Aftermath of PSD2

Was PSD2 bedeutet 

Die Payment Service Directive (PSD2) betrifft den Online-Zahlungsverkehr und insbesondere Kreditkartenzahlungen. Sie hat das Ziel, allen Beteiligten im Online-Zahlungsverkehr mehr Sicherheit zu verschaffen. Einerseits erhöht sie durch die sogenannte Starke Kundenauthentifizierung die Sicherheit im Zahlungsprozess, andererseits räumt sie durch die Anpassung der Rechtslage an neue Marktentwicklungen rechtliche Unsicherheiten aus.

Nach PSD2 müssen sich ab dem 14.09.2019 bei bestimmten Transaktionen mit der sogenannten Starken Kundenauthentifizierung authentifizieren. Dies gilt grundsätzlich bei Zugriffen auf das Online-Konto, bei der Auslösung eines kundengetriebenen elektronischen Zahlvorganges sowie bei Transaktionen mit Missbrauchspotential.

Starke Kundenauthentifizierung bedeutet, dass nun mindestens zwei der drei Faktoren Besitz (z.B. Karte oder Smartphone), Wissen (z.B. Pin oder Geheimfrage) und Inhärenz (Fingerabdruck, Gesichtserkennung) abgefragt werden. Um einerseits die Sicherheit im Online-Zahlungsverkehr zur erhöhen, andererseits aber den Vorgang verbraucherfreundlich zu halten, lässt PSD2 Ausnahmen zu. Beispielsweise gilt dies für den Zugang zu Kontoumsätzen bis maximal 90 Tage.

Kontoführende Banken sind nun dazu verpflichtet, Drittanbietern über eine neue Schnittstelle (Access to Account, XS2A) Zugriffe auf das Konto zu gewähren, wenn der Kunde dem Drittanbieter zuvor eine Zustimmung zum Zugriff erteilt hat. Die Schnittstellen und die Umsetzung der Ausnahmen stellt die Banken vor Herausforderungen, weswegen übergangsweise Drittanbieter Zugriffe auf die alte Schnittstelle erhalten dürfen.

Kartenherausgebende Zahlungsdienstleister wie American Express, VISA und MasterCard müssen die Starke Kundenauthentifizierung gleichermaßen umsetzen. Durch die Umsetzung der PSD2 Vorgaben in ihren internationalen Standard 3D Secure 2 könnte PSD2 bei Erfolg auch in Nicht-EU-Staaten in geltendes Recht umgesetzt werden.

Durch PSD2 werden unterschiedliche Drittanbieter rechtlich definiert und neue Klassen von Zahlungsdienstleistern geschaffen. Solche neuen Zahlungsdienstleister sind Zahlungsauslösedienstleister wie PayPal und Kontoinformationsdienstleister, die z.B. die Bonität des Kunden abfragen. Sie können nun durch die offene Schnittstelle nach Zustimmung der Kunden auf die Kundenkonten zugreifen.

Warum PSD2 noch die Beteiligten beschäftigt

Die Umsetzung von PSD2 sollte bis 14.09.2019 vollständig erfolgt sein. Allerdings stellt die Einhaltung der Frist einige Beteiligte vor Schwierigkeiten, weswegen PSD2 auch nach dem Stichtag die Beteiligten beschäftigt. Dies gilt insbesondere für die Unternehmen, die Kartenzahlungen empfangen. Allerdings stellen die offenen Schnittstellen auch Banken vor Herausforderungen, sodass die BaFin kontoführende Banken in diesem Zusammenhang zu Nachbesserungen aufgefordert hat.

Daher hat die BaFin in einer Pressemitteilung vom 21.08.2019 die Frist verlängert, damit online Zahlungsprozesse für den Kunden reibungslosmöglich bleiben. Unternehmen, die PSD2 nicht bis zum 14.09.2019 umgesetzt haben, werden dafür nicht haftbar gemacht, so lange sie nachweisen können, dass sie an einer Umsetzung arbeiten. Das heutige Sicherheitsniveau soll bis zur Umsetzung nach PSD2 erhalten bleiben. Wann diese Übergangszeit ausläuft, wird die BaFin in Absprache mit anderen europäischen Aufsichtsbehörden bekannt geben. In der Zwischenzeit hält die BaFin die Beteiligten an, ihre Infrastrukturen so schnell wie möglich auf PSD2 anzupassen.

Ausblick

Während die Beteiligten noch mit der Umsetzung von PSD2 beschäftigt sind, rechnet die Branche bereits mit Nachbesserungen in Form von PSD3. Dies zeigt beispielhaft an der Berlin Group - gemeinsamen Arbeitsgruppe, die sich das Ziel einheitlicher XS2A Schnittstellen gesetzt hat- die Möglichkeiten für zukünftige Anpassungen durch veränderte Rechtanforderungen lässt.

Klar ist, dass PSD2 in seiner jetzigen Form bereits Banken dazu zwingt, sich mit Markttrends zu befassen, denen sie in der Vergangenheit nicht ausreichend Beachtung geschenkt hatten. Während innovative FinTechs bereits zuvor das Geschäftsmodell der Banken bedrohten, verstärkt PSD2 nun zusätzlich und bewusst den Wettbewerb. Banken müssen neue Geschäftsmodelle entwickeln.