PSD 2 - alle wichtigen Infos zusammengefasst

Im Mai 2015 hat sich der Europäische Rat mit dem EU-Parlament auf die geänderte Zahlungsdiensterichtlinie (bekannt unter der Abkürzung PSD2) geeinigt. Die PSD2 wurde dann am 25. November 2015 angenommen und im Dezember 2015 veröffentlicht. Sie musste von den Mitgliedstaaten bis 13. Jänner 2018 umgesetzt werden.

Hier finden Sie alle wichtigen Infos zur PSD2:

Ziele der PSD2

Mit der PSD2 wurde auf die vielfältigen Entwicklungen im Bereich innovativer Zahlungsprodukte der letzten Jahre reagiert, vor allem im Bereich Mobile und Online Payments. Zudem sollen Verbraucher besser vor Betrug, etwaigem Missbrauch und sonstigen Problemen bei der Durchfürhung von Zahlungen geschützt werden.

PSD2 Neuerungen

Die PSD2 brachte eine Reihe an Neuerungen mit sich. Diese haben beachtlichen Einfluss auf die Entwicklung neuer Zahlungsprodukte. Folgende Änderungen gehen mit der PSD2 einher:

  • Es entstanden in den letzten Jahren neue Zahlungsdienste, so genannte Drittdienste, die nun im Rahmen der PSD2 reguliert sind. Dabei handelt es sich um Zahlungsauslösedienste und Kontoinformationsdienste.
  • Mit der Einführung der Drittdienste endet auch das "Monopol" der Kreditinstitute auf die Kontoinformationen ihrer Kunden. Kontoinhaber können nun den Zugriff auf ihre Kontoinformationen für Drittdienstleister freigeben (sog "Open Banking" bzw "Access to Account", kurz auch "XS2A" genannt). Für den Kontenzugriff müssen entsprechende technische Schnittstellen geschaffen werden. Diese gelten jedoch erst ab 14. September 2019. Trotzdem dürfen kontoführende Institute Drittanbietern den Zugang zu den von ihnen geführten Zahlungskonten davor nicht verweigern, auch wenn die sicheren Kommunikationsstandards im Sinne der PSD2 noch nicht erfüllt werden.
  • Neu ist auch die mit der PSD2 eingeführte, so genannte "starke Kundenauthentifizierung" ("Strong Customer Authentication" bzw "SCA"). Sie gilt ebenfalls ab 14. September 2019 und bringt strengere Anforderungen an die Autorisierung von elektronischen Zahlungsvorgängen.

Größerer Anwendungsbereich der PSD2

Nach Ansicht der Europäischen Kommission bestand nach der PSD1 ein Rechtsvakuum für bestimmte innovative Anbieter von Internetdiensten, so genannten Drittdienstleistern, die Online-Banking-basierte Zahlungsauslösedienste anbieten. Dabei handelte es sich z.B. um Unternehmen, die zwischen einem Händler und der Bank eines Käufers stehen und eine Softwarebrücke zwischen der Händlerwebsite und der Online-Banking-Plattform des Kunden schaffen, um Überweisungen über das Internet auszulösen. Die Kommission betrachtete die Nutzung solcher Dienste als eine gangbare und häufig preisgünstige Alternative zu Kartenzahlungen, die auch für jene Verbraucher attraktiv ist, die keine Karten besitzen. Derartige Dienste wurden nun zum Schutz der Verbraucher mit der PSD2 reguliert, weshalb Zahlungsauslösedienste (sog Payment Initiation Services) mittlerweile als Erbringer von Zahlungsdiensten gelten. Derartige Unternehmen müssen daher nun im Rahmen der PSD2, wie alle anderen Zahlungsinstitute, über eine entsprechende Konzession verfügen, bevor sie tätig werden dürfen.

Auch Kontoinformationsdienstleister (sog Account Information Services) fallen in den Anwendungsbereich der PSD2. Mit derartigen Kontoinformationsdiensten kann ein Nutzer Informationen über Konten abrufen, etwa über Smartphone Apps, die er bei verschiedenen Banken und Zahlungsinstituten führt. Zu diesem Zweck erhält der Dienstleister Zugriff auf die Daten dieser Konten. Der Nutzer muss sich seine Informationen also nicht einzeln zusammentragen, indem er verschiedene Online-Banking-Zugänge öffnet, sondern kann die Informationen bei einem Anbieter zusammenführen. Damit hat er sie auf einen Blick verfügbar. Das ist aber nur ein Beispiel für Kontoinformationsdienstleister.

Das "digitalisierte Zahlungsgeschäft" wurde hingegen im Rahmen der PSD2 gestrichen. Dies bedeutet aber nicht, dass digitalisierte Zahlungsdienstleister nicht mehr konzessionspflichtig sind. Derartige Geschäftsmodelle fallen jetzt vielmehr unter allgemeinere Zahlungsdienstetatbestände (Ausgabe von Zahlungsinstrumenten und/oder Annahme und Abrechnung von Zahlungsinstrumenten), sofern kein PSD2-Ausnahmetatbestand erfüllt ist.

Einschränkungen der Ausnahmen mit PSD2

Die mit der PSD2 beschlossenen Einschränkung der Ausnahmen betrifft viele unter der PSD1 außerhalb der Regulierung agierende Anbieter, beispielsweise Online-Handelsplattformen, technische Dienstleister, Coupon-Systeme, etc.

Diese Entwicklung ist den früher bestehenden Rechtsunsicherheiten geschuldet, ob ein bestimmtes Geschäftsmodell einen Zahlungsdienst verwirklicht oder nicht. Vor der PSD2 wurden Geschäftsmodelle bewusst derart gestaltet, um von einer Ausnahmebestimmung der damaligen PSD1 zu profitieren. Mit den diesbezüglichen Änderungen, die die PSD2 bringt, soll vor allem eine kohärente Anwendung des Rechtsrahmens in allen Mitgliedstaaten und ein verbesserter Schutz der Verbraucherinteressen, besonders für neue Zahlungswege und innovative Zahlungsdienste, erreicht werden.

So wird etwa der Ausnahmetatbestand des begrenzten Netzes an Waren oder Händlern ("Closed Loop") restriktiver definiert. Dienstleister, die die Aufnahme eines "begrenzten Netzes" planen, müssen dies nunmehr vorab der zuständigen Aufsichtsbehörde anzeigen und einen Antrag auf Anerkennung als begrenztes Netz stellen, wenn innerhalb von zwölf Monaten im Monatsdurchschnitt mehr als 1 Mio € Transaktionsvolumen abgewickelt wird.

Auch die Ausnahmebestimmung für digitale Inhalte (sog "Klingeltonausnahme"), von der früher hauptsächlich der Telekom-Sektor profitierte, wurde neu und einschränkend definiert. Die Ausnahme gilt nur noch für Betreiber elektronischer Kommunikationsnetze oder -dienste, die Zahlungsvorgänge im Zusammenhang mit dem Erwerb digitaler Inhalte oder sprachbasierter Services als Nebendienstleistungen erbringen. Außerdem wurde eine Betragsgrenze eingezogen: Übersteigt der Wert eines einzelnen Zahlungsvorgangs 50 € und der kumulative Wert der Zahlungsvorgänge innerhalb eines Rechnungsmonats 300 €, gilt die PSD2-Ausnahme nicht mehr.

Weiters schränkt die PSD2 die Ausnahme für Handelsagenten ein. Die Befreiung wurde vor der PSD2 etwa von E-Commerce-Plattformen genutzt, die als Handelsvertreter eine treuhandähnliche Stellung einnehmen. Sie agierten als Vermittler zwischen Unternehmen und Verbrauchern und wickelten insbesondere die Kaufpreiszahlung treuhändig ab. Dies ging der EU-Kommission zu weit. Nach der PSD2 gelten nur mehr Zahlungsvorgänge von Zahlern an Zahlungsempfänger über Handelsagenten als befreit, die befugt sind, den Verkauf oder Kauf von Waren oder Dienstleistungen nur im Namen des Verkäufers oder nur im Namen des Käufers auszuhandeln oder abzuschließen. Geschäftsmodelle, bei denen der Agent für beide Seiten auftritt, können im Rahmen der PSD2 daher nicht mehr von der Ausnahme profitieren.

Starke Kundenauthentifizierung

Die PSD2 sieht auch vor, dass Zahlungsdienstleister eine "starke Kundenauthentifizierung" verlangen müssen, wenn Zahler online auf ein Zahlungskonto zugreifen. Dies ist auch so, wenn sie einen elektronischen Zahlungsvorgang auslösen oder sonst eine Aktion über einen Distanzkanal durchführen, die ein Betrugs- oder Missbrauchsrisiko des Zahlungsdienstes mit sich bringt. Authentifizierung bedeutet in diesem Fall, eindeutig und nachweisbar festzustellen, dass ein bestimmter Nutzer eine bestimmte Zahlung in Auftrag gegeben hat. Damit dient die Authentifizierung als Schutz davor, dass Zahlungen unberechtigt ausgeführt werden.

Die EBA entwickelte technische Regulierungsstandards, mit denen Anforderungen an starke Authentifizierungsmaßnahmen sowie Ausnahmen festgelegt wurden. Darin wurden auch die Voraussetzungen an die von Zahlungsdienstleistern zu erfüllenden Sicherheitsmaßnahmen konkretisiert, um die personalisierten Sicherheitsmerkmale der Nutzer zu schützen. Nach einigem Zank zwischen der EBA und der Europäischer Kommission wurden die finalen RTS zur starken Kundenauthentifizierung und sicheren Kommunikation im März 2018 von der Europäischen Kommission als delegierte Verordnung angenommen. Diese gilt großteils ab dem 14. September 2019.

Umsetzung der PSD2 in Österreich

Die PSD2 war von den Mitgliedstaaten bis 18. Jänner 2018 umzusetzen. In Österreich wurde der entsprechende Begutachtungsentwurf (Zahlungsdienstegesetz 2018 bzw. ZaDiG 2018) zur PSD2 Umsetzung erst am 20. Oktober 2017 veröffentlicht. Eine Zusammenfassung des ZaDiG 2018-Entwurfs finden Sie hier. Österreich musste dabei auch die von EBA noch zu erlassenden Regulierungsstandards und Leitlinien berücksichtigen. Das ZaDiG 2018 wurde schließlich Anfang 2018 beschlossen und am 24. April 2018 im Bundesgesetzblatt veröffentlicht.

Das ZaDiG 2018 trat großteils am 1. Juni 2018 in Kraft. Einige Bestimmungen zur starken Kundenauthentifizierung und zur sicheren Kommunikation mit Drittdienstleistern (Stichwort "Open Banking Schnittstelle") treten jedoch erst am 14. September 2019 in Kraft.

PSD2 Timeline

Hier finden Sie noch eine übersichtliche, chronologische Zusammenfassung der wichtigsten Ereignisse zur PSD2:

18. Juli 2018
Die EBA veröffentlicht ihre finalen Leitlinien über die Anforderungen an die Meldung von Betrugsfällen gemäß Artikel 96 Absatz 6 der Richtlinie (EU) 2015/2366 PSD2). Die offizielle deutsche Übersetzung dieser Leitlinien finden Sie HIER.
1. Juni 2018
Das ZaDiG 2018, mit dem die PSD2 in Österreich umgesetzt wurde, ist großteils in Kraft getreten.
25. Mai 2018
Hier ein Update des PSD2-Umsetzungsstands in den Mitgliedstaaten, veröffentlicht von der Kommission. Bislang haben die folgenden 23 Mitgliedstaaten die PSD2 umgesetzt: Österreich, Belgien, Bulgarien, Kroatien, Zypern, Tschechien, Dänemark, Estland, Finland, Frankreich, Deutschland, Griechenland, Ungarn, Irland, Italien, Lettland, Litauen, Luxemburg, Polen, Slowakei, Slowenien, Schweden und Großbritannien. Holland, Malta, Portugal, Rumänien und Spanien haben die PSD2 bislang noch nicht vollständig umgesetzt.
19. Dezember 2017
Die EBA veröffentlicht eine "Opinion" zum Übergang von der PSD1 auf die PSD2. Hier finden Sie eine Zusammenfassung dieser Opinion.
13. Dezember 2017
Die EBA veröffentlicht ihre finalen RTS und ITS-Entwürfe zum zentralen Register. Diese müssen nun noch von der EU-Kommission verabschiedet werden.
12. Dezember 2017
Die EBA veröffentlicht ihre finalen Leitlinien zu operationellen und sicherheitsrelevanten Risiken im Rahmen der PSD2.
11. Dezember 2017
Die EBA veröffentlicht finale RTS-Entwürfe zu zentralen Kontaktstellen im Rahmen der PSD2. Diese müssen nun noch von der EU-Kommission verabschiedet werden.
27. November 2017
Die Europäische Kommission hat die finalen technischen Regulierungsstandards zur starken Kundenauthentifizierung und sicheren Kommunikation (RTS) angenommen. Sofern Rat oder Europäisches Parlament dazu binnen drei Monaten keine Einwände haben, werden die RTS voraussichtlich Ende Februar 2018 veröffentlicht. Sie treten dann 18 Monate später in Kraft.
20. Oktober 2017
Das österreichische Finanzministerium veröffentlicht einen Begutachtungsentwurf zur Umsetzung der PSD2.