Die zweite Zahlungsdiensterichtlinie (PSD2)
Nach längerem politischen Tauziehen haben sich Rat und EU-Parlament im Mai 2015 auf eine umfassende Änderung der ersten Zahlungsdiensterichtlinie (gemeinhin unter der Abkürzung PSD2 bekannt) geeinigt. Damit soll auf die vielfältigen Entwicklungen im Bereich innovativer Zahlungsprodukte der letzten Jahre reagiert werden, va im Bereich Mobile und Online Payments. Zudem sollen Verbraucher besser vor Betrug, etwaigem Missbrauch und sonstigen Problemen bei der Zahlungsausführung, zB strittigen Transaktionen, geschützt werden.
Zeitplan
Die PSD 2 trat am 18. Jänner 2016 in Kraft und ist von den Mitgliedstaaten bis 18. Jänner 2018 umzusetzen. In Österreich ist ein Umsetzungsentwurf bis ca Mitte 2017 zu erwarten. Der Gesetzwerdungsprozess wird voraussichtlich im Herbst 2017 durchlaufen. Dabei müssen auch die von EBA noch zu erlassenden Regulierungsstandards und Leitlinien berücksichtigt werden.
Die folgenden Themen stellen - ohne Anspruch auf Vollständigkeit - die wichtigsten rechtlichen Änderungen der PSD2 dar:
Ausweitung des Anwendungsbereichs und Einschränkung der Ausnahmetatbestände
Die beschlossene Ausweitung des Anwendungsbereichs und gleichzeitige Einschränkung der Ausnahmetatbestände stellen wohl die bedeutendsten Neuerungen dar. Diese werden viele derzeit außerhalb der Zahlungsdiensterichtlinie agierende Anbieter - zB Online-Handelsplattformen, technische Dienstleister, Coupon-Systeme etc - treffen. Eine rechtzeitige Analyse bestehender Geschäftsmodelle ist daher ratsam.
Nach Ansicht der EU-Kommission bestand ein Rechtsvakuum für bestimmte innovative Anbieter von Internetdiensten, wie etwa dritten Dienstleistern, die Online-Banking-basierte Zahlungsauslösedienste anbieten. Dabei handelt es sich zB um Unternehmen, die zwischen einem Händler und der Bank eines Käufers stehen und eine Softwarebrücke zwischen der Händlerwebsite und der Online-Banking-Plattform des Kunden schaffen, um Überweisungen über das Internet auszulösen. Die Kommission betrachtet die Nutzung solcher Dienste als eine gangbare und häufig preisgünstigere Alternative zu Kartenzahlungen, die auch für jene Verbraucher attraktiv ist, die keine Karten besitzen. Derartige Dienste sollten nach Ansicht der Kommission zum Schutz der Verbraucher ebenso reguliert werden, weshalb Zahlungsauslösedienste (sog Payment Initiation Services) künftig als Erbringer von Zahlungsdiensten gelten. Derartige Unternehmen müssen dann wie alle anderen Zahlungsinstitute über eine entsprechende Konzession verfügen, bevor sie tätig werden dürfen.
Auch Kontoinformationsdienstleister (sog Account Information Services) fallen künftig in den Anwendungsbereich der PSD 2. Mit derartigen Kontoinformationsdiensten kann ein Nutzer Informationen über Konten abrufen, etwa über Smartphone Apps, die er bei verschiedenen Banken und Zahlungsinstituten führt. Zu diesem Zweck erhält der Dritte (= Zahlungsdienstleister) Zugriff auf die Daten dieser Konten. Der Nutzer muss sich seine Informationen also nicht einzeln zusammentragen, indem er verschiedene Online-Banking-Zugänge öffnet, sondern kann die Informationen bei einem Anbieter zusammenführen lassen und hat diese auf einen Blick verfügbar.
Der bisherige Tatbestand des "digitalisierten Zahlungsgeschäfts" wurde hingegen gestrichen. Dies bedeutet aber nicht, dass digitalisierte Zahlungsdienstleister künftig nicht mehr konzessionspflichtig sein werden. Es ist vielmehr davon auszugehen, dass derartige Geschäftsmodelle künftig unter allgemeinere Zahlungsdienstetatbestände (Ausgabe von Zahlungsinstrumenten und/oder Annahme und Abrechnung von Zahlungsinstrumenten) fallen werden, sofern kein künftiger Ausnahmetatbestand erfüllt ist.
Einschränkungen der Ausnahmebestimmungen
Die PSD2 schränkt im Vergleich zur PSD1 die Ausnahmetatbestände ein. Diese Entwicklung ist den heute bestehenden Rechtsunsicherheiten geschuldet, ob ein bestimmtes Geschäftsmodell einen Zahlungsdienst verwirklicht oder nicht. Dabei wurde berücksichtigt, dass in den letzten Jahren Geschäftsmodelle bewusst derart gestaltet wurden, um von einer Ausnahmebestimmung zu profitieren. Die EU-Kommission hat derartige Modelle analysiert und möchte mit den diesbezüglichen Änderungen va eine kohärente Anwendung des Rechtsrahmens und einen verbesserten Schutz der Verbraucherinteressen, besonders für neue Zahlungswege und innovative Zahlungsdienste, erreichen.
So wird etwa der Ausnahmetatbestand des begrenzten Netzes an Waren oder Händlern ("Closed Loop") restriktiver definiert. Dienstleister, die die Aufnahme eines "begrenzten Netzes" planen, sollen dies künftig vorab der zuständigen Aufsichtsbehörde anzeigen und einen Antrag auf Anerkennung als begrenztes Netz stellen müssen, wenn innerhalb von 12 Monaten im Monatsdurchschnitt mehr als 1 Mio € Transaktionsvolumen abgewickelt wird.
Auch die Ausnahmebestimmung für digitale Inhalte (sog "Klingeltonausnahme"), von der derzeit va der Telekom-Sektor profitiert, wird neu und einschränkend definiert. Die Ausnahme soll künftig nur noch für Betreiber elektronischer Kommunikationsnetze oder -dienste gelten, die Zahlungsvorgänge im Zusammenhang mit dem Erwerb digitaler Inhalte oder sprachbasierter Services als Nebendienstleistungen erbringen. Außerdem wurde eine Betragsgrenze eingezogen: Übersteigt der Wert eines einzelnen Zahlungsvorgangs 50 € und der kumulative Wert der Zahlungsvorgänge innerhalb eines Rechnungsmonats 300 €, gilt die Ausnahme nicht mehr.
Weiters schränkt die PSD2 die Ausnahme für Handelsagenten ein. Die Befreiung wird derzeit etwa von E-Commerce-Plattformen genutzt, die als Handelsvertreter eine treuhandähnliche Stellung einnehmen. Sie agieren als Vermittler zwischen Unternehmen und Verbrauchern und wickeln insb die Kaufpreiszahlung treuhändig ab. Dies ging der EU-Kommission zu weit bzw war sie der Meinung, dass diese Ausnahme zu weit interpretiert wurde. Künftig gelten nur mehr Zahlungsvorgänge von Zahlern an Zahlungsempfänger über Handelsagenten als befreit, die befugt sind, den Verkauf oder Kauf von Waren oder Dienstleistungen nur im Namen des Verkäufers oder nur im Namen des Käufers auszuhandeln oder abzuschließen. Geschäftsmodelle, bei denen der Agent für beide Seiten auftritt, können künftig daher nicht mehr von der Ausnahme profitieren.
Starke Kundenauthentifizierungen
Die PSD2 sieht auch vor, dass Zahlungsdienstleister künftig "starke Kundenauthentifizierungen" verlangen müssen, wenn Zahler online auf ihre Zahlungskonten zugreifen, einen elektronischen Zahlungsvorgang auslösen oder sonst eine Aktion über einen Distanzkanal durchführen, die ein Betrugs- oder Missbrauchsrisiko des Zahlungsdienstes mit sich bringt. Authentifizierung bedeutet in diesem Fall, eindeutig und nachweisbar festzustellen, dass ein bestimmter Nutzer eine bestimmte Zahlung in Auftrag gegeben hat - und niemand sonst. Damit dient die Authentifizierung als Schutz davor, dass Zahlungen unberechtigt ausgeführt werden.
EBA wurde beauftragt, technische Regulierungsstandards zu entwickeln, mit denen Anforderungen an starke Authentifizierungsmaßnahmen sowie Ausnahmen davon festgelegt werden. Darin sollen auch die Voraussetzungen an die von Zahlungsdienstleistern zu erfüllenden Sicherheitsmaßnahmen determiniert werden, um die personalisierten Sicherheitsmerkmale der Nutzer zu schützen. Mitte August 2016 hat EBA den Entwurf des „Regulatorischen Technischen Standards (RTS) für die starke Kundenauthentifizierung und sichere Kommunikation gemäß PSD II“ veröffentlicht, die bereits stark kritisiert wurden. Dazu konnte bis 12. Oktober 2016 Stellung genommen werden. Die finalen RTS sollen bis ca Anfang 2017 vorliegen.