Die Bedeutung der PSD2 – Gastbeitrag von Cornelia Schwertner

Die EU und nationale Gesetzgeber wollen Innovationen im Fintech Umfeld aktiv fördern. Wie wichtig dabei PSD2 wird und was sich genau hinter dem Begriff verbirgt erklärt Cornelia Schwertner vom Fintech Startup figo.

Das Hamburg Startups Fintech Dossier. Eine Serie über junge Unternehmen der Hamburger Fintech Szene

Das Hamburg Startups Fintech Dossier. Eine Serie über junge Unternehmen der Hamburger Fintech Szene

Hintergrund und Ziele

Wer die Sonderbedingungen zum Online-Banking seiner Bank aufmerksam gelesen hat, weiß, dass er heute bei den meisten deutschen Instituten noch gegen diese verstößt, wenn er seine personalisierten Sicherheitsmerkmale – also PIN (Persönliche Identifikationsnummer) und TAN (Transaktionsnummer) – für bankenunabhängige Drittdienste nutzt, zu denen auch Online-Bezahlverfahren, d. h. sogenannte Zahlungsauslösedienste gehören.

Dennoch geben inzwischen mehr und mehr Online-Bankkunden diese Daten an Dritte weiter, um deren innovative Services für Bezahlverfahren zu nutzen. Wobei es sich bei diesen Dritten inzw. auch um dritte Banken handeln kann, die eigene Multibanking-Apps für ihre Kunden anbieten.

Auch über Bezahldienste hinaus werden heute bereits Kontoinformationen, d. h. die Kontodaten von Online-Banking-Kunden, über Drittdienste nutzbar gemacht und dadurch automatisierte Kundenprozesse ermöglicht bzw. beschleunigt.

Beispiele sind Kontowechselservices, Bonitäts- bzw. Risikobeurteilungen oder auch verschiedene Services zur Vermögensoptimierung.

Bundeskartellamt erklärt Online-Banking-Bedingungen für rechtswidrig

Jüngst hat das Bundeskartellamt erklärt, dass die entsprechenden Passagen der Online-Banking-Bedingungen in Bezug auf den Teilbereich der Drittdienste, die Bezahlverfahren im Internet anbieten, rechtswidrig seien.

Das generelle Verbot der Weitergabe an Dritte beschränke nach Ansicht der Behörde den Wettbewerb der verschiedenen Anbieter von Bezahlverfahren und verstoße gegen deutsches und europäisches Kartellrecht.

Die Erklärung des Bundeskartellamtes überrascht im Sommer 2016 nicht mehr. Sie spiegelt die inzwischen durch den EU-Gesetzgeber erkannte und unterstützte Innovationskraft von Drittdiensten wider, die den Online-Zugang der Bankkunden für diverse nutzbringende Anwendungen entdeckt haben.

Spätestens mit finaler Verabschiedung der EU-Richtlinie 2015/2366 über Zahlungsdienste im Binnenmarkt Ende 2015 ist dem Großteil der Finanzmarktakteure klar, dass die EU sowie in der Konsequenz auch nationale Gesetzgeber Innovationen in diesem Umfeld aktiv fördern.

Ableitend von der englischen Bezeichnung Payment Service Directive und der Tatsache, dass es sich um die überarbeitete bzw. erweiterte Fassung einer Ursprungsversion der Payment Service Directive von 2007 handelt, hat sich im Markt die Kurzbezeichnung PSD2 für diese sehr bedeutende EU-Richtlinie durchgesetzt.

figo bietet mit seiner Software eine Schnittstelle für alle Banking Funktionen

figo bietet mit seiner Software eine Schnittstelle für alle Banking Funktionen

Die Erklärung der Wettbewerbshüter unterstreicht eigentlich nur, wie wichtig und in die Zukunft gerichtet die Erstregelungen der PSD2 sind, die nun bis Anfang 2018 national umgesetzt werden müssen.

Denn die Richtlinie geht über die Inhalte der Kartellamtsmeinung noch weit hinaus und bestimmt nicht nur neue Spielregeln für den Umgang mit Sicherheitsmerkmalen, sondern auch eine weitgehende Öffnung des Zugangs zu den Zahlungskontodaten von Online-Banking-Kunden.

PSD2 soll etablierte Praxis sicherer machen

Die übergeordneten Ziele der PSD2 sind die sich im Markt bereits etablierte Praxis zur Nutzung von Drittdiensten aus Verbrauchersicht sicherer zu machen und gleichzeitig den in diesem Markt bereits tätigen aber auch künftigen FinTechs sowie anderen Marktakteuren ein rechtsicheres Umfeld zu verschaffen und damit aktiv Innovationen zu fördern.

Dies führt auf Seiten der sogenannten kontoführenden Zahlungsdienstleister – d. h. insbesondere Banken – zunächst zu der Verpflichtung einen Zugang zu Zahlungskonten für Drittdienste technisch einfach zu ermöglichen.

Was in Deutschland zumindest im Ansatz keine Neuigkeit ist, sondern durch die vorhandene Infrastruktur des Homebanking Computer Interface (HBCI) eine bereits in Teilen der PSD2-Anforderung gelebte Praxis.

Verkürzt spricht man bei der neuen PSD2-Anforderung von der Access to Account- bzw. noch kürzer XS2A-Pflicht dieser Akteure. Andererseits bietet die PSD2 für kontoführende Zahlungsdienstleister künftig auch verlässliche Sicherheitsanforderungen für den Zugriff durch Dritte sowie einen klar geregelten Umfang des Zugangs und damit verbunden die Möglichkeit, freiwillig erweiterte Zugänge (z.B. über die PSD2-Zahlungskonten hinaus) zu monetarisieren.

Zudem können natürlich auch Banken kundenorientierte Lösungen schaffen, die auf den neuen Nutzungsmöglichkeiten beruhen, also eigene Zahlungsauslöse- und/oder Kontoinformationsdienste anbieten.

Dass Vertreter der deutschen Kreditwirtschaft im Anschluss an die Kartellamtserklärung ankündigten, gegen die wettbewerbsrechtliche Beurteilung vorzugehen, ist nicht rückschrittlich bzw. nicht als reines Abwehrverhalten gegenüber FinTechs zu verstehen.

Das Interesse, sich gegen Kartellrechtsvorwürfe für die Vergangenheit vor der PSD2 zu schützen, ist nachvollziehbar.

Die damals gegebenenfalls noch gültigen Bedenken hinsichtlich der Weitergabe der Sicherheitsmerkmale sind inzwischen obsolet. Mit den heute im Markt etablierten Sicherheitsstandards sowie insbesondere den weiteren Anforderungen der PSD2 kann inzwischen ein Ausgleich zwischen Wettbewerbs- und Sicherheitsinteressen geschaffen werden.

Insgesamt birgt die PSD2 somit nicht nur für FinTech-Start-ups ein großes Potenzial. Insbesondere eine Kooperation zwischen Banken und neuen Marktakteuren führt zu erheblichen Wachstums- und Innovationschancen für den Banking-Markt insgesamt.

Status und Ausblick

Bei der PSD2 handelt es sich um eine sogenannte vollharmonisierte Richtlinie, d. h. bei der Umsetzung in nationales Recht ist nicht nur eine Mindestharmonisierung sichergestellt, sondern es sind auch keine strengeren Regelungen möglich.

Die zusätzliche Gewährung eines sogenannten EU-Passes ermöglicht PSD2-konformen FinTechs aus Deutschland somit letztendlich eine EU-weite Expansion unter vereinfachten Bedingungen.

Allerdings sind mit den neuen PSD2-Rechten für FinTechs naturgemäß auch Pflichten verbunden. Für FinTechs in Deutschland, die bereits heute oder künftig Verbrauchern Dienste, wie die Zahlungsauslösung oder die Kontoinformation, in PSD2-konformer Weise anbieten wollen, entstehen Lizenz- bzw. Registrierungspflichten, ohne deren Einhaltung ihnen ihre Geschäftstätigkeit von Seiten der Bundesanstalt für Finanzdienstleistungsaufsicht (kurz BaFin) untersagt werden kann.

Für den Zahlungsauslösedienstleister (ZADL bzw. PISP  für Payment Initation Service Provider) regelt die PSD2 eine Lizenzpflicht als sogenanntes Zahlungsinstitut. Diese Institutform ist mit anderen Produktangeboten bereits im heutigen Zahlungsdiensteaufsichtsgesetz (ZAG), zurückgehend auf die Ursprungsfassung der PSD, geregelt.

Der Begriff des Zahlungsinstituts ist also nicht neu. Für den Kontoinformationsdienstleister (KIDL bzw. AISP  für Account Information Service Provider) ist eine in Summe an weniger Pflichten gebundene Registrierungspflicht geregelt.

Allerdings wird der Kontoinformationsdienstleister in Teilen der PSD2 “wie ein Zahlungsinstitut” behandelt.

Derzeit besteht insgesamt noch Unklarheit, wie sich die Reichweite dieser Lizenz- und Registrierungspflichten auf FinTechs auswirken wird, d. h. inwieweit beispielsweise Banking Service Provider, wie http://www.figo.io/, Zahlungsauslöse- und Kontoinformations-Start-ups, die PSD2-Pflichten “abnehmen” können.

Was die figo API macht

Was die figo API macht

Konkreter formuliert, ob – und unter welchen Voraussetzungen – Letztere in der Konsequenz eine direkte Lizenz- bzw. Registrierungspflicht mit weitgehenden Outsourcing-Möglichkeiten trifft oder Anwendungsdienste auch ohne eigene Lizenz/Registrierung auf ein beaufsichtigtes Zahlungsinstitut als Partner zurückgreifen können.

Die Regelung der PSD2 und ihre Auswirkungen auf einzelne Marktakteure sind somit insg. noch nicht leicht zu erfassen. Eine detaillierte Auseinandersetzung mit dem Thema ist für FinTechs, die sich im PSD2-Umfeld bewegen, dringend zu empfehlen (siehe dazu auch im Detail: https://www.figo.io/compliance-blog/).

Konkrete Ausformulierungen der Standards müssen noch erfolgen

Viele – vor allem technische – Details, die mit der neuen Marktsituation nach der nationalen Umsetzung der PSD2 verbunden sind, werden noch durch eine konkretere Auslegung im Rahmen der sogenannten Regulatory Technical Standards (RTS) durch die European Banking Authority (EBA) verbindlich bis 2018 definiert.

Allerdings ist nach aktuellem Stand zu erwarten, das für angemessene und sichere Prozesse – insb. in Hinblick auf die Kommunikation im Rahmen der Kontenzugriffe zwischen den einzelnen Marktteilnehmern – in großen Teilen noch eine “Selbstorganisation” des Marktes notwendig werden wird.

Eine enge Kooperation zwischen den nationalen Gesetzgebern und Aufsichtsbehörden unter Einbeziehung auch der aktiven Marktteilnehmer auf europäischer Ebene wäre dennoch weiterhin wünschenswert, um ein vollharmonisiertes aber vor allem auch ein die etablierte Marktpraxis berücksichtigendes Ergebnis in Europa herzustellen.

Ein Schritt wird dahingehend die für August erwartete Konsultation der EBA in Hinblick auf den ersten RTS-Entwurf sein.

 

Fintechs made in Hamburg – unser Hamburg Startups Dossier

Um dem Fintech-Standort Hamburg ein wenig besser kennen zu lernen, hat Hamburg Startups gemeinsam mit den Partnern comdirect bank AG, der Sutor Bank und der Ginkgo Management Consulting das Hamburg Startups Fintech-Dossier ins Leben gerufen.

Der Sommer 2016 steht somit ganz im Zeichen der Finanzbranche: Mit spannenden Insights in das Hamburger Fintech-Ökosystem, Portaits- und Interviewreihen sowie interessanten Gastbeiträgen unserer hiesigen Fintech-Experten.

Fintech in Hamburg – eine Einführung

Between the Towers machte Appetit auf Fintech

Das ist die Hamburger Fintech-Szene – Gastbeitrag von Carolin Neumann

FinGym – Fitness für die Finanzmuskeln

 

Über Cornelia Schwertner

Cornelia SchwertnerCornelia Schwertner widmet sich als Head of Regulation der Umsetzung der gesetzlichen und aufsichtsrechtlichen Anforderungen für den Banking Service Provider figo GmbH sowie um die entsprechende Pflege der internen Organisation und Compliance.

Teilen mit ...
Share on Facebook4Share on Google+2Tweet about this on TwitterShare on LinkedIn31Email this to someone
0 Kommentare

Dein Kommentar

Want to join the discussion?
Feel free to contribute!

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.