Überblick

Dieses Maßnahmenpaket soll den bisherigen Rechtsrahmen, der alle elektronischen Zahlungen innerhalb der EU regelt, an die seit 2015 eingetretene Marktentwicklung anpassen und damit nicht nur den bisherigen Innovationen innerhalb der Branche Rechnung tragen, sondern diese auch weiter fördern. Dabei spielen nicht nur neue Formen an Zahlungsdienstleister und Zahlungsmethoden (z.B. kontaktlose Zahlungen, QR-Codes) eine wichtige Rolle, sondern auch neue Betrugsformen und der Schutz davor.

Wesentlichste Neuerungen und Änderungen

Die bisherigen Regelungsbereiche der PSD II werden in die PSR überführt, um eine weitergehende Harmonisierung in der Europäischen Union zu erreichen. Wie auch schon bei CRR und CRD IV verbleiben die Regelungen zum Erlaubnisverfahren und der Beaufsichtigung von Zahlungsdienstleistern in der Richtlinie, um nationale Besonderheiten berücksichtigen zu können. Besonders ist, dass die bisherige E-Geld-Richtlinie (Richtlinie 2009/110/EG) in die PSD III integriert werden soll. Ziel der Integration ist die Reduzierung der Bürokratie, da es bereits einen weitestgehenden Gleichlauf der E-Geld-Richtlinie und der PSD II gibt.

Zusammenfassend betreffen die wesentlichsten Änderungen die Bereiche:

• Erlaubnispflicht
• Starke Kundenauthentifizierung (SCA)
• Betrugsbekämpfung
• Open Banking
• Schnittstellen (API)
• Transparenz

Auswirkungen

Die Neuerungen und Änderungen betreffen insbesondere Anbieter von Zahlungsdiensten (Zahlungsinstitute und Kreditinstitute). Gerade diese Zahlungsdienstleister sollten sich mit den Anpassungen vertraut machen und möglichen Handlungsbedarf identifizieren. Dabei haben unseres Erachtens die Anpassungen bei

• Erlaubnispflicht
• Starke Kundenauthentifizierung (SCA)/Betrugsbekämpfung

den größten Handlungsbedarf.

Erlaubnispflicht

Wie schon 2018 bei der Einführung der PSD II, gibt es durch die PSD III sowohl Änderungen in den Erlaubnistatbeständen als auch im Erlaubnisverfahren (z.B. Eigenmittelanforderungen, Berechnungsmethode, Sanierungs-/Abwicklungsplanung) aber auch bei den Anforderungen, dass bereits erlaubte Zahlungs- und E-Geld-Institute (ZAG-/E-Geld-Institut) eine neue Erlaubnis nach der PSD III beantragen müssen („Reautorisierung“). Für die Reautorisierung wird es nach dem derzeitigen Entwurf eine Übergangsfrist („Grandfathering“) von 24 Monaten geben. In diesen 24 Monaten muss das ZAG-/E-Geld-Institut eine Anzeige bei der BaFin einreichen und nachweisen, dass die Anforderungen des Titels II PSD III eingehalten werden.

Starke Kundenauthentifizierung (SCA)/Betrugsbekämpfung

Zahlungsdienstleister sollen stärker in die Pflicht und damit auch in die Haftung genommen werden, um betrügerische Handlungen zu erschweren. Nach dem Willen der EU-Kommission soll das auf zwei Arten erfolgen: Zum einen soll die SCA für Zahlungsdienstnutzer, bei der erstmaligen Anwendung sowie spätestens alle 180 Tage, abgefragt werden. Bei der SCA oder auch Zwei-Faktoren-Authentifizierung haben sich die Zahlungsdienstnutzer durch mindestens zwei verschiedene Verfahren aus den Kategorien Wissen (z.B. PIN), Besitz (z.B. Zahlungskarte) oder Inhärenz (z.B. Fingerabdruck) zu identifizieren. Insbesondere bei der Nutzung der Zahlungsdienste durch Wallets (z.B. Apple Pay, Samsung Pay, Google Pay) gibt es Anpassungsbedarf. Zahlungsdienstleister haben einen Auslagerungsvertrag mit den Wallet-Anbietern zu schließen. Damit soll sichergestellt werden, dass die Zahlungsdienstleister nicht für Mängel des Wallet-Anbieters haften müssen und dass der Wallet-Anbieter verpflichtet wird, die SCA-Anforderungen zu erfüllen.

Auf der anderen Seite müssen sich Zahlungsdienstleister besser gegen „Spoofing[1]“ schützen. Gelingt es Betrügern, die sich als Mitarbeiter:in des Zahlungsdienstleisters ausgeben, einen Kunden (der Verbraucher ist) zu einem betrügerischen Zahlungsvorgang zu bewegen, so haftet der Zahlungsdienstleister für den entstandenen Schaden.

Beide Maßnahmen (SCA und Betrugsbekämpfung) der EU haben zur Folge, dass Zahlungsdienstleister nicht nur ihre IT-Umgebung noch besser gegen Betrügereien absichern müssen, sondern auch interne Prozesse und Abläufe anpassen müssen, um „Spoofing“ zu erschweren. Eine Absicherungsmaßnahme kann auch das Transaktionsmonitoring sein, um Zahlungen frühzeitig stoppen zu können.

Die nächsten Schritte

Die Entwürfe zur PSD III und PSR werden vom Europäischen Parlament sowie vom Rat der Europäischen Union geprüft und die jeweiligen Standpunkte eingebracht. Nach Inkrafttreten der PSD III und PSR verbleiben den Anbietern von Zahlungsdienstleisten 18 Monate, um die neuen Anforderungen der PSR vollständig umzusetzen. Wohingegen die Anforderungen der PSD III in nationales Gesetz überführt werden müssen. Die Vergangenheit hat jedoch gezeigt, dass Richtlinien-Umsetzungsgesetze ohne langwieriges Verfahren in Deutschland beschlossen werden.

Für die Anbieter von Zahlungsdiensten sollte jetzt die Zeit genutzt werden, um eine erste spezifische Analyse der Änderungen auf ihr eigenes Geschäftsmodell und vor allem auf IT-Systeme und -Funktionen durchzuführen. Ziel sollte es sein, das eigene ZAG-/E-Geld-Institut in die Lage zu versetzen, innerhalb der 24 Monate nach Inkrafttreten von der BaFin reautorisiert zu sein. Dafür müssen die neuen Anforderungen vollständig umgesetzt und die Auslagerungsverträge abgeschlossen sein. Unsere Regulatorik- und IT-Experten:innen von Severn unterstützen Sie gerne bei der Analyse und Durchführung der Anpassungen. Gerne steht Ihnen Matthias Gölz (Matthias.Goelz(at)severn(dot)de) für eine erste Kontaktaufnahme und Fragen zur Verfügung.