PSD2

= Payment Services Directive 2

Was es ist: PSD2 – Die erweiterte Zahlungsdienste-Richtlinie

PSD2 bezeichnet die erweiterte Zahlungsdienste-Richtlinie (2015/2366) des Europäischen Parlaments und des Rates vom 25. November 2015 über die Zahlungsdienste im Binnenmarkt. PSD2 löst die Zahlungsdienste-Richtlinie (2007/64/EG) PSD vom 13. November 2007 ab und ist ab 13. Januar 2018 gültig.

Die Payment Services Directive 2 (PSD2 oder PSD II) ist die revidierte Richtlinie in neuer und erweiterter Auflage – sie definiert zusätzlich die Marktöffnung für Drittanbieter (TPP) im Zahlungsverkehr. Drittanbieter sind Anbieter von Finanzdienstleistungen, welche über APIs Zugriff auf Konten ihrer Kunden bei der jeweils kontoführenden Bank erhalten sollen. Drittanbieter werden insbesondere in zwei Gruppen unterschieden: AISPs (Account Information Service Providers) und PISPs (Payment Initiation Service Providers).

PSD2 sieht im EU-Raum vor, den Zahlungsverkehr auch für Nicht-Banken (also Drittparteien) zu öffnen, um Innovationen und den Wettbewerb zu fördern. Gleichzeitig soll der Verbraucherschutz erhöht werden. Hinter der neuen Richtlinie steht auch die erklärte Absicht, durch neue Anbieter, neue Lösungen und verstärkten Wettbewerb die Kosten im Zahlungsverkehr generell zu senken und die Sicherheit zu erhöhen.

Die Auswirkungen der PSD2

Die PSD2 schafft damit neue Spielregeln im Zahlungsverkehr mit Auswirkungen für alle Teilnehmer: für den Markt, für Konsumenten und vor allem auch für Banken. Finanzinstitute werden verpflichtet, via APIs (Application Programming Interfaces), Zugänge bzw. Schnittstellen für Drittparteien (TPPs) und damit Kontozugriff zu schaffen (XS2A), damit diese am Zahlungsverkehr der Banken teilnehmen können. Selbstverständlich jeweils auf Wunsch und mit dem Einverständnis des jeweiligen Kontoinhabers.

Konkret erhalten Drittparteien "diskriminierungsfreien Zugang" zu Kundenkonten (Access to Account/XS2A) mit den Grundfunktionen "Abfrage von Konteninformationen" (AISPs) sowie "Initiierung von Zahlungen" (PISPs). In der Diskussion stehen deshalb auch die Themen von Sicherheit, Verantwortlichkeiten und Haftung sehr weit vorne.

Die Parteien und ihre Rollen

Vorgaben, involvierte Parteien sowie deren Rechte und Pflichten sind in der Richtlinie PSD2 im Detail definiert und beschrieben. Dabei spielen insbesondere auch erhöhte Sicherheitsanforderungen, Haftungsregelungen und Garantien im Zusammenspiel der bestehenden und neuen Parteien eine zentrale Rolle. Die benannten Parteien für verbraucher- oder geschäftsorientierte Zahlungsdienste hier kurz skizziert:

A | Finanzinstitut: Kontoführender Zahlungsdienstleister
In der Regel das Finanzinstitut, welches Zahlungskonten für Kunden bereitstellt und führt.
Diese Partei wird durch PSD2 verpflichtet, über APIs Zugänge für Drittparteien (TTPs) zu schaffen.

B | TTP: Third Party Provider (Drittanbieter im Zahlungsverkehr)
Im Kern werden zwei Typen von TTPs benannt, welche in der Richtlinie PSD2 als Anbieter von neuen Diensten im Bereich der Internet-Zahlungen identifiziert werden und über APIs Zugang zu Kundenkonten von Finanzinstituten erhalten sollen:

  • AISP: Account Information Service Provider (Kontoinformationsdienste KID)
    Kontoinformationsdienste oder Aggregatoren, welche im Auftrag des Kunden und Kontoinhabers Kontoinformationen elektronisch direkt bei den kontoführenden Finanzinstituten abholen. Mit dem Ziel, konsolidierte und benutzerfreundliche Informationen und Übersichten in elektronischer Form für den Kunden bereitzustellen.

  • PISP: Payment Initiation Service Provider (Zahlungsauslösedienste ZAD)
    Anbieter, welche von Kunden und Kontoinhabern beauftragt oder berechtigt sind, Zahlungen in ihrem Namen direkt von ihrem Konto beim kontoführenden Finanzinstitut auszulösen.

Stationen und Roadmap der PSD2

Die revidierte PSD2-Richtlinie für Zahlungsdienste ist vom Europäischen Parlament im Oktober 2015 formell genehmigt und verabschiedet worden. Die EU-Mitgliedstaaten sind verpflichtet, ihre nationalen Rechtsvorschriften den neuen Richtlinien anzupassen. Konkret soll die neue Richtlinie innerhalb von zwei Jahren umgesetzt und ab 13. Januar 2018 angewendet werden können.

Die EBA (European Banking Authority) ist beauftragt, in enger Zusammenarbeit mit der EZB (Europäische Zentralbank), die technischen Regulierungsstandards wie auch Leitlinien für Rechtsfragen und Haftung sowie Anforderungen und Zulassung für Drittparteien auszuarbeiten. Die wichtigsten Phasen und Termine zur PSD2 im Überblick:

  • Oktober 2015: Grünes Licht für PSD2
    Das Europäische Parlament genehmigt und verabschiedet formell die revidierte PSD2-Richtlinie für Zahlungsdienste.

  • 25. November 2015: Texte und Inhalt PSD2
    Publikation der Inhalte und Texte der erweiterten Richtlinie PSD2 in vollem Umfang.

  • 11. Dezember 2015: Entwurf Standards und Regulierung Aufsichtsbehörden international
    EBA: Regulatory Technical Standards on passporting under PDS2

    Publikation Entwurf RTS (Regulatory Technical Standards) als Konsultations-Papier durch die EBA. Dieser Entwurf regelt den Rahmen für Zusammenarbeit und Informationsaustausch zwischen Behörden mit Blick auf Zahlungsdienstleister, die in mehreren EU-Mitgliedstaaten tätig sind. Nach Abschluss der Konsultationsphase (11. März 2016) wird die finale Version des Regulierungspapiers ausgearbeitet.

  • 12. August 2016: Entwurf Spezifikationen
    EBA: Regulatory Technical Standards on strong customer authentication and secure communication under PSD2

    Publikation Entwurf RTS (Regulatory Technical Standards) als Konsultations-Papier durch die EBA (European Banking Authority). Dieser Entwurf ist das Resultat eines mehrstufigen Konsultations- und Workshop-Prozesses, unter Einbezug von Finanzinstituten und anderen Institutionen. Nach Abschluss der Konsultationsphase (12. Oktober 2016) wird die EBA die finale Version der technischen Spezifikation ausarbeiten. Als Basis für alle Finanzinstitute und Drittparteien. Hier nachzulesen: Feedbacks und Kommentare zum Konsultationspapier.

    EBA hat im Entwurf der RTS technische Standards für eine starke Kundenauthentifizierung sowie Standards für die Kommunikation mit Drittparteien formuliert und vorgeschlagen. Die technischen Anforderungen sind eher global und nicht in die Tiefe spezifiziert, um möglichst viel Freiraum für Innovationen offen zu lassen. In diesem Zusammenhang bereits fixiert: Schnittstellen und Prozesse sind auf den Standard ISO 20022 auszulegen.

  • 22. September 2016: Entwurf Richtlinien Rechtsfragen und Haftung
    EBA: Guidelines on the criteria on how to stipulate the minimum monetary amount of the professional indemnity insurance under PSD2

    Publikation des Entwurfs der Leitlinien zu Rechtsfragen, Haftung und Garantien im Zusammenhang mit PSD2. Publiziert durch die EBA als Konsultations-Papier. Die finale Version wird nach Abschluss der Konsultationsphase (30. November 2016) durch die EBA ausgearbeitet.

  • 3. November 2016: Entwurf Richtlinien Anforderungen und Zulassung Parteien bzw. TPPs
    EBA: Guidelines on authorisation and registration under PSD2

    Publikation des Entwurfs zu Anforderungen, Registrierung und Zulassung von Parteien bzw. TPPs. Als Vorschlag zu einem einheitlichen Rechtsrahmen mit fairen Wettbewerbsbedingungen für alle Zahlungsdienstleister, gegliedert nach: Payment Institutions, Account Information Services Providers, Electronic Money Institutions. Die finale Version wird nach Abschluss der Konsultationsphase (3. Februar 2017) durch die EBA ausgearbeitet.

  • 14. Dezember 2016: Finaler Entwurf Standards und Regulierung Aufsichtsbehörden international
    EBA: Regulatory Technical Standards on Passport Notifications under PDS2

    Publikation endgültiger Entwurf RTS (Regulatory Technical Standards), von der EBA verabschiedet und in harmonisierter Form der Europäischen Kommission vorgelegt. Dieser finale Entwurf regelt den Rahmen für Zusammenarbeit und Informationsaustausch zwischen Behörden mit Blick auf Zahlungsdienstleister, die in mehreren EU-Mitgliedstaaten tätig sind. Der endgültige Entwurf befasst sich auch mit einigen der Bedenken, welche die Finanzindustrie während der Konsultationsphase angemeldet und bei der EBA deponiert hatte.

  • 23. Februar 2017: Finaler Entwurf Spezifikationen
    EBA: Regulatory Technical Standards on Strong Customer Authentication and common and secure communication under Article 98 of Directive 2015/2366 (PSD2)

    Publikation des finalen Entwurfs RTS (Regulatory Technical Standards) durch die EBA (European Banking Authority). Dieser Entwurf ist das konkretisierte Resultat eines mehrstufigen Konsultations- und Workshop-Prozesses, unter Einbezug von Finanzinstituten und anderen Institutionen. Die EBA hat sämtliche Einwände geprüft und teilweise durch Anpassungen im finalen Papier gutgeheissen. Änderungen sind zum Beispiel im Bereich der Lockerung der Regeln zur Zwei-Faktor-Authentifizierung erfolgt. Die Grenze für elektronische Zahlungen ist von 10 auf 30 Euro erhöht worden – Kartenzahlungen, Überweisungen und Smartphone-Zahlungen dürfen bis zu diesem Betrag ohne strenge Sicherheitsprüfungen durchgeführt werden. Insgesamt hat die EBA, in enger Zusammenarbeit mit der EZB, rund 300 Themen und Klärungsanfragen identifiziert und teilweise in den finalen Entwurf mit einfliessen lassen. Die konkreten Anpassungen sind im finalen Papier aufgeführt.

    EBA hat im überarbeiteten und finalen Entwurf der RTS technische Standards für eine starke Kundenauthentifizierung sowie Standards für die Kommunikation mit Drittparteien formuliert und festgelegt. Dieser endgültige Entwurf der RTS wird der Europäischen Kommission zur Annahme vorgelegt, vom Europäischen Parlament und vom Rat geprüft und danach im Amtsblatt der Europäischen Union veröffentlicht. Im Anschluss daran folgt eine Periode von 18 Monaten für involvierte Parteien, um Branchenstandards und technologische Lösungen zu entwickeln, welche den Regeln der finalen RTS folgen. Nach Ablauf dieser Periode wird die PSD2 aktiv im Markt angewendet.

  • 27. November 2017: Verbindliche Spezifikation (RTS)
    Annahme der technischen Standards (RTS) durch die Europäische Kommission und Publikation der finalen und verbindlichen Spezifikation.

  • Im Anschluss: Entwicklung Standards und technologische Lösungen
    Involvierte Parteien (Banken, Finanzdienstleister, Drittanbieter etc.) entwickeln Lösungen, APIs und Prozesse, damit Open Banking unter PSD2 möglich wird. Dazu steht ein Zeitraum von 18 Monaten nach Verabschiedung und formeller Genehmigung der PSD2 zur Verfügung.

  • 13. Januar 2018: Umsetzung PSD2 in nationales Recht
    Die Umsetzung der PSD2 in nationales Recht der EU-Länder (plus SEPA-Raum) ist abgeschlossen, die PSD2 tritt in Kraft. Mit Ausnahme der Sicherheitsmassnahmen, welche in den RTS (Regulatory Technical Standards) definiert sind.

  • Voraussichtlich 4. Quartal 2019: Bereit für den Markt
    Definierte und verabschiedete Standards der RTS sind durch Finanzinstitute und Drittparteien umgesetzt und werden im Markt angewendet. Die Umsetzungsfrist der technischen Standards dürfte nach aktueller Planung im 4. Quartal 2019 enden.

    Die Sicherheitsmassnahmen (starke Kundenauthentifizierung und gemeinsame sichere Kommunikation) müssen innerhalb von 18 Monaten nach Verabschiedung der RTS angewendet werden. Die ursprüngliche Roadmap mit Start ab 4. Quartal 2018 ist nicht umsetzbar, weil der finale Entwurf der RTS (EBA) vom 23. Februar 2017 erst am 27. November 2017 mit der finalen RTS der Europäischen Kommission bereinigt worden ist. Voraussichtlich Ende Februar 2018 wird die RTS durch das EU-Parlament ratifiziert. Nach der Ratifizierung stehen Banken und anderen PSP 18 Monate zur Verfügung, um die RTS umzusetzen. Deshalb dürfte der Termin für die Einführung im Markt auf das 4. Quartal 2019 festgesetzt werden (Stand November 2017).

Chancen und Risiken der PSD2

Der passive Umgang mit der PSD2: Die neue Richtlinie kann von Banken auf das vorgegebene Minimum beschränkt umgesetzt werden. Dann erhalten TTPs (Third Party Providers) mit bestehenden oder neuen Services im Zahlungsverkehr Zugang und die Bank ist gezwungen, bis anhin exklusiv verwaltete Funktionen und Daten mit Drittanbietern zu teilen. Die beträchtlichen Investitionen in Technik und Compliance fallen an, dürften sich jedoch kaum refinanzieren lassen, weil das Finanzinstitut selbst aus der PSD2 keinen direkten Nutzen ziehen kann.

Aktive Szenarien am anderen Ende der Skala: Die Bank agiert offensiv, fasst die Öffnung sogar weiter, entwickelt neue Services und smarte Funktionen, um über konkreten zusätzlichen Nutzen Kunden (und auch Partner) zu begeistern und zu binden. Stichworte dazu: Open API und Open Banking, BaaS und vielseitig nutzbare Mehrwertdienste. In diesem Bereich sind bereits zahlreiche Initiativen in Europa am Laufen, besonders Grossbritannien ist sehr aktiv und innovativ im Thema unterwegs.

Durch einen aktiven und offensiven Umgang mit der PSD2 nimmt die Bank Leistungen vorweg, besetzt neue Geschäftsfelder, sichert sich monetarisierbare Geschäftsbereiche und überlässt das Feld der zusätzlichen Services nicht ausschliesslich Drittanbietern. TTPs sind dann nicht in erster Linie externe "Eindringlinge", vielmehr mögliche Kooperationspartner oder auch Nutzer angebotener Services. Für innovative Banken bietet API Banking neue und grössere Spielfelder – mit allen Chancen, Terrain erfolgreich zu besetzen und sich im Markt zusätzlich als kundenfreundlicher Dienstleister zu profilieren. Mit Angeboten, die sich langfristig rechnen werden.

Und die Schweiz?

Welche Bedeutung hat die PSD2 für die Schweiz? Und, noch wichtiger, welche Rolle spielt die direkte Auswirkung der PSD2, Open Banking, in der Schweiz?

PSD2 & Richtlinie

Europäische Kommission

Richtlinie PSD2 im Detail

Spezifikationen EBA

Konsultations-Papiere
Finale Entwürfe

Informationen EPC

European Payments Council

PSD2 & Open Banking

HBL WebTV: Ruedi Maeder über PSD2 & Open Banking

Hintergrund

Artikel zum Thema