die Bank 09 // 2017

REGULIERUNG

REGULIERUNG ZAHLUNGSVERKEHR Private Banken unterstützen einheitliche PSD2-Schnittstelle Das neue Zahlungsrecht, die PSD2 (Payment Services Directive 2), erlaubt Drittdienstleistern mit vorheriger Zustimmung des Kunden den Zugriff auf Zahlungskonten. Die privaten Banken haben sich von Anbeginn für eine europaweit einheitliche Schnittstelle ausgesprochen und arbeiten bereits mit Hochdruck an der Umsetzung. Ob jedoch das Ziel einer europaweiten Harmonisierung erreicht werden kann, hängt maßgeblich von der Ausgestaltung der regulatorischen Rahmenbedingungen des europäischen Gesetzgebers ab. Im Januar 2018 wird die zweite EU-Zahlungsdiensterichtlinie, die PSD2, in den EU-Mitgliedstaaten in Kraft treten. Wesentliches Merkmal dieser Richtlinie ist der Zugang zum Bankkonto des Kunden über sogenannte Drittdienstleister. Dabei wird zwischen dem Zahlungsauslösedienst, dem Kontoinformationsdienst und dem kartenausgebenden Dienst unterschieden. Banken müssen diesen Dienstleistern einen kostenfreien Zugang zum Zahlungskonto (in der Regel Girokonten) gewährleisten, sofern das Konto online zugänglich ist. PSD2 regelt Kontozugriff für Drittdienstleister Die PSD2 regelt zudem Rechte und Pflichten für die neuen Dienstleister. Diese unterliegen zukünftig der Aufsicht: Zahlungsauslöse- und kartenausgebende Dienste werden für ihre Tätigkeit eine Zulassung von der nationalen Aufsichtsbehörde benötigen; Kontoinformationsdienste müssen sich bei der Aufsicht registrieren lassen. Für die Zulassung und Registrierung wird bei Zahlungsauslöse- und Kontoinformationsdiensten eine Berufshaftpflichtversicherung oder eine gleichwertige Garantie vorausgesetzt. Ohne weiteres dürfen jedoch Zahlungsauslöse- und Kontoinformationsdienste nicht auf das Zahlungskonto zugreifen – Bankkunden müssen dem Zugriff vorher zugestimmt bzw. diesen beauftragt haben. Zudem müssen sich Drittdienstleister gegenüber der Bank identifizieren und dürfen nur auf die Daten zugreifen, die für ihren Dienst notwendig sind. Zahlungsauslösedienste Kauft ein Kunde im E-Commerce ein, so kann er für die Zahlungsabwicklung einen Dienstleister wie beispielsweise Paydirekt nutzen. Neu im Sinne der PSD2 ist, dass alle online verfügbaren Zahlungskonten ohne vorherige Freischaltung für Drittdienstleister erreichbar sind und dass Drittdienstleister im Namen des Kunden und mit dessen Zustimmung auf das Konto zugreifen können. Hierfür müssen sie sich identifizieren und können erst dann die Zahlung initiieren. Standardmäßig handelt es sich um Einzelüberweisungen, die in allen Währungen und weltweit getätigt werden können, sofern die jeweilige Bank dieses Angebot auch im Online Banking unterbreitet. Kontoinformationsdienste Kontoinformationsdienste sind in der Lage, im Namen des Kunden Kontoinformationen wie Umsätze, Salden und Vormerkposten abzurufen, sofern diese auch im Online Banking dem Kunden bereitgestellt werden. Auch hier gibt es bereits Anbieter am Markt, die sogenannte Kontoaggregationsdienste anbieten und Kontoinformationen bündeln. Dies ist insbesondere für Kunden interessant, die Konten bei mehreren Banken haben. Die Anwendungsszenarien können sehr vielfältig sein, da diese Informationen Rückschlüsse auf die Bonität, das Kaufverhalten und die Lebensumstände eines Kunden ermöglichen. Daraus ergeben sich – das Einverständnis des Kunden vorausgesetzt – neue Dienstleistungen, die dem Kunden angeboten werden können. Kartenausgebende Dienste Hierbei handelt es sich um Dienstleister, die an Kunden eigene Karten (meist Bonuskarten) mit einer Bezahlfunktion ausgeben. Vor Bezahlung mit dieser Karte kann eine Abfrage an die kontoführende Bank durchgeführt werden, ob der zu zahlende Betrag auf dem Konto verfügbar ist. Die Bank gibt daraufhin eine Jaoder Nein-Antwort zurück. Beträge werden nicht reserviert. Die Besonderheit ist hierbei, dass der Kunde diesen Dienst vorher bei seiner Bank freischalten lassen muss. Europäische Bankenaufsichtsbehörde definiert Details Die PSD2 regelt nicht die Details des Kontozugriffs. Dazu wurde die Europäische Bankenaufsichtsbehörde (EBA) ermächtigt, sogenannte „Technische Regulierungsstandards“ (Regulatory Technical Standards, RTS) für die sichere Kommunikation und die starke Kundenauthentifizierung zu definieren. Im Entwurf wurden diese Standards bereits Anfang 2017 veröffentlicht. Vorausgegangen war ein Konsultationsprozess mit über 200 Rückmeldungen. Die EBA musste einen Ausgleich divergierender Marktinteressen finden und schlug in Bezug auf den Kontozugang für Drittdienstleister einen Kompromiss vor, der Banken die Wahlfreiheit zwischen einer dedizierten Schnittstelle und einem Zugang zum heutigen Online Banking des Kunden ermöglicht. Die Deutsche Kreditwirtschaft begrüßte diese Regelung, da damit die hohen Sicherheitsstandards des Zahlungsverkehrs für Kunden wie 62 09 // 2017

REGULIERUNG Banken erhalten bleiben und die Basis für eine europaweit einheitliche Schnittstelle (auch API genannt, Application Programming Interface) geschaffen wird. Die Europäische Kommission hatte nach Übermittlung des Entwurfs durch die EBA drei Monate Zeit, diesen zu prüfen. Ihre Änderungsvorschläge teilte sie im Mai 2017 der EBA mit. Seitdem wird intensiv über die Themen Screen Scraping und Fallback-Lösung diskutiert. Screen Scraping Screen Scraping ist eine Technik zum Auslesen von Informationen aus Internetseiten. Im Bankenumfeld ist diese Technik umstritten, da sich ein Dienstleister im Namen des Kunden und mit dessen Zugangsdaten in das Online Banking einloggt. Die Bank kann nicht unterscheiden, ob es sich dabei um den Kunden selber oder um einen Dritten handelt. Zudem ist vielen Kunden nicht bewusst, dass für den Dienstleister alle Daten einsehbar sind, auf die der Kunde selbst zugreifen kann – seien es Kon- 09 // 2017 63