PSD2
Noch viele Herausforderungen auf der Zielgeraden
 

Bis zum September müssen die Kreditinstitute die zweite Stufe der Zahlungsdiensterichtlinie PSD2 umgesetzt haben. Die technischen, regulatorischen und juristischen Vorgaben sind immens.

Nicht wenige Vertreter der Finanzwirtschaft sprechen von einer Revolution im Zahlungsverkehr: Am 13. Januar 2018 traten in Deutschland neue europaweite Regeln für den Zahlungsverkehr in Kraft. Die sogenannte Payment Service Directive 2, kurz PSD2, öffnete den Markt im Zahlungsverkehr für neue Dienstleistungen, um den Wettbewerb unter den Instituten anzukurbeln. Die PSD2 schreibt den Finanzdienstleistern vor, Systemzugänge einzurichten, um Drittanbietern im Auftrag des Kunden Zugriff auf deren Kontoinformationen zu gewähren. Hiermit wurde auch die Grundlage für Open Banking gelegt. Damit erhalten Kunden die Möglichkeit, ihre Finanzdaten mit anderen Anbietern und Kreditinstituten zu teilen.

Damit nicht genug: Die Bestimmungen der Zahlungsdienstrichtlinie PSD2 werden durch die zu ihr gehörenden sogenannten Regulatory Technical Standards (RTS) vervollständigt, welche seit dem 14. März 2019 gültig sind. Bis zu diesem Zeitpunkt war allerdings nur eine teilweise Umsetzung der Bestimmungen notwendig. Es mussten zunächst die Bedingungen und Anforderungen für einen einheitlichen, europäischen Schnittstellenstandard geschaffen sowie eine entsprechende Testumgebung bereitgestellt werden. Die vollständige Umsetzung der RTS für die Verwendung der Schnittstelle ist bis zum 14. September 2019 vorgesehen.

Viele Vorgaben

Bis dahin ist nicht mehr viel Zeit. Banken und Finanzdienstleister arbeiten bereits mit Hochdruck an der Bewältigung der vielen technischen, regulatorischen und juristischen Vorgaben. Der Bank-Verlag hat das Thema aufgegriffen: Im Rahmen der „Fachkonferenz PSD2 - Auf der Zielgeraden mit starker Kundenauthentifizierung und Drittdienstleisterschnittstelle“ informierten die Referenten die zahlreichen Gäste aus der Finanzindustrie am Mittwoch, den 5. Juni über den aktuellen Stand der Dinge in punkto PSD2.

Referent Matthias Lange, Abteilungsdirektor beim Bundesverband deutscher Banken (BdB) mit den Schwerpunkten PSD2, Open Banking sowie Kartenzahlungssysteme, definierte in seinem Vortag zunächst die allgemeinen Anforderungen an die Schnittstellen für Drittanbieter. Demnach besteht kein Vertragsverhältnis zwischen dem Kreditinstitut und dem Anbieter. Dieser muss sich zudem mit einem qualifizierten Zertifikat (eIDAS) identifizieren. Die Abkürzung steht für „Electronic Identification And Trust Services“. Hierbei handelt es um eine Verordnung des Europäischen Parlaments und des Europäischen Rats, die die EU-weite Verwendung von digitalen IDs und Signaturen vereinfacht und standardisiert.

Schnittstellen-Tests insgesamt erfolgreich

Lange legte dar, dass der Zugang für Drittdienstleister diskriminierungsfrei zu sein hat. Darüber hinaus muss der Zugang mit den gleichen Daten erfolgen, die der Kunde auch bei seiner Bank hat. Außerdem ist vorgegeben, dass der Zugriff auf alle Zahlungsverkehrskonten gewährt werden kann. Der BdB-Experte betonte, dass das Testen der Schnittstellen bisher insgesamt erfolgreich verlaufen ist. Allerdings monierte er die verhaltene Beteiligung durch die Drittanbieter – und das trotz zahlreicher Maßnahmen der Banken etwa in Form von Workshops mit den Dienstleistern. Diese kritisierten ihrerseits die teilweise langen Antwortzeiten bei Supportanfragen, die Herausforderung, Testzertifikate zu erhalten, die manuelle Registrierung zum Erhalt der Dokumentation sowie das besonders am Anfang der Tests teilweise noch inkonsistente Verhalten der Schnittstellen.

Wulf Hartmann, der Direktor im Geschäftsbereich Recht des BdB ist und in den letzten Jahren vor allem die Entstehung und Umsetzung der PSD2 begleitet hat, erläuterte die rechtlichen Aspekte im Rahmen der Umsetzung der zweiten Stufe der PSD2 bis Mitte September. Die RTS schreiben den Zahlungsdienstleistern demnach etwa vor, dass die Authentifizierung des Kunden anhand von mindestens zwei Elementen der Kategorie Wissen (etwas, das nur der Nutzer weiß), Besitz (etwas, das nur der Nutzer besitzt und Inhärenz (etwas, was der Nutzer ist) durchgeführt werden muss. Das Ziel dieser Starken Kundenauthentifizierung (SKA) besteht darin, das Betrugsrisiko für elektronische Zahlungsdienste deutlich zu reduzieren.

Wann ist eine SKA notwendig?

Tobias Schmidt, der sich bei Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) schwerpunktmäßig mit den regulatorischen Anforderungen an die Sicherheit im Zahlungsverkehr beschäftigt, betonte, dass eine SKA insbesondere dann erforderlich ist, wenn der Zahler einen elektronischen Zahlungsvorgang auslöst oder wenn er online auf sein Zahlungskonto zugreift.

Ein Fall für die Auslösung einer elektronischen Zahlung ist etwa die Bezahlung mit Karte und persönlicher Identifikationsnummer (PIN) an der Ladenkasse. Keine Auslösung einer elektronischen Zahlung liegt vor, wenn an der Ladenkasse mit Karte und Unterschrift bezahlt wird – und zwar unabhängig davon, ob dies mit der Girocard oder einer Kreditkarte geschieht, teilt die BaFin auf ihrer Website mit. Eine SKA ist Schmidt zufolge ebenfalls notwendig, wenn der Zahler über einen Fernzugang eine Handlung vornimmt, die das Risiko eines Betrugs im Zahlungsverkehr beinhaltet.

RTS, Starke Kundenauthentifizierung, Drittdienstleisterschnittstelle – das Themenfeld der Fachkonferenz war breit gesteckt und hochanspruchsvoll. Deutlich wurde, dass auf die Kreditinstitute auch auf der Zielgeraden bis zur vollständigen Umsetzung der PSD2 im Spätsommer noch viel Arbeit zukommt.

Kontakt  
Diesen Artikel ...  
Artikelinformationen 
Artikel veröffentlicht am:
07.06.2019
Quelle(n):
Bildquelle: iStock.com/DenKuvaiev
Autor/in 
Dogan Michael Ulusoy
Weitere Artikel 
Newsletter

die bank | Newsletter

Abonnieren Sie den kostenlosen redaktionellen Newsletter der Fachzeitschrift „die bank“.
Der Newsletter erscheint mindestens einmal im Monat und informiert Sie über aktuelle Beiträge und News.

 Anmeldung

 Newsletter-Archiv