PSD3 & Payment Service Regulation (PSR)

Am 28. Juni 2023 war es endlich soweit - die Europäische Kommission (EK) veröffentlichte das sogenannte "Financial access data and payments package", auf das viele Payment-Enthusiasten schon mit Spannung gewartet haben.

Gleich vorweg, die neuen Regulierungsvorschläge stellen keine Revolution der bisherigen europäischen Zahlungsregulierung dar, sondern vielmehr eine Evolution, mit der viele der bekannten Probleme der PSD2 adressiert werden. Außerdem will die EK das „Open Banking“-Regime zu einem allgemeineren, viel weiter gehenden „Open Finance“-Rahmen weiterentwickeln.

In diesem Briefing haben wir die Hintergründe und wichtigsten Änderungsvorschläge zur Payment Service Regulation (PSR) & Payment Service Directive 3 (PSD3) zusammengefasst.

In weiteren Teilen werden wir uns näher mit der so genannten Open Finance-Verordnung (Framework for Financial Data Access Regulation, FIDA) und dem Vorschlag zur Einführung eines digitalen Euros auseinandersetzen.

Schlussfolgerungen aus dem PSD2-Review

Bevor wir auf die PSR/PSD3-Vorschläge näher eingehen, erscheint es uns zum besseren Verständnis der Neuerungen hilfreich, kurz den PSD2-Überprüfungsbericht der Europäischen Kommission (EK) zu erwähnen, der gemeinsam mit den Gesetzesvorschlägen veröffentlicht wurde. Darin ist die EK wenig überraschend zu dem Schluss gekommen, dass die PSD2 in unterschiedlichem Ausmaß erfolgreich war.

Konkret bewertet die EK die PSD2 sowie die diesbezüglichen Umsetzungsmaßnahmen der Mitgliedstaaten so:

• Gleiche Wettbewerbsbedingungen konnten nur in begrenztem Maße geschaffen werden, insbesondere wegen eines anhaltenden Ungleichgewichts zwischen Bank- und Nicht-Bank-Zahlungsverkehrsdienstleistern (Bank-PSPs vs. Non-Bank-PSPs). Dieses ergibt sich vor allem daraus, dass Non-Bank-PSPs keinen direkten Zugang zu wichtigen Zahlungssystemen haben.

• Open Banking ist in den EU-Mitgliedstaaten unterschiedlich erfolgreich, wobei vor allem auf bestehende Probleme mit der Leistungsfähigkeit der dedizierten Schnittstellen für Drittanbieter (PISPs, AISPs) hingewiesen wird.

• Weiters nehme zwar die grenzüberschreitende Erbringung von Zahlungsdiensten zu, aber viele Zahlungssysteme bleiben bisher weitgehend national. Eine paneuropäische Zahlungslösung steht noch aus.

• Schließlich seien die erwarteten Kostensenkungen für Händler durch neue, billigere Zahlungsmittel (z.B. auf der Grundlage von Open Banking) noch nicht vollständig eingetreten.

Insgesamt attestiert die EK dem bestehenden PSD2-Rahmen trotz einiger Mängel zwar Fortschritte bei der Schaffung eines erfolgreichen Binnenmarktes für den Zahlungsverkehrs. Es seien jedoch weitere gezielte Änderungen des Rechtsrahmens notwendig.

Um diese Themen zu adressieren, nennt die gemeinsam mit den Regulierungsvorschlägen vorgelegte Folgenabschätzung vier Ziele der nunmehrigen PSR/PSDD3-Initiative:

• Stärkung des Nutzer- bzw Verbraucherrschutzes und des Vertrauens in Zahlungen,

• Verbesserung der Wettbewerbsfähigkeit von Open Banking-Dienstleistungen,

• Verbesserung der einheitlichen Umsetzung und Durchsetzung der europäischen Regeln in den Mitgliedstaaten und

• Verbesserung des Zugangs zu Zahlungssystemen und Bankkonten für Non-Bank-PSPs.

Diese Ziele sollen im Wesentlichen durch folgende Maßnahmen erreicht werden. Bitte bedenken Sie, dass dieser Beitrag keine abschließende Aufzählung aller Änderungen im Vergleich zur PSD2 darstellt, sondern nur die wichtigsten Neuerungen behandelt:

Regelungskonzept PSR/PSD3

Der Kommissionsvorschlag sieht vor, die bisherige PSD2 in zwei unterschiedliche Rechtsakte zu überführen, und zwar eine von den EU-Mitgliedstaaten umzusetzende 3. Zahlungsdienste-Richtlinie (Payment Service Directive 3, PSD3) und eine direkt anwendbare Zahlungsdienste-Verordnung (Payment Service Regulation, PSR).

Während der Großteil der bisher in der PSD2 enthaltenen Regeln in die PSR wandert, sollen die bisherigen Bestimmungen über die Zulassung und Beaufsichtigung von Zahlungsinstituten künftig in der PSD3 geregelt werden.

Die PSR soll insbesondere die vorvertraglichen Informationspflichten von Zahlungsdienstleistern, Regelungen zum Abschluss, Inhalt, zur Änderung und Beendigung von Zahlungsdiensteverträgen, Erstattungsrechte / Haftungen, Maßnahmen zur Betrugsbekämpfung sowie die Anforderungen im Zusammenhang mit der starken Kundenauthentifizierung (SCA) regeln.

Durch die Einführung der unmittelbar anwendbaren PSR soll es zu einer stärkeren Harmonisierung des Rechtsrahmens kommen. Nationale Gestaltungsspielräume sollen so reduziert werden. Dieser Ansatz ist nicht neu, sondern bereits aus anderen finanzmarktrechtlichen Regelungsbereichen bekannt, etwa dem Bankaufsichtsrecht (Stichwort CRR / CRD).

Weiters soll die bisherige 2. E-Geld-Richtlinie (EMD2) in der PSR und PSD3 aufgehen. Das E-Geldgeschäft wird als weiterer Zahlungsdienst definiert. Dementsprechend sollen Institute, die das E-Geldgeschäft betreiben, künftig unter den Begriff der "Zahlungsinstitute" fallen. Somit entfällt die bisherige Kategorie des „E-Geld-Instituts“.

Open Banking

Die EK hat sich dazu entschieden, eine Reihe von gezielten Änderungen am Open Banking-Rahmen vorzunehmen, um dessen Funktionieren zu verbessern.

Gleichzeitig möchte sie aber radikale Änderungen vermeiden, die den Markt destabilisieren oder zu erheblichen weiteren Umsetzungskosten führen könnten. Nichts desto trotz werden die Änderungen - wenn sie so beschlossen werden - einigen Anpassungsbedarf auslösen, insbesondere technische Änderungen für kontoführende Zahlungsdienstleister erforderlich machen.

Zunächst ist interessant, dass die EK der Ansicht ist, dass die Kosten für die Einführung eines EU-weit einheitlichen technischen API-Standards dessen Vorteile überwiegen würden, weshalb sie von einer derartigen Anforderung absieht. Im Vorfeld wurde eine Vereinheitlichung des technischen Standards oft als Möglichkeit zur Ankurbelung von Open Banking diskutiert. 

Der PSR/PSD3-Vorschlag ändert auch die bisherige PSD2-Standardregel nicht, wonach kontoführende Zahlungsdienstleister (sg ASPSPs) Drittanbietern (Third Party Providers, TPPs) den Zugang zu Kontodaten ihrer Kunden ohne eine vertragliche Beziehung, und folglich ohne ein Entgelt verlangen zu dürfen, ermöglichen müssen. Auch dies wurde vielfach verlangt.

Interessanterweise sieht die Open Finance-Verordnung für den Zugang zu anderen Finanzdaten, im Gegensatz zum PSR/PSD3-Vorschlag, sehr wohl die Möglichkeit vor, ein Entgelt zu verlangen.

Die vorgeschlagenen Open Banking-Änderungen umfassen im Wesentlichen Folgendes:

• Es werden neue Mindestanforderungen an die Leistungsfähigkeit der sg API-Schnittstellen festgelegt, insbesondere eine demonstrative Liste verbotener Übertragungshindernisse, um TPPs einen optimalen Datenzugang zum vollen Nutzen ihrer Kunden zu gewährleisten. Im Gegenzug wird die derzeitige Anforderung, TPPs einen "Fallback Mechanism" (Notfallmechanismus) zur Vefügung zu stellen, gestrichen. ASPSPs müssen nach dem Vorschlag nur mehr eine dedizierte Schnittstelle aufrechterhalten. TPPs müssen zudem die Möglichkeit haben, bei einem Ausfall der Schnittstelle die Geschäftskontinuität durch einen vorübergehenden Notfalldatenzugriff aufrechtzuerhalten.

• ASPSPs sollen weiters verpflichtet werden, ihren Kunden ein sg "Permission Dashboard" anzubieten. Dieses soll es Kontoinhabern ermöglichen, auf einen Blick im Zahlungskonto zu sehen, wem sie welche Datenzugriffsrechte gewährt haben. Kunden sollen zudem die Möglichkeit haben, über dieses Tool Datenzugriffe Dritter zu beenden, wenn sie dies wünschen.

Interessant ist noch zu erwähnen, dass die Europäische Kommission die Möglichkeit geprüft hat, Kontoinformationsdienstleister (Account Information Service Providers, AISPs) statt in der PSR/PSD3 in der neuen Open Finance-Verordnung (FIDA-Framework) zu regulieren. Dies wäre auf den ersten Blick naheliegend, da es sich dabei nur um eine spezifische Form einer Open Finance-Anwendung handelt. Die Kommission hat aber beschlossen, dies erst vorzuschlagen, wenn der Open Finance-Rahmen voll funktionsfähig ist, und nur dann, wenn die Bedingungen für eine reibungslose Übertragung als angemessen erachtet werden können.

Katalog der Zahlungsdienste

Der Katalog der konzessionspflichtigen Zahlungsdienste bleibt weitgehend unverändert. Das E-Geldgeschäft wird wie bereits oben erwähnt als weiterer Zahlungsdienst geregelt. Die Definition des E-Geldgeschäfts wird dabei etwas erweitert, so dass dieses auch die Führung von Zahlungskonten, auf denen E-Geld gespeichert ist sowie den Transfer von E-Geldeinheiten umfasst.

Ansonsten kommt es lediglich zu einigen Verschiebungen bzw Anpassungen bei den Definitionen der verschiedenen Zahlungsdienste. Beispielsweise werden das Issuing und das Acquiring, die bislang in einem Tatbestand zusammengefasst sind, getrennt. Damit soll klargestellt werden, dass Issuing- und Acquiring-Geschäfte auch gesondert angeboten werden können, was in Österreich schon bisher so gehandhabt wurde.

Offen bzw. fraglich scheint jedoch aufgrund der Neuformulierung, ob Acquirer und Issuer künftig noch Kredite anbieten dürfen, was bislang der Fall ist. Diesbezüglich erwarten wir noch Anpassungsbedarf, zumal die EK den Anwendungsbereich der PSD2 laut eigenen Angaben nicht verändern will.

Weiters werden Ein- und Auszahlungsgeschäfte, die bislang getrennt waren, aufgrund ihrer inhaltlichen Nähe zusammengeführt, aus unserer Sicht ein vernünftiger Schritt.

Stärkung der Bargeldversorgung

Die EK nennt die Sicherstellung des Zugangs zu Bargeld eine ihrer Prioritäten.

In diesem Sinne wird die bereits bestehende Cashback-Ausnahme der PSD2 dahingehend erweitert, als für Einzelhändler die Möglichkeit vorgesehen wird, unter bestimmten Voraussetzungen Bargeld an der Kassa konzessionsfrei auszuzahlen, ohne dass der Kunde einen Kauf tätigen muss (sg "Cashback ohne Kauf"). Das soll insbesondere die Bargeldversorgung in ländlichen Regionen fördern.

Weiters wird der bisherige Ausnahmetatbestand für Bargeldabhebungsdienste bestimmter Betreiber von Geldautomaten (Art 3 Abs 3 lit o PSD2) gestrichen, weil er laut EK bislang zu vielen Auslegungsschwierigkeiten geführt hat. Stattdessen wird ein Verfahren zur Registrierung von Geldautomatenbetreibern eingeführt, die keine Zahlungskonten bedienen. Diese werden somit in den Anwendungsbereich der PSR/PSD3 einbezogen und auch zu "Zahlungsinstituten light". Zum Zwecke der Registrierung sind der zuständigen Behörde bestimmte Informationen vorzulegen, etwa zu den organisatorischen Vorkehrungen des Unternehmens. Vor Registrierung darf die Tätigkeit nicht aufgenommen werden.

Strengere Handhabung der Handelsagenten-Ausnahme

Für die Praxis sehr relevant ist die geplante Einschränkung der Handelsagenten-Ausnahme. Bisher sind Zahlungsvorgänge zwischen Zahler und Zahlungsempfänger über einen Handelsagenten, der aufgrund einer Vereinbarung befugt ist, den Verkauf oder Kauf von Waren oder Dienstleistungen nur im Namen des Zahlers oder nur im Namen des Zahlungsempfängers auszuhandeln oder abzuschließen, ausgenommen. Nun wird als zusätzliche Voraussetzung vorgesehen, dass eine derartige Vereinbarung dem Zahler oder dem Zahlungsempfänger einen echten Handlungsspielraum ("a real margin") geben muss, mit dem Agenten zu verhandeln oder den Verkauf oder Kauf von Waren oder Dienstleistungen abzuschließen. Hier besteht unseres Erachtens noch weiterer Klärungsbedarf, was das genau bedeutet.

Die Änderung könnte jedenfalls Auswirkungen vor allem für Online-Marktplätze haben sowie auf Tankkartenanbieter, die Kraftstoffe als Vermittler verkaufen. Weiters könnten Einzelhändler betroffen sein, die als Vermittler von Gütern auftreten (zB Reisebüros und Ticketverkäufer).

Unveränderte begrenzte Netze-Ausnahme

Bei der sg begrenzte Netze-Ausnahme bleibt der Wortlaut hingegen unverändert.

Allerdings soll die EBA beauftragt werden, Bedingungen für die Inanspruchnahme dieser Ausnahme in eigenen technischen Regulierungsstandards (RTS) festzulegen. Derartige RTS werden dann üblicherweise von der Kommission als delegierte Rechtsakte verbindlich gemacht.

Wir gehen derzeit davon aus, dass die EBA-Leitlinien vom 24. Februar 2022 über die Ausnahme für begrenzte Netze nach der PSD2 in RTS überführt werden, ohne dass dies zu wesentlichen inhaltlichen Änderungen führt. In Stein gemeisselt ist dies freilich nicht.

Digitale Wallets

Ein weiterer interessanter Diskussionspunkt war in der Vergangenheit, ob bestimmte digitale Wallet-Anbieter bzw andere technische Dienstleister im Rahmen der PSD3 reguliert werden sollen.

Dazu kommt es nicht, denn die Europäische Kommission stellt im PSR/PSD3-Vorschlag klar, dass sg "pass-through wallets", wie etwa Apple Pay und Google Pay, kein Zahlungsinstrument darstellen, sondern einen technischen Dienst. Anbieter solcher Wallets müssen jedoch, wenn sich auch Elemente der starken Kundenauthentifizierung für Zahlungen verifizieren, einen Outsourcing-Vertrag mit dem Issuer des jeweiligen Zahlungsinstruments schließen, zB dem Emittenten der Kreditkarte, die in der Wallet tokenisiert wird.

Andere Kategorien digitaler Geldbörsen hingegen, etwa vorausbezahlte elektronische Geldbörsen wie "staged wallets", in denen die Nutzer Geld für künftige Online-Transaktionen speichern können, sollen jedoch als Zahlungsinstrument und ihre Ausgabe als Zahlungsdienst betrachtet werden.

Weiters wird klargestellt, dass NFC per se kein Zahlungsinstrument darstellt.

Kundengeldsicherung

Derzeit müssen Zahlungsinstitute die Kundengelder für den Konkursfall entweder über ein Treuhandkonto bei einem Kreditinstitut bzw mittels Bankgarantie oder einer Versicherung absichern.

In der Praxis ist es für Zahlungsinstitute schwierig, entsprechende Kreditinstitute bzw Versicherungen zu finden. Darauf reagiert dei EK nun mit der Einführung der Möglichkeit für Zahlungsinstitute, Kundengelder auch direkt bei einer nationalen Zentralbank zu sichern. Damit wird es Zahlungsinstituten künftig erleichtert, Sicherungskonten direkt bei Zentralbanken zu führen.

Es kommt allerdings auch zu einer Verschärfung der Sicherungsvorgaben für Zahlungsinstitute dahingehend, dass diese verpflichtet werden sollen, Konzentrationsrisiken bei der Sicherung von Kundengeldern zu vermeiden. Konkret sollen sie verpflichtet werden, nicht für alle Kundengelder dieselbe Sicherungsmethode zu verwenden und nicht alle Kundengelder bei einem einzigen Kreditinstitut zu verwahren.

Zugang von Zahlungsinstituen zu Zahlungssystmen

Es sollen auch die Rechte von Zahlungsinstituten auf Zugang zur Zahlungsinfrastruktur gestärkt werden, um bestehende Ungleichgewichte zwischen Bank-PSPs und Non-Bank-PSPs zu verringern. Zu diesem Zweck sollen Zahlungsinstitute im Zuge der PSR/PSD3-Regulierung in die Finalitätsrichtlinie einbezogen werden. Das würde Zahlungsinstituten eine direkte Teilnahme an wichtigen Zahlungssystemen ermöglichen, etwa TARGET2, und sie weniger abhängig von Kreditinstituten machen.

Flankierend wird vorgesehen, dass Betreiber von Zahlungssystemen Zahlungsinstituten den Zugang nur insoweit verwehren dürfen, als dies erforderlich ist, um das jeweilige Zahlungssystem vor bestimmten Risiken (zB operationelle Risiken, Liquiditätsrisiken) zu schützen.

Weiters ist in diesem Zusammenhang zu erwähnen, dass Kreditinstitute künftig die Eröffnung eines Zahlungskontos für ein Zahlungsinstitut nur dann ablehnen dürfen, wenn dafür schwerwiegende Gründe vorliegen, etwa ein Verdacht auf unzureichende Geldwäschekontrollen des Zahlungsinstituts, Verdacht auf illegale Aktivitäten des Zahlungsinstituts oder seiner Kunden, etc.

Betrugsbekämpfung

Die EK misst der Frage der Betrugsbekämpfung im Zahlungsverkehr große Bedeutung bei. Sie konstatiert, dass in den letzten Jahren neue Betrugsarten zugenommen haben, Stichwort "Social-Engineering-Betrug", für die die PSD2 nicht gerüstet ist.

Die PSD3 soll ewa das stark zugenommene "Spoofing" bekämpfen. Das Problem beim Spoofing ist, dass die Unterscheidung zwischen autorisierten und nicht autorisierten Transaktionen verschwimmt, da die vom Kunden erteilte Zustimmung zur Autorisierung einer Transaktion von Betrügern manipuliert wird, indem sie zB die Telefonnummer oder E-Mail-Adresse der Bank verwenden. Präventionsmechanismen wie die SCA konnten bisher solche Betrügereien bisher nicht ausreichend verhindern.

Zu den vorgeschlagenen neuen Präventionsmaßnahmen gehören insbesondere

• eine IBAN/Namens-Prüfung (sg "IBAN-name check") bei allen Überweisungen in EU-Währungen. Das bedeutet, dass Zahlungsdienstleister verpflichtet werden sollen, bei Überweisungen in einer EU-Währung unentgeltlich die Übereinstimmung des IBANs des Zahlungsempfängers mit dem Kontonamen zu prüfen. Einen derartige Verpflichtung gibt es bislang nicht, wurde jedoch von der EK zuletzt bereits im Rahmen des Verordnungsentwurfs der Kommission hinsichtlich Sofortzahlungen (Instant Payments) für Sofortüberweisungen vorgesehen (siehe den eigenen Beitrag dazu). Künftig sollen alle Verbraucher bei Überweisungen davon profitieren, auch bei "regulären" Überweisungen. Dies könnte laut EK dazu beitragen, Social-Engineering-Betrug zu verhindern. Konkret ist vorgesehen, dass der Zahlungsdienstleister des Zahlungsempfängers auf Anfrage des Zahlungsdienstleisters des Auftraggebers verifizieren muss, ob die vom Zahler angegebene IBAN des Zahlungsempfängers mit dessen Kontoname tatsächlich übereinstimmt, und das Ergebnis dem Zahlungsdienstleister des Auftraggebers mitzuteilen hat;

• eine stärkere Transaktionsüberwachung, um eine starke Kundenauthentifizierung zu gewährleisten und die Prävention und Aufdeckung betrügerischer Transaktionen zu verbessern. In diesem Zusammenhang ist auch die Schaffung einer Rechtsgrundlage für Zahlungsdienstleister, betrugsbezogene Informationen unter voller Einhaltung der DSGVO untereinander auszutauschen, zu nennen;

• eine Verpflichtung der Zahlungsdienstleister zur Durchführung von Aufklärungsmaßnahmen, um ihre Kunden und Mitarbeiter für Betrug im Zahlungsverkehr zu sensibilisieren; und

• eine Ausweitung der Erstattungsrechte der Verbraucher in bestimmten Situationen (siehe dazu im nächsten Absatz ausführlicher).

Erweiterung der Erstattungsrechte / Haftung von PSPs

Der PSD3-Vorschlag sieht eine Erweiterung der Haftungsregeln zulasten von Zahlungsdienstleistern vor. Neu ist die Gewährung von Erstattungsansprüchen in zwei Situationen:

• für Verbraucher, die einen Schaden erlitten haben, weil der "IBAN-name check" eine Diskrepanz zwischen dem Namen und der IBAN des Zahlungsempfängers nicht erkannt hat, und

• für Verbraucher, die Opfer eines "Spoofing"-Betrugs geworden sind, bei dem der Betrüger den Verbraucher unter dem Vorwand kontaktiert, ein Angestellter der Bank des Verbrauchers zu sein, und den Verbraucher mit einem Trick dazu bringt, bestimmte Handlungen vorzunehmen, die dem Verbraucher einen finanziellen Schaden verursachen.

Vor allem der zweite Vorschlag hat es in sich. Er bedeutet, dass Opfer von Spoofing-Betrug von ihrem Zahlungsdienstleister, etwa ihrer kontoführenden Bank, die Erstattung des vollen Betrags der betrügerischen Transaktion verlangen dürfen, wenn sie eine polizeiliche Anzeige erstatten und ihre Bank unverzüglich darüber informieren. Eine Erstattung wäre nur dann nicht zulässig, wenn der Verbraucher grob fahrlässig oder in Betrugsabsicht gehandelt hat, zB wenn er mehr als einmal Opfer derselben Art von Betrug geworden ist. Das "Spoofing" müsste zudem überzeugend sein, zB durch die exakte Nachbildung der E-Mail-Adresse oder Telefonnummer der Bank. Die Beweislast für ein grob fahrlässiges bzw betrügerisches Handeln des Verbrauchers liegt jedoch beim Zahlungsdienstleister.

Es ist klar, dass eine derartige Regelung den Haftungsrahmen von kontoführenden Zahlungsdienstleistern deutlich erweitern würde. Sie führt zu Haftungen in Situationen, gegen die eine Bank kaum etwas unternehmen kann. Es ist daher wenig verwunderlich, dass sich Banken bereits stark gegen diese Ausweitung des Erstattungsrechts positioniert haben.

Starke Kundenauthentifizierung (SCA)

Eine der zentralen Maßnahmen der PSD2 zur Verhinderung von Betrug ist die starke Kundenauthentifzierung (SCA), die sg 2-Faktor-Authentifizierung, wonach sich Zahlungsdienstnutzer in bestimmten Situationen durch mindestens zwei Elemente aus den Kategorien Wissen (zB ein PIN), Besitz (zB eine Zahlungskarte) und Inhärenz (zB ein Fingerabdruck) identifizieren müssen.

Grundsätzlich ist es so, dass die PSD2 lediglich eine SCA-Definition enthielt und rudimentär festlegte, wann SCA verwendet werden muss. Die meisten Konkretisierungen sind in den RTS geregelt, dessen Entstehung von vielen Diskussionen geprägt war (siehe die Delegierte Verordnung über technische Regulierungsstandards für eine starke Kundenauthentifizierung und für sichere offene Standards für die Kommunikation).

Im Vergleich zur PSD2 enthält der PSR-Vorschlag dazu mehr Details. Die SCA-Vorgaben werden darin unter anderem wie folgt justiert:

• Um Menschen mit Behinderungen, ältere Personen sowie andere Personen, die Schwierigkeiten bei der Nutzung von SCA haben, nicht auszugrenzen, sollen Zahlungs-dienstleister künftig SCA-Tools bereitstellen, die auch von diesen Personengruppen verwendet werden können. So soll es etwa keine Voraussetzung sein, ein Smartphone zu besitzen, um sich zu authentifizieren. Dies soll im Einklang mit der Europäischen Richtlinie zur Barriere-freiheit (siehe Richtlinie über die Barrierefreiheitsanforderungen für Produkte und Dienstleistungen) erfolgen.

• Bei von Händlern ausgelösten Zahlungsvorgängen ("merchant-initiated transactions", sg MIT) wird klargestellt, dass eine SCA nur dann unterbleiben darf, wenn ein Zahlungsvorgang ohne jegliche Interaktion oder Beteiligung des Zahlers ausgelöst wird. Liegt MITs ein Mandat das Zahlers zugrunde, ist eine SCA bei der erstmaligen Einrichtung des Mandats notwendig, bei nachfolgenden Zahlungsvorgängen jedoch nicht mehr.

• Bei telefonischen oder Mail-Order-Bestellungen (sg "MOTOs") soll eine nicht digitale Auslösung des Zahlungsvorgangs keiner Verpflichtung zur SCA unterliegen. Dies gilt jedoch nur unter der Voraussetzung, dass der Zahlungsdienstleister des Zahlers Sicherheitsanforderungen und -kontrollen durchführt, die eine Form der Authentifizierung des Zahlungsvorgangs ermöglichen.

• Ein „Pain Point“ der PSD2 ist, dass ASPSPs mindestens alle 90 Tage eine starke Kundenauthentifizierung ihrer Nutzer durchführen müssen, die über einen bestimmten Kontoinformationsdienstleister (AISPs) auf ihr Zahlungskonto zugreifen. Dies wurde oft kritisiert. Mit der PSR soll die Häufigkeit, mit der ASPSPs eine SCA durchführen müssen, auf die erstmalige Anwendung und spätestens alle 180 Tage verringert werden. Außerdem erhalten AISPs die Möglichkeit, selbst eine SCA durchzuführen.

Weitere Maßnahmen zum Schutz von Verbrauchern

Zur Verbesserung des Verbraucherschutzes schlägt die EK noch eine Reihe weiterer Maßnahmen vor, etwa Folgende:

• Das sg Surcharging-Verbot soll auf alle Überweisungen und Lastschriften in allen Währungen ausgeweitet werden.

• In Bezug auf Überweisungen und Geldtransfers aus der EU in Drittländer wird vorgesehen, dass Nutzer über die voraussichtlichen Gebühren für die Währungsumrechnung informiert werden müssen, und zwar entsprechend den derzeitigen Informationspflichten für Tran-saktionen innerhalb der EU. Kunden sollen zudem über die voraussichtliche Dauer bis zum Eingang des Betrags beim Zahlungsdienstleister des Zahlungsempfängers in einem Drittland informiert werden. Allerdings wird keine Maximalfrist für derartige Überweisungen und Geldtransfers verlangt. Das wäre auch nicht machbar, da die Dauer teilweise von Banken außerhalb der EU abhängt, die auch nicht den EU-Vorschriften unterliegen.

Weiterer Zeitplan

Die Veröffentlichung der Regelungsvorschläge im Juni 2023 war der Startschuss für das EU-Gesetzgebungsverfahren.

In der nächsten Phase müssen Rat und Europäisches Parlament ihre Positionen zu den Vorschlägen festlegen, bevor es zu den sg Trilog-Verhandlungen kommt, in denen üblicherweise ein politischer Kompromiss zwischen Rat und Parlament ausgehandelt wird. Daran schließt sich die formale Beschlussfassung durch Rat und Europäisches Parlament an.

Danach werden die Regelungen übersetzt, im Amtsblatt veröffentlicht und treten üblicherweise 20 Tage danach in Kraft. Anwendbar wird die PSR aber überwiegend erst 18 Monate nach ihrem Inkrafttreten sein. Die Mitgliedstaaten werden die PSD3 aller Voraussicht nach innerhalb desselben Zeitraums umsetzen müssen.

Dem Vernehmen nach werden die europäischen Gesetzgeber zunächst das PSR/PSD3-Paket verhandeln, und erst danach das Open Finance-Paket diskutieren.

Insgesamt denken wir, dass das Gesetzgebungsverfahren nicht vor den Europawahlen 2024 abgeschlossen sein wird, sondern frühestens gegen Ende 2024 finalisiert wird. Das würde bedeuten, dass die neuen Regeln ungefähr ab Mitte 2026 zur Anwendung kommen.

Bitte bedenken Sie, dass es sich bei dieser vorläufigen Schätzung um eine rein indikative Angabe handelt.

Wie können wir Ihnen helfen?

Mit unserem umfassenden Know-how im Payment-Bereich unterstützen wir Sie gerne bei der frühzeitigen Vorbereitung auf die neuen Anforderungen der PSR/PSD3-Regulierung.