Gastbeitrag von KPMG Law: Der aktuelle RTS- sowie Leitlinien-Entwurf der EBA zur PSD2 – wenig Hilfe im Neuland für FinTechs

Mit der Neuregelung der Payment Services Directive 2 (PSD2) werden umfangreiche neue Regelungen für Zahlungsdienstleister festgelegt. Zentrale Neuerungen sind die Verpflichtung zur starken Kundenauthentifizierung und die Gewährleistung einer Bankenschnittstelle für FinTechs, d.h. genauer für dritte Zahlungsdienstleister (dritte ZDL), wie bspw. die neuen Zahlungsauslösedienste (ZAD) und Kontoinformationsdienste (KID). Im Gegenzug werden diese neuen ZDL künftig reguliert und müssen entsprechend eine Reihe an Anforderungen erfüllen. Aus diesem Grund lohnt es sich für FinTechs, einen Blick auf die aktuellen RTS- und Leitlinien-Entwürfe der European Banking Authority (EBA) zu werfen.

1. Regulatorische Eckdaten

Die EBA wurde beauftragt, technische Regulierungsstandards (RTS) zur starken Kundenauthentifizierung und der sicheren offenen Kommunikation unter der PSD2 zu formulieren, um entsprechende Regelungen der PSD2 zu konkretisieren (Art. 98 PSD2). Am 12. August 2016 hatte die EBA ein Konsultationspapier einschließlich eines Entwurfs der RTS veröffentlicht. Die Konsultationsphase lief bis zum 12. Oktober 2016. Im Anschluss wird nun die EBA bis zum 12. Januar 2017 den finalen Entwurf des RTS veröffentlichen. Die RTS werden frühestens im Oktober 2018 anwendbar sein.

Ferner hat die EBA einen Entwurf von Leitlinien zur Festlegung der Mindestdeckungssumme der Berufshaftpflichtversicherung bzw. einer gleichwertigen Garantie (Art. 5 Abs. 4 PSD2) am 22. September 2016 zur Konsultation gestellt.

Nach Art. 5 Abs. 2 und 3 PSD2 benötigen ZAD und KID als Voraussetzung für Erteilung einer Erlaubnis (ZAD) bzw. für die Registrierung (KID) eine Berufshaftpflichtversicherung oder eine gleichwertige Garantie. Die PSD2 legt fest, dass die Berufshaftpflichtversicherung oder eine gleichwertige Garantie die Haftung gegenüber dem kontoführenden ZDL oder dem Zahlungsdienstnutzer für einen nicht autorisierten oder betrügerischen Zugang zu Zahlungskontoinformationen oder deren nicht autorisierte oder betrügerische Nutzung abdecken muss. Die Frist zur Einreichung von Stellungnahmen zum Entwurf der Leitlinien läuft bis zum 30. November 2016. Die EBA wird bis zum 13. Januar 2017 die finale Leitlinien veröffentlichen.

2. Bankenschnittstelle (XS2A)

Während ZAD und KID bisher über Screen Scraping-Schnittstellen ihre Dienstleistungen anboten und ausführten, haben Banken nunmehr eine Schnittstelle direkt zum Konto des Zahlers zur Verfügung zu stellen (Art. 19 RTS-Entwurf).

Über die Bankenschnittstelle sollen dritte ZDL mit der kontoführenden Bank kommunizieren können. Die Kommunikation dient hauptsächlich dem Zweck der Identifizierung, der Authentifizierung, der Meldung und Weitergabe von Informationen sowie der Anwendung von Sicherheitsmaßnahmen. Die gesamte zahlungsrelevante Kommunikation muss dabei gegen eine Umleitung zu unbefugten Dritten geschützt und nachträglich rückverfolgbar sein. Dabei ist vorgesehen, dass sich die dritten ZDL auf die Authentifizierungsverfahren des kontoführenden ZDL verlassen können. Im Rahmen der Authentifizierung müssen die dritten ZDL die Möglichkeit haben, den kontoführenden ZDL anzuweisen, den Authentifizierungsprozess zu starten.

a) Sichere Kommunikation

Auch wenn der Handlungsdruck auf den Banken liegt, müssen dritte ZDL verschiedene Anforderungen im Hinblick auf die Sicherheit von Kommunikationsvorgängen erfüllen. In Art. 21 des RTS-Entwurfs sind konkrete Regelungen zur Sicherheit im Rahmen der Kommunikation zwischen Bank, ZAD, KID und ZDL die kartengebundene Zahlungsinstrumenten ausgeben, festgelegt.

Grundsätzlich ist bei dem Austausch von Daten über das Internet eine sichere Verschlüsselung einzusetzen. Die Kommunikationsvorgänge sind so kurz wie möglich zu halten und nach Ausführung unverzüglich aktiv zu beenden. Die ausgetauschten Daten sind mit eindeutigen Referenzen zu versehen.

Die dritten ZDL haben den Schutz der Integrität und Vertraulichkeit der persönlichen Sicherheitsmerkmale und Authentifizierungscodes, soweit diese ihnen übertragen wurden, zu gewährleisten. Zudem sind ZAD und KID verpflichtet, die Kommunikationssitzungen sicher mit den jeweiligen Beteiligten zu verknüpfen, um zu verhindern, dass ausgetauschte Nachrichten oder Informationen fehlgeleitet werden. Personalisierte Sicherheitsmerkmale und Authentifizierungscodes sind stets in einer sicheren Umgebung nach ISO 27001 zu verarbeiten und weiterzuleiten und dürfen in keinem Fall Mitarbeitern der ZAD oder KID zugänglich sein. Insoweit werden zumindest einzelne technische Anpassungen oder Implementierungen auch für dritte ZDL notwendig werden.

b) Datenaustausch

Kontoführende ZDL müssen insbesondere ZAD und KID in Bezug auf Zahlungsvorgänge und damit zusammenhängende Zahlungskonten dieselben Informationen zur Verfügung stellen, die der Kontoinhaber bei direktem Onlinezugriff auf die Informationen erhalten würde. Dasselbe gilt auch für Informationen zur Auslösung und Ausführung von Zahlungen. Ausgenommen von dieser Pflicht sind jedoch sensible Zahlungsdaten. ZDL, die kartengebundene Zahlungsinstrumente ausgeben, erhalten lediglich eine Bestätigung in Form von „Ja“ oder „Nein“, ob der für die Kartenzahlung benötigte Betrag auf dem Zahlungskonto des Zahlers verfügbar ist. Kommt es während der Identifikation, Authentifizierung oder dem Datenaustausch zu unerwarteten Ereignissen oder Fehlern, sind die beteiligten dritten ZDL vom kontoführenden ZDL zu unterrichten.

c) Nutzung von Daten

Von besonderer Bedeutung ist in diesem Zusammenhang vor allem die Möglichkeit, den Zugang zu Kunden und Zahlungsdaten weiterzuverarbeiten und zu nutzen. Die dritten ZDL, insbesondere KID, können über die Bankenschnittstelle auf bestimmte Kundeninformationen und konkrete Informationen zu Zahlungsvorgängen zugreifen. KID dürfen Informationen über die bezeichneten Zahlungskonten und zugehörigen Zahlungsvorgänge auf Verlangen des Zahlungsdienstnutzers jederzeit abfragen; ohne aktive Abfrage durch den Zahlungsdienstnutzer jedoch nicht häufiger als zweimal täglich (Art. 22 Abs. 5 RTS-Entwurf). Ein Zugriff auf sensible Zahlungsdaten bleibt den dritten ZDL in diesem Prozess jedoch ausdrücklich verwehrt.

In Bezug auf die Nutzung von Daten aus der Bankenschnittstelle ergeben sich aus den RTS-Entwürfen keine neuen Erkenntnisse. Die PSD2 schreibt in Bezug auf KID vor, dass ein Informationsabruf nur in Bezug auf bezeichnete Zahlungskonten und damit in Zusammenhang stehenden Zahlungsvorgängen erfolgen darf (Art. 67 Abs. 2 d) PSD2. Es dürfen keine sensiblen Zahlungsdaten angefordert werden, um Sie dem Zahlungsdienstnutzbar sichtbar zu machen und die Daten dürfen im Einklang mit den Datenschutzvorschriften nicht für andere Zwecke als für den vom Verbraucher geforderten Umfang verwendet, abgerufen oder gespeichert werden (Art. 67 Abs. 2 e) und f) PSD2).

d) Informationen über den Aufbau der Schnittstelle

Um die Angebote von dritten ZDL auf die Bankenschnittstelle abstimmen zu können, sind die kontoführenden ZDL verpflichtet, eine Dokumentation der technischen Spezifikation der Kommunikationsschnittstelle auf ihrer Webseite kostenlos und öffentlich zur Verfügung zu stellen. Auf diesem Wege haben dritte ZDL Einblick in eine Liste von Routinen, Protokollen und Tools, die erforderlich sind, um mit dem System zu interagieren.

Weiterhin ist die Veröffentlichung von Änderungen an den technischen Spezifikationen durch den kontoführenden ZDL so früh wie möglich, spätestens jedoch drei Monate vor der Implementierung der Änderung (außer in Notfällen) vorzunehmen. So können sich dritte ZDL auf etwaige Änderungen einstellen und ihre Systeme umstellen.

Ferner muss durch den kontoführenden ZDL eine Testfunktion einschließlich Support angeboten werden, um dritten ZDL den Test ihrer Software und Applikationen zu ermöglichen.

Als Fazit hierzu lässt sich festhalten: Wie bereits von den Marktteilnehmern erwartet worden war, enthält der RTS-Entwurf kaum technische Spezifikationen, sondern beschränkt sich lediglich auf funktionale und nichtfunktionale Anforderungen an die technischen Systeme von Banken. Dies erscheint aus ZAD und KID Sicht jedoch nicht weiter problematisch, da die funktionalen Regelungen für diese ohnehin relevanter sind. Gleichwohl dürften die vage gebliebenen Ausführungen der EBA zu technischen Einzelheiten der Bankenschnittstelle für Banken problematisch sein.

3. Starke Kundenauthentifizierung

Die Regelungen und Ausnahmen der starken Kundenauthentifizierung werden im Kapitel 1 des RTS-Entwurfs dargelegt. Dabei werden konkrete Anforderungen und Pflichten für den Vorgang der Authentifizierung, der zu verwendenden Authentifizierungselemente, einer regelmäßigen Überprüfung des Authentifizierungsverfahrens sowie etwaiger Ausnahmen zur starken Kundenauthentifizierung festgelegt. Auch hier entsteht der Handlungsdruck zur Umsetzung und Anpassung von Systemen hauptsächlich auf Seiten der Banken. Der Zahlungsvorgang wird, trotz Zugang von ZAD und KID zum Zahlungskonto des Verbrauchers, hauptsächlich über die Systeme der Bank ausgeführt.

Die ZAD müssen bei Auslösung des Zahlungsvorgangs als Erklärungsboten des Kontoinhabers die erforderlichen Authentifizierungselemente für die starke Kundenauthentifizierung an die Bank übermitteln. Gleiches gilt für KID bei der Abfrage von Daten, im Rahmen der erforderlichen Authentifizierung. Das Authentifizierungsverfahren selbst wird jedoch von der Bank durchgeführt. Dies zeigt sich insbesondere auch darin, dass ZAD und KID sich auf das Authentifizierungsverfahren des kontoführenden ZDL stützen können, was wiederum den Schluss zulässt, dass die Hauptverantwortung bei den kontoführenden Banken liegen wird.

a) Anforderungen an die starke Kundenauthentifizierung 

In Bezug auf den Authentifizierungsprozess wird zunächst festgelegt, dass es der Generierung eines nur einmalig verwendbaren Authentifizierungscodes bedarf, mit welchem die Authentifizierung durchgeführt werden muss (Art. 1 Abs. 1 RTS-Entwurf). Der Code muss durch besondere Sicherheitsmerkmale gewährleisten, dass keine Informationen über die Authentifizierungselemente (Wissen, Besitz, Inhärenz) aus dem Authentifizierungscode abgeleitet oder verfälscht werden können (Art. 1 Abs. 2 RTS-Entwurf).

b) Ausnahmen von der starken Kundenauthentifizierung

In Art. 8 Abs. 1 des RTS-Entwurfs werden aktuell vorgesehene Ausnahmen von der starken Kundenauthentifizierung festgelegt, die sich auf Art. 97 Abs. 1 PSD2 beziehen. So bedarf der bloße wiederkehrende Onlinekontozugriff des Zahlers auf Kontoinformationen bzw. konsolidierte Konteninformationen, ohne Offenlegung von sensiblen Zahlungsinformationen, keiner starken Kundenauthentifizierung. Eine starke Kundenauthentifizierung ist gleichwohl bei dem erstmaligen Zugriff auf die Informationen oder bei einem Zugriff nach mehr als einem Monat durchzuführen. Ausgenommen von der starken Kundenauthentifizierung sind auch kontaktlose Zahlungen am Point of Sale, soweit einzelne Zahlungen unter 50 EUR getätigt werden und die Summe der vorherigen Zahlungen über das Zahlungsinstrument 150 EUR nicht übersteigt.

Eine starke Kundenauthentifizierung ist nach Art. 8 Abs. 2 des RTS-Entwurfs, der sich auf Art. 97 Abs. 2 PSD2 bezieht (liegt ein „elektronischer Fernzugang“ vor, ist zusätzlich eine dynamische Verlinkung erforderlich), auch dann nicht durchzuführen, wenn eine Überweisung an einen vertrauenswürdigen Empfänger (sog. white list) vorgenommen wird, Überweisungen im Rahmen von Daueraufträgen mit demselben Betrag und Empfänger ausgeführt und Überweisungen zwischen verschiedenen Konten des Zahlers bei derselben Bank vorgenommen werden. Gleichwohl bedarf es für die Einrichtung einer white list sowie die initiale Einrichtung eines jeden Dauerauftrages einer starken Kundenauthentifizierung.

Eine weitere Ausnahme von der starken Kundenauthentifizierung liegt bei elektronischen Fernzahlungen vor, wenn der Betrag der einzelnen Transaktion 10 EUR und der Gesamtbetrag der vorherigen Transaktionen 100 EUR nicht übersteigt.

Als Fazit hierzu lässt sich festhalten: Die erhöhten Anforderungen dürften mit großer Wahrscheinlichkeit das Vertrauen der Verbraucher in elektronische Bezahlmethoden steigern und somit auch die Akzeptanz von innovativen Bezahlmethoden erhöhen. Davon wiederum können besonders ZAD mit innovativen Geschäftsmodellen profitieren.

4. Mindestdeckungssumme der Berufshaftpflichtversicherung oder einer anderen gleichwertigen Garantie

Die PSD2 legt in Art. 5 Abs. 4 PSD2 fest, dass für die Ermittlung der Mindestdeckungssumme der erforderlichen Berufshaftpflichtversicherung für ZAD und KID das Risikoprofil des Unternehmens, die Frage, ob weitere Zahlungsdienste oder gewerbliche Tätigkeiten erbracht sowie der Umfang der Tätigkeit berücksichtigt werden müssen.

Die EBA hat in ihrem Leitlinien-Entwurf ausführliche Kriterien vorgeschlagen, die für die Berechnung der Mindestdeckungssumme der Berufshaftpflichtversicherung oder einer gleichwertigen Garantie als Grundlage herangezogen werden sollen. Hierfür hat die EBA eine Formel ausgearbeitet, die den verschiedenen in Art. 5 Abs. 4 PSD2 genannten Kriterien Rechnung trägt. Maßgebliche Kriterien sind neben dem Risikoprofil auch die Art der Geschäftstätigkeit und der Umfang der Geschäftstätigkeit. Diese werden (stark vereinfacht) in folgender Formel zusammengeführt:

Mindestdeckungssumme/vergleichbare Garantie =
Wert 1 (Risikoprofil) + Wert 2 (Art der Geschäftstätigkeit) + Wert 3 (Umfang der Geschäftstätigkeit)

Anstelle der Berufshaftpflichtversicherung können ZAD und KID auch eine gleichwertige Garantie zur Erfüllung der Anforderung nach Art. 5 Abs. 2 und 3 PSD2 vorlegen, deren Höhe der Mindestdeckungssumme entspricht. Dabei kommen nur Garantien in Betracht, die tatsächlich mit einer Berufshaftpflichtversicherung vergleichbar sind.

Praktisch dürfte von besonderer Relevanz sein, dass die Berufshaftpflichtversicherung bzw. eine vergleichbare Garantie bereits bei Antragstellung zum Zahlungsinstitut nach Art. 5 PSD2 bzw. zur Registrierung als KID bereits vorliegen muss. Insofern ist die Berechnung der Mindestdeckungssumme auch eine Aufgabe der antragstellenden Unternehmen, die diesen Antrag gründlich vorbereiten sollten. Erst im Rahmen der Bearbeitung des jeweiligen Antrages wird eine Berechnung und Prüfung auf Richtigkeit durch die Aufsichtsbehörde erfolgen. Zudem stellt sich auch die Frage, ob und mit welchen Konditionen (insbesondere Prämien für junge FinTechs) solche Versicherungen auf dem Markt zukünftig angeboten werden.

Als Fazit hierzu lässt sich zweierlei festhalten: Zum einen ist festzustellen, dass die Berechnung der Mindestdeckungssumme einem komplexen Verfahren unterliegt. Zum anderen lässt die EBA leider offen, was unter einer gleichwertigen Garantie zu verstehen ist. Hier würden sich aus unserer Sicht FinTechs mehr Klarheit wünschen. Kann es sich beispielsweise bei der gleichwertigen Garantie um eine Bürgschaft oder ein Wertpapierdepot handeln?

 

Autoren

Dr. Christian Conreder, RA, ist Manager bei KPMG Rechtsanwaltsgesellschaft mbH am Standort Hamburg und Mitglied der Praxisgruppe Financial Services. Der Schwerpunkt seiner anwaltlichen Tätigkeit bildet das Bank- und Bankaufsichtsrecht mit einem Fokus auf den Bereich des Zahlungsverkehrs. Er berät u. a. Banken, Zahlungsdienstleister, Kartenemittenten und FinTechs in zivil- und aufsichtsrechtlichen Fragestellungen.

Ulrike Schild, LL.M. (Aberdeen), ist RAin bei KPMG Rechtsanwaltsgesellschaft mbH am Standort Frankfurt a. M. und Mitglied der Praxisgruppe Financial Services. Sie ist auf die umfassende zivilrechtliche und aufsichtrechtliche Beratung von Banken sowie Unternehmen aus der Finanzbranche spezialisiert.