PSD2-Fakten…

von

…und leider auch noch offene Fragen

Dass die Payment Service Directive 2 im Jahr 2018 kommt bzw. in Teilen schon da ist, ist allen im Markt klar. Aber was heißt das genau und wie ist der aktuelle Stand? Ein Faktencheck und Überblick von André M. Bajorat.

PSD2-Fakten und leider auch noch offene Fragen
Photo credit: Isengardt via VisualHunt.com

Bisher wird gerade in der Öffentlichkeit vor allem über die Folgen für Banken gesprochen und deren Bereitstellung von modernen APIs.
Was aber bedeutet die PSD2 für die Anbieter, die sogenannten Dritten, die Bankdaten/Bankzugänge in ihren Diensten bereits nutzen oder nutzen wollen? Die Worte Lizenz, Registrierung und Aufsicht stehen im Raum.

Wir zeigen hier die wesentlichen Fakten gesammelt auf und zugleich stellen wir die noch offenen Fragen.

Was ist die Rechtsgrundlage für die Umsetzung der PSD2

Die BaFin erklärt hier ganz gut, was mit der PSD2 auf den Markt zukommt und welche Grundlagen in der Zukunft gelten:

Im Detail sind es folgende Grundlagen auf der die PSD2 fußt:

Eine der wichtisten fragen: Welche Dienste fallen unter die PSD2?

Eine in der Tat spannende Frage, die noch nicht final zu beantworten ist, wer oder was genau im Scope der neuen Regulierung sein wird. Es gibt sehr klare Beispiele im Markt, jedoch auch Produkte und Services, die eher Grenzbereiche darstellen. In den Grenzbereichen ist noch unklar, ob und in welchem Umfang die Lizenzpflichten auf die Anbieter zutreffen werden.

Recht einfach ist es bei den sogenannten ZADs – Zahlungsauslösediensten – also den Diensten, die eine Überweisung im eigenen Dienst initiieren und über die vorhandene Banken-Infrastruktur senden. Hier ist die Notwendigkeit einer Lizenz sehr klar zu bejahen. Klarna (ohnehin schon eine Bank) oder aber auch Dienste wie Gini Pay werden im Scope sein, da ihre Dienste wie ‚Arsch auf Eimer‘ zum neuen Gesetz passen.

Differenzierter ist die Situation allerdings bei der Registrierungspflicht der sogenannten KIDs – Kontoinformationsdienste, da sich hier in den letzten zwei bis drei Jahren Angebote am Markt entwickelt haben, die bei der Konzeption der PSD2 ggf. noch nicht so prominent oder gar nicht vorhanden waren.

Beispiele für Angebote, die sicher als KID gelten werden:

Alle Multibanking-Apps mit direkter Vertragsbeziehung zum Nutzer über den Kontenzugriff.

Grenzbereiche, bei denen die Lizenzpflicht noch nicht vollständig klar ist:

  • Buchhaltungssoftware, in der Kontoinformationen angezeigt sowie genutzt und auch Rechnungen per Überweisung ausgelöst werden, beispielsweise Dienste wie Candis oder Debitoor.
  • Kontowechseldienste, in denen der Blick auf das Konto Grundlage für die folgenden Prozesse sind. Beispiele dafür sind FinReach oder fino.
  • Kontoinformationen im Rahmen der Kreditantragsstrecke wie bei Auxmoney oder Check24.
  • Vertragsmanager oder Kündigungsdienste, denen die Kontoinformationen als Grundlage für vorhandene Verträge dienen, wie bei moneymap oder Kontoalarm.
  • Steuerberater, die den Kontozugriff der Klienten nutzen, wie es bei vielen Datev-Lösungen der Fall ist.
PSD2-Fakten und leider auch noch offene Fragen
Photo credit: michaelthurm via VisualHunt.com

Welche Dienste fallen eher nicht in den Scope und die Lizenzpflicht?

  • Dienste, die zwecks Legitimierung eines Kunden und Erkennen eines Kontos einen einmaligen Login ins Konto vornehmen und dabei nur sehr begrenzte Daten, die nicht Transaktionsdaten sind, abfragen. Ein Beispiel dafür ist Cringle.
  • Banking-Apps und -Software, die alle Abfragen lokal und nicht severbasiert durchführen, wie es wohl bei Outbank oder PC-Software wie StarMoney der Fall ist.

In Konstellationen mit mehreren Dienstleistern sind im Einzelnen die Vertragsmodelle zu beurteilen, um festzustellen, wer aufsichtspflichtig wird.

Gibt es eine Art Bestandsschutz?

Nicht langfristig.
Alle Dienste im PSD2-Scope, egal wie lange am Markt, sind grundsätzlich lizenz- bzw. registrierungspflichtig. Die Ausnahme sind Dienste, die vor Januar 2016 im PSD2-Scope aktiv waren. Diese haben wesentlich länger Zeit, eine Aufsicht zu beantragen (geknüpft an die Regulatory Technical Standards (RTS)-Geltung ab 2019). Für alle anderen gilt in Deutschland: BaFin-Antragspflicht bis April 2018!

Was ist mit Lösungen für Firmenkunden?

Im Scope der PSD2 sind bisher sicher Zahlungskonten von Retailkunden. Einhellige Meinung ist auch, dass sogenannte Geschäftskundenkonten, die über die selbigen Zugangswege wie Retailkonten verfügen, ebenfalls PSD2 relevant sind. Damit wird sich wohl auch für den oben bereits erwähnten Steuerberater, der im Auftrag seines Mandaten auf dessen Konten zugreift, etwas ändern müssen.
Bisher nicht im Scope sind hingegen Firmenkundenkonten, die beispielsweise heute per Verfahren wie EBICS verarbeitet werden.

Wann startet die neue Welt und damit die Aufsichtspflicht?

Das Gesetz ist in Deutschland verabschiedet und tritt ab Januar 2018 in Kraft. Einerseits freut sich der deutsche Markt über die Schnelligkeit des Gesetzgebers, andererseits müssen vor Januar die aufgezeigten offenen Fragen geklärt sein. Die Marktteilnehmer anderer EU-Länder, in denen sich die PSD2 Umsetzung bis Mitte 2018 oder noch weiter verschiebt, können da etwas entspannter sein, weil sich somit auch die nationale Grundlage für ihre etwaige Aufsichtspflicht verzögert.

Gibt es Unterschiede zwischen den regulatorischen Anforderungen an KID und ZAD?

Ja, aber:
Das ZAG ist hinsichtlich der Anforderungen eher unübersichtlich. Zu empfehlen ist ein Blick in die EBA Guidelines zur Autorisierung/Registrierung.
Wenn man Lizenz- bzw. Registrierungsantragspflichten nach den EBA Guidelines vergleicht, die auch fortlaufende Pflichten transparent machen, ergibt sich im Überblick folgender Unterschied:

PSD2 - Fakten und leider auch noch offene Fragen

Können bestehende Lizenzen genutzt werden?

Ja, Banken zum Beispiel werden sehr einfach als KID und ZAD zugelassen sein. Ansonsten haben sicher auch Zahlungsinstitute einen Vorsprung in der Erfüllung der PSD2-Vorgaben.

Wie ist die PSD2-Lizenz im Vergleich zu bestehenden Lizenzen einzuordnen? (PSD2, inkl. e-Money etc.)

Die PSD2 ist Teil des ZAG und eine Erweiterung der PSD1. Es wird versucht, Lücken und Marktentwicklungen nach dem Inkrafttreten der PSD1 zu schließen. Daher kann man die PSD2 als eine Art Ergänzung verstehen, die aber durch neue Use-Cases nun für bestimmte Anbieter das erste Mal relevant wird.

Wann gibt es denn die APIs von Banken?

Bisher sehen wir in Deutschland außer Ankündigungen noch nicht viel (Berlin Group ist sichtbar). Öffentlich kommuniziert wird, dass es an den noch fehlenden finalen RTS der EBA liegt, die die Banken so zurückhaltend sein lässt.
Final vorliegen müssen die Banken-APIs 18 Monate nach finaler Verabschiedung der EBA RTS. Mit dieser Verabschiedung rechnen Sachkundige aktuell im November 2017.

Kann man auf die Banken APIs bis zu einer Lizenz warten?

Nein – die Lizenz/Registrierung selbst ist losgelöst von den vorhandenen APIs der Banken. Das bedeutet, die Ausrede: “Die Banken sind noch nicht fertig!” wird nicht gelten.

Gilt das alles nur in Deutschland oder in ganz Europa?

Grundsätzlich gilt die PSD2 im gesamten SEPA-Raum. In der Tat sind die Timings und Auslegungen noch nicht harmonisiert, weshalb es unterschiedliche Geschwindigkeiten in der Umsetzung gibt. Deutschland ist hingegen mit der Umsetzung der PSD2 ins ZAG sehr weit vorn, liegt mit der Umsetzung der Banken-APIs allerdings hinter anderen Ländern zurück.

Was passiert, wenn ich die Lizenzpflicht 2018 verpasse?

Spannende Frage, aber die BaFin hat die Möglichkeit, Geschäfte, die in den Scope der PSD2 fallen, die aber über keine Lizenz verfügen, ab 2018 zu untersagen. Wann und wie aktiv dies geschehen wird, ist aktuell noch nicht abzusehen.

Was bedeutet es für ‚Cross Border‘-Dienste, die aus dem Nicht-EU-Ausland heraus arbeiten ?

Dürfen diese API’s nutzen? Müssen sie reguliert sein, wenn sie europäische Kunden ansprechen? Ja und ja – zumindest dürfen Banken, ab Geltung der RTS 2019 allen unregulierten Dritten den Zugang zu Zahlungskonten verweigern. Darauf müssen sich auch Unternehmen außerhalb der EU einstellen.

PSD2-Fakten und leider auch noch offene Fragen
Photo credit: marfis75 via Visual Hunt

Welche Dinge sind noch offen?

  • Screen scraping ja/nein?
    • Wird das heute beliebte Auslesen von Webseiten auch zukünftig weiter für PSD2-Daten erlaubt sein? Hier gibt es unterschiedliche Sichtweisen der EBA auf der einen und der EU-Kommission auf der anderen Seite. Für die Kommission ist Screen Scraping eine Art Fall-Back-Lösung, während die EBA aus Sicherheitsgründen ein Festhalten an Screen Scraping ablehnt. Eine finale Entscheidung wird hier mit den finalen EBA RTS erhofft.
  • Kontoarten
    • Im Fokus der PSD2 befinden sich Zahlungskonten – damit also sicher Girokonten. Alle anderen Konten wie Darlehen, Depot, Sparkonten etc. sind damit zunächst nicht im Scope der PSD2. Unklarheit besteht unter den Experten, wie Kreditkartenkonten oder auch Accounts wie der von PayPal gesehen werden müssen. Letztendlich ist hier in Spezialfällen auf die einzelnen Eigenschaften der Konten abzustellen.
  • 2 Faktor – 2FA
    • Eine neue Anforderung aus der PSD2 ist der sogenannte zweite Faktor zur Legitimierung gegenüber der Bank. Wir kennen in Deutschland einen solchen Faktor vor allem für das Auslösen von Zahlungen, nicht aber für die Abfrage von Kontoinformationen. Hier werden Änderungen auf alle zukommen und Herausforderungen in der User-Experience für die Macher der Dienste entstehen.
  • Brexit
    • Auch wenn die Briten als Vorreiter für Open Banking gelten: Wie so viele Themen ist auch die PSD2 ein Brexit-Thema. Nach dem Brexit wird die PSD2 in der EU-harmonisierten Form wohl nicht im Vereinigten Königreich gelten und die dort niedergelassenen Institute werden eine PSD2-Lizenz in einem EU-Land beantragen müssen, um diese dann EU-weit nutzen zu können.

Fazit

Noch viele offene Fragen aber zugleich lichtet sich auch eine Menge Nebel.

Da dieser Artikel zeitgleich auch auf der figo Seite veröffentlicht wird und bei figo das Thema PSD2 und dessen Folgen auf dem kommenden Bankathon.net in Berlin wieder Schwerpunkt sein werden, hier ein wenig Werbung.

figo arbeitet aktuell hart an der eigenen Lizenzierung zum regulierten Banking Service Provider, sodass sie auch in einer PSD2-Welt der beste Dienstleister für ihre Partner sind – egal ob diese selbst eine Lizenz/Registrierung beantragen wollen oder aber nach einer Lösung suchen, die auch die Aufsichtspflichtanforderungen umfasst und so den Zugang zum Markt vereinfacht und sicherstellt.

André M. Bajorat

CEO figo GmbH bei figo GmbH
André M. Bajorat ist Unternehmer, Berater, Speaker, Business-Angel und Mentor im deutschen Startup- und FinTech-Umfeld aktiv. Aktuell ist er als CEO bei figo.io, Partner bei KI-Finance sowie im Advisoryboard von FinLeap und Cringle aktiv. Initiator der Abstimmung „Fintech des Jahres“ und des „Bankathons„.

Letzte Artikel von André M. Bajorat (Alle anzeigen)

1 Comment

  1. Anmerkungen:
    (1) RTS werden voraussichtlich in der EUC-Sitzung am 27.11 finalisiert und an Rat und Parlament gegeben. Das Parlament hat bereits verkündet, sich drei Monate Zeit zu nehmen, um die RTS zu studieren. Das bedeutet, dass es keine Verabschiedung vor März 2018 gibt. Das effective date wäre somit in Q3/2019 zu verorten.
    (2) Die XS2A API und das I/F werden in DE von der BaFin zertifiziert, Bedingungen und Lab stehen noch nicht fest. Sobald ein deutscher ASPSP BaFin-zertifiziert ist, muss er DA nicht mehr dulden.
    (3) Kontoarten: Accounts in Wallets sind ganz sicher im scope, d.h. bei PP & Co. besteht keine 100%ige Rechtssicherheit. Weiterhin besteht grosse Unsicherheit bei Inkassounternehmen und Leasinganbietern.
    (4) SCA & 2FA: Hier wird es richtig verrückt. Die TRA mit ETV ist komplett markt- und weltfremd. Unternehmer und Unternehmen sollten selbst entscheiden, welchen Risk Appetite sie wollen. Die Payments Industry hat mit EMV, VbV, 3DS etc. nachweisbar ihre Fähigkeit demonstriert, die Fraudprobleme in eigenregie bekämpfen zu können. Jeder Risk Manager eines Payment FinTechs hat hier sicherlich mehr Sachverstand als die Herren Valdis Dombrovskis und Frans Timmermans.
    LG/S

Schreibe einen Kommentar

Your email address will not be published.

*