PSD II

Hintergrund

Die neue EU-Richtlinie zur Regelung der Geschäftstätigkeit von Zahlungsdienstleistern in der EU (PSD II) wird die bislang geltende Zahlungsdiensterichtlinie (PSD I) ersetzen und deutlich weiterentwickeln, um insbesondere der Entwicklung neuer und innovativer Bezahlsysteme sowie den gestiegenen Anforderungen an den Datenschutz und der Sicherheit von elektronischen Zahlungen Rechnung zu tragen.

Aufgrund des verbreiterten Scopes erfasst die PSD II zukünftig auch Zahlungsdienstleister und Zahlungsformen, die bisher nicht reguliert waren. Die PSD II erlaubt den Marktzugang neuer Zahlungsdienstleister wie FinTechs, wodurch der Wettbewerb erhöht und die Innovationskraft gestärkt werden sollen. Die Richtlinie soll der Vielzahl an neuen Zahlungsmöglichkeiten eine rechtliche Grundlage geben und somit den Weg für neue Bezahlarten, bspw. via eWallet, ebnen.
 

Anwendungsbereich und Umsetzungszeitplan

Die PSD II gilt grundsätzlich für alle Zahlungsdienste, die innerhalb der Europäischen Union erbracht werden. Im Dezember 2015 wurde die Richtlinie im Amtsblatt der EU veröffentlicht, nun haben die Mitgliedsstaaten bis Januar 2018 Zeit, die Regelungen in nationales Recht umzusetzen.

Die wesentlichen Grundlagen zur konkreten Umsetzung der Richtlinie werden durch die technischen Regulierungsstandards (RTS) vorgegeben. Die RTS bzgl. der „starken Kundenauthentifizierung“ und der sicheren Kommunikation zwischen Bank und Drittanbieter wurden am 23. Februar 2017 von der europäischen Bankenaufsicht (EBA) veröffentlicht. Am 24. Mai 2017 hat die EU-Kommission der EBA Änderungsvorschläge für einzelne Teilbereiche der Standards übermittelt. Nach Abschluss der Konsultationen mit der EBA (Juli 2017), und anschließender offizieller Verabschiedung der RTS durch die EU-Kommission, müssen noch EU-Parlament und EU-Rat ihre Zustimmung erteilen. Anschließend haben Banken und andere Zahlungsdienstleister dann 18 Monate Zeit, die RTS umzusetzen.

Anfang 2018 wurde die PSD II (ZaDiG 2018) in Österreich beschlossen und am 24. April 2018 im Bundesgesetzblatt veröffentlicht. Das ZaDiG 2018 trat großteils am 1. Juni 2018 in Kraft. Jedoch traten einige Bestimmungen zur starken Kundenauthentifizierung und zur sicheren Kommunikation mit Drittdienstleistern (Stichwort "Open Banking Schnittstelle") erst mit 14. September 2019 in Kraft.
 

Wesentliche Änderungen

Ergänzend zur PSD I wurde der Anwendungsbereich der PSD II nun auch auf Zahlungen mit Staaten außerhalb der EU und in Fremdwährungen erweitert. Transaktionen, bei denen europäische und außereuropäische Zahlungsdienstleister beteiligt sind, fallen im Rahmen von „one leg out“ -Transaktionen in den Geltungsbereich der neuen Richtlinie.

Für die Abwicklung von Zahlungen müssen Kunden derzeit direkt auf ihr Bankkonto zugreifen und auf die hauseigenen Produkte und Kanäle ihrer Bank vertrauen. Die PSD II schreibt Banken nun vor, Drittanbietern auf Kundenwunsch Zugang zu deren Konten zu gewähren. Eine direkte Interaktion mit der Bank des zugehörigen Kontos ist nicht mehr zwingend erforderlich. Im Zuge der erweiterten Richtlinie wird es zukünftig zwei weitere Arten von Zahlungsdienstleistern bzw. Drittanbietern geben:

Zahlungsauslösedienstleister (Payment Initiation Service Providers, PISPs)
Zahlungsvorgänge können vom Kunden über einen PISP ausgelöst werden, der wiederum den Auftrag an die Bank des Kunden weiterleitet. Dem PISP wird damit ermöglicht, Zahlungen direkt vom Bankkonto des Kunden auszuführen.

Kontoinformationsdienstleister (Account Information Service Provider, AISPs)
Der Kunde kann Drittanbietern Zugang zu seinen Kontoinformationen gewähren. Sofern ein Kunde über mehr als ein Konto verfügt, konsolidieren die AISPs alle Informationen der verschiedenen Konten. Dadurch kann der Kunde alle seine Transaktionen und Kontostände auf einer Oberfläche verwalten.

Drittanbieter müssen bei Eintritt in den Zahlungsverkehrsmarkt die technischen Standards der EBA, die die Anforderungen an die Schnittstelle zur Bank definieren, einhalten. Zudem ist eine Registrierung bzw. ein Antrag auf Zulassung bei der BaFin einzureichen.

Eine Schlüsselrolle in der PSD II nehmen die Transparenz- und Informationspflichten sowie die Vorschriften zur Stärkung des Verbraucherschutzes und der Sicherheitsanforderungen ein. Diese Anforderungen müssen auch von den AISPs und PISPs umgesetzt werden. Sie beruhen auf den Leitlinien zur Sicherheit von Internetzahlungen, die von der EBA veröffentlicht wurden. In diesem Zusammenhang schreibt die PSD II eine sogenannte starke Kundenauthentifizierung vor. Demnach muss der Authentifizierungsprozess zur Abfrage von Konteninformationen und zur Ausführung von Transaktionen auf zwei oder mehr Faktoren beruhen. Für Unternehmen kommt hier eine Ausnahme zum Tragen, da Zahlungen von juristischen Personen von der Mehr-Faktor-Anforderung ausgenommen sind, sofern diese auf hinreichend sicheren Prozessen und Systemen beruhen.

Im Zuge der zunehmenden Regulierung im Bereich der Zahlungsdienste konkretisiert bzw. beschränkt die PSD II darüber hinaus eine Reihe von Ausnahmetatbeständen für regulierte Zahlungsdienste. Hierzu zählen die Ausnahmen für:

• Handelsagenten
• Verbundzahlsystem
• und digitale Dienste

Unternehmen sollten daher dezidiert prüfen, ob sie weiterhin die Voraussetzungen für das Eingreifen dieser Ausnahmetatbestände erfüllen und die von ihnen angebotenen Dienstleistungen auch nach Inkrafttreten der PSD II keine lizenzpflichtigen Zahlungsdienste darstellen.
 

Wie wir Sie unterstützen

Die Anforderungen der PSD II werden den Zahlungsverkehrsmarkt für alle Marktteilnehmer nachhaltig verändern und tiefgreifende Auswirkungen auf die Zahlungsverkehrsabwicklung haben.

Drittanbietern wird der Zugang zum Zahlungsverkehrsmarkt im Zuge der PSD II gewährt, jedoch sollte die Umsetzung der regulatorischen Anforderungen der Richtlinie sowie die erhöhte Komplexität aufgrund der Abhängigkeiten einer Vielzahl von Themenstellungen nicht unterschätzt werden. Etablierte Marktteilnehmer sollten ihren Leistungskatalog vor dem Hintergrund der Gegebenheiten, die durch die PSD II entstehen, neubewerten, um die eigene Marktposition zu behaupten und dem stärkeren Wettbewerb gerecht zu werden. Zugleich bieten die geänderten Marktbedingungen eine große Chance für Innovationen und beschleunigen den disruptiven Wandel im Zahlungsverkehr. Deloitte unterstützt Sie bei der Bewertung der regulatorischen Anforderungen sowie der strategischen und operationellen Herausforderungen. Unsere Experten stehen Ihnen als kompetente Ansprechpartner bei der vollumfänglichen Analyse Ihrer Ausgangssituation sowie der Auswirkungen auf die Erbringung von Zahlungsverkehrsdienstleistungen, der Identifikation und Entwicklung strategischer Handlungsoptionen sowie der Umsetzung entsprechend erforderlicher Maßnahmen jederzeit gerne zur Seite.