PSD3 am Horizont - was ist zu erwarten?
Die Überarbeitung der 2015 in Kraft getretenen PSD2 (Richtlinie 2366/2015/EU) wird schon von vielen Marktteilnehmern mit Spannung erwartet. Eine Anpassung des rechtlichen Regimes erscheint notwendig und sinnvoll, um den Veränderungen des Zahlungsverkehrsmarktes und neuen Entwicklungen Rechnung zu tragen. Diese wurden nicht zuletzt durch die Digitalisierung und neue Geschäftsmodelle ausgelöst. Nunmehr liegt eine ausführliche EBA-Stellungnahme vor, die eindrucksvoll aufzeigt, in welche Richtung die PSD3-Reise gehen könnte.
Dieser Beitrag stellt die wichtigsten PSD3-Vorschläge der EBA vor und erklärt ihre potentiellen Auswirkungen.
Hintergrund
Die Europäische Kommission hat im Oktober 2021 einen sg "Call for Advice" (CfA) zur Überprüfung der PSD2 an die EBA gerichtet, um zu prüfen, ob die Entwicklungen auf dem Zahlungsdienstemarkt und die veränderten Bedürfnisse der Zahlungsdienstnutzer und Zahlungsdienstleister eine Überarbeitung der PSD notwendig machen. Darauf folgte im Mai 2022 eine gezielte Konsultation der Kommission, um Beiträge von professionellen Interessenvertretern zu sammeln und zu entscheiden, ob koordinierte EU-Aktionen oder politische Maßnahmen gerechtfertigt sind. Am 23. Juni 2022 hat die EBA eine umfassende Stellungnahme mit Antworten auf die im CfA aufgeworfenen Fragen veröffentlicht. Die Antworten decken insgesamt neun Bereiche ab, unter anderem den Anwendungsbereich und die Definitionen, die Zulassung von Zahlungsinstituten (ZIs), deren Beaufsichtigung, starke Kundenauthentifizierung oder den Zugang zu Zahlungssystemen und Konten.
In der Folge fassen wir die wichtigsten Änderungen übersichtlich zusammen und erklären, welche Auswirkungen diese für die Marktteilnehmer haben könnten.
Anwendungsbereich und Definitionen
Klarere Abgrenzung zwischen verschiedenen Zahlungsdiensten
Die EBA spricht sich dafür aus, dass aufgrund unterschiedlicher Auslegungen der PSD2 in den Mitgliedsstaaten und einer Vielzahl von Geschäftsmodellen im Zahlungsdienstleistungsmarkt Art und Umfang der einzelnen Zahlungsdienste in der PSD3 klarer abgegrenzt werden sollen. Insbesondere die Definition von Geldtransfergeschäften führt aufgrund ihres breiten Charakters zu Abgrenzungsschwierigkeiten. Dabei ist es bislang oft schwierig, das Finanztransfergeschäft von Überweisungen abzugrenzen. Daher schlägt die EBA vor in der PSD3 klarzustellen, dass eine Dienstleistung nur dann als Überweisung gilt, wenn der Zahlungsdienstleister ein Zahlungskonto auf den Namen des Zahlungsdienstleisters eröffnet.
Weiters empfiehlt die EBA der Kommission, das Führen von Zahlungskonten künftig nicht als eigenständigen Zahlungsdienst zu behandeln, der eine Konzession als Zahlungsinstitut erfordert. Demnach sollten Zahlungsdienstleister, die Zahlungskonten führen, eine Zulassung für einzelne Zahlungsdienste erhalten, für die sie keine Zulassung für Dienste nach den Nummern 1 und 2 des Anhangs I der PSD 2 benötigen (d.h. Einzahlung und Abhebung von Bargeld von einem Zahlungskonto und damit zusammenhängende Dienste der Führung eines Zahlungskontos).
Weiters erachtet die EBA die Unterscheidung zwischen der Ausführung von Zahlungsvorgängen mit oder ohne Kreditgewährung als künstlich und schlägt vor, diese Zahlungsdienste in der PSD3 zu einem einzigen Zahlungsdienst zusammenzufassen. Außerdem sollte der Verweis auf Überweisungen, Kartenzahlungen und Lastschriften gestrichen werden, um den Anwendungsbereich der Dienstleistung in der PSD3 zu erweitern und potenzielle zukünftige innovative Zahlungsinstrumente und -lösungen zu erfassen.
Im Gegensatz dazu möchte die EBA den Zahlungsdienst des Issuing und Acquiring in der PSD3 in zwei getrennte Zahlungsdienste aufteilen, da sie von ihrer Art her sehr unterschiedlich sind und einen anderen Aufsichtsansatz erfordern würden. Außerdem ist derzeit unklar, ob die Ausgabe von Zahlungsinstrumenten auch die Ausführung von Zahlungsvorgängen mit dem betreffenden Zahlungsinstrument umfasst, und die EBA schlägt vor, dies in der PSD3 klarzustellen.
Interessanterweise schlägt die EBA auch vor, dass der Anwendungsbereich des Zahlungsauslösedienstes (Payment Initiation Service, PIS) in der PSD3 eingeschränkt wird, um bestimmte Unternehmensdienste auszuschließen, die Zahlern angeboten werden, die keine Verbraucher als Einzelpersonen sind, und die auf spezifischen (bilateralen) Vereinbarungen über die Erbringung von Dienstleistungen durch ein maßgeschneidertes IT-System beruhen. Dies wird vom Markt begrüßt, da verschiedene Softwarelösungen für Unternehmen wohl unter die derzeitige Definition von PIS fallen und nur aufgrund von Überlegungen zum rechtlichen Hintergrund für die Zulassung von PIS vom Anwendungsbereich ausgenommen werden können.
Schließlich spricht sich die EBA für eine Zusammenlegung der PSD2 mit der EMD2 (2. E-Geld-Richtlinie) im Rahmen der PSD3 aus, ein Schritt, der logisch erscheint und dazu genutzt werden sollte, um offene Fragen der Abgrenzung zwischen Zahlungs- und E-Geld-Konten zu klären.
Zahlungsinstrument, Zahlungskonto und andere Klarstellungen
Die EBA weist weiters darauf hin, dass viele in der PSD2 verwendete Definitionen Raum für Interpretationen lassen und somit ein harmonisiertes Vorgehen in den Mitgliedstaaten verhindern. Sie schlägt daher vor, dass zentrale Begriffe und Definitionen der PSD2 - etwa die "Auslösung von Zahlungsvorgängen", "Fernzahlungsvorgänge" oder "Zahlungskanal" - in der PSD3 klarer formuliert bzw. beschrieben werden.
Bei der Definition von "Zahlungskonten" stellt sich beispielsweise die Frage, ob E-Geld-Konten, die mit Prepaid-Karten, Sparkonten, Referenzkonten, Kreditkartenkonten und anderen verbunden sind, als Zahlungskonten im Sinne der PSD2 angesehen werden können. Die EBA hält fest, dass das EuGH-Urteil C-191/17 etwas Klarheit in Bezug auf den Begriff des Zahlungskontos gebracht hat. Die Auslegung des EuGH beruhe jedoch auf der Zahlungskonto-Richtlinie, die einen strengeren Ansatz vorsieht und den Anwendungsbereich von Zahlungskonten im Sinne der PSD2 einschränkt. Daher sollte die PSD3 in dieser Hinsicht mehr Klarheit bieten.
Auch der Begriff "Zahlungsinstrument" ist unklar, da beispielsweise unter bestimmten Umständen auch Mobiltelefone oder Computer als Zahlungsinstrumente angesehen werden können, was zeigt, dass die spezifischen Merkmale eines Zahlungsinstruments in der PSD3 anschaulicher geklärt werden müssen.
Ausnahmen vom PSD3-Anwendungsbereich
Die EBA weist auch auf bestehende Probleme bei der Auslegung und Anwendung einiger PSD2-Ausnahmen, va der "begrenten Netze"- und der Handelsagenten-Ausnahme, hin.
Für die "begrenzte Netze"-Ausnahme hat die EBA kürzlich Leitlinien veröffentlicht, um die Auslegungen in den Mitgliedsstaaten zu harmonisieren. Im Rahmen ihres Mandats war die EBA jedoch nicht in der Lage, Vorgaben für die Auslegung von bestimmten Definitionen und Begriffen in der PSD2 festzulegen, z.B. in Bezug auf die Begriffe "professioneller Emittent", "Emittent", "Geschäftsräume" oder den geografischen Geltungsbereich der Ausnahme. Laut EBA soll die Kommission dazu in der PSD3 bzw. in einer Leitlinie mehr Klarheit schaffen bzw. die EBA-Leitlinien teilweise in die PSD3 aufnehmen.
Auch bei der Handelsvertreter-Ausnahme bestehen Unklarheiten, welche Tätigkeiten in den Anwendungsbereich der Ausnahme fallen, insbesondere was konkret mit dem "Aushandeln oder Abschließen" von Verträgen gemeint ist. Demnach empfiehlt die EBA Klarstellungen zur Handelsvertreter-Ausnahme in der PSD3.
Auch die Ausnahme für unabhängige Geldautomatenanbieter soll klarer formuliert werden, z.B. in Bezug auf Fälle, in denen ein Geldautomatenanbieter im Namen von kartenausgebenden Zahlungsdienstleistern handelt und ob dies den Abschluss eines direkten Vertrags zwischen dem Geldautomatenanbieter und dem Kartenausgeber erfordert. Bislang herrscht nämlich in der Praxis eine gewisse Unsicherheit über die Behandlung von Cash-in-Shop-Diensten, bei denen Zahlungsdienstenutzer mit ihrer Zahlungskarte an einem POS Bargeld von einem Händler abheben, ohne einen Kauf zu tätigen.
Aus praktischer Sicht ist es schade, dass die EBA in ihrer Stellungnahme keine weiteren Einzelheiten zu einem gruppen- bzw. konzerninternen Ausnahmetatbestand für Zahlungen innerhalb einer Unternehmensgruppe bzw. einem Konzern erwähnt, obwohl deren Umfang in den letzten Jahren teilweise heftig diskutiert wurde.
Die EBA setzt sich auch mit der Frage auseinander, ob Zahlungssysteme künftig in der PSD3 reguliert werden sollten, und verneint dies. In der Praxis wird seit jeher diskutiert, ob Betreiber von Zahlungs- oder Kartensystemen reguliert werden sollten. Zahlungsverkehrssysteme fallen (nur) unter die Aufsicht der Zentralbanken. Die EBA räumt aber ein, dass spezifische Bestimmungen für Zahlungssysteme eingeführt werden sollten, um sicherzustellen, dass wichtige Sicherheitsanforderungen wie die starke Kundenauthentifizierung (SCA) in Zukunft ordnungsgemäß umgesetzt werden.
Außerdem stellt die EBA klar, dass Zahlungsgateways, die technische Dienste wie die Authentifizierung und Autorisierung von Zahlungsvorgängen erbringen und die Umsetzung von SCA erleichtern, keine Zulassung benötigen. Dasselbe gilt für technische White-Label-Anbieter, die nicht in den Anwendungsbereich der PSD2 fallen sollten, da sie in der Regel nur im Namen von Zahlungsdienstleistern oder zur Unterstützung der Erbringung von Zahlungsdiensten tätig werden.
Schließlich kommt die EBA in Bezug auf "Buy Now Pay Later"-Geschäftsmodelle (BNPL), die derzeit insbesondere im Hinblick auf Verbraucherkredite im Fokus der Regulierungsbehörden stehen, zum Schluss, dass die erbrachte Kerndienstleistung eine Kreditvergabe ist und als solche betrachtet werden sollte. Ob zusätzliche Zahlungsdienste angeboten werden, hängt von dem jeweiligen Geschäftsmodell ab, doch sollten BNPL-Dienste als solche keiner zusätzlichen Regulierung im Rahmen der PSD3 bedürfen.
Konzessionsverfahren und Beaufsichtigung
Kapitalanforderungen und Berechnung der Eigenmittel
Die EBA will auch den aufsichtsrechtlichen Rahmen für Zahlungs- und E-Geldinstitute überarbeiten. Sie schlägt konkret vor, die Anfangskapitalanforderungen für alle Zahlungs- und E-Geldinstitute mit Ausnahme von Zahlungsauslösedienstleistern (PISPs) und Kontoinformationsdienstleistern (AISPs) zu vereinheitlichen. Konkret soll die Methode B, die auf Basis des Zahlungsvolumens kalkuliert wird, standardmäßig herangezogen werden. Das könnte für Zahlungs- und E-Geldinstitute, die derzeit die Methode A oder C anwenden, zu Änderungsbedarf führen.
Für die Gewährung von Krediten, die in Kombination mit einem Zahlungsdienst angeboten werden, sollen laut EBA in der PSD3 zusätzliche Eigenmittelanforderungen eingeführt werden, die sich an der Standardmethode der CRR orientiert. Das würde für E-Geld- und Zahlungsinstitute, die in Kombination zu Zahlungsdiensten Kredite anbieten, zu höheren Eigenmittelanforderungen führen.
Kundengeldsicherung
Die EBA hält weiters fest, dass derzeit Unklarheit besteht, ob Zahlungs- und E-Geldinstitute Kundengelder auf Konten eines Kreditinstituts in einem Drittland sichern dürfen. Die EBA schlägt daher vor, dass entsprechende Treuhandkonten künftig nur bei CRR-Kreditinstituten oder deren Zweigstellen mit Sitz in der EU geführt werden dürfen.
Außerdem spricht sich die EBA für eine Klarstellung in der PSD3 dahingehend aus, dass Gelder auf entsprechende Treuhandkonten bei CRR-Kreditinstituten für den Fall der Insolvenz der Bank der Einlagensicherung unterliegen, wobei unklar ist, ob die Schwelle von EUR 100.000,- nur für das Institut oder jeden Kunden gilt.
Sanierungs- und Abwicklungsrahmen
Derzeit fallen Zahlungs- und E-Geldinstitute nicht unter eine Sanierungs- und Abwicklungsregelung, d.h. sie müssen keine Sanierungs- und Abwicklungspläne gemäß der Richtlinie 2014/59/EU (BRRD) erstellen und unterliegen keinen Abwicklungsmaßnahmen durch die zuständigen Behörden. Die EBA schlägt vor, in der PSD3 einen vereinfachten Sanierungs- und Abwicklungsrahmen für bedeutende Zahlungs- und E-Geldinstitute einzuführen, da ihre Abwicklung einen Spillover-Effekt auf andere Finanzinstitute und negative Auswirkungen auf die Rückzahlung von Mitteln an Nutzer haben kann. Welche Institute als bedeutend anzusehen sind, sollte anhand noch zu entwickelnder Kriterien bestimmt werden. Darüber hinaus sollten den Aufsichtsbehörden besondere Befugnisse eingeräumt werden, z.B. ein frühzeitiges Eingreifen oder abwicklungsähnliche Maßnahmen.
Passporting
Um eine bessere Abgrenzung zwischen der Dienstleistungs- und der Niederlassungsfreiheit zu erreichen, schlägt die EBA vor, in der PSD3 die Kriterien klarzustellen, inwieweit es für Zahlungs- und E-Geldinstitute möglich sein sollte, gleichzeitig beide Freiheiten zu nutzen.
Auch im Hinblick auf das so genannte "Triangular Passporting", bei dem ein in Land A zugelassenes Zahlungs- oder E-Geldinstitut einen Agenten in Land B nutzt, um Zahlungsdienste in einem Land C anzubieten, sollten die aufsichtsrechtlichen Zuständigkeiten zwischen den zuständigen Behörden in der PSD3 ausdrücklich geregelt werden.
Starke Kundenauthentifizierung (SCA)
Mit der PSD2 wurden zum ersten Mal in der EU detaillierte Anforderungen in Bezug auf die SCA eingeführt, einschließlich Einzelheiten zur Zwei-Faktor-Authentifizierung. Obwohl die EBA keine Notwendigkeit sieht, für zusätzliche Arten von Transaktionen eine SCA zu verlangen, empfiehlt sie eine Reihe von Klarstellungen, darunter die regulatorische Behandlung von durch Händler initiierten Transaktionen, Transaktionen außerhalb des Anwendungsbereichs des SCA, die Minderung von Betrugsrisiken durch Social Engineering und die Notwendigkeit, sicherzustellen, dass bestimmte Gruppen der Gesellschaft nicht von der Nutzung von Zahlungsdiensten als grundlegende Dienstleistung ausgeschlossen werden. Weitere Bereiche, die möglicherweise einer Klärung bedürfen, sind u.a. Outsourcing, die Inhärenz von SCA-Elementen und ihr Zusammenspiel mit der DSGVO, die Unabhängigkeit von SCA-Elementen, die Art der Ausnahmen von SCA und die Haftungsregelung für Fälle, in denen eine SCA-Ausnahme angewendet wurde.
Zugang zu Zahlungssystemen und -konten
Die EBA schlägt vor, die Möglichkeit eines gemeinsamen, von der Branche zu entwickelnden API-Standards für die gesamte EU zu prüfen, und dass alle kontoführenden Zahlungsdienstleister (ASPSP) eine spezielle Schnittstelle für den Zugang von Drittanbietern (TPP) bereitstellen sollen. Damit einhergehend schwebt der EBA die Aufhebung der bisherigen Anforderung an ASPSPs, auch einen Ausweichmechanismus anzubieten, vor. Darüber hinaus sollten die AISPs ihre eigene SCA anstelle jene der ASPSPs anwenden, nachdem eine erste SCA mit dem ASPSP durchgeführt wurde, wenn die PSUs zum ersten Mal über den jeweiligen AISP auf das Zahlungskonto zugreifen.
Die EBA schlägt auch vor, dass Zahlungsauslösedienstleistern die Pflicht auferlegt wird, mit Zahlern eine vertragliche Vereinbarung zu haben, selbst wenn sie auch mit dem Zahlungsempfänger einen Vertrag schließen. Zahlungsauslösedienstleister, die Geschäftsmodelle etabliert haben, bei denen sie nur mit Händlern Verträge abschließen, müssten - sollte dies kommen - Verfahren für das Onboarding von Kunden des Händlers einrichten.
Außerdem soll nach der EBA in der PSD3 die Haftungsverteilung zwischen Drittdienstleistern und kontoführenden Zahlungsdienstleistern sowie die Frage, an welchen Zahlungsdienstleister sich Zahlungsdienstnutzer mit Beschwerden wenden sollen, klargestellt werden.
Darüber hinaus gibt es bis dato in den Mitgliedstaaten unterschiedliche Herangehensweisen hinsichtlich der Verpflichtung für Kreditinstitute, Zahlungs- und E-Geldinstituten Zugang zu Zahlungsverkehrssystemen zu gewähren. Dies führt zu Aufsichtsarbitrage, weshalb die EBA empfiehlt, diese Unterschiede in der PSD3 weiter zu harmonisieren, um ein EU-weites Level Playing Field sicherzustellen.
Open Finance
Die EBA zeigt sich offen für den Vorschlag, den Zugang zu Konten durch Drittdienstleister (TPPs) auf Nicht-Zahlungskonten, Bankprodukte und später auf andere Finanzprodukte auszuweiten, spricht sich jedoch für eine schrittweise Vorgehensweise aus.
Die EBA schlägt diesbezüglich auch vor, die Europäische Kommission solle in Erwägung ziehen, Kontoinformationsdienstleister in den Anwendungsbereich eines breiteren, neuen Rechtsrahmens für Open Finance-Produkte aufzunehmen und sie im Gegenzug aus dem Anwendungsbereich der PSD3 auszunehmen. Dies würde für Kontoinformationsdienstleister wahrscheinlich eher eine Ausweitung als eine Einschränkung der regulatorischen Anforderungen bedeuten, da die Open Finance-Regelungen wohl weiter gefasst wären als die derzeitigen TPP-Zugangsregeln unter der PSD2.
PSD3 und Geldwäscheprävention
In Bezug auf die derzeit auf europäischer Ebene ebenfalls diskutierten Änderungen der Geldwäscheregelungen schlägt die EBA einige Änderungen vor, die dazu beitragen sollen, ungerechtfertigte so genannte "Derisking"-Praktiken von Banken, die Zahlungs- und E-Geld-Institute betreffen, zu bekämpfen. Das betrifft vor allem die bekannten praktischen Schwierigkeiten für Zahlungs- und E-Geldinstitute, Banken zu finden, die ihnen ein Treuhandkonto für die Kundengeldsicherung zur Verfügung stellen.
Die EBA stellt - aus unserer Sicht zu Recht - die Einbeziehung von Kontoinformationsdienstleistern als Verpflichtete nach der AMLD5 bzw. der zu erwartenden Geldwäscheverordnung in Frage.
Weiters schlägt die EBA vor, dass bestimmte Aspekte der Anwedbarkeit von Geldwäscheregeln im Rahmen des Passportings klargestellt werden. Das betrifft vor allem die Art und den Status von Agenten und so genannten E-Geld-Distributoren.
Wie geht es weiter?
Obwohl sich die PSD3 noch in einem frühen Stadium befindet, finden im Herbst 2022 wohl wichtige Weichenstellungen statt. Die umfassende EBA-Stellungnahme gibt klare Hinweise, was ungefähr vom Kommissionsvorschlag zu erwarten sein wird. Sie zeigt auch eindrucksvoll, dass viele Konzepte und Definitionen der PSD2 weiterer Klarstellungen, Weiterentwicklung und Harmonisierung bedürfen. Die Europäischen Kommission ist derzeit auch damit beschäftigt, die Antworten auf ihre gezielte Konsultation zur PSD2, die bis 5. Juli 2022 eingebracht werden konnten, auszuwerten.
Wir gehen davon aus, dass die Europäische Kommission Anfang 2023 einen substanziellen Entwurf für eine PSD3 veröffentlichen wird. Dabei wird auch das Zusammenspiel mit anderen Rechtsakten wie DORA und MiCAR genau zu beobachten sein. Wir bleiben dran!