Unter die Richtlinie fallen insbesondere viele Technologieunternehmen im Finanzsektor (FinTech). Ihr Ziel ist zumeist, Zahlungsdienstleistungen dank moderner Informationstechnologie einfacher und schneller zu machen. Dabei geht es nicht mehr allein um Transaktionen vom PC aus, sondern insbesondere um mobile Anwendungen auf dem Smartphone.3
Für FinTech-Unternehmen ist insbesondere interessant, dass die PSD 2 bestimmten Diensteanbietern Zugang zu Zahlungssystemen und den Zahlungskontoinformationen von Kreditinstituten gewährt (selbstverständlich nur mit Zustimmung des jeweiligen Kunden).4 Der Zugang erfolgt über ein Application Programming Interface (API), also über eine definierte elektronische Schnittstelle. Er soll Drittanbietern den Marktzugang vereinfachen und den Wettbewerb und die Innovation stärken, indem das Monopol der Banken auf deren Zahlungsdaten beseitigt wird. Die Europäische Bankenaufsichtsbehörde EBA regelt die technischen Details für diesen Zugang.
Unternehmen, die Zahlungsdienste erbringen, benötigen eine Bewilligung. Weil Zahlungsauslöse- und Kontoinformationsdienste inzwischen Zugang zu sensiblen Informationen erhalten, unterstehen auch sie neu dieser Bewilligungspflicht. Die Unternehmen müssen u.a. in ihrem Herkunftsstaat und bei der EBA registriert sein und – abgesehen von Kontoinformationsdiensten – ein minimales Anfangskapital aufweisen.5
Die Art. 95 ff. PSD 2 regeln den Umgang mit sicherheitsrelevanten Risiken und die Kundenauthentifizierung.
So muss der Zahlungsdienstleister beispielsweise bei schwerwiegenden Vorfällen die zuständige Behörde und, sofern deren finanzielle Interessen betroffen sein könnten, seine Kunden informieren. Bevor der Kunde zudem auf sein Zahlungskonto zugreifen oder Zahlungsvorgänge auslösen kann, muss er sich bei der kontoführenden Anbieterin authentifizieren. Dabei muss eine starke Kundenauthentifizierung erfolgen, d.h. mindestens eine Zwei-Faktor-Authentifizierung mit Elementen der Kategorien Wissen (wie ein Passwort), Besitz (wie eine Chipkarte) oder «Inhärenz» (dazu gehören z.B. Fingerabdruck, Iris- oder Gesichtserkennung). Bei Zahlungsvorgängen müssen zudem entweder der Betrag oder der Zahlungsempfänger in einem Authentifizierungselement integriert werden.
Als EU-Richtlinie ist die PSD 2 für Schweizer Unternehmen nicht verbindlich. Die Eidgenössische Finanzmarktaufsicht FINMA sieht die PSD 2 zudem hauptsächlich als wettbewerbspolitisch motivierte Regulierung. Nachdem sie bisher kein Regulierungsmandat wettbewerbsrechtlicher Stossrichtung hat, beabsichtigt die FINMA keine analoge Regulierung für die Schweiz, insbesondere nicht für den Zugriff von Dritten.7
Simon Schlauri
- 1 Richtlinie 2015/2366 des europäischen Parlaments und des Rates vom 25. November 2015 über Zahlungsdienste im Binnenmarkt.
- 2 Vgl. Art. 4 Nr. 15 und 16 PSD 2. Zum Ganzen Peter Lutz, Regulatroische Herausforderung von Bezahlsystemen: PayPal & Co, in: ZvglRWiss 2017, S. 177 ff., 184; Hans Rudolf Trüeb/Barbara A. Keiser, Regulierung und Marktzutritt dritter Zahlungsdienstleister, in: Rechtliche Herausforderungen durch webbasierte und mobile Zahlungssysteme, ZIK Bd. 61, Zürich 2015, 161 ff., 164 ff.
- 3 Lutz (FN 2), 179.
- 4 Art. 35 und 36 PSD 2.
- 5 Art. 5 ff. PSD 2; Lutz (FN 2), 186.
- 6 Art. 71 ff. PSD 2.
- 7 Tobias Lux, FINMA, zit. bei Ruedi Maeder, PSD2 und die Schweiz, 30. November 2016, https://www.iso-20022.ch/info-to-go/news/artikel/psd2-und-die-schweiz/; vgl. zur Situation in der Schweiz etwa auch Trüeb/Keiser (FN 2), 175 ff.
