Was Banken jetzt für die fristgerechte Umsetzung beachten müssen.
Am 13. Januar 2018 ist die PSD2 in Kraft getreten und ist seitdem geltendes Recht. Doch von Entspannung kann bei den Banken in Europa keine Rede sein, denn noch gibt es einiges zu tun. Für die von der Europäischen Bankenaufsicht (EBA) herausgegebenen regulatorischen Standards zur starken Kundenauthentifizierung und gemeinsamen und sicheren Kommunikation, kurz RTS, haben die Finanzinstitute 18 Monate Zeit zur Umsetzung. Das klingt erst mal nach massig Zeit, aber der erste Eindruck täuscht.
Kernelement der RTS ist die Forderung nach einer Schnittstelle zur Anbindung von Dritten Zahlungsdienstleistern, zu denen Zahlungsauslösedienste (ZAD), Kontoinformationsdienste (KID) und Zahlungsdienstleister, die kartengebundene Zahlungsmittel ausstellen, gehören. Wenn man den Dritten Zahlungsdienstleistern, auch TPP (Third Party Provider) genannt, den Zugriff auf die Kundenkonten nicht über das normale Online-Banking geben möchte, so muss man eine dedizierte Schnittstelle für den Zugriff bauen.
So weit so gut. Doch die Herausforderung liegt nicht unbedingt in der Implementierung an sich, sondern vor allem in dem recht ambitionierten Zeitplan der EBA. Umsetzungstermin für die RTS und der damit verbundenen Schnittstelle ist der 14. September 2019, 18 Monate nachdem die RTS im EU-Amtsblatt veröffentlicht wurden. Zumindest dachte man das immer…
Aber der erste Termin, auf den die Zahlungsinstitute hinarbeiten müssen, ist der 14. März 2019, bereits ein halbes Jahr früher! Die kontoführenden Zahlungsinstitute müssen den TPPs sechs Monate vor Go Live eine Testumgebung einschließlich Support zur Verfügung stellen. Denn das Ganze soll ja ordentlich getestet sein und einwandfrei funktionieren. Die FinTechs konnten sich in Vorgesprächen zu den RTS bei der EBA mit ihrer Forderung durchsetzen, dass die neue PSD2-Schnittstelle die gleiche Performance und Verfügbarkeit wie bei den bestehenden Kundeninterfaces (z.B. beim Online-Banking) aufweisen muss – Stichwort Diskriminierungsverbot.
Doch das ist noch nicht alles. Wenn die Banken denken, dass sie zumindest für die Fertigstellung ihrer Schnittstelle im Live-Betrieb und für alle damit verbundenen organisatorischen Maßnahmen noch bis September 2019 Zeit haben, könnte in den nächsten Wochen das böse Erwachen kommen. Noch hat die BaFin kein konkretes Datum kommuniziert, aber wenn eine Bank die Ausnahmegenehmigung von der Einrichtung eines Fallback-Zugangs bei Nichtverfügbarkeit der eigentlichen Schnittstelle erhalten möchte, dann sollte sie unserer Meinung nach lieber ein Go Live spätestens am 14. Juni 2019 ins Auge fassen. Das Datum ist bei den Behörden schon an der ein oder anderen Stelle mündlich genannt worden. Denn eine der vier Voraussetzungen dafür, kein Fallback-Szenario bereit halten zu müssen, ist der Nachweis von mindestens drei Monaten Nutzung der Schnittstelle im breiten Umfang durch die TPPs, und zwar im Live-Betrieb. Somit landet man bereits im nächsten Jahr Juni als Meilenstein für die Bereitstellung der Schnittstelle; Banken und FinTechs bleiben dem zufolge nur noch 10 Monate Zeit für die Umsetzung der Anforderungen. Ob das schon jedem am Markt bewusst ist? Unser Gefühl sagt uns, dass nicht allen Instituten der Ernst der Lage klar ist.
Und was ist die Konsequenz, wenn die Schnittstelle zwar pünktlich live ist, aber kein TPP die Schnittstelle während der drei Monate nutzt? Das kann zumindest den kleineren Häusern passieren. Auch dafür hat die EBA bereits eine Antwort parat. In dem Fall muss das Institut nachweisen, dass es alles in seiner Macht Stehende getan hat, die Verfügbarkeit der Schnittstelle nach außen hin zu kommunizieren, regelrecht zu bewerben. So zum Beispiel durch eine entsprechende Publikation auf der Homepage, via Social-Media-Kanälen oder in einem anderen geeigneten Netzwerk. Lassen wir uns also überraschen, wie das später in der Praxis aussieht.
Neben dem knappen Zeitplan gibt es noch einige weitere Hindernisse, die es zu bewältigen gilt. Ein brisantes Thema sind beispielsweise die möglichen Geschäftsvorfälle, die ein ZAD für den Kunden über die Schnittstelle auslösen darf. Die Meinung der DK und unter den Verbänden und Instituten war bislang, dass Daueraufträge und Terminüberweisungen nicht unter die PSD2 fallen. Die EBA sieht das ganz anders und hat in ihrer Opinion zur RTS am 13.06.2018 klargestellt, dass ein ZAD genau die gleichen Zahlungen auslösen darf wie der Kunde selber. Nach neusten Informationen, die anscheinend auf einem Austausch der DK-Verbände mit der BaFin zur Umsetzung der RTS Ende Juli beruhen, wird die BaFin der Meinung der EBA folgen und Institute sollten demnach auch Daueraufträge und Terminüberweisungen mit in ihrem Scope aufnehmen, sofern nicht bereits geschehen. Abhängig von der Systemlandschaft ist diese Änderung kein leichtes Unterfangen für die Banken. Die gute Nachricht ist jedoch, dass bei den Daueraufträgen nur die Anlage und Löschung eines Auftrags, nicht die Bearbeitung oder das Aussetzen, durch den ZAD ermöglicht werden müssen. Eine Bestandsanzeige gegenüber dem KID ist weder für Daueraufträge noch für Terminüberweisungen notwendig. Auch Lastschriften bleiben weiterhin von der PSD2 unberührt.
In der Opinion wurde neben anderen Punkten auch noch mal klargestellt, dass dem KID der Zugang zu den gleichen Kontoinformationen gewährt werden muss, die auch der Kunde über seine Online-Zugänge sehen kann. Das ist ersteinmal nichts Neues. Doch jetzt sollen diese Informationen auch einem ZAD auf Verlangen zur Verfügung gestellt werden. Nämlich dann, wenn die Bank Batch-Booking im Einsatz hat, was wohl auf den Großteil aller Banken in Deutschland zutrifft, und somit dem ZAD nicht unmittelbar bei Zahlungsauslösung bestätigen kann, dass die Zahlung gebucht wurde. Mit Hilfe der Kontoinformationen sollen die ZADs in die Lage versetzt werden, selber das Risiko eines Zahlungsausfalls einzuschätzen. Doch wie soll das in der Praxis funktionieren? Hat der Zahlungsauslösedienst in dem Vorgang dann die Doppelrolle des ZAD und KID inne? Muss die Bank diesem dann immer Zugriff auf die Kontoinformationen gewähren ohne dass der Kunde eine weitere starke Kundenauthentifizierung durchführen muss? Oder gelten hier die gleichen Anforderungen und die 90-Tage Regelung wie beim klassischen KID?
Es gibt noch einiges an Klärungsbedarf. Wir werden die aktuellen Entwicklungen und Veröffentlichungen seitens EBA, BaFin und DK weiter mit Argusaugen verfolgen und Sie auf dem Laufenden rund um PSD2 halten.