Vor ziemlich genau einem Jahr habe ich an dieser Stelle die Zahlungsverkehrsrichtlinie PSD2 beleuchtet: Damals stand die European Banking Authority (EBA) noch vor der Aufgabe, die technischen Standards zu definieren und das Europäische Parlament hatte PSD2 noch nicht angenommen. Das alles ist in der Zwischenzeit erledigt, und für die Anbieter von Zahlungsdienstleistungen tickt die Uhr: Anfang 2018 müssen die neuen Standards umgesetzt sein.
Der Aufwand für die Banken ist hoch, andererseits werden die Regulierungsstandards zwischen ihnen und den Zahlungsdienstleistern angeglichen – d.h. eine Wettbewerbsgleichheit hergestellt. In meinem letzten Beitrag hatte ich resümiert, dass der Gewinner am Ende vor allem der Kunde sein wird: Er profitiert von attraktiveren Angeboten und einem besseren Schutz. Das möchte ich heute konkreter ausführen.
Konkurrenz belebt das Geschäft
Nach der Annahme von PSD2 durch das Europäische Parlament fasste die für Wettbewerbspolitik zuständige EU-Kommissarin Margrethe Vestager den Anspruch folgendermaßen zusammen:
„Wir haben bereits die Wettbewerbsvorschriften der EU genutzt, damit sich neue und innovative Akteure neben Banken und anderen etablierten Anbietern am Wettbewerb um digitale Zahlungsdienste beteiligen können. Das heutige Votum des Parlaments baut darauf auf, indem ein Rechtsrahmen geschaffen wird, der solchen neuen Akteuren den Markteintritt erleichtert und gewährleistet, dass sie sichere und effiziente Zahlungsdienste anbieten. Die neue Richtlinie wird den europäischen Verbrauchern erhebliche Vorteile bringen, da sie Online-Einkäufe vereinfacht und die Entstehung neuer Dienstleistungen für die Verwaltung von Bankkonten fördert, etwa um Ausgaben auf verschiedenen Konten im Blick zu behalten.“
Vor allem die Generation Y verlangt nach Banking immer und überall. Mit PSD2 haben FinTechs die Chance, sich mit einfachen und flexiblen Geschäftsmodellen im Zahlungsverkehrsmarkt aufzustellen. Banken werden verpflichtet, ihre Infrastruktur zu öffnen und mit den so genannten „Zahlungsauslöse- und „Kontoinformationsdienstleistern“ erhalten neue Player europaweiten Zugang zum Zahlungsverkehr. Dazu ein kleines Anwendungsbeispiel: Statt mit einer Kreditkarte könnte der Privatkunde auch über einen Drittanbieter eine Zahlung von einem Kleinstbetrag bis 30 Euro* vornehmen – das reduziert die Kosten und den Aufwand auf allen Seiten. Möglich machen dies u.a. Dienste wie Cringle, mit denen Geld einfach per Smartphone versendet werden kann. Das FinTech kooperiert dazu mit der Deutsche Kreditbank AG.
Wie werden Kontoinformations- und Zahlungsauslösedienste definiert?
Ein Kontoinformationsdienst wird definiert als Online-Dienst zur Bereitstellung konsolidierter Informationen über eines oder mehrere Zahlungskonten, das/die bei einem oder mehreren Zahlungsdienstleistern geführt wird/werden. Durch diesen Dienst erhält der Nutzer die Möglichkeit, sich seinen Gesamtfinanzstatus realtime anzeigen zu lassen.
Ein Zahlungsauslösedienst wird als Dienst definiert, der auf Antrag eines Zahlungsdienstnutzers in Bezug auf ein bei einem anderen Zahlungsdienstleister geführtes Zahlungskonto einen Zahlungsauftrag auslöst. Somit sind drei Parteien beteiligt: Der den Zahlungsauftrag erteilende Zahler, der kontoführende Zahlungsdienstleister sowie der zwischen diese beiden tretende Zahlungsauslösedienstleister. Der Zahlungsauslösedienst zielt darauf ab, dem Zahlungsempfänger die Sicherheit dafür zu bieten, dass eine Zahlung angewiesen wurde.
Ein Plus an Sicherheit
Parallel werden hohe Sicherheitsanforderungen für die Auslösung und Verarbeitung elektronischer Zahlungen eingeführt und die Verbraucherrechte gestärkt. Zwar wurden bereits mit den Mindestanforderungen an die Sicherheit von Internetzahlungen (MaSi) Regelungen im Sinne der Verbraucher getroffen, allerdings erstreckten sich diese nicht auf „dritte Zahlungsdienstleister“. PSD2 schließt diese Lücke und verpflichtet zu einer sicheren End-to-End-Verschlüsselung zwischen Kunde und Zahlungsdienstleister: So wird u.a. eine verstärkte Kundenauthentifizierung verlangt.
Dies ist eine Authentifizierung unter Verwendung der Faktoren „Wissen“, „Haben“ und „Sein“ – zwei der drei Faktoren müssen hierbei gegeben sein. Für den Faktor „Wissen“ käme z.B. ein Passwort in Betracht, für den Faktor „Besitz“ eine TAN und für den Faktor „Sein“ ein biometrischer Fingerabdruck, die Iris oder auch die Stimme. Die Kriterien müssen voneinander unabhängig sein, damit die Nichterfüllung eines Kriteriums die Zuverlässigkeit der anderen nicht in Frage stellt und durch die Auslegung des Verfahrens die Vertraulichkeit der Authentifizierungsdaten geschützt ist. In bestimmten Fällen muss die Authentifizierung darüber hinaus Elemente umfassen, die die Transaktion dynamisch mit einem bestimmten Betrag und einem bestimmten Zahlungsempfänger verknüpfen. Dies soll dem Zahlungsdienstnutzer stets Klarheit über den Betrag und den Zahlungsempfänger der von ihm gerade autorisierten Transaktion verschaffen.
Eine besondere Herausforderung stellt in diesem Gesamtkontext das Mobile Payment dar, da die Unabhängigkeit der Faktoren mit Smartphones nicht zu erfüllen ist: Banken müssten den Kunden also entweder einen separaten TAN-Generator zur Verfügung stellen oder sie müssten sie auffordern, Überweisungen, die über Kleinstbeträge hinausgehen, per PC zu tätigen. Beide Optionen erscheinen unbefriedigend, denn sie sind a) umständlich und nehmen b) dem Mobile Banking ein wesentliches Element: die Flexibilität bzw. Mobilität.
PSD2 wird das Banking verändern
Sichere Innovationen mit Mehrwert und Komfort: Darauf können Kunden mit PSD2 hoffen. Bereits heute lässt sich beobachten, dass Arbeitsschritte im Banking für die Kunden vereinfacht oder mit neuem Nutzen angereichert werden. Im besten Fall wirkt die Richtlinie als Katalysator für neue Produkte und Services. Für die Banken ist die Richtlinie sowohl (aufwändige) Verpflichtung als auch Chance. Ob durch Eigenentwicklungen oder sinnvolle (FinTech-)Kooperationen – konsequent umgesetzt stehen unter dem Strich zufriedene Kunden. Und genau darum sollte es doch gehen…
* Art. 42 Abs. 1 PSD2: 30 EUR; nach Art 42 Abs. 2 PSD2 können die Mitgliedstaaten oder ihre zuständigen Behörden, d.h. in Deutschland die BaFin, diesen Betrag für innerstaatliche Zahlungsvorgänge verringern oder verdoppeln.
Bildquelle: Shutterstock