EU-Vorschläge für überarbeiteten Rechtsrahmen für Zahlungsdienste (PSD 3) und zur open finance-Verordnung (FIDA) veröffentlicht
Zahlreiche technische Innovationen und neue Formen von Dienstleistungen haben den Markt nachhaltig verändert. Auf diese Entwicklungen reagiert nun auch die EU-Kommission mit einem Vorschlag zur Anpassung der regulatorischen Rahmenbedingungen für Zahlungsdienste, die derzeit in der Richtlinie (EU) 2015/2366 („PSD2“) geregelt sind („Regelungsvorschlag“).
Die Kommission gelangt zu dem Schluss, dass die PSD2 seit ihrem Inkrafttreten zwar zu deutlichen Verbesserungen im Zahlungsdienstesektor geführt hat, ihre Ziele aber in einigen Bereichen nicht vollends erreicht wurden. Insbesondere die folgenden Defizite wurden identifiziert:
- Verbraucher bleiben Betrugsrisiken ausgesetzt (insb. Social-Engineering-Betrug) und zeigen trotz der bereits implementierten starken Kundenauthentifizierung (Strong Customer Authentication, „SCA“) mangelndes Vertrauen in die Integrität des Zahlungsverkehrs;
- Markthindernisse im Open-Banking-Bereich, insb. unzureichende Schnittstellen für den Datenaustausch;
- unzureichende Befugnisse der Aufsichtsbehörden und unterschiedliche Umsetzung der PSD2 in den Mitgliedstaaten; und
- Chancenungleichheit zwischen Banken und anderen Anbietern von Zahlungsdiensten, insb. hinsichtlich des Zugangs zu Zahlungssystemen.
Zur Adressierung dieser Defizite sieht der Regelungsvorschlag nicht nur eine überarbeitete Zahlungsdiensterichtlinie („PSD3-E“, abrufbar hier), sondern eine unmittelbar in den Mitgliedstaaten anwendbare Zahlungsdiensteverordnung („PSR-E“, abrufbar hier) vor. Während die Vorgaben zur Lizenzierung von Zahlungsinstituten in der PSD3-E und damit weiterhin in einer Richtlinie enthalten sein sollen, die von den Mitgliedstaaten umzusetzen ist, sollen alle übrigen Vorgaben für die Erbringung von Zahlungsdiensten in der PSR-E und damit in einer unionsweit einheitlich geltenden Verordnungen geregelt werden. Zeitgleich hat die Kommission einen Vorschlag für eine Verordnung zu einem Rahmenwerk für den Zugang zu Finanzdaten vorgelegt (Framework for Financial Data Access Regulation, „FIDA-E“, abrufbar hier), mit dem der über die PSD 2 eingeführte Zugang zu bestimmten Kontodaten auf eine Reihe weiterer Finanzdaten ausgedehnt werden soll („open finance“).
Im Folgenden wird ein Überblick über die wesentlichen Änderungen gegeben, die der Regelungsvorschlag im Vergleich zum bestehenden Rechtsrahmen für Zahlungsdienste vorsieht, und Grundzüge der FIDA-E skizziert.
Integration der Regelwerke für Zahlungsdienste und E-Geld
Aufgrund des bereits bestehenden weitgehenden Gleichlaufs der Anforderungen an Zahlungs- und E-Geld-Institute sieht der Regelungsvorschlag vor, die Differenzierung zwischen Zahlungs- und E-Geld-Dienstleistungen weitgehend aufzugeben. Dementsprechend soll künftig auch keine eigenständige E-Geld-Richtlinie mehr existieren. Dieser Ansatz trägt dem Umstand Rechnung, dass die Grenzen zwischen beiden Arten von Dienstleistungen zunehmend verschwimmen, nicht zuletzt aufgrund der Entwicklung innovativer Produkte, die sich nicht immer befriedigend einem der beiden Bereiche zuordnen lassen.
Nur für E-Geld-spezifische Besonderheiten, etwa hinsichtlich Kapitalanforderungen, E-Geld-Ausgabe oder -Einlösung, soll es weiterhin differenzierende Regelungen geben. Sowohl Zahlungsdienstleister als auch E-Geld-Institute sollen mit dem Erlaubnisantrag u.a. auch einen Abwicklungsplan vorlegen (Art. 3 Abs. 3 lit. s PSD3-E).
Folge der Harmonisierung (und zugleich Konsequenz einer Inflationsanpassung) werden zudem gesteigerte Eigenmittelanforderungen für Zahlungsdienstleister sein, die nicht Banken sind (vgl. Art. 5 ff. PSD3-E). Anders als in Art. 9 PSD2 bislang vorgesehen, soll für die Berechnung der Eigenmittelanforderungen für Zahlungsdienstleister, die keine E-Geld-Dienstleistungen erbringen, künftig standardmäßig anhand der am Zahlungsvolumen anknüpfenden „Methode B“ erfolgen (Art. 7 Abs. 2 PSD3-E).
Im Zuge der Vereinheitlichung werden auch grundlegende Definitionen ergänzt oder präzisiert, z.B. für „Zahlungskonto“, „Zahlungsinstrument“ oder „Geldbetrag“. Ferner wird klargestellt, dass entsprechend den Vorgaben der jüngst erlassenen MiCA-Verordnung (Verordnung (EU) 2023/1114 über Märkte für Kryptowerte – vgl. dazu unseren Newsletter) auch E-Geld-Token als E-Geld zu qualifizieren sind.
Stärkung der Maßnahmen zur Betrugsbekämpfung
Als Reaktion auf neue Betrugsmethoden seit Inkrafttreten der PSD2 sollen effizientere Maßnahmen zur Betrugsbekämpfung getroffen werden. Im Fokus der Kommission stehen dabei insbesondere die Betrugsarten des sog. „Spoofing“, also der Vortäuschung einer vertrauenswürdigen Identität durch den Betrüger (insb. Zugehörigkeit zum Zahlungsdienstleister des Kunden) und des Social-Engineering-Betrugs, also der Manipulation des Opfers, um es zur Zahlungen oder zur Preisgabe von Kontoinformationen zu bewegen.
Künftig soll es für Zahlungsdienstleister verpflichtend sein, bei sämtlichen Überweisungen in Euro eine Abgleichung zwischen IBAN und Name des Kontoinhabers durchzuführen und den Zahler vor Auslösung des Zahlungsvorgangs auf etwaige Diskrepanzen hinzuweisen (vgl. Art. 50 PSR-E). Zudem sind allgemein höhere Anforderungen an die Transaktionsüberwachung vorgesehen (vgl. Art. 83, 88 PSR-E).
Zahlungsdienstleister sollen überdies die Möglichkeit erhalten, betrugsbezogene Informationen DSGVO-konform untereinander auszutauschen (Art. 83 PSR-E). Zahlungsdienstleister sollen ferner verpflichtet werden, ihre Mitarbeiter zu Betrugsmethoden zu schulen und auch ihre Kunden entsprechend zu informieren (Art. 84 PSR-E).
Flankiert werden die vorstehenden Regelungen durch geplante Änderungen der Regelungen zur starken Kundenauthentifizierung („SCA“) (vgl. Art. 85 ff. PSR-E). So sollen die Anwendungsbereiche künftig klarer definiert werden. Zur Vereinfachung der Handhabung bei Zahlungskontoinformationsdiensten soll eine SCA zudem lediglich beim ersten Zugriff auf Daten erforderlich sein, danach nur noch anlassbezogen bei Betrugsverdacht (Art. 86 Abs. 3 PSR-E). Bei digitalen Passthrough Wallets ist eine SCA vorgesehen, sobald ein Zahlungsinstrument in der Wallet registriert wird. Eine Verpflichtung des Zahlungsdienstleisters, einen entsprechenden Auslagerungsvertrag mit dem Wallet-Betreiber zu schließen, soll eine Haftung des Zahlungsdienstleisters für Authentifizierungsmängel gewährleisten. Zudem sollen Zahlungsdienstleister sicherstellen, dass allen Kunden für sie zugängliche SCA-Methoden zur Verfügung stehen, die nicht allesamt denselben technischen Voraussetzungen unterliegen (z.B. Besitz eines Smartphones; vgl. Art. 88 PSR-E).
Mit den zusätzlichen Regelungen zur Betrugsprävention soll die Ausweitung der Entschädigungsrechte von Verbrauchern im Betrugsfall einhergehen. So sollen Verbraucher zum einen eine volle Entschädigung erhalten, wenn der Abgleich zwischen IBAN und Name des Zahlungsempfängers nicht richtig vorgenommen bzw. nicht dem Zahler richtig mitgeteilt wird (Art. 57 PSR-E). Zum anderen sollen auch Spoofing-Opfer Anspruch auf volle Entschädigung durch den Zahlungsdienstleister haben, sofern sie den Betrug unverzüglich polizeilich angezeigt und den Zahlungsdienstleister informiert haben. Der Entschädigungsanspruch soll indes nicht bei grober Fahrlässigkeit des Zahlers bestehen; die Beweislast hierfür trägt jedoch der Zahlungsdienstleister (Art. 59 PSR-E).
Stärkung der Rechte von anderen Zahlungsdienstleistern als Banken
Um Zugangshürden für Zahlungsdienstleister, die nicht Banken sind, abzubauen und dadurch den Wettbewerb zwischen Banken und anderen Zahlungsdienstleistern zu fördern, sollen Banken Anträge auf Zahlungskontoeröffnung durch Zahlungsdienstleister künftig nur noch unter strengeren Voraussetzungen (z.B. bei schwerwiegendem Verdacht auf unzureichende Geldwäschepräventionsmaßnahmen oder bei exzessivem Risikoprofil) ablehnen dürfen. Insbesondere sind die Ablehnungsgründe gegenüber dem Zahlungsdienstleister offenzulegen; diesem soll die Möglichkeit zur Beschwerde bei den zuständigen Aufsichtsbehörden zustehen (Art. 32 PSR-E).
Auch die Vorgaben für die Zulassung von Zahlungsinstituten als Teilnehmer in Zahlungssystemen sollen künftig transparenter werden und weniger Raum für Diskriminierung lassen (Art. 31 PSR-E). Die durch die Finalitätsrichtlinie (Richtlinie 98/26/EG) aufgestellten Zugangsvoraussetzungen werden damit im Ergebnis auf Zahlungsdienstleister, die nicht Banken sind, übertragen.
Senkung der Zugangshürden für Open Banking
Auch die Zugangshürden für Dienstleister im Bereich des Open Banking sollen gesenkt werden: So sollen kontoführende Zahlungsdienstleister, die Zahlungskonten mit Online-Zugriff zur Verfügung stellen, verpflichtet werden, Datenschnittstellen nach konkreten Vorgaben bereitzustellen (vgl. Art. 35 ff. PSR-E), über die Anbieter von Kontoinformationsdienten und Zahlungsauslösedienstleister auf von ihnen benötigte Daten zugreifen können. Die Pflicht, Fallback-Schnittstellen für den Störungsfall vorzuhalten, soll dagegen künftig entfallen; dafür sollen kontoführende Zahlungsdienstleister verpflichtet sein, im Störungsfall alternative Lösungen anzubieten und ggf. Zugriff auf die von ihnen selbst gegenüber ihren Kunden verwendeten Schnittstellen anzubieten (Art. 38 Abs. 2 f. PSR-E).
Um für den Kunden eine transparente Übersicht über gewährte Kontozugriffsberechtigungen zu gewährleisten, sollen kontoführende Zahlungsdienstleister künftig ihren Kunden Zugriff auf ein „Dashboard“ zur Verfügung stellen, das eine Übersicht darüber enthält, welche Datenzugriffsrechte sie wem eingeräumt haben, und ihnen die Möglichkeit zum Widerruf bzw. zur Wiedergewährung einzelner Zugriffsrechte bietet (Art. 43 PSR-E).
Erhöhter Verbraucherschutz
Zusätzlich zu den bereits genannten Regelungsbereichen soll der Verbraucherschutz auch durch andere Maßnahmen gestärkt werden. So sollen Zahlungsdienstleister z.B. im Rahmen von Überweisungen anfallende Wechselgebühren stets als Prozentwert im Vergleich zu den gültigen Wechselkursen der EZB angeben (Art. 13 Abs. 1 lit. f PSR-E). Auf Kontoauszügen soll zur Erhöhung der Nachvollziehbarkeit stets der Handelsname des Zahlungsempfängers angegeben werden (Art. 25 Abs. 1 lit. a PSR-E). Weitere Informationspflichten (z.B. zu Gebühren für die Nutzung inländischer Geldautomaten anderer Netzwerke) sind in Art. 20 PSR-E geregelt.
Stärkung der Befugnisse der Aufsichtsbehörden
Zur Stärkung der Befugnisse der Aufsichtsbehörden sind unter anderem zusätzliche Ermittlungsbefugnisse gegenüber technischen Dienstleistern, den Betreibern von Zahlungssystemen und Auslagerungsunternehmen vorgesehen. Art. 97 PSR-E sieht unter anderem für Verstöße gegen die Vorschriften zur Einrichtung von Zahlungskonten für Zahlungsdienstleister gem. Art. 32 PSR-E oder Betrugspräventionsvorschriften Bußgelder in Höhe von mindestens 10 % des Jahresumsatzes für juristische Personen bzw. EUR 5 Mio. für natürliche Personen vor.
Der EBA sollen im Verbraucherschutzinteresse bei Untätigkeit der nationalen Aufsichtsbehörden weitreichende Eingriffsbefugnisse bis hin zur Untersagung einzelner Arten von Zahlungsdiensten eingeräumt werden (vgl. Art. 104 PSR-E).
Bessere Verfügbarkeit von Bargeld
Schließlich ist im Regelungsvorschlag vorgesehen, dass zur Erhöhung der Verfügbarkeit von Bargeld Einzelhandelsunternehmen künftig auch dann Bargeld an Kunden ausgeben dürfen, wenn diese vorher kein Umsatzgeschäft getätigt haben. Um die Konkurrenz zu Geldautomaten einzugrenzen, ist allerdings eine Begrenzung auf maximal EUR 50 pro Auszahlung vorgesehen.
Rahmenwerk für Zugang zu Finanzdaten (FIDA-E)
Der Vorschlag einer Verordnung für ein Rahmenwerk für den Zugang zu Finanzdaten sieht einheitliche Regeln für den Zugang zu Kundendaten für eine Reihe von Finanzdienstleistungen vor. Damit sollen die Kontenzugangsrechte, die durch PSD2 eingeführt wurden („open banking“), um weitere Zugriffsrechte erweitert werden („open finance“). Regelungssystematisch sollen Zahlungskontodaten weiterhin dem Regelungsregime für Zahlungsdienste (also künftig der PSR) unterfallen, während der Zugriff auf Daten im Zusammenhang mit anderen Finanzdienstleistungen in der FDAR geregelt werden soll. Ziel der FIDA-E ist es, den Kunden die Möglichkeit zu geben, die Nutzung ihrer Finanzdaten effektiv zu kontrollieren.
Die FIDA-E soll für Finanzdaten gelten, die Finanzinstitute im Rahmen ihres üblichen Geschäftsverkehrs mit Kunden verarbeiten und speichern, unabhängig davon, ob es sich um Verbraucher oder Geschäftskunden handelt. Ausgenommen werden indes insbesondere Finanzdaten zur Kreditwürdigkeitsprüfung von Verbrauchern sowie zu Lebens-, Kranken- und Gesundheitsversicherungen. Kunden sollen ein Recht auf direkten elektronischen Zugriff auf ihre Daten erhalten, die Finanzinstitute über sie verfügbar haben. Weiter sollen Kunden das Recht erhalten, auch anderen Dienstleistern den Zugang zu diesen Daten zu verschaffen. Allerdings müssen diese anderen Dienstleister über eine Erlaubnis als Finanzinstitut verfügen oder als Finanzinformationsdienstleister reguliert sein. Während der Datenzugang für Kunden ohne zusätzliche Kosten bestehen soll, ist geplant, dass Finanzinstitute für die von Kunden gewünschte Verschaffung des Datenzugangs für andere Dienstleister von diesen Gebühren erheben können.
Um auch hier Transparenz für den Kunden zu verschaffen, sollen die Finanzinstitute – vergleichbar der geplanten Regelung in der PSR-E – Dashboards unterhalten, die Informationen zu den gewährten Datenzugangsrechten enthalten und die Möglichkeit bieten, erteilte Zugangsrechte unkompliziert wieder zu entziehen.
Ausblick
Der von der Kommission vorgelegte Regelungsvorschlag sowie der FIDA-E werden nun das weitere Gesetzgebungsverfahren durchlaufen, das sich vermutlich bis ins Jahr 2025 hinziehen dürfte. Für die PSR ist vorgesehen, dass sie materiell 18 Monate nach ihrem Inkrafttreten wirksam wird (für den Namensabgleich bei Überweisungen beträgt die Umsetzungsfrist sogar 24 Monate). Für die PSD3 ist insofern eine zeitliche Synchronisierung mit der PSR vorgesehen, als die Mitgliedstaaten 18 Monate Zeit zu deren Umsetzung in nationales Recht haben sollen. Diese Zeit dürfte für die Mitgliedstaaten auch nötig sein, um ihr nationales Recht an die neuen Vorgaben anzupassen. Dies gilt in Deutschland insbesondere für das in §§ 675c ff. BGB und dem EGBGB geregelte Zahlungsdienstezivilrecht. Für die FIDA ist derzeit vorgesehen, dass sie vorwiegend erst 24 Monate nach ihrem Inkrafttreten wirksam wird.
Für Zahlungsdienstleister ist es empfehlenswert, sich frühzeitig mit den anstehenden Änderungen auseinanderzusetzen und die Auswirkungen auf das eigene Geschäftsmodell bzw. die Geschäftsorganisation zu überprüfen. Dies gilt sowohl im Hinblick auf die wirtschaftlichen Konsequenzen der Änderungen für das jeweilige Geschäftsmodell, als auch in Bezug auf rechtliche Detailfragen. Beispielhaft dafür mag sein, dass bereits erteilte Erlaubnisse für die Erbringung von Zahlungsdiensten oder des E-Geld-Geschäfts zwar nicht automatisch bei Inkrafttreten der Neuregelungen entfallen, die bereits zugelassenen Finanzdienstleister den Aufsichtsbehörden jedoch die Erfüllung der geänderten Erlaubnisvoraussetzungen nachzuweisen haben (Art. 44 Abs. 1 PSD3-E).
Raum für innovative Geschäftsmodelle wird insbesondere die FIDA geben, so dass mit Spannung zu erwarten ist, wie sich der Markt für Daten zu Finanzdienstleistungen entwickeln wird. Die Kehrseite ist insoweit freilich, dass die Finanzinstitute, die über die relevanten Daten verfügen, mit einigem Zusatzaufwand zu rechnen haben, um die Datenbereitstellung gewährleisten zu können.
Fest steht jedenfalls schon jetzt, dass das Zahlungsdiensterecht ein dynamisches und innovatives Rechtsgebiet bleiben wird, für das die Weichen durch die PSR-E deutlich zugunsten einer stärkeren Harmonisierung innerhalb der EU gestellt werden. Die durch die FIDA-E vorgesehenen Neuerungen für open finance zeigen überdies, dass dem Zahlungsdiensterecht, das mit der PSD2 schon vor Jahren das open banking eingeführt hat, durchaus die Funktion als Innovationstreiber für die Finanzbranche zukommt.