Angesichts einer überhitzt und leider nicht immer mit ausreichendem Hintergrundwissen geführten Diskussion, hier ein paar Klarstellungen:
Die EBA hat schon in ihrem Discussion Paper zu den PSD2 RTS vom 8.12.2015, dort Absatz 27ii. und Abschnitt 35, in ihrem Consultation Paper zu den PSD2 RTS vom 12.8.2016, Abschnitt 17 und 18, und in ihrem Final Report vom 23.2.2017 (Abschnitt 4.3.3 Comment 272 Frage 2) Satz 3) die Meinung vertreten, dass ein eMandate der starken Kundenauthentifizierung unterliegt. Im Consultation Paper findet sich auch bereits der Hinweis, dass hier eine SCA gemäß Art 97 Abs. 1 lit c) PSD2 erforderlich sein soll. Das ist nicht neu!
Wichtig ist auch zu wissen, dass die EBA eigentlich nicht zuständig ist für die Interpretation der Level 1-Texte. Deswegen findet sich in der Antwort zu Q&A Nr 2018_4359 auch ein Disclaimer. Letztlich müssen aktuell die Aufsichtsbehörden, d.h. für die meisten Banken und ZAG-Institute in Deutschland die BaFin und für einige Banken die EZB, zunächst entscheiden, ob sie dieser Auffassung folgen. Hier wäre sicherlich eine Guidance der BaFin hilfreich, weil bisher nicht klar ist, ob die BaFin auch diesen Level 1-Stellungnahmen der EBA uneingeschränkt folgen wird.
Auch gebe ich zu, dass die Stellungnahme der EBA für die anstehende technische Umsetzung bis zum 14.9.2019 spät kommt. Wer sich aber mal ein bisschen mit der Thematik befasst hatte, konnte die Antwort vorhersehen (s.o.) und hat seine Mandanten dahingehend beraten.
Noch eins: Wenn man einmal die Lastschrift mit Kreditkartenzahlungen vergleicht, dann wird man als Kenner der Materie feststellen müssen, dass beides Pull-Zahlungen sind, d.h. sie werden im Grunde durch den Zahlungsempfänger ausgelöst, nachdem der Zahler vorher diese Auslösung autorisiert hat. Strukturell ist also eine Lastschrift und eine Kreditkartenzahlung durchaus vergleichbar. Warum aber sollte die eine ganz eindeutig unter SCA fallen und die andere nicht? Man kann bei der Lastschrift mit dem 8-wöchigen Erstattungsrecht argumentieren. Aber SCA soll vor allem (natürlich nicht ausschließlich) die Zahlungsdienstleister gegen Fraud schützen und unter dem Blickwinkel fällt das 8-wöchige Erstattungsrecht zugunsten des Zahlers (Verbrauchers) nicht ins Gewicht, weil auch der Kartenzahler eine Erstattung verlangen kann, wenn er geltend macht, er habe die Zahlung nicht autorisiert.
Natürlich kann man die ganze SCA-Regelung als Unsinn bezeichnen und ich habe selbst innerhalb der politischen Verbandsarbeit sehr häufig darauf hingewiesen, dass die Regulierung im Ausgangspunkt nicht den technischen Markstandards, sondern einem mehr als 10 Jahre alten Standard entspricht, und in ihrer Komplexität nicht angemessen und deshalb nicht gerechtfertigt ist. Aber wir haben sie nun einmal jetzt und dann muss man sie auch gleichmäßig für alle Zahlungsarten anwenden, sonst entstehen Ungleichgewichte.
Das in aller Kürze!
