PSD2 Payment Services Directive 2

Transkript

1 PSD2 Payment Services Directive 2 Sollten Banken ihre Zahlungsverkehrsstrategien überdenken? White Paper der EXXETA AG

2 Inhalt Die Ziele der PSD2 4 Wo ist die PSD2 anzuwenden? 5 Dritte Zahlungsdienstleister (TPP) 7 Anforderungen und Vorschriften 7 Beantragung der Zulassung als TPP 8 Berufshaftpflichtversicherung 8 Anfangskapital 10 Eigenmittel 10 Sensible Zahlungsdaten 10 Informationen und Vertragsbedingungen 10 Vorschriften für den Zugang zum Zahlungskonto im Fall von Zahlungsauslösediensten 11 Vorschriften für den Zugang zu Zahlungskontoinformationen und deren Nutzung im 12 Fall von Kontoinformationsdiensten Anzeige und Korrektur nicht autorisierter oder fehlerhaft ausgeführter Zahlungsvorgänge 13 Unwiderruflichkeit eines Zahlungsauftrags 13 Sicherheit 13 Bedeutung der Vorschriften für den Zugang zum Zahlungskonto bzw. zu 14 Zahlungskontoinformationen Starke Kundenauthentifizierung 16 Anpassungen bei kartengebundenen Zahlungsinstrumenten 18 Blockieren von Geldbeträgen 18 Verbot von Aufschlägen 19 Verbesserter Verbraucherschutz 20 Strengere Regulierung von Zahlungen über Telekommunikationsanbieter 21 Strengere Definition der Ausnahmen bei begrenzten Netzen 22 Mandate für die EBA und weitere regulatorische Vorhaben 23 Vor- und Nachteile der PSD2 26 Handlungsfelder und strategische Optionen 27 Die Autoren 30

3 Abbildungsverzeichnis Abbildung 1: Erweiterte Zielsetzung der PSD2 4 Abbildung 2: Anforderungen und Vorschriften für PISP und AISP 8 Abbildung 3: Zulassungsanforderungen PISP und AISP 9 Abbildung 4: Übergang Zahlung via Karte im Online-Shop zur Zahlung via PISP 14 (schematische Darstellung) Abbildung 5: Übergang Kontoinformationen (heute) zu Kontoinformationen via AISP 15 (schematische Darstellung) Abbildung 6: Mandate für die EBA - Technische Regulierungsstandards in Folge der PSD2 24 Abbildung 7: Weitere regulatorische Vorhaben 25 Abbildung 8: Vor- und Nachteile aus Sicht der Interessengruppen 26 Abbildung 9: Architektonische Einordnung der Handlungsfelder 27 Abbildung 10: Handlungsfelder und Roadmap 28 Abbildung 11: Strategische Optionen 29

4 Die Ziele der PSD2 Sicherlich sind jedem die Auswirkungen der PSD (Payment Services Directive) auf den privaten Zahlungsverkehr begegnet. Neben geregelten Ausführungsfristen für Lastfristen und Überweisungen wurden unter anderem Zahlungsverkehrsformate EU-weit eingeführt, die für die Verbraucher den Abschied von bekannten Zahlungsverkehrsvordrucken hin zur SEPA-Überweisung einläuteten für die meisten offenkundig geworden durch die Ablösung von BLZ und Kontonummer durch BIC und IBAN. Die PSD2 ist am 13. Januar 2016 in Kraft getreten. Seit diesem Zeitpunkt haben die Mitgliedstaaten zwei Jahre Zeit, um die erforderlichen Anpassungen ihrer nationalen Rechtsvorschriften zur Anwendung der neuen Regeln vorzunehmen. Es ist davon auszugehen, dass die entsprechende gesetzliche Umsetzung der PSD2 in Deutschland im Januar 2018 erfolgen wird. Was bringt die PSD2? Vorstellung und Regulierung sog. dritter Zahlungsdienstleister (TPP) Zahlungsauslösedienstleister (Payment Services Providers PISP) Kontoinformationsdienstleister (Account Information Services Providers AISP) Starke Kundenauthentifizierung Anpassungen bei kartengebundenen Zahlungsinstrumenten Verbesserter Verbraucherschutz Einführung eines bedingungslosen Erstattungsrechts bei Lastschriften in Euro Bei Betrug: Hafungsbeschränkung auf 50 EUR bei nicht autorisierten Zahlungsvorgängen Verbesserter Verbraucherschutz Strengere Regulierung von Zahlungen über Telekommunikationsanbieter Strengere Definition der Ausnahmen bei begrenzten Netzen Mandate für die EBA 13. November 2007 Verabschiedung PSD PSD 1. November 2009 Umsetzung der PSD in nationales Recht Zielsetzung europaweit gleiche Regeln bessere Information zu Zahlungen schnellere Zahlungen mehr Verbraucherschutz größere Auswahl an Zahlungsdiensten Abbildung 1: Erweiterte Zielsetzung der PSD2 13. Januar 2016 Verabschiedung PSD2 PSD2 13. Januar 2018 Umsetzung der PSD2 in nationales Recht Zielsetzung Integration und Effizienzsteigerung im europäischen Zahlungsverkehrsmarkt Verbesserung der Wettbewerbsbedingungen für die Zahlungsdienstleister (einschließlich neuer Marktteilnehmer) Erhöhung von Sicherheit im Zahlungsverkehr Erhöhung des Verbraucherschutzes Reduzierung von Preisen im Zahlungsverkehr Technische Regulierungsstandards bis Januar 2018 sind Technische Regulierungsstandards (Regulatory Technical Standards RTS) zu erwarten 4

5 Wo ist die PSD2 anzuwenden? Die PSD2 gilt für Zahlungsdienste, die innerhalb der Europäischen Union erbracht werden. So sind nicht nur Privatkunden von ihr betroffen, sondern auch Firmenkunden. Die Titel III (TRANSPARENZ DER VER- TRAGSBEDINGUNGEN UND INFOR- MATIONSPFLICHTEN DER ZAHLUNGS- DIENSTE) und IV (RECHTE UND PFLICHTEN BEI DER ERBRINGUNG UND NUTZUNG VON ZAHLUNGS- DIENSTEN) gelten für Zahlungsvorgänge in der Währung eines Mitgliedstaats, wenn sowohl der Zahlungsdienstleister des Zahlers als auch der des Zahlungsempfängers oder falls nur ein einziger Zahlungsdienstleister an dem Zahlungsvorgang beteiligt ist dieser in der Europäischen Union ansässig ist. Neu ist, dass die Titel III und IV bis auf wenige Ausnahmen für die Bestandteile der Zahlungsvorgänge gelten, die in der Europäischen Union getätigt werden, in einer Währung, die keine Währung eines Mitgliedstaats ist, wenn sowohl der Zahlungsdienstleister des Zahlers als auch der des Zahlungsempfängers in der Europäischen Union ansässig sind oder falls nur ein einziger Zahlungsdienstleister an dem Zahlungsvorgang beteiligt ist dieser in der Europäischen Union ansässig ist. Sie gelten auch für Zahlungsvorgänge, bis auf wenige Ausnahmen, in allen Währungen, beispielsweise USD (US Dollar) und CHF (Schweizer Franken), bei denen lediglich einer der beteiligten Zahlungsdienstleister in der Europäischen Union ansässig ist, für die Bestandteile der Zahlungsvorgänge, die in der Europäischen Union getätigt werden. Die wenigen Ausnahmen sind: die Pflicht, Informationen zur maximalen Ausführungsfrist für den zu erbringenden Zahlungsdienst mitzuteilen oder zugänglich zu machen die Mitteilung von Bedingungen über Schutz- und Abhilfemaßnahmen zu Erstattungen und zum Verlangen der Erstattungen eines von einem oder über einen Zahlungsempfänger ausgelösten Zahlungsvorgangs die maximale Ausführungsfrist Entgeltregelungen, beispielswiese, dass Zahlungsempfänger und Zahler die von ihrem jeweiligen Zahlungsdienstleister erhobenen Entgelte tragen und, dass der Zahlungsempfänger keine Entgelte für die Nutzung von Zahlungsinstrumenten verlangt, für die mit Kapitel II der Verordnung (EU) Nr. 2015/751 Interbankenentgelte festgelegt geregelt werden (also Debitkarten und Kreditkarten von Verbrauchern), und für die Zahlungsdienstleistungen, auf die die Verordnung (EU) Nr. 260/2012 anwendbar ist (also auf Euro lautende Überweisungen und Lastschriften innerhalb der Europäischen Union) das Verlangen innerhalb von acht Wochen und die Erstattung eines von einem oder über einen Zahlungsempfänger 5

6 ausgelösten, autorisierten und bereits ausgeführten Zahlungsvorgangs unter bestimmten Bedingungen, bspw. fehlerhafter Betrag transferierte und eingegangene Beträge (Transfer des Betrags in voller Höhe ohne Abzug eines Entgeltes) die Frist bei Zahlungsvorgängen mit Übertragung auf ein Zahlungskonto (E+1) und taggleiche Wertstellung auf ein Empfängerkonto nach Eingang auf dem Zahlungskonto des Zahlungsdienstleisters die Haftung der Zahlungsdienstleister für nicht erfolgte, fehlerhafte oder verspätete Ausführung von Zahlungsvorgängen und Regressanspruch Hieraus kann gefolgert werden, dass die mit der PSD2 festgelegten Verbraucherschutzbedingungen bei One-Leg-Transaktionen nicht zur Anwendung kommen. 6

7 Dritte Zahlungsdienstleister (TPP) Seit der Verabschiedung der PSD im Jahr 2007 sind neue Zahlungsdienste entstanden vor allem im Bereich der Internetzahlungen und insbesondere im Bereich des elektronischen Geschäftsverkehrs. So genannte Zahlungsauslösedienste schlagen eine Brücke zwischen der Webseite des Händlers und der Plattform des kontoführenden Zahlungsdienstleisters des Zahlers und lösen auf Überweisungen gestützte Zahlungen über das Internet aus. Die daneben entstandenen Kontoinformationsdienste konsolidieren Kontoinformationen eines Verbrauchers und ermöglichen diesem eine zentrale Sicht auf seine Bankkonten und somit über seine finanzielle Situation zu einem bestimmten Zeitpunkt. Diese Dienste sind nun von der PSD2 erfasst, um Verbrauchern adäquaten Schutz ihrer Zahlungs- und Kontendaten zu verschaffen sowie Rechtssicherheit bezüglich deren Status zu geben, den Verbraucherschutz zu stärken, und auf Fragen nach Sicherheit, Haftung und Wettbewerb einzugehen. Gemäß PSD2 ist ein: Zahlungsauslösedienst ein Dienst, der auf Antrag des Zahlungsdienstnutzers einen Zahlungsauftrag in Bezug auf ein bei einem anderen Zahlungsdienstleister geführtes Zahlungskonto auslöst und ein Zahlungsauslösedienstleister ein Zahlungsdienstleister, der gewerbliche Tätigkeiten als Zahlungsauslösedienst ausübt. Ein Zahler hat das Recht, einen Zahlungsauslösedienst zu nutzen jedoch nicht, wenn kein Online-Zugang zum Zahlungskonto besteht. Gemäß PSD2 ist ein: Kontoinformationsdienst ein Online- Dienst zur Mitteilung konsolidierter Informationen über ein Zahlungskonto oder mehrere Zahlungskonten, das/die ein Zahlungsdienstnutzer entweder bei einem anderen Zahlungsdienstleister oder bei mehr als einem Zahlungsdienstleister hält und ein Kontoinformationsdienstleister ein Zahlungsdienstleister, der gewerbliche Tätigkeiten als Kontoinformationsdienst ausübt. Zahlungsauslösedienstleister und Kontoinformationsdienstleister werden mit der PSD2 reguliert und erhalten EU-weiten Zugang zum Zahlungsverkehrsmarkt. Anforderungen und Vorschriften Die PSD2 stellt an Kontoinformationsund Zahlungsauslösedienstleister verschiedene Anforderungen und Vorschriften, die mit Umsetzung der PSD2 in nationales Recht verpflichtend werden. 7

8 PISP Zulassung durch Aufsichtsbehörde erforderlich Berufshaftpflichtversicherung oder eine andere gleichwertige, die Haftung abdeckende Garantie erforderlich Anfangskapital: darf zu keinem Zeitpunkt weniger als EUR betragen von der Erfüllung der Eigenmittelanforderungen ausgenommen für die Tätigkeiten von PISPs stellen der Name des Kontoinhabers und die Kontonummer keine sensiblen Zahlungsdaten dar Vorschriften für den Zugang zum Zahlungskonto Zugang zu Konto kann unter bestimmen Bedingungen verweigert werden darf zu keiner Zeit Geldbeträge des Zahlers im Zusammenhang mit der Bereitstellung des Zahlungsauslösedienstes halten Unwiderruflichkeit eines Zahlungsauftrags und weitere AISP Eintragung in das Register für die Erbringung von Kontoinformationsdiensten erforderlich Berufshaftpflichtversicherung oder eine andere gleichwertige, die Haftung abdeckende Garantie erforderlich Anfangskapital: aufsichtsrechtlich kein Anfangskapital erforderlich von der Erfüllung der Eigenmittelanforderungen ausgenommen für die Tätigkeiten von Kontoinformationsdienstleistern stellen der Name des Kontoinhabers und die Kontonummer keine sensiblen Zahlungsdaten dar Vorschriften für den Zugang zu Zahlungskontoinformationen und deren Nutzung Zugang zu Konto kann unter bestimmen Bedingungen verweigert werden und weitere Abbildung 2: Anforderungen und Vorschriften für PISP und AISP Beantragung der Zulassung als TPP Die Anforderungen für die Zulassung als Zahlungsauslösedienstleister bzw. für die Registrierung als Kontoinformationsdienstleister sind im Artikel 5 der PSD2 festgehalten. Dabei gelten für Kontoinformationsdienstleister diverse Ausnahmen, die in Artikel 33 definiert sind. Berufshaftpflichtversicherung Für Unternehmen, die eine Zulassung für die Erbringung von Zahlungsauslösediensten beantragen, ist Voraussetzung für ihre Zulassung, dass sie über eine Berufshaftpflichtversicherung für die Gebiete, in denen sie ihre Dienste anbieten, oder eine andere gleichwertige, die Haftung abdeckende Garantie verfügen, um sicherzustellen, dass sie ihre Haftungsverpflichtungen gemäß den Artikeln 73, 89 und 92 der PSD2 erfüllen können. Für Unternehmen, die eine Eintragung in das Register für die Erbringung von Kontoinformationsdiensten beantragen, ist Voraussetzung für ihre Eintragung, dass sie eine Berufshaftpflichtversicherung für die Gebiete, in denen sie ihre Dienste anbieten, oder eine andere gleichwertige Garantie abgeschlossen haben, die ihre Haftung gegenüber dem kontoführenden Zahlungsdienstleister oder dem Zahlungsdienstnutzer für einen nicht autorisierten oder betrügerischen Zugang zu Zahlungskontoinformationen oder deren nicht autorisierte oder betrügerische Nutzung abdeckt. Spätestens ein Jahr nach Inkrafttreten der PSD2 hat die EBA die Leitlinien für 8

9 die Kriterien herauszugeben, anhand deren die Mindestdeckungssumme der Berufshaftpflichtversicherung oder einer anderen gleichwertigen Garantie festzulegen sind. Diese Leitlinien werden spätestens für den Januar 2017 erwartet. Fazit: Betreffende Unternehmen müssen eine Berufshaftpflichtversicherung oder eine gleichwertige Garantie nachweisen, die die Risiken ihrer regulierten Dienste abdeckt. Allerdings ist noch nicht klar, nach welchen Kriterien der erforderliche Umfang zu ermitteln ist. Diese Kriterien sind von der EBA noch vorzulegen. Hervorzuheben ist der Unterschied von der Zulassung bei Zahlungsauslösediensten und der Registrierung bei Kontoinformationsdiensten. PISP AISP Zahlungsinstitute (auch PISP und AISP) Zulassung durch Aufsichtsbehörde erforderlich Berufshaftpflichtversicherung oder eine andere gleichwertige, die Haftung abdeckende Garantie erforderlich, so Haftungsverpflichtungen gemäß den Artikeln 73, 89, 90 und 92 erfüllt werden können Anfangskapital: darf zu keinem Zeitpunkt weniger als EUR betragen von der Erfüllung der Eigenmittelanforderungen ausgenommen Erbringt ein Zahlungsinstitut einen der in Anhang I Nummern 1 bis 7 genannten Zahlungsdienste (somit auch Zahlungsauslösedienste), und übt es zugleich andere Geschäftstätigkeiten aus, so können die zuständigen Behörden vorschreiben, dass ein eigenes Unternehmen für das Zahlungsdienstgeschäft geschaffen werden muss, wenn die Nicht-Zahlungsdienstgeschäfte des Zahlungsinstituts entweder die finanzielle Solidität des Zahlungsinstituts oder die Möglichkeit der zuständigen Behörden, zu überprüfen, ob das Zahlungsinstitut sämtlichen Anforderungen dieser Richtlinie genügt, beeinträchtigen oder beeinträchtigen könnten. Eintragung in das Register für die Erbringung von Kontoinformationsdiensten erforderlich Berufshaftpflichtversicherung oder eine andere gleichwertige, die Haftung abdeckende Garantie erforderlich, die ihre Haftung gegenüber dem kontoführenden Zahlungsdienstleister oder dem Zahlungsdienstnutzer für einen nicht autorisierten oder betrügerischen Zugang zu Zahlungskontoinformationen oder deren nicht autorisierte oder betrügerische Nutzung abdeckt Anfangskapital: aufsichtsrechtlich kein Anfangskapital erforderlich von der Erfüllung der Eigenmittelanforderungen ausgenommen Art. 33 (1) Natürliche oder juristische Personen, die ausschließlich den in Anhang I Nummer 8 genannten Zahlungsdienst erbringen (Kontoinformationsdienste), sind von der Anwendung des Verfahrens und der Bedingungen nach den Abschnitten 1 und 2 mit Ausnahme des Artikels 5 Absatz 1 Buchstaben a, b, e bis h, j, l, n, p und q und Absatz 3 sowie der Artikel 14 (Eintragung im Herkunftsmitgliedstaat) und 15 (Register der EBA ) ausgenommen. Abschnitt 3 findet mit Ausnahme des Artikels 23 Absatz 3 Anwendung. (2) Die Personen nach Absatz 1 des vorliegenden Artikels werden wie Zahlungsinstitute behandelt; Titel III und IV gelten jedoch mit Ausnahme der Artikel 41, 45 und 52 sowie soweit anwendbar der Artikel 67, 69 und 95 bis 98 nicht für sie. Die Zulassung als Zahlungsinstitut ist bei den zuständigen Behörden des Herkunftsmitgliedstaats zu beantragen; dem Antrag ist u.a. Folgendes beizufügen (Details siehe Art. 5 PSD2): das Geschäftsmodell, aus dem insbesondere die Art der beabsichtigten Zahlungsdienste hervorgeht; der Geschäftsplan mit einer Budgetplanung für die ersten drei Geschäftsjahre; Anfangskapitalnachweis eine Beschreibung der Unternehmenssteuerung und der internen Kontrollmechanismen des Antragstellers; der vorhandenen Verfahren für Überwachung, Handhabung und Folgemaßnahmen bei Sicherheitsvorfällen und sicherheitsbezogenen Kundenbeschwerden, der vorhandenen Verfahren für die Erfassung, Überwachung, Rückverfolgung sowie Beschränkung des Zugangs zu sensiblen Zahlungsdaten; der Regelungen zur Geschäftsfortführung im Krisenfall, der Grundsätze und Definitionen für die Erfassung statistischer Daten über Leistungsfähigkeit, Geschäftsvorgänge und Betrugsfälle; ein Dokument zur Sicherheitsstrategie eine Beschreibung von Sicherheitskontrollund Risikominderungsmaßnahmen und weiteres Abbildung 3: Zulassungsanforderungen PISP und AISP 9

10 Anfangskapital Zahlungsauslösedienste: das Kapital eines Zahlungsinstituts, welches nur Zahlungsauslösedienste erbringt, darf zu keinem Zeitpunkt weniger als EUR betragen. Kontoinformationsdienste: aufsichtsrechtlich kein Anfangskapital erforderlich. Bei anderen Zahlungsdiensten (mit Ausnahme des Finanztransfergeschäfts) darf das Kapital EUR nicht unterschreiten. Das Finanztransfergeschäft ist gekennzeichnet durch die Übermittlung von Geldbeträgen ohne kontenmäßige Beziehung zwischen Zahlungsdienstleister und Zahlungsdienstnutzer. Eigenmittel Zahlungsauslöse- und Kontoinformationsdienstleister sind von der laufenden Erfüllung der Eigenmittelanforderungen ausgenommen. Sensible Zahlungsdaten Sensible Zahlungsdaten sind Daten, einschließlich personalisierter Sicherheitsmerkmale, die für betrügerische Handlungen verwendet werden können. Für die Tätigkeiten von Zahlungsauslösedienstleistern und Kontoinformationsdienstleistern stellen der Name des Kontoinhabers und die Kontonummer keine sensiblen Zahlungsdaten dar. Informationen und Vertragsbedingungen Zahlungsauslösedienstleister müssen dem Zahler vor der Auslösung die folgenden Informationen mitteilen oder zugänglich machen: a) den Namen des Zahlungsauslösedienstleisters, die Anschrift seiner Hauptverwaltung und gegebenenfalls die Anschrift seines Agenten oder seiner Zweigniederlassung in dem Mitgliedstaat, in dem der Zahlungsdienst angeboten wird, sowie alle anderen Kontaktdaten einschließlich der -Adresse, die für die Kommunikation mit dem Zahlungsauslösedienstleister von Belang sind, und b) die Kontaktdaten der zuständigen Behörde. Unmittelbar nach der Auslösung teilt der Zahlungsauslösedienstleister dem Zahler und gegebenenfalls dem Zahlungsempfänger alle nachstehenden Daten mit oder macht sie ihnen zugänglich: a) eine Bestätigung der erfolgreichen Auslösung des Zahlungsauftrags beim kontoführenden Zahlungsdienstleister des Zahlers; b) eine Referenz, die dem Zahler und dem Zahlungsempfänger die Identifizierung des Zahlungsvorgangs und dem Zahlungsempfänger gegebenenfalls die Identifizierung des Zahlers ermöglicht, sowie jede weitere mit dem Zahlungsvorgang übermittelte Angabe; 10

11 c) den Betrag des Zahlungsvorgangs; d) gegebenenfalls die Höhe aller an den Zahlungsauslösedienstleister für den Zahlungsvorgang zu entrichtenden Entgelte sowie gegebenenfalls eine Aufschlüsselung der Beträge dieser Entgelte. Des Weiteren hat der Zahlungsauslösedienstleister dem kontoführenden Zahlungsdienstleister des Zahlers die Referenz des Zahlungsvorgangs zugänglich zu machen. Vorschriften für den Zugang zum Zahlungskonto im Fall von Zahlungsauslösediensten Der Zahlungsauslösedienstleister: a) darf zu keiner Zeit Geldbeträge des Zahlers im Zusammenhang mit der Bereitstellung des Zahlungsauslösedienstes halten; b) muss sicherstellen, dass die personalisierten Sicherheitsmerkmale des Zahlungsdienstnutzers keiner anderen Partei als dem Nutzer und dem Emittenten der personalisierten Sicherheitsmerkmale zugänglich sind und dass sie vom Zahlungsauslösedienstleister über sichere und effiziente Kanäle übermittelt werden; c) muss sicherstellen, dass alle anderen Informationen über den Zahlungsdienstnutzer, die er bei der Bereitstellung von Zahlungsauslösediensten erlangt hat, nur dem Zahlungsempfänger und nur mit ausdrücklicher Zustimmung des Zahlungsdienstnutzers mitgeteilt werden; d) muss sich gegenüber dem kontoführenden Zahlungsdienstleister des Zahlers jedes Mal, wenn eine Zahlung ausgelöst wird, identifizieren und mit dem kontoführenden Zahlungsdienstleister, dem Zahler und dem Zahlungsempfänger auf sichere Weise kommunizieren; e) darf keine sensiblen Zahlungsdaten des Zahlungsdienstnutzers speichern; f) darf vom Zahlungsdienstnutzer keine anderen als die für das Erbringen des Zahlungsauslösedienstes erforderlichen Daten verlangen; g) darf Daten nicht für andere Zwecke als für das Erbringen des vom Zahler ausdrücklich geforderten Zahlungsauslösedienstes verwenden, darauf zugreifen und speichern; h) darf den Betrag, den Zahlungsempfänger oder ein anderes Merkmal des Zahlungsvorgangs nicht ändern. Der kontoführende Zahlungsdienstleister muss: a) mit Zahlungsauslösedienstleistern auf sichere Weise kommunizieren; b) unmittelbar nach Eingang des Zahlungsauftrags von einem Zahlungsauslösedienstleister diesem alle Informationen über die Auslösung des Zahlungsvor- 11

12 gangs und alle ihm selbst zugänglichen Informationen hinsichtlich der Ausführung des Zahlungsvorgangs mitteilen oder zugänglich machen; c) Zahlungsaufträge, die über die Dienste eines Zahlungsauslösedienstleisters übermittelt werden, insbesondere in Bezug auf zeitliche Abwicklung, Prioritäten oder Entgelte, in derselben Weise behandeln wie Zahlungsaufträge, die der Zahler direkt übermittelt hat, es sei denn, es liegen objektive Gründe für eine Andersbehandlung vor. Das Erbringen von Zahlungsauslösediensten ist nicht vom Bestehen einer vertraglichen Beziehung zu diesem Zweck zwischen den Zahlungsauslösedienstleistern und den kontoführenden Zahlungsdienstleistern abhängig. Hier sollten Zahlungsinstitute ihrerseits prüfen, wie sie damit umgehen wollen, ob die Dienstnutzung auch so vom Kunden autorisiert ist. Vorschriften für den Zugang zu Zahlungskontoinformationen und deren Nutzung im Fall von Kontoinformationsdiensten Der Kontoinformationsdienstleister: a) darf die Dienstleistungen nur mit der ausdrücklichen Zustimmung des Zahlungsdienstnutzers erbringen; b) muss sicherstellen, dass die personalisierten Sicherheitsmerkmale des Zahlungsdienstnutzers keiner anderen Partei als dem Nutzer und dem Emittenten der personalisierten Sicherheitsmerkmale zugänglich sind und dass die Übermittlung durch den Kontoinformationsdienstleister über sichere und effiziente Kanäle erfolgt; c) muss sich gegenüber dem (den) kontoführenden Zahlungsdienstleister(n) des Zahlungsdienstnutzers bei jedem Kommunikationsvorgang identifizieren und mit dem (den) kontoführenden Zahlungsdienstleister(n) und dem Zahlungsdienstnutzer auf sichere Weise kommunizieren; d) darf nur auf Informationen von bezeichneten Zahlungskonten und damit in Zusammenhang stehenden Zahlungsvorgängen zugreifen; e) darf keine sensiblen Zahlungsdaten anfordern, die mit den Zahlungskonten in Zusammenhang stehen; f) darf im Einklang mit den Datenschutzvorschriften Daten nicht für andere Zwecke als für den vom Zahlungsdienstnutzer ausdrücklich geforderten Kontoinformationsdienst verwenden, darauf zugreifen oder speichern. Der kontoführende Zahlungsdienstleister muss in Bezug auf Zahlungskonten: a) mit den Zahlungsauslösedienstleistern auf sichere Weise kommunizieren und b) Datenanfragen, die über die Dienste eines Kontoinformationsdienstleisters 12

13 übermittelt werden, ohne Diskriminierung behandeln, es sei denn, es liegen objektive Gründe für eine Andersbehandlung vor. Das Erbringen von Kontoinformationsdiensten ist nicht vom Bestehen einer vertraglichen Beziehung zu diesem Zweck zwischen den Kontoinformationsdienstleistern und den kontoführenden Zahlungsdienstleistern abhängig. Auch hier sollten Zahlungsinstitute prüfen, wie sie damit umgehen wollen, ob die Dienstnutzung auch so vom Kunden autorisiert ist. Anzeige und Korrektur nicht autorisierter oder fehlerhaft ausgeführter Zahlungsvorgänge Der Zahlungsdienstnutzer kann eine Korrektur eines nicht autorisierten oder fehlerhaft ausgeführten Zahlungsvorgangs durch den Zahlungsdienstleister bis spätestens 13 Monate nach dem Tag der Belastung erwirken. Ist ein Zahlungsauslösedienstleister beteiligt, erwirkt der Zahlungsdienstnutzer eine Korrektur von dem kontoführenden Zahlungsdienstleister. Dies bedeutet, der kontoführende Zahlungsdienstleister erstattet unverzüglich, auf jeden Fall spätestens bis zum Ende des folgenden Geschäftstags den Betrag des nicht autorisierten Zahlungsvorgangs und bringt das belastete Zahlungskonto gegebenenfalls wieder auf den Stand, auf dem es sich ohne den nicht autorisierten Zahlungsvorgang befunden hätte es sei denn, der Zahlungsdienstleister des Zahlers hat berechtigte Gründe für den Verdacht, dass Betrug vorliegt, und teilt der zuständigen nationalen Behörde diese Gründe schriftlich mit. Unwiderruflichkeit eines Zahlungsauftrags Wurde der Zahlungsvorgang von einem Zahlungsauslösedienstleister oder vom Zahlungsempfänger oder über diesen ausgelöst, darf der Zahler den Zahlungsauftrag nicht mehr widerrufen, nachdem er dem Zahlungsauslösedienstleister die Zustimmung zur Auslösung des Zahlungsvorgangs erteilt oder dem Zahlungsempfänger die Zustimmung zur Ausführung des Zahlungsauftrags erteilt hat. Dies bedeutet, wurde die Zahlung ausgelöst und der Zahlungsempfänger hierüber informiert, muss er sich darauf verlassen können, dass der Zahlungsauftrag nicht widerrufen wird, da er ja selbst die Ware infolge der Zahlungsinformation versendet. Sicherheit Die personalisierten Sicherheitsmerkmale, die für die sichere Kundenauthentifizierung durch den Zahlungsdienstnutzer oder durch den Zahlungsauslösedienstleister verwendet werden, sind in der Regel diejenigen, die vom kontoführenden Zahlungsdienstleister zur Verfügung gestellt werden. Notwendigerweise treten Zahlungsauslösedienstleister nicht in ein Vertragsverhältnis mit den kontoführenden Zahlungsdienstleistern ein. Daher sollte der kontoführende Zahlungsdienstleister es ihnen ermöglichen, sich auf die 13

14 Authentifizierungsverfahren des kontoführenden Zahlungsdienstleisters zur Auslösung einer bestimmten Zahlung im Namen des Zahlers zu verlassen. Ein kontoführender Zahlungsdienstleister kann einem Kontoinformationsdienstleister oder einem Zahlungsauslösedienstleister den Zugang zu einem Zahlungskonto verweigern, wenn objektive und gebührend nachgewiesene Gründe im Zusammenhang mit einem nicht autorisierten oder betrügerischen Zugang des Kontoinformationsdienstleisters oder des Zahlungsauslösedienstleisters zum Zahlungskonto, einschließlich der nicht autorisierten oder betrügerischen Auslösung eines Zahlungsvorgangs, es rechtfertigen. Dabei wird sich die Zahlungsverkehrslandschaft in Bezug auf elektronische Zahlungen verändern. Derzeit werden Kartenzahlungen im Internet, vereinfacht dargestellt, wie unten abgewickelt. Soll eine Zahlung über einen Zahlungsauslösedienstleister erfolgen, dann kann dies zukünftig wie unten schematisch dargestellt aussehen. Zahlung via Karte im Online-Shop (heute) Kunde Händler Hausbank Händler Kunde Zahlung via PISP (morgen) Händler Hausbank Händler Bedeutung der Vorschriften für den Zugang zum Zahlungskonto bzw. zu Zahlungskontoinformationen Die wesentliche Auswirkung dieser Vorschriften ist, dass sich neben den klassischen Methoden neue Verfahren gewollt etablieren, die heute bereits teilweise existieren und eingesetzt werden. Nun werden die neuen Verfahren reguliert und definiert, welche Anforderungen zu erfüllen sind und welche Bedingungen an die Dienstleistung und Dienstleister gestellt werden. Kundenbank Karteninformationen, Validierung, Zahlungsinformationen Acquiring Bank Geldfluss Kundenbank Abbildung 4: Übergang von Zahlung via Karte im Online-Shop zur Zahlung via PISP (schematische Darstellung) API Geldfluss Dritter Zahlungsdienstleister Autorisierung, Auslösung, Informationen 14

15 Hinsichtlich der vom Kunden gewünschten Kontoinformationen zeichnet sich ein ähnliches Bild. Heute ist es mehr oder weniger erforderlich, dass ein Kunde verschiedene Anwendungen benötigt, um alle seine Konten abzufragen. Im Ergebnis erhält er so keine einheitliche und konsolidierte Sicht. Zukünftig können Kontoinformationsdienste eine solche konsolidierte Sicht über alle Konten mit einer Anwendung bieten. Kontoinformationen (heute) Kontoinformationen via AISP (morgen) Bank 1 Bank 2 AISP Bank 1 Bank 2 Bank 3 API Bank 1 API Bank 2 Kunde Kunde API Bank 3 Bank 3 Authentifizierung Kontostand, Authentifizierung Kontostand, Zahlungsvorgänge Abbildung 5: Übergang von Kontoinformationen heute zu Kontoinformationen via AISP (schematische Darstellung) 15

16 Starke Kundenauthentifizierung Die starke Kundenauthentifizierung ist eine Authentifizierung unter Heranziehung von mindestens zwei Elementen der Kategorien Wissen (etwas, das nur der Nutzer weiß), z. B. ein statisches Passwort, ein Code, eine persönliche Identifikationsnummer, Besitz (etwas, das nur der Nutzer besitzt), z. B. ein Token, eine Smartcard, ein Mobiltelefon, oder Inhärenz (etwas, das der Nutzer ist), z. B. ein biometrisches Charakteristikum, etwa ein Fingerabdruck, die insofern voneinander unabhängig sind, als die Nichterfüllung eines Kriteriums die Zuverlässigkeit der anderen nicht in Frage stellt, und die so konzipiert ist, dass die Vertraulichkeit der Authentifizierungsdaten geschützt ist. Die Authentifizierung wiederum ist ein Verfahren, mit dessen Hilfe der Zahlungsdienstleister die Identität eines Zahlungsdienstnutzers oder die berechtigte Verwendung eines bestimmten Zahlungsinstruments, einschließlich der Verwendung der personalisierten Sicherheitsmerkmale des Nutzers, überprüfen kann. Die PSD2 schreibt für verschiedene Anwendungsfälle eine starke Kundenauthentifizierung vor: a) wenn der Zahler online auf sein Zahlungskonto zugreift, einen elektronischen Zahlungsvorgang auslöst oder über einen Fernzugang eine Handlung vornimmt, die das Risiko eines Betrugs im Zahlungsverkehr oder anderen Missbrauchs birgt b) wenn Zahlungen über einen Zahlungsauslösedienstleister (PISP) ausgelöst werden (elektronische Fernzahlungsvorgänge); hier ist zu beachten, dass die Authentifizierung dann Elemente umfassen muss, die den Zahlungsvorgang dynamisch mit einem bestimmten Betrag und einem bestimmten Zahlungsempfänger verknüpfen c) wenn Informationen über einen Kontoinformationsdienstleister (AISP) angefordert werden Zudem müssen die Zahlungsdienstleister über angemessene Sicherheitsvorkehrungen verfügen, um die Vertraulichkeit und die Integrität der personalisierten Sicherheitsmerkmale der Zahlungsdienstnutzer zu schützen. Im Fall der Einleitung elektronischer Fernzahlungsvorgänge (beispielweise Kartenzahlung im Internet) muss die starke Kundenauthentifizierung Elemente umfassen, die den Zahlungsvorgang dynamisch mit einem bestimmten Betrag und einem bestimmten Zahlungsempfänger verknüpfen. Die kontoführenden Zahlungsdienstleister müssen dem Zahlungsauslösedienstleister und dem Kontoinformationsdienstleister gestatten, sich auf die Authentifizierungsverfahren zu stützen, die er dem Zahlungsdienstnutzer bereitstellt. 16

17 Die erforderlichen Technischen Regulierungsstandards (RTS - Regulatory Technical Standards) für die Authentifizierung und die Kommunikation sind von der EBA auszuarbeiten. Diese sollen die Erfordernisse des Verfahrens zur starken Kundenauthentifizierung und deren Ausnahmen von der Anwendung, sowie die Anforderungen an Sicherheitsmaßnahmen, gemeinsame und sichere offene Standards für die Kommunikation zwischen kontoführenden Zahlungsdienstleistern, Zahlungsauslösedienstleistern, Kontoinformationsdienstleistern, Zahlern, Zahlungsempfängern und anderen Zahlungsdienstleistern zum Zwecke der Identifizierung, der Authentifizierung, der Meldung und der Weitergabe von Informationen und der Anwendung von Sicherheitsmaßnahmen präzisieren. Die EBA hat der Kommission die Entwürfe Technischer Regulierungsstandards zur starken Kundenauthentifizierung und Kommunikation bis zum 13. Januar 2017 zu übermitteln. Der Kommission wurde die Befugnis übertragen, die Technischen Regulierungsstandards zu erlassen. Danach verbleiben 18 Monate für deren Umsetzung. 17

18 Anpassungen bei kartengebundenen Zahlungsinstrumenten Neu in der PSD2 ist die Bestätigung der Verfügbarkeit eines Geldbetrags im Zusammenhang mit der Autorisierung von Zahlungsvorgängen. Ihr zufolge hat ein kontoführender Zahlungsdienstleister auf Ersuchen eines Zahlungsdienstleisters, der kartengebundene Zahlungsinstrumente ausgibt, unverzüglich zu bestätigen, ob ein für die Ausführung eines kartengebundenen Zahlungsvorgangs erforderlicher Betrag auf dem Zahlungskonto des Zahlers verfügbar ist. Hierzu muss das Zahlungskonto des Zahlers zum Zeitpunkt des Ersuchens online zugänglich sein und der Zahler hat dem kontoführenden Zahlungsdienstleister seine ausdrückliche Zustimmung erteilt, dem Ersuchen eines bestimmten Zahlungsdienstleisters um Bestätigung der Verfügbarkeit des Betrags auf dem Zahlungskonto des Zahlers nachzukommen. Dabei muss diese Zustimmung erteilt worden sein, bevor das erste Ersuchen um Bestätigung ergeht. Der Zahlungsdienstleister seinerseits kann erst um die Bestätigung ersuchen, wenn weitere Voraussetzungen erfüllt sind, wie unter anderem die Authentifizierung gegenüber dem kontoführenden Zahlungsdienstleister vor jedem einzelnen Ersuchen um Bestätigung. Die Bestätigung der Verfügbarkeit eines Geldbetrags besteht ausschließlich aus Ja oder Nein, nicht jedoch in der Mitteilung des Kontostands. Diese Antwort darf nicht gespeichert oder für andere Zwecke als für die Ausführung des kartengebundenen Zahlungsvorgangs verwendet werden. Weiterhin gestattet die Bestätigung dem kontoführenden Zahlungsdienstleister nicht, einen Geldbetrag auf dem Zahlungskonto des Zahlers zu blockieren. Das Vorgenannte gilt nicht für Zahlungsvorgänge, die durch kartengebundene Zahlungsinstrumente ausgelöst wurden, auf denen E-Geld im Sinne der Richtlinie 2009/110/EG gespeichert ist. Blockieren von Geldbeträgen Wird ein Zahlungsvorgang im Zusammenhang mit einem kartengebundenen Zahlungsvorgang von dem oder über den Zahlungsempfänger ausgelöst, und ist dabei der genaue Betrag zu dem Zeitpunkt, zu dem der Zahler seine Zustimmung zur Ausführung des Zahlungsvorgangs erteilt, nicht bekannt, so darf der Zahlungsdienstleister des Zahlers einen Geldbetrag auf dem Zahlungskonto des Zahlers nur blockieren, wenn der Zahler der genauen Höhe des zu blockierenden Geldbetrags zugestimmt hat. Der Zahlungsdienstleister des Zahlers gibt den Geldbetrag, der auf dem Zahlungskonto des Zahlers blockiert ist, unverzüglich nach Eingang der Information über den genauen Betrag des Zahlungsvorgangs, spätestens jedoch unverzüglich nach Eingang des Zahlungsauftrags frei. 18

19 Verbot von Aufschlägen Zahlungsempfängern wird untersagt, für die Nutzung von Zahlungsinstrumenten Entgelte zu verlangen, für die mit Kapitel II der Verordnung (EU) Nr. 2015/751 Interbankenentgelte festgelegt geregelt werden, also Verbraucher-Debit- und Kreditkarten, und für die Zahlungsdienstleistungen, auf die die Verordnung (EU) Nr. 260/2012 anwendbar ist, also auf Euro lautende Überweisungen und Lastschriften innerhalb der Europäischen Union. 19

20 Verbesserter Verbraucherschutz Die PSD2 legt fest: Einführung eines bedingungslosen Erstattungsrechts wie für Lastschriften in Euro Bei Betrug: Haftungsbeschränkung auf 50 EUR bei nicht autorisierten Zahlungsvorgängen Verbesserter Verbraucherschutz für Zahlungen außerhalb der EU oder in Nicht-EU-Währungen Um den Verbraucherschutz weiter zu verbessern und die Rechtssicherheit zu fördern, bietet die PSD2 die Rechtsgrundlage für einen bedingungslosen Anspruch auf Erstattung innerhalb von acht Wochen bei autorisierten Zahlungsvorgängen, wie er bereits für die SEPA-Lastschrift existiert (Lastschriften in Euro). Dies bedeutet, der Zahler kann eine Erstattung auch im Falle eines strittigen Zahlungsvorgangs anfordern. Der Betrag ist auf dem Zahlungskonto des Zahlers spätestens zum Datum der Belastung des Kontos wertgestellt. Haftung des Zahlers für nicht autorisierte Zahlungsvorgänge (Reduzierung der Haftung von Verbrauchern von 150 EUR auf künftig nur noch 50 EUR): Verlangt der Zahlungsdienstleister des Zahlers keine starke Kundenauthentifizierung, so trägt der Zahler einen finanziellen Verlust nur, wenn der Zahler in betrügerischer Absicht gehandelt hat. Akzeptiert der Zahlungsempfänger oder der Zahlungsdienstleister des Zahlungsempfängers eine starke Kundenauthentifizierung nicht, muss er dem Zahlungsdienstleister des Zahlers den finanziellen Schaden ersetzen. Einrichtung eines Kunden-Beschwerde-Verfahrens: Es ist ein Beschwerdeverfahren für die Abhilfe bei Beschwerden von Zahlungsdienstnutzern in Bezug auf die aus der PSD2 erwachsenden Rechte und Pflichten schaffen. Dabei haben Zahlungsdienstleister jede Anstrengung zu unternehmen, um Beschwerden der Zahlungsdienstnutzer in Papierform oder bei entsprechender Vereinbarung zwischen Zahlungsdienstleister und Zahlungsdienstnutzer auf einem anderen dauerhaften Datenträger zu beantworten. In dieser Antwort, die innerhalb einer angemessenen Frist, spätestens aber innerhalb von 15 Arbeitstagen nach Eingang der Beschwerde zu erfolgen hat, ist auf alle angesprochenen Fragen einzugehen. Kann der Zahlungsdienstleister in Ausnahmefällen aus Gründen, die er nicht zu verantworten hat, nicht innerhalb von 15 Arbeitstagen antworten, ist er verpflichtet, ein vorläufiges Antwortschreiben mit eindeutiger Angabe der Gründe für die Verzögerung bei der Beantwortung der Beschwerde zu versenden und darin einen Zeitpunkt zu nennen, bis zu dem der Zahlungsdienstnutzer die endgültige Antwort spätestens erhält. Die Frist für den Erhalt der endgültigen Antwort darf 35 Arbeitstage in keinem Fall überschreiten. 20

21 Strengere Regulierung von Zahlungen über Telekommunikationsanbieter Digitales Zahlungsgeschäft: Die bisherige Ausnahme vom Anwendungsbereich der PSD von Zahlungen über Telekommunikationsbetreiber wurde präzisiert und eingegrenzt. Von der PSD2 ausgenommen sind nun nur noch Zahlungsvorgänge, die von einem Anbieter elektronischer Kommunikationsnetze oder -dienste zusätzlich zu elektronischen Kommunikationsdiensten für einen Teilnehmer des Netzes oder Dienstes bereitgestellt werden, b) der kumulative Wert der Zahlungsvorgänge innerhalb pro Monat 300 EUR nicht überschreitet, wenn ein Teilnehmer auf sein Konto bei einem Anbieter elektronischer Kommunikationsnetze oder -dienste Vorauszahlungen tätigt. Die betreffenden Dienstleister werden verpflichtet, diese Tatsache den zuständigen Behörden anzuzeigen und ihnen einen jährlichen Bestätigungsvermerk mitzuteilen, aus dem hervorgeht, dass die Tätigkeit mit den oben genannten Obergrenzen vereinbar ist. i) im Zusammenhang mit dem Erwerb von digitalen Inhalten und Sprachdiensten, ungeachtet des für den Erwerb oder Konsum des digitalen Inhalts verwendeten Geräts, und die auf der entsprechenden Rechnung abgerechnet werden, oder ii) die von einem elektronischen Gerät aus oder über dieses ausgeführt und auf der entsprechenden Rechnung im Rahmen einer gemeinnützigen Tätigkeit oder für den Erwerb von Tickets abgerechnet werden; sofern der Wert einer Einzelzahlung nach den Ziffern i und ii 50 EUR nicht überschreitet und a) der kumulative Wert der Zahlungsvorgänge eines einzelnen Teilnehmers monatlich 300 EUR nicht überschreitet oder 21

22 Strengere Definition der Ausnahmen bei begrenzten Netzen Begrenzte Netze: Wie unter der PSD, liegen Zahlungstransaktionen auf Basis eines bestimmten Zahlungsinstruments innerhalb eines begrenzten Netzes zum Beispiel bei Kaufhausketten oder Tankstellennetzen unter der gleichen Marke nicht im Geltungsbereich der Richtlinie. Um eine kohärentere Aufsicht über solche Netze in der gesamten Europäischen Union zu gewährleisten, sieht die PSD2 vor, dass die Netze, wenn ihre Tätigkeit einen bestimmten Wert erreicht, diese Aktivitäten den zuständigen Behörden melden, damit diese prüfen, ob das Netzwerk eine Lizenz als Zahlungsinstitut beantragen soll. Damit soll sichergestellt werden, dass die finanziellen Risiken für die Verbraucher minimiert werden. So sind künftig Dienste von der PSD2 ausgenommen, die auf bestimmten, nur begrenzt verwendbaren Zahlungsinstrumenten beruhen, die eine der folgenden Bedingungen erfüllen: i) die Instrumente gestatten ihrem Inhaber, Waren oder Dienstleistungen lediglich in den Geschäftsräumen des Emittenten oder innerhalb eines begrenzten Netzes von Dienstleistern im Rahmen einer Geschäftsvereinbarung mit einem professionellen Emittenten zu erwerben; iii) die Instrumente sind nur in einem Mitgliedstaat gültig, werden auf Ersuchen eines Unternehmens oder einer öffentlichen Stelle bereitgestellt, unterliegen zu bestimmten sozialen oder steuerlichen Zwecken den Vorschriften einer nationalen oder regionalen öffentlichen Stelle und dienen dem Erwerb bestimmter Waren oder Dienstleistungen von Anbietern, die eine gewerbliche Vereinbarung mit dem Emittenten geschlossen haben. Die Ausnahmen nach i und ii dürfen nicht in Anspruch genommen werden, ohne die Behörden darüber zu informieren, sofern der Gesamtwert der Zahlungsvorgänge der vorangegangenen zwölf Monate den Betrag von 1 Mio. EUR überschreitet. Diese Tatsache ist den zuständigen Behörden anzuzeigen und in einer Beschreibung der angebotenen Dienstleistungen ist anzugeben, welche Ausnahme für die Ausübung der Tätigkeit in Anspruch genommen wird. Auf der Grundlage dieser Anzeige trifft die zuständige Behörde eine ordnungsgemäß begründete, gestützte Entscheidung, falls die Tätigkeit nicht als begrenztes Netz anerkannt wird, und setzt den Dienstleister hiervon in Kenntnis. ii) die Instrumente können nur zum Erwerb eines sehr begrenzten Warenoder Dienstleistungsspektrums verwendet werden; 22

23 Mandate für die EBA und weitere regulatorische Vorhaben Die EBA erhält aus der PSD2 eine Reihe von Mandaten, unter anderem für die Schaffung und den Betrieb eines Registers für regulierte und befreite Anbieter von Zahlungsdiensten die Registrierung von Kontoinformationsdiensten die Festlegung von Kriterien zur Bestimmung des Mindestbetrags für die Berufshaftpflichtversicherung für Zahlungsauslöse- und Kontoinformationsdienstleister die Definition von Sicherheitsanforderungen für elektronische Zahlungen (Leitlinien für die Festlegung, Anwendung und Überwachung der Sicherheitsmaßnahmen) die Definition von Leitlinien für die Informationen, die den zuständigen Behörden in dem Antrag auf Zulassung von Zahlungsinstituten zu übermitteln sind diverse technische Regulierungsstandards, wie die zur starken Kundenauthentifizierung und zur sicheren Kommunikation 23

24 13. Januar 2016 Inkrafttreten PSD2 12 Monate 24 Monate ~5 Monate Kommission erklärt RTS verbindlich 13. Januar 2018 Nationale Umsetzung PSD2 18 Monate Anwendung der in den Artikeln 65, 66, 67 und 97 genannten Sicherheitsmaßnahmen 18 Monate nach dem Zeitpunkt des Inkrafttretens der in Artikel 98 genannten technischen Regulierungsstandards angewandt werden. Art. 65 Bestätigung der Verfügbarkeit eines Geldbetrags Art. 66 Vorschriften für den Zugang zum Zahlungskonto im Fall von Zahlungsauslösediensten Art. 67 Vorschriften für den Zugang zu Zahlungskontoinformationen und deren Nutzung im Fall von Kontoinformationsdiensten Art. 97 Authentifizierung Art. 5 (4) Beantragung der Zulassung - Leitlinien zur Festlegung der Mindestdeckungssumme der Berufshaftpflichtversicherung oder einer 12 Monate anderen gleichwertigen Garantie Art. 29 (5) Beaufsichtigung von Zahlungsinstituten, die ihr Niederlassungsrecht und das Recht auf freien Dienstleistungsverkehr ausüben Entwurf RTS der Kriterien, die bei der Festlegung der Umstände, unter denen die Benennung einer zentralen Kontaktstelle angebracht ist. Art. 98 (4) Technische Regulierungsstandards für die Authentifizierung und die Kommunikation - Entwurf RTS Erfordernisse des Verfahrens zur starken Kundenauthentifizierung, Anforderungen an Sicherheitsmaßnahmen und an gemeinsame und sichere offene Standards 18 Monate Art. 5 (5) Beantragung der Zulassung - Leitlinien für die Informationen, die den zuständigen Behörden in dem Antrag auf Zulassung von Zahlungsinstituten zu übermitteln sind Art..15 (5) Register der EBA - Entwurf Technischer Durchführungsstandard für die Einzelheiten und die Struktur der zu übermittelnden Angaben, einschließlich des gemeinsamen Formats und Musters, in dem diese Angaben zu übermitteln sind. Art. 95 (3) Management operationeller und sicherheitsrelevanter Risiken - Leitlinien für die Festlegung, Anwendung und Überwachung der Sicherheitsmaßnahmen Art. 15 (4) Register der EBA - Entwurf RTS zur Festlegung der technischen Anforderungen für die 24 Monate Entwicklung, den Betrieb und die Führung des elektronischen zentralen Registers und für den Zugang zu den darin enthaltenen Angaben Art. 28 (5) Antrag auf Ausübung der Niederlassungsfreiheit und des Rechts auf freien Dienstleistungsverkehr Entwurf RTS zur Festlegung der Rahmenbedingungen für die Zusammenarbeit und den Informationsaustausch zwischen den zuständigen Behörden des Herkunftsmitgliedstaats und denen des Aufnahmemitgliedstaats, der Verfahren, Instrumente und Einzelheiten der Zusammenarbeit bei der Meldung grenzüberschreitend tätiger Zahlungsinstitute Art. 29 (6) Beaufsichtigung von Zahlungsinstituten, die ihr Niederlassungsrecht und das Recht auf freien Dienstleistungsverkehr ausüben - Entwurf RTS zur Festlegung der Rahmenbedingungen für die Zusammenarbeit und den Informationsaustausch zwischen den zuständigen Behörden des Herkunftsmitgliedstaats und den zuständigen Behörden des Aufnahmemitgliedstaats für die Überwachung der Einhaltung der nationalen Rechtsvorschriften, die zur Umsetzung der Titel III und IV erlassen werden, der Verfahren, Instrumente und Einzelheiten der Zusammenarbeit bei der Beaufsichtigung grenzüberschreitend tätiger Zahlungsinstitute Art. 96 (3) Meldung von Vorfällen - Leitlinien für Zahlungsdienstleister und die zuständigen Behörden. Art. 100 (6) Zuständige Behörden - Leitlinien für die zuständigen Behörden zu den Beschwerdeverfahren Art. 106 (1) Verpflichtung zur Belehrung der Verbraucher über ihre Rechte - Kommission erstellt ein benutzerfreundliches elektronisches Merkblatt Abbildung 6: Mandate für die EBA - Technische Regulierungsstandards in Folge der PSD2 24

25 PAD - Payment Accounts Directive (2014/92/EU) PSD2 - Payment Services Directive 2 SecuRe Pay - Security of Retail Payments 1. November 2009 Umsetzung PSD 1. Februar 2013 Empfehlungen SecuRe Pay September 2014 PAD in Kraft 8. Juni 2015 MIF-Verordnung gilt mit Ausnahmen Mai 2015 Rundschreiben BaFin MaSI 5. November 2015 EPC Design-Vorschlag eines optionalen Euro SCT Instant Scheme 9. Dezember 2015 MIF-Verordnung Art. 3,4,6,12 in Kraft 13. Januar 2016 PSD2 in Kraft November 2015 MaSI in Kraft 9. Juni 2016 MIF-Verordnung Art. 7, 8, 9, 10 in Kraft 1. Februar 2016 Umsetzung SEPA (XML und ELV) und Einstellung DTA November 2016 Frühestes mögliches Publikationsdatum des ersten Release von SCT Inst Rulebook und Implementation Guide 22. November 2015 SEPA SCT Rulebook v8.1/8.2 SEPA SDD Core Rulebook v8.1/8.2 SEPA SDD B2B Rulebook v6.1/ September 2016 Umsetzung PAD, für Anfang 2016 geplant VERORDNUNG (EU) 2015/751 MIF-Verordnung (Multilateral Interchange Fee) Art. 3 Interbankenentgelte für Debitkartentransaktionen von Verbrauchern Art. 4 interbankenentgelte für Transaktionen mit Verbraucher-Kreditkarten Art. 6 Lizenzvergabe Art. 7 Trennung von Kartenzahlverfahren und abwickelnden Stellen Art. 8 Co-badging und Wahl der Zahlungsmarke oder Zahlungsanwendung Art. 9 Entgeltaufschlüsselung Art. 10 Pflicht zur Akzeptanz aller Karten Art. 12 Information an den Zahlungsempfänger bei einzelnen kartengebundenen Zahlungsvorgängen Januar 2017 Start Umsetzung PSD2 RTS (Technische Standards) 20. November 2016 SEPA SDD Core Rulebook v9.2 SEPA SDD B2B Rulebook v7.2 November 2017 SCTInst Live? 13. Januar 2018 PSD2 Umsetzung in nationales Recht abgeschlossen 2007/64/EG wird mit Wirkung vom 13. Jan 2018 aufgehoben November 2017 SEPA SCT Rulebook SEPA SDD Core Rulebook SEPA SDD B2B Rulebook Abbildung 7: Weitere regulatorische Vorhaben 25

26 Vor- und Nachteile der PSD2 Mit Blick auf die Interessengruppen, Kunden, Händler und Banken, können folgende Vor- und Nachteile skizziert werden: Kunden Händler Banken + einfaches und sicheres Bezahlen im Internet gemäß PSD2-Regularien + einfaches Konsolidieren aller Konten an einer Stelle gemäß PSD2-Regularien + Wahl der bequemsten App, unabhängig von einer Beziehung Bank-TPP + besserer Verbraucherschutz + bedingungsloses Erstattungsrecht bei Lastschriften in Euro + keine Aufschläge für Kartennutzung + geringere Transaktionskosten + unmittelbare Gutschrift des Rechnungsbetrages + engere Kundenbeziehung + Beziehung Händler-Bezahlverfahren nicht erforderlich - Verbot von Aufschlägen bei Kartenzahlung, sowie bei Überweisung und Lastschriften in EUR + können sich als TPP positionieren - erhebliche Systemanpassungskosten - kostenlose Zurverfügungstellung der IT-Infrastruktur für die TPP - keine vertragliche Verbindung der TPP erforderlich Abbildung 8: Vor- und Nachteile aus Sicht der Interessengruppen 26

27 Handlungsfelder und strategische Optionen Die PSD2 zwingt die Banken, Daten kostenfrei und automatisiert an die so genannten dritten Zahlungsdienstleister zu liefern. Erschwerend kommt hinzu, dass die konkreten Vorgaben aus den Technischen Regulierungsstandards (RTS) noch ausstehen und von der EBA erstmals bis Januar 2017 vorzulegen sind. Weitere Technische Regulierungsstandards und Leitlinien werden in der Folge bis Januar 2018 erwartet. Die folgenden Übersichten benennen die wichtigsten Handlungsfelder und eine potentielle Roadmap. 1 Call Center / IVR Kanäle Filiale GAA / SB Post / Fax / Online / Mobile SMS / Chat Kunden-Management Services / Marketing Vertrieb Beschwerdeverfahren KYC / Kundenstammdaten Kundeninformations- Management Kontoführung Zahlungsverkehr Karten Transactional Banking Transactional Banking Transactional Banking Konto Reservierung / Sperren / Pfändung Erstattung PISP / AISP Daueraufträge Überweisungen Lastschriften Auslands- Zahlungsverkehr Inlands- Zahlungsverkehr Scheck / Wechsel Massenzahlungen PISP / AISP SEPA / Haftung Kredit-/ Debitkarten Kartenausgabe Kartenverwaltung Zusatzkarten / Erneuerung / Umtausch Autorisierung Limite Blockierung Abrechnung / Belastung Mahnen / Sperren / Kündigen 1 2 Kontoführung 1 2 Zahlungsverkehr 1 Karten 1 2 Authentifizierung / Autorisierung 1 2 Dispo-Limite Kontostandsanzeige Konsumentenkredite Immobilienfinanzierung Leasing Sicherheiten Sparprodukte Investmentfonds & Zertifikate Direktanlage Managed Portfolios Family Office 2 Rechnungswesen Ergebnisrechnung Finance Financial- Performance-Mgmt. Steuerungsfunktionen 2 1 Bilanzstruktur- Management Risiko-Management Treasury Meldewesen 1 2 Governance, Risk & Compliance Kanäle 1 2 Audit Personalwesen Recht IT 1 2 Fraud / Embargo / Geldwäsche Beschaffung 1 PSD2 Impact 2 SCT Instant Impact Abbildung 9: Architektonische Einordnung der Handlungsfelder 27

28 Strategie: Überprüfung Geschäftsstrategie Anpassung IT-Strategie Produkte: Anpassung Kartenprodukte Überprüfung Preismodelle Identifikation neuer Kontooder Zahlungs-bezogener Services Prozesse: Neue Prozesse für: Meldungen von Vorfällen (Fraud) Kundeninformation Beschwerdeverfahren Autorisierung Treasury IT: API bauen / XS2A (Access to Accounts) für PSD2 - Starke Authentifizierung - Sichere Kommunikation Anpassung IT-Security Anpassung ZV- und Treasury-System an SCT Inst Roadmap Kurzfristiger Handlungsdruck (2016) - Lobbyarbeit (Ausgestaltung der RTS) - Impact-Analyse - strategische Ausrichtung Mittelfristiger Handlungsdruck (ab 2017) - Implementierung der RTS - Automatisierung von Prozessen Langfristiger Handlungsdruck - Betrieb der RTS - Umsetzung von Kostensenkungsmaßnahmen (in der IT) Abbildung 10: Handlungsfelder und Roadmap Gerade jetzt sollten Banken sich grundsätzlich mit der Überprüfung der eigenen Geschäftsstrategie befassen und entscheiden, wo sie sich im Spannungsfeld neuer Marktteilnehmer, Dienste und technischer Herausforderungen sehen, um die Wertschöpfung für sich und ihre Kunden zu maximieren. Sollen lediglich Basisdienste gemäß PSD2 oder ein erweiterter Diensteumfang angeboten werden? Und wo will man sich in der Wertschöpfungskette positionieren? Begnügt man sich mit damit, Daten Dritten Zahlungsdienstleistern zu liefern oder will man selbst als Dritter Zahlungsdienstleister agieren? In jedem Fall wird die Entscheidung Auswirkungen auf das zukünftige Geschäft der Banken haben. Fazit: Für alle Banken führt die PSD2 zu erheblichem Handlungsbedarf auf allen Ebenen. 28

29 minimale Aktion von Bank erforderlich Fokus auf PSD2 Compliance Bank "öffnet" sich über APIs im begrenzten Umfang gemäß PSD2 den TPPs und ermöglicht das Auslösen von Zahlungen und Kontoinformationsdienste keine eigenen Services Bank muss mit TPPs gemäß PSD2 und RTS kooperieren ggf. Vereinbarungen mit TPPs über weitergehende Zahlungsauslöse- und Kontoinformationsdienste zusätzlich zur Strategie Obligatorisch konkurrieren Banken, als TPPs, mit den TPPs mit offensiver Strategie und innovativen Zahlungsauslöseund Kontoinformationsdiensten Bank-eigene App von Kunden bevorzugt Bank-eigene App unterstützt den Zugang zu anderen Bankkonten und Informationen Bank konkurriert mit bestehenden TPPs um die Kundenrelevanz Bank muss eigene Vertriebsund Betriebsmodelle überdenken, um mit flinken TPPs effektiv konkurrieren zu können Ausdehnen der Strategie Obligatorisch durch Fokussierung auf die Entwicklung und das Offerieren von APIs, die über die Zahlungsauslöse- und Kontoinformationsdienste gemäß PSD2 hinausgehen erweiterte Dienste, die Kontound Kundeninformation nutzen, können nur mit Zustimmung des Kunden angeboten werden, denen im Gegenzug eine erhöhte Benutzerfreundlichkeit und Komfort winkt vereint die Strategien Obligatorisch und Ausdehnen mit dem Fokus auf die Strategie Bank als Plattform Bank ermöglicht Dritten, basierend auf offenen APIs, Anwendungen und Dienstleistungen rund um das Finanzinstitut zu bauen Zusammenarbeit mit FinTechs erforderlich Bank bietet Vertrauen und Skalierbarkeit, FinTechs den Schlüssel zu kundenzentrischen Apps Monetisierung der APIs über geeignete Partnerschaften und Geschäftsmodelle Obligatorisch Konkurrieren Ausdehnen Kooperieren Abhängig davon, ob Basisdienste gemäß PSD2 oder zusätzlich Mehrwertdienste angeboten sollen bzw., ob die Bank lediglich Daten liefern oder selbst als TPP agieren will. Abbildung 11: Strategische Optionen 29

30 Die Autoren Britta Schnittspahn Britta Schnittspahn ist bei EXXETA Partnerin im Bereich Financial Services mit Schwerpunkt auf Business- und IT-Transformation, Digitalisierung und Regulatory Governance. Sie verfügt über mehr als 17 Jahre Beratungserfahrung im Retail- und Corporate-Banking sowie im Wealth Management. Britta Schnittspahn begleitet ihre Kunden insbesondere bei der Erschließung neuer Themenfelder oder der Lösung komplexer Herausforderungen. Vor dem Eintritt in die Beratungsbranche hat Britta Schnittspahn praktische Erfahrungen zuletzt als Prokuristin im Firmenkundengeschäft einer Bank aufgebaut. Martin See Martin See ist bei EXXETA Principal Consultant im Bereich Financial Services. Er hat mehr als 20 Jahre Erfahrung in der Leitung von Projekten im Rahmen von IT-Transformationsvorhaben und der Leitung von Business-Analyse-Teams. Martin See verfügt über fundierte fachliche und technische Kenntnisse in den Themenfeldern Zahlungsverkehr und Kundenstammdaten. 30

31 ÜBER EXXETA Unabhängiges und mittelständisches Beratungshaus Management-, Fach-, Methoden- und IT-Beratung Werteorientierte Unternehmensführung 8 Standorte in Deutschland, Schweiz und Slowakei Über 500 Mitarbeiter EXXETA AG Albert-Nestler-Straße Karlsruhe fon fax web EXXETA.com Standorte: Karlsruhe, Frankfurt, Stuttgart, Leipzig, München, Berlin, Zürich, Bratislava 2016 EXXETA AG. Alle Rechte vorbehalten. Alle Namen und Warenzeichen sind das Eigentum ihrer jeweiligen Inhaber und werden hiermit anerkannt. Die Angaben im Text sind unverbindlich und dienen lediglich zu Informationszwecken. In dieser Publikation enthaltene Informationen können ohne vorherige Ankündigung geändert werden. EXXETA übernimmt keinerlei Haftung oder Garantie für Fehler oder Unvollständigkeiten in dieser Publikation. Aus den in dieser Publikation enthaltenen Informationen ergibt sich keine weiterführende Haftung.