Änderung der Zahlungsdiensterichtlinie - EU-Parlament verabschiedet PSD II

15.10.2015
+++ Update 14.11.2016: Dr. Jens H. Kunz über die neue Zahlungsdiensterichtlinie (PSD II): Regulatorische Erfassung „ Dritter Zahlungsdienstleister“ und anderer Leistungsanbieter. Artikel herunterladen +++


Wesentliche Neuerungen der Zahlungsdiensterichtlinie

Hintergrund, Zeitplan und Regelungsüberblick

Am 24.07.2013 veröffentlichte die Europäische Kommission (EU-Kommission) einen Vorschlag für eine zweite Zahlungsdiensterichtlinie, welche die bestehende Zahlungsdiensterichtlinie (Richtlinie 2007/64/EG – PSD) mit dem Ziel ersetzen soll, den Verbraucherschutz zu verbessern, Innovationen zu fördern sowie die Sicherheit von Zahlungsdiensten zu erhöhen.

Das EU-Parlament hatte dazu am 03.04.2014 in erster Lesung eine legislative Entschließung verabschiedet. Nach dem erfolgreichen Abschluss der Trilogverhandlungen am 05.05.2015 hat das EU-Parlament nunmehr die PSD II verabschiedet, so dass für das Inkrafttreten der PSD II nur noch die formelle Zustimmung des Rats der Europäischen Union (Rat) sowie die Veröffentlichung im Amtsblatt der EU erforderlich sind. Danach bleiben den Mitgliedsstaaten zwei Jahre für die Umsetzung der PSD II. Das Umsetzungsgesetz zur PSD II wird also vermutlich gegen Ende 2017 in Deutschland wirksam werden.

Mit der PSD II werden unter anderem die folgende Änderungen eingeführt:

  • So genannte „Zahlungsauslösedienstleister“ und „Kontoinformationsdienstleister“ werden künftig über das Zahlungsdiensteaufsichtsrecht reguliert werden, aber auch den EU-weiten Zugang zum Zahlungsverkehrsmarkt erhalten;
  • es werden strenge Sicherheitsanforderungen für die Auslösung und Verarbeitung elektronischer Zahlungen und den Schutz der Finanzdaten der Verbraucher eingeführt;
  • die Verbraucherrechte werden in zahlreichen Bereichen gestärkt, etwa durch die Verringerung der Haftung für nicht autorisierte Zahlungsvorgänge und die Einführung eines bedingungslosen Erstattungsrechts bei Lastschriften in Euro;
  • die Berechnung von Aufschlägen (zusätzliche Kosten für das Recht, z. B. mit einer Karte zu bezahlen) wird untersagt, und zwar unabhängig davon, ob das jeweilige Zahlungsinstrument in einem Geschäft oder online genutzt wird.

Ausgewählte Regelungsbereiche

Im Folgenden werden diejenigen Regelungsbereiche der PSD II dargestellt, die aus aufsichtsrechtlicher Sicht von besonderer Relevanz für Unternehmen sind, die – nach aktuellem Recht reguliert oder unreguliert – im Bereich des Zahlungsverkehrs tätig sind. Die in Titel III (Transparenz der Vertragsbedingungen und Informationspflichten der Zahlungsinstitute) und Titel IV (Rechte und Pflichten bei der Erbringung und Nutzung von Zahlungsdiensten) der PSD II geregelten Pflichten sind im Wesentlichen zivilrechtlicher Natur und werden nur insoweit berücksichtigt, als ihnen über erhöhte Anforderungen an die Sicherheit von Zahlungsvorgängen aufsichtsrechtliche Bedeutung zukommt.

Einbeziehung sog. dritter Zahlungsdienstleister

Die PSD II definiert zwei neue Zahlungsdienste und bezieht diese in den Anwendungsbereich der Richtlinie ein. Dies sind sog. Zahlungsauslösedienste und Kontoinformationsdienste.

Ein Zahlungsauslösedienst wird als Dienst definiert, der auf Antrag des Zahlungsdienstnutzers in Bezug auf ein bei einem anderen Zahlungsdienstleister geführtes Zahlungskonto einen Zahlungsauftrag auslöst. Nach dieser Definition sind in einen Zahlungsauslösedienst mindestens drei Personen eingebunden: Der den Zahlungsauftrag erteilende Zahler, der kontoführende Zahlungsdienstleister sowie der zwischen diese beiden tretende Zahlungsauslösedienstleister. Die Erwägungsgründe der PSD II legen überdies nahe, dass neben den in der Begriffsdefinition erwähnten Beteiligten typischerweise eine weitere Person in die Abwicklung eingebunden ist, nämlich ein Online-Händler, dessen Website über eine Softwarebrücke mit der Plattform für das Online-Banking des Zahlers verbunden ist.

Der Zahlungsauslösedienst zielt darauf ab, dem Zahlungsempfänger Gewähr dafür zu bieten, dass eine Zahlung ausgelöst wurde. Der Zahlungsempfänger soll so einen Anreiz haben, Güter bzw. Dienstleistungen ohne zeitliche Verzögerung zu liefern. Letztlich stellt dieser Dienst eine Alternative zur Verwendung von Zahlungskarten dar, weil auf Überweisungen gestützte Zahlungen über das Internet ausgelöst werden können.

Kontoinformationsdienste werden definiert als Online-Dienste zur Bereitstellung konsolidierter Informationen über eines oder mehrere Zahlungskonten, das bzw. die entweder bei einem oder mehreren anderen Zahlungsdienstleister(n) geführt wird bzw. werden. Diese Dienste ermöglichen es dem Zahlungsdienstnutzer, in Echtzeit einen Gesamtüberblick über seine finanzielle Situation zu einem bestimmten Zeitpunkt zu erhalten.

Folge der Einbeziehung von Zahlungsauslöse- und Kontoinformationsdiensten in den Kreis der Zahlungsdienste ist unter anderem die Pflicht, eine Zulassung zu beantragen. Allerdings bestehen insoweit gewisse Erleichterungen gegenüber den Anforderungen, die Unternehmen zu erfüllen haben, die andere Zahlungsdienste erbringen. So muss das Anfangskapital eines Zahlungsinstituts, das nur Zahlungsauslösedienste erbringt, stets lediglich mindestens EUR 50.000 betragen, während bei anderen Zahlungsdiensten (mit Ausnahme des Finanztransfergeschäfts) das Anfangskapital EUR 125.000 nicht unterschreiten darf. Werden nur Kontoinformationsdienste erbracht, ist nach der PSD II aufsichtsrechtlich sogar überhaupt kein Anfangskapital erforderlich. Außerdem sind Zahlungsauslöse- und Kontoinformationsdienstleister nicht zur laufenden Erfüllung der Eigenmittelanforderungen verpflichtet. Stattdessen müssen die betreffenden Unternehmen eine ihre regulierten Dienste abdeckende Berufshaftpflichtversicherung oder eine gleichwertige Garantie nachweisen. Für die Erbringung von Zahlungsinformationsdiensten ist mit einem Registrierungs- statt einem Erlaubniserfordernis und einer nur selektiven Anwendung der für Zahlungsdienstleister geltenden Bestimmungen sogar ein eigenes Regelungsregime vorgesehen.

Die Einbeziehung von Zahlungsauslöse- und Kontoinformationsdiensten in den Kreis der erlaubnis- bzw. registrierungspflichtigen Zahlungsdienste wird zur Regulierung von Unternehmen führen, die bislang keiner Aufsicht der Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) unterstehen. Für die betroffenen Unternehmen wird dies mit einigen Herausforderungen einhergehen, da sie sich nunmehr in einem Umfeld mit speziellen Anforderungen bewegen und sich dieser Umstand auch auf ihrer Kostenseite bemerkbar machen wird. Allerdings ist es im Ergebnis im Sinne eines effektiven Verbraucherschutzes zu begrüßen, dass für Zahlungsauslöse- und Kontoinformationsdienste nunmehr ein konkreter und einheitlicher rechtlicher Rahmen auf europäischer Ebene vorgegeben wird, der sowohl die Sicherheit als auch die Akzeptanz dieser Dienste erhöhen wird.

Wegfall des digitalisierten Zahlungsgeschäfts

Das digitalisierte Zahlungsgeschäft (aktuell in § 1 Abs. 2 Nr. 5 ZAG geregelt), ist nicht mehr im Katalog der von der PSD II regulierten Zahlungsdienste enthalten. Ob dieser Dienst damit künftig erlaubnisfrei sein wird, ist indes zweifelhaft, weil – in Abhängigkeit von der konkreten Ausgestaltung – das vormalige digitalisierte Zahlungsgeschäft auch als Finanztransfergeschäft einzuordnen sein kann.

Einschränkung der Handelsvertreterausnahme

Die zunehmende Regulierung im Bereich der Zahlungsdienste findet auch dadurch seinen Ausdruck, dass die PSD II eine Reihe von Ausnahmetatbeständen einschränkt und konkretisiert.

Zunächst wird die sog. Handelsvertreterausnahme, die in der Praxis insbesondere für Online-Handelsplattformen relevant ist, neu gefasst. Vom Anwendungsbereich der PSD II sind demnach Zahlungsvorgänge zwischen Zahler und Zahlungsempfänger über einen Handelsagenten ausgenommen, der durch eine Vereinbarung befugt ist, den Verkauf oder Kauf von Waren oder Dienstleistungen im Namen entweder des Zahlers oder des Zahlungsempfängers auszuhandeln oder abzuschließen. Bemerkenswert ist insofern, dass in der Ausnahmebestimmung nicht der in den Erwägungsgründen erwähnte Zusatz aufgenommen wurde, wonach ein Handelsagent sowohl für den Zahler und den Zahlungsempfänger tätig sein kann, ohne erlaubnispflichtig zu sein, sofern er zu keinem Zeitpunkt in den Besitz der Geldbeträge der Zahlungsdienstnutzer oder Kontrolle über diese Gelder erlangt. Es wird aufmerksam zu beobachten sein, wie der deutsche Gesetzgeber diese Änderung umsetzt und ob die BaFin ihre Verwaltungspraxis zur einschränkenden Auslegung der Handelsvertreterausnahme bei Online-Handelsplattformen ändern wird. Da jedoch in den Erwägungsgründen der PSD II für die Anwendbarkeit der Handelsvertreterausnahme offenbar ein Entscheidungsspielraum des Handelsagenten vorausgesetzt wird und nunmehr ausdrücklich eine Vereinbarung verlangt wird, nach welcher der Handelsagent zum Aushandeln oder Abschließen von Verträgen über den Verkauf oder Kauf von Waren oder Dienstleistungen befugt ist, dürfte sich die BaFin in ihrer restriktiven Auslegung der Handelsvertreterausnahme insbesondere im Falle von Online-Handelsplattformen bestätigt sehen.

Auch wenn sich einige Unternehmen künftig verstärkt überlegen müssen, ob sie weiterhin von der Handelsvertreterausnahme Gebrauch machen können, ist die Klarstellung im Ergebnis doch zu begrüßen. Dies deshalb, weil sie der unterschiedlichen Auslegung der Ausnahmevorschrift durch die nationalen Aufsichtsbehörden entgegenwirkt und damit zu einheitlichen Wettbewerbsbedingungen innerhalb der EU beiträgt.

Einschränkung der Ausnahme für Verbundzahlsysteme

Neu geregelt wird auch die Ausnahme für Verbundzahlungssysteme. Mit der Neuregelung reagiert der europäische Gesetzgeber darauf, dass die bisherige Ausnahme für begrenzte Netze häufig auch genutzt wird, wenn Zahlungen für beträchtliche Volumen und Werte abgewickelt und den Verbrauchern Hunderte oder Tausende verschiedener Produkte und Dienstleistungen angeboten werden. Da dies nicht dem Zweck der Ausnahme entspreche, soll nunmehr der beschränkte Anwendungsbereich klargestellt werden.

Nach der Neuregelung sind vom Anwendungsbereich der PSD II Dienste ausgenommen, die auf bestimmten nur begrenzt verwendbaren Zahlungsinstrumenten basieren, die eine der folgenden Bedingungen erfüllen:

  • Die Instrumente gestatten ihrem Inhaber lediglich, im Rahmen einer Geschäftsvereinbarung mit einem professionellen Emittenten in den Geschäftsräumen des Emittenten oder innerhalb eines begrenzten Netzes von Dienstleistern Waren und Dienstleistungen zu erwerben (Gruppe 1);
  • die Instrumente können nur zum Erwerb eines sehr begrenzten Waren- oder Dienstleistungsspektrums verwendet werden (Gruppe 2);
  • die Instrumente sind nur in einem Mitgliedstaat gültig und werden auf Nachfrage eines Unternehmens oder einer öffentlichen Stelle zur Verfügung gestellt, unterliegen zu bestimmten sozialen oder steuerlichen Zwecken den Vorschriften einer nationalen oder regionalen öffentlichen Stelle und dienen dem Erwerb bestimmter Waren oder Dienstleistungen von Anbietern, die eine gewerbliche Vereinbarung mit dem Emittenten geschlossen haben (Gruppe 3).

Voraussetzung für das Eingreifen dieser Ausnahmetatbestände ist nach den Erwägungsgründen, dass dasselbe Instrument nicht für Zahlungsvorgänge zum Erwerb von Waren und Dienstleistungen in mehr als einem begrenzten Netz oder zum Erwerb eines unbegrenzten Waren- oder Dienstleistungsspektrums verwendet werden kann. Als Beispiele für der Ausnahmevorschrift unterfallende Instrumente werden in den Erwägungsgründen Kundenkarten, Tankkarten, Mitgliedskarten, Fahrkarten, Parkscheine oder Essensgutscheine aufgeführt. Freilich werden auch diese Instrumente darauf zu prüfen sein, ob sie den verschärften Anforderungen an die Ausnahme für Verbundzahlsysteme gerecht werden. Näher zu untersuchen wäre dies bspw. bei Tankkarten, mit denen – wie in der Praxis nicht selten der Fall – neben Kraftstoffen noch andere Waren und Dienstleistungen bezahlt werden können.

Im Vergleich zur Regelung in der PSD bringt die Neufassung der Ausnahme für die Gruppe 1 insoweit eine Neuerung, als es einer Geschäftsvereinbarung mit einem professionellen Emittenten bedarf. Was hierunter zu verstehen ist, ergibt sich nicht direkt aus dem Text der Richtlinie; Anhaltspunkte hierfür bieten aber die Erwägungsgründe. Dort wird klargestellt, dass die Ausnahme u.a. auf Ladenketten Anwendung findet, wenn die beteiligten Unternehmen durch eine gewerbliche Vereinbarung verbunden sind, in der etwa die Verwendung einer einheitlichen Marke vorgesehen ist, die das Bestehen einer rechtlich erheblichen Beziehung zwischen der Muttergesellschaft und den Verkaufsstellen für die Öffentlichkeit völlig ersichtlich macht. Hier bleibt abzuwarten, ob der Gesetzgeber oder die BaFin zur weiteren Klärung bei der Anwendung der Ausnahmevorschrift beitragen werden. Nach der aktuellen Verwaltungspraxis sind von Ladenketten ausgegebene Kundenkarten nur dann sicher von der Bereichsausnahme erfasst, wenn das „Netz der Akzeptanzstellen“ streng, grundsätzlich auch lokal, begrenzt ist.

Besonders deutlich wird das Ziel des europäischen Gesetzgebers, die Ausnahme für Verbundzahlsysteme restriktiv auszulegen, durch die neue Formulierung in Gruppe 2, dass es sich um ein „sehr“ begrenztes Spektrum von Waren und Dienstleistungen handeln muss. Von Bedeutung für die Auslegung dieser Ausnahme sind wiederum die Erwägungsgründe, die präzisieren, dass der Verwendungszweck unabhängig vom geografischen Ort der Verkaufsstelle wirksam auf eine feste Zahl funktional verbundener Waren oder Dienstleistungen begrenzt ist. Die Klarstellung, dass die Ausnahme unabhängig von der geografischen Lage der Verkaufsstelle Anwendung findet, steht in einem gewissen Widerspruch zur aktuellen Verwaltungspraxis der BaFin, die umso strengere Anforderungen an die Begrenzung des Netzes der Händler und Dienstleister stellt, je stärker die Produktpalette aufgefächert wird. Vor dem Hintergrund der ausdrücklichen Klarstellung, dass die Ausnahme unabhängig von der geografischen Lage der Verkaufsstelle eingreifen soll, wäre zu hoffen, dass die BaFin ihre Sicht – die im Gesetz keine Stütze findet – überdenkt.

Die Gruppe 3 der Ausnahme für Verbundzahlsysteme ist gänzlich neu. Ihre Einführung ist letztlich konsequent, weil sie auch in den Erwägungsgründen für die 2. E-Geld-Richtlinie (Richtlinie 2009/110/EG) aufgeführt ist und damit für die Qualifizierung von Instrumenten als E-Geld von Bedeutung ist.

Der restriktive Ansatz bei Anwendung der Ausnahme für Verbundzahlsysteme wird ferner dadurch betont, dass künftig die Ausnahmen nach Gruppe 1 und Gruppe 2 nicht ohne Weiteres in Anspruch genommen werden können, ohne die Behörden darüber zu informieren. Vielmehr müssen die betreffenden Dienstleister den zuständigen Behörden eine Beschreibung der angebotenen Dienstleistungen melden, aus der die in Anspruch genommene Ausnahme hervorgeht, sofern der Gesamtwert der Zahlungsvorgänge im Monatsdurchschnitt der vorangegangenen 12 Monate den Betrag von EUR 1 Mio. überschreitet. Damit werden die Aufsichtsbehörden letztlich in die Lage versetzt werden zu prüfen, ob die Ausnahme begründet in Anspruch genommen wird. Sofern die Aufsichtsbehörde zu der Einschätzung gelangt, die Ausnahme für begrenzte Netze sei nicht erfüllt, soll sie eine begründete Entscheidung treffen und diese dem Dienstleister mitteilen. Zudem haben die nationalen Aufsichtsbehörden die Europäische Bankenaufsichtsbehörde (EBA) von der Bewertung zu unterrichten, um so eine einheitliche Anwendung der Ausnahmen zu erreichen. Überdies müssen die gemeldeten Dienste u.a. auf der Website der EBA öffentlich zugänglich gemacht werden. Hier darf man gespannt sein, welche Auswirkungen dies auf die Praxis haben wird.

Zusätzliche Anforderungen an die Ausnahme für digitale Dienste

Ebenfalls eingeschränkt wird die Ausnahme für Dienste im Bereich der elektronischen Kommunikation. Ein wesentlicher Grund für diese Einschränkung ist ihre unterschiedliche Anwendung in den Mitgliedstaaten. Zu diesem Zweck präzisiert die PSD II den Anwendungsbereich der Ausnahmeregelung und richtet ihn speziell auf Kleinbetragszahlungen für digitale Inhalte und Sprachdienste aus. Die Ausnahme sieht vor, dass Zahlungsvorgänge, die von einem Anbieter elektronischer Kommunikationsnetze oder -dienste für einen Teilnehmer des Netzes oder Dienstes zusätzlich zu elektronischen Kommunikationsdiensten getätigt werden, in folgenden Fällen keinen Zahlungsdienst darstellen:

  • der Zahlungsvorgang betrifft den Erwerb von digitalen Inhalten und Sprachdiensten ungeachtet des für den Erwerb oder Konsum des digitalen Inhalts verwendeten Geräts und wird auf der entsprechenden Rechnung abgerechnet (Fall 1); oder
  • der Zahlungsvorgang wird von einem elektronischen Gerät aus oder über dieses ausgeführt und auf der entsprechenden Rechnung im Rahmen einer gemeinnützigen Tätigkeit oder für den Erwerb von Tickets abgerechnet (Fall 2).

In beiden Fällen darf der Wert einer Einzelzahlung EUR 50 und der kumulative Wert der Zahlungsvorgänge eines Teilnehmers innerhalb eines Monats EUR 300 (dies gilt auch, wenn der Teilnehmer Vorauszahlungen getätigt hat) nicht überschreiten.

Fall 1 greift damit grundsätzlich nur für den Erwerb von digitalen Inhalten und Sprachdiensten ein. Digitale Inhalte werden konkretisiert als Waren oder Dienstleistungen, die in digitaler Form hergestellt und bereitgestellt werden und deren Nutzung oder Verbrauch innerhalb eines technischen Geräts begrenzt ist und welche in keiner Weise die Nutzung oder den Verbrauch von physischen Waren und Dienstleistungen ermöglichen. Dazu gehören z.B. Klingeltöne, Hintergrundbilder, Musik, Spiele, Videos oder Apps. Der Begriff der Sprachdienste ist hingegen nicht in der PSD II definiert. Aus den Erwägungsgründen ergibt sich allerdings, dass damit unter anderem Informations- und Auskunftsdienste (z.B. Nachrichten, aktuelle Sportmeldungen, Aktienkurse) gemeint sind.

Mit Fall 2 werden Zahlungsvorgänge privilegiert, die etwa aus der Sammlung von Spenden gemeinnütziger Organisationen oder dem Erwerb von Tickets herrühren. Hiermit soll nach den Erwägungsgründen der Entwicklung bei den Zahlungen Rechnung getragen werden, bei denen die Kunden elektronische Tickets von überall und jederzeit über Mobiltelefone oder andere Geräte bestellen, bezahlen, erhalten und validieren können. Nach Auffassung des Richtliniengesetzgebers senken elektronische Tickets Produktions- und Vertriebskosten, die bei der Ausstellung von Tickets in Papierform anfallen, und steigern die Kundenfreundlichkeit durch neue und einfache Wege für den Kauf von Tickets. Es ist indes festzuhalten, dass sich die Beschränkung auf elektronische Tickets nicht dem Wortlaut der Ausnahmevorschrift entnehmen lässt, die den weiteren Begriff „Ticket“ verwendet. Bei diesem weiten Verständnis wären auch Zahlungsvorgänge für Tickets in Papierform erfasst, etwa wenn Parkscheine am Automaten gedruckt oder Eintrittskarten in physischer Form übersandt werden. Es wäre zu wünschen, dass die gebotene Gleichbehandlung der Bezahlvorgänge von elektronischen und gedruckten Tickets zumindest in der Verwaltungspraxis klargestellt wird.

Ähnlich wie bei der Ausnahme für begrenzte Netze geht die Inanspruchnahme mit einer Meldepflicht einher. Die Dienstleister haben die Ausführung der entsprechenden Tätigkeiten den zuständigen Behörden zu melden und ihnen einen jährlichen Bestätigungsvermerk zukommen zu lassen, aus dem hervorgeht, dass die Tätigkeit mit den festgesetzten Obergrenzen vereinbar ist.

Verstärkte Kundenauthentifizierung

Die PSD II verpflichtet die Mitgliedsstaaten zur Gewährleistung einer verbesserten Sicherheit bei der Abwicklung von Zahlungen. Dazu wird eine sog. verstärkte Kundenauthentifizierung verlangt, wenn der Zahler über das Internet auf sein Zahlungskonto zugreift, einen elektronischen Zahlungsvorgang auslöst oder über einen Fernzugang eine Handlung vornimmt, die das Risiko eines Betrugs im Zahlungsverkehr oder anderen Missbrauchs birgt. In diesen Fällen muss der Zahlungsdienstleister zudem besondere Sicherheitsanforderungen anwenden, um die Vertraulichkeit und die Integrität von personalisierten Sicherheitsdaten (z.B. PIN und TAN) der Zahlungsdienstnutzer zu schützen. Eine verstärkte Kundenauthentifizierung wird auch dann verlangt, wenn Zahlungen über einen Zahlungsauslösedienstleister ausgelöst werden oder Informationen über einen Kontoinformationsdienstleister angefordert werden.

Verstärkte Kundenauthentifizierung ist eine Authentifizierung unter Verwendung von mindestens zwei Elementen der Kategorien Wissen (z.B. über ein statisches Passwort), Besitz (z.B. über einen Token oder eine Smartcard) und Inhärenz (z.B. in Form eines biometrisches Charakteristikums wie ein Fingerabdruck). Diese Kriterien müssen insofern voneinander unabhängig sein, als die Nichterfüllung des einen Kriteriums die Zuverlässigkeit der anderen nicht in Frage stellt und durch die Auslegung des Verfahrens die Vertraulichkeit der Authentifizierungsdaten geschützt ist.

Für den Fall, dass ein elektronischer Fernzahlungsvorgang (d.h. ein Zahlungsvorgang, der über das Internet oder ein Gerät, das zur Fernkommunikation verwendet werden kann) ausgelöst wird, muss die verstärkte Kundenauthentifizierung überdies Elemente umfassen, die die Transaktion dynamisch mit einem bestimmten Betrag und einem bestimmten Zahlungsempfänger verknüpfen. Dies soll dem Zahlungsdienstnutzer stets Klarheit über den Betrag und den Zahlungsempfänger der von ihm gerade autorisierten Transaktion verschaffen.

Wie groß der Anpassungsbedarf der Zahlungsdienstleister tatsächlich sein wird, wird maßgeblich von den Vorgaben der technischen Regulierungsstandards (Regulatory Technical Standards – RTS) abhängen, zu deren Ausarbeitung die EBA ermächtigt wird. Insofern ist nämlich zu berücksichtigen, dass die verstärkte Kundenauthentifizierung letztlich kein Novum darstellt, sondern bereits auf europäischer und nationaler Ebene über Rundschreiben als Pflicht bei der Erbringung von über das Internet angebotenen Zahlungsdiensten eingeführt wurde. In diesem Kontext sei auf das BaFin-Rundschreiben vom 05.05.2015 zu den Mindestanforderungen an die Sicherheit von Internetzahlungen verwiesen. Dieses Rundschreiben setzt die Guidelines on security of internet payments der EBA um und überbrückt die Zeit bis zum Inkrafttreten der PSD II. Die Vorgaben in diesem BaFin-Rundschreiben sind bis zum 05.11.2015 umzusetzen.

Stärkere Rolle der EBA

Die Rolle der EBA wird u.a. insofern gestärkt, als sie in einigen Bereichen dazu ermächtigt wird, Leitlinien und technische Regulierungsstandards zu erlassen. Dies betrifft bspw. praktisch relevante Bereiche wie die Anforderungen an die grenzüberschreitende Erbringung von Zahlungsdiensten. Zudem führen die technischen Regulierungsstandards zu einer zunehmenden Bedeutung der europäischen Vorgaben und werden damit eine stärkere Harmonisierung bewirken. Ferner wird die EBA ein elektronisches zentrales Register betreiben, das die von den nationalen Aufsichtsbehörden zu übermittelnden Informationen u.a. für Zahlungsinstitute und deren Agenten enthält. Dieses wird im Internet abrufbar sein und so EU-weite Transparenz für Verbraucher und Aufsichtsbehörden herstellen. Zudem ist sie in den Informationsaustausch und die Beilegung von Meinungsverschiedenheiten zwischen zuständigen Behörden verschiedener Mitgliedsstaaten eingebunden.

Resümee

Die Neuregelungen führen zu einer noch höheren Regulierungsdichte im Bereich des Zahlungsdiensteaufsichtsrechts. Insbesondere die Einbeziehung von Zahlungsauslöse- und Kontoinformationsdiensten in den Anwendungsbereich der PSD II unterstellt innovative Geschäftsmodelle der Regulierung und dürfte daher einen substantiellen Anpassungsbedarf für die betroffenen Unternehmen nach sich ziehen. Freilich sind mit der entsprechenden Regulierung höhere Sicherheitsstandards für die Nutzer verbunden, die zu einer weiteren Akzeptanz insbesondere von Zahlungsauslösediensten als Alternative zur Kartenzahlung im E-Commerce führen dürften. Zudem wird die Einschränkung der Ausnahmetatbestände für viele Unternehmen eine Prüfung erforderlich machen, ob und unter welchen zusätzlichen Prämissen die Privilegierung auch künftig in Anspruch genommen werden darf.

Auf der anderen Seite wird die präzisere Fassung von Ausnahmebestimmungen ebenso wie die stärker Rolle der EBA dazu führen, eine unterschiedliche Handhabung in den Mitgliedstaaten zu vermeiden und damit zur Schaffung einheitlicher Wettbewerbsbedingungen innerhalb der EU beizutragen. Somit stehen den zu erwartenden zusätzlichen Kosten auch neue Chancen gegenüber. Im Hinblick auf die bisher schon restriktive Verwaltungspraxis der BaFin dürften die mit der PSD II einhergehenden Verschärfungen ohnehin nicht zu größeren Einschränkungen führen.

Von geringerer Tragweite dürfte die Verpflichtung zur verstärkten Kundenauthentifizierung sein, weil die entsprechenden Pflichten bereits vor Umsetzung der PSD II – zumindest in großen Teilen – geltendes Recht sein werden. Hier ist zu hoffen, dass die EBA ihren Auftrag zur Erstellung von RTS mit Augenmaß ausführt, um bei den Unternehmen nach Umsetzung der PSD II einen erneuten umfassenden Anpassungsbedarfs zu vermeiden.

 

Haben Sie Fragen? Kontaktieren Sie gerne: Dr. Jens H. Kunz oder Matthias Schirmer
Practice Group:      Banking & Finance oder Regulierung & Governmental Affairs

Dieser Beitrag könnte Sie auch interessieren: Auswirkungen der 4. EU-Geldwäscherichtlinie auf Unternehmen, Banken und Berater