Gesetzliche Vorschriften treten in Kraft

Mit dem neuen Zahlungsdiensteaufsichtsgesetz (ZAG) wurde der aufsichtsrechtliche Teil der zweiten Zahlungsdiensterichtlinie (PSD2), in deutsches Recht umgesetzt. Sie dient der Regulierung von Zahlungsdiensten und -dienstleistern. In ihrer ersten Stufe erfolgte die Umsetzung bereits zum 13.01.2018 in nationales Recht. Aktuell steht die Umsetzung der zweiten Stufe bevor.

Ziele der PSD2

  • Verbraucherschutz stärken,
  • Wettbewerb im Zahlungsverkehr fördern,
  • Aufkommen neuer Marktteilnehmer und Dienste (z.B. FinTechs) und
  • der zunehmenden Digitalisierung der Finanzbranche Rechnung tragen.

 

Banken verlieren ihr Monopol auf Kontoinformationen

Die Banken verlieren ihr Monopol auf die Kontoinformationen ihrer Kunden. Als Konsequenz der Öffnung des Finanzmarktes in diesem Bereich sind kontoführende Kreditinstitute künftig dazu verpflichtet, eine Schnittstelle zu den Kontodaten ihrer Kunden zum Drittanbieter (Third-Party-Provider) zur Verfügung zu stellen (Access to Accounts).

Das bisherige Screen Scraping wird nun durch eine kontrollierbare Schnittstelle ersetzt und gibt den Banken gleichzeitig ein Stück Kontrolle zurück.

Banken sind nun auch berechtigt ebenfalls als Zahlungsauslösedienst, Kontoinformationsdienst oder Drittemittent aktiv zu werden. Hier können Banken neue Geschäftsmodelle entwickeln.

Des Weiteren werden die Verbraucherrechte gestärkt, indem eine geringere Haftung nicht autorisierter Zahlungen (Beweislast) und andere Maßnahmen wie z.B. beim Rückruf von Lastschriften verabschiedet wurden.

Zahlungsdienstleister unterstehen künftig der BaFin

Bisher nicht regulierte Drittanbieter werden nun als Zahlungsdienstleister erfasst und unterliegen dem Anwendungsbereich der Richtlinie, d.h. sie unterstehen nun der Aufsicht und Kontrolle der BaFin bzw. der jeweiligen nationalen Aufsichtsbehörde in den anderen EU-Ländern.

Für die Nutzung von Zahlungsauslösediensten, um Überweisungen im Onlinebanking zu initiieren oder Kontoinformationsdienste zur Abfrage und Auswertung von Kontodaten gelten mit in Kraft treten der PSD2 klare Regeln.

 

Zahlungsauslösedienst

Bei einem Einkauf im Internet muss sich der Verbraucher nicht extra in das Online-Banking seiner Bank einloggen, sondern kann die Überweisung über einen auf der Händlerseite angebotenen Zahlungsauslösedienst beauftragen.

Kontoinformationsdienst

Durch die Nutzung eines Kontoinformationsdienstes haben Verbraucher die Möglichkeit sich für alle Zahlungskonten, die Sie bei verschiedenen Banken haben, die Kontostände und Umsätze in aufbereiteter Form anzeigen zu lassen. Durch diesen Dienst soll der Nutzer einen Gesamtüberblick über seine finanzielle Situation zu einem bestimmten Zeitpunkt erhalten.

Dieser Service wird mitunter auch von Hausbanken angeboten: Nach Zustimmung des Kontoinhabers ist es möglich, Konten verschiedener Banken im Onlinebanking der Hausbank zusammenzufassen.

Zahlungskarten

Zahlungskarten sind Zahlungsmittel, die bargeldlose Zahlungen in Form der Plastikkarte ermöglichen. Hierbei kann es sich beispielsweise um Girokarten oder Kreditkarten handeln.  Das Bezahlen mit Kreditkarte im Internet wird sich nun auch verändern. Bisher reicht es oft aus, die Kartennummer, das Ablaufdatum und die Prüfziffer auf der Händlerwebseite einzugeben. Diese Daten stellen keine Elemente der Starken Kundenauthentifizierung dar. In Zukunft werden auch hier Lösungen wie im Online-Banking notwendig sein, zum Beispiel die Eingabe eines Passworts und einer TAN.

Der Zugang wird diesen Drittdienstleistern nur gewährt, wenn der Kontoinhaber dem explizit zustimmt. Aufgrund des Surcharge-Verbots dürfen keine Extra-Gebühren für Verbraucher bei Zahlungen mit Karten, Überweisungen oder Lastschriften erhoben werden.

Zahlungsdienstleister – Bitte zertifizieren.

Voraussetzung um Zahlungsdienstleister zu werden sind jedoch die qualifizierten Webzertifikate (Qualified Website Certificate – kurz QWAC). Diese dienen als Ausweis für Drittanbieter im Zahlungsverkehr. Hierbei wurde die Identität des Zahlungsanbieters und seine Rolle im Zahlungsverkehr geprüft.

Darüber hinaus kann vom kontoführenden Zahlungsdienstleister der Einsatz von sogenannten qualifizierten Siegeln (QSiegeln) verlangt werden. Diese dienen dazu, die Anfragen der Dienstleister rechtswirksam auf dem Applikationslevel zu siegeln und die signierten Daten vor Veränderungen zu schützen.

Die Bereitstellung der Echtzertifikate und Siegel nach PSD2-Vorgaben erfolgt durch die D-TRUST GmbH (qualifizierter Vertrauensdiensteanbieter der Bundesdruckerei).

Es gibt verschiedene Interface-Standards, die alternativ unterstützt werden können. Der API-Standard (Berlin Group Standard) hat europaweit eine große Akzeptanz. Darüber hinaus gibt es noch Standards, wie z.B. STET oder den Open Banking Europe Standard.

Der Handel könnte künftig weitere Zahlarten anbieten.

Aufgrund der Öffnung der Konto-Schnittstellen für Drittdienstleister werden neue Anbieter von innovativen (Online-) Bezahlmethoden ihre Produkte anbieten. Kunden könnte man dann als Händler beim Einkauf im Internet eine größere Auswahl an Zahlungsmethoden bereitstellen. Dies wiederum könnte zur einer verbesserten Conversion Rate und schließlich mehr Umsatz führen.

Die Verpflichtung der Zahlungsdienstleister bei Internetzahlungen die „Starke Kundenauthentifizierung“ durchzuführen, führt zu mehr Sicherheit gegenüber Betrugsversuchen.

Starke Kundenauthentifizierung: Sicherheit steigt, Komplexität steigt, Risiko umverteilt – alle sind betroffen.

Aktuell wird das Authentifizierungstool 3DS1 (3D Secure 1) von den Kartensystemen für die Verifizierung von Kartentransaktionen verwendet. Künftig werden mit SCA und 3DS2 dynamischere Datenpunkte zur Überprüfung der Benutzeridentitäten verwendet. 3DS2 wird ab dem Jahr 2020 weltweit eingeführt und 3DS1 läuft entsprechend aus.

Die Authentifizierung besteht dann aus mindestens zwei Elementen aus den Bereichen Wissen (z.B. Passwort), Besitz (Mobiltelefon, dessen Besitz über die TAN via SMS nachweisen) oder Inhärenz (persönlich/ körperliches Merkmal des Nutzers wie z.B. der Fingerabdruck). Die starke Kundenauthentifizierung wird notwendig, wenn

  • der Zahler einen elektronischen Zahlungsvorgang auslöst, indem er eine Kartenzahlung mit PIN an der Ladenkasse auslöst.
  • Fernzahlungsvorgang bei einer Zahlung per Kreditkarte im Internet oder Onlinebanking (z.B. Überweisung). Hier muss die Zahlung mit einer sogenannten dynamischen Verknüpfung in Bezug auf Empfänger und Betrag erweitert werden.

Kartenzahlungen (Kreditkarte oder Girocard) mit Unterschrift an der Ladenkasse lösen weiterhin keine starke Kundenauthentifizierung aus.

Die Frist ist abgelaufen – Stand der Dinge

Die derzeit von den Banken entwickelten PSD2-Schnittstellen entsprechen nicht vollumfänglich den gesetzlichen Anforderungen.  Zudem kann die gesetzlich geforderte dreimonatige Testphase bis zum 14.09.2019 nicht erreicht werden. Kreditinstitute müssen somit weiterhin die aktuell genutzten Zugangsschnittstellen für die Zahlungsdienstleister zur Verfügung stellen.

Auch die geforderte starke Kundenauthentifizierung für Zahlungsdienstleister mit Sitz in Deutschland wird zunächst verschoben. Kreditkartenzahlungen im Internet dürfen weiterhin auch ohne Starke Kundenauthentifizierung ausgeführt werden. Die BaFin verhindert damit Störungen bei Internet-Zahlungen und ermöglicht einen reibungslosen Übergang auf die neuen Anforderungen der Zweiten Zahlungsdiensterichtlinie (PSD2).

Diese Erleichterungen sind zeitlich befristet. Nach Konsultation mit den Marktteilnehmern, der EBA und den nationalen europäischen Aufsichtsbehörden, legt die BaFin fest wann diese auslaufen.

 

 

Ihr Ansprechpartner:

Vlora Bajrami, Senior Consultant Finanzdienstleistungen & Prozess Management
LionGate AG

Vlora.Bajrami@liongate.de

 

 

 

LIONGATE UPDATE