PSD2 – die neue EU-Zahlungsdiensterichtlinie tritt in Kraft

PSD steht für den Begriff „Payment Service Directive“. Diese Richtlinie gilt bereits seit dem Jahr 2007 und regelt den europäischen Zahlungsverkehrsmarkt hinsichtlich Effizienz und Sicherheit. Sechs Jahre nach Inkrafttreten, im Jahr 2013, wurden die ersten Schritte unternommen, die PSD zu novellieren. Im Jahr 2017 wurde die überarbeitete Version, PSD II, von der EU-Kommission abgesegnet und hat ab 2018 Gültigkeit (1). Worum geht es aber genau bei der Novelle?

Zahldiensteanbieter als neue Player im Finanzmarkt

Wer online eine Ware kauft, möchte diese so schnell wie möglich in den Händen halten. Händler auf der anderen Seite ziehen natürlich einen raschen Zahlungseingang vor. Dieser ist gewährleistet, wenn der Kunde mit Kreditkarte zahlt, bei einer Überweisung dauert es einen Moment.

Nicht jeder Käufer möchte aber aus Sicherheitsgründen auf eine Kreditkarte zurückgreifen. An dieser Stelle kommen Zahldiensteanbieter ins Spiel. Bei der Erstauflage von PSD war diese Spezies von Finanzdienstleistern noch unbekannt. PSD II zielt daher in großem Umfang auf diese neuen Unternehmen ab.

Zunächst einmal gilt die Frage zu klären, was ist ein Zahldiensteanbieter und wie funktioniert die Vorgehensweise?

Ein Zahldiensteanbieter bildet die Schnittstelle zwischen Käufer und Verkäufer. Das setzt allerdings voraus, dass er Zugriff auf das Konto und damit auf sensible Daten erhält. Der Verkäufer legitimiert den Zahldiensteanbieter, unter Nutzung seiner PIN und TAN auf sein Konto zuzugreifen und die Zahlung in seinem Namen auszuführen.

Daraus ergeben sich zwei Kritikpunkte. Zum einen greift natürlich der Datenschutz, zum anderen sehen sich die Banken in einer undankbaren Rolle. Zum Dritten gilt es in den Augen der EU-Kommission, diese Bezahlweise auch durch rechtliche Unterstützung zu fördern. Sie stellt in den Augen der Kommission eine Alternative für die Verbraucher dar, die beispielsweise keine Kreditkarte besitzen.

Die Datenschutzproblematik

Der Zugriff auf das Konto durch einen Zahldiensteanbieter gibt diesem den Zugriff auf die gesamten persönlichen Daten. Ein Blick in ein Konto legt einen großen Teil der Privatsphäre des Kontoinhabers offen. Es lassen sich damit komplette Konsumprofile des Kontoinhabers erstellen. Der Kontenzugriff und Informationsabruf ist nicht auf den Zeitpunkt der Transaktion begrenzt, sondern umfasst einen weiteren Zeitraum, der sich durchaus über Monate erstrecken kann.

Es lässt sich erahnen, welche Dimension der Datenschutz in diesem Zusammenhang annimmt. Mit Inkrafttreten der Richtlinie unterliegen die Zahldienste- und Informationsanbieter automatisch der Aufsicht durch die BaFin. Dies bietet zumindest einen Grundstock an Sicherheit. PSD II soll diesen Diensteanbietern im Zusammenhang mit der Frage des Datenschutzes die notwendige Rechtssicherheit geben.

Eine Datenspeicherung ist den Anbietern untersagt. Die Drittanbieter sind außerdem dazu verpflichtet, dafür Sorge zu tragen, dass weder die Zugangsdaten noch Informationen aus der Kontoverbindung Dritten zugänglich werden.

Die Sicht der Banken

Die Banken sind mit PSD II nicht sonderlich glücklich. Per Verordnung werden sie dazu gezwungen, ihre IT den Zahldiensteanbietern kostenlos zur Verfügung zu stellen, damit diese die Transaktion vornehmen können. Für die Banken bedeutet dies, dass der Diensteanbieter aus der Transaktion selbst einen wirtschaftlichen Vorteil zieht. Dies geschieht, in dem er die von den Banken für teures Geld aufgebaute Onlinebanking-Struktur kostenlos nutzen darf. Bereits im Dezember 2013 forderte die deutsche Kreditwirtschaft, für diese Leistung ein Entgelt erheben zu dürfen.

Die Kreditinstitute forderten darüber hinaus, dass diese Schnittstelle nicht zu einer Risikoerhöhung in Bezug auf den Zahlungsverkehr und die Kontensicherheit ihrer Kunden führen dürfe. Des Weiteren monieren die Banken, dass es dem Kunden im Grund nicht zusteht, alleine darüber zu verfügen, die Schnittstelle für Dritte zu öffnen.

Es ist nachvollziehbar, dass die klassischen Kreditinstitute diese FinTech-Dienstleister als Konkurrenz im klassisch angestammten Geschäftsfeld Zahlungsverkehr betrachten. Immerhin fallen durch die Zahldiensteanbieter die Gebühren weg, die andernfalls den Kunden entweder für papierhafte Überweisungen oder für die Nutzung der M-Tan berechnet werden können. Für die Kreditkartengesellschaften entfällt die Kommission, die sie normalerweise dem Händler für den Kreditkarteneinsatz berechnen.

Wer hat letztendlich einen Nutzen von PSD II?

Nachdem deutlich wurde, dass die Banken auf jeden Fall nicht profitieren, bleibt die Frage, wer sonst etwas von der Umsetzung der Richtlinie hat.

Zunächst einmal eröffnet sich Verbrauchern eine neue Möglichkeit der Rechnungsbegleichung bei Onlineeinkäufen. Ob sich diese durchsetzen wird, kann allerdings nur die Zukunft zeigen.

Für den Handel gilt das Gleiche. Ob er allerdings nachhaltig auf die Dienste zurückgreift, hängt letztendlich auch davon ab, wie die Gebührenstruktur ausfällt. Die neuen Spieler auf dem Feld müssen mit ihren Gebühren deutliche Akzente gegenüber den bisherigen Zahlmöglichkeiten, beispielsweise den Kreditkartengesellschaften, setzen.

Zu guter Letzt sind es die Anbieter selbst, die von PSD II profitieren. Zum einen stehen ihre Aktivitäten jetzt rechtlich auf einem solideren Fundament. Zum anderen bedeutet die Regulierung durch die BaFin ein echtes Qualitätsmerkmal.

Auch wenn die Banken zunächst abwinken, sollten sie jedoch bedenken, dass sich auch für sie neue Chancen eröffnen, wenn sie sie denn nutzen. Direkter Zugang zur Bank, verknüpft mit Angeboten der Händler, könnte für die Kundschaft durchaus attraktive Vorteile bieten. Alternativ bietet sich den Geldhäusern natürlich die Option, eigene Zahlungsdienstleister zu gründen oder ein Start-up zu akquirieren.

Wie steht es mit der Akzeptanz bei den Verbrauchern?

Neuerungen bedürfen in der Regel einer gewissen Vorlaufzeit, bis sie sich anfangen zu etablieren. Mit Bezahldiensten im Internet verhält es sich nicht anders. Eine Umfrage des Deutschen Sparkassen- und Giroverbandes im Jahr 2013 brachte Zahlen zutage, welche den Start-ups eigentlich Angst machen müssten. Rund 97 Prozent der Befragten lehnten es damals ab, einem Drittanbieter Zugriff oder Einsicht auf das Konto zu gewähren.

Auch im Jahr 2016 scheint sich daran wenig geändert zu haben. Im Gegenteil, der Trend zur Überweisung nach Rechnungserhalt steigt. Der bekannteste Anbieter, Sofortüberweisung, kommt gerade einmal auf einen Marktanteil von zwei Prozent. PayPal dagegen konnte seinen Marktanteil von 16,1 Prozent im Jahr 2014 auf 19,9 Prozent im Jahr 2014 steigern (2), war jedoch in 2016 wieder rückläufig.

PM_Online-Payment 2017

Es scheint, dass die EU mit dieser Durchführungsverordnung weit in eine Zukunft greift, die bei den Verbrauchern noch lange nicht angekommen ist. Die Generation, die ihre Geldgeschäfte, auch den Einkauf, schnell, direkt und online abwickeln möchte, beschäftigt sich zurzeit noch mit PayPal.

2017/09 – EU fordert schärfere Authentifizierung bei Online-Bezahlvorgängen

blaue Euro-FlaggeDie Europäische Union hat jetzt über die zweite Zahlungsdiensterichtlinie hinaus noch eine weitere Verschärfung der Authentifizierung bei sogenannten „risikoreichen Bezahlvorgängen“ für Beträge über 30 Euro gefordert. Unter diese Bezahlvorgänge fallen Karten- oder Handyzahlungen am „Point of Sale“ (PoS), an der Kasse im Einzelhandelsgeschäft, aber vor allem auch Zahlungsvorgänge im Internet. Wie stellt sich der Gesetzgeber dies vor?

Zwei von drei Kriterien müssen erfüllt sein

Die Europäische Bankenaufsichtsbehörde (EBA) schlägt demzufolge vor, dass sich der Karteninhaber durch zwei von drei Authentifizierungskriterien legitimieren muss. Die Kriterien fallen in die Kategorien

  • Wissen
  • Besitz
  • Ständiges Merkmal

Als „Wissen“ gilt beispielsweise die Kenntnis eines Passwortes oder einer PIN. Zu „Besitz“ zählt, dass der Kunde einen Zahlkarte, beispielsweise eine Kreditkarte sein eigen nennt. Als „ständiges Merkmal“ führt die EBA einen Fingerabdruck an. Handelt es sich um einen elektronischen Fernzahlungsvorgang, muss ein dynamisches Element vorhanden sein. Dies wurde durch die mTAN oder Foto-TAN in Deutschland bereits umgesetzt. Die einfache Eingabe der Kreditkartennummer und der Prüfziffer ist der EBA nicht mehr genug. Der Vorschlag zur schärferen Authentifizierung soll als Durchführungsverordnung jetzt an die Europäische Kommission gehen.

Online-Anbieter laufen Sturm

Insgesamt 27 Verbände und Unternehmen aus dem E-Commerce haben vergangene Woche einen Brief an Jean-Claude Juncker und einige seiner Minister geschrieben. Die Unterzeichner, darunter Verbände wie E-Commerce Europe, Edima, Digital Europe, Emota oder die Computer & Communications Industry Association (CCIA) mit Mitgliedern wie Amazon, Google oder Microsoft genauso wie einzelne Konzerne wie Expedia oder die Accor-Hotelgruppe,  weisen auf der einen Seite darauf hin, dass Sicherheit bei den genannten Zahlvorgängen an oberster Stelle stehe, aber die EBA mit ihren Vorschlägen weit über das Ziel hinausschieße (3).

Vor allem der Handel sieht die Gefahr, dass Kunden ihren Einkauf an der Stelle abbrechen, an der das Bezahlen komplex wird. Verbraucher haben sich daran gewöhnt, dass beispielsweise in ihrem Kundenkonto bei Amazon die Kreditkartennummer hinterlegt ist und der Kaufprozess durch keinerlei weitere Aktionen unterbrochen wird.

Das Internet hat durch die ständige Vereinfachung von Kaufprozessen die Käufer verwöhnt, ein Rückschritt durch zusätzliche Klicks oder Aktionen würde manchen Händler in die Krise stürzen.

Gerade das „ständige Merkmal“ würde das Bezahlen wieder eine Stufe komplexer machen. Der Kunde benötigt einen Fingerabdruckscanner oder einen Augenscanner. Nicht jeder Verbraucher ist aber willens, ein Endgerät zu kaufen, welches für den entsprechenden Preis diese Features bietet.

Externe Scanner wiederum machen den spontanen Einkauf unterwegs mittels mobilen Endgeräts aber unmöglich. Bliebe es bei der Grenze von 30 Euro, wäre das Bezahlen mittels NFC nicht betroffen – aber: Brüssel ist beim Erfinden von Restriktionen äußerst kreativ. Die Rede im zuständigen Ausschuss war bereits bei einer Obergrenze von zehn Euro.

Die Briten und Iren sind in Bezug auf NFC deutlich weiter als die Deutschen. Wer sich abends im Pub ein Bier am Tresen holt, hält die Karte vor den Leser und hat in zwei Sekunden bezahlt. Käme der Fingerabdruckscan dazu, müsste der Kunde nach einer Mahlzeit mit Burger und Pommes Frites vermutlich erst noch Hände waschen gehen – das Prinzip wäre ad absurdum geführt. Oder die Eingabe der PIN geht wieder los. Man kann sich sehr schnell an den Komfort von NFC gewöhnen…

Sind Onlinehändler machtlos?

Zunächst einmal sind die Onlinehändler gezwungen, die PSD2 (Payment Services Directive No 2) getaufte Richtlinie umzusetzen. Die Folge könnte jedoch sein, dass ein neuer Wettbewerb zwischen den einzelnen Anbietern entbrennt. Dieser Wettbewerb würde nicht über den Verkaufspreis einer Ware stattfinden, sondern über die Kreativität, die gesetzlichen Anforderungen für den Endverbraucher so umzusetzen, dass dieser von der größtmöglichen Bequemlichkeit profitiert.

Es gibt aber auch noch eine weitere Gruppe von Akteuren, die unter Umständen durch die neue Richtlinie einen Nutzen ziehen könnten. Die Rede ist von Banken und Bezahldiensteanbietern. Möglicherweise kommt es für den einen oder anderen Kunden künftig bei der Auswahl des Girokontos nicht mehr darauf an, ob Gebühren anfallen oder nicht. Möglicherweise kommt der Frage der Authentifizierung bei Onlineeinkäufen bei dem einen oder anderen Kontoinhaber ein größeres Gewicht zu.

Leitlinien zum Beschwerdeverfahren

Kürzlich hat die Europäische Bankenaufsichtsbehörde Leitlinien zum Thema Beschwerdeverfahren veröffentlicht. Diese sollen auf grundlegende Fragen eine Antwort geben. Beispielsweise, wie die nationalen Aufsichtsbehörden Beschwerden über mutmaßliche Verstöße von Zahlungsdienstleistern gegen die zweite Zahlungsdiensterichtline zukünftig behandeln sollen.

Welche Schritte müssen zukünftig beachtet werden?

  1. Informationen zum Verfahren öffentlich zugänglich machen (z.B. über welche Kanäle sich der Beschwerdeführer an die jeweilige Behörde wenden kann und welche Angaben dabei gemacht werden müssen)
  2. gleichzeitige Dokumentation des Prozesses
  3. Festlegung welche Informationen die Antwort an den Beschwerdeführer enthalten soll
  4. Auswertung der Beschwerdedaten durch die zuständige Behörde

Surftipp: EBA Final Report

Ziel ist es, dass die Beschwerdebearbeitung mit Hilfe der Leitlinien dazu beitragen soll, dass die Zahlungsdienstleister die Vorschriften der zweiten Zahlungsdiensterichtlinie einhalten. Spätestens bis zum 13. Januar 2018 sollen die Leitlinien durch die nationalen Aufsichtsbehörden implementiert werden.

Fazit

Wie schon bei der Wohnimmobilienkreditrichtlinie droht mit PSD2 wieder einmal neues Ungemach aus Brüssel. Es sind dieses kleinen bürokratischen Nadelstiche, die immer wieder dazu führen, dass das
Positive
, was die EU durchaus erreicht hat, in den Hintergrund rückt und wir uns kaputt reguliert fühlen.

Weiterführende Links

Mit unserem Kreditkarten-Rechner die passende Kreditkarte finden