PSD II - 23. August 2018

Unterschätzte Brisanz

Eine EU-Richt­linie schafft europa­weit ein­heit­liche Re­ge­lungen für den Zah­lungs­verkehr. Sie ist mit er­heb­lichem Auf­wand für die Markt­teil­nehmer ver­bunden. Umso mehr erstaunt, dass die neuen Vor­schriften, die bereits in na­tio­na­les Recht um­ge­setzt sind, in der Öffent­lich­keit bisher kaum wahr­ge­nommen wurden.

Die Zweite Zahlungsdiensterichtlinie (Richtlinie [EU]) 2015/2366 vom 25.11.2015 über Zahlungs­dienste im Binnenmarkt, Payment Services Directive II (PSD II) wurde mit dem Zah­lungs­dienste­auf­sichts­gesetz (ZAG) n. F. am 13. Januar 2018 in nationales Recht umgesetzt. Die neuen Regeln gelten primär für Dienstleister des Zahlungsverkehrs, darüber hinaus aber auch für Anbieter von Waren- oder Dienstleistungen, die parallel dazu eine entsprechende Zah­lungs­ab­wick­lung organisieren, wie etwa eine Online-Handelsplattform. Derartige Aktivitäten können in den Anwendungsbereich des ZAG fallen und einer Erlaubnispflicht durch die Bundesanstalt für Finanzdienstleistungen (BaFin) unterliegen.

Von der PSD I zur PSD II

Vor dem 13. Januar 2018 basierte das Recht für deutsche Zahlungsdienste auf der ersten Zah­lungs­dienste­richt­linie (PSD I), die am 25. November 2007 in Kraft trat. Sie wurde mit dem ZAG vom 25. Juni 2009 (BGBl. I ­S. 1981) und in den §§ 675c ff. Bürgerliches Recht (BGB) be­zie­hungs­weise in Art. 248 Einführungsgesetz zum BGB (EGBGB) bis zum 1. November 2009 im deutschen Recht umgesetzt. Allerdings sah die EU-Kommission bereits damals weiteren Regelungsbedarf, um den Rechtsrahmen für neue Arten von Zahlungsdienstleistern im Internet zu setzen, die Sicherheit von Zahlungsdiensten zu gewährleisten sowie die Nutzer, speziell Verbraucher, zu schützen. Zudem wollte man die aufsichtsrechtliche Kontrolle grenzüberschreitend weiterentwickeln und besonders eine einheitliche Handhabung möglicher Ausnahmen von der Er­laubnispflicht erreichen. Schließlich sollten auf dem europäischen Markt gleiche Wett­be­werbs­be­din­gun­gen herrschen, ein für alle Anbieter gleiches Level Playing Field bestehen. Dem Kommis­sions­vor­schlag für die PSD II folgten Verhandlungen auf EU-Ebene. Schließlich trat sie am 13. Januar 2016 in Kraft und war bis zum 13. Januar 2018 in nationales Recht umzusetzen.

Auswirkungen der Gesetzesnovelle

Es wurde die Chance verpasst, ein deutsches Zahlungsdienstegesetz ähnlich dem Kapitalanlagegesetzbuch zu schaffen.

Durch die Neuregelung wurden der An­wen­dungs­be­reich des Gesetzes erweitert sowie Aus­nah­me­tat­be­stände eingeschränkt. Nun sehen sich auch Unternehmen mit dem ZAG konfrontiert, deren Tätigkeit bislang erlaubnisfrei war. Zudem mussten Zahlungsdienstleister, die bereits im Besitz einer Erlaubnis durch die BaFin waren, innerhalb von zwei Wochen nach Inkrafttreten des ZAG anzeigen, ob sie weiterhin derartige Dienste anbieten wollen. Falls ja, waren bis spätestens vier Wochen nach Inkrafttreten die für die Erteilung einer Erlaubnis nach der Neufassung des Gesetzes erforderlichen Unterlagen bei der BaFin einzureichen. Vor dem 13. Januar 2018 erteilte Erlaubnisse haben am 13. Juli 2018 ihre Gültigkeit verloren. Die PSD II enthält Vorgaben sowohl für das Zivil- wie auch das Aufsichtsrecht. Die zivilrechtlichen Vorgaben sind in das BGB (§§ 270a, 675c ff.) be­zie­hungs­weise das EGBGB (Art. 248) eingeflossen. Der auf­sichts­recht­liche Teil findet sich im neu gefassten ZAG wieder. Damit ist das Recht für deutsche Zahlungsdienste zweigeteilt. Angaben zufolge wurde im Gesetzgebungsverfahren die Chance verpasst, ein Gesetzbuch für deutsche Zahlungsdienste ähnlich dem Kapital­an­lage­ge­setz­buch zu schaffen. Die PSD II folgt wie ihre Vorgängerin dem Prinzip der Vollharmonisierung. Die nationalen Gesetzgeber durften bei Umsetzung der Richtlinie in nationales Recht weder strengere noch großzügigere Regelungen einführen, sondern mussten die Richtlinie eins zu eins umsetzen. Die nationalen Auf­sichts­be­hörden können aber zu unterschiedlichen Bewertungen kommen, wie bereits nach Umsetzung der PSD I geschehen.

Erlaubnispflichtige Zahlungsdienste

Wer hierzulande Zah­lungs­dienste gewerbsmäßig im Sinne von § 1 Abs. 2 ZAG erbringen will, bedarf nach § 10 ZAG einer schriftlichen Erlaubnis durch die BaFin. Gleiches gilt nach § 11 ZAG für das Betreiben von E-Geld-Geschäften. Die §§ 1 Abs. 1 Satz 2 Nr. 1 bis 8 und  1 Abs. 2 Satz 2f. ZAG definieren, was Zahlungsdienste oder E-Geld-Geschäfte sind. Dazu zählen neben dem Ein- und Auszahlungsgeschäft klassische Zah­lungs­ver­kehrs­ins­tru­mente wie Lastschrift-, Überweisungs- und Kartengeschäfte. Besondere Bedeutung in der Praxis hat das Finanz­trans­fer­geschäft. Darunter fallen Dienste, bei denen Geldbeträge fließen, ohne dass ein Zahlungskonto auf den Namen des Zahlenden oder des Zahlungsempfängers eingerichtet wird. Die entsprechenden Beträge werden nur zur Übermittlung an den Zahlungsempfänger oder einen anderen, im Namen des Zahlungsempfängers handelnden Zahlungsdienstleister entgegengenommen. Alternativ können die Geldbeträge auch nur im Namen des Zahlungsempfängers ent­ge­gen­ge­nommen und diesem verfügbar gemacht werden. Häufig findet man das bei Online-Handelsplattformen, wenn der Preis für dort erworbene Waren oder Dienstleistungen, etwa durch Belastung einer Kreditkarte, an den Leistungserbringer übermittelt wird. Greift nicht einer der in § 2 Abs. 1 Nr. 1 bis 15 genannten Ausnahmetatbestände, ist eine Erlaubnis bei der BaFin zu beantragen. Unternehmen, die über eine Erlaubnis in einem anderen EU- oder EWR-Land verfügen, können mit dem sogenannten europäischen Pass auch in Deutschland Zahlungs- oder E-Geld-Geschäfte anbieten.

Zahlungsauslöse- und Kontoinformationsdienste

Seit der PSD I will man der Entwicklung neuer Geschäftsmodelle bei den Zahlungs­diensten Rechnung tragen. Daher wurden die Geschäfte der Zahlungsauslöse- und Konto­in­for­ma­tions­dienst­leister, sogenannte dritte Zahlungsdienstleister, mit den §§ 1 Abs. 2 Nr. 7 und 8 in das neue ZAG aufgenommen. Für die Geschäftstätigkeit derartiger Dienstleister sah die PSD I keine Regelung vor, weil man damals davon ausging, dass nur Nutzer und kontoführende Dienstleister Zugang zu Kontoinformationen hätten. Mit der PSD II können nun auch Drittanbieter, insbesondere Finanztechnologien, Zugriff auf Kunden- und Kontoinformationen nehmen. Zahlungsauslösedienstleister benötigen nach § 10 ZAG zwingend eine BaFin-Erlaubnis. Kontoinformationsdienste, die für die Nutzer Echtzeitinformationen über den Stand online zugänglicher Konten ermöglichen, sind ebenfalls der Aufsicht der BaFin unterworfen. Allerdings bedürfen sie gemäß § 2 Abs. 6 ZAG keiner aufsichtsrechtlichen Erlaubnis, sondern lediglich einer Registrierung (§ 34 ZAG) mit der Folge, dass nur beschränkte aufsichtsrechtliche An­for­de­rungen zu erfüllen sind.

Ausnahmetatbestände

Neben der Erweiterung der auf­sichts­pflich­tigen Zah­lungs­dienste ist die Neufassung von Aus­nah­me­tat­be­ständen eine wesentliche Neuerung der PSD II. Unter den in § 2 Abs. 1 ZAG genannten, eng auszulegenden Voraussetzungen können einige Zahlungsdienste erlaubnisfrei gestellt werden. Von besonderer Bedeutung ist hier die engere Fassung der sogenannten Handels­ver­tre­ter­aus­nahme (§ 2 Abs. 1 Nr. 2 ZAG, bislang § 1 Abs. 10 Nr. 2 ZAG). Zahlungsvorgänge über Handels­ver­treter bleiben vom An­wen­dungs­bereich des ZAG aus­ge­nommen, wenn der Vertreter durch Vereinbarung zum Abschluss oder zum Aushandeln des Kaufs von Waren und Dienstleistungen berechtigt war und wenn er dabei nur für eine Partei auftrat. Das entspricht der bislang von der BaFin vertretenen engen Auslegung der Ausnahmevorschrift, auf die sich speziell Handelsplattformen berufen haben und dabei von einer Doppelvertretung hinsichtlich Zahler und Zahlungsempfänger ausgingen. Das wird künftig nicht mehr möglich sein. Diese Auslegung der Ausnahmevorschrift wird erhebliche Auswirkungen in der Praxis haben. Unternehmen, die bisher von der Erlaubnispflicht nach § 10 ZAG befreit waren, bedürfen nunmehr einer Erlaubnis. Auch die Ausnahme für Zahlungen über Tele­kom­mu­ni­ka­tions­an­bieter (§ 2 Abs. 1 Nr. 11 ZAG) wurde eingeschränkt. Nun ist nicht mehr generell der Erwerb von Waren und Dienstleistungen erlaubnisfrei, sondern lediglich der Erwerb von digitalen Inhalten und Sprachdiensten oder von elektronischen Tickets beziehungsweise Spenden. Dabei darf der Wert bei einer Einmalzahlung 50 Euro beziehungsweise kumulativ 300 Euro pro Monat nicht überschreiten. Auch hier wurden mit § 1 Abs. 10 Nr. 11 ZAG Unklarheiten bei der Auslegung der bisherigen Ausnahmevorschrift ausgeräumt. Die Vorschrift wurde für begrenzt nutzbare Zahlungsinstrumente (§ 2 Abs. 1 Nr. 10 ZAG, bisher § 1 Abs. 10 Nr. 10 ZAG) ebenfalls eingeschränkt, da sie auf Instrumente beschränkt ist, die nur in einem einzigen Netz nutzbar sind. Zudem wurde gemäß § 2 Abs. 2 ZAG eine Pflicht zur Mitteilung des Gesamtwerts der Zahlungen ab einem Betrag über eine Million Euro festgelegt. Neu ist schließlich noch die in § 2 Abs. 1 Nr. 10 lit. c ZAG eingeführte Ausnahme für begrenzt nutzbare Zahlungsinstrumente, die zu sozialen oder steuerlichen Zwecken einer öffentlichen Stelle erfolgen und für bestimmte darin genannte Waren und Dienstleistungen verwendet werden.

Erhöhte Aufsichtspflichten

Neuerungen ergeben sich auch für die Auf­sichts­tätig­keit der ­BaFin. Nach § 53 ZAG müssen Zahlungsdienstleister oder E-Geld-Institute interne Mechanismen zu operationellen und sicher­heits­re­le­vanten Risiken bei Zahlungsdiensten vorhalten, die jährlich an die BaFin zu berichten sind. Das ist Voraussetzung für die Erteilung der Erlaubnis. Schwerwiegende Betriebs- oder Sicherheitsvorfälle beim Zahlungsdienstleister sind der BaFin zu melden (§ 54 ZAG). Sie prüft dann das weitere Vorgehen und beteiligt gegebenenfalls andere Behörden. Wird die BaFin ihrerseits über entsprechende Vorfälle in anderen Mit­glieds­staaten durch dort zuständige Aufsichtsbehörden unterrichtet, hat sie notwendige Maßnahmen zum Schutz des Finanzsystems zu treffen. Soweit Vorfälle die finanziellen Interessen der Nutzer von Zahlungsdiensten betreffen, sind auch diese gemäß § 54 Abs. 4 ZAG zu unterrichten. Um die Zusammenarbeit bei der Aufsicht in grenz­über­schrei­ten­den Fällen zu verbessern, wurde von der Europäischen Ban­ken­auf­sichts­be­hörde (EBA) gemäß Art. 15 PSD II ein zentrales europäisches Register von Zahlungsinstituten eingeführt. Die EBA ist gemäß Art. 27 PSD II auch bei Mei­nungs­ver­schie­den­heiten der beteiligten Behörden in grenzüberschreitenden Fällen zu unter­richten.

Starke Kundenauthentifizierung

Die PSD II steht auch für eine starke Kunden­authen­ti­fi­zie­rung. Das in § 55 ZAG niedergelegte Verfahren ist in Art. 4 PSD II definiert als eine Authentifizierung des Zahlungsnutzers durch Heranziehen von mindestens zwei Elementen der Kategorien Wissen (etwas, das nur der Nutzer weiß – die PIN)– , Besitz (etwas, das nur der Nutzer besitzt – ein Smartphone) beziehungsweise Inhärenz (etwas, das der Kunde ist – sein Fingerabdruck). Werden bei der Authentifizierung des Nutzers mindestens zwei voneinander unabhängige Elemente dieser drei Kategorien verwendet, liegt eine starke Kunden­authen­ti­fi­zie­rung im Sinne der PSD II vor. Mit der in § 1 Abs. 24 ZAG definierten Authentifizierung wird nicht nur die Vertraulichkeit der Authentifizierungsdaten geschützt. Sie erfolgt beim Heranziehen von mindestens zwei Elementen der Kategorien Wissen, Besitz oder Inhärenz auch so, dass die Nichterfüllung eines Kriteriums die Zuverlässigkeit der anderen nicht infrage stellt. Die starke Kundenauthentifizierung greift beim Zugriff auf ein Zahlungskonto, bei der Auslösung elektronischer Zahlungsvorgänge, bei der Nutzung von Kontoinformations- und Zahlungs­aus­löse­diensten oder bei sonstigen Handlungen im Fernzugang, die Betrugs- oder Missbrauchsrisiken beinhalten. Zu beachten ist, dass eine TAN nicht nur bei Zahlungen verlangt wird. Über das künftige HBCI-PIN/TAN-Verfahren ist auch für Konto­umsatz­ab­fragen  spätestens alle 90 Tage eine TAN einzugeben. Noch weiß man nicht, wie die Kreditinstitute mit diesen neuen Vorgaben umgehen werden, die bis September 2019 umgesetzt sein müssen.

Abgrenzungen und Ausnahmen

Die starke Authentifizierung ist nur beim erstmaligen Zugriff sowie nach spätestens 90 Tagen ohne Zugriff erforderlich (Art. 10 ff. der technischen Regulierungsstandards – RTS). Eine Ausnahme greift bei kontaktlosen elektronischen Zahlungen bis zu einem Limit von 50 Euro pro Zahlung und ebenso bei elektronischen Zahlungen an Fahrticket- und Parkautomaten, bei Zahlungen an vom Zahler bestimmte, vertrauenswürdige Empfänger oder bei elektronischen Fernzahlungen bis zu einem Betrag von 30 Euro. Der im deutschen Recht bisher verwendete Begriff des Zah­lungs­authen­ti­fi­zie­rungs­ins­tru­ments (§§ 675f. Abs. 5, 675 j- 675j–m BGB a. F.) wird vom neuen Konzept einer starken Kundenauthentifizierung abgegrenzt und im BGB durch den Begriff des Zah­lungs­instru­ments ersetzt. Darunter versteht man gemäß § 1 Abs. 20 ZAG jedes personalisierte Instrument oder Verfahren, dessen Verwendung zwischen Zahlungsdienstnutzer und -dienstleister vereinbart wurde und das zur Erteilung eines Zah­lungs­auf­trags verwendet wird. Beispiele für Zah­lungs­ins­tru­mente sind etwa Karten mit PIN oder Unterschrift, Telefon-Banking mit Passwort oder Online-Banking-Transaktionen mit SMS-TAN oder einem TAN-Generator.

Fotos: Image Source, decisiveimages / Getty Images

Zum Autor

Dr. Diethelm Baumann

Rechtsanwalt und Fachanwalt für Bank- und Kapitalmarktrecht in der Kanzlei Weitnauer Rechtsanwälte PartG mbB, München

Weitere Artikel des Autors