Im Rahmen der Zahlungsdienste-Richtlinie PSD2 können künftig Verbraucher Drittanbietern Zugriff auf wesentliche Kontodaten gewähren - schaffen die Regeln tatsächlich mehr Freiheit, oder sind sie nur der nächste Schritt auf dem Weg zum gläsernen Verbraucher?
PSD2 hat bekanntlich die Zahlungsdienste-Richtlinie PSD von 2007 abgelöst und ist seit 13. Januar 2018 auch in Österreich gültig. Die neuen Zahlungsdienste-Regeln zielen vorrangig darauf ab, Konsumenten besser zu schützen, wenn sie online bezahlen. Auch die Nutzung innovativer Online- und Mobile Payment Lösungen soll damit gefördert werden.

Wie sieht das konkret aus? PSD2 beendet das Monopol der europäischen Banken beim Zugriff auf Kontodaten, denn künftig müssen diese auch Drittanbietern – etwa FinTech-Startups – den Zugriff auf Daten ihrer Kunden ermöglichen. Dieser Ansatz ist grundsätzlich positiv, verfolgt er doch die weitere Digitalisierung und Standardisierung des Bankwesens, die Vereinfachung des Zahlungsverkehrs im Internet sowie mehr Transparenz und Systemsicherheit für grenzüberschreitende europäische Zahlungsdienste. Für die Banken ist das natürlich nicht unproblematisch: Laut einer Studie der Unternehmensberatung Roland Berger kann ihnen aufgrund von PSD2 bis zu 40 Prozent ihres Gewinns im Retailgeschäft wegbrechen. Allerdings ist es auch eine Chance, das eigene Angebot auszubauen, Prozesse zu optimieren und den Fokus noch stärker auf Kundenfreundlichkeit zu richten.

Wir sehen PSD2 als einen wichtigen Schritt Richtung digitaler Binnenmarkt, der sowohl den Unternehmen als auch den Konsumenten zugutekommt und einen fairen Wettbewerb sicherstellt. Aus datenschutzrechtlicher Perspektive müssen die Verbraucher aber nicht fürchten, gläsern zu werden, da die Unternehmen nicht unkontrolliert auf Kontodaten zugreifen dürfen. Jede Datenweitergabe muss ausdrücklich erlaubt werden, der Zugriff läuft über die Hausbank und stets nur für den angefragten Zweck. Habe ich als Kunde beispielsweise Konten bei zwei verschiedenen österreichischen Banken und möchte diese mit einer App zusammenführen, so braucht die App natürlich Zugriff auf meine Konten. Das maschinengesteuerte Auslesen von Girokonten zwecks Analyse sämtlicher Zahlungen und Gewohnheiten ist hingegen verboten.

Uneinigkeit gibt es noch über die technischen Schnittstellen. Wie sollten diese aus Ihrer Sicht gestaltet werden?
PSD2 verpflichtet die Banken, entsprechende Schnittstellen einzurichten, welche Zahlungsdienstleistern den Zugriff auf die Konten der Bankkunden erlauben. Allerdings gibt es noch Unklarheiten zwischen Banken und FinTech-Unternehmen bzgl. der richtigen Ausgestaltung. Der Bankensektor meint, Kontodaten sollten künftig nur noch über spezielle Schnittstellen abgefragt werden können, nicht mehr direkt via Onlinebanking bzw. Screen Scraping. Wie auch immer die konkrete Einigung aussehen wird – entscheidend sind kurze Kommunikationsvorgänge und eindeutige Referenzen für ausgetauschte Daten sowie eine geeignete Verschlüsselung beim Datenaustausch.

Die Richtlinie sieht auch strengere Sicherheitsregeln etwa für Kartenzahlungen im Netz vor – wie bewerten Sie diese Vorschriften?
Angesichts der Zunahme an Cybercrime-Fällen in den vergangenen Jahren sehen wir diese strengeren Sicherheitsregeln durchaus positiv – wenngleich die sog. "starke Kundenauthentifizierung" den heimischen E-Commerce vor neue Herausforderungen stellt. Seit PSD2 reicht es nicht mehr, wenn Konsumenten bei der Online-Bezahlung nur ihre Kartendaten und Kontonummer (Faktor Besitz), nur Username und Passwort (Faktor Wissen) oder nur ihren Fingerabdruck (Faktor Inhärenz) verwenden. Die verpflichtende Kombination zweier von drei Faktoren soll die Sicherheit der Kunden erhöhen.
Darüber hinaus untersagt die neue Zahlungsdienste-Richtlinie den Händlern, Aufpreise für die Nutzung bargeldloser Zahlungsmittel zu verlangen, etwa für Zahlungen mit Kreditkarte. Auch die automatische Blockierung eines gewissen Betrags auf der Kundenkreditkarte aus Sicherheitsgründen ist künftig nur noch nach Zustimmung möglich. Diese Änderungen waren aus meiner Sicht nicht unbedingt nötig, der Handel hat aber auch dafür gute, kundenfreundliche Lösungen gefunden.

Was sollte aus Ihrer Sicht künftig beim digitalen Zahlungsverkehr regulatorisch noch getan werden?
Die größte Baustelle haben wir aktuell noch im Bereich der Regulierung von Kryptowährungen – sei es beim Verbraucherschutz oder im Steuerrecht. Die EU hat im Dezember 2017 erste Schritte zur Regulierung von Bitcoin, Ether und Co. gesetzt und auch die nationalen Gesetzgeber dürften hier bald nachziehen. Beispielsweise sollen Anleger künftig nicht mehr anonym bleiben, wenn sie Krypto- in Fiat-Währungen umtauschen. Im globalen Zahlungsverkehr ist allerdings eine internationale Kooperation nationalstaatlicher Gesetzgeber erforderlich, um Digitalwährungen wirklich sinnvoll zu regulieren.