Nach PSD2 nun PSD3 und PSR (Folge 2): Wie erwartet, keine Revolution - Änderungen beim Zugang zu Zahlungskonten (XS2A) | Payment Services Law Blog | GÖRG Blog

Payment Services
Law Blog

Nach PSD2 nun PSD3 und PSR (Folge 2): Wie erwartet, keine Revolution - Änderungen beim Zugang zu Zahlungskonten (XS2A)

Informationen über

veröffentlicht am 06.07.2023

Kein Entgelt für Zugang zu Zahlungskonten

Für viele wird es enttäuschend sein, dass der von der Kommission am 28. Juni veröffentlichte PSR-Entwurf (EUR-Lex - 52023PC0367 - EN - EUR-Lex (europa.eu)) dem Wunsch vieler Institute eine harte Absage erteilt, den Zugang zu Zahlungskonten entgeltpflichtig zu stellen. Ein kontoführender ZDL darf nach Art 34 des PSR-Entwurfs für den Kontozugang keine vertragliche Vereinbarung mit dem Open Banking Provider verlangen (Art. 34 (1) PSR-Entwurf). Dies war bereits in der PSD2 so geregelt; seitens der Industrie gab es zahlreiche Anläufe, hier (ähnlich wie beim Zugang zu Stromnetzen oder Schienennetzen üblich) die Möglichkeit eines angemessenen Entgeltes vorzusehen. In dem Entwurf des FIDA (Art 5 (2) Framework for Financial Data Access Act (EUR-Lex - 52023PC0360 - EN - EUR-Lex (europa.eu))) ist genau das vorgesehen; der Inhaber der Daten darf vom Datennutzer eine Vergütung verlangen.

Ich gehe davon aus, dass das letzte Wort hier noch nicht gesprochen ist.

Dedicated Interface wird zwingend, keine einheitliche API

Im Rahmen der PSD2 war sie optional; jetzt soll es verpflichtend werden: Kontoführende ZDL müssen eine dedizierte Zugangsschnittstelle für Open Banking-Provider einrichten. Eine dedizierte Fallback-Schnittstelle soll nicht erforderlich sein.

Wie angekündigt, enthält der PSR-Entwurf keine Regelung einer vom Gesetzgeber vorgegebenen technischen Beschreibung einer API. Diese muss (nur) den Spezifikationen einer europäischen oder internationalen Standardisierungsorganisation genügen; man wird davon ausgehen können, dass die Berlin Group Standards dazugehören. Die einzelnen Anforderungen an die dedizierte Schnittstelle sollen nun sehr umfassend direkt in der PSR geregelt werden, insbesondere für Auslösedienste. Darin ist auch vorgesehen, dass zukünftig Lastschriften ausgelöst werden können. Sehr umfassend sind die Pflichten des kontoführenden ZDL zur Vorsorge gegen den Ausfall der dedizierten Schnittstelle. Hier treffen ihn vor allem Informationspflichten. Als Ausnahme hiervon können kontoführende ZDL bei der Aufsichtsbehörde beantragen, statt der dedizierten Schnittstelle nur die reguläre Kundenschnittstelle oder gar keine Schnittstelle für Open Banking-DL anbieten zu dürfen. Dies wird aber voraussichtlich nur kontoführende ZDL erlaubt werden, die ein besonderes Geschäftsmodell haben.

Den Zugang zur Kundenschnittstelle soll der kontoführende ZDL zukünftig nur gewähren müssen, wenn dies vorher bei der Aufsichtsbehörde im Notfall angefragt wurde (Art. 38 (3) PSR-Entwurf), dann aber auch sofort, d.h. ohne explizite Anordnung der Aufsichtsbehörde (Art. 38 (5) PSR-Entwurf).

Das ist eine Änderung des bisherigen Konzepts unter den PSD2-RTS. Man kann auf die Diskussion im Gesetzgebungsverfahren gespannt sein.

Permission-Dashboards

Neu sind auch die sogenannten Permission-Dashboards (Art. 43 PSR-Entwurf), die dem Nutzer eine Übersicht über die von ihm erteilten Erlaubnisse geben sollen. Die Einrichtung soll dem kontoführenden ZDL obliegen. Dies wird dem Nutzer zukünftig mehr Transparenz gewähren, wer auf sein Konto zugreifen darf und dies auch tut. Hier müssen dem Nutzer die Namen der Open Banking-Dienstleister angezeigt werden, denen er eine Zustimmung erteilt hat, die Konten, auf dies sie sich bezieht, den Zweck der Zustimmung, Dauer der Zustimmung, Datenkategorien. Auch ansonsten muss das Permission-Dashboard umfassend die Verwaltung der Permissions (Widerruf, Neuerteilung) erlauben. Darüber müssen der kontoführenden ZDL sowie die verschiedenen Open Banking-DL nach dem PSR-Vorschlag laufend Informationen austauschen.

Erleichterung der SCA für Kontoinformationsdienstleister

Eine interessante Nachricht für Kontoinformationsdienstleister: Die EU-Kommission schlägt vor, eine starke Authentifizierung nur bei der erstmaligen Anmeldung eines Kontoinformationsdienstleisters zu fordern und danach nicht mehr (Art. 86 (3) PSR-Entwurf). Dies würde es Kontoinformationsdienstleistern sehr viel einfacher machen, in der Zukunft ihre Dienste laufend anzubieten. Im Gegenzug müssen Sie dafür selbst dem Kunden eine SCA abverlangen, wenn dieser auf die Kontoinformationen zugreifen will, die der Kontoinformationsdienstleister abgerufen hat (Art. 86 (4) PSR-Entwurf). In diesem Zusammenhang stellt sich sofort die Frage, ob dies auch gilt, wenn die Kontoinformationen für Dritte (z.B. zur Bonitätsprüfung des Kunden) verwendet werden sollen.

Soweit zu XS2A. Anmerkungen oder Hinweise hierzu immer gerne direkt an den Autor.

  • xing
  • linkedin
  • twitter
Kategorien

, ,

← Vorheriger Artikel
Nächster Artikel →