Am 12. Januar 2016 ist die geänderte Zahlungsdiensterichtlinie (Richtlinie [EU] 2015/2366 – PSD 2) in Kraft ge- treten und muss von den Mitglieds- staaten innerhalb von zwei Jahren – d. h. bis zum 13. Januar 2018 – in nationales Recht umgesetzt werden. Durch die PSD 2 werden neben zahl- reichen anderen Neuregelungen auch sog. dritte Zahlungsdienstleister Ge- genstand der bankaufsichtsrechtli- chen Regulierung. Für Anbieter von derartigen Zahlungsdiensten, wie iDEAL, Trustly oder in Deutschland SOFORT Überweisung, ergeben sich durch die PSD 2 zahlreiche grundle- gende Neuerungen, die künftig zu beachten sind. Die Europäische Kom- mission sieht dritte Zahlungsdienst- leister als kostengünstige und inno- vative Möglichkeit zur Bezahlung im Internet für Verbraucher an, hat aber auch Fragestellungen im Hinblick auf Datenschutz, Sicherheit und Haftung aufgegriffen, die mit der PSD 2 be- antwortet werden sollen.
Das Geschäftsmodell dritter Zahlungsdienstleister
Der Begriff des dritten Zahlungs- dienstleisters umfasst Zahlungsaus- lösedienste und Kontoinformations- dienste. Diese Dienste sind dadurch gekennzeichnet, dass sie sich mit den persönlichen Zugangsdaten des Inha- bers eines per Onlinebanking zugäng- lichen Kontos Zugang zu diesem Konto verschaffen. Im Fall von Zah- lungsauslösediensten werden Über- weisungen an Dritte – z. B. E-Com- merce-Händler – ausgelöst und im Fall von Kontoinformationsdiensten wird der Kontostand zur Erstellung einer konsolidierten Aufstellung aller Konten des Nutzers des jeweiligen Dienstes abgefragt. Diese Dienste haben die Gemeinsamkeit, dass sie sich – bislang ohne einen bestehen- den Rechtsrahmen – von ihren Nut- zern persönliche Sicherheitsmerkmale (wie PIN, TAN, Passwörter) aushändi- gen lassen und auf ihre Konten per Onlinebanking zugreifen können, obwohl die allgemeinen Geschäfts- bedingungen der kontoführenden Banken ausdrücklich vom Kontoin- haber die Geheimhaltung seiner persönlichen Sicherheitsmerkmale verlangen.
Regulierung dritter Zahlungsdienstleister
Die PSD 2 regelt, dass die von dritten Zahlungsdienstleistern angebotenen Dienste einen Zahlungsdienst darstel- len, für den bestimmte rechtliche Rahmenbedingungen gelten. Für die Anbieter von Zahlungsauslösediens- ten ist nunmehr eine aufsichtsrecht- liche Zulassung erforderlich, die die Überprüfung des Geschäftsmodells sowie die Etablierung interner Kont- rollmechanismen und Verfahren bei Sicherheitsvorfällen voraussetzt. Zu- dem müssen Anbieter von Zahlungs- auslösediensten eine angemessene Berufshaftpflichtversicherung ab- schließen und ein Anfangskapital von EUR 50.000 vorweisen. Konto- informationsdienste bedürfen zwar keiner aufsichtsrechtlichen Zulassung, müssen sich aber dennoch bei der zu- ständigen Behörde – in Deutschland der Bundesanstalt für Finanzdienst- leistungsaufsicht (BaFin) – registrieren lassen. Für sie gelten, wenngleich in geringerem Umfang, ebenfalls verschiedene aufsichtsrechtliche Anforderungen.
Zusammenarbeit kontoführende Bank – dritter Zahlungsdienst- leister
Durch die PSD 2 wird nunmehr klar- gestellt, dass Kunden ihre persönli- chen Sicherheitsmerkmale an dritte Zahlungsdienstleister weitergeben dürfen und kontoführende Banken eine Verpflichtung haben, mit diesen dritten Zahlungsdienstleistern zu- sammenzuarbeiten. In technischer Hinsicht ist vorgesehen, dass dritte Zahlungsdienstleister zukünftig über eine eigens für sie eingerichtete technische Schnittstelle auf die Sys- teme der Banken zugreifen sollen, um ihre Leistung zu erbringen. Für die Einzelheiten der Ausgestaltung dieser Schnittstelle wird die europä- ische Bankenaufsichtsbehörde (EBA) am 13. Januar 2017 die finalen Ent- würfe entsprechender technischer Regulierungsstandards veröffentli- chen, die dann 18 Monate nach Veröffentlichung in Kraft treten werden.
Verbraucher- / Datenschutz
Durch die Regulierung dritter Zah- lungsdienstleister sollen vor allem die sie nutzenden Verbraucher ge- schützt werden. Dazu sieht die PSD 2 vor, dass Informationen über die Auslösung einer Zahlung nur an de- ren Empfänger, nicht aber an Dritte mitgeteilt werden dürfen. Zudem dürfen keine sensiblen Daten ge- speichert werden. Vor allem aber wird eindeutig geregelt, dass eine Abfrage oder Verwendung anderer als für die Auslösung des Zahlungs- vorgangs erforderlicher Daten nicht zulässig ist. Gleiches gilt für den Kontoinformationsdienst. Auch hier dürfen ausschließlich die relevanten Kontostände, nicht aber sonstige Informationen abgefragt werden. Hinzu kommt, dass dritte Zahlungs- dienstleister ihre Kunden nun über Inhalt, Umfang und Ausgestaltung ihres Leistungsangebots informie- ren müssen.
Haftungsverteilung bei der Nutzung von Zahlungs- auslösediensten
Vor Inkrafttreten der PSD 2 gänzlich ungeklärt war die Haftung im Hin- blick auf die von Zahlungsauslöse- diensten initiierten Zahlungen. Die PSD 2 regelt dazu nun, dass die kontoführende Bank weiterhin für verspätete, fehlerhafte oder gänz- lich nicht ausgeführte Zahlungen haftet. Sofern der Haftungsfall jedoch auf ein Verschulden des Zahlungsauslösedienstes zurückzu- führen ist, kann die kontoführende Bank diesen in Regress nehmen. Der Zahlungsauslösedienst trägt die Last des Nachweises der ordnungs- gemäßen Ausführung.
Fazit
Grundsätzlich sind die Regulierung dritter Zahlungsdienstleister und die Schaffung klarer rechtlicher Rahmen- bedingungen, insbesondere wegen der bisherigen Unklarheiten bezüglich des Zugriffs auf Onlinebanking-Zu- gänge von Kunden, zu begrüßen. Insbesondere Verbraucher dürften von den Regelungen der PSD 2 pro- fitieren. Für die beteiligten Akteure, nämlich die kontoführenden Banken und die dritten Zahlungsdienstleister, bedeutet die Umsetzung der PSD 2 jedoch einen erheblichen Anpas- sungsbedarf.
