Um zu gewährleisten, dass die Anforderungen zur europäischen Zahlungsdienste-Richtlinie PSD2 adäquat zu den technischen und wirtschaftlichen Interessen aller Marktteilnehmer passen, sind im Rahmen von Konsultationen alle Marktteilnehmer aufgerufen, entsprechende Kommentierungen abzugeben.

Standards bei der Umsetzung von PSD2

Bei der Umsetzung der Zahlungsdienste-Richtlinie PSD2 sind zahlreiche Standards zu beachten

Partner des Bank Blogs

Im Rahmen der PSD2 hat die Europäische Bankenaufsicht (EBA) insgesamt fünf Leitlinien (GL), einen technischen Durchführungsstandard (ITS) und fünf technische Regulierungsstandards (RTS) erstellt. Adressaten dieser Anforderungsspezifikation sind die europäischen Zahlungsdienstleister (Großbanken, FinTechs, Verbände, etc.) und die nationalen Aufsichtsbehörden.

Die Regulierungsstandards und Durchführungsstandards werden durch die Kommission als delegierter Rechtsakt erlassen und im Amtsblatt der europäischen Union veröffentlicht. Somit entfalten diese eine unmittelbare Wirkung gegenüber den Adressaten.

Die Leitlinien hingegen sind von den nationalen Aufsichtsbehörden bzw. durch die Europäische Zentralbank (EZB) im „Comply-or-Explain-Prinzip“ in den nationalen Aufsichtsstandard zu transferieren. Die nationale Aufsichtsbehörde hat dabei die Wahl, ob die Leitlinie zur An-wendung kommt (Comply) oder keine Anwendung findet (Explain). Im Falle der Anwendung, zeigt die nationale Aufsichtsbehörde die Anwendung an. Im Falle der Nicht-Anwendung erläutert die nationale Aufsichtsbehörde die Gründe für die Nicht-Anwendung.

Herausforderungen bei Umsetzung von PSD2

Der Großteil der Zahlungsdienstleister befindet sich mitten in der Umsetzung der Bestandteile der PSD2, die bis zum 12. Januar 2018 umzusetzen sind. Problematisch in der Umsetzungsplanung ist der Verzug in der Veröffentlichung der Regulierungsstandards zur starken Kundenauthentifizierung und der sicheren Kommunikation, sowie der Leitlinie zu Sicherheitsmaßnahmen. Ohne, dass die finalen Anforderungen und die von der PSD2 losgelösten Umsetzungsfristen bekannt sind, kann eine Umsetzung nicht sinnvoll begonnen werden.

Verschärft wird diese Problematik davon, dass die Budgetplanung in den meisten Häusern für das kommende Geschäftsjahr 2018 bereits abgeschlossen ist. Insb. die Diskussionen um die Kontoschnittstelle haben einen großen Einfluss auf das Budget im nächsten Jahr.

Übersicht zum Status der PSD2-Umsetzungsstandards

Im Folgenden wird der aktuelle Status zu den einzelnen Leitlinien und Regulierungsstandards näher erläutert.

Die nachfolgende Abbildung zeigt einen Überblick über die zu erarbeiteten RTS, ITS und GL zur Zahlungsdiensterichtlinie PSD2

RTS/ITS: Zentrales Zahlungsinstitutsregister

Gemäß Art. 15 Abs. 4 PSD2 ist die Europäische Bankenaufsicht mandatiert, einen Regulierungsstandard für die technischen Anforderungen für die Entwicklung, den Betrieb und die Führung des elektronischen zentralen Registers und für den Zugang zu den darin enthaltenen Angaben bis zum 13.01.2018 an die Kommission übermitteln.

Zusätzlich zu diesem Regulierungsstandard wurde die Europäische Bankenaufsicht mandatiert, einen Durchführungsstandard (Art. 15 Abs. 5 PSD2) bis zum 13.07.2017 zu veröffentlichen, in dem die Einzelheiten und die Struktur der zu übermittelnden Angaben, einschließlich des gemeinsamen Formats und Musters enthalten sind.

Bis heute hat die Europäische Bankenaufsicht zu beiden Mandaten noch keine Stellung genommen oder ein Konsultationsverfahren gestartet.

RTS: Antrag auf Ausübung der Niederlassungsfreiheit und des Rechts auf freien Dienstleistungsverkehr

Art. 28 Abs. 5 PSD2 mandatiert die Europäische Bankenaufsicht einen Regulierungsstandard über den Antrag auf Ausübung der Niederlassungsfreiheit und des Rechts auf freien Dienstleistungsverkehrs zu erstellen und an die Kommission zu übergeben.

Das Konsultationspapier (EBA/CP/2015/25) wurde am 11.12.2015 veröffentlicht. Der finale Entwurf (EBA/RTS/2016/08) wurde am 14.12.2016 an die Kommission übergeben.

Der Regulierungsstandard tritt im vierten Quartal 2018 in Kraft und betrifft in erster Linie die nationalen Aufsichtsbehörden. Diese haben i.S.d. RTS Maßnahmen zu treffen, um zu gewährleisten, dass ein reibungsloser Informationsaustausch zwischen den Aufsichtsbehörden stattfindet.

RTS: Kriterien für eine zentrale Kontaktstelle

Der Regulierungsstandard legt die Kriterien fest, wann Zahlungsdienstleister eine zentrale Kontaktstelle für die jeweiligen nationalen Aufsichtsbehörden zur Verfügung stellen müssen. Dies bezieht sich auf Fälle, in denen sie ihre Dienstleistungen in mehreren europäischen Staaten auf Basis des Passporting-Rechts anbieten.

Der Entwurf für den Regulierungsstandard gemäß Art. 29 Abs. 5 PSD2 wurde von der Europäische Bankenaufsicht am 29.06.2017 in die Konsultation (EBA/CP/2017/09) gegeben.

Die Übergabe des finalen Entwurfs an die Kommission soll am 13.01.2018 erfolgen.

Parallel entwickeln die drei Europäischen Aufsichtsbehörden (EBA, EIOPA und ESMA) in einem Joint Committee einen ähnlichen Regulierungsstandard (JC/2017/08) aus Sicht der Geldwäsche- und Terrorismusfinanzierungsprävention, wann eine zentrale Kontaktstelle eingerichtet werden muss. Eine Verzahnung dieser Aktivitäten ist Stand heute nicht vorgesehen.

RTS: Starke Authentifizierung und sichere Kommunikation

Der Regulierungsstandard zur starken Authentifizierung und sicheren Kommunikation ist das bekannteste Mandat (Art. 98 Abs. 1 PSD2) der Europäische Bankenaufsicht. Dieser spezifiziert die Anforderungen an die starke Kundenauthentifizierung und die sichere Kommunikation beim Kontozugang dritter Zahlungsdienstleister.

Das Konsultationsverfahren (EBA/CP/2016/11) zu diesem Regulierungsstandard wurde am 12.08.2016 gestartet und hat zu einem Rekord bei der Anzahl der Rückmeldungen geführt. Auf Grund der großen Bedeutung des Regulierungsstandards für die Marktteilnehmer fand zusätzlich am 23.09.2016 eine öffentliche Anhörung statt.

Mit einer kleinen Verspätung veröffentlichte die Europäische Bankenaufsicht den finalen Entwurf (EBA/RTS/2017/02) am 23.02.2017. Auch hier stellt dieser RTS ein Novum dar, da der finale Entwurf durch die Kommission nicht akzeptiert wurde (Ref. Ares (2017) 2639906), sondern mit Anmerkungen an die Europäische Bankenaufsicht zur Überarbeitung übergeben wurde. Die Europäische Bankenaufsicht ihrerseits hat (EBA/Op/2017/09) die Änderungswünsche der Kommission in Teilen zurück gewiesen.

Auf Grund dieses Spannungsverhältnisses ist mit einer Veröffentlichung des delegierten Rechtsaktes im Amtsblatt nicht vor dem vierten Quartal 2017 zu rechnen.

GL: Berufshaftpflichtversicherung

Im Rahmen der Zulassung als Zahlungsinstitut und der Registrierung als Kontoinformationsdienstleister ist es erforderlich, dass eine den Geschäftsbetrieb abdeckende Berufshaftpflicht vom Dienstleister abgeschlossen wird.

Hierzu wurde die Europäische Bankenaufsicht mandatiert (Art. 5 Abs. 4 PSD2), eine Leitlinie zum Inhalt dieser Berufshaftpflichtversicherung zu veröffentlichen.

Nach Durchführung der Konsultation (EBA/CP/2016/12) wurde am 07.07.2017 die finale Leitlinie (EBA/GL/2017/08) veröffentlicht.

GL: Informationen für die Zulassung

Am 11.07.2017 hat die Europäische Bankenaufsicht die Leitlinien (EBA/GL/2017/09) für die Informationen im Rahmen der Zulassung von Zahlungs- und E-Geld-Instituten, sowie zur Registrierung von Kontoinformationsdienstleistern veröffentlich.

Die Leitlinie richtet sich an bestehende und neue Dienstleister gleichermaßen. Denn zum Ende der Übergangsfrist im Juli 2018 müssen auch die bestehenden Dienstleister nachweisen, dass sie die geänderten Anforderungen erfüllen.

GL: Sicherheitsmaßnahmen

Neben dem Regulierungsstandard zur starken Kundenauthentifizierung und der sicheren Kommunikation ist die Leitlinie zu den Anforderungen an die Sicherheitsmaßnahmen, die für Zahlungsdienstleister wichtigste, da diese – wie auch schon die MaSI –  einen großen dokumentarischen Aufwand nach sich zieht.

Der geplante Termin zur Veröffentlichung der finalen Leitlinie am 13.07.2017 ist bereits verstrichen (Art. 95 Abs. 3 PSD2), so dass die Europäische Bankenaufsicht sich hiermit im Verzug befindet.

Das dazugehörige Konsultationsverfahren (EBA/CP/2017/04) läuft noch bis zum 07.08.2017 läuft und man kann davon ausgehen, dass eine Veröffentlichung frühestens Ende September 2017 erfolgen wird.

Im Rahmen der Umsetzungsprojekte stellt dies eines der großen Projektrisiken dar, da der Umsetzungszeitpunkt weiterhin offen ist. Den Termin für die Umsetzung legen letztendlich die nationalen Aufsichtsbehörden im Rahmen des Comply-or-Explain fest.

GL: Meldung von Vorfällen

In Ergänzung zu den Leitlinien zu Sicherheitsmaßnahmen wurde die Europäische Bankenaufsicht durch Art. 96 Abs. 3 PSD2 mandatiert, Leitlinien für die Klassifizierung schwerwiegender Sicherheitsvorfälle sowie zu deren Meldung zu entwickeln.

Nach Durchführung der Konsultation (EBA/CP/2016/23) wurde am 27.07.2017 die finale Leitlinie (EBA/GL/2017/10) veröffentlicht.

GL: Beschwerdeverfahren

Die Leitlinie zur Abwicklung von Beschwerdeverfahren ist an die zuständigen nationalen Behörden adressiert und die Veröffentlichung ist für den 13.01.2018 terminiert.

Das Konsultationsverfahren (EBA/CP/2017/01) ist bereits seit dem 16.05.2017 abgeschlossen. Es ist davon auszugehen, dass der geplante Veröffentlichungstermin gehalten werden kann.

Auf gutem Weg

Der Großteil der Zahlungsdienstleister befindet sich mitten in der Umsetzung der Bestandteile der PSD2, die bis zum 12. Januar 2018 umzusetzen sind. Problematisch in der Umsetzungsplanung ist der Verzug in der Veröffentlichung der Regulierungsstandards zur starken Kundenauthentifizierung und der sicheren Kommunikation, sowie der Leitlinie zu Sicherheitsmaßnahmen. Ohne, dass die finalen Anforderungen und die von der PSD2 losgelösten Umsetzungsfristen bekannt sind, kann eine Umsetzung nicht sinnvoll begonnen werden.

Verschärft wird diese Problematik davon, dass die Budgetplanung in den meisten Häusern für das kommende Geschäftsjahr 2018 bereits abgeschlossen ist. Insbesondere die Diskussionen um die Kontoschnittstelle haben einen großen Einfluss auf das Budget im nächsten Jahr.

PayToday ist Partner des Bank Blogs


Mehr über das Partnerkonzept des Bank Blogs erfahren Sie hier.