Feedback

Gepostet am 23. August 2019 von  Katrin Jastrau, Teamleiterin Regupedia bei ORO Services GmbH in Regularien

Umsetzung der PSD II: Wieder zurück auf Los?

Die Implementierung der sog. Starken Kundenauthentifizierung im Rahmen der <link info-center search-center detail-ansicht dokument>Zweiten Zahlungsdiensterichtlinie (PSD II) erhitzt derzeit die Gemüter von Zahlungsdienstleistern, Online-Händlern und Regulatoren gleichermaßen. 

Entweder war der Implementierungszeitraum von 18 Monaten zu knapp bemessen oder die Anforderungen waren zu komplex. Am 13. März 2018 veröffentlichte die Kommission <link info-center search-center detail-ansicht dokument>ihre technischen Regulierungsstandards für eine starke Kundenauthentifizierung und für sichere offene Standards für die Kommunikation. Bis zum 14. September 2019 müssen Zahlungsdienstleister, Institute und Online-Händler diese Regulierungsstandards im Rahmen der novellierten Zahlungsdiensterichtlinie (PSD II) implementieren. Die Kommission hat hochgesteckte Ziele: Die PSD II soll die Verbraucherfreundlichkeit und Datensicherheit im Online-Zahlungsverkehr erhöhen, den Wettbewerb ankurbeln und innovative Technologien fördern, also schlichtweg den digitalen Binnenmarkt pushen. 

Große Lücke zwischen Wunsch und Wirklichkeit

Knapp drei Wochen vor Ende der Implementierungsfrist sieht die Realität in der Welt des digitalen Zahlungsverkehrs ganz anders aus. Die technische Umstellung auf die sogenannte Zwei-Faktor-Authentifizierung bei Kreditkartenzahlungen im Internet ist offenbar schwieriger als gedacht und obendrein für zahlende Kunden mit deutlichem Mehraufwand verbunden (<link info-center news detail-ansicht artikel umsetzung-der-starken-kundenauthentifizierung-sorgt-fuer-unruhe>Regupedia berichtete).  Die Schnittstellen, die Online-Händler zu den Banken ihrer Kunden PSD II-konform gestalten müssen, sind nach Ansicht der Aufsichtsbehörden verbesserungswürdig und noch nicht ausreichend getestet. Während die BaFin kartenausgebenden Zahlungsdienstleistern in Deutschland eine gute Vorbereitung auf die neuen Anforderungen attestiert, sieht sie bei Online-Händlern, die Zahlungen per Kreditkarte entgegennehmen, „erheblichen Anpassungsbedarf“.

Um Störungen bei Internet-Zahlungen zu verhindern und einen reibungslosen Übergang auf die neuen Anforderungen gemäß PSD II zu ermöglichen, hat die deutsche Aufsicht die Implementierungsfrist für Kreditkartenzahlungen verschoben. Alle Beteiligten dürfen also erst einmal aufatmen – nach dem 14. September 2019 ändert sich bei Kreditkartenzahlungen im Internet erst einmal nichts (Regupedia berichtete). Möglich macht dies eine Stellungnahme der EBA vom 21. Juni 2019, die national zuständigen Behörden (NCAs) einen Aufschub der Implementierungsfristen unter bestimmten Voraussetzungen ermöglicht (zum Regupedia-Steckbrief). 

Nationaler Spielraum verhindert Harmonisierung

Auch Großbritannien, Österreich und einige andere EU-Staaten haben bereits von der Option der EBA Gebrauch gemacht. Das ist völlig legitim. Das Problem ist bloß, dass die EBA bislang noch nicht bekannt gegeben hat, bis zu welchem Zeitpunkt betroffene Akteure ihre Migrationspläne beendet haben müssen. Ab dem 14. September 2019 werden also einige EU-Staaten die neuen Vorgaben anwenden, andere wiederum nicht. Mal werden Online-Kunden die neuen Authentifizierungsverfahren anwenden müssen, mal nicht. Für Verbraucher ist das sicher verwirrend. Für die betroffenen Anbieter heißt das: wieder zurück auf Los und Authentifizerungssysteme bzw. Schnittstellen optimieren. Das war sicher nicht im Sinne der Regulatoren, welche die PSD II bereits Ende 2015 umfassend auf die digitale Ära im Zahlungsverkehr vorbereiten wollten. Aber vielleicht sind diese schon längst damit beschäftigt, neue Vorgaben im Rahmen einer Novelle der PSD II auszuarbeiten.

„Horizon Screening“ mit www.regupedia.de

Übrigens stand bei www.regupedia.de, dem Informationsportal für Finanzmarktregulierung, die Ampel im Steckbrief zu den technischen Regulierungsstandards für eine starke Kundenauthentifizierung und für sichere offene Standards für die Kommunikation bereits am 14. März 2018 auf „rot“. So konnten Regupedia-Kunden schnell erkennen, dass der Handlungsbedarf für Betroffene aufgrund der technischen Komplexität und hohen Datensicherheitsstandards, die bei der Implementierung zu berücksichtigen sind, hoch ist und entsprechend reagieren. 

 ESG: Der Omnibus rollt

 AI-Act: Anwendungsfrist 02. Februar 2025

 Vom Entwurf zur Verordnung: Die Dynamik der saisonalen Regulierung

 Jahresausblick von Regupedia auf 2025

 DORA-Verordnung: Ein neues Kapitel für die digitale Resilienz in der Finanzindustrie

Passwort zurücksetzen

Bitte geben Sie Ihre E-Mail-Adresse an. Wir senden Ihnen eine E-Mail zum Zurücksetzen Ihres Passwortes.


Abbrechen

Newsletter abonnieren


















Captcha*

Bitte beachten Sie, dass Sie zur Anmeldung eine dienstliche E-Mail benötigen. Außerdem können wir Anmeldungen von Branchendienstleistern nicht berücksichtigen.