancen, sich auf dem Markt zu etablieren. Wie PSD I erlaubt es die neue Richtlinie nach Art. 3 auch bestimmten Nicht-Banken nicht unter den Geltungsbereich der PSD II zu fallen. Da dies zu vielen Regelungslücken führte, erweitert jetzt PSD II den Umfang der Zahlungsdienste. Die neue Richtlinie gibt die Definition von Kontoinformationsdiensten (Account Informationen Service – AIS), die Daten von einem oder mehreren Benutzerkonten sammeln und analysieren können, und die Definition von Zahlungsauslösediensten (Payment Information Service – PIS) als effektive Softwarebrücke zwischen der Website des Händlers und der Onlinebankingplattform des Auftraggebers vor. Die bedeutendste Änderung geht mit den neuen Definitionen der oben genannten PSP (Payment-Service-Provider) einher. Die neuen Zahlungsauslösedienste (PIS) und Kontoinformationsdienste (AIS) werden durch die regulierten Drittanbieter (TPPs) mittels einer dedizierten Access-to-Account-Schnittstelle (XS2A) zwischen den Banken und den TPPs erbracht. Der Zugriff wird durch APIs erleichtert, die von den Banken kostenlos zur Verfügung gestellt werden müssen.
Der Kunde hat das Recht zu entscheiden, ob und welche Kontodaten der Drittdienst zur Erbringung seiner Leistung einsehen darf sowie Zahlungen über einen Anbieter seiner Wahl zu tätigen. Da die PSPs auf einer bestehenden Zahlungsinfrastruktur der Banken aufgebaut sind, können sie im Rahmen von PSD II Zahlungen initiieren (SEPA Credit Transfers, SCT) oder selbst Daten sammeln und verarbeiten. Damit könnte das Monopol der Banken gebrochen werden. Es wird ein enormer Druck auf die Banken erwartet, für die die Transaktionen nicht nur die wichtigsten Einnahmequellen sind, sondern auch einen relevanten Aspekt bei der Schaffung und Bildung einer Kundenbeziehung mit anderen Finanzprodukten darstellen. Obwohl die meisten FinTechs, die auf Zahlungslösungen spezialisiert sind, durch die Open-Access-Regelung positiv beeinflusst sind, benötigen sie von nun an eine Lizenz durch die nationale Regulierungsbehörde. Durch die PSD II werden zusätzlich Betriebs- und Sicherheitsanforderungen eingeführt: Die PSPs müssen detailliertere Informationen zu ihrer Sicherheitspolitik und Risikobewertung einschließlich aller relevanten Daten des Verbrauchers bereitstellen. Die PSD II setzt auch neue Standards im Verbraucherschutz und in der Verbraucherauthentifizierung. Der persönliche Betrag, den ein Zahler im Falle eines nicht autorisierten Zahlungsvorgangs (meist Betrug) erleiden kann, wird von 150 € auf 50 € reduziert.
Die am meisten diskutierten und wirkungsvollsten Abschnitte der PSD II beziehen sich auf die Bestimmungen über eine starke Kundenauthentifizierung für Online-Zahlungen und die Öffnung des Zugangs zu Bankkonten (XS2A) für Drittanbieter (Third Party Providers). Die neuen regulatorischen technischen Standards (RTS) der EBA, die am 14. September 2019 in Kraft treten, verlangen die Bereitstellung einer funktionierenden XS2A- sowie einer Authentifizierungs-Schnittstelle.
Ab September 2019 sind alle von der Regulierung erfassten Zahlungssysteme mit einer Zwei-Faktor-Authentifizierung abzusichern. Da das alte 3-D Secure-Verfahren („SecureCode“) den neuen regulatorischen Anforderungen nicht mehr entspricht, hat Mastercard gemeinsam mit der Branchenvereinigung EMVCo das neue Sicherheitsprotokoll „3-D Secure 2.0“ entwickelt. Dies bietet Händlern und Kartenherausgebern mit „Mastercard Identity Check“ eine Möglichkeit, auf dem neuesten Stand zu bleiben und sich von potenziellen Sicherheitsrisiken zu schützen. Auch die Berlin Group hat sich mit dem Thema XS2A auseinandergesetzt. Sie hat die Version 1.0 des NextGenPSD2-Standards für XS2A veröffentlicht, um eine Vielzahl unterschiedlicher und konkurrierender Standards zu vermeiden. Teilnehmer der NextGenPSD2-Taskforce vertreten die Marktseite, die von PSD II und EBA RTS mit der Bereitstellung einer XS2A-Schnittstelle beauftragt wurden. Der NextGenPSD2-Standard hat als Ziel, einen offenen, modernen und harmonisierten Rahmen für Programmierschnittstellen (APIs) zu schaffen, welcher Open Banking möglich macht. Der Standard umfasst alle aktuellen Rechtsvorschriften, da er auf der RTS der EBA beruht.
Mit der PSD II Richtlinie sind Institute gefordert, ihre IT-Systeme modern und zukunftsorientiert zu gestalten und eine Open-Banking-Plattform (auch: API Banking) aufzubauen. Die Idee, die hinter PSD II steht, ist, für die Endkunden Vorteile zu schaffen und technische Innovationen im Bankensektor zu fördern. Abgesehen von der Tatsache, dass einige FinTech-Apps vom Markt verschwinden können, bietet PSD II mehr finanzielle Freiheit, Sicherheit und Möglichkeiten über die nationalen Grenzen hinaus.
Unsere Empfehlung: Erkennen Sie Ihre Chancen in Open Banking und gestalten Sie Ihre Ziele proportional!
Wir unterstützen Sie gerne bei der Umsetzung der regulatorischen Anforderungen im Zusammenhang mit PSD II und begleiten Sie bei der individuellen Analyse der IT-Infrastruktur Ihres Unternehmens.
