Chemin de navigation

Left navigation

Additional tools

Autres langues disponibles: FR EN

Europäische Kommission - Factsheet

Richtlinie über Zahlungsdienste (PSD2): Technische Regulierungsstandards bieten Verbrauchern mehr Sicherheit und Innovation bei elektronischen Zahlungen

Brüssel, 27. November 2017

1. Gründe, Ziele und Verfahren

Welche Ziele werden mit der PSD2 verfolgt?

Die überarbeitete Richtlinie über Zahlungsdienste (PSD2), die ab 13. Januar 2018 gilt, steht für mehr Innovation, Wettbewerb und Effizienz. Für den Verbraucher wird sie ein größeres und qualitativ hochwertigeres Angebot auf dem EU-Massenzahlungsmarkt bedeuten. Darüber hinaus sieht die Richtlinie höhere Sicherheitsstandards für Online-Zahlungen vor, die dazu führen werden, dass die Verbraucher dem Online-Einkauf in Zukunft mehr Vertrauen entgegenbringen. Die überarbeitete Richtlinie erstreckt sich auch auf innovative Zahlungsdienste und neue Anbieter auf dem Markt, z. B. FinTech-Unternehmen. Diese Akteure werden auch als dritte Zahlungsdienstleister (TPP) bezeichnet. Bei diesen Dienstleistern handelt es sich unter anderem um:

  • Zahlungsauslösedienstleister (PISP), die Zahlungen im Namen des Kunden auslösen. Sie geben den Einzelhändlern die Gewähr, dass das Geld unterwegs ist.

  • Aggregatoren und Kontoinformationsdienstleister (AISP), die ihren Kunden eine Übersicht über die verfügbaren Konten und Kontostände verschaffen.

Wozu dienen die technischen Regulierungsstandards (RTS)?

Die Marktteilnehmer benötigen konkrete Vorgaben, um die in der PSD2 enthaltenen neuen Anforderungen erfüllen zu können. Deshalb wurde die Kommission durch die PSD2 ermächtigt, technische Regulierungsstandards zu erlassen, die auf dem Entwurf der Europäischen Bankenaufsichtsbehörde (EBA) basieren.

Die in den technischen Regulierungsstandards dargelegten Sicherheitsmaßnahmen ergeben sich aus zwei wichtigen Zielen der PSD2, und zwar der Gewährleistung des Verbraucherschutzes sowie der Förderung des Wettbewerbs und gleicher Ausgangsbedingungen in einem sich rasch wandelnden Marktumfeld.

Der Verbraucherschutz wird durch eine Verbesserung der Sicherheit elektronischer Zahlungen verwirklicht. Zu diesem Zweck werden mit den technischen Regulierungsstandards Sicherheitsanforderungen eingeführt, die Zahlungsdienstleister erfüllen müssen, wenn sie Zahlungen abwickeln bzw. zahlungsbezogene Dienstleistungen erbringen. Bei den Zahlungsdienstleistern kann es sich um Banken und andere Zahlungsinstitute handeln. In den technischen Regulierungsstandards ist im Einzelnen festgelegt, welche Anforderungen an die sogenannte starke Kundenauthentifizierung gestellt werden und unter welchen Voraussetzungen Zahlungsdienstleister von einer solchen Authentifizierung freigestellt werden können. 

Als weiteres wichtiges Ziel werden mehr Wettbewerb und Innovation auf dem Massenzahlungsmarkt angestrebt. So werden in den technischen Regulierungsstandards zwei neue Arten von Zahlungsdiensten behandelt, die sogenannten Zahlungsauslösedienste und die Kontoinformationsdienste.

Hat die Kommission die von der EBA vorgelegten technischen Regulierungsstandards abgeändert?

Die Kommission hat an dem von der EBA übermittelten Entwurf technischer Regulierungsstandards eine begrenzte Zahl inhaltlicher Änderungen vorgenommen, um der mit der PSD2 verfolgten Zielsetzung besser gerecht zu werden und für alle Beteiligten mehr Klarheit und Rechtssicherheit zu schaffen.

Ab wann gelten die neuen Regeln?

Die PSD2 gilt ab dem 13. Januar 2018, jedoch mit Ausnahme der in den Artikeln 65, 66, 67 und 97 genannten Sicherheitsmaßnahmen, die in den technischen Regulierungsstandards näher ausgeführt werden. Diese Sicherheitsmaßnahmen kommen 18 Monate nach Inkrafttreten der technischen Regulierungsstandards zur Anwendung.

Für welche Art von Konten gelten die technischen Regulierungsstandards?

Die technischen Regulierungsstandards gelten nur für Zahlungskonten, die in den Anwendungsbereich der PSD2 fallen, d. h. Konten, die von einem oder mehreren Zahlungsdienstnutzern gehalten werden und für die Ausführung von Zahlungsvorgängen genutzt werden können. Diese Definition hat sich mit der Annahme der PSD2 zwar nicht geändert, aber die Liste der Zahlungsdienste hat sich weiterentwickelt. Sie umfasst fortan auch Zahlungsauslösedienste und Kontoinformationsdienste.

2. Starke Kundenauthentifizierung

Wie wird die Sicherheit elektronischer Zahlungen durch die neuen technischen Regulierungsstandards erhöht?

Die PSD2 verbessert den Schutz der Verbraucher bei der Tätigung elektronischer Zahlungen oder Transaktionen (z. B. Online-Banking oder Online-Einkauf). Mit den technischen Regulierungsstandards wird die starke Kundenauthentifizierung als Voraussetzung für den Zugang des Kunden zu seinem Zahlungskonto und für die Tätigung von Online-Zahlungen eingeführt.

So werden die Nutzer ihre Identität durch mindestens zwei der drei folgenden, voneinander unabhängigen Elemente nachweisen müssen:

  • durch etwas, das ihnen bekannt ist (ein Passwort oder einen PIN-Code),

  • durch etwas, das in ihrem Besitz ist (eine Karte, ein Mobiltelefon) und

  • durch etwas, das sie ausmacht (biometrische Merkmale wie Fingerabdrücke oder Iriserkennung).

Die starke Kundenauthentifizierung kommt EU-weit bereits allgemein zum Einsatz. Bezahlen Kunden beispielsweise im herkömmlichen Handel mit einer Karte, so müssen sie den Zahlungsvorgang durch Eingabe ihres PIN-Codes in ein Kartenlesegerät validieren. Bei elektronischen Fernzahlungsvorgängen, seien es Kartenzahlungen oder Online-Überweisungen, ist dies jedoch nicht der Fall. Bei diesen Vorgängen findet die starke Kundenauthentifizierung erst in einigen wenigen EU-Ländern Anwendung (dazu zählen Belgien, die Niederlande und Schweden). In anderen EU-Ländern wenden bestimmte Zahlungsdienstleister die starke Kundenauthentifizierung auf freiwilliger Basis an.

Den technischen Regulierungsstandards zufolge muss die starke Kundenauthentifizierung künftig beim Zugang zu Zahlungskonten und bei der Vornahme von Online-Zahlungen durchgeführt werden. Banken und andere Zahlungsdienstleister werden die für die starke Kundenauthentifizierung erforderliche Infrastruktur bereitstellen und darüber hinaus die Betrugsbekämpfung verbessern müssen. Verbraucher und Händler müssen ausgerüstet und im Umgang mit der starken Kundenauthentifizierung geschult werden.

Die technischen Regulierungsstandards sehen auch Freistellungen von der starken Kundenauthentifizierung vor, mit denen ein Bruch in den bisherigen Gewohnheiten von Verbrauchern, Händlern und Zahlungsdienstleistern vermieden werden soll. Die Freistellungen können auch dadurch begründet sein, dass alternative Mechanismen zur Authentifizierung zur Verfügung stehen, die ebenso sicher und zuverlässig sind. Zahlungsdienstleister, die von der starken Kundenauthentifizierung freigestellt werden wollen, müssen jedoch zunächst mithilfe bestimmter Mechanismen zur Überwachung der Geschäftsvorgänge prüfen, ob das Betrugsrisiko nicht zu hoch ist.

Alle Zahlungsdienstleister müssen Nachweise dafür erbringen, dass die Sicherheitsmaßnahmen umgesetzt, getestet und geprüft wurden. Sollte es zu betrügerischen Zahlungsvorgängen kommen, so haben die Verbraucher Anspruch auf eine vollständige Rückzahlung.

Bei elektronischen Fernzahlungsvorgängen wird die Sicherheit durch eine dynamische Verknüpfung des Online-Vorgangs mit einem Betrag und einem Zahlungsempfänger weiter verbessert. Sollte ein solcher Vorgang gehackt werden, könnte ein eventueller Betrüger die Informationen nicht für die Auslösung eines vergleichbaren oder eines anderen Vorgangs wiederverwenden.

Ab wann ist die starke Kundenauthentifizierung verbindlich vorgeschrieben?

Zur Pflicht wird die starke Kundenauthentifizierung 18 Monate nach Inkrafttreten der technischen Regulierungsstandards, d. h. 18 Monate nach der Veröffentlichung der technischen Regulierungsstandards im Amtsblatt der Europäischen Union.

Dies gibt den Zahlungsdienstleistern, bei denen es sich unter anderem um Banken handelt, ausreichend Zeit für die Anpassung ihrer Sicherheitssysteme an die in der PSD2 festgelegten erhöhten Sicherheitsanforderungen.

Wie steht es um die Sicherheit der Zahlungsvorgänge von Unternehmen?

Die technischen Regulierungsstandards behandeln auch die Sicherheit von Zahlungen, die nicht einzeln, sondern in Sätzen vorgenommen werden, wie es bei den meisten Unternehmen der Fall ist. Gegenstand der neuen Vorschriften ist ferner die Host-to-Host-Maschinen-Kommunikation, bei der das IT-System eines Unternehmens zum Beispiel mit dem IT-System einer Bank kommuniziert, um Nachrichten hinsichtlich der Begleichung von Rechnungen zu übermitteln. Die bei dieser Art von Kommunikationssystemen zur Anwendung kommenden Sicherheitsmechanismen können ebenso wirksam sein wie die starke Kundenauthentifizierung. Daher können sie mit Genehmigung der nationalen Aufsichtsbehörden von der starken Kundenauthentifizierung freigestellt werden.

Könnte die starke Kundenauthentifizierung den elektronischen Handel beeinträchtigen, wenn die Verbraucher über das Internet einkaufen und bezahlen?

Die Kommission möchte die Entwicklung des elektronischen Handels durch Stärkung des Vertrauens der Verbraucher voranbringen. Gleichzeitig will die Kommission das Betrugsrisiko, das bei Online-Zahlungen besonders hoch ist, verringern. Um das dafür erforderliche höhere Maß an Sicherheit zu gewährleisten, werden die am elektronischen Handel beteiligten Akteure ihre IT-Systeme oder ihre Geschäftsmodelle möglicherweise entsprechend anpassen müssen.

Die Händler werden weiterhin die Möglichkeit haben, den Geschäftsverkehr mit ihren Kunden einer Risikoanalyse zu unterziehen. Diese Methode wird häufig auf Kartenzahlungen angewandt. Auch auf der Grundlage der technischen Regulierungsstandards werden die Händler dies tun können. Sowohl die PSD2 als auch die heutigen technischen Regulierungsstandards richten sich ausschließlich an Zahlungsdienstleister, zu denen unter anderem die Banken der Verbraucher und die Banken der Händler zählen. Die Händler selbst fallen nicht in den Anwendungsbereich der technischen Regulierungsstandards. Die Händler und ihre Zahlungsdienstleister werden gemeinsam überlegen müssen, wie sich Betrugshandlungen eindämmen lassen.

3. Gemeinsame, sichere Kommunikation

Wie wird die gemeinsame, sichere Kommunikation funktionieren?

Mit der PSD2 wird ein Rahmen für neue Dienste im Zusammenhang mit Verbraucherkonten geschaffen, z. B. die sogenannten Zahlungsauslösedienste und die Kontoinformationsdienste. In den technischen Regulierungsstandards sind die Anforderungen an gemeinsame Standards für eine sichere Kommunikation zwischen Banken und FinTech-Unternehmen festgelegt.

Verbraucher und Unternehmen können Dritten, die zahlungsbezogene Dienste erbringen, Zugang zu ihren Zahlungsdaten gewähren. Bei diesen dritten Zahlungsdienstleistern kann es sich z. B. um Zahlungsauslösedienstleister und Kontoinformationsdienstleister handeln. Die dritten Zahlungsdienstleister können FinTech-Unternehmen, aber auch andere Banken sein.

Der Zugriff auf die kundenspezifischen Daten sowie deren Verwendung und Verarbeitung bedürfen der Zustimmung des Kunden. Der Zugriff der dritten Zahlungsdienstleister beschränkt sich auf Daten des Zahlungskontos, für die der Kunde seine ausdrückliche Zustimmung erteilt hat.

Banken müssen einen Kommunikationskanal einrichten, der dritten Zahlungsdienstleistern den Zugriff auf die von ihnen benötigten Daten ermöglicht. Dieser Kommunikationskanal wird Banken und dritte Zahlungsdienstleister auch in die Lage versetzen, einander zu identifizieren, wenn sie auf Kundendaten zugreifen, und jederzeit eine sichere Übermittlung zu gewährleisten.

Banken können diesen Kommunikationskanal durch Anpassung ihrer im Rahmen des Online-Banking verwendeten Kundenschnittstelle einrichten. Sie können aber auch eine neue dezidierte Schnittstelle einrichten, über die alle vom Zahlungsdienstleister benötigten Informationen bereitgestellt werden.

Konkretisiert werden ferner die Vorkehrungen für den Notfall, die Banken treffen müssen, wenn sie sich für die Einrichtung einer dezidierten Schnittstelle entscheiden (den sogenannten „Fall-back-Mechanismus“). Diese Notfallmaßnahmen zielen darauf ab, die Betriebskontinuität sowie den fairen Wettbewerb auf diesem Markt zu gewährleisten.

Was macht eine gute dezidierte Kommunikationsschnittstelle aus?

Gemäß den technischen Regulierungsstandards werden alle Kommunikationsschnittstellen, ob dezidiert oder nicht, einem dreimonatigen „Prototyptest“ und einem dreimonatigen „Realitätstest“ unter Marktbedingungen unterworfen. Anhand dieser Tests werden die Marktteilnehmer sich ein Bild von der Qualität der von kontoführenden Zahlungsdienstleistern, u. a. Banken, eingerichteten Schnittstellen machen können.

Eine gute dezidierte Kommunikationsschnittstelle muss jederzeit denselben Grad an Verfügbarkeit und Leistung aufweisen wie die Schnittstellen, die Verbrauchern oder Unternehmen für den direkten Online-Zugriff auf ihr Zahlungskonto zur Verfügung stehen. Darüber hinaus darf eine dezidierte Schnittstelle die Bereitstellung von Zahlungsauslöse- oder Kontoinformationsdiensten nicht behindern.

Zahlungsdienstleister, einschließlich Banken, die sich für die Verwendung einer dezidierten Kommunikationsschnittstelle entscheiden, müssen für diese Schnittstelle transparente wesentliche Leistungsindikatoren und Service-Level-Ziele festlegen. Diese Leistungsindikatoren müssen mindestens so streng sein wie diejenigen, die für die von den Kunden genutzten Online-Zahlungs- und Online-Banking-Plattformen gelten.

Die Kommission befürwortet die Einrichtung einer Marktgruppe, der Vertreter von Banken, von Zahlungsauslöse- und Kontoinformationsdienstleistern sowie von Zahlungsdienstnutzern angehören sollen. Diese Gruppe wird die Qualität dezidierter Kommunikationsschnittstellen prüfen. Dieses Vorhaben geht auf die Arbeiten des Ausschusses für Massenzahlungen in Euro (Euro Retail Payments Board) im Bereich Zahlungsauslösedienste zurück.

Können Banken von der Verpflichtung, einen Fall-Back-Mechanismus einzurichten, freigestellt werden?

Ja, sie können von der Verpflichtung freigestellt werden, wenn sie eine voll funktionsfähige dezidierte Kommunikationsschnittstelle eingerichtet haben, die den in den technischen Regulierungsstandards festgelegten Qualitätsanforderungen entspricht. Die nationalen Behörden erteilen den einzelnen Banken die Freistellung nach Konsultation der EBA. Die EBA hat die Aufgabe sicherzustellen, dass die nationalen Behörden bei der Prüfung der Qualität dezidierter Schnittstellen vergleichbare Maßstäbe anlegen. Unterschiedliche Maßstäbe würden das reibungslose Funktionieren des Binnenmarkts für Massenzahlungen beeinträchtigen.

Eine nationale Behörde kann die Freistellung widerrufen, wenn eine dezidierte Kommunikationsschnittstelle die in den technischen Regulierungsstandards festgelegten Qualitätsanforderungen mehr als zwei aufeinander folgende Kalenderwochen lang nicht erfüllt. In diesem Fall verständigt die nationale Behörde auch die EBA. Die nationale Behörde stellt außerdem sicher, dass die Bank einen automatisierten Fall-Back-Mechanismus einrichtet. Dies muss so schnell wie möglich, in jedem Fall aber innerhalb von zwei Monaten erfolgen.

4. Schutz personenbezogener Daten

Wie werden personenbezogene Daten geschützt?

Sowohl im Rahmen der PSD2 als auch im Rahmen der Datenschutzrichtlinie können Kontoinhaber die Weitergabe ihrer personenbezogenen Daten kontrollieren (ab dem 25. Mai 2018 im Rahmen der Datenschutz-Grundverordnung). Ohne die ausdrückliche Zustimmung des Verbrauchers darf keine Datenverarbeitung erfolgen. Darüber hinaus sind Zugriff und Verarbeitung personenbezogener Daten durch die Zahlungsdienstleister auf diejenigen Daten beschränkt, die für die Erbringung der Dienste benötigt werden, zu denen der Verbraucher seine Zustimmung erteilt hat.

Die PSD2 regelt die Erbringung neuer Zahlungsdienstleistungen, die den Zugriff auf Daten des Zahlungsdienstnutzers erfordern. Dabei könnte es sich zum Beispiel um die Auslösung einer Zahlung vom Konto des Kunden oder um die zu Finanzverwaltungszwecken erfolgende Aggregierung von Informationen auf einem oder mehreren Zahlungskonten, die bei einem oder mehreren Zahlungsdienstleistern gehalten werden, handeln. Wenn ein Verbraucher diese neuen Zahlungsdienste nutzen möchte, muss er den betreffenden Dienstleister ausdrücklich zu deren Erbringung auffordern.

Die Zahlungsdienstleister müssen ihre Kunden darüber informieren, wie ihre Daten verarbeitet werden. Darüber hinaus müssen sie auch andere Rechte der Kunden im Rahmen der Datenschutzvorschriften gewährleisten, etwa das Recht auf Zugriff oder das Recht auf Vergessenwerden. Alle Zahlungsdienstleister (Banken, Zahlungsinstitute und neue Dienstleister) müssen bei der Verarbeitung personenbezogener Daten für Zahlungsdienste die Datenschutzvorschriften einhalten.

Auf welche Daten können dritte Zahlungsdienstleister im Rahmen des „Screen-Scraping“ zugreifen und welche Daten können sie in diesem Rahmen verwenden?

Der PSD2 zufolge dürfen dritte Zahlungsdienstleister ausschließlich auf Daten des Zahlungskontos zugreifen, für die der Kunde seine ausdrückliche Genehmigung erteilt hat. Der Zugriff auf diese Daten sowie deren Verwendung und Verarbeitung bedürfen der Zustimmung des Kunden.

Angesichts dieser neuen Vorschriften wird es nicht mehr zulässig sein, mit „Screen-Scraping“-Techniken auf Daten des Kunden zuzugreifen. Unter „Screen Scraping“ wird der unter Verwendung der Sicherheitsmerkmale des Kunden erfolgende Zugriff auf Daten über die Kundenschnittstelle verstanden. Mithilfe dieser Technik können dritte Zahlungsdienstleister ohne eine weitere Identifizierung gegenüber den Banken auf Kundendaten zugreifen.

Die Banken müssen einen Kommunikationskanal einrichten, der dritten Zahlungsdienstleister die Möglichkeit bietet, im Einklang mit der PSD2 auf die von ihnen benötigten Daten zuzugreifen. Der Kanal soll ferner Banken und dritte Zahlungsdienstleister in die Lage versetzen, einander beim Zugriff auf diese Daten zu identifizieren. Darüber hinaus wird der Kanal jederzeit eine sichere Übermittlung gewährleisten.

Banken können diesen Kommunikationskanal durch Anpassung ihrer im Rahmen des Online-Banking verwendeten Kundenschnittstelle einrichten. Sie können aber auch eine neue dezidierte Schnittstelle einrichten, über die alle von den jeweiligen Zahlungsdienstleistern benötigten Informationen bereitgestellt werden.

Die technischen Regulierungsstandards beinhalten auch Vorkehrungen, die Banken für den Notfall treffen müssen, wenn sie sich für die Einrichtung einer dezidierten Schnittstelle entscheiden. Dies wird einen fairen Wettbewerb und die Betriebskontinuität für dritte Zahlungsdienstleister gewährleisten.

5. Übergangszeit

Können dritte Zahlungsdienstleister während der Übergangszeit weiterhin Screen-Scraping durchführen?

Die Zeit zwischen dem Geltungsbeginn der PSD2 (13. Januar 2018) und dem Geltungsbeginn der technischen Regulierungsstandards (18 Monate nach Veröffentlichung des delegierten Rechtsakts im Amtsblatt der EU) ist als Übergangszeit konzipiert. Die Akteure des Zahlungsmarktes benötigen diese Übergangszeit, um ihre Systeme für die Zahlungssicherheit in der Weise zu verbessern, dass sie die Anforderungen der technischen Regulierungsstandards erfüllen.

Das bedeutet, dass die in den technischen Regulierungsstandards näher ausgeführten Bestimmungen der PSD2 zur starken Kundenauthentifizierung und zur sicheren Kommunikation nicht sofort gelten werden. Mit anderen Worten, die Anwendung der Sicherheitsmaßnahmen in den Artikeln 65, 67 und 97 der PSD2 beginnt erst mit der Anwendbarkeit der technischen Regulierungsstandards. Die Teile der Artikel 65, 67 und 97, die nicht an die technischen Regulierungsstandards gebunden sind, gelten hingegen ab dem 13. Januar 2018.

Die verzögerte Anwendung der technischen Regulierungsstandards dürfte in Bezug auf die Erbringung bestehender zahlungsbezogener Dienstleistungen durch Marktteilnehmer, die vor dem 13. Januar 2016 in den Mitgliedstaaten tätig waren, keine Schwierigkeiten bereiten. Artikel 115 Absatz 5 der PSD2 gewährleistet die Kontinuität dieser Dienste. Die betroffenen Zahlungsdienstleister sollten die einschlägige Genehmigung im Rahmen der PSD2 jedoch so bald wie möglich bei ihrer nationalen Behörde beantragen.

Neue Zahlungsauslösedienstleister und Kontoinformationsdienstleister, die an der Erbringung dieser Dienstleistungen interessiert sind, müssen die einschlägige Genehmigung für den Markteintritt während der Übergangszeit einholen.

MEMO/17/4961

Kontakt für die Medien:

Kontakt für die Öffentlichkeit: Europe Direct – telefonisch unter 00 800 67 89 10 11 oder per E-Mail


Side Bar