Die neue EU-Zahlungsdiensterichtlinie PSD II

Der ideale europäische Zahlungsverkehrsmarkt gestaltet sich einfach, effektiv und kostengünstig. Die Voraussetzungen dafür hat die EU 2007 mit der Payment Service Directive (PSD) geschaffen. Inzwischen sind mehrere Jahre vergangen. Zeit, ein paar Schrauben der Zahlungsdiensterichtlinie (ZDR) neu zu justieren. Der erste Vorschlag für die PSD II wurde 2013 vorgelegt. Die Freude darüber hielt sich in Grenzen. Auch die mittlerweile überarbeitete Fassung trifft nicht gerade den Nerv von Banken und Datenschützern.

Ziel der PSD II: Innovationen fördern

Die Novelle zielt darauf ab, die »Sicherheit zu verbessern, Wahlmöglichkeiten für Verbraucher zu erweitern und mit der Innovation Schritt zu halten«. Dafür wurden mehrere Aspekte der Zahlungsdiensterichtlinie neu gefasst.

Vorgesehen ist u. a. eine geringere Haftungsgrenze für Verbraucher im Falle nicht autorisierter Kartenzahlungen. Bislang mussten 150 Euro aus eigener Tasche gezahlt werden. Künftig sollen es nur noch 50 Euro sein. Zudem sollen die Rechte der Kunden bei Überweisungen und Finanztransfers außerhalb Europas gestärkt werden. Bis zu diesem Punkt dürfte sich kaum Widerstand regen.

Anders sieht es bei der Idee aus, neue Anbieter und die Entwicklung innovativer Mobiltelefon- und Internetzahlungen zu fördern. Dazu gehören auch sogenannte Zahlungsdiensteauslöser – Dienste, die sich zwischen Händler und Bank anordnen. Sie wurden zwar in die PSD II aufgenommen. Die Rahmenbedingungen, die von der EU formuliert wurden, sind aus Sicht der Bankenbranche allerdings nicht ausreichend. Laut Bundesverband deutscher Banken fehlt es weiter »an einem fairen Ausgleich der Interessen von Drittdiensten und herkömmlichen Zahlungsdienstleistern«.

Drittanbieter in der PSD II

Um die Kritik nachvollziehen zu können, bedarf es eines näheren Blicks auf die Drittdienste. Sie sollen, so die Europäische Kommission, »kostengünstige und effiziente elektronische Zahlungen ohne Kreditkarte ermöglichen«. Hier geht es gleich um zwei Interessen:

  • die der Händler, die eine umgehende Bezahlung ihrer Ware wünschen und
  • die der Kunden, die ihre Bestellung so schnell wie möglich in Händen halten wollen.

Um das zu erreichen, klinken sich die Drittanbieter zwischen Händler und Bank in den Zahlvorgang ein. Das Prozedere erklärt die Sparkassen-Finanzgruppe: »Internet-Zahlungsdienste sollen dazu berechtigt werden, Kontozugangsdaten wie PIN und TAN von Bankkunden abzufragen und damit Überweisungen vom Bankkonto eines Käufers auf ein Konto eines Verkäufers auszulösen.« D. h. der Kunde gibt dem Drittanbieter seine Zugangsdaten, damit er in seinem Namen eine Überweisung tätigt.

Die EU will das Rechtsvakuum beseitigen

Da es sich bei der Persönlichen Identifikationsnummer (PIN) und den Transaktionsnummern (TAN) um äußerst sensible Daten handelt, braucht es Rechtssicherheit. Die war bislang nicht oder nur bedingt gegeben. Die EU-Kommission sah hier ein »Rechtsvakuum für bestimmte neue Anbieter von Internetdienstleistungen«. Auf der anderen Seite erkennt die EU in den Drittanbietern eine »gangbare und häufig preisgünstigere Alternative zu Kartenzahlungen, die auch für jene Verbraucher attraktiv ist, die keine Karten besitzen«.

Ziel der PSD II ist es, das Rechtsvakuum zu beseitigen, das aus Sicht der EU sowohl Innovationen als auch die Schaffung angemessener Marktzugangsbedingungen gefährdet. Im Rahmen der Novellierung wurden daher neue Zahlungsdienstleistungen eingeführt, auch solche, die für Kunden auf bestehende Zahlungsinfrastrukturen – also die vorhandene Bankverbindung – zugreifen.

Zulassungspflicht für Drittanbieter

Die Rechte und Pflichten der Drittanbieter regeln unter anderem die Artikel 58 und 59 der PSD II. Demnach müssen sich dritte Zahlungsdienstleister eindeutig gegenüber der Bank des Kunden authentifizieren und dafür Sorge tragen, dass die personalisierten Sicherheitsmerkmale des Nutzers keinen anderen Parteien zugänglich sind. Darüber hinaus ist es den Anbietern verboten, Zahlungs- oder Sicherheitsdaten zu speichern. Entscheidend aber ist: Die Drittanbieter unterliegen mit Umsetzung der Richtlinie – geplant für Anfang 2016 – der Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin). Ausnahmen, die bislang bestehen, sind dann aller Wahrscheinlichkeit nach hinfällig, wodurch viele Anbieter zulassungspflichtig werden. (siehe BaFin, 2. Juni 2014)


In die Pflicht genommen werden auch die Banken. Erteilt der Kunde einem Drittanbieter die Zustimmung zu einer Zahlung, muss die Bank Informationen zur Verfügbarkeit ausreichender Geldbeträge bereitstellen und den Auftrag wie einen persönlich übermittelten Zahlungsauftrag behandeln. Aufgaben, die mit Arbeit und Kosten verbunden sind. »Für die Banken bedeutet die Umsetzung der komplexen und umfangreichen Richtlinie zunächst einen hohen Aufwand«, so die Pressestelle der Postbank. Auch das Bankmagazin (vgl. Bankmagazin 10/2015, Seite 18) betont die Mehrarbeit: »Um die Richtlinie umsetzen zu können, müssen sie [die Banken] jetzt in eine eigene Schnittstelle investieren, über die der Datenzugriff Dritter erfolgen soll.«

Kritik der Banken an der PSD II

Blick auf die EZB

Kein Wunder, dass Banken der PSD II eher skeptisch gegenüberstehen – obwohl Rat und Parlament den Kommissionsvorschlag hinsichtlich der Sicherheit, der aufsichtsrechtlichen Anforderungen und des Datenschutzes verbessert haben. Einen Aspekt, der den Banken sauer aufstößt, nennt die Presseinformation der Deutschen Kreditwirtschaft vom 27. Februar 2015:

»Deutschland hat einen der sichersten und leistungsfähigsten Zahlungsverkehrsmärkte weltweit. Daher darf der von der EU-Kommission geförderte Wettbewerb durch die Öffnung der Kunde-Bank-Schnittstelle zugunsten von Zahlungsauslöse- und Konto-Informationsdiensten nicht zu einer Qualitätsverschlechterung und Risikoerhöhung im Zahlungsverkehr führen.«

Schon am 2. Dezember 2013 hat die Deutsche Kreditwirtschaft eine 15-seitige Stellungnahme zum Vorschlag der Europäischen Kommission zur Änderung der EU-Zahlungsdiensterichtlinie veröffentlicht. Hierin macht die Branche sowohl auf die »Gefährdung der Integrität der technischen Infrastruktur der Zahlungsdienstleister« aufmerksam, als auch auf den Umstand, dass der Kunde kein alleiniges Verfügungsrecht hat, die Schnittstelle für Dritte zu öffnen. Die Deutsche Kreditwirtschaft fordert daher: »Aus Sicherheitsgründen und zur Wahrung des Bankgeheimnisses sollte der Drittdienst keinen Zugriff auf die personalisierten Sicherheitsmerkmale des Zahlers (z.B. Online-PIN/TAN) haben.«

Noch weniger Verständnis haben die Banken dafür, dass Sie den Drittdiensten ihre Online-Banking-Infrastruktur unentgeltlich zur Verfügung stellen müssen. Auch diesbezüglich ist die Forderung der Deutschen Kreditwirtschaft unmissverständlich: »Da der Drittdienst mit der von ihm abgerufenen Bankauskunft selber einen wirtschaftlichen Vorteil generiert, […] müsste in der Vorschrift die Möglichkeit vorgesehen werden, dass der Auskunft gebende Zahlungsdienstleister vom Auskunftsnutznießer (=Drittdienst) ein angemessenes Entgelt erheben darf.«

Welche Vorteile ergeben sich aus der Richtlinie und wem nützen sie?

Männerhand tippt auf Banking

Lässt man die Bedenken der Banken völlig außen vor, bietet die überarbeitete Richtlinie durchaus Vorteile. Sie verschafft Nutzern von Drittanbieter deutlich mehr Rechtssicherheit. Dafür sorgt alleine schon die Zulassungspflicht durch die BaFin. Zwar bewegen sich die Dienste derzeit nicht im komplett rechtsfreien Raum, allerdings unterliegen nur wenige der Bundesanstalt für Finanzdienstleistungsaufsicht. Das ändert sich – und damit erhalten Anbieter, die sich an die Regeln halten, ein neues Qualitätsmerkmal.

Verbraucher

Verbraucher profitieren künftig zudem von einer größeren Auswahl an Zahlungsoptionen. Ob sie auch aktiv genutzt werden, lässt sich heute nicht vorhersagen. Ausschlaggebend wird sein, wie einfach die Handhabung der Dienste ist und welchen Service sie bieten.

Handel

Das gilt gleichermaßen für Händler. Sie können ihren Kunden mehr Alternativen zur schnellen und unkomplizierten Bezahlung im Online-Geschäft anbieten. Auch hier gilt: Über den Erfolg respektive die Akzeptanz der Dienste entscheiden deren Rahmenbedingungen. Dazu gehören dann zweifelsohne auch die Gebühren für den Zahlungsvorgang. Bieten Drittanbieter ihren Service günstiger an als herkömmliche Zahlungsdienste, steigen die Chancen, sich am Markt zu etablieren.

FinTech

Nicht zu vergessen, die Anbieter selbst. Die Tatsache, dass die BaFin einen genauen Blick auf das Geschäftsmodell wirft, stellt ganz klar eine neue – für einige vielleicht zu hohe – Hürde dar. Letztlich kann es aber nur im Interesse der FinTech-Branche sein, die eigenen Standards so hoch wie möglich anzusetzen, denn das Vertrauen der Kunden müssen sie sich im Gegensatz zu den Banken oder Kreditkartengesellschaften erst noch verdienen.

Banken

Chancen birgt die novellierte Zahlungsdiensterichtlinie durchaus auch für Banken. Sie könnten selbst aktiv werden und sich die neuen Zahlungswege zunutze machen. Darauf weist die Pressestelle der Postbank hin. »Andererseits ergeben sich auch für Banken neue Möglichkeiten, mit den Kunden in Kontakt zu treten, indem beispielsweise der Bankzugang mit Angeboten von Händlern direkt verknüpft und das Einkaufen für den Kunden erleichtert wird.«

Welche Bedenken hinsichtlich des Datenschutzes bestehen?

Formular zur Wahrung der Persönlichkeitsrechte

Schnellere und einfachere Bezahlmöglichkeiten dürfen jedoch nicht zulasten des Datenschutzes gehen. Sowohl der Bundesverband deutscher Banken als auch die Deutsche Kreditwirtschaft weisen explizit auf diesen Punkt hin. Ebenso die Bundesbeauftragte für Datenschutz und Informationsfreiheit, Andrea Voßhoff. In einer Pressemitteilung vom 27. Februar 2015 schreibt sie: »Gegen die beabsichtigte Ausgestaltung bestehen datenschutzrechtlich erhebliche Bedenken, insbesondere weil ein Dritter – der Dienstleister – umfassenden Einblick in die Kunden-Kontoinformationen erhält. Hierbei handelt es sich um besonders sensible Finanzdaten, die auch zur Erstellung von Persönlichkeitsprofilen genutzt werden könnten.« Es müsse daher sichergestellt werden, dass hinreichende datenschutzrechtliche und datensicherheitsrechtliche Vorkehrungen getroffen werden. Dahingehend sieht Andrea Voßhoff noch »erhebliche Defizite«.

Bestmöglichen Schutz fordert auch die Sparkassen-Finanzgruppe. Sie schildert sehr anschaulich, was Verbraucher zu den neuen Zahlungsdiensten wissen müssen.

»Das gesamte Zahlungsverhalten der Kunden kann […] analysiert werden, woraus sich Rückschlüsse ziehen lassen auf persönliche Lebens- und Kaufgewohnheiten, aber auch auf sensible personenbezogene Merkmale wie Einkommen, Parteizugehörigkeit, Religion und vieles mehr. Verfügt ein Drittanbieter einmal über die gültige PIN zu einem Konto, ist ihm die ständige Abfrage aller Kontoumsätze über einen Zeitraum von mehreren Monaten oder gar Jahren möglich.“

97 Prozent der Bundesbürger lehnen daher, so eine Studie des Deutschen Sparkassen- und Giroverbandes aus dem zweiten Quartal 2013, einen Zugriff von Drittanbietern auf die Kontodaten ab.

Die schöne neue Bezahlwelt

Aus dieser Ablehnung Prognosen für die Zukunftsfähigkeit neuer FinTech-Anbieter abzuleiten, wäre verführt. Sie treffen den Nerv einer Generation, die Bankgeschäfte schnell und ohne Umwege abwickeln möchte – angefangen bei einfachen Zahlungen im Onlinegeschäft. Auch der Handel ist interessiert daran, Geldtransfers schnell und möglichst preiswert zu realisieren. Von daher zielt die Payment Services Directive II voll ins Schwarze.

Das heißt nicht, dass die Bedenken der Banken zur PSD II keine Grundlage hätten. Im Gegenteil: Die aktuellen Infrastrukturen mussten ebenso wie das Vertrauensverhältnis zum Kunden über Jahre hinweg aufgebaut werden. Neue Marktteilnehmer künftig kostenfrei an diesem Pfund teilhaben lassen zu müssen, ist extrem viel verlangt. Hier kollidieren der Wunsch nach Innovation auf EU-Ebene und das verständliche Interesse der Banken, die eigenen Bemühungen entlohnt zu sehen.

Dieser Konflikt steht ebenso im Raum wie die Bauchschmerzen beim Datenschutz. Hier müsste die EU noch ein wenig feilen. Wohin die Reise geht, in die schöne neue Bezahlwelt oder hin zu bekannten Ufern, entscheidet dann letztlich der Verbraucher.

# Anbieter Kontoführungs-
gebühren
Guthabens-
zinsen
Details Antrag
1. DKB - Girokonto 0,00€ 0,00% Details Antrag
2. comdirect bank - Girokonto 0,00€ 0,00% Details Antrag
3. 1822direkt - GiroSkyline 0,00€ 0,00% Details Antrag
4. ING-DiBa - Girokonto 0,00€ 0,00% Details Antrag
5. Fidor Bank - Smart Girokonto 0,00€ 0,00% Details Antrag

Weitere Links:

http://ec.europa.eu/finance/payments/framework/index_de.htm

http://europa.eu/rapid/press-release_IP-13-730_de.htm

http://www.gruenderszene.de/allgemein/zahlungsdiensterichtlinie-zag-2-bafin-aenderung

Bildnachweise:

© Fotolia.com: VRD, Denis Junker, Torbz

© iStock: urbancow