Richtlinie (EU) 2015/2366 des Europäischen Parlaments und des Rates vom 25. November 2015 über Zahlungsdienste im Binnenmarkt, zur Änderung der Richtlinien 2002/65/EG, 2009/110/EG und 2013/36/EU und der Verordnung (EU) Nr. 1093/2010 sowie zur Aufhebung der Richtlinie 2007/64/EG
Bezeichnung: (nicht amtlich)
Zweite Zahlungsdiensterichtlinie, Payment Services Directive 2
Richtlinie 2007/64/EG des Europäischen Parlaments und des Rates vom 13. November 2007 über Zahlungsdienste im Binnenmarkt, zur Änderung der Richtlinien 97/7/EG, 2002/65/EG, 2005/60/EG und 2006/48/EG sowie zur Aufhebung der Richtlinie 97/5/EG
Die Zahlungsdiensterichtlinie[2] (manchmal abgekürzt als ZaDiRL[3], zumeist jedoch PSD von englisch Payment Services Directive) reguliert Zahlungsdienstleister in der gesamten Europäischen Union (EU) einheitlich.
Die Richtlinie soll den europaweiten Wettbewerb erhöhen und auch Nichtbanken, wie FinTechs, die Teilnahme an der Zahlungsbranche ermöglichen. Sie soll europaweit Rechte und Pflichten für Zahlungsdienstleister, Handelsunternehmen und Verbraucher vereinheitlichen.[4]
Die Selbstregulierungsinitiative des europäischen Bankensektors zur Schaffung des Europäischen Zahlungsraums (SEPA) ist im Europäischen Zahlungsverkehrsrat vertreten und legt die Harmonisierung von Zahlungsprodukten, Infrastrukturen und technischen Standards fest (Rulebooks für Überweisung/Lastschrift, BIC, IBAN, ISO 20022 XML-Nachrichtenformat, EMV-Chipkarten/Terminals). Die PSD stellt den gesetzlichen Rahmen für alle Zahlungsdienstleister.
Das Ziel der Zahlungsdiensterichtlinie in Bezug auf die Zahlungsbranche bestand darin, den europaweiten Wettbewerb mit der Teilnahme auch von Nichtbanken zu verstärken und durch die Harmonisierung des Verbraucherschutzes und die Rechte und Pflichten für Zahlungsdienstleister und Nutzer gleiche Wettbewerbsbedingungen zu schaffen.
Das Ziel der Zahlungsdiensterichtlinie in Bezug auf die Verbraucher war es, die Kundenrechte zu erhöhen, schnellere Zahlungen zu garantieren (spätestens am nächsten Tag ab dem 1. Januar 2012), Rückerstattungsrechte zu beschreiben, weitere Informationen über Zahlungen zu geben.[5] Obwohl die PSD eine Harmonisierungsrichtlinie ist, erlauben bestimmte Elemente unterschiedliche Optionen durch einzelne Länder.
Der endgültige angenommene Text der Zahlungsdiensterichtlinie ist am 25. Dezember 2007 in Kraft getreten[2] und sollte bis spätestens 1. November 2009 von allen EU- und EWR-Mitgliedstaaten in nationales Recht umgesetzt werden.[6]
Technische Übersicht
Die Zahlungsdiensterichtlinie enthält zwei Hauptbereiche:
Die „Marktregeln“ beschreiben, welche Art von Organisationen Zahlungsdienste erbringen können. Neben den Kreditinstituten (d. h. Banken) und bestimmten Behörden (z. B. Zentralbanken, Regierungsstellen) erwähnt die PSD die von der E-Geld-Richtlinie im Jahr 2000 geschaffenen elektronischen Geldinstitute und schuf die neue Kategorie der „Zahlungsinstitute“. Organisationen, die keine Kreditinstitute sind, können eine Zulassung als Zahlungsinstitut beantragen, wenn sie bestimmte Kapital- und Risikomanagementanforderungen erfüllen.
Die „Geschäftsleitungsregeln“ legen fest, welche Transparenz Informationsdienstleistungsinstitute zur Verfügung stellen müssen, einschließlich etwaiger Gebühren, Wechselkurse, Transaktionsreferenzen und maximaler Ausführungszeit. Es legt die Rechte und Pflichten sowohl für Zahlungsdienstleister als auch Nutzer fest, wie Transaktionen autorisiert und durchgeführt werden, Haftung im Falle der unbefugten Verwendung von Zahlungsinstrumenten, die Erstattung von Zahlungen.
Jedes Land musste eine „zuständige Behörde“ für die aufsichtsrechtliche Überwachung der Zahlungsinstitute benennen.[7]
Aktualisierungen
Die Zahlungsdiensterichtlinie wurde 2009 (Verordnung (EG) Nr. 924/2009) und 2012 (Verordnung (EU) Nr. 260/2012) aktualisiert. Ein Umsetzungsbericht von 2013 fand, dass die Zahlungsdiensterichtlinie die Bereitstellung einheitlicher Zahlungsdienste in der gesamten EU erleichterte und die Rechts- und Produktionskosten für viele Zahlungsdienstleister reduzierte. Zum Beispiel folgten die Gebühren für 100-EUR-Transfers mit einem weiteren Abwärtstrend auf 0,50 EUR Euro-Durchschnitt für Online-Überweisungen und blieben mit 3,10 EUR für am Bankschalter eingeleitete Transfers niedrig.
Verbleibende Probleme
Die Zahlungsdiensterichtlinie (PSD) gilt nur für Zahlungen innerhalb des Europäischen Wirtschaftsraums, nicht aber für Transaktionen in oder aus Drittländern.
PSD-Befreiungen im Zusammenhang mit Zahlungsaktivitäten lässt Nutzer ungeschützt.
Die PSD-Option für Händler, eine Gebühr zu berechnen oder einen Rabatt zu geben, kombiniert mit der Option für Länder, diese zu begrenzen, hat zu „extremer Heterogenität auf dem Markt“ geführt.
Es sind so genannte „Drittanbieter-Zahlungsdienstleister“ entstanden, die das Online-Shopping durch kostengünstige Zahlungslösungen im Internet erleichtern, indem sie die Online-Banking-Systeme der Kunden mit ihrer Vereinbarung nutzen und den Händlern mitteilen, dass das Geld unterwegs ist. Andere „Kontoinformationsdienste“ bieten konsolidierte Informationen über verschiedene Konten eines Zahlungsdienstnutzers an.
Eine Harmonisierung der Erstattungsregeln für Lastschriften, eine Verringerung des Geltungsbereichs des „vereinfachten Regimes“ für so genannte „kleine Zahlungsinstitute“ und die Themen Sicherheit, Zugang zu Informationen über Zahlungskonten oder Datenschutz wurden vorgeschlagen.
PSD2: Überarbeitete Zahlungsdiensterichtlinie
Am 8. Oktober 2015 verabschiedete das Europäische Parlament den Vorschlag der EU-Kommission zur Schaffung sichererer und innovativerer europäischer Zahlungen (PSD2). Am 16. November 2015 verabschiedete der Rat der Europäischen Union die Überarbeitete Zahlungsdiensterichtlinie (PSD2), Richtlinie (EU) 2015/2366. Die Mitgliedstaaten hatten bis 13. Januar 2018 Zeit, die Richtlinie in ihre nationalen Gesetze und Vorschriften umzusetzen.[8][9][10]
Die neuen Regeln sollen die Banken besser vor Betrug schützen, wenn ihre Kunden online bezahlen, die Entwicklung und Nutzung innovativer Online- und Mobilfunkzahlungen zu fördern und die grenzüberschreitenden europäischen Zahlungsdienste sicherer machen.[11][12] Kommissar Jonathan Hill, zuständig für Finanzstabilität, Finanzdienstleistungen und Union der Kapitalmärkte, sagte: „Diese Gesetzgebung ist ein Schritt in Richtung eines digitalen Binnenmarktes, der den Verbrauchern und Unternehmen zugutekommt und der Wirtschaft helfen wird.“
Zwei-Faktor-Anmeldung
Die Richtlinie PSD2 umfasst viele verschiedene Regelungen. Aus Verbrauchersicht unmittelbar spürbar ist die Pflicht zur Zwei-Faktor-Anmeldung (2FA) im Onlinebanking und bei Bezahlungen mit Girokarte, Kreditkarte, PayPal usw. Ausgenommen sind Lastschrift, Kauf-auf-Rechnung und Nachnahme, bei denen kein unmittelbarer Zahlungsvorgang stattfindet. Weil die Regelungen für den Handel aufwendig umzusetzen und für den Verbraucher umständlich sind,[13][14] wurde die Einführung in Deutschland mehrmals verschoben, von ursprünglich September 2019 auf zuletzt Mitte März 2021.[15]
Um die „starke Kundenauthentifizierung“ zu erfüllen (engl.Strong Customer Authentication = SCA), sind für Zahlungsvorgänge offline wie online zwei Faktoren aus den drei Bereichen Wissen, Besitz und Biometrie vorgeschrieben:[16]
Wissen: Passwort, PIN, Bildschirmmuster, Frage nach dem Geburtsnamen der Mutter o. ä.
Online ist der zweite Faktor ungleich schwieriger umzusetzen, denn offline war schon immer eine Karte zum Bezahlen nötig.
Schnittstellen
Die PSD2 soll auch Finanz-Start-ups (so genannte FinTechs) stärken. Die Banken werden verpflichtet, Schnittstellen (APIs) einzurichten, über die Drittdienstleister auf die Zahlungskonten der Bankkunden zugreifen können (Open Banking). Manche Banken sehen in Open Banking eine strategische Chance und öffneten sich frühzeitig über die regulatorischen Vorgaben der PSD2 hinaus, beispielsweise in Form von zusätzlichen Schnittstellen, die den Zugriff auf Kreditkarten- und Depotdaten ermöglichen.[18][19] Andere ringen mit Fintechs um die richtige Auslegung – und die Frage, wie sie auf Kundendaten zugreifen dürfen. Die Banken beharren darauf, dass künftig nur noch Daten über spezielle Schnittstellen und nicht mehr per Screen Scraping der Onlinebanking-Oberfläche abgefragt werden.[20] Nach einer Übergangsperiode müssen ASPSPs (Account Servicing Payment Service Provider bzw. kontobezogener Zahlungsdienstleister oder Banken) jedoch ab dem 14. September 2019 allen Drittanbietern entweder eine eigene dedizierte Schnittstelle bieten oder sie dieselbe nutzen lassen, wie sie ihren eigenen Kunden bereitstellen. Nur für den Fall, dass diese versagen, darf als Fallback-Szenario noch auf das Screen Scraping zurückgegriffen werden.[21]
Gesetzgebungsverfahren
Am 27. November 2017 verabschiedete die EU-Kommission entsprechende technische Regulierungsstandards für eine starke Kundenauthentifizierung und für sichere offene Standards für die Kommunikation, die elektronische Zahlungen in Geschäften und im Internet sicherer machen sollen. Diese technischen Regulierungsstandards legen unter anderem fest, wie Drittanbieter und kontoführende Zahlungsdienstleister sicher elektronisch miteinander zu kommunizieren haben. Nach Annahme der regulatorisch technischen Anforderungen (RTS) durch die Kommission hatte das Europäische Parlament und der Rat drei Monate Zeit, um diese zu prüfen. Sie wurden schließlich am 13. März 2018 als Delegierte Verordnung (EU) 2018/389 zur starke Kundenauthentifizierung und für sichere offene Standards für die Kommunikation im Amtsblatt veröffentlicht. Diese Verordnung gilt ab 14. September 2019. Bis dahin haben nun alle Beteiligten Zeit, die technischen Regulierungsstandards umzusetzen.[22]
Die überarbeitete Richtlinie über Zahlungsdienste wurde in Deutschland mit dem Gesetz zur Umsetzung der Zweiten Zahlungsdiensterichtlinie[23] am 13. Januar 2018 umgesetzt.[24] Mit dem Änderungsgesetz wird das Zahlungsdiensteaufsichtsgesetz neu gefasst und die zivilrechtlichen Vorschriften im Bürgerlichen Gesetzbuch angepasst. Das Gesetz hat das Ziel, den bestehenden Rechtsrahmen für Zahlungsdienste an den technologischen Fortschritt anzupassen, die Sicherheit von Zahlungen zu verbessern und die Rechte der Kunden bei der Nutzung der gängigen Zahlverfahren zu stärken.[25][26][27][28]
Die Schweiz muss die PSD2-Regulierung der EU nicht umsetzen, dennoch wird diskutiert, ob eine PSD2-äquivalente Regulierung eingeführt werden soll. In der Schweiz gewähren die Banken, insbesondere die Hypothekarbank Lenzburg,[30] bereits heute Drittanbietern Zugriff auf Konten und öffnen die Kundenschnittstelle, wenn dies im beidseitigen Interesse von Bank und Kunden ist. Ein gesetzlicher Zwang für die Banken besteht jedoch nicht. Die Schweiz setzt somit auf marktwirtschaftliche Lösungen. Die Schweizerische Bankiervereinigung (SBVg) lehnt eine Regulierung analog zu PSD2 respektive eine gesetzlich erzwungene Öffnung der Zugriffsrechte für Dritte ab.[31]
AISPs und PISPs
Die PSD2 hat zwei neue Gruppen von Zahlungsdiensteanbietern geschaffen:[32][21]
A. Account Information Service Providers (AISPs)‚Kontoinformationsdienste‘
AISPs sind berechtigt auf Zahlungs- und Abrechnungskonten des Kunden zuzugreifen und ihm konsolidierte Kontoinformationen bereitzustellen.
Beispiel: Martina möchte einen Überblick über ihre Finanzen bekommen. Wie viel Geld nimmt sie monatlich mit ihrem Onlineshop ein, wie viel Zins und Tilgung zahlt sie für ihr Darlehen, wie hoch sind ihre Kreditkartenabrechnungen etc. Dazu nutzt sie einen AISP, der die benötigten Informationen von den verschiedenen Konten und Banken besorgt und zusammenführt.
B. Payment Initiation Services Providers (PISPs)‚Zahlungsauslösedienste‘
PISPs sind berechtigt elektronische Zahlungsvorgänge im Namen des Kunden einzuleiten.
Beispiel: Jan möchte etwas aus dem Onlineshop von Martina bestellen. Er besitzt keine Kreditkarte, nutzt kein paydirekt und eine TAN für eine Überweisung hat er auch nicht zur Hand. Er kann jedoch durch das Übermitteln von zusätzlichen Informationen (z. B. IBAN) eine Zahlung über einen PISP an Martina einleiten, so dass diese ihre Ware gefahrlos versenden kann.
Eine weitere Kategorie sind:
Deckungsabfragedienste:
Diese stellen ein kartengebundenes Zahlungsinstrument aus, wobei diese nicht das Zahlungskonto des Zahlungsdienstnutzers führen. Damit der drittkartenaustellende Emittent, der keinen Einblick in das Zahlungskonto des Zahlungsdienstnutzers hat, sein Kreditrisiko einschätzen kann, soll dieser nach Art. 65 der PSD2 beim zahlungskontoführenden Zahlungsdienstleister anfragen dürfen, ob ein ausreichender Geldbetrag zur Begleichung der offenen Forderung auf dem Zahlungskonto verfügbar ist. Das kontoführende Zahlungsinstitut ist zu einer Auskunft in Form einer „Ja“- oder „Nein“ -Meldung verpflichtet. Die Abfrage des exakten Kontostands ist nicht vorgesehen.
Gebührenübertragung auf Kunden
Aufgrund der überarbeiteten Zahlungsdiensterichtlinie, die seit dem 13. Januar 2018 gültig ist, hat PayPal am 9. Januar 2018 die allgemeinen Geschäftsbedingungen geändert und den Händlern verboten, die PayPal-Gebühren auf ihre Kunden umzulegen. Das galt nicht für Unternehmen, die eine abweichende Praxis vertraglich mit PayPal vereinbart haben.[33] Am 13. Dezember 2018 hat das Landgericht München I im Fall Flixbus entschieden, dass die Zahlungsdiensterichtlinie auch für PayPal gilt und Flixbus keine Gebühren mehr auf die Kunden weitergeben dürfe.[34]
Das Urteil wurde im März 2021 vom Bundesgerichtshof im Rahmen eines Musterverfahrens bestätigt. Der Händler darf die Kosten für PayPal, Klarna o. ä. an den Kunden weitergeben. Nur die im Gesetz explizit genannten Zahlarten Banküberweisung, Lastschrift, EC- und Kreditkarte müssen kostenfrei sein.[35] Dadurch wird für den Kunden Kostentransparenz geschaffen und der Händler kann den Kostenvorteil durch günstige Zahlungsarten wie Überweisung an den Kunden weitergeben. De facto ändert sich durch das Urteil nichts, da die AGB von PayPal es dem Händler verbieten Aufschläge zu verlangen.[36] Größere Händler verhandeln zwar die Bedingungen mit PayPal direkt, konnten aber aufgrund derer Marktmacht auch keine Abweichungen in dieser Hinsicht durchsetzen.[37]
Schlüsseldaten
März 2000: Lissabon-Agenda, um Europa bis 2010 zur wettbewerbsfähigsten und dynamischsten wissensbasierten Wirtschaft der Welt zu machen
2002: Europäischer Zahlungsverkehrsausschuss – Gründung durch die Bankenbranche, um die SEPA-Initiative voranzutreiben und die wichtigsten nicht zahlungswirksamen Zahlungsinstrumente im gesamten Euroraum zu harmonisieren (bis Ende 2010)
2001–2004: Beratungszeitraum und Vorbereitung der PSD
Dezember 2005: Vorschlag für PSD durch die GD Binnenmarktkommissar Charlie McCreevy
25. Dezember 2007: PSD trat in Kraft
1. November 2009: Frist für die Umsetzung in nationales Recht
Aktualisierung im Jahr 2009: Beseitigung der Unterschiede bei den grenzüberschreitenden und nationalen Zahlungen in Euro (Verordnung (EG) Nr. 924/2009)
Aktualisierung im Jahr 2012: Verordnung über grenzüberschreitenden Zahlungen, „multilaterale Austauschgebühren“ (Verordnung (EU) Nr. 260/2012)
Juli 2013: Bericht über die Umsetzung der PSD und ihre beiden Updates
16. November 2015: Der Rat der Europäischen Union verabschiedet die PSD2 und gibt den Mitgliedstaaten zwei Jahre Zeit, die Richtlinie in ihre nationalen Gesetze und Verordnungen umzusetzen.
13. Januar 2018: Richtlinie 2007/64/EG ist aufgehoben und durch Richtlinie (EU) 2015/2366 ersetzt.
Markus Montz: PSD2: Was sich ab September beim elektronischen Bezahlen ändert. In: c’t. Nr.15, 2019, S.122–127 (heise.de [abgerufen am 14. Juli 2019] Grundlagenartikel und Umsetzungsstand).
Dimitrios Linardatos: Das Haftungssystem im bargeldlosen Zahlungsverkehr nach Umsetzung der Zahlungsdiensterichtlinie. Nomos-Verlag, 2013, ISBN 978-3-8487-0709-6 (Veraltet, da vor PSD2).
Bundesbank (ohne Datum): PSD2. Ein Übersichtsartikel, der die Umsetzung der zweiten Zahlungsdiensterichtlinie durch das Zahlungsdiensteumsetzungsgesetz mittels Text und Infografiken thematisiert. Archiviert vom Original am 1. Juli 2020.
↑Marion Schalk: Lost in TAN. In: Zeit online. 22. August 2019; abgerufen am 18. März 2021.
↑Markus Montz: Nimm zwei: Was sich ab September beim elektronischen Bezahlen ändert. In: c’t. Band2019, Nr.15, 5. Juli 2019, ISSN0724-8679, S.122–127 (heise.de [abgerufen am 17. Februar 2022]).
↑ abTobias Lämmle: PSD2 – Bedrohung oder Chance? Finanzinformatik Solutions Plus GmbH, 12. April 2018, archiviert vom Original (nicht mehr online verfügbar) am 24. August 2018; abgerufen am 24. August 2018.Info: Der Archivlink wurde automatisch eingesetzt und noch nicht geprüft. Bitte prüfe Original- und Archivlink gemäß Anleitung und entferne dann diesen Hinweis.@1@2Vorlage:Webachiv/IABot/f-i-solutions-plus.de