Im Rahmen der Zahlungsdienste-Richtlinie PSD2 können Verbraucher Drittanbietern Zugriff auf wesentliche Kontodaten gewähren - schaffen die Regeln tatsächlich mehr Freiheit, oder sind sie nur der nächste Schritt auf dem Weg zum gläsernen Verbraucher?
Bereits vor dem Inkrafttreten der PSD2 haben Zahlungsauslöse- und Kontoinformationsdienste Verbrauchern ihre Dienste angeboten. Der eigentliche Fortschritt besteht darin, dass mit der PSD2 die Zugriffsbedingungen europaeinheitlich für Drittdienste geregelt werden. So unterliegen Zahlungsauslöse- und Kontoinformationsdienste seit Januar 2018 den Bestimmungen des Zahlungsdienstaufsichtsgesetzes und unterstehen somit der Aufsicht der Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin). Diese Regulierung trägt damit zur Sicherheit des Zahlungsverkehrs und damit zu einer Erhöhung des Verbraucherschutzes bei.
Wie gläsern der Verbraucher durch Gewährung des Zugriffs auf seine Konto- und Umsatzdaten sein möchte, entscheidet ausschließlich er selbst. Denn, nur mit seiner ausdrücklichen Zustimmung verbunden mit der Eingabe einer „Starken Kundenauthentifizierung“ (beispielsweise durch PIN und TAN) ist es Drittdiensten überhaupt möglich, auf die Kontodaten zuzugreifen oder entsprechende Zahlungen auszulösen. Eine versehentliche Annahme von Kundenbedingungen von Drittdiensten durch Anklicken auf deren Webseiten gewährt noch keinen Kontozugang. So bleiben die Kundendaten größtmöglich geschützt.
Uneinigkeit gibt es noch über die technischen Schnittstellen. Wie sollten diese aus Ihrer Sicht gestaltet werden?
Grundsätzlich sind die kontoführenden Zahlungsdienstleister verpflichtet, Zahlungsauslöse- und Kontoinformationsdiensten den Zugriff auf das Konto des Kunden über eine einwandfrei funktionierende Schnittstelle zu gewähren. Diese Schnittstelle muss den Schutz der Vertraulichkeit und Integrität der ausgetauschten Daten gewährleisten. Des Weiteren muss sichergestellt werden, dass nur vom Kunden beauftragte und registrierte/lizensierte Drittdienste Zugang auf diese Schnittstelle erhalten.
Vor diesen Hintergründen hat die Sparkassen-Finanzgruppe mit weiteren etablierten Akteuren auf dem europäischen Zahlungsverkehrsmarkt einen gemeinsamen interoperablen Schnittstellenstandard entwickelt. Dieser stellt sicher, dass Drittdienste nur im Rahmen ihrer gesetzlichen Befugnisse auf die Zahlungsverkehrskonten der Kunden zugreifen können. Des Weiteren wird durch die spezielle Schnittstelle eine sichere Kommunikation zwischen den beteiligten Zahlungsdienstleistern ermöglicht und eine einwandfreie Legitimation der vom Kunden beauftragten Dritten sichergestellt. Die Schnittstelle soll ab 2019 zur Nutzung bereitstehen.
Die Richtlinie sieht auch strengere Sicherheitsregeln etwa für Kartenzahlungen im Netz vor – wie bewerten Sie diese Vorschriften?
Auch die bisherigen nationalen Anforderungen sehen eine starke Kundenauthentifizierung beim Online-Shopping via Kartenzahlung vor. So wird der Kunde bei Zahlungen im Internet zum Beispiel aufgefordert zusätzlich zu seinen Kartendaten ein Sicherheitsmerkmal einzugeben. Neu ist, dass dieser Sicherheitscode nicht mehr statisch, sondern dynamisch sein muss. So wird der Code während des aktuellen Kaufvorgangs beispielsweise per App oder SMS erzeugt und ist nur für diesen einen Zahlungsvorgang gültig.
Positiv zu bewerten ist, dass die in der PSD2 und in den „Technischen Regulierungsstandards zur starken Kundenauthentifizierung und sicheren Kommunikation“ normierten strengen Sicherheitsregeln an den technischen Fortschritt und die Komplexität der Zahlungssysteme angepasst sind. Teilweise sind aber auch strengere Sicherheitsregeln vorgesehen, obwohl Anbieter bereits heute schon sichere Zahlungen im Fokus haben. Des Weiteren werden für alle Anbieter verbindliche Standards für Sicherungsmaßnahmen gesetzt. Nun gilt es den Spagat zwischen Einfachheit für den Kunden und Sicherheit zu meistern sowie für die Zukunft ein ausgewogenes Verhältnis im Kundeninteresse nach Praktikabilität zu finden. Positiv sind hier Ausnahmeregelungen oder die Möglichkeit Transaktionsüberwachungssysteme ergänzend zu nutzen. Es bleibt abzuwarten, ob hier das richtige Maß gefunden wird.
Was sollte aus Ihrer Sicht künftig beim digitalen Zahlungsverkehr regulatorisch noch getan werden?
Zuverlässige und sichere Zahlungsdienste stellen entscheidende Kriterien für einen gut funktionieren Zahlungsverkehrsmarkt dar und sind wesentliche Voraussetzungen wirtschaftlicher und gesellschaftlicher Tätigkeiten. Ziel der PSD 2 ist es unter anderem, die Sicherheitsrisiken für elektronische Zahlungen zu senken und damit den Verbraucherschutz zu gewährleisten. Aus Sicht des Kreditgewerbes ist es grundsätzlich zu begrüßen, dass nun auch Zahlungsauslöse- und Kontoinformationsdienste in die regulatorischen Anforderungen einbezogen worden sind.
Es ist zu erwarten, dass durch die rasante digitale Entwicklung auf dem Zahlungsverkehrsmarkt weitere technische Neuerungen und Innovationen hervorgebracht werden. Der regulatorische Rahmen für einen sicheren, transparenten und leistungsfähigen Zahlungsverkehrsmarkt wird daher sicherlich von Zeit zu Zeit an die neuen Anforderungen anzupassen sein.
Datenzugriffe ohne klare Zustimmung ■ ■ ■
Warum die PSD2-Regeln in erster Linie eine Chance sind
EIN DEBATTENBEITRAG VON
Cornelia Schwertner
Head of Governance
figo GmbH