Am 13.01.2018 wird die Zweite Zahlungsdiensterichtlinie (PSD2-Richtlinie) in Kraft treten, die unter anderem höhere Sicherheitsstandards für Online-Zahlungen vorsieht. Um die mit der Umsetzung der PSD2-Richtlinie verbundenen Anforderungen zu konkretisieren, wurde die Europäische Kommission ermächtigt, sog. technische Regulierungsstandards (Regulatory Technical Standards, RTS) zu erlassen. Nachdem in den letzten Monaten kontrovers um die Ausgestaltung dieser RTS gerungen wurde, hat die Europäische Kommission am 27.11.2017 nunmehr die finalen RTS zur starken Kundenauthentifizierung und sicheren Kommunikation dem Europäischen Parlament zur Verabschiedung übergeben. Aufgrund der Entstehungsgeschichte der RTS ist davon auszugehen, dass die finale Version in den nächsten drei Monaten verabschiedet wird. In diesem Fall haben die betroffenen Zahlungsdienstleister 18 Monate nach Inkrafttreten der RTS Zeit, die diesbezüglichen Anforderungen umzusetzen. Hierzu gehören unter anderem Vorgaben zur starken Kundenauthentifizierung sowie Vorgaben zu Kundenschnittstellen.

1. Starke Kundenauthentifizierung

Gemäß der PSD2-Richtlinie erfordern künftig gewisse Zahlungen und Kontozugriffe starke Kundenauthentifizierung, das heißt die Authentifizierung des Kunden unter Heranziehung von mindestens zwei Faktoren aus den Kategorien Wissen (z. B. PIN), Besitz (z. B. Karte) und Inhärenz (z. B. Fingerabdruck). Nachdem bereits zuvor Ausnahmen für kontaktlose Zahlungen und Transaktionen für kleine Beträge (beispielsweise keine 2-Faktor-Authentifizierung für Beträge unter 30,00 Euro) vorgesehen waren, wurden diese Ausnahmeregelungen in dem finalen Entwurf der RTS nun noch einmal erweitert, indem auch bei bestimmten B2B-Transaktionen keine 2-Faktor-Authentifizierung erforderlich sein soll. Dies betrifft elektronische Zahlungsvorgänge, die auf Zahlungsmethoden beruhen, die üblicherweise von Unternehmen verwendet werden und bei denen keine Authentifizierung einer Einzelperson durchgeführt wird. Voraussetzung ist jedoch, dass diese Zahlungsmethoden das durch die PSD2 geforderte hohe Sicherheitsniveau erfüllen.

2. Vorgaben zu Kommunikationsschnittstellen: Das Aus für Screen Scraping?

Nach der PSD2 haben sog. Drittdienstleister – das heißt Zahlungsauslöse- oder Kontoinformationsdienstleister – das Recht, auf Weisung eines Kunden auf dessen Zahlungskonto beim kontoführenden Kreditinstitut zuzugreifen. Allerdings ist dies nach Ablauf der 18-monatigen Übergangsfrist nicht mehr ohne Identifizierung (sog. „Screen Scraping“) möglich. Vielmehr müssen die Zugriffe zukünftig über eine dedizierte Schnittstelle oder die von den Kunden des kontoführenden Kreditinstituts verwendete Schnittstelle erfolgen, wobei die Nutzung der Schnittstellen an konkrete Vorgaben geknüpft ist, z. B. Protokollierung der abgerufenen Daten, gegebenenfalls Weitergabe an die zuständige Behörde.

Bereits der frühere Entwurf der RTS hat bei Nutzung einer dedizierten Schnittstelle jedoch das Vorhalten einer sog. Fall-Back-Lösung durch den Zahlungsdienstleister (Nutzung der Kundenschnittstelle oder einer zweiten dedizierten Schnittstelle) vorgesehen, um auf diese Weise die ständige Verfügbarkeit der Zahlungsauslöse- und Kontoinformationsdienste sicherzustellen. Aufgrund der zu diesem Punkt vorgebrachten Bedenken der Europäischen Bankenaufsichtsbehörde sieht der finale Entwurf der RTS nunmehr aber eine Ausnahmeregelung vor, wonach dann keine Fall-Back-Lösung erforderlich ist, wenn die genutzte dedizierte Schnittstelle ausreichend unter Marktbedingungen getestet wurde und sie alle Anforderungen der RTS erfüllt.

3. Fazit

Den von der PSD2 betroffenen Zahlungsdienstleistern (Kreditinstitute, E-Geldinstitute oder Drittdienstleister) ist zu empfehlen, nach Inkrafttreten der RTS die Übergangsfrist von 18 Monaten für die Prüfung zu nutzen, welche Vorgaben der RTS zur starken Kundenauthentifizierung und sicheren Kommunikation zu einem Anpassungsbedarf bei – internen und externen – Strukturen und Prozessen führen bzw. führen könnten. Hierbei stellt sich auch die Frage, ob und in welchem Umfang von den in den RTS vorgesehenen Ausnahmeregelungen Gebrauch gemacht werden kann.