TEIL 3 – Fällt mein FinTech unter eine der neuen PSD2-Lizenz- bzw. Registrierungspflichten?

Unwissenheit schützt vor Strafe nicht

Jeder Gründer, der sich mit seinen Produkten im Bereich der Finanzdienstleistungen bewegen möchte, sollte sich frühzeitig bewusst machen, dass diese Branche dem Aufsichtsrecht und somit erhöhten Anforderungen an Unternehmen unterliegt. Die Finanzaufsicht dient dem Ziel, ein funktionsfähiges, stabiles und integres Finanzsystem sicherzustellen. Bankkunden und Anleger sollen darauf vertrauen können. Die Aufsichtsbehörden kontrollieren zu diesem Zweck die Einhaltung von gesetzlichen Regelungen und eigenen regulatorischen Standards zum Verhalten sowie zur Zahlungsfähigkeit der Branchenakteure. Daneben bekämpfen sie unerlaubt betriebene Finanzgeschäfte. Einem Gründer, der ohne schriftliche Erlaubnis der Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) Finanzgeschäfte betreibt, droht in erster Linie die Untersagung und Abwicklung seines Unternehmens – für ein Start-up ein kaum umkehrbarer Reputationsschaden. Darüber hinaus ist eine Strafverfolgung durch die Staatsanwaltschaft möglich. Diese kann nicht nur Geschäftsführer oder Kontrollorgane treffen, sondern auch Mitarbeiter, Freelancer oder Dienstleister. Auf Unwissenheit allein können sich die Beteiligten dabei explizit nicht berufen.

Im Rahmen der Gründung eines FinTech-Unternehmens muss also von Beginn an neben dem Nutzen auch der Verbraucherschutz im Fokus des Geschäftsmodells stehen. Die in Deutschland zuständige BaFin informiert adressatengerecht über mögliche FinTech Geschäftsmodelle mit Erlaubnispflichten.

Die neuen PSD2-Zahlungsdienste

Für Unternehmen, die bereits heute oder künftig die neuen PSD2-Zahlungsdienste, also die Zahlungsauslösung und/oder die Kontoinformation anbieten, entstehen mit nationaler Umsetzung der PSD2 Lizenz- bzw. Registrierungspflichten, ohne deren Einhaltung ihnen die Geschäftstätigkeit von Seiten der Finanzaufsicht untersagt werden kann. Um zu prüfen, ob das eigene Unternehmen von der beschriebenen Regulierung betroffen ist, sollte im ersten Schritt ein Blick auf die Definitionen der neuen Dienste in Artikel 4 Nr. 15 und 16 der PSD2 geworfen werden.
Für den Zahlungsauslösedienstleister (ZADL bzw. PISP –  für Payment Initiation Service Provider) regelt die PSD2 eine Lizenzpflicht als sogenanntes Zahlungsinstitut. Diese Institute sind nicht neu und mit anderen Produktangeboten bereits im heutigen Zahlungsdiensteaufsichtsgesetz (ZAG), zurückgehend auf die Ursprungsfassung der PSD, geregelt. Für den Kontoinformationsdienstleister (KIDL bzw. AISP  – für Account Information Service Provider) ist eine in Summe an weniger Pflichten gebundene Registrierungspflicht geregelt. Allerdings wird der KIDL in Teilen der PSD2 “wie ein Zahlungsinstitut” behandelt.

Die Lizenz- bzw. Registrierungspflichten entstehen grundsätzlich ab dem 13. Januar 2018. Für ZADL/KIDL, die bereits vor dem 12. Januar 2016 aktiv waren, gibt es Erleichterungen bis zum Ablauf einer Übergangsfrist, die sich am Inkrafttreten weiterer technischer Regulierungsstandards orientiert (Artikel 115 der PSD2). Letzteres wird derzeit frühestens für Oktober 2018 erwartet. Durch den Vollharmonisierungscharakter der PSD2 kann von diesem Zeitplan national nicht abgewichen werden, auch wenn z. B. das ZAG in Deutschland vorab novelliert werden würde.

Die wichtigsten Unklarheiten zur Lizenzreichweite für die neuen PSD2-Zahlungsdienste

Da sich die EU-Richtlinie noch in der Umsetzungsphase befindet, sind hinsichtlich der fortan unter die PSD2  fallenden Geschäftsmodelle noch wesentliche Fragen offen. Nicht zuletzt, weil die PSD2-Regelungen in Teilen bereits nicht mehr der aktuellen Marktlage entsprechen. Dies betrifft vor allem den Aspekt, dass der Kontoinformationsdienst heute oft nur als Baustein einer weitergehenden Leistung genutzt wird, statt allein für den angedachten Multibanking-Zweck.

Deshalb ist sogar noch unklar, ob einige heute am Markt bereits etablierte Use Cases nach der PSD2-Umsetzung überhaupt noch legal betrieben werden können. So gibt es z. B. Vertreter einer strikten Auslegung des Artikels 67 Absatz 2 f) der PSD2, deren Ergebnis wäre, dass durch den KIDL keine Weiterverwertung von Informationen und Daten erfolgen dürfte. Diese Auslegung ist aus meiner Sicht aber weder fachlich noch sachlich richtig. Zum einen macht dieser Artikel durch den Zusatz „im Einklang mit den Datenschutzvorschriften“ gerade deutlich, dass eine PSD2-konforme Weiterverwertung durch den KIDL im Vergleich zum Weiterverwertungsverbot für den ZADL nach Art. 66 Abs. 3 g) möglich ist. Dies gilt natürlich unter Einhaltung der entsprechenden Vorraussetzungen (Vorliegen einer expliziten Einwilligung des Endkunden für die Verwertung der Kontodaten über die gesetzliche Zweckbindung des Dienstes hinaus sowie Sicherstellung, dass der Zugang zu den personalisierten Sicherheitsmerkmalen (PIN und TAN) allein durch den Endnutzer und die ausgebende Stelle gegeben ist). Zum anderen wäre ein Weiterverwertungsverbot für den KIDL zudem nicht sachgerecht, denn kontextbezogene Use Cases des Dienstes sind der wesentliche Innovationstreiber der PSD2 (vgl. etablierte Datenmehrwertanbieter wie Kontowechsel-, Finanzmonitoring- oder innovative Buchhaltungsservices sowie Risikomanagement-Use-Cases). Nutzer sind vor allem im Kontext bereit, ihre Zugangs- und Kontodaten bei Dritten einzusetzen, z. B. wenn dadurch automatisierte Kundenprozesse ermöglicht oder beschleunigt werden.
Das Gesetz bzw. die Aufsicht muss auf zweiter Ebene anknüpfen, d. h. den vom Kunden gewünschten Prozess sicher zu gestalten, statt die Verbraucherfreiheit einzuschränken. Eine strikte Untersagung der Weiterverwertung durch den KIDL würde den durch die PSD2 explizit angestrebten Innovationsprozess nur unglücklich hemmen aber mittelfristig nicht aufhalten (siehe z. B. jüngste Kartellamtsentscheidung zu Gunsten des noch unregulierten ZADL).

Davon ausgehend, dass es Datenmehrwertanbietern demnach erlaubt sein wird, ihre Services an den Markt zu bringen, entsteht die nächste PSD2-Regelungslücke. Schon aus Strategiegründen möchte die Mehrheit dieser Unternehmen nicht selbst die entsprechende organisatorische und technische Infrastruktur für die lediglich als Feature ihrer Produktpalette genutzten PSD2-Dienste betreiben und folglich auch nicht von der Aufsichtspflicht erfasst werden. Sie greifen daher auch heute bereits auf Anbieter wie figo zurück, die ihnen die API-Infrastruktur für den gewünschten Zugriff auf Finanzquellen bereitstellen können. Dies umfasst auch notwendige technisch-organisatorische Vorkehrungen zur IT-Security, zum Verbraucher- bzw. Datenschutz und zur Kommunikation mit kontoführenden Instituten. Folglich sollten Datenmehrwertanbieter auch künftig durch die Zwischenschaltung von Zahlungsinstituten die neuen Dienste PSD2-konform nutzbar machen können. Dem Innovationsziel der PSD2 folgend, sollten sie ihre Ressourcen für die Weiterentwicklung neuer Use Cases verwenden. Eine Überregulierung des Marktes würde dem entgegen stehen. Eine explizite Ausnahmemöglichkeit von der Aufsichtspflicht sollte daher für Datenmehrwertanbieter unter der Voraussetzung der Beauftragung eines lizensierten/registrierten ZADL/KIDL dringend angestrebt werden – EU-vollharmonisiert z. B. im Rahmen einer Auslegungshilfe durch das Mandat der European Banking Authority (EBA) für die Leitlinien zur Zulassung von Zahlungsinstituten gemäß Artikel 5 Abs. 5 der PSD2.

In der Konsequenz profitieren hierbei alle Beteiligten. Angefangen bei der Aufsicht, die durch die Umsetzung effektiv durchsetzbarer und kontrollierbarer Standards ihren Aufgaben aufwandschonend und gleichzeitig zielgerichteter nachgehen könnte. Zwischengeschaltete  Zahlungsinstitute erhöhen die Sicherheit für den Verbraucher und die kontoführenden Institute durch eine Konsolidierung der Kommunikationsprozesse und über die Etablierung qualitativ hochwertiger API-Infrastruktur-Standards. Der Endkunde könnte technisch problemlos,  transparent und direkt durch das Zahlungsinstitut über seine Rechte aufgeklärt werden und jederzeit flexibel steuern, auf welche Zahlungskonten Datenmehrwertanbieter Zugriff erhalten. Eine Aufsichtspflicht für Datenmehrwertanbieter mit weitgehenden Auslagerungsmöglichkeiten der PSD2-Pflichten wäre keine echte Alternative zur expliziten Ausnahme, da sie ein weit weniger effektives Ergebnis erzielen würden.

Eine weitere Fragestellung zur PSD2-Lizenzreichweite ist, ob ein Anbieter zugleich ZADL und KIDL sein darf. Aus Marktsicht ist dies eindeutig zu bejahen, sofern der Anbieter die sich aus der PSD2 ergebenden, klaren technisch-organisatorischen Prozesstrennungen bei der Abwicklung beider Dienste umsetzt. Darüber hinaus fehlt es bisher an einer Klarstellung, dass im deutschen Markt etablierte sog. Kundenprodukte, welche die Nutzerdaten lokal speichern aber dabei ebenfalls über HBCI-Anbindungen ohne Vertragsgrundlage mit Banken funktionieren, künftig auch den PSD2-Sicherheitsanforderungen unterliegen müssen (z. B. Online-Banking und Buchhaltungssoftware/Apps für KMU). Hier muss der ‘Level Playing Field’-Ansatz gelten.

Fazit

Die Lizenzreichweite der PSD2 und ihre Auswirkungen auf einzelne Marktakteure sind noch schwer zu greifen. Eine intensive Begleitung der laufenden nationalen Umsetzung der Richtlinie ist für Unternehmen, die sich im Umfeld der neuen PSD2-Zahlungsdienste bewegen, dringend zu empfehlen. Ist eine künftige Aufsichtspflicht für das Unternehmen nicht ausschließbar, muss diese frühzeitig im Rahmen der Entwicklung des Geschäftsmodells einbezogen werden.

Nächstes Mal: TEIL 4 – Wie berücksichtige ich eine mögliche Aufsichtspflicht in der Start-up-Entwicklung ?