Gastartikel Deloitte: Alles zur überarbeiteten Zahlungsdiensterichtlinie

NeueSpielregeln-EUZahlungsverkehrsmarkt

Das Jahr neigt sich dem Ende zu, Weihnachten steht vor der Tür und Onlinehändler haben alle Hände voll zu tun. Dabei sollte nicht außer Acht gelassen werden, dass der Januar 2018 nicht nur voller guter Vorsätze, sondern auch voller Gesetzesanpassungen steckt. So tritt unter anderem auch die überarbeitete Zahlungsdiensterichtlinie (PSD II) in Kraft. In diesem Gastartikel erklärt Deloitte Deutschland, was es damit auf sich hat.

Was ist PSD II?

Die neue EU-Richtlinie zur Regelung der Geschäftstätigkeit von Zahlungsdienstleistern in der EU (PSD II) wird die bislang geltende Zahlungsdiensterichtlinie (PSD I) ersetzen und deutlich weiterentwickeln, um insbesondere der Entwicklung neuer und innovativer Bezahlsysteme sowie den gestiegenen Anforderungen an den Datenschutz und der Sicherheit von elektronischen Zahlungen Rechnung zu tragen.

Aufgrund des verbreiterten Scopes erfasst die PSD II zukünftig auch Zahlungsdienstleister und Zahlungsformen, die bisher nicht reguliert waren. Die PSD II erlaubt den Marktzugang neuer Zahlungsdienstleister wie FinTechs, wodurch der Wettbewerb erhöht und die Innovationskraft gestärkt werden sollen. Die Richtlinie soll der Vielzahl an neuen Zahlungsmöglichkeiten eine rechtliche Grundlage geben und somit den Weg für neue Bezahlarten, bspw. via eWallet, ebnen. 

Am 1. Juni 2017 hat der Bundestag die Umsetzung der aufsichtsrechtlichen Anforderungen der PSD II in deutsches Recht auf den Weg gebracht. Im Rahmen der Verabschiedung des Gesetzes zur Umsetzung der zweiten Zahlungsdiensterichtlinie (ZDUG) wurde das Zahlungsdiensteaufsichtsgesetz (ZAG) entsprechend der Bestimmungen der PSD II angepasst und soll am 13. Januar 2018 in Kraft treten.

Was sind die wesentlichen Änderungen?

Ergänzend zur PSD I wurde der Anwendungsbereich der PSD II nun auch auf Zahlungen mit Staaten außerhalb der EU und in Fremdwährungen erweitert. Transaktionen, bei denen europäische und außereuropäische Zahlungsdienstleister beteiligt sind, fallen im Rahmen von „one leg out“ -Transaktionen in den Geltungsbereich der neuen Richtlinie. 

Für die Abwicklung von Zahlungen müssen Kunden derzeit direkt auf ihr Bankkonto zugreifen und auf die hauseigenen Produkte und Kanäle ihrer Bank vertrauen. Die PSD II schreibt Banken nun vor, Drittanbietern auf Kundenwunsch Zugang zu deren Konten zu gewähren. Eine direkte Interaktion mit der Bank des zugehörigen Kontos ist nicht mehr zwingend erforderlich. Im Zuge der erweiterten Richtlinie wird es zukünftig zwei weitere Arten von Zahlungsdienstleistern bzw. Drittanbietern geben:

Zahlungsauslösedienstleister (Payment Initiation Service Providers, PISPs)

Zahlungsvorgänge können vom Kunden über einen PISP ausgelöst werden, der wiederum den Auftrag an die Bank des Kunden weiterleitet. Dem PISP wird damit ermöglicht, Zahlungen direkt vom Bankkonto des Kunden auszuführen.

Kontoinformationsdienstleister (Account Information Service Provider, AISPs)

Der Kunde kann Drittanbietern Zugang zu seinen Kontoinformationen gewähren. Sofern ein Kunde über mehr als ein Konto verfügt, konsolidieren die AISPs alle Informationen der verschiedenen Konten. Dadurch kann der Kunde alle seine Transaktionen und Kontostände auf einer Oberfläche verwalten.

Drittanbieter müssen bei Eintritt in den Zahlungsverkehrsmarkt die technischen Standards der EBA, die die Anforderungen an die Schnittstelle zur Bank definieren, einhalten. Zudem ist eine Registrierung bzw. ein Antrag auf Zulassung bei der BaFin einzureichen.

Abbildung PSDII Deloitte

Eine Schlüsselrolle in der PSD II nehmen die Transparenz- und Informationspflichten sowie die Vorschriften zur Stärkung des Verbraucherschutzes und der Sicherheitsanforderungen ein. Diese Anforderungen müssen auch von den AISPs und PISPs umgesetzt werden. Sie beruhen auf den Leitlinien zur Sicherheit von Internetzahlungen, die von der EBA veröffentlicht wurden. In diesem Zusammenhang schreibt die PSD II eine sogenannte starke Kundenauthentifizierung vor. Demnach muss der Authentifizierungsprozess zur Abfrage von Konteninformationen und zur Ausführung von Transaktionen auf zwei oder mehr Faktoren beruhen. Für Unternehmen kommt hier eine Ausnahme zum Tragen, da Zahlungen von juristischen Personen von der Mehr-Faktor-Anforderung ausgenommen sind, sofern diese auf hinreichend sicheren Prozessen und Systemen beruhen.

Im Zuge der zunehmenden Regulierung im Bereich der Zahlungsdienste konkretisiert bzw. beschränkt die PSD II darüber hinaus eine Reihe von Ausnahmetatbeständen für regulierte Zahlungsdienste. Hierzu zählen die Ausnahmen für:

- Handelsagenten 

- Verbundzahlsystem

- und digitale Dienste

Unternehmen sollten daher dezidiert prüfen, ob sie weiterhin die Voraussetzungen für das Eingreifen dieser Ausnahmetatbestände erfüllen und die von ihnen angebotenen Dienstleistungen auch nach Inkrafttreten der PSD II keine lizenzpflichtigen Zahlungsdienste darstellen. Den vollständigen Artikel, Kontaktdaten für eine Beratung sowie weitere Informationen zu Deloitte finden Interessenten hier.