Gepostet am 23. August 2019 von in
Umsetzung der PSD II: Wieder zurück auf Los?
Entweder war der Implementierungszeitraum von 18 Monaten zu knapp bemessen oder die Anforderungen waren zu komplex. Am 13. März 2018 veröffentlichte die Kommission <link info-center search-center detail-ansicht dokument>ihre technischen Regulierungsstandards für eine starke Kundenauthentifizierung und für sichere offene Standards für die Kommunikation. Bis zum 14. September 2019 müssen Zahlungsdienstleister, Institute und Online-Händler diese Regulierungsstandards im Rahmen der novellierten Zahlungsdiensterichtlinie (PSD II) implementieren. Die Kommission hat hochgesteckte Ziele: Die PSD II soll die Verbraucherfreundlichkeit und Datensicherheit im Online-Zahlungsverkehr erhöhen, den Wettbewerb ankurbeln und innovative Technologien fördern, also schlichtweg den digitalen Binnenmarkt pushen.
Große Lücke zwischen Wunsch und Wirklichkeit
Knapp drei Wochen vor Ende der Implementierungsfrist sieht die Realität in der Welt des digitalen Zahlungsverkehrs ganz anders aus. Die technische Umstellung auf die sogenannte Zwei-Faktor-Authentifizierung bei Kreditkartenzahlungen im Internet ist offenbar schwieriger als gedacht und obendrein für zahlende Kunden mit deutlichem Mehraufwand verbunden (<link info-center news detail-ansicht artikel umsetzung-der-starken-kundenauthentifizierung-sorgt-fuer-unruhe>Regupedia berichtete). Die Schnittstellen, die Online-Händler zu den Banken ihrer Kunden PSD II-konform gestalten müssen, sind nach Ansicht der Aufsichtsbehörden verbesserungswürdig und noch nicht ausreichend getestet. Während die BaFin kartenausgebenden Zahlungsdienstleistern in Deutschland eine gute Vorbereitung auf die neuen Anforderungen attestiert, sieht sie bei Online-Händlern, die Zahlungen per Kreditkarte entgegennehmen, „erheblichen Anpassungsbedarf“.
Um Störungen bei Internet-Zahlungen zu verhindern und einen reibungslosen Übergang auf die neuen Anforderungen gemäß PSD II zu ermöglichen, hat die deutsche Aufsicht die Implementierungsfrist für Kreditkartenzahlungen verschoben. Alle Beteiligten dürfen also erst einmal aufatmen – nach dem 14. September 2019 ändert sich bei Kreditkartenzahlungen im Internet erst einmal nichts (Regupedia berichtete). Möglich macht dies eine Stellungnahme der EBA vom 21. Juni 2019, die national zuständigen Behörden (NCAs) einen Aufschub der Implementierungsfristen unter bestimmten Voraussetzungen ermöglicht (zum Regupedia-Steckbrief).
Nationaler Spielraum verhindert Harmonisierung
Auch Großbritannien, Österreich und einige andere EU-Staaten haben bereits von der Option der EBA Gebrauch gemacht. Das ist völlig legitim. Das Problem ist bloß, dass die EBA bislang noch nicht bekannt gegeben hat, bis zu welchem Zeitpunkt betroffene Akteure ihre Migrationspläne beendet haben müssen. Ab dem 14. September 2019 werden also einige EU-Staaten die neuen Vorgaben anwenden, andere wiederum nicht. Mal werden Online-Kunden die neuen Authentifizierungsverfahren anwenden müssen, mal nicht. Für Verbraucher ist das sicher verwirrend. Für die betroffenen Anbieter heißt das: wieder zurück auf Los und Authentifizerungssysteme bzw. Schnittstellen optimieren. Das war sicher nicht im Sinne der Regulatoren, welche die PSD II bereits Ende 2015 umfassend auf die digitale Ära im Zahlungsverkehr vorbereiten wollten. Aber vielleicht sind diese schon längst damit beschäftigt, neue Vorgaben im Rahmen einer Novelle der PSD II auszuarbeiten.
„Horizon Screening“ mit www.regupedia.de
Übrigens stand bei www.regupedia.de, dem Informationsportal für Finanzmarktregulierung, die Ampel im Steckbrief zu den technischen Regulierungsstandards für eine starke Kundenauthentifizierung und für sichere offene Standards für die Kommunikation bereits am 14. März 2018 auf „rot“. So konnten Regupedia-Kunden schnell erkennen, dass der Handlungsbedarf für Betroffene aufgrund der technischen Komplexität und hohen Datensicherheitsstandards, die bei der Implementierung zu berücksichtigen sind, hoch ist und entsprechend reagieren.