Nach PSD2 kommt PSR und PSD3 (Folge 4) – Über SCA-Auslagerungen an Apple, Google und Samsung, Authentifizierung bei MOTO, Lastschrift und SCA u.v.m.

veröffentlicht am 21.07.2023

Die EU-Kommission hat am 28.6.2023 die Entwürfe für die zukünftige Zahlungsregulierung vorgelegt. In mehreren Folgen wurden hier bei payment-law.eu die Auswirkungen betrachtet. In Folge 1 ging es um den Anwendungsbereich der zukünftigen PSD3 und PSDR. In Folge 2 um die Neuregelungen des Zugangs zu Zahlungskonten (XS2A) und in Folge 3 um Gebühren und Kosten für Zahlungsdienste.

Heute (Folge 4) wollen wir die Vorschläge der Kommission zur starken Kundenauthentifizierung (SCA) einmal näher beleuchten. Hier geht es um Details. Die Vorschläge sind davon gekennzeichnet, bestehende und neu entstandene Lücken bei der Betrugsbekämpfung im Rahmen von Zahlungsdiensten zu schließen und ansonsten die Regulierung weiter zu verfeinern.

Systemfremd: Neuer SCA-Tatbestand des Zugriffs auf Kontoinformationen gehört nicht in die PSR

Es mutet zunächst konsequent an, wenn die Kommission in dem neuen Art. 85 (1) (b) PSR-Entwurf nun eine SCA nicht nur beim Zugriff auf das Zahlungskonto, sondern auch beim Zugriff auf Zahlungskonto-Informationen verlangen will. Schließlich ist ja auch der Kontoinformationsdienst seit der PSD2 reguliert und registrierungspflichtig.

Der Vorschlag sollte jedoch wieder gestrichen werden. Aufgabe der Zahlungsregulierung ist es nicht oder allenfalls sekundär, den Zugang zu den Daten des Zahlungsdienstenutzers (PSU) zu schützen; hierfür ist die Datenschutz-Regulierung zuständig.

Die vorgeschlagene Neuregelung wird auch nur verständlich, wenn man gleichzeitig den Vorschlag zu SCA bei Kontoinformationsdiensten (Art. 86 (3) und (4) PSR-Entwurf) betrachtet. Hiernach soll der Kontoinformationsdienstleister nur bei seinem allerersten Zugriff auf ein Zahlungskonto eine SCA erbringen müssen (und nicht wie bisher alle 90 bzw. nunmehr alle 180 Tage). Flankierend wird vorgeschlagen, dass der Kontoinformationsdienstleister selbst dem PSU eine SCA verlangt, wenn dieser auf die abgerufenen Informationen zugreifen will.

Ob man letzteres für gerechtfertigt hält oder nicht, mag zunächst dahinstehen. Hier stellt sich beispielsweise die Frage, ob auch Dritte (z.B. Plattformen zur Kreditwürdigkeitsprüfung) sich für den Zugriff auf die Kontoinformationen authentifizieren müssen. Die sieht die Regulierung nicht vor.

Letztlich ist es Sinn und Zweck von SCA, die berechtigte Nutzung von Zahlungsmitteln und Zahlungsinstrumenten zu überprüfen und nicht den Umgang mit Daten. Dies sollte Gegenstand der vertraglichen Abreden zwischen Kontoinformationsdienstleistern und PSU sein. Art. 85 (1) (b) PSR ist der falsche Ort für Vorgaben hierzu; die Regelung sollte gestrichen werden.

Zahlreiche Neuerungen im Rahmen von Ausnahmebestimmungen

Die Regulierung und Anwendung von SCA-Ausnahmen war im Rahmen der Umsetzung der PSD2 Gegenstand intensiver Diskussionen und zahlreicher Schwierigkeiten.

Im Rahmen der Reform versucht die Kommission, einige davon zu bewältigen. Hier wird es aber vor allem auf die Ausgestaltung von neuen regulatorisch-technischen Standards zu Kleinbetragsausnahmen, Transaktionsrisikoanalyse u.v.m. durch die EBA und die Kommission ankommen; dazu enthält der PSR-Entwurf vor allem Ermächtigungen.

Beschränkte Authentifizierungsmaßnahmen bei MOTO

Dezidierte Regelungen finden sich vor allem zu dem bisher ausgenommenen Bereich MOTO (Art 85 (7) PSR-Entwurf), wenn also die Auslösung des Zahlungsvorgangs "nicht-digital" ist. Gedacht ist an papierbasierte Zahlungsaufträge per Post oder Fax oder an Zahlungsabwicklung über Telefon (Callcenter); auch E-Mail dürfte hierunter fallen.

Diese sollen nicht der SCA unterworfen werden; gefordert sind aber Sicherheitsvorkehrungen und Prüfungen durch den PSP des Zahlers, die eine Form der Authentifizierung erlauben. Dieser Vorschlag ist sicherlich sinnvoll und wurde erwartet.

Das Problem hierbei dürfte der Medienbruch sein, der es dann erfordern wird, dass der Zahler dem (Callcenter-)Mitarbeiter des Händlers die vorgesehenen Authentifizierungsdaten (PIN, TAN, sonst geheime Daten) offenlegt. Die Vertraulichkeit lässt sich hierbei nicht wahren. Möglicherweise bedarf es hier noch weiterer Ausgestaltung der Regulierung.

MIT und Lastschrift ausgenommen

Für viele Beteiligte in der Industrie dürfte es eine Erleichterung sein: Die Kommission schlägt vor (Art. 85 (2) PSR-Entwurf), MIT und Lastschrift weiterhin von den SCA-Anforderungen auszunehmen, sofern diese ohne eine Interaktion oder eine Involvierung des Zahlers ausgelöst werden. Dies entspricht dem bisherigen Verständnis dieser Zahlarten. Selbst in Online-Transaktionen soll dies weiterhin der Fall sein (Art. 85 (6) PSR-Entwurf), wenn Lastschrift-Mandate ohne die direkte Involvierung eines PSP zustande kommen, was in der Regel anzunehmen ist.

Neuregelung der Haftung im Bereich der SCA-Ausnahmen

Seit der PSD2 (bzw. deren Umsetzung) gilt eine verschärfte Haftung des PSP, wenn dieser seine Pflicht zur SCA nicht erfüllt. In Deutschland und teilweise auch im EU-Ausland wurde vor allem in der rechtswissenschaftlichen Literatur (so bereits Terlau, ZBB 2016, 122) vertreten, dass diese verschärfte Haftung im Rahmen der SCA-Ausnahmen nicht greifen darf. Dieser Meinung wird nun gesetzgeberisch eine Absage erteilt; nach Art 60 (2) Satz 2 PSR-Entwurf sollen bei Nutzung einer Ausnahme dieselben Haftungsregelungen Anwendung finden, wie bei der Nichterfüllung der Pflicht zur SCA. Wenn der PSP des ZE (Händlers) die Ausnahme anwendet, soll er allerdings dafür gegenüber dem PSP des Zahlers (Art 60 (3) PSR-Entwurf) haften.

Die Neuregelung in Art. 60 (2) Satz 2 PSR-Entwurf mag man vor allem deshalb kritisieren, weil hier dem PSU durch Nutzung von SCA-Ausnahmen mehr Nutzerfreundlichkeit (Convenience) zugute kommt und er deshalb bereit sein sollte, einen geringeren Schutz (durch geringere Haftung des PSP) in Kauf zu nehmen. Dies wird besonders deutlich bei der Ausnahme des White Listing, wo der PSU selbst über die Anwendung der Ausnahme entscheidet und in den geringeren Schutz ausdrücklich einwilligt. Auch dem ZE (dem Händler) kommt die Nutzung der SCA-Ausnahmen durch eine höhere Conversion zugute. Hier dem PSP des Zahlers ein höheres Haftungsrisiko bei SCA-Ausnahmen aufzuerlegen, erscheint deshalb nicht gerechtfertigt.

Haftung für Social Engineering

Hier soll auch die neue Haftung der PSP bei Social Engineering Fraud erwähnt werden (vgl. dazu bereits meine Ausführungen in IT-Finanzmagazin vom 27.6.2023; hier im Blog payment-law.eu verlinkt). Dies wird in einer späteren Folge noch weiter zu behandeln sein. Dies ist ebenfalls von dem Bestreben der Kommission getragen, bestehende Lücken bei der Bekämpfung von Betrug bei Zahlungsvorgängen zu schließen.

Zugang zu SCA-Applikationen für behinderte oder ältere Personen etc.

Ein besonderes Anliegen sowohl der Kommission als auch der EBA bereits im Vorfeld der Reformvorschläge (Retail Payment Strategy der Kommission vom Oktober 2020, EBA Opinion vom Juni 2022) war es, alle Nutzergruppen den Zugang zu SCA und zu online-Zahlungsvorgängen zu ermöglichen. Behinderte oder ältere Personen sowie solche, die geringere digitale Erfahrung haben oder nicht über ein digitales Endgerät verfügen, standen infolge der SCA-Einführung durch die PSD2 vor Schwierigkeiten der Umsetzung.

Im Rahmen der Reform sollen deshalb die PSP verpflichtet werden, nicht nur eine einzige digitale Technologie oder ein einziges Gerät oder einen Mechanismus oder den Besitz eines Smartphone für SCA vorzusehen. Hier sind also zusätzliche technische Entwicklungen insbesondere bei den kartenausgebenden und den kontoführenden PSP gefordert.

Apple, Google, Samsung und die (Auslagerungs-)Regulierung von digital pass-through wallets

Dezidiert greift der Vorschlag der Kommission ein Thema auf, das die Zahlungsindustrie, insbesondere die kartenausgebenden PSP, nun seit mehreren Jahren beschäftigt. Der wirtschaftliche Erfolg von Apple Pay, Google Pay und Samsung Pay täuscht nicht darüber hinweg, dass es hier nach wie vor ungelöste Probleme gibt.

Zwar nicht in der Regulierung selbst, sondern nur in den Erwägungsgründen (EWG 24, 119 PSR-Entwurf) werden nunmehr Betreiber von digital pass-through wallets definiert und regulatorische Vorgaben formuliert. Ein digital pass-through wallet liegt danach vor, wenn in einer Softwareapplikation eine tokenisierte Form eines Zahlungsinstruments gespeichert und für Zahlungsvorgänge genutzt werden kann. (EWG 24 grenzt dies übrigens von sog. staged wallets - wie z.B. PayPal – ab, die selbst Zahlungsinstrument sind und bei denen es – wie wir aus EBA Q&A 2018_4133 wissen - um die Frage der Regulierung des Auflade-Zahlungsvorgang geht.)

Die wichtigste Frage im Zusammenhang mit digital pass-through wallets wird aber in dem Vorschlag der Kommission nicht gelöst und kann hier auch nicht gelöst werden, weil es sich um eine technische Frage handelt: Die Frage nämlich, inwieweit der Betreiber eines digital pass-through wallets (z.B.) den Fingerprint oder Face-ID des Zahlers selbst prüft, wie dieser also bei Abwicklung eines Zahlungsvorgangs in die Prüfung der Elemente der SCA involviert ist.

Ist letztere Involvierung von Apple, Google oder Samsung (tatsächlich) gegeben, so regelt nun Art. 87 PSR-Entwurf, dass in diesem Fall der kartenausgebende PSP mit dem Betreiber des digital pass-through wallet einen Auslagerungsvertrag schließen muss, der verschiedene Elemente zu enthalten hat: Erlaubnis an den Betreiber zur Verifizierung der SCA, die Verpflichtung des Betreibers zu wesentlichen Sicherheitsvorkehrungen sowie schlussendlich das Recht des PSP zur Prüfung und Kontrolle der Sicherheitsvorkehrungen.

Ob in diesem Fall eine wesentliche Auslagerung vorliegt, sagt die Regulierung nicht. Die Vorgabe in Art 87 PSR-Entwurf der Prüfungs- und Kontrollrechte des kartenausgebenden PSP könnte den Rückschluss zulassen, dass der Regulierer von einer wesentlichen Auslagerung ausgeht. Legt man die Kriterien für eine wesentliche Auslagerung zugrunde, so erscheint dies bei einer SCA-Auslagerung aber nicht zwingend. Verkürzt geht es ja darum, dass für den auslagernden PSP wesentliche Risiken entstehen, sollte der Dienstleister, hier der Betreiber der digital pass-through wallet, SCA-Maßnahmen nicht oder schlecht durchführen. Es erscheint also nicht zwingend, hier von einer Wesentlichkeit auszugehen.

Ich denke, dass die vorgeschlagene Regelung des Art. 87 PSR-Entwurf noch weiter überdacht werden muss. Insbesondere der letzte Halbsatz zu Prüfungs- und Kontrollrechten des kartenausgebenden PSP sollte wenigstens dahingehend ergänzt werden, dass er (nur) „risikoangemessene“ Rechte verlangt. Das könnte nämlich bedeuten, dass ein Institut, welches die Auslagerung von SCA (zurecht) als nicht-wesentliche Auslagerung einschätzt, hier von Prüfungs- und Kontrollrechten absehen könnte.

SCA beim onboarding für digital pass-through wallets

In den Erwägungsgründen spricht die Kommission auch das Thema der Authentifizierung des PSU und des entsprechenden mobilen Endgerätes im Rahmen der erstmaligen Tokenisierung bei digital pass-through wallets an. Für kartenausgebende PSP stellen sich hier ähnliche Probleme wie insgesamt bei der Auslagerung der SCA-Prüfung an die Betreiber.

SCA-Unterstützung durch technische Dienstleister und durch Payment Schemes (Visa, Mastercard u.a.)

Lediglich in den Erwägungsgründen spricht die Kommission ihren Wunsch aus, dass auch technische Dienstleister (z.B. Issuing Processing Provider oder Acquiring Processing Provider) und Payment Schemes (Visa, Mastercard u.a.) in ihrem Bereich die Durchführung von SCA unterstützen sollen. Im Falle einer mangelhaften Unterstützungsleistung solle hierfür eine Haftung dieser Beteiligten des Zahlungssystems gegenüber den PSPs des ZE und des Zahlers bestehen. Unklar bleibt, worauf die Kommission eine solche Haftung will. Eine dezidierte Regelung findet sich in dem PSR-Entwurf hierzu nicht.