PSD2: Was bedeutet die Zahlungsdiensterichtlinie für Sie?

Verbraucherschützer und viele Politiker versuchen auf EU-Ebene, das Kaufen und Bezahlen im Internet sicherer für Käufer zu gestalten. Neben Banken spielen inzwischen auch einige andere Zahlungsdienstleister eine große Rolle im E-Business. Denn Anbieter wie PayPal bieten Shop-Betreibern und auch Nutzern praktische Lösungen, um Bezahlvorgänge zu erleichtern. Wichtig ist dabei stets, dass der Komfort nicht auf Kosten der Sicherheit gehen darf.

Damit die Verbraucher nicht mit unseriösen Unternehmen zusammenarbeiten müssen, hat die Europäische Kommission verbindliche Richtlinien festgelegt. Nun haben diese ein Update erfahren. Auf was müssen sich Anbieter und Nutzer von Onlineshops fortan einstellen?

PSD2-Richtline: Was ist das?

Bereits 2007 hatte die EU die erste Version der Richtlinie angenommen. Die Payment Service Directive (PSD) sollte – und soll auch heute noch – den europaweiten Zahlungsverkehr durch Unternehmen regeln, die nicht als traditionelle Banken gewertet werden. Der Sinn dahinter ist es, neben Banken auch anderen Unternehmen zu ermöglichen, Zahlungsdienstleistungen über das Internet anzubieten und damit den Wettbewerb in diesem Bereich des Finanzsektors anzukurbeln und gleichzeitig zu regulieren.

Die Payment Services Directive 1 & 2 dienen somit verschiedenen Zielen:

  • Wettbewerb bei Zahlungsdienstleistungen öffnen
  • Kosten für Verbraucher senken
  • Start-ups aus dem Bereich Finanztechnologie (kurz: Fintech) kontrollieren und stärken
  • Mehr Sicherheit beim Bezahlen im Internet schaffen

Geschichte der Zahlungsdiensterichtlinien: Von PSD I zu PSD II

Mit der ersten Version der Zahlungsdiensterichtlinie hatte die Europäische Kommission einen wichtigen Vorstoß vorgenommen, den internationalen Zahlungsverkehr zu regulieren. Im Sinne der Angleichung des europäischen Zahlungsverkehrs (Stichwort SEPA) schafft PSD die rechtlichen Grundlagen für Dienstleister in diesem Bereich. Dies bezog sich damals wie heute auch ganz explizit auf Anbieter, die nicht der Bankenbranche entstammen. Das Monopol der Kreditinstitute auf den Zahlungsverkehr wurde durch PSD also gebrochen.

Als sogenanntes Zahlungsinstitut kann aber nicht jedes Unternehmen auftreten. Die Payment Services Directive hat verbindliche Kriterien festgelegt, die ein solcher Anbieter erfüllen muss. Doch trotz vieler klarer Regeln blieben weiterhin einige Unsicherheiten bestehen und Spielräume offen – einige solcher Probleme wurden sogar erst mit der Richtlinie geschaffen.

Mit PSD2 versucht die EU nun, solche Lücken zu schließen und darüber hinaus noch mehr Sicherheit für den Verbraucher zu schaffen. Das funktioniert zum Beispiel über die Vergabe von verbindlichen Zertifikaten und Siegeln, die nur über anerkannte Organisationen bezogen werden können. In Deutschland beispielsweise über die Bundesdruckerei (bzw. deren Tochter D-Trust), die auch für die Herstellung von Reisepässen und Personalausweisen zuständig ist.

Außerdem brauchen Unternehmen eine Genehmigung der nationalen Finanzaufsicht – in Deutschland ist das die Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin).

Payment Services Directive 2 im Detail

Die zweite Version der Zahlungsdiensterichtlinie wurde bereits 2017 beschlossen und zu Beginn des Jahres 2018 in deutsches Recht überführt. Die PSD2 wird ab 2019 (Stichtag ist der 14. September) verbindlich. Die Übergangsperiode ist dann abgelaufen. Eine der wichtigsten Neuerungen – die von einigen als Revolution angesehen wird – ist die Tatsache, dass Banken anderen Unternehmen nun Zugang zu den Informationen ihrer Kunden liefern müssen. Allerdings selbstverständlich nur dann, wenn der jeweilige Nutzer dazu auch sein Einverständnis gegeben hat.

Banken müssen den dafür zugelassenen Anbietern bald eine Schnittstelle liefern, damit diese direkt Überweisungen veranlassen und außerdem Informationen über Kontostände und andere Finanzdetails der Nutzer abrufen können. Doch warum ist das so wichtig? Und aus welchem Grund sollte man dies Unternehmen ermöglichen?

Auch in der Vergangenheit haben viele Verbraucher bereits solche Dienste genutzt, ohne dass hierfür allgemeingültige und verbindliche Regeln bestanden. Gerade im Fintech-Bereich bieten einige Unternehmen interessante Software an, mit denen Nutzer ihr Vermögen verwalten können. Apps zum Sparen, zum Abschließen von Versicherungen oder zum Spekulieren an der Börse brauchen Informationen der Bank. Infolge der PSD2 sind Banken dazu verpflichtet, Unternehmen mit entsprechenden Zertifikaten eine Schnittstelle zu bieten, über welche Dienstleister die benötigten Informationen abrufen und Zahlungen bzw. Überweisungen durchführen können.

Hinweis

Auch mit PSD II können Unternehmen nicht willkürlich auf Ihre sensiblen Finanzdaten zugreifen. Neben der behördlichen Zulassung brauchen Dienstleister nämlich insbesondere Ihre ausdrückliche Zustimmung, um Daten von Ihrer Bank zu erhalten.

Dienstleister haben zwar schon früher auf Informationen aus dem Bankkonto zugegriffen, hatten davor aber keinen einheitlichen Zugang. Während man in Deutschland zwar mit Homebanking Computer Interface (HBCI) eine standardisierte Schnittstelle geschaffen hat, waren Unternehmen international auf eine Technik namens Screen Scraping angewiesen. Bei diesem Verfahren zieht der Dienstleister alle Informationen aus der Website des Onlinebanking-Anbieters. Das ist nicht sonderlich effizient und zudem anfällig für Fehler. Seit PSD2 sind Banken verpflichtet, einen Access to Account (XS2A) einzurichten, über den Dienstleister Zugriff erhalten.

PSD2 bietet auch Lösungen, damit die Übertragung der sensiblen Daten über die Schnittstellen künftig ohne Risiken für den Verbraucher abläuft. Mit zwei verschiedenen Mitteln soll die Sicherheit der Daten garantiert werden:

  • QWAC: Über dieses Zertifikat sollen sich Anbieter und Bank gegenseitig identifizieren. Außerdem verschlüsselt QWAC die Übertragung der Daten.
     
  • QSiegel: Das Siegel wird Daten beigefügt und ordnet sie einem Unternehmen zu. So lässt sich später nachvollziehen, welche Unternehmen über die Schnittstelle auf das Bankkonto zugegriffen und Daten übermittelt haben. Außerdem garantiert das Siegel, dass Daten nicht unbemerkt verändert werden.

Um diese Lizenzen bzw. Siegel beantragen zu können, brauchen Anbieter die Genehmigung einer nationalen Aufsichtsbehörde. Die BaFin regelt dies für Deutschland. PSD2 sieht vor, dass man zwei verschiedene Genehmigungen erhalten kann:

  • Kontoinformationsdienst: Dienstleister dieser Kategorie sind an Informationen aus dem Bankkonto des Kunden interessiert, um sie zu verwerten. In diesem Fall ist nur eine Registrierung und keine Lizensierung notwendig.
     
  • Zahlungsauslösungsdienst: Das Unternehmen mit dieser Lizenz kann im Auftrag des Kunden Zahlungen bzw. Überweisungen vornehmen.

Anders als früher überprüfen die nationalen Aufsichtsbehörden Drittanbieter nun also überaus genau, bevor selbige Nutzerinformationen erhalten dürfen. Die Aufsichtsbehörde untersucht dabei den kompletten Unternehmensaufbau, achtet darauf, was für interne Kontrollen es gibt, wie in Krisen verfahren wird, und wie das Unternehmen abgesichert ist. Dies stellt vor allem eine Hürde für kleine Start-ups dar, geschieht aber zugunsten des Verbraucherschutzes.

Was ändert sich für Kunden und Betreiber von Onlineshops?

Die neue Zahlungsdiensterichtlinie betrifft zum allergrößten Teil Banken und andere Dienstleister im Finanzsektor. Normale Anwender bekommen nur wenig von den entsprechenden Änderungen im Hintergrund mit. Und auch für Onlinehändler ändert sich nur wenig.

PSD2 aus Nutzersicht

Die PSD in der 2. Version verspricht dem Onlinekäufer mehr Sicherheit bei der Bezahlung. Die Vergabe von Lizenzen für die technischen Lösungen sowie die Überprüfung durch Aufsichtsbehörden gewährleisten einen verlässlicheren Schutz sensibler Daten. Direkt spüren dürften Nutzer aber vor allem die obligatorische Zwei-Faktor-Authentisierung. Zukünftig müssen Kunden eine Zahlung über eine zweite Methode bestätigen und sich so gegenüber der Website identifizieren. Dies funktioniert beispielsweise über eine SMS mit einer TAN. Der Kunde muss den erhaltenen Code dann beim Bezahlvorgang eintragen, um den Vorgang abzuschließen. Auch eine Identifizierung per Fingerabdruck ist theoretisch möglich.

Fakt

Mit der Einführung der Zwei-Faktor-Authentisierung werden übrigens auch die inzwischen veralteten iTAN-Listen für das Onlinebanking abgelöst. Auch diesbezüglich setzen die Banken künftig auf SMS, Apps oder spezielle TAN-Geräte.

Der Kunde kann zudem mit günstigeren Preisen rechnen, denn Onlinehändler dürfen keine Zusatzkosten mehr für bestimmte Zahlungsoptionen (wie etwa die Kreditkarte) erheben.

Man kann davon ausgehen, dass durch PSD2 zukünftig weitaus mehr Unternehmen im Finanzbereich mitmischen werden. So wird bereits jetzt darüber spekuliert, ob große Konzerne wie Amazon oder eBay in den Sektor einsteigen. Diese Onlinemarktplätze könnten dann die Kosten durch eine Bestellung direkt vom Konto abbuchen, statt den Umweg über die Lastschrift zu gehen.

Onlinehändler & PSD II: Auf was muss man achten?

Viele Aspekte der Payment Service Directive 2 haben mit der technischen Umsetzung zu tun und zahlreiche Onlinehändler fragen sich daher, was sie an ihrem System ändern müssen. Zahlungen, die über einen Onlineshop getätigt werden, müssen schließlich fortan durch die Zwei-Faktor-Authentisierung gesichert werden.

Dieser Zwang entsteht durch die in der PSD2 geforderte Strong-Customer-Authentication (SCA). Kunden müssen die Überweisung von Geld durch mindestens zwei Faktoren aus den Bereichen Wissen (z. B. Passwort oder PIN), Besitz (z. B. Karte oder Smartphone) oder Inhärenz (z. B. Stimme oder Fingerabdruck) autorisieren. Das gilt für alle Summen über 30 Euro. Sollten mehrere Käufe innerhalb von einem Tag insgesamt einen Wert von 100 Euro überschreiten, ist selbst dann die 2FA notwendig, wenn die einzelnen Posten unter die Schwelle von 30 Euro fallen.

Um Zahlungen ausführen zu können, arbeiten Betreiber eines Onlineshops meist mit einem Partner zusammen. Dieser sollte die Anforderungen der PSD2 in seinem System umsetzen. Die Kreditkarteninstitute haben beispielsweise eine neue Version von 3D Secure entwickelt. Händler im E-Commerce müssen dann nur darauf achten, dass ihr Shop das Sicherungsverfahren auch korrekt einbaut.

Ganz explizit gelten die Anforderungen von SCA nicht für das Lastschriftverfahren. Hierbei handelt es sich um Pull Payment – der Verkäufer fordert das Geld bei der Bank an. Das sichere Verfahren ist aber nur für Push Payments vorgesehen, wenn der Kunde also direkt eine Zahlung veranlasst.

Hinweis

Die Zwei-Faktor-Authentisierung muss zum 14. September 2019 in Onlineshops implementiert sein.

Die andere wichtige Neuerung für Onlinehändler: Die sogenannte Surcharge ist nicht länger zulässig. Zuvor war es üblich, dass Händler zum Beispiel für Zahlungen per Kreditkarte einen Aufschlag auf den Kaufpreis forderten, denn dem Händler entstehen dadurch zusätzliche Kosten. Auch für Zahlungen über PayPal dürfen Händler übrigens keine zusätzlichen Gebühren verlangen. Das hat der Zahlungsabwickler durch seien AGB unterbunden.

Bitte beachten Sie den rechtlichen Hinweis zu diesem Artikel.