Eigentlich sollte die europäische PSD2 Zahlungsdiensterichtlinie schon lange umgesetzt sein. Doch noch immer gibt es eine Vielzahl offener Fragen und Probleme. Zehn der wichtigsten Fragen zu PSD2 habe ich dem Zahlungssystemexperten Ralf Ohlhausen gestellt.
Offene Fragen zu PSD2 und der Umsetzung der europäischen Zahlungsdiensterichtlinie.
Partner des Bank Blogs
Seit Ankündigung der europäischen Zahlungsdiensterichtlinie wurden sicher einige Hundert Artikel darüber veröffentlicht. Die Europäische Union versprach sich von PSD2 mehr Innovation, Wettbewerb und Effizienz. Für Verbraucher sollte sie mehr Transparenz und ein besseres Angebot im Zahlungsbereich bieten.
Die meisten haben sie als Revolution in der Banken- und Zahlungslandschaft bezeichnet. Seit der Einführung hat sich diese Euphorie etwas gelegt, was auch damit zusammenhängt, dass die Umsetzung noch längst nicht als abgeschlossen angesehen werden kann. Und noch immer gibt es Umstellungsprobleme und offene Fragen zu wesentlichen Teilbereichen.
10 Fragen an Ralf Ohlhausen zu PSD2
Zehn der vielleicht wichtigsten Fragen zur praktischen Umsetzung von PSD2 und zur Verwendung von PSD2-APIs habe ich Ralf Ohlhausen gestellt. Er ist Gründer von PayPractice und berät Zahlungsdienstleister, insbesondere PPRO und Tink, mit Schwerpunkt auf PSD2 und Open Banking. Zuvor war er Chief Strategy Officer bei PPRO, President Europe für SafetyPay und vor seinem Eintritt in den Payments, E-Commerce und FinTech Bereich war er jeweils 10 Jahre in der Mobilfunk- und IT-Branche tätig. Er ist Mitglied in einer Vielzahl von internationalen Expertengremien.
Ralf Ohlhausen ist Executive Advisor für den Bereich Payments.
Es gibt nationale Unterschiede bei Definition von Zahlungskonten
Der Bank Blog: Fallen Sparkonten und Konten in Fremdwährungen (d.h. nicht in Euro) in den Bereich von PSD2?
Ralf Ohlhausen: Die Zahlungsdiensterichtlinie PSD2 bezieht sich auf Zahlungskonten in Europa, auf die online zugegriffen werden kann, egal, in welcher Währung. Allerdings wird der Begriff Zahlungskonten je nach Land unterschiedlich definiert.
Allgemein gilt jedoch, dass man mit einem Zahlungskonto in der Lage sein muss Zahlungen durchzuführen, ohne ein weiteres Referenzkonto hinzuziehen zu müssen. Nicht-Zahlungskonten, also z.B. Depotkonten, sowie alle anderen Online-Konten (Telekom, Strom, Wasser, Versicherungen, E-Mail, Social Media etc.) fallen hingegen unter die Datenschutz-Grundverordnung (DSGVO, engl. GDPR).
Der Bank Blog: Fallen Geldkonten von Firmenkunden unter die PSD2?
Ralf Ohlhausen: Die PSD2 ist nicht auf bestimmte Kundentypen, sondern auf Kontentypen beschränkt, d.h. jede Art von Zahlungskonto fällt unter die PSD2. Der Kundentyp spielt dabei keine Rolle.
APIs müssen alle Authentifizierungsmethoden unterstützen, die direkt von einer Bank angeboten werden, darunter auch das 4/6-Augen-Prinzip, wenn das dazugehört.
Die Zahlungssysteme werden vielfältiger
Der Bank Blog: Welchen Vorteil hat ein Händler von der Nutzung der PSD2-Zahlungsschnittstelle?
Ralf Ohlhausen: Für die Nutzung dieser neuen Zahlungsschnittstellen braucht man eine PSD2-Lizenz und untersteht dann der fortlaufenden Überwachung der Finanzaufsichtsbehörde. Für die meisten Händler wäre es sicher besser, dafür die Dienstleistungen von Drittanbietern (TPPs) in Anspruch zu nehmen als selbst einer zu werden.
Bankunabhängige Zahlungsdienstleister (PISPs) konkurrieren nicht nur mit Karten und Wallets, sondern auch mit bankeigenen Online-Bezahlsystemen, wie z.B. Giropay, die für manche unverständlicherweise nicht unter die PSD2 fallen. Händler können solche Bezahlmethoden selbst einbinden, aber viele nutzen auch dafür lieber Payment Service Provider. Solche E-Commerce PSPs, wie z.B. Computop, Stripe, Ingenico, etc. haben bereits einige PISP-Drittanbieter (z.B. Sofort, Trustly) in ihre Plattform integriert und werden weitere hinzufügen, sobald sie verfügbar sind.
Bisher war nur etwa die Hälfte der europäischen Banken in diese Bezahlmethoden eingebunden, nun wird auch die andere Hälfte verfügbar sein. Das bedeutet, dass es jedem, der über ein Bankkonto in Europa verfügt, nun möglich sein wird, Zahlungen, im E-Commerce oder Mobile Commerce durchzuführen, ohne eine Kreditkarte oder Wallet haben zu müssen.
Der Bank Blog: Wie gebrauchstauglich ist die PSD2 für Bezahl-Apps, die nicht regelmäßig – oder möglicherweise nur einmal – verwendet werden?
Ralf Ohlhausen: Die meisten PISPs brauchen gar keine eigenen Apps und Kunden müssen sich auch nicht dafür anmelden oder ein extra Konto eröffnen, wie das bei Wallets üblich ist. Wenn man in einem Mobile Shop einen PISP zur Zahlung auswählt kann man direkt mit seinem Bankkonto bezahlen. Selbst die Umleitung auf die Website der Bank oder deren mobile App sind im Grunde genommen überflüssige Schritte, doch einige Nutzer bevorzugen dieses Vorgehen.
Viele Banken versuchen diesen Schritt verpflichtend zu machen, doch die meisten Kunden wollen einen möglichst schnellen Zahlungsvorgang. Einer der wichtigsten Gründe, die TPPs zu regulieren, lag ja gerade darin, die Sicherheit derer Systeme zu überwachen und die Einführung der starken Kundenauthentifizierung (SCA) stellt zusätzlich sicher, dass immer nur genau die eine Zahlung, die dem Kunden angezeigt wird, ausgelöst werden kann.
Die Zustimmung der Kunden ist essentiell
Der Bank Blog: Wer darf welche Daten speichern und kann die Einwilligung erlöschen?
Ralf Ohlhausen: Kontodaten sowie die Zugangsdaten der Kunden dürfen von PISPs gar nicht gespeichert werden. Das dürfen nur Kontoinformationsdienste (AISPs) und die Einwilligung des Kunden dafür muss mindestens alle 90 Tage mittels einer SCA erneuert werden. Da dies bei mehreren Konten und Banken unverhältnismäßig viele SCAs beanspruchen würde, wollen AISPs dafür ihre eigenen Zugangsdaten verwenden, wohingegen Banken der Ansicht sind, dass dies nur mit ihren Zugangsdaten ginge.
Die Entscheidung des Regulators ist in dieser Sache noch nicht gefallen, steht aber wahrscheinlich bald bevor. AISPs dürfen vier Mal pro Tag auf Daten zugreifen, ohne dass der Kunde direkt beteiligt ist, was bei vielen Banken leider noch nicht gewährleistet ist, und deswegen momentan eines der größten Probleme darstellt. Kunden können ihre Einwilligung AISPs gegenüber jederzeit widerrufen und gegenüber PISPs besteht sie in der Regel sowieso nicht fort, sondern wird jedes Mal neu erteilt.
Der Bank Blog: Welche Verwendung von PSD2-Daten ist erlaubt?
Ralf Ohlhausen: Erlaubt ist selbstverständlich nur was der Kunde ausdrücklich gewünscht hat. Jedes Datenelement auf das Drittanbieter zugreifen, benötigt das vorausgegangene Einverständnis des Kunden. Das gilt auch für die weitere Verwendung der Daten oder die Weiterleitung an Dritte. TPPs können die Daten zu keinem Zweck verwenden, der vom Kunden nicht genehmigt wurde.
APIs konkurrieren miteinander
Der Bank Blog: PSD2-Aggregatoren: Wer ist der TPP und wie kann er von dem Kunden identifiziert werden?
Ralf Ohlhausen: Um ein API-Monopol zu verhindern, gibt es hier in Europa keinen festgelegten Standard und es haben sich deswegen mehrere entwickelt, die untereinander konkurrieren können. Wie erwartet haben sich damit Aggregatoren gebildet, die diese verschiedenen Standards und deren Implementierungen der einzelnen Banken auf eine einzige Schnittstelle abbilden. Ich denke auch, dass diese Vorgehensweise flexibler und zukunftsträchtiger ist, als die Festlegung eines einzigen Standards, wie z.B. im UK.
Manche dieser Aggregatoren sind zusätzlich PSD2-lizenziert und können ihre Dienste deswegen auch direkt nicht-lizenzierten Kunden anbieten. PSD2-lizenzierte TPPs bekommen ein sogenanntes eIDAS-Zertifikat, mit dem sie dann die Bankschnittstellen ansprechen können.
Banken sind verpflichtet, jedem Drittanbieter, der ein solches eIDAS-Zertifikat vorweisen kann, Zugriff zu gewähren, ohne anderweitige Prüfungen, da diese ja der Regulator schon vorgenommen hatte. Allerdings enthält das Zertifikat die nötigsten Informationen über die Identität des TPPs. Wenn wegen einer möglichen Aggregation mehrere lizenzierte TPPs hintereinander involviert sind, ist derjenige in der PSD2-Verantwortung, dessen Zertifikat der Bank gegenüber verwendet wurde.
Einige Banken nutzen ihrerseits einen Aggregator, d.h. sie lagern die Bereitstellung ihrer API an einen bankseitigen Aggregator aus. In diesem Fall müssen sie sich an die Outsourcing-Regeln halten und die volle Verantwortung sowie die Verbindlichkeiten übernehmen. Der TPP dessen Zertifikat benutzt wird hat auch die Verpflichtung das Einverständnis des Kunden einzuholen und ist diesem gegenüber damit in der Verantwortung.
Manche Banken wollen selbst eine Kundeneinwilligung einholen, aber das ist rechtlich irrelevant und stiftet meist nur Verwirrung. Drittanbieter dürften sich darauf nicht verlassen. Die Banken sind über PSD2 rechtlich verpflichtet einem legitimierten TPP die verlangten Daten herauszugeben, egal ob sie selbst eine Kundeneinwilligung eingeholt haben oder nicht. Der TPP ist der Finanzaufsicht gegenüber verpflichtet, diese Daten nur mit der vorherigen Einwilligung des Kunden zu verlangen.
Viele Banken machen es Drittanbietern schwer
Der Bank Blog: Ist die Kontonummer des Empfängers Teil der Einwilligung?
Ralf Ohlhausen: Die Einwilligung des Kunden zu einer Zahlung besteht in der Regel aus zwei Teilen. Zum einen betrifft sie die Kundendaten, die bei dem Vorgang benutzt werden dürfen, also z.B. seine eigene Kontonummer, und zum anderen betrifft sie die Einwilligung zur Zahlung an sich. Letzteres muss mit einem SCA bestätigt werden, welcher wiederum vorschreibt, dass dem Kunden der Betrag und Empfänger angezeigt werden muss.
Die Kontonummer des Empfängers ist dem Kunden dabei in der Regel nicht bekannt und deswegen für sein Einverständnis auch nicht nötig. Es liegt allerdings in der Verantwortung der beteiligten lizenzierten Dienstleister sicher zu stellen, dass das Empfängerkonto auch dem angezeigten Empfängernamen gehört.
Der Bank Blog: Müssen alle PSD2-Zahlungstransaktionen mit einem SCA bestätigt werden?
Ralf Ohlhausen: Nein, es gibt eine Reihe von Ausnahmen, deren Anwendung allerdings alle in der Hand der Banken liegen. So können z.B. alle Zahlungen unter €30 ausgenommen werden, oder Zahlungen an vorher festgelegte bestimmte Empfänger. Zur Zeit sind ja auch noch alle Kreditkartenzahlungen ausgenommen, und es scheint, dass dies wegen Covid-19 auch noch weiter verlängert werden soll.
Schade ist, dass damit ausgerechnet die betrugsanfälligsten Kartenzahlungen kein SCA benötigen, während die viel sicheren PISP Zahlungen es brauchen, und die Banken dafür noch nicht mal die Ausnahmen machen, die sie dürften. Nur ein Beispiel dafür, dass leider immer noch viel zu viele Banken es den Drittanbietern möglichst schwer machen wollen.
Echtzeit ist eine Herausforderung
Der Bank Blog: Wie nah an Echtzeit sind TPPs?
Ralf Ohlhausen: Im Handel müssen PISPs natürlich in Echtzeit agieren und dem Händler eine verlässliche Zahlungsbestätigung geben, damit der Kunde seine Waren auch gleich bekommt, oder sie zumindest gleich verschickt wird. Das ist in der Tat nicht einfach, da viele Banken die ausgelösten Zahlungen erst über Nacht ausführen, und bis dahin noch einiges dazwischen kommen kann. Deswegen brauchen ja auch PISPs einige Kontodaten, um das Risiko vorab auszuloten und z.B. Zahlungen direkt am Kontolimit gar nicht erst auszulösen.
AISPs haben das Recht, vier Mal pro Tag auf die Daten zuzugreifen, ohne dass der Kunde involviert ist. Die Banken haben wiederum das Recht, ihnen nicht mehr als das zu erlauben.
Leider tut die Mehrzahl der Banken genau das und verhindert dadurch Echtzeitbenachrichtigungen, die gerade bei Gehaltseingängen oder beim Erreichen des Kontolimits so wichtig wären. Es bleibt zu hoffen, dass deren Kunden ein solches Verhalten mit dem Wechsel zu einer besseren Bank bestrafen. Zumal diese Beschränkung noch aus der Zeit stammt, als TPPs in der Regel das Kundeninterface benutzt hatten und dieses nicht über Gebühr belastet werden sollte. Nutzt ein TPP stattdessen aber eine API so ist diese Beschränkung überflüssig und einige API-Standards bieten sogar Push-Funktionen, was für beide Seiten effizienter wäre.
Der Bank Blog: Vielen Dank für das Gespräch.
