Zahlungsdiensterecht reloaded – zum Vorschlag der EU-Kommission für die Änderung der PSD2

Die EU-Kommission hat ihre Vorschläge für die Änderung der zweiten Zahlungsdiensterichtlinie (PSD2) vorgelegt: PSD3 und PSR. Im Fokus der Neuerungen stehen eine weitergehende Harmonisierung des europäischen Zahlungsdiensterechts, die Stärkung von Betrugsbekämpfung und Verbraucherschutz sowie die Förderung von Open Banking und Innovation im Zahlungsdienstesektor.

Dr. Anne-Sophie Landwers

Montag, der 17. Juli 2023

Mit ihrem am 28. Juni 2023 vorgelegten Legislativvorschlag strebt die EU-Kommission – wie könnte es anders sein – eine Verbesserung des EU-Zahlungssystems an. Nach eigener Aussage der Kommission stellen die Änderungen zwar keine grundlegende Neuerfindung des EU-Zahlungsdiensterechts dar. Gleichwohl enthält der Legislativvorschlag die ein oder andere Änderung, die auch für die Praxis Bedeutung haben könnte.

Der Zweiklang von PSD3 und PSR

Um eine stärkere Harmonisierung und Durchsetzung der Zahlungsdienste-Vorschriften zu erreichen, hat sich die EU-Kommission für eine Aufteilung des europäischen Zahlungsdiensterechts entschieden. Die von den Mitgliedstaaten in nationales Recht umzusetzende dritte Zahlungsdiensterichtlinie (third Payment Services Directive, „PSD3“) enthält nunmehr „nur noch“ die Vorgaben zum Erlaubnisverfahren und der Beaufsichtigung von Zahlungsdienstleistern. Die unmittelbar anwendbare Zahlungsdiensteverordnung (Payment Services Regulation, „PSR“) regelt demgegenüber die Vorgaben zu Zahlungsdiensteverträgen, vorvertragliche Transparenz- und Informationspflichten, die Haftung von Zahlungsdienstleistern sowie deren Pflichten zur Betrugsbekämpfung.

Die Ziele der EU-Kommission

Die Überarbeitung der PSD2 soll im Wesentlichen den folgenden vier Zielen dienen: Die neuen Vorgaben sollen erstens die Rechte von Zahlungsdienstenutzer*innen (noch) besser schützen und deren Vertrauen in Zahlungssysteme stärken, insbesondere durch weitere Maßnahmen zur Betrugsbekämpfung. Zweitens verfolgt die EU-Kommission eine Verbesserung des Open Banking. Das dritte Ziel besteht in der stärkeren Harmonisierung und Durchsetzung der Vorgaben für Zahlungsdienstleister. Dies soll zum einen dadurch erreicht werden, dass mit der PSR ein Großteil des europäischen Zahlungsdiensterechts nunmehr als unmittelbar anwendbare Verordnung ausgestaltet wird. Zum anderen enthält die PSD3 Verschärfungen des behördlichen Aufsichts- und Sanktionsregimes. Als viertes Ziel soll eine Angleichung der Wettbewerbsbedingungen zwischen Banken- und Nichtbanken-Zahlungsdienstleistern erreicht werden.

Betrugsprävention durch IBAN/name-Check bei allen Überweisungen

Die PSR sieht mehrere Maßnahmen zur Betrugsbekämpfung vor. Zwar habe die Evaluierung der PSD2 ergeben, dass die Einführung der starken Kundenauthentifizierung (Strong Customer Authentication, „SCA“) bereits zu einer erheblichen Verbesserung der Betrugsprävention im Zahlungsdienstesektor geführt habe. Gleichwohl versage dieses Instrument bei gewissen Betrugsarten, insbesondere bei bestimmten Social Engineering-Taten, bei denen Kund*innen die Zahlungen infolge der Täuschung freiwillig vornehmen und somit auch die SCA durchführen. Um die Sicherheit im Überweisungsverkehr sicherzustellen, müssen Zahlungsdienstleister daher in Zukunft vor sämtlichen Überweisungen – sowohl bei regulären als auch bei Sofortüberweisungen – die Übereinstimmung von IBAN und Name des Zahlungsempfängers prüfen.

Haftung von Zahlungsdienstleistern bei „Spoofing“

Dem Zweck der Betrugsprävention soll zudem auch die Einführung einer grundsätzlichen Haftung von Zahlungsdienstleistern gegenüber Verbraucher*innen in Fällen des „Spoofing“ dienen. Spoofing meint Fälle, in denen Zahlungsdienstnutzer*innen von Dritten zur Tätigung von Zahlungsvorgängen verleitet werden, weil diese unter Verwendung der Kontaktdaten des Zahlungsdienstleisters vortäuschen Mitarbeiter*innen dieses Zahlungsdienstleisters zu sein. Kann der Zahlungsdienstleister dem/der Getäuschten in einem solchen Fall keine grobe Fahrlässigkeit oder eigene betrügerische Absichten nachweisen (Beweislastumkehr), muss er zukünftig den Schaden tragen, der durch das Spoofing Verbraucher*innen entsteht.

Erweiterung der Zugänglichkeit von SCA-Lösungen sowie Vereinfachung des Austauschs betrugsrelevanter Informationen

Als weitere Maßnahme der Betrugsprävention sieht die PSR zudem neue Bestimmungen vor, um die Zugänglichkeit von starken Authentifizierungslösungen zu verbessern. Zahlungsdienstleister sollen daher auch alternative SCA-Lösungen anbieten, die für ältere Menschen, Menschen mit Behinderungen, mit geringen digitalen Kenntnissen sowie Menschen ohne Zugang zu digitalen Kanälen oder einem Smartphone geeignet sind.

Auch soll es Zahlungsdienstleistern erleichtert werden, betrugsrelevante Informationen untereinander auszutauschen. Zur Wahrung des Datenschutzrechts regelt die PSR ein dahingehendes besonderes öffentliche Interesse an der Verarbeitung besonderer Kategorien personenbezogener Daten. Darüber hinaus werden Datenschutzfolgenabschätzungen durchzuführen sein.

Neue Regelungen zu Authentifizierungspflichten

Für Kontoinformationsdienstleister soll zukünftig eine Erleichterung der Authentifizierungspflicht gelten: Diese müssen eine SCA nur noch beim ersten Datenzugriff sowie mindestens alle 180 Tage vornehmen. Auch bei merchant-initiated payment transactions (MITs), also vom Händler-Zahlungsempfänger ausgelösten sowie auf Lastschriften beruhenden Zahlungsvorgängen, ist eine starke Kundenauthentifizierung nur bei Einrichtung des Mandats erforderlich.

Herabsetzung der Anforderungen an Bargelddienstleistungen

Des Weiteren soll die Verfügbarkeit von Bargeld in der EU verbessert werden – nicht zuletzt weil (auch) dies der Betrugsprävention diene.

Die EU-Kommission schlägt hierfür eine Erweiterung der Cashback-Ausnahme vor: So soll Einzelhändler*innen in Zukunft gestattet sein, die Auszahlung von Bargeld an der Ladenkasse auch unabhängig davon anzubieten, ob Kund*innen gleichzeitig etwas kaufen. Bislang dürfen Bargelddienstleistungen nur erfolgen, wenn Kund*innen beim Erwerb von Waren oder Dienstleistungen darum bitten (§ 2 Abs. 1 Nr. 4 ZAG bzw. Art. 3 lit. e PSD2).

Darüber hinaus wurde die Ausnahme für die Bargeldabhebungsdienste durch unabhängige Geldautomatenbetreiber konkretisiert und dem restriktiven Verständnis der BaFin eine Absage erteilt. Diese hatte bislang – entgegen dem Wortlaut von § 2 Abs. 1 Nr. 14 ZAG, Art. 3 lit. o PSD2 und EG 18 PSD2 – „nur rein manuelle Servicetätigkeiten“ als erfasst angesehen und damit nur solche Fälle unter die Bereichsausnahme subsumiert, in denen „ein Dienstleister für ein zugelassenes Kredit- oder Zahlungsinstitut Geldautomaten aufstellt, diese wartet und mit Bargeld bestückt“.

Neuerungen zum Open Banking

Ihr zweites Ziel, das Open Banking zu verbessern, um insbesondere auch neuen innovativen Diensten einen Eintritt in den Markt zu erleichtern, verfolgt die EU-Kommission zunächst durch eine Erleichterung des Zugangs zu Zahlungskonten für Kontoinformationsdienstleister und Zahlungsauslösedienste: Kontoführende Zahlungsdienstleister müssen Schnittstellen (APIs) für den Datenaustausch bereithalten. Hierfür dürfen sie kein Entgelt verlangen.

Als weitere Maßnahme soll die Transparenz von Open Banking für Zahlungsdienstnutzer*innen erhöht werden. Kontoführende Zahlungsdienstleister müssen zukünftig ein sog. Permission-Dashboard einrichten und bereitstellen, damit Kontoinhaber*innen die an Kontoinformations- und Zahlungsauslösedienstleister erteilten Zustimmungen übersichtlich einsehen und verwalten können.

Harmonisierung und Konkretisierung von Bereichsausnahmen

Ganz unter dem Stern der EU-weiten Harmonisierung (drittes Ziel des Legislativvorschlags) steht die Einpflegung der Ausnahmen vom Anwendungsbereich des europäischen Zahlungsdiensteregimes in die unmittelbar anwendbare PSR.

Dabei wurde die Handelsvertreterausnahme weiter eingeschränkt. Zukünftig sollen nur noch solche Sachverhalte ausgenommen sein, bei denen sowohl Handelsvertreter*in als auch Zahler*in bzw. Zahlungsempfänger*in – je nachdem auf wessen Seite der/die Handelsvertreter*in steht – einen echten Verhandlungsspielraum haben. Für die Definition des Handelsvertreter-Begriffs wird auf die Handelsvertreter-Richtlinie (RL 86/653/EEC) verwiesen. Ob und inwieweit diese Konkretisierung tatsächlich zu mehr Klarheit führt, bleibt abzuwarten.

Ebenfalls neu gefasst wurde die Ausnahmevorschrift für Zahlungsvorgänge innerhalb von Konzernen und kreditwirtschaftlichen Verbundgruppen. Nach dem neuen Wortlaut („collection of payment orders on behalf of a group“) dürften explizit solche Konzerngesellschaften, die für die anderen konzernangehörigen Unternehmen das zentrale Cash-Management betreiben (auch sog. Shared Services Center bzw. Payment-Factories) erfasst sein. In Deutschland wurde lange Zeit darüber diskutiert, ob und inwieweit die Zahlungsvorgänge dieser Unternehmen einer ZAG-Erlaubnispflicht unterliegen. Die BaFin hatte dies schließlich verneint, soweit bestimmte Voraussetzungen eingehalten wurden (u.a. Dokumentationspflichten, Erstellung von Richtlinien und Einrichtung von Prozessen zur Prävention von Geldwäsche und Terrorismusfinanzierung). Diese zusätzlichen Anforderungen sind (jedenfalls bislang) nicht im PSR-Vorschlag enthalten.

Die Kommission nimmt zudem Klarstellungen zum Anwendungsbereich der limited network-Ausnahme vor. Entsprechend der Verwaltungspraxis der BaFin seien „Geschäftsräume“ tatsächlich nur die Räumlichkeiten des Emittenten und nicht auch Online-Shops. Auch erfasse die Ausnahme jeweils nur ein einziges begrenztes Netz und nicht eine Mehrzahl begrenzter Netze.

PSD3 mit eingeschränktem Regelungsgegenstand und überarbeitetem Zahlungsdienstebegriff

Neben dem Umstand, dass die PSD3 nunmehr „nur noch“ die Vorgaben zu den Erlaubnisverfahren und der laufenden Beaufsichtigung von Zahlungsdienstleistern enthält, hat die EU-Kommission in der PSD3 den Status des E-Geld-Instituts abgeschafft. Zukünftig gilt die Ausgabe von E-Geld als ein Zahlungsdienst und E-Geld-Institute als Zahlungsdienstleister, die das E-Geld-Geschäft betreiben. Die faktischen Auswirkungen dieser Anpassungen dürften sich in Grenzen halten.

Änderungen zur Kreditgewährung durch Zahlungsdienstleister und Buy Now Pay Later-Geschäftsmodellen

Für die Praxis relevante Änderungen enthält der PSD3-Entwurf im Hinblick auf die Regelungen zur Kreditvergabe durch Zahlungsinstitute. Demnach sollen Zahlungsinstitute Kredite nur noch im Zusammenhang mit der Ausführung von Lastschriften, Überweisungen und Kartenzahlungen gewähren dürfen. Abweichend zur gegenwärtigen Rechtslage (§ 3 Abs. 4 ZAG bzw. Art. 18 PSD2) umfasst die Ausnahmevorschrift nicht mehr die Kreditgewährung im Zusammenhang mit Akquisitionsgeschäften. Dies verwirrt insbesondere, weil Erwägungsgrund 35 der PSD3 die Kreditvergabe im Zusammenhang mit der Ausgabe von Kreditkarten explizit erwähnt, letztere aber unter das Akquisitionsgeschäft zu fassen ist.

Mit der Kreditausnahme eng verknüpft ist zudem die Frage unter welchen Voraussetzungen Zahlungsdienstleister Buy-Now-Pay-Later-Produkte anbieten dürfen. Hierzu trifft die EU-Kommission die pauschale Aussage, Buy Now Pay Later-Produkte seien aufgrund ihres primären Kreditcharakters nicht als Zahlungsdienste einzustufen, sondern von der neuen Verbraucherkredit-Richtlinie erfasst. Ob damit Zahlungsinstituten per se die Ausgabe von Buy Now Pay Later-Produkten erteilt wurde, ist allerdings unklar.

Klarstellungen zu Wallet-Betreibern

Die PSD3 sieht ferner neue Konkretisierungen im Hinblick auf Anbieter elektronischer Wallets vor: So stellt sie klar, dass es sich immer dann nicht um erlaubnispflichtige Zahlungsinstrumente, sondern rein technische Dienstleistungen handele, wenn die digitale Brieftasche lediglich der Tokenisierung eines anderen Zahlungsinstruments diene. Etwas anderes könne aber gelten, wenn die Wallet durch ihre Ausgestaltung selbst die Voraussetzungen eines Zahlungsinstruments bzw. Zahlungsdienstes erfüllt. Die EU-Kommission stellt ferner klar, dass Zahlungsinstitut und Wallet-Anbieter eine Auslagerungsvereinbarung schließen müssen, wenn der Wallet-Anbieter in den Prozess der starken Kundenauthentifizierung eingebunden ist. Denklogische Folge wäre dann, dass auch alle weiteren, mit wesentlichen Auslagerungen verbundenen Pflichten erfüllt werden müssen. Dies könnte für Zahlungsinstitute und Wallet-Anbieter eine Überarbeitung der Verträge erforderlich machen.

Schaffung eines echten Wettbewerbs von Banken- und Nichtbanken-Zahlungsdienstleistern

Um ihr viertes Ziel zu erreichen – namentlich die Angleichung der Wettbewerbsbedingungen von Banken- und Nichtbanken-Zahlungsdienstleistern – beabsichtigt die EU-Kommission insbesondere das gegenwärtige Abhängigkeitsverhältnis von Zahlungsdienstleistern gegenüber Kreditinstituten einzudämmen. So sollen Zahlungsdienstleister in Zukunft Treuhandkonten bei Zentralbanken eröffnen können. Nichtbanken-Zahlungsdienstleister würden sich damit nicht mehr der Hürde ausgesetzt sehen, für die Sicherung von Kundengeldern auf die Eröffnung von Treuhandkonten bei Kreditinstituten angewiesen zu sein. Gleichzeitig dürfen Kreditinstitute die Eröffnung von Zahlungskonten durch Zahlungsinstitute nur ablehnen, wenn schwerwiegende Gründe vorliegen. Auch wird Zahlungsdienstleistern der unmittelbare Zugang zu Zahlungssystemen ermöglicht. Betreiber von Zahlungssystemen dürfen den Zugang gegenüber Zahlungsdienstleistern nur auf Grundlage einer umfassenden Risikoanalyse verweigern.

Nächste Schritte

In einem nächsten Schritt wird der Vorschlag vom EU-Parlament und sodann vom EU-Rat beraten. In Stein gemeißelt ist das Ganze somit noch nicht. Bis zur finalen Fassung und zum Inkrafttreten der neuen Regelungen dürfte es auch noch dauern. Insbesondere könnte die Europawahl 2024 zu Verzögerungen führen. Unternehmen im Zahlungsdienstesektor ist allerdings gut damit geraten, das Gesetzgebungsverfahren im Blick zu behalten und sich frühzeitig mit notwendigen Anpassungen auseinanderzusetzen.