Article

PSD II

Neue Spielregeln für den EU-Zahlungsverkehrsmarkt 

Die überarbeitete Zahlungsdiensterichtlinie (PSD II) ebnet den Weg für einen tiefgreifenden Wandel des europäischen Zahlungsverkehrsmarkts. Im Zuge seiner stetig voran schreitenden Harmonisierung und Digitalisierung sollen die Neuregelungen insbesondere dazu beitragen, den Verbraucherschutz sowie die Rechtssicherheit zu verbessern, technische Innovationen zu fördern und den Wettbewerb zu erhöhen.

Hintergrund

Die neue EU-Richtlinie zur Regelung der Geschäftstätigkeit von Zahlungsdienstleistern in der EU (PSD II) wird die bislang geltende Zahlungsdiensterichtlinie (PSD I) ersetzen und deutlich weiterentwickeln, um insbesondere der Entwicklung neuer und innovativer Bezahlsysteme sowie den gestiegenen Anforderungen an den Datenschutz und der Sicherheit von elektronischen Zahlungen Rechnung zu tragen.

Aufgrund des verbreiterten Scopes erfasst die PSD II zukünftig auch Zahlungsdienstleister und Zahlungsformen, die bisher nicht reguliert waren. Die PSD II erlaubt den Marktzugang neuer Zahlungsdienstleister wie FinTechs, wodurch der Wettbewerb erhöht und die Innovationskraft gestärkt werden sollen. Die Richtlinie soll der Vielzahl an neuen Zahlungsmöglichkeiten eine rechtliche Grundlage geben und somit den Weg für neue Bezahlarten, bspw. via eWallet, ebnen. 

Anwendungsbereich und Umsetzungszeitplan

Die PSD II gilt grundsätzlich für alle Zahlungsdienste, die innerhalb der Europäischen Union erbracht werden. Im Dezember 2015 wurde die Richtlinie im Amtsblatt der EU veröffentlicht, nun haben die Mitgliedsstaaten bis Januar 2018 Zeit, die Regelungen in nationales Recht umzusetzen.

Abb. 1: Aktueller Zeitplan bis hin zum Inkrafttreten der PSD II

Die wesentlichen Grundlagen zur konkreten Umsetzung der Richtlinie werden durch die technischen Regulierungsstandards (RTS) vorgegeben. Die RTS bzgl. der „starken Kundenauthentifizierung“ und der sicheren Kommunikation zwischen Bank und Drittanbieter wurden am 23. Februar 2017 von der europäischen Bankenaufsicht (EBA) veröffentlicht. Am 24. Mai 2017 hat die EU-Kommission der EBA Änderungsvorschläge für einzelne Teilbereiche der Standards übermittelt. Nach Abschluss der Konsultationen mit der EBA (Juli 2017), und anschließender offizieller Verabschiedung der RTS durch die EU-Kommission, müssen noch EU-Parlament und EU-Rat ihre Zustimmung erteilen. Anschließend haben Banken und andere Zahlungsdienstleister dann 18 Monate Zeit, die RTS umzusetzen. 

Am 1. Juni 2017 hat der Bundestag die Umsetzung der aufsichtsrechtlichen Anforderungen der PSD II in deutsches Recht auf den Weg gebracht. Im Rahmen der Verabschiedung des Gesetzes zur Umsetzung der zweiten Zahlungsdiensterichtlinie (ZDUG) wurde das Zahlungsdiensteaufsichtsgesetz (ZAG) entsprechend der Bestimmungen der PSD II angepasst, und soll am 13. Januar 2018 in Kraft treten.

Wesentliche Änderungen

Ergänzend zur PSD I wurde der Anwendungsbereich der PSD II nun auch auf Zahlungen mit Staaten außerhalb der EU und in Fremdwährungen erweitert. Transaktionen, bei denen europäische und außereuropäische Zahlungsdienstleister beteiligt sind, fallen im Rahmen von „one leg out“ -Transaktionen in den Geltungsbereich der neuen Richtlinie. 

Für die Abwicklung von Zahlungen müssen Kunden derzeit direkt auf ihr Bankkonto zugreifen und auf die hauseigenen Produkte und Kanäle ihrer Bank vertrauen. Die PSD II schreibt Banken nun vor, Drittanbietern auf Kundenwunsch Zugang zu deren Konten zu gewähren. Eine direkte Interaktion mit der Bank des zugehörigen Kontos ist nicht mehr zwingend erforderlich. Im Zuge der erweiterten Richtlinie wird es zukünftig zwei weitere Arten von Zahlungsdienstleistern bzw. Drittanbietern geben:

Zahlungsauslösedienstleister (Payment Initiation Service Providers, PISPs)
Zahlungsvorgänge können vom Kunden über einen PISP ausgelöst werden, der wiederum den Auftrag an die Bank des Kunden weiterleitet. Dem PISP wird damit ermöglicht, Zahlungen direkt vom Bankkonto des Kunden auszuführen.

Kontoinformationsdienstleister (Account Information Service Provider, AISPs)
Der Kunde kann Drittanbietern Zugang zu seinen Kontoinformationen gewähren. Sofern ein Kunde über mehr als ein Konto verfügt, konsolidieren die AISPs alle Informationen der verschiedenen Konten. Dadurch kann der Kunde alle seine Transaktionen und Kontostände auf einer Oberfläche verwalten.

Drittanbieter müssen bei Eintritt in den Zahlungsverkehrsmarkt die technischen Standards der EBA, die die Anforderungen an die Schnittstelle zur Bank definieren, einhalten. Zudem ist eine Registrierung bzw. ein Antrag auf Zulassung bei der BaFin einzureichen.

Abb. 2: Einordnung der zwei neuen Arten von Zahlungsdienstleistern bzw. Drittanbietern mit direktem Kontenzugriff

Eine Schlüsselrolle in der PSD II nehmen die Transparenz- und Informationspflichten sowie die Vorschriften zur Stärkung des Verbraucherschutzes und der Sicherheitsanforderungen ein. Diese Anforderungen müssen auch von den AISPs und PISPs umgesetzt werden. Sie beruhen auf den Leitlinien zur Sicherheit von Internetzahlungen, die von der EBA veröffentlicht wurden. In diesem Zusammenhang schreibt die PSD II eine sogenannte starke Kundenauthentifizierung vor. Demnach muss der Authentifizierungsprozess zur Abfrage von Konteninformationen und zur Ausführung von Transaktionen auf zwei oder mehr Faktoren beruhen. Für Unternehmen kommt hier eine Ausnahme zum Tragen, da Zahlungen von juristischen Personen von der Mehr-Faktor-Anforderung ausgenommen sind, sofern diese auf hinreichend sicheren Prozessen und Systemen beruhen.

Im Zuge der zunehmenden Regulierung im Bereich der Zahlungsdienste konkretisiert bzw. beschränkt die PSD II darüber hinaus eine Reihe von Ausnahmetatbeständen für regulierte Zahlungsdienste. Hierzu zählen die Ausnahmen für:

  • Handelsagenten 
  • Verbundzahlsystem
  • und digitale Dienste

Unternehmen sollten daher dezidiert prüfen, ob sie weiterhin die Voraussetzungen für das Eingreifen dieser Ausnahmetatbestände erfüllen und die von ihnen angebotenen Dienstleistungen auch nach Inkrafttreten der PSD II keine lizenzpflichtigen Zahlungsdienste darstellen.

Wie wir Sie unterstützen

Die Anforderungen der PSD II werden den Zahlungsverkehrsmarkt für alle Marktteilnehmer nachhaltig verändern und tiefgreifende Auswirkungen auf die Zahlungsverkehrsabwicklung haben.

Drittanbietern wird der Zugang zum Zahlungsverkehrsmarkt im Zuge der PSD II gewährt, jedoch sollte die Umsetzung der regulatorischen Anforderungen der Richtlinie sowie die erhöhte Komplexität aufgrund der Abhängigkeiten einer Vielzahl von Themenstellungen nicht unterschätzt werden. Etablierte Marktteilnehmer sollten ihren Leistungskatalog vor dem Hintergrund der Gegebenheiten, die durch die PSD II entstehen, neubewerten, um die eigene Marktposition zu behaupten und dem stärkeren Wettbewerb gerecht zu werden. Zugleich bieten die geänderten Marktbedingungen eine große Chance für Innovationen und beschleunigen den disruptiven Wandel im Zahlungsverkehr. Deloitte unterstützt Sie bei der Bewertung der regulatorischen Anforderungen sowie der strategischen und operationellen Herausforderungen. Unsere Experten stehen Ihnen als kompetente Ansprechpartner bei der vollumfänglichen Analyse Ihrer Ausgangssituation sowie der Auswirkungen auf die Erbringung von Zahlungsverkehrsdienstleistungen, der Identifikation und Entwicklung strategischer Handlungsoptionen sowie der Umsetzung entsprechend erforderlicher Maßnahmen jederzeit gerne zur Seite.

Ihre Ansprechpartner

Thomas Peek
Director FSI Governance & Compliance
tpeek@deloitte.de
069 75695-6562

Frank Wiesner
Senior Manager Global Treasury Advisory Services
fwiesner@deloitte.de
089 29036-8469

Christine Glunz
Manager Global Treasury Advisory Services
cglunz@deloitte.de
040 32080-4797