Bestandsaufnahme Payment Service Directive (PSD 2)

November 28, 2016 8:15 am


Seit 2005 bildet die Zahlungsdiensterichtlinie (Payment Service Directive, PSD) die rechtliche Grundlage des EU-weiten Binnenmarkts für den Zahlungsverkehr. Das Ziel der PSD ist es, grenzüberschreitende Zahlungen einfach, effizient und sicher zu gestalten. Gleichzeitig schaffte die PSD die rechtliche Grundlage für den einheitlichen Euro-Zahlungsverkehrsraum (sog. SEPA). PSD und SEPA führten zu erheblichen Verbesserungen der Zahlungsdienstleistungen im EU-Binnenmarkt. Vor dem Hintergrund neuer Zahlungsdienste und damit verbunden neuer Zahlungsdienstleister, sog. Third Party Payment Service Provider, erachtete die EU-Kommission eine Überprüfung und Überarbeitung der PSD als notwendig.


PSD 2

Der EU-Wirtschaftsraum hat von der PSD und SEPA erheblich profitiert; der Marktzugang für neue Zahlungsdienstleister wurde erleichtert, was für mehr Wettbewerb sorgte (EU-Kommission, FAQ PSD 2 vom 8. Oktober 2015). Zudem hat die PSD bei den Konsumenten für mehr Information und Transparenz bei Zahlungdienstleistungen geführt. Gleichwohl war eine Überarbeitung der PSD aufgrund der zwischenzeitlich erfolgten technischen Innovationen und der damit verbundenen Entstehung neuer Zahlungsdienste und Zahlungsdienstleister, welche unter der PSD nicht reguliert wurden, notwendig.

Am 23. Dezember 2015 wurde die PSD 2 im Amtsblatt der Europäischen Union veröffentlicht. Sie trat am 12. Januar 2016 in Kraft (Text der überarbeiteten Richtlinie (PSD 2)). Die EU-Mitgliedstaaten haben bis zum 13. Januar 2018 Zeit, die Richtlinie in nationales Recht umzusetzen.

Die PSD 2 soll einen einheitlichen Rechtsrahmen im EU-Binnenmarkt für E-Zahlungen (mobile- sowie Internetzahlungen) schaffen. Die PSD 2 bezweckt, den Verbaucherschutz zu verbessern, Innovationen zu fördern und die Sicherheit von Zahlungsdiensten zu erhöhen (Pressemitteilung der EU Kommission vom 8. Oktober 2015 betreffend PSD 2).

Nebst der Pflicht der Mitgliedstaaten zur Umsetzung der PSD 2 bis zum 13. Januar 2018 arbeitet die European Banking Authority (EBA) aktuell an technischen Guidelines für die Umsetzung der PSD 2 Sicherheitsanforderungen. Betreffend die verschiedenen Guidelines und Dokumente liegen verschiedene Consultation Paper vor (Informationen betreffend Payment services and electronic money auf www.eba.europa.eu). Bei einzelnen Entwürfen ist die Konsultationsphase bereits abgelaufen, bei anderen Dokumenten läuft die Konsultationsphase teilweise noch bis Februar 2017. Die technischen Standards betreffend Kundenauthentifizierung und sichere Kommunikation sollen im Januar 2017 verbindlich verabschiedet werden (EBA Zeitplan für die Verabschiedung der PSD 2-Erlasse).


Wichtige Neuerungen

PSD 2 bringt im Vergleich zur PSD folgende Änderungen (Pressemitteilung der EU Kommission vom 8. Oktober 2015 betreffend PSD 2):

  • Strenge Sicherheitsanforderungen für die Auslösung und Verarbeitung elektronischer Zahlungen und den Schutz der Finanzdaten der Verbraucher;
  • Diskriminierungsfreier Zugang zu Zahlungsverkehrkonten für sogenannte Third Party Payment Service Provider (Zahlungsauslösedienstleister und Kontoinformationsdienstleister);
  • Stärkung der Verbraucherrechte in zahlreichen Bereichen (z.B. Verringerung der Haftung der Verbraucher für nicht-autorisierte Zahlungen, bedingungsloses Erstattungsrecht bei Lastschriften in Euro);
  • Verbot der Berechnung von Aufschlägen (z.B. zusätzliche Kosten bei Bezahlung mit der Kreditkarte), unabhängig davon, ob die betreffende Zahlung off- oder online erfolgt.

Die nachfolgenden Neuerungen verdienen eine detailliertere Betrachtung (EU-Kommission, FAQ PSD 2 vom 8. Oktober 2015):

  • „One-leg-out-transactions“

Die Bestimmungen der PSD 2 zu Transparenz- und Informationspflichten (Titel III) und über die Rechte und Pflichten im Zusammenhang mit der Bereitstellung und Nutzung von Zahlungsdiensten (Titel IV) werden neu auch auf sog. „one-leg-out-transactions“ angewendet. Damit werden zukünftig, zumindest teilweise, auch Zahlungsvorgänge erfasst, bei denen nur einer der beteiligten Zahlungsdienstleister in der EU ansässig ist. Welche Währung dabei verwendet wird, ist unerheblich. Die PSD war bis anhin nur auf Zahlungsdienste innerhalb der EU unmittelbar anwendbar.

Zu beachten ist allerdings, dass sich diese Ausdehnung des Anwendungsbereichs nur auf diejenigen Elemente einer Transaktion bezieht, welche vom Dienstleister mit Sitz in der EU erbracht wird. Die Haftungsregelungen bzw. Rückerstattungsansprüche der PSD 2 gelten damit nur, wenn diese sich aus Handlungen des EU-Dienstleisters ergeben (EU-Kommission, FAQ PSD 2 vom 8. Oktober 2015). An einer Transaktion beteiligte Zahlungsdienstleister mit Sitz in der Schweiz werden durch diese Änderung des Anwendungsbereichs weiterhin nicht unmittelbar zur Einhaltung der PSD 2 verpflichtet.

  • Third Party Payment Service Provider (TPP)

Eines der Hauptziele der PSD 2 ist es, das „Rechtsvakuum für bestimmte neue Anbieter von Internetdiensten, wie etwa dritten Zahlungsdienstleistern, welche online-banking-basierte Zahlungsauslösedienste anbieten“, zu schliessen (Vorschlag der EU-Kommission zur PSD 2). Die PSD 2 adressiert hierbei Themen wie Vertraulichkeit, Haftung und Sicherheit im Zusammenhang mit solchen neuen Zahlungsdiensten.

TPP sollen einen regulierten und diskriminierungsfreien Zugang zur Schnittstelle zwischen Kunde und kontoführendem Zahlungsdienstleister (gegenwärtig regelmässig ein Kreditinstitut) erhalten. Im Gegenzug müssen sich die TPP zur Einhaltung erhöhter Vertraulichkeits- und Datensicherheitsanforderungen verpflichten. Das Kreditinstitut kann TPP den Zugang nur verweigern, wenn ein begründeter Verdacht auf nicht-autorisierten oder betrügerischen Zugang auf Zahlungskonten besteht. Der Kontoinhaber muss jeweils unverzüglich nach der Zugangsverweigerung informiert werden (Artikel 68 PSD 2).

PSD 2 erfasst zwei Kategorien von TPP (EU-Kommission, FAQ PSD 2 vom 8. Oktober 2015): Kontoinformationsdienstleister, welche konsolidierte Informationen zu einem oder mehreren Zahlungskonten des Kunden anbieten, und Zahlungsauslösedienstleister, welche einen Link zwischen dem Kunden und dem Online-Händler über das Kreditinstitut des Kunden herstellen. Zahlungsauslösedienstleister treten als Mittler zwischen Kunde (Zahler), kontoführendem Zahlungsdienstleister des Zahlers und dem Händler auf. Der Kunde beauftragt den Zahlungsauslösedienstleister, Zahlungsaufträge in seinem Namen direkt von seinem Bankkonto gegenüber seinem Kreditinstitut auszulösen. Der Zahlungsdienstleister erlangt allerdings keinen Besitz an den zu transferierenden Beträgen.

Für ihre Dienstleistungen dringen die TPP in das Rechtsverhältnis zwischen Kunde und kontoführendem Zahlungsdienstleister ein. Das Rechtsverhältnis und die damit zusammenhängende Schnittstelle zwischen Kunde und kontoführendem Zahlungsdienstleister bei Online-Zahlungen muss sehr hohen Ansprüchen an die Vertraulichkeit, den Datenschutz und die Datensicherheit genügen. Die Öffnung der Schnittstelle zwischen Kunde und Kreditinstitut für TPP bringt erhebliche Risiken für den Kunden, aber auch die Bank mit sich. Die PSD 2 verpflichtet deshalb die TPP zur Einhaltung strenger Anforderungen an die Vertraulichkeit und Sicherheit von Kundendaten. Folgende Anforderungen an die TPP sind in der PSD 2 vorgesehen (Art. 58 PSD 2):

  • Authentifizierung und Autorisierung des TPP gegenüber dem kontoführenden Zahlungsdienstleister – es soll verhindert werden, dass der Zahler dem TPP einfach seine eigenen Authentisierungsmittel weitergibt;
  • erhöhte Anforderungen an die Authentifizierung des Kunden durch TPP;
  • Keine Speicherung von sensiblen Zahlungsdaten oder Sicherheitsdaten des Kunden oder des Zahlungsempfängers durch den TPP und keine Weitergabe solcher Daten an Dritte.


PSD 2 und die Schweiz

Aktuell ist umstritten, inwiefern die Schweiz die neuen Vorschriften der PSD 2 berücksichtigen muss (Informationen zu PSD 2 auf www.iso-20022.ch). Klar ist, dass Schweizer Zahlungsdienstleister nicht unmittelbar an die Vorschriften der PSD 2 gebunden sind. Verschiedene Gesichtspunkte sprechen allerdings dafür, dass die Schweiz die Vorschriften mittelbar im nationalen Recht berücksichtigen sollte.

Die PSD wie auch die PSD 2 gelten primär für alle EU- und EWR-Mitgliedstaaten. Da die Schweiz nicht EU-Mitglied ist, finden die PSD und die PSD 2 grundsätzlich keine Anwendung auf die Schweiz. Zu berücksichtigen ist aber, dass die Schweiz am Euro-Zahlungsverkehrsraum (SEPA) teilnimmt. 2006 wurde die Schweiz in den Kreis der SEPA-Mitgliedsländer aufgenommen. Für den Finanzplatz Schweiz war klar, dass eine Teilnahme der Schweizer Bankengemeinschaft geschäftspolitisch und wirtschaftlich sinnvoll war. Um als Mitglied der SEPA aufgenommen zu werden, mussten die Schweizer Finanzinstitute u.a. nachweisen, dass die Bestimmungen von Kapitel III und IV der PSD, welche für SEPA-Überweisungen relevant sind, im nationalen Recht umgesetzt sind.

Weil die neuen Regelungen für TPP im Titel IV der PSD 2 verankert sind, wird die Schweiz, wenn schweizerische Zahlungsdienstleister weiterhin an der SEPA teilnehmen sollen, wohl erneut nachweisen müssen, dass im nationalen Recht gleichwertige Bestimmungen vorhanden sind (Informationen zu PSD 2 auf www.iso-20022.ch). Diese Frage ist allerdings umstritten.


Regelungsbedarf in der Schweiz

Aktuell sind TPP durch das schweizerische Recht nicht explizit erfasst. Je nach Ausgestaltung der Dienstleistungen unterstehen TPP jedoch bereits heute den Pflichten aus dem Geldwäschereigesetz (GwG). Diese Pflichten genügen allerdings den Anforderungen des PSD 2 nicht und haben auch eine andere Zwecksetzung. In Ausnahmefällen – wiederum abhängig vom Gesamtdienstleistungsangebot des TPP – unterstehen die TPP allenfalls dem Bankenrecht und müssen eine Bewilligung der schweizerischen Finanzmarktaufsichtsbehörde (FINMA) einholen. Diese Bewilligungspflicht würde jedoch in den meisten Fällen nicht wegen der Zahlungsverkehrsdienstleistungen, sondern wegen anderer angebotener Dienstleistungen entstehen.

Nach der vorliegenden Auffassung besteht daher Regulierungsbedarf (vgl. auch Informationen zu PSD 2 auf www.iso-20022.ch). Ob dies durch staatliche Gesetze oder in Form der Selbstregulierung erfolgen soll, ist zu evaluieren. Entscheidend ist, dass die getroffenen Regeln für einen angemessenen Interessenausgleich zwischen Kunde (Zahler), TPP und kontoführendem Zahlungsdienstleister führen.

Die TPP haben insofern ein Interesse an einer angemessenen Regulierung, als sonst der diskriminierungsfreie Zugang zur Schnittstelle zwischen Zahler und kontoführendem Dienstleister nicht zwingend sichergestellt ist.

Die kontoführenden Dienstleister, bei denen es sich regelmässig um Kreditinstitute handeln wird, sind aufgrund der für sie bereits anwendbaren Gesetze, Verordnungen und Rundschreiben der FINMA dazu verpflichtet, im Umgang mit TPP sehr hohe Anforderungen einzuhalten. Anhang 3 des Rundschreibens 2008/21 der FINMA über operationelle Risiken vom 20. November 2008 stellt z.B. sehr hohe Anforderungen an die Speicherung, Bearbeitung und die Weitergabe von Kundendaten auf. Das Kreditinstitut muss insbesondere wissen, von wo auf diese Kundendaten zugegriffen wird und muss bei diesem Zugriffspunkt entsprechende organisatorische und technische Massnahmen implementieren, um den unberechtigten Zugriff zu verhindern. Mangels einer gesetzlichen Regulierung für TPP haben die Kreditinstitute die vorgenannten Anforderungen bis anhin auf vertraglicher Basis sichergestellt. Die gesetzlichen Vorgaben an die Kreditinstitute folgen allerdings dem Principle-Based Approach und regeln daher die einzelnen Pflichten nicht im Detail. Zudem befassen sich die bestehenden Vorschriften für Kreditinstitute nicht spezifisch mit der Zusammenarbeit zwischen Kreditinstitut und TPP. Auch die Kreditinstitute haben daher Interesse an einer spezifischeren Regulierung dieser Zusammenarbeit. Dies umso mehr, als zukünftig die Kooperation mit TPP steigen dürfte. Für Kreditinstitute wichtig ist insbesondere auch die Frage der Haftungsverteilung zwischen Kreditinstitut und TPP.


Aktuelle Regulierungsprojekte: FIDLEG und FINIG

Aktuell sind zwei Gesetzesvorhaben betreffend Finanzdienstleistungen in Bearbeitung (Informationen betreffend FIDLEG und FINIG): Das FIDLEG (Finanzdienstleistungsgesetz) regelt die Voraussetzungen für das Erbringen von Finanzdienstleistungen und das Anbieten von Finanzinstrumenten in der Schweiz. Das FINIG (Finanzinstitutsgesetz) unterstellt Dienstleister, welche gewerbsmässig Vermögensverwaltungsdienstleistungen für Dritte erbringen, einer kohärenten Aufsichtsregelung.

Es stellt sich die Frage, ob das FIDLEG oder das FINIG die notwendigen Bestimmungen im Sinne des PSD 2 für TPP ins schweizerische Recht implementieren. Dies ist nach der vorliegenden Auffassung – Ausnahmekonstellationen vorbehalten – nicht der Fall und wäre auch nicht im Interesse der TPP. Insbesondere das FIDLEG mit seinen ausführlichen Informations- und Sorgfaltspflichten ist nicht auf Zahlungsverkehrsdienstleistungen ausgerichtet. Diese fallen grundsätzlich auch nicht unter das FIDLEG. Die entsprechenden Sorgfalts- und Informationspflichten wären für den Zahlungsverkehr einerseits unverhältnismässig und andererseits auch zu wenig spezifisch mit Blick auf die Merkmale und Risiken der Zahlungsverkehrsdienstleistungen.

Nur ausnahmsweise könnten TPP von den neuen Gesetzesvorhaben erfasst werden: Soweit die Dienstleistungen von TPP mit einer Verwaltungsvollmacht verbunden sind und der TPP auch Verwaltungsdienstleistungen erbringt, könnte er unter die Definition des Vermögensverwalters fallen. TPP, die Kontoinformationsdienste zur Erstellung von Budgetierungstools oder Kostenoptimierungsvorschläge als Dienstleistung erbringen, könnten, je nach konkreter Ausgestaltung der Dienstleistung, unter die Definition der reinen Vermittlung von Geschäften oder der Anlageberatung fallen und damit als Finanzdienstleister im Sinne des FIDLEG gelten.

Auch das Finanzmarktinfrastrukturgesetz (FinfraG) bietet keine Rechtsgrundlage für die Implementierung von Pflichten aus dem PSD 2 ins nationale Recht. In der Botschaft zum FinfraG wurde zwar explizit festgehalten, dass Art. 82 FinfraG betreffend Zahlungssysteme u.a. auch dafür genutzt werden kann, um internationalen Rechtsstandards gerecht zu werden. Art. 4 Abs. 1 FinfraG sieht zudem vor, dass Zahlungssysteme dann einer Regulierung und vor allem einer Bewilligungspflicht unterworfen werden können, wenn der Schutz der Finanzmarktteilnehmer eine solche Bewilligungspflicht erforderlich macht. Das Problem ist jedoch, dass TPP und deren Dienstleistungen in vielen Fällen nicht unter die Definition des Zahlungssystems nach Art. 81 FinfraG fallen dürften. Selbst wenn man allenfalls Zahlungsauslösedienstleister als Anbieter von Zahlungssystemen qualifizieren könnte, würden Zahlungsinformationsdienstleister nicht davon erfasst.


Fazit

Aktuell bestehen im schweizerischen Recht noch keine mit den neuen Bestimmungen der PSD 2 vergleichbare Regelungen, insbesondere nicht für TPP. Es besteht im Moment der Eindruck, dass die zuständigen Behörden dies auch nicht zwingend als notwendig erachten. In den aktuell laufenden Gesetzgebungsvorhaben im Finanzdienstleistungsbereich werden die neuen Bestimmungen der PSD 2 zumindest nicht explizit berücksichtigt und implementiert.

Eine zumindest mittelbare Berücksichtigung der neuen Vorschriften der PSD 2, insbesondere auch der Regelungen für TPP, ist auch für den schweizerischen Finanzdienstleistungsmarkt von Interesse. Dies betrifft insbesondere die TPP selbst. Aktuell stellen die kontoführenden Zahlungsdienstleister die Zusammenarbeit mit TPP auf vertraglicher Basis sicher. Wegen der fehlenden spezifischen Regulierung von TPP haben die kontoführenden Institute einen erheblichen Spielraum betreffend die von den TPP zu erfüllenden Anforderungen. Zudem ist nicht von der Hand zu weisen, dass die kontoführenden Zahlungsdienstleister nicht zwingend ein Interesse an der Zwischenschaltung eines TPP haben. Dies führt dazu, dass ein diskriminierungsfreier Zugang von TPP zur Schnittstelle zwischen Kunde und kontoführendem Dienstleister aktuell nicht zwingend sichergestellt ist.

Aber auch die kontoführenden Zahlungsdienstleister haben ein Interesse an einer spezifischeren Regelung. Dies betrifft insbesondere Vorgaben an die Autorisierung des TPP, aber primär auch die Frage der Haftungsverteilung zwischen kontoführendem Zahlungsdienstleister und TPP. Zudem können sich bei der Zwischenschaltung von TPP neue Dienstleistungsoptionen für die kontoführenden Zahlungsdienstleister ergeben.

 

Weitere Informationen:

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.