Der dritte Zahlungsdienstleister – ein neuer regulierter Player

14/07/2016

Das Geschäftsmodell dritter Zahlungsdienstleister

Der Begriff des dritten Zahlungsdienstleisters umfasst Zahlungsauslösedienste und Kontoinformationsdienste. Diese Dienste sind dadurch gekennzeichnet, dass sie sich mit den persönlichen Zugangsdaten des Inhabers eines per Onlinebanking zugänglichen Kontos Zugang zu diesem Konto verschaffen. Im Fall von Zahlungsauslösediensten werden Überweisungen an Dritte – z. B. E-Commerce- Händler – ausgelöst und im Fall von Kontoinformationsdiensten wird der Kontostand zur Erstellung einer konsolidierten Aufstellung aller Konten des Nutzers des jeweiligen Dienstes abgefragt. Diese Dienste haben die Gemeinsamkeit, dass sie sich – bislang ohne einen bestehenden Rechtsrahmen – von ihren Nutzern persönliche Sicherheitsmerkmale (wie PIN, TAN, Passwörter) aushändigen lassen und auf ihre Konten per Onlinebanking zugreifen können, obwohl die allgemeinen Geschäftsbedingungen der kontoführenden Banken ausdrücklich vom Kontoinhaber die Geheimhaltung seiner persönlichen Sicherheitsmerkmale verlangen.

Regulierung dritter Zahlungsdienstleister

Die PSD 2 regelt, dass die von dritten Zahlungsdienstleistern angebotenen Dienste einen Zahlungsdienst darstellen, für den bestimmte rechtliche Rahmenbedingungen gelten. Für die Anbieter von Zahlungsauslösediensten ist nunmehr eine aufsichtsrechtliche Zulassung erforderlich, die die Überprüfung des Geschäftsmodells sowie die Etablierung interner Kontrollmechanismen und Verfahren bei Sicherheitsvorfällen voraussetzt. Zudem müssen Anbieter von Zahlungsauslösediensten eine angemessene Berufshaftpflichtversicherung abschließen und ein Anfangskapital von EUR 50.000 vorweisen. Kontoinformationsdienste bedürfen zwar keiner aufsichtsrechtlichen Zulassung, müssen sich aber dennoch bei der zuständigen Behörde – in Deutschland der Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) – registrieren lassen. Für sie gelten, wenngleich in geringerem Umfang, ebenfalls verschiedene aufsichtsrechtliche Anforderungen.

Zusammenarbeit kontoführende Bank – dritter Zahlungsdienstleister

Durch die PSD 2 wird nunmehr klargestellt, dass Kunden ihre persönlichen Sicherheitsmerkmale an dritte Zahlungsdienstleister weitergeben dürfen und kontoführende Banken eine Verpflichtung haben, mit diesen dritten Zahlungsdienstleistern zusammenzuarbeiten. In technischer Hinsicht ist vorgesehen, dass dritte Zahlungsdienstleister zukünftig über eine eigens für sie eingerichtete technische Schnittstelle auf die Systeme der Banken zugreifen sollen, um ihre Leistung zu erbringen. Für die Einzelheiten der Ausgestaltung dieser Schnittstelle wird die europäische Bankenaufsichtsbehörde (EBA) am 13. Januar 2017 die finalen Entwürfe entsprechender technischer Regulierungsstandards veröffentlichen, die dann 18 Monate nach Veröffentlichung in Kraft treten werden.

Verbraucher- / Datenschutz

Durch die Regulierung dritter Zahlungsdienstleister sollen vor allem die sie nutzenden Verbraucher geschützt werden. Dazu sieht die PSD 2 vor, dass Informationen über die Auslösung einer Zahlung nur an deren Empfänger, nicht aber an Dritte mitgeteilt werden dürfen. Zudem dürfen keine sensiblen Daten gespeichert werden. Vor allem aber wird eindeutig geregelt, dass eine Abfrage oder Verwendung anderer als für die Auslösung des Zahlungsvorgangs erforderlicher Daten nicht zulässig ist. Gleiches gilt für den Kontoinformationsdienst. Auch hier dürfen ausschließlich die relevanten Kontostände, nicht aber sonstige Informationen abgefragt werden. Hinzu kommt, dass dritte Zahlungsdienstleister ihre Kunden nun über Inhalt, Umfang und Ausgestaltung ihres Leistungsangebots informieren müssen.

Haftungsverteilung bei der Nutzung von Zahlungsauslösediensten

Vor Inkrafttreten der PSD 2 gänzlich ungeklärt war die Haftung im Hinblick auf die von Zahlungsauslösediensten initiierten Zahlungen. Die PSD 2 regelt dazu nun, dass die kontoführende Bank weiterhin für verspätete, fehlerhafte oder gänzlich nicht ausgeführte Zahlungen haftet. Sofern der Haftungsfall jedoch auf ein Verschulden des Zahlungsauslösedienstes zurückzuführen ist, kann die kontoführende Bank diesen in Regress nehmen. Der Zahlungsauslösedienst trägt die Last des Nachweises der ordnungsgemäßen Ausführung.

Fazit

Grundsätzlich sind die Regulierung dritter Zahlungsdienstleister und die Schaffung klarer rechtlicher Rahmenbedingungen, insbesondere wegen der bisherigen Unklarheiten bezüglich des Zugriffs auf Onlinebanking-Zugänge von Kunden, zu begrüßen. Insbesondere Verbraucher dürften von den Regelungen der PSD 2 profitieren. Für die beteiligten Akteure, nämlich die kontoführenden Banken und die dritten Zahlungsdienstleister, bedeutet die Umsetzung der PSD 2 jedoch einen erheblichen Anpassungsbedarf.