Am 12. August 2016 ging die Europäische Bankaufsichtsbehörde zum zweiten Mal auf die interessierte Öffentlichkeit zu, um eine Reihe von Regelungen (technische Regulierungsstandards) vorzubereiten, die einen großen Einfluss auf die Zahlungsverkehrsbranche haben könnten. Unter der Payment Services Directive 2 (PSD2) ist die EBA verpflichtet, die technischen Regulierungsstandards für die Spezifizierung der Anforderungen an die starke Kundenauthentifizierung, den Schutz der Vertraulichkeit und Integrität der personalisierten Sicherheitsdaten des Zahlungsdienstnutzers und die gemeinsame und sichere Kommunikation zwischen Zahlungsdienstleistern festzulegen.
Die politische Herausforderung
Die Verordnung zur starken Kundenauthentifizierung kann die Nutzung bestimmter Zahlungs-methoden im Vergleich zu anderen erschweren und könnte somit das Verhalten der Verbraucher beeinflussen. Umfangreiche Bestimmungen zum Schutz der personalisierten Sicherheitsdaten verlagern das Haftungsrisiko für Missbrauch/Betrug aufgrund von Verlust und Diebstahl solcher Sicherheitsdaten auf die Zahlungsdienstleister. Regelungen zur sicheren Kommunikation könnten einerseits einen wesentlichen Einfluss auf das Geschäft von Zahlungsinitiierungsdienstleistern und Kontoinformationsdienstleistern ausüben; andererseits sind Account Service-Dienstleister über die Integrität ihres Online-Bankings und die Kosten, die das Aufrechterhalten dieser Integrität verursacht, beunruhigt.
Die Lösung der EBA zur starken Kundenauthentifizierung
Grundsätzlich versucht die Europäische Bankaufsichtsbehörde davon abzusehen, zu viele detaillierte Regelungen zum Verfahren der starken Kundenauthentifizierung zu schaffen, wenn die PSD2 die Nutzung zweier unabhängiger Faktoren aus Wissens-, Besitz- und/ oder Inhärenz-Elementen verlangt.
Dennoch könnten einige der vorgesehenen Regelungen und manche Anmerkungen der EBA schwer zu akzeptieren sein: Für Zahlungen über mobile Endgeräte oder Applikationen sollen die Programme, in denen die Höhe und der Zahlungsempfänger der Transaktion gezeigt werden und der Authentifizierungscode generiert wird, unabhängig oder getrennt sein von dem Programm, in dem die Zahlung eingeleitet wird. Darüber hinaus muss der Zahlungsdienstleister sicherstellen, dass die zur starken Kundenauthentifizierung genutzten Elemente unabhängig im Hinblick auf die benutze Technik, Algorithmen und Parameter sind. Diese Voraussetzungen wurden unter den EBA Leitlinien von Dezember 2014 ähnlich angehoben, können jedoch immer noch eine Herausforderung für mobile Bezahlungsfunktionen darstellen. Hinsichtlich der Inhä-renz-Elemente ist bemerkenswert, dass die EBA in ihren erläuternden Bemerkungen die Nutzung von Verhaltensdaten ausschließt; allerdings wurde diese Regelung nicht explizit in die vorgeschlagenen technischen Regulierungsstandards einbezogen. Es ist erfreulich, dass die EBA die Möglichkeit befürwortet, Prozesse zur starken Kundenauthentifizierung basierend auf den Leistungen eines Vertrauensdiensteanbieters im Sinne der e-IDAS Verordnung einzuführen; diese Möglichkeiten werden zur Zeit von vielen Zahlungsdienstleistern und technischen Dienstleistern erforscht.
Hinsichtlich der Auslöser für starke Kundenauthentifizierung erklärt die EBA, dass neben Überweisungen und Kartenzahlungen auch elektronische Einzugsermächtigungen dieser Vorausset-zung unterfallen. Die EBA vertritt die Ansicht, dass das Mandat eine zweifache Ermächtigung sowohl für den Zahlungsdienstleister des Zahlungsempfängers als auch den des Zahlenden darstellt. Dies sei ein Handeln durch einen Remote-Kanal, der das Risiko des Zahlungsbetruges oder Missbrauchs schaffen könnte. Während sich diese Ausführungen mit der Ansicht der BaFin über SEPA DD Mandate unter den EBA Richtlinien decken, hat die BaFin jedoch gleichzeitig die sogenannte „Internetlastschrift“ ohne starke Kundenauthentifizierung akzeptiert, solange diese nicht den Zahlungsdienstleister des Zahlenden gleichzeitig autorisiert.
Nachvollziehbar ist, dass die EBA in ihrem Entwurf eine regelmäßige Überprüfung der Prozesse zur starken Kundenauthentifizierung jedes Zahlungsdienstleisters verlangt. Dies ist aus der Perspektive des Risikomanagements und der Risikokontrolle unerlässlich.
Insgesamt sieht es danach aus, dass die EBA sich nicht wesentlich in die Bemühungen der Branche einmischt, Authentifizierungsprozesse zu entwickeln, die gleichzeitig sicher und kom-fortabel sind.
EBA verschärft Einschätzung der Ausnahmeregelungen
Zu Ausnahmeregelungen vertritt die EBA hingegen einen anderen Standpunkt. In ihrem Leitfaden aus dem Jahr 2014 war sie gegenüber der Befreiung bestimmter Transaktionstypen auf Grundlage einer Transaktionsrisikenanalyse, welche durch den jeweiligen Zahlungsdienstleister durchgeführt wurde, noch relativ aufgeschlossen. Nun, im Jahre 2016, verfolgt die EBA eine wesentlich härtere Herangehensweise, indem sie sehr begrenze Fälle aufzählt: Eine starke Kundenauthentifizierung muss nicht durchgeführt werden, (i) wenn der Zahlende online auf sein Zahlungskonto zugreift ohne sensible Zahlungsdaten offenzulegen, (ii) wenn der Zahlende einen kontaktlosen elektronischen Zahlungsvorgang initiiert, wenn der Betrag 50 EUR nicht über-schreitet oder die kumulierten Beträge der vorangegangenen Transaktionen der gleichen Ausnahmeregelung den Betrag von 150 EUR nicht überschreiten, (iii) wenn der Zahlungsempfänger einer Überweisung in einer Liste von Begünstigten (auch bekannt als „Weiße Liste“) eingetragen ist, (iv) wenn der Zahlende eine Reihe von Überweisungen mit dem gleichen Betrag und dem gleichen Zahlungsempfänger einleitet, (v) bei Überweisungen, wenn der Zahlende und der Zahlungsempfänger die gleiche natürliche oder juristische Person sind und die Konten bei dem gleichen Zahlungsdienstleister unterhalten werden, (vi) wenn der Zahlende eine elektronische Fernzahlung initiiert und der jeweilige Betrag 10 EUR nicht übersteigt oder die kumulierten Beträge der vorangegangen Zahlungen, welche die gleiche Freistellung nutzten, 100 EUR nicht überschreiten.
Während die EBA kontaktfreie POS Zahlungen über den derzeitigen EMV Standard von 25 EUR hinaus unterstützt, ist sie im Hinblick auf elektronische Fernzahlungen, die 10 EUR über-schreiten, sehr strikt. In diesem Kontext mag es als Fehlgriff erscheinen, dass mobile POS Zahlungen – die ja aufgrund der Nutzung eines Kommunikationsgerätes Fernzahlungen sind – selbst wenn die NFC Technologie genutzt wird unter das 10 EUR Limit fallen würden, während NFC Kartenzahlungen am POS bis zu einem Betrag von 50 EUR ausgenommen wären.
Da elektronische Fernzahlungen der erweiterten Kundenauthentifizierung unterfallen, also eine dynamische Verbindung zwischen Transaktion, Zahlungsempfänger und Zahlungsbetrag enthalten sein muss, könnte die EBA darüber nachdenken, mobile Bezahlung am POS in die 50 EUR Ausnahme einzubeziehen.
Die Ausnahme der „Weißen Liste“ existierte schon im EBA Leitfaden von 2014. Die EBA hat hierzu jedoch ergänzt, dass die Liste der Begünstigten bei dem kontoführenden Zahlungs-dienstleister erstellt werden muss. Die EBA erläutert diese Voraussetzung nicht weiter; man könnte sie dennoch dahingehend interpretieren, dass die Zustimmung des kontoführenden Finanzdienstleisters zur Weißen Liste erforderlich ist. Dies würde den Zahlungsdienstleistern die Möglichkeit eröffnen, der Weißen Liste des Zahlenden zu widersprechen, falls der Zahlungsdienstleister den durch den Zahlenden einbezogenen Begünstigten für nicht vertrauenswürdig hält.
Während die EBA in ihrem Entwurf Ausnahmen für eine Reihe von Überweisungen geschaffen hat, gilt dies nur, wenn der Betrag und der Zahlungsempfänger identisch sind, d.h. für wiederkehrende Überweisungen. Die EBA befreit jedoch nicht – zumindest nicht ausdrücklich – Überweisungen, die der Zahlende als Masse autorisieren möchte. Daher wäre es vernünftig, eine starke Kundenauthentifizierung nur pro Massenüberweisung zu verlangen. Dies wäre von besonderem Interesse für Kassenwarte oder Unternehmensbuchhaltungen, die in der Regel Überweisungen im Laufe des Tages sammeln und diese gemeinsam autorisieren und absenden. Auch wenn die EBA in ihren Erläuterungen (über Dynamic Links) zu erwägen scheint, dass die starke Kundenauthentifizierung nur einmal für die gesamte Masse durchgeführt werden muss, ist dies jedoch nicht explizit in den Entwurf für technische Regulierungsstandards einbezogen. Es wäre hilfreich, wenn die EBA eine ausdrückliche Ausnahme für solche Massenüber-weisungen ergänzen würde, da die PSD2 ansonsten eine starke Kundenauthentifizierung für jede einzelne Überweisung einer Massenüberweisung erforderlich machen würde.
Verglichen mit diesen Ausnahmen erscheint es eigenartig, dass die EBA keine Transaktionsrisikoanalyse vorgesehen hat. Insbesondere in Anbetracht der Ausnahme der Weißen Liste, bei der der Zahlende seine eigene „Begünstigten-Risikoanalyse“ durchführen muss, sollte die EBA Zahlungsdienstleistern diese Flexibilität gewähren. Die 10 EUR Ausnahme für elektronische Fernzahlungen scheint dagegen ein sehr zurückhaltender Ansatz. Es hat den Anschein, dass die EBA Angst vor der uneinheitlichen Interpretation einer solchen Ausnahme in den unterschiedlichen Rechtsordnungen hat, die eine Zersplitterung des europäischen Zahlungsmarktes hervorrufen könnte. Dies erscheint jedoch übertrieben. Im Falle der Realisierung einer solchen Ausnahme stünde es der EBA frei, die zuständigen Behörden der Mitgliedstaaten mit einem ausreichenden Regelwerk zur Interpretation einer solchen Ausnahme auszustatten; darüber hinaus wäre die EBA in Zusammenarbeit mit der EU-Kommission unter PSD2 flexibel genug, um die Regulierungsstandards zu erneuern oder zu ändern, sollte die Entwicklung des Marktes dies erforderlich machen. In ihrem Konsultationspapier befasst sich die EBA des Weiteren mit der Frage, ob die Ausnahmen für den Zahlungsdienstleister verbindlich sein sollten. Wäre dies anzunehmen, so wäre es dem Zahlungsdienstleister nicht gestattet, in diesen Fällen eine starke Kundenauthentifizierung durchzuführen.
Dies erschiene korrekt, wenn die Ausnahmen nur für strikt definierte Zahlungsmethoden und Beträge zur Verfügung stünden. Die Ausnahme der Weißen Liste wäre als zwingend hinnehmbar, wenn der Zahlungsdienstleister das Recht hätte, die Auswahl der Begünstigten des Zah-lenden (seines Kunden) abzulehnen.
In diesem Zusammenhang sollte man den Aspekt der Haftung jedoch nicht außer Acht lassen: Verlangt der Zahlungsdienstleister des Zahlenden keine starke Kundenauthentifizierung, so verlagert dies die Haftung für (vermeintlich) unautorisierte Zahlungen auf den Zahlungsdienstleister und erschwert dessen Beweislast. Solange die PSD2 nicht die Beweislast für den Zahlungsdienstleister in ausgenommenen Fällen erleichtert, sollte es in der Verantwortung des (Karten ausstellenden, das Konto betreibenden) Zahlungsdienstleisters liegen, zu entscheiden, die starke Kundenauthentifizierung durchzuführen oder nicht.
Kommunikationsschnittstellen als Wegbereiter von Geschäften unter anderem für Zahlungsinitiierungsdienstleistungen
Zahlungsinitiierungsdienstleister müssen mit dem das Konto des Zahlenden führenden Dienstleister kommunizieren, um die Zahlung zu veranlassen. Sind sie dazu nicht in der Lage, so können sie ihre Dienstleistungen nicht erbringen. Andererseits müssen Banken und andere Dienst-leister die Kundenkonten führen und die Zuverlässigkeit ihres Online-Banking Systems sicher-stellen.
Dies war Gegenstand der Debatte über „TPPs“ (Dritter Zahlungsdienstleister) während des ursprünglichen Gesetzgebungsverfahrens zum Vorschlag der PSD2 seitens der EU-Kommission. In diesen frühen Stadien empfahlen die EZB und das EU-Parlament nachdrücklich einen einheitlichen technischen Standard für eine einheitliche europäische sichere Schnittstelle. Die endgültige PSD2 verpflichtet die EBA nun lediglich zum Entwurf technischer Regulierungs-standards zur gemeinsamen und sicheren Kommunikation.
Als Reaktion auf das Diskussionspapier der EBA vom Dezember 2015 haben einige Berufsverbände der Banken vorgeschlagen, dass kontoführende Zahlungsdienstleister eine der Kommunikation mit Zahlungsinitiierungsdienstleistern dienende Schnittstelle einrichten sollen. Diese gaben zu verstehen, dass eine solche Schnittstelle im Vergleich zu denen, welche durch jeden Zahlungsdienstnutzer herangezogen werden, nicht zuverlässig sei und daher Zahlungsinitiierungsdienstleistern, sollten sie ausschließlich auf eine solche Schnittstelle vertrauen, schaden könnte.
Die EBA stellte dabei klar, dass jeder kontoführende Zahlungsdienstleister mindestens eine Kommunikationsschnittstelle zur Verfügung stellen muss, die sichere Kommunikation mit Zahlungsinitiierungsdienstleistern, Kontoinformationsdienstleistern und Zahlungsdienstleistern, welche kartenbasierte Zahlungsinstrumente ausgeben, ermöglicht. Diese Schnittstelle muss dokumentiert und auf der Website des kontoführenden Zahlungsdienstleisters frei zugänglich sein. Darüber hinaus ist es erforderlich, dass die Kommunikationsschnittstelle allgemeine und offene Standards nutzt, die durch internationale oder europäische Normungsgremien entwickelt wurden (z.B. ISO 20022). Gegenstand des Entwurfes seitens der EBA ist auch der Grundsatz der Gleichbehandlung solcher overlay services Dienstleister und jedem Zahlungsdienstnutzer: Dies bedeutet, dass die Kommunikationsschnittstelle, die der kontoführende Zahlungsdienstleister den overlay services Dienstleistern zur Verfügung stellt, die gleichen Funktionen und das gleiche Maß an Verfügbarkeit und Support haben muss, wie die Online Plattform, die dem Zahlungsdienstnutzer bereitsteht. Des Weiteren wird verlangt, dass die Datenelemente, die durch den kontoführenden Dienstleister zur Verfügung gestellt werden, die gleichen Informationen enthalten, die auch dem Zahlungsdienstnutzer zur Verfügung gestellt werden.
Ausblick
Die EBA hat die interessierte Öffentlichkeit darum gebeten, auf das Konsultationspapier bis zum 12. Oktober 2016 zu reagieren. Im Vorfeld dieser Deadline gab es am 23. September 2016 eine öffentliche Anhörung bei der EBA in London. Dieser ausführliche Konsultationsprozess ist sowohl für die EBA als auch für die Branche sehr hilfreich und hebt hervor, dass die EBA die technischen Regulierungsstandards für sehr branchenrelevant hält, was sicherlich richtig ist.
Die EBA plant die Veröffentlichung des finalen Entwurfs am 12. Januar 2017. Unter der PSD2 muss sie diesen Entwurf bis zum 13. Januar 2017 der EU Kommission vorlegen, welche ihn dann als delegierte Verordnung verabschieden wird. 18 Monate nach dieser Verabschiedung durch die EU-Kommission, also voraussichtlich im Oktober 2018, werden die Regulierungsstandards in Kraft treten. Bis dahin wird die starke Kundenauthentifizierung den Regelungen der EBA Leitlinien vom Dezember 2014 unterfallen und nur auf solche Zahlungen anwendbar sein, die in eben diesen vorgesehen sind – vorausgesetzt, diese Leitlinien wurden durch die innerstaatlich zuständigen Behörden übernommen.