Directive on Payment Services – PSD 2

Ziele, Zusammenfassung, Übersicht der Themen und mögliche Arbeitspakete für PSD 2 Projekte

Das Rundschreiben 4/2015 (BA) der BaFin, Mindestanforderungen an die Sicherheit von Internetzahlungen (kurz MaSI), gilt als Vorbereitung auf die PSD-II-Zahlungsdiensterichtlinie (Directive on Payment Services). Während die MaSI einen starken Fokus auf die Sicherheit von Internetzahlungen gelegt hat, reguliert PSD II den grundsätzlichen Zahlungsverkehr. Das spannendste Thema ist dabei sicherlich die Einbindung innovativer Marktteilnehmer und die Verpflichtung für Zahlungsdienstleister, sich gegenüber „Third Party Providers“ (TPPs) in Form von geeigneten Schnittstellen zu öffnen. Dazu zählen die Kontoinformationsdienste („Account Information Services“, kurz AIS) oder die Zahlungsauslösedienstleister („Payment Initiation Services“, kurz PIS).

Neben der Stärkung des Wettbewerbs im elektronischen Zahlungsverkehr sollen durch PSD 2 auch folgende Ziele erreicht werden:

  • Sicherer und schneller Zahlungsverkehr innerhalb der EU
  • Transparente Eintrittsbedingungen für Marktteilnehmer
  • Höhere Transparenz und Schutz für den Kunden, inklusive diverser Anforderungen an die Kundenkommunikation, Haftung und Rechte
  • Geringere und transparente Entgelte für Kunden
  • Klärung Haftungsfragen
  • Optimierte Kommunikation der Institute mit den Behörden
  • Erhöhung der Sicherheitsmaßnahmen im Rahmen des Zahlungsverkehrs (z.B. starke Kundenauthentifizierung)

 

Übersicht PSD-2-Themen

Unternehmen, die sich intensiv mit der MaSI auseinandergesetzt haben, kennen den Großteil der Materie und können das bisherige Projektwissen nutzen, um schnell die Projektstruktur anzupassen und die zukünftigen erweiterten Anforderungen umzusetzen.

Jedoch kann die PSD-2-Richtlinie vom 25.11.2015 noch nicht dazu verwendet werden, eine Ausplanung der notwendigen Aufgaben durchzuführen, da gemäß PSD II die European Bank Authority (EBA) einzelne Anforderungen in Form von technischen Standards und Richtlinien konkretisieren muss, wie zum Beispiel die Anforderungen an die starke Kundenauthentifizierung und sichere Kommunikation. Eine Übersicht der EBA-Ausarbeitungen, inklusiver einer Timeline und erster Entwürfe, erhalten sie auf der EBA-Seite.

Von den EBA-Standards und -Richtlinien hängen auch die konkreten Anforderungen ab, welche die IT und die IT Security umzusetzen hat. Verstärkte Sicherheitsmaßnahmen und die Ausgestaltung der Schnittstellen für dritte Zahlungsdienstleister stellen die IT und die Informationssicherheit vor eine große Herausforderung.

Dennoch, die wesentlichen Themenbereiche lassen sich jetzt bereits zusammenfassen. Die folgende Aufzählung entspricht nicht 1:1 der PSD-II-Struktur. Vielmehr sollen die Ausführungen dazu dienen, Ideen für mögliche Projektpakete zu liefern, da die Kapitel der PSD II sich thematisch bündeln lassen (Hinweis: Nicht jede PSD-II-Anforderung richtet sich direkt an Zahlungsinstitute; die Liste erhebt keinen Anspruch auf Vollständigkeit):

 

A. Allgemeine und sonstige Vorschriften und Anforderungen an Zahlungsinstitute

Wesentliche Inhalte u.a.:

  • Beantragungs- und Zulassungsverfahren
  • Anforderungen an die Eigenmittelausstattung
  • Anforderungen an die Sicherung von Geldbeträgen
  • Eintragungen ins EBA-Register
  • Tätigkeiten über die Erbringung von Zahlungsdiensten hinaus
  • Regelungen in der Zusammenarbeit mit Agenten
  • Anforderungen an Auslagerungen (einschließlich IT-Systeme)
  • Zusammenarbeit mit der Aufsicht
  • Prüfungsrechte der Aufsicht
  • Maßnahmen bei Nichteinhaltung der Anforderungen

 

B. Zugang zu Zahlungssystemen und Zahlungskontodiensten (Schnittstellen TPP)

  • Grundsätzliche Anforderungen an die Ausgestaltung der Prozesse, um Drittanbietern wie PIS und AIS Zugänge zu Systemen und Konten zu gewähren. Zu berücksichtigen sind auch Artikel 66 und 67.

 

C. Einzelzahlungen, Rahmenverträge, Allgemeine Haftungsfragen, Beschwerden und Streitbeilegungsverfahren

Wesentliche Inhalte u.a.:

  • Entgelte für Informationen
  • Nachweispflichten zu Informationen
  • Vorvertragliche Unterrichtungen
  • Allgemeine Anforderungen an die Informationspflichten und Vertragsbedingungen bzw. Rahmenverträge
  • Informationen zu Zahlungsaufträgen für Zahlungsempfänger und Zahlungsauslöser
  • Vorabunterrichtungen zu Rahmenverträgen
  • Zugänge zu und Änderungen von Vertragsbedingungen
  • Kündigung
  • Beschwerdemanagement und Streitbeilegungsverfahren

 

D. Autorisierung und Durchführung von Zahlungsaufträgen

Wesentliche Inhalte u.a.:

  • Autorisierung von Zahlungsvorgängen. Dazu zählen die Themen Zustimmung, Widerruf, Verfügbarkeit Geldbeträge, Grenzwerte, Regeln zur Anzeige und Korrektur bei nicht autorisierten oder fehlerhaften Zahlungsvorgängen, Nachweispflichten und Haftungsregelungen, sonstige Pflichten
  • Eingang von Zahlungsaufträgen, Ablehnungen, Unwiderruflichkeit, Ausführungsfristen und Wertstellungsdatum
  • Grundsätzliche Haftungsfragen
  • Regressansprüche

 

E. „MaSI 2.0“ – Schwerpunkt Sicherheitsmaßnahmen und Meldung

Das in Tz. 12 bis 14 der MaSI geforderte Teilthemengebiet Kundeninformation ist bereits in den anderen Themenpaketen enthalten. Der Fokus bei „MaSI 2.0“ liegt auf der Rolle bzw. Funktion des (operationellen) Risikomanagements und des Datenschutzes. Darüber hinaus findet sich hier das Thema Meldung wieder und vor allem die starke Kundenauthentifizierung. Grundsätzlich ist dieses Paket von technischen Sicherheitsmaßnahmen geprägt, die im Rahmen der technischen Regulierungsstandards der EBA konkretisiert werden. Das wird Einfluss auf das bereits in MaSI eingeführte gestaffelte Sicherheitskonzept und entsprechende Sicherheitsrichtlinien haben.

 

Zusammenfassende Darstellung

Das folgende Schaubild fasst die relevanten Arbeitspakete (A-E) zusammen und zeigt, dass PSD II, EBA Vorgaben und nationale Gesetze das Anforderungsset stellen. In der Mitte stehen die im Rahmen eines Scopings definierten und relevanten Zahlungsdienste, die aus rechtlicher, technischer und prozessualer Sicht angepasst werden müssten. Es ist zudem zu beachten, wie auch unter MaSI, dass erst durch ein effektives Governance-System, mit einer wirksamen Risikomanagementfunktion, Auslagerungssteuerung, einem Notfallkonzept, IKS usw., PSD-II-Konformität erzielt werden kann.

Bei weiteren Fragen wenden Sie sich gerne an den Autor dieses Artikels (Ioannis.Karamitros@compliance-net.com). Die compliance-net GmbH verfügt über umfangreiche MaSI-Projekterfahrung und wird Sie weiterhin über relevante Entwicklungen zu PSD II informieren.