PSD2 – BaFin gewährt Aufschub zur Umsetzung von Anforderungen bei Internetzahlungen

Am 13. Januar 2018 trat das neue Zahlungsdiensteaufsichtsgesetz (ZAG) in Kraft, das den aufsichtsrechtlichen Teil der zweiten EU-Zahlungsdiensterichtlinie (Payment Services Directive – PSD2) umsetzt. Wesentliche Vorgaben der PSD2 sollten jedoch erst am 14. September 2019 in Kraft treten. Hierzu zählen unter anderem die gesetzlichen Anforderungen an die sogenannte „starke Kundenauthentifizierung“ sowie an die technischen Datenschnittstellen der Kreditinstitute, über die Drittdienstleister wie Kontoinformations- oder Zahlungsauslösedienstleister im Auftrag ihrer Kunden auf deren Zahlungskonten zugreifen können.

In den vergangenen Wochen wurden in der Praxis Stimmen lauter, die eine reibungslose Umsetzung der neuen Anforderungen bezweifelten, weshalb die Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) nun reagierte und einen Aufschub zur Umsetzung der gesetzlichen Anforderungen über den 14. September 2019 hinaus gewährte.

1. Anforderungen an dedizierte Kontoschnittstellen

Die §§ 45 ff. ZAG sowie insbesondere die Art. 30 ff. der Delegierten Verordnung (EU) 2018/389 über technische Regulierungsstandards für eine starke Kundenauthentifizierung und für sichere offene Standards für die Kommunikation (Delegierte VO (EU) 2018/389) regeln die Anforderungen an Datenschnittstellen der Kreditinstitute, um eine sichere und funktionierende Kommunikation zu gewährleisten.

Insbesondere müssen die kontoführenden Kreditinstitute gemäß Art. 32 Abs. 3 Delegierte Verordnung (EU) 2018/389 gewährleisten, dass die von ihnen speziell für Drittdienstleister eingerichtete Datenschnittstelle („dedizierte Schnittstelle“) die Bereitstellung von Zahlungsauslöse- und Kontoinformationsdiensten nicht beeinträchtigt.

Um eine Beeinträchtigung der Drittdienstleister zu verhindern, sind die kontoführenden Kreditinstitute gemäß Art. 33 Delegierte VO (EU) 2018/389 verpflichtet, einen Notfallmechanismus – teilweise auch als Fall-Back-Mechanismus bezeichnet – einzurichten. Dieser soll gewährleisten, dass bei unzureichender Leistung oder Nichtverfügbarkeit der dedizierten Schnittstelle die hierdurch betroffenen Drittdienstleister zur Erbringungen ihrer Dienstleistungen auf die allgemeinen Datenschnittstellen im Online-Kundenverkehr ausweichen können (Art. 33 Abs. 4 Delegierte VO (EU) 2018/389).

Die BaFin kann die kontoführenden Kreditinstitute von der Verpflichtung zur Einrichtung dieses Notfallmechanismus befreien, sofern die eingerichteten dedizierten Schnittstellen die gesetzlichen Voraussetzungen gemäß Art. 33 Abs. 6 Delegierte VO (EU) 2018/389 erfüllen:

• Die allgemeinen Anforderungen an die dedizierte Schnittstellen nach Art. 32 Delegierte VO (EU) 2018/389 sind erfüllt.
• Die Schnittstelle wurde zur Zufriedenheit der Drittdienstleister gestaltet und getestet.
• Die Schnittstelle wurde mindestens drei Monate lang von Zahlungsdienstleistern in breitem Umfang für die Erbringung von Kontoinformationsdiensten, Zahlungsauslösediensten und zur Bestätigung der Verfügbarkeit eines Geldbetrags bei kartenbasierten Zahlungsvorgängen genutzt.
• Alle Probleme im Zusammenhang mit der dedizierten Schnittstelle wurden unverzüglich behoben.

Ein nun veröffentlichtes Rundschreiben der BaFin an die Kreditinstitute lässt den Rückschluss zu, dass nach Auffassung der BaFin in einer Vielzahl von Fällen die dedizierten Schnittstellen diesen Anforderungen noch nicht genügen.

Zahlreiche Banken haben einen Antrag auf Befreiung von der Verpflichtung zur Einrichtung des Notfallmechanismus gestellt. Das Rundschreiben der BaFin spricht jedoch von „funktionalen Mängeln“, weshalb es der BaFin voraussichtlich nicht möglich sein werde, die der Behörde vorliegenden Anträge zur Befreiung zur Einrichtung des Notfallmechanismus bis zum 14. September 2019 positiv zu bescheiden. Die BaFin nennt in ihrem Rundschreiben zudem Ausgestaltungen, die sie als „Hindernis“ qualifiziert und somit entgegen Art. 32 Abs. 3 Delegierte VO (EU) 2018/389 für eine Beeinträchtigung von Zahlungsauslöse- und Kontoinformationsdiensten hält. Die Behörde bewertet beispielsweise die Abhängigkeit des Zugangs über die dedizierte Schnittstelle von einer manuellen Eingabe von Daten – etwa der manuellen Eingabe der IBAN des Zahlungsdienstenutzers – als Beeinträchtigung des Drittdienstleisters. Darüber hinaus wird es als Hindernis zur Erbringung von Kontoinformationsdienstleistungen erachtet, wenn der die Leistung erbringende Drittdienstleister über die dedizierte Schnittstelle keine Informationen über bestehende Daueraufträge des Zahlungsdienstenutzers erhalten kann.

Infolgedessen hat die BaFin wörtlich klargestellt: „Für den Fall, dass es eine Bank nicht schafft, den Notfallmechanismus bis zum 14. September 2019 bereitzustellen, können Drittdienstleister auch auf die unangepasste Kundenschnittstelle zugreifen, bis die Bank den Notfallmechanismus fertiggestellt hat.“

Mit anderen Worten: Solange die dedizierten Schnittstellen nicht den gesetzlichen Ansprüchen entsprechen und kein Notfallmechanismus bereitsteht, müssen die kontoführenden Kreditinstitute sicherstellen, dass Drittdienstleister anderweitig auf die Zahlungskonten ihrer Kunden zugreifen können. Bisherige Zugangsschnittstellen sollten deshalb ab dem 14. September 2019 in den betreffenden Fällen nicht für Drittdienstleister geschlossen werden.

2. Starke Kundenauthentifizierung bei Kreditkartenzahlungen im Internet

Ab dem 14. September 2019 soll auch die in § 55 ZAG und Art. 4 ff. Delegierte VO (EU) 2018/389 geregelte sog. starke Kundenauthentifizierung für mehr Sicherheit im Zahlungsverkehr sorgen. Unter anderem soll bei Online-Zugriffen auf ein Zahlungskonto und zur Durchführung elektronischer Zahlungsvorgänge eine Authentifizierung des Zahlers durch den Rückgriff auf mindestens zwei Faktoren der Kategorien Wissen, Besitz und Inhärenz erfolgen.

Per Pressemitteilung vom 21. August 2019 macht die BaFin deutlich, dass nach ihrer Einschätzung in Industrie und Handel noch ein erheblicher Anpassungsbedarf zur Umsetzung der neuen Rahmenbedingungen bestehe. Zwar seien die kartenausgebenden Zahlungsdienstleister in Deutschland auf die neuen Anforderungen vorbereitet, anders sähe das jedoch bei den Unternehmen aus, die Kreditkartenzahlungen im Internet als Zahlungsempfänger nutzen. Um einen reibungslosen Übergang auf die neuen Anforderungen sicherzustellen und um Verbrauchern und Unternehmen weiterhin online Kreditkartenzahlungen zu ermöglichen, werde die BaFin für Kreditzahlungen im Internet vorübergehend nicht auf eine starke Kundenauthentifizierung bestehen. Diese Erleichterungen beträfen jedoch ausschließlich Kreditkartenzahlungen im Internet.

Die BaFin fordert Banken und Drittdienstleister in ihrem Rundschreiben und in der Pressemitteilung auf, gemeinsame konkrete Zeitpläne zu erarbeiten sowie Infrastrukturen für die weitere Umsetzung der gesetzlichen Anforderungen anzupassen. Zum aktuellen Zeitpunkt ist ungewiss, wie lange die anstehende Übergangsphase bezüglich der Umsetzung der Anforderungen an die dedizierten Schnittstellen und an die starke Kundenauthentifizierung anhalten wird.