Mit Inkrafttreten der PSD2 im Januar 2018 unterliegen Anbieter von Zahlungsauslöse- und Kontoinformationsdiensten erstmals einer einheitlichen Regulierung und Aufsicht durch die Bafin. Das stellt Zahlungsdienstleister vor vielfältige Herausforderungen.
Durch die Einführung der Zweiten Zahlungsdiensterichtlinie, Richtlinie (EU) 2015/2366 (PSD2), ergeben sich eine Reihe interessanter Rechtsfragen für digitale Zahlungen. Insbesondere die neuen Vorgaben zum Risikomanagement bei IT-Risiken und die gesteigerten Anforderungen an die Authentifizierung des Zahlers durch die starke Kundenauthentifizierung, einer Zwei-Faktoren-Authentifizierung bestehend aus Wissen, Besitz oder Inhärenz („was der Zaher ist“) stellen Zahlungsdienstleister vor Herausforderungen.
Neben der Verbesserung des Schutzes von Zahlungsdienstnutzern und der Erhöhung der IT-Sicherheit war erklärtes Ziel der PSD2-Gesetzgebung immer auch, Raum für digitale Innovationen im digitalen Zahlungsverkehr zu schaffen. Dies sollte insbesondere durch die Regulierung von Zahlungsauslöse- (PIS) und Kontoinformationsdiensten (AIS) erreicht werden. Allerdings werden die Ziele noch nicht vollständig erzielt, weil die Verfahren den Praxistest nicht bestehen. Zu viele Umsetzungsfragen bleiben offen und werden nachfolgend besprochen.
Das Zukunftsthema für digitale Zahlungen ist Instant Payment, für das mit Einführung des entsprechenden SEPA Rulebooks eine einheitliche Grundlage geschaffen wird. Darüber hinaus stellt sich die Frage, ob Blockchain oder die Distributed Ledger Technologie (DLT) den Zahlungsverkehr verändern werden. Insoweit soll im Folgenden diskutiert werden, welche rechtliche Hürden noch zu nehmen sind.
AIS und PIS – Wie offen ist Open Banking
Mit Inkrafttreten der PSD2 am 13. Januar 2018 unterliegen Anbieter von AIS und PIS erstmals einer einheitlichen Regulierung und Aufsicht durch die Bundesanstalt für Finanzdienstleistungsaufsicht. Die bisher in Deutschland in erster Linie wettbewerbsrechtlich getragene Entwicklung wird nun aufsichts- und zivilrechtlich auf ein festes Fundament gestellt. Anbieter von AIS und PIS unterliegen zukünftig, sofern sie nicht als E-Geld-Institute oder Kreditinstitute ohnehin zur Erbringung aller Zahlungsdienste zugelassen sind, einer Registrierungs- (AIS) bzw. Erlaubnispflicht (PIS). Hierfür gelten besondere Zulassungsvoraussetzungen, beispielsweise zum Nachweis einer ausreichenden Haftpflichtversicherung.
Der zivilrechtliche Anspruch des Zahlungsdienstenutzers gegen seine kontoführende Stelle, meist seine Hausbank, auf Nutzung eines AIS oder PIS wird flankiert durch aufsichtsrechtliche Vorgaben, wonach die kontoführende Stelle AIS- und PIS-Anbietern Zugang zum Konto gewähren muss. Mit anderen Worten können die AIS- und PIS-Anbieter kostenlos die Infrastruktur der Banken für ihre Dienstleistungen nutzen. Das bedeutet jedoch keinesfalls „Open Banking“ im Sinne, dass dem Anbieter des AIS oder PIS volles Lese- und Zugriffsrecht gewährt würde. Vielmehr sieht die Regulierung vor, dass die kontoführende Stelle die entsprechenden in der Regulierung vorgesehenen Informationen zur Verfügung stellt. Zudem unterliegen die Anbieter von AIS und PIS bestimmten Verhaltenspflichten, insbesondere zum Umgang mit Daten, die ausschließlich zweckgebunden verwendet werden dürfen. Das muss aber Geschäftsmodelle, die sich die Daten der Kunden zunutze machen wollen, nicht zwingend entgegenstehen, wenn der Kunde nur einverstanden ist.
Es ist zu befürchten, dass sich die neuen Regelungen zum Kontozugang als der neuralgische Punkt für AIS und PIS erweisen wird. Mit den von der Europäischen Bankaufsichtsbehörde (EBA) entwickelten Durchführungsstandards zur starken Kundenauthentifizierung und zur sicheren Kommunikation (EBA RTS), die im finalen Entwurf bereits im Februar 2017 erschienen sind (EBA/RTS/2017/02), sich jedoch noch immer in Abstimmung zwischen EBA und Europäischer Kommission befinden, sind zwar die abstrakten technischen Vorgaben für die Kommunikation zwischen kontoführender Stelle und Anbietern der neuen Dienste geschaffen worden. Jedoch ändert dies nichts daran, dass eine technische Fragmentierung herrscht. Jede Bank kann ihren eigenen Stecker anbieten. Ändern kann sich diese auf Grundlage der derzeitigen rechtlichen Vorgaben bestehende Fragmentierung nur durch eine vom Markt getriebene Standardisierung. Hier könnte beispielsweise die EZB ein treibender Faktor sein. In der Zwischenzeit könnten technische Dienstleister durch eine Bündelung der unterschiedlichen Standards eine Zwischenlösung sein.
Hohe Bedeutung von Instant Payments
Bereits im November 2017 wird das vom European Payments Council (EPC) entwickelte Rulebook for SEPA Instant Credit Transfers in Kraft treten. Zahler können daher ab 08:00 CET am 21. November 2017 Zahlungen in EUR bis zu einem Betrag 15.000,- EUR innerhalb von 10 Sekunden an einen Empfänger übertragen. Insbesondere durch eine Koppelung mit einem PIS rechnen einige Marktteilnehmer mit einer ganz erheblichen Bedeutung von Instant Payment.
Aus rechtlicher Sicht fügen sich Instant Payments nahtlos in die PSD2 ein. Sie sind wie jede andere Überweisung zu behandeln. Insbesondere die Haftungsregeln und andere Bestimmungen zur Ausgestaltung des Zahlungsauftrags (z.B. zur Widerruflichkeit einer Zahlung) können anhand der bestehenden Regelungen ohne weiteres abgedeckt werden.
Herausforderungen stellen sich bei der Umsetzung daher wohl weniger aus rechtlicher als aus technischer Sicht. Sämtliche Prozesse, die für die Abwicklung einer Zahlung IT-seitig eine Rolle spielen, müssen innerhalb des kleinen Zeitfensters, das das Rulebook vorsieht, umgesetzt werden. An dieser Stelle spielen doch wieder rechtliche Vorgaben eine Rolle, denn das Aufsichtsrecht macht ein Transaktionsmonitoring notwendig. Hierzu gehört insbesondere das Monitoring nach dem Geldwäschegesetz (GwG). Während einige dieser Anforderungen bereits in der Vergangenheit bestanden haben, werden mit der PSD2 und den EBA RTS die Anforderungen an Zahlungsdienstleister nochmals erhöht. So sieht der EBA Entwurf zu den RTS vor, dass Zahlungsdienstleister im Rahmen des Transaktionsmonitoring auch Prozesse etablieren müssen, um etwaigen Payment Fraud (z.B. Anzeichen für Malware-Infektionen) feststellen zu können.
Zwar gelten diese Anforderungen für alle Bezahlverfahren. Bei Instant Payment wird sich jedoch aufgrund der kurzen Ausführungszeit die Frage nach der technischen Implementierung mit anderer Dringlichkeit stellen.
Der regulatorische Rahmen für Blockchain-Lösungen
Während Instant Payment auf die bestehende Infrastruktur für Überweisungen aufbaut, wird mit der Blockchain– oder Distributed Ledger-Technologie versucht, völlig neue Wege (nicht nur) im Zahlungsverkehr zu gehen. Stark vereinfacht gesprochen wird bei der DLT nicht ein zentraler Datenspeicher verwendet. Stattdessen werden Transaktionen dezentral erfasst und nicht nur von einer zentralen Stelle verifiziert. So sollen Transaktionen zwischen einzelnen Teilnehmern ohne einen Dritten als Intermediär ermöglicht werden.
Dabei muss zwischen der Technologie und Crypto-Currencies wie Bitcoin als ihrem derzeit bekanntesten Use-Case unterschieden werden. Anders als teilweise suggeriert wird, bewegen sich Blockchain-Lösungen (und insbesondere Crypto-Currency-Angebote) nicht im rechtsfreien Raum. (Aufsichts-)Recht ist technologieneutral, d.h. es knüpft typischerweise nicht an die Verwendung einer bestimmten Technologie an. Entscheidend ist vielmehr der Gegenstand der Tätigkeit. So handelt es sich bei einer Blockchain-Bezahllösung, bei der die gespeicherten Werteinheiten von einer zentralen Stelle gegen Zahlung eines Geldbetrags ausgegeben/freigeschalten oder verwaltet werden, regelmäßig um E-Geld. Auf die Form der Speicherung (zentral oder dezentral) kommt es insoweit nicht an.
Bei Bitcoin, die „aus sich heraus“ geschöpft werden, d.h. ohne zentralen Emittenten auskommen, handelt es sich typischerweise nicht um E-Geld. Das bedeutet jedoch keines Wegs, dass Bitcoins sich im „aufsichtsfreien“ Raum bewegen. Vielmehr handelt es sich beispielsweise bei Bitcoins um (digitale) Rechnungseinheiten, die als Finanzinstrumente der strengen Regulierung gemäß dem Wertpapierhandelsrecht unterliegen.
Für die Umsetzung von Blockchain-Projekten bedeutet das, dass die Teilnehmer – ob derzeit als beaufsichtigt oder nicht – sich mit der aufsichtsrechtlichen Einordnung der geplanten Lösung auseinandersetzen müssen, um Erlaubnisfragen und weitere Vorgaben überhaupt erst umsetzen zu können.
Fazit: Recht und Technik muss zusammenspielen
Von zentraler Bedeutung wird daher für die oben behandelten Zukunftsthemen sein, wie sich die rechtlichen Vorgaben technisch umsetzen lassen. Ein enges Zusammenspiel zwischen Recht und Technik ist deshalb bei der Einführung neuer Bezahllösungen unumgänglich.
Andreas Doser ist Co-Autor des Beitrags. Er ist Associate am Frankfurter Standort von Hogan Lovells und Mitglied der Praxisgruppe Bank- und Finanzrecht. Schwerpunkt seiner Tätigkeit ist das Bankaufsichtsrecht (CRR, KWG, ZAG, GwG und WpHG) und die Beratung zu produktbezogenen Fragen des Zivilrechts, insbesondere zu AGB und Verbraucherrecht.