PSD2 - Stand der EBA-Regulierungsstandards und Leitlinien

In der PSD2 wird die Europäische Bankenaufsicht (EBA) ermächtigt und beauftragt, einige technische Regulierungsstandards RTS) und Leitlinien (insgesamt 11) zu entwickeln, mit denen die Anforderungen der Richtlinie in folgenden Bereichen präzisiert werden sollen.

Hier fassen wir für Sie den Stand der Arbeiten der EBA (per 15. März 2019) zur Entwicklung der Regulierungsstandards und Leitlinien zusammen. Sind Dokumente final, haben wir das in der jeweiligen Überschrift mit (final) in grüner Schrift markiert.

RTS und ITS zu zentralen Register (final)

Nach Artikel 15 Abs 4 PSD2 sind in technischen Regulierungsstandards die technischen Anforderungen für die Entwicklung, den Betrieb und die Führung des elektronischen zentralen Registers und für den Zugang zu den darin enthaltenen Angaben festzulegen. Die EBA hat diesbezüglich am 24. Juli 2017 einen Konsultationsentwurf vorgelegt, zu dem bis 18. September 2017 Stellung genommen werden konnte.

Am 13. Dezember 2017 veröffentlichte EBA schließlich die finalen RTS und ITS-Entwürfe zum zentralen Register.

Diese wurden von der Europäischen Kommission am 29. November 2018 mit zwei delegierten Verordnungen erlassen:

Die Veröffentlichung der beiden Rechtsakte im Amtsblatt erfolgte am 15. März 2019.

RTS zum Passporting nach der PSD2 (final)

Artikel 28 Abs 5 PSD2 verlangt von EBA auch, die Rahmenbedingungen für die Zusammenarbeit und den Informationsaustausch zwischen den zu ständigen Behörden im Rahmen grenzüberschreitender Tätigkeiten von Zahlungsinstituten in RTS festzulegen. Diesbezüglich hat EBA bereits am 11. Dezember 2015 einen entsprechenden Konsultationsentwurf vorgelegt, zu dem bis 30. März 2016 Stellung genommen werden konnte.

Am 14. Dezember 2016 veröffentlichte EBA schließlich ihren finalen Entuwrf der RTS ("EBA final draft regulatory technical standards on the framework for cooperation and exchange of information between competent authorities for passport notifications under the PSD2").

Am 23. Juni 2017 hat die Kommission die RTS als Delegierte Verordnung (EU) 2017/2055 der Kommission angenommen, die Veröffentlichtung im Amtsblatt erfolgte am 11. November 2017.

RTS zur Kooperation der zuständigen HOME / HOST-Behörden (final)

Am 27. Oktober 2017 veröffentlichte EBA den Konsultationsentwurf "Draft regulatory technical standards (RTS) specifying the framework for cooperation and the exchange of information between competent authorities under the PSD2".

Am 31. Juli 2018 veröffentlichte EBA schließlich ihren finalen RTS-Entwurf zur Kooperation der zuständigen HOME/HOST-Behörden. Diese müssen nun noch von der Kommission geprüft und als delegierte Verordnung angenommen werden.

RTS zu zentraler Kontaktstelle (final)

Gemäß Artikel 29 Abs 5 PSD2 sollen zudem in RTS die Kriterien bestimmt werden, die bei der Festlegung der Umstände zu berücksichtigen sind, unter denen die Benennung einer zentralen Kontaktstelle angebracht ist, und die bei der Festlegung der Aufgaben dieser Kontaktstellen anzuwenden sind. Dafür hat EBA am 29. Juni 2017 einen Konsultationsentwurf vorgelegt, zudem bis 29. September 2017 Stellung genommen werden konnte. Am 4. September 2017 fand dazu auch ein öffentliches Hearing bei der EBA statt, bei dem diese Präsentation zum Thema "zentrale Kontaktstelle" veröffentlicht wurde.

Den finalen Entwurf der RTS zu zentralen Kontaktstellen veröffentlichte EBA am 11. Dezember 2017.

Erst am 14. März 2019 hat die EU-Kommission diesen Entwurf als Delegierte Verordnung (Delegated Regulation on supplementing PSD2 with regard to regulatory technical standards on the criteria for appointing central contact points within the field of payment services and on the functions of those central contact points) verabschiedet.

Die Veröffentlichtung im Amtsblatt steht - per 21. Juni 2019 - noch aus.

RTS zur starken Kundenauthentifizierung und sicheren Kommunikation (final)

Die wichtigsten und praktisch relevantesten technischen Regulierungsstandards betrefffen Artikel 98 Abs 1 PSD2, wonach EBA Regulierungsstandards für die Authentifizierung und die Kommunikation festlegen muss. Nach einem bereits Ende 2015 vorgelegten Diskussionspapier hat EBA am 12. August 2016 einen Konsultationsentwurf veröffentlicht, zudem bis 12. Oktober 2016 Stellung genommen werden konnte. Am 23. September 2016 fand zudem ein öffentliches Hearing der EBA zu diesem Thema statt. Am 23. Februar 2017 veröffentlichte EBA schließlich nach langer Diskussion ihren finalen RTS-Entwurf betreffend starke Kundenauthentifizierung und sichere Kommunikation. Mit Schreiben vom 24. Mai 2017 teilte die EU-Kommission mit, dass sie beabsichtigt, diese RTS in abgeänderter Form zu verabschieden. Dazu gab EBA am 29. Juni 2017 eine Opinion ab, mit der sie zu den Änderungswünschen der EU-Kommission Stellung nahm.
 
 
 
Sämtliche technische Regulierungsstandards werden erst wirksam, sobald die Europäische Kommission sie mittels delegierter Rechtsakte gebilligt hat und ihnen damit verbindliche Rechtswirkung verleiht.

Leitlinien zur Berufshaftpflichtversicherung (final)

Gemäß Artikel 5 Abs 4 PSD2 hat EBA bis 13. Jänner 2017 Leitlinien für die Kriterien, anhand deren die Mindestdeckungssumme der Berufshaftpflichtversicherung oder einer anderen gleichwertigen Garantie für Zahlungsauslöse- oder Kontoinformationsdienste festzulegen ist, herauszugeben.
 
Am 22. September 2016 hat EBA diesbezüglich einen Konsultationsentwurf vorgelegt, zu dem bis 30. November 2016 Stellung genommen werden konnte. Der Entwurf sieht Kriterien, Indikatoren, Berechnungsmethoden und Formeln vor, die die zuständigen Behörden im Rahmen eines Konzessionsverfahrens für Zahlungsauslöse- oder Kontoinformationsdienste zu verwenden haben.
 
Am 7. Juli 2017 veröffentlichte EBA schließlich ihre finalen Leitlinien.

Leitlinien zu Zulassungsverfahren (final)

Nach Artikel 5 Abs 5 PSD2 sind von EBA für die Praxis sehr relevante Leitlinien betreffend jene Informationen, die den zuständigen Behörden in einem Antrag auf Zulassung von Zahlungsinstituten zu übermitteln sind, bis zum 13. Juli 2017 zu erstellen. Gemäß Artikel 5(6) PSD2 kann EBA - gegebenenfalls unter Berücksichtigung der Erfahrungen aus der Anwendung der vorgenannten Leitlinien - auch technische Regulierungsstandards zur Präzisierung jener Informationen erlassen. Am 3. November 2016 veröffentlichte EBA ein entsprechendes Konsultationspapier, zu dem bis 3. Februar 2017 Stellung genommen werden konnte.
 
Die finalen RTS bezüglich Zulassungs- bzw. Konzessionsverfahren veröffentlichte EBA am 11. Juli 2017.

Leitlinien zu operationellen und sicherheitsrelevanten Risiken (final)

Leitlinien zu Gemäß Artikel 95 Abs 3 PSD2 hat EBA bis 13. Juli 2017 Leitlinien für die Festlegung, Anwendung und Überwachung der Sicherheitsmaßnahmen zur Beherrschung der operationellen und der sicherheitsrelevanten Risiken im Zusammenhang mit den erbrachten Zahlungsdiensten herauszugeben, gegebenenfalls unter Einbeziehung von Zertifizierungsverfahren. Wenn sie von der EU-Kommission ersucht wird, muss EBA auch einen Entwurf von technischen Regulierungsstandards zu den Kriterien und den Bedingungen für die Festlegung und Überwachung von derartigen Sicherheitsmaßnahmen erstellen (Artikel 95 Abs 4 PSD2). Dabei sind die aus den vorgenannten Leitlinien gewonnenen Erfahrungen zu berücksichtigen. Am 5. Mai 2017 hat EBA einen Konsultationsentwurf für "Guidelines on security measures for operational and security risks under the PSD2" veröffenticht, zu dem bis 7. August 2017 Stellung genommen werden konnte. Am 20. Juni 2017 fand dazu auch ein öffentliches Hearing bei der EBA stattfinden.
 

Leitlinien zur Klassifizierung schwerwiegender Sicherheitsvorfälle (final)

Mit den vorgenannten Leitlinien steht der Auftrag nach Artikel 96 Abs 3 PSD2 in Zusammenhang, wonach EBA auch Leitlinien für Zahlungsdienstleister zur Klassifizierung schwerwiegender Sicherheitsvorfälle sowie zum Inhalt, dem Format und den Verfahren für die Meldung solcher Vorfälle an die zuständige Aufsichtsbehörde vorsehen muss. Die Leitlinien sollen auch vorsehen, nach welchen Kriterien die Relevanz eines Vorfalls zu bewerten ist. Am 7. Dezember 2016 hat EBA ein entsprechendes Konsultationspapier "Draft Guidelines on major incidents reporting under the PSD2" veröffentlicht, zu dem bis 7. März 2017 Stellung genommen werden konnte.
 
Die finalen Leitlinien betreffend 'major incident reporting' veröffentlichte EBA am 27. Juli 2017. 

Leitlinien zu Beschwerdeverfahren (final)

Artikel 100 Abs 6 PSD2 sieht schließlich vor, dass EBA bis 13. Jänner 2018 Leitlinien für die zuständigen Behörden zu den Beschwerdeverfahren herauszugeben hat, die in Betracht zu ziehen sind, um die Gewährleistung und Überwachung der Einhaltung der Richtlinie sicherzustellen. Am 16. Februar 2017 hat EBA ein ensprechendes Konsultationspapier "Draft Guidelines on procedures for complaints of alleged infringements of the PSD2" veröffentlicht, zu denen bis 16. Mai 2017 Stellung genommen werden kann.
 
Am 13. Oktober 2017 veröffentlichte EBA schließlich die finalen Leitlinien zu Beschwerdeverfahren.

Leitlinien zur Meldung von Betrugsfällen (final)

Am 2. August 2017 hat EBA zudem einen Leitlinienentwurf veröffentlicht, der die Voraussetungen betreffend die Meldung von Betrugsfällen gemäß Art 96 Abs 6 PSD2 regelt. Dazu konnte bis 3. November 2017 Stellung genommen werden.
 
Die finale Leitlinien zur Meldung von Betrugsfällen wurden am 18. Juli 2018 veröffentlicht - den finalen Text finden Sie hier.

EBA-Leitlinien sind von den nationalen Aufsichtsbehörden und von der EZB, wenn sie als Aufsichtsbehörde tätig wird, zu beachten, es sei denn diese widersprechen der Anwendung. Einen entsprechenden Widerspruch hat die EBA zu veröffentlichen.

Wir nutzen Cookies auf unserer Website. Einige von ihnen sind essenziell für den Betrieb der Seite, während andere uns helfen, diese Website und die Nutzererfahrung zu verbessern (Tracking Cookies). Sie können selbst entscheiden, ob Sie die Cookies zulassen möchten. Bitte beachten Sie, dass bei einer Ablehnung womöglich nicht mehr alle Funktionalitäten der Seite zur Verfügung stehen.