Jusletter IT

Die Europäische Zahlungsdiensterichtlinie PSD 2

  • Author: Simon Schlauri
  • Category: News
  • Region: Switzerland
  • Field of law: FinTech and RegTech
  • Citation: Simon Schlauri, Die Europäische Zahlungsdiensterichtlinie PSD 2, in: Jusletter IT 18 May 2017
[1]
Die Zahlungsdiensterichtlinie (auch Payment Services Directive 2, PSD 2)1 soll im europäischen Binnenmarkt einheitliche Wettbewerbsbedingungen für Zahlungsdienste schaffen, die Effizienz von Zahlungsdiensten erhöhen, den Verbraucherschutz und die Sicherheit verbessern und die Innovation fördern. Die PSD 2 ersetzt seit dem 12. Januar 2016 die erste Zahlungsdiensterichtlinie von 2007 und ist durch die EU-Mitgliedstaaten bis 13. Januar 2018 in das nationale Recht umzusetzen.
[2]
Zahlungsdienste werden in Anhang I der Richtlinie definiert. Es handelt sich um Dienste für Einzahlungen und Abhebungen, für Lastschriften und Überweisungen sowie für Vorgänge im Kontext von Zahlungskarten. Ebenfalls unter den Begriff fallen die bisher nicht regulierten Zahlungsauslösedienste (Dienste, die im Auftrag des Kunden eine Zahlung von einem bei einem anderen Zahlungsdienstleister geführten Konto auslösen) und Kontinformationsdienste (Dienste, die dem Kunden in Echtzeit einen Überblick über seine Konten bei anderen Dienstleistern vermitteln).2
[3]

Unter die Richtlinie fallen insbesondere viele Technologieunternehmen im Finanzsektor (FinTech). Ihr Ziel ist zumeist, Zahlungsdienstleistungen dank moderner Informationstechnologie einfacher und schneller zu machen. Dabei geht es nicht mehr allein um Transaktionen vom PC aus, sondern insbesondere um mobile Anwendungen auf dem Smartphone.3

[4]

Für FinTech-Unternehmen ist insbesondere interessant, dass die PSD 2 bestimmten Diensteanbietern Zugang zu Zahlungssystemen und den Zahlungskontoinformationen von Kreditinstituten gewährt (selbstverständlich nur mit Zustimmung des jeweiligen Kunden).4 Der Zugang erfolgt über ein Application Programming Interface (API), also über eine definierte elektronische Schnittstelle. Er soll Drittanbietern den Marktzugang vereinfachen und den Wettbewerb und die Innovation stärken, indem das Monopol der Banken auf deren Zahlungsdaten beseitigt wird. Die Europäische Bankenaufsichtsbehörde EBA regelt die technischen Details für diesen Zugang.

[5]

Unternehmen, die Zahlungsdienste erbringen, benötigen eine Bewilligung. Weil Zahlungsauslöse- und Kontoinformationsdienste inzwischen Zugang zu sensiblen Informationen erhalten, unterstehen auch sie neu dieser Bewilligungspflicht. Die Unternehmen müssen u.a. in ihrem Herkunftsstaat und bei der EBA registriert sein und – abgesehen von Kontoinformationsdiensten – ein minimales Anfangskapital aufweisen.5

[6]

Die Art. 95 ff. PSD 2 regeln den Umgang mit sicherheitsrelevanten Risiken und die Kundenauthentifizierung.

[7]

So muss der Zahlungsdienstleister beispielsweise bei schwerwiegenden Vorfällen die zuständige Behörde und, sofern deren finanzielle Interessen betroffen sein könnten, seine Kunden informieren. Bevor der Kunde zudem auf sein Zahlungskonto zugreifen oder Zahlungsvorgänge auslösen kann, muss er sich bei der kontoführenden Anbieterin authentifizieren. Dabei muss eine starke Kundenauthentifizierung erfolgen, d.h. mindestens eine Zwei-Faktor-Authentifizierung mit Elementen der Kategorien Wissen (wie ein Passwort), Besitz (wie eine Chipkarte) oder «Inhärenz» (dazu gehören z.B. Fingerabdruck, Iris- oder Gesichtserkennung). Bei Zahlungsvorgängen müssen zudem entweder der Betrag oder der Zahlungsempfänger in einem Authentifizierungselement integriert werden.

[8]
Die Beweislast für die korrekte Authentifizierung sowie die korrekte Aufzeichnung und Buchung von Vorgängen liegt beim Dienstleister. Nur wenn der Dienstleister beweist, dass der Kunde absichtlich oder grob fahrlässig einen Schaden verursacht hat, haftet der Kunde.6
[9]

Als EU-Richtlinie ist die PSD 2 für Schweizer Unternehmen nicht verbindlich. Die Eidgenössische Finanzmarktaufsicht FINMA sieht die PSD 2 zudem hauptsächlich als wettbewerbspolitisch motivierte Regulierung. Nachdem sie bisher kein Regulierungsmandat wettbewerbsrechtlicher Stossrichtung hat, beabsichtigt die FINMA keine analoge Regulierung für die Schweiz, insbesondere nicht für den Zugriff von Dritten.7

Simon Schlauri

  1. 1 Richtlinie 2015/2366 des europäischen Parlaments und des Rates vom 25. November 2015 über Zahlungsdienste im Binnenmarkt.
  2. 2 Vgl. Art. 4 Nr. 15 und 16 PSD 2. Zum Ganzen Peter Lutz, Regulatroische Herausforderung von Bezahlsystemen: PayPal & Co, in: ZvglRWiss 2017, S. 177 ff., 184; Hans Rudolf Trüeb/Barbara A. Keiser, Regulierung und Marktzutritt dritter Zahlungsdienstleister, in: Rechtliche Herausforderungen durch webbasierte und mobile Zahlungssysteme, ZIK Bd. 61, Zürich 2015, 161 ff., 164 ff.
  3. 3 Lutz (FN 2), 179.
  4. 4 Art. 35 und 36 PSD 2.
  5. 5 Art. 5 ff. PSD 2; Lutz (FN 2), 186.
  6. 6 Art. 71 ff. PSD 2.
  7. 7 Tobias Lux, FINMA, zit. bei Ruedi Maeder, PSD2 und die Schweiz, 30. November 2016, https://www.iso-20022.ch/info-to-go/news/artikel/psd2-und-die-schweiz/; vgl. zur Situation in der Schweiz etwa auch Trüeb/Keiser (FN 2), 175 ff.