BaFin erlöst eCommerce- und Zahlungsbranche aus dem PSD2-Lastschrift-Trauma

Informationen über
veröffentlicht am

Bedarf es für eine Lastschriftermächtigung des Kunden einer starken Kundenauthentifizierung? EU-Kommission / EBA vs. BaFin

Nun ist es heraus: Ob die elektronische Erteilung eines Lastschriftmandats eine starke Kundenauthentifizierung erfordert, wird von EU-Kommission und BaFin unterschiedlich beurteilt. Die EBA hatte am 22. Februar 2019 die Ansicht der EU-Kommission (DG FISMA) in EBA Single Rulebook Question ID 2018_4359 (die EBA Q&A sind in unserem Blog verlinkt) veröffentlicht. Am 17. April 2019 hat die BaFin nach Aufforderung durch die Industrie reagiert und für große Teile des deutschen Marktes die Lastschrift gerettet. Ob die EZB eher der Ansicht der EU-Kommission oder eher der BaFin-Ansicht zuneigt, ist noch nicht geklärt; sie ist für die Aufsicht über bedeutende Institute, auch in Deutschland, zuständig.

Im Einzelnen

Die starke Kundenauthentifizierung gibt es zwar schon länger. Seit 2015 regeln das die von der BaFin veröffentlichten MaSI. Die PSD2 hat die starke Kundenauthentifizierung, nämlich die Verwendung von zwei Elementen aus drei Kategorien zur Authentifizierung des Kunden, noch einmal auf neue Beine gestellt.

a) In EBA Single Rulebook Question ID 2018_4359 geäußerte Ansicht der EU-Kommission vom 22. Februar 2019

In Single Rulebook Question ID 2018_4359 wird erklärt, dass zwar im Grundsatz eine Lastschrifttransaktion nicht Gegenstand einer starken Kundenauthentifizierung ist. Ein Zahlungsvorgang, den der Zahlungsempfänger initiiere, sei nicht Gegenstand der starken Kundenauthentifizierung. Allerdings unterliege dann, so die DG FISMA in Single Rulebook Question ID 2018_4359, wenn das Mandat des Zahlers an den Zahlungsempfänger über einen Fernzugang erteilt werde, die Erteilung eines solchen Mandates der starken Kundenauthentifizierung gemäß PSD2.

In Single Rulebook Question ID 2018_4359 findet sich der Hinweis („Disclaimer“), dass die Antwort nicht von der EBA, sondern von der Generaldirektion FISMA der Kommission erteilt wurde.

Single Rulebook Question ID 2018_4359 drückt nicht aus, wer zur starken Kundenauthentifizierung verpflichtet ist. Hier wird von einem „Mandat des Zahlers an den Zahlungsempfänger“ gesprochen. Die Pflicht zu starken Kundenauthentifizierung trifft gemäß PSD2 aber den Zahlungsdienstleister des Zahlers. Der Empfänger des Lastschriftmandats, der Händler, ist jedenfalls nicht verpflichtet zur starken Kundenauthentifizierung. Der verpflichtete Zahlungsdienstleister des Zahlers ist in der vorliegenden Konstellation der kontoführende Zahlungsdienstleister, der das Zahlungskonto führt, auf das die Lastschrift gezogen ist.

b) Ansicht der BaFin vom 17. April 2019

Die BaFin weist nun am 17. April 2019 darauf hin, dass bei Lastschriftzahlungen im Internet nur dann eine starke Kundenauthentifizierung erforderlich ist, wenn bei der Erteilung der Zustimmung zur Zahlung durch den Zahler (Lastschriftmandat), diese Erteilung unter direkter Einbindung des Zahlungsdienstleisters des Zahlers erfolgt. Dies ist beim SEPA-Lastschriftmandat nur der Fall, wenn es sich um ein sogenanntes e-Mandat im Sinne des SEPA-Regelwerks handelt. In der gängigen Praxis der Mandatserteilung im Internet hingegen erfolgt die Mandatserteilung des Zahlers nur gegenüber dem Zahlungsempfänger ohne direkte Einbindung des Zahlungsdienstleisters des Zahlers.

c) Verbindlichkeit der Aussage der BaFin bzw. der EU-Kommission für deutsche Institute

Für Institute mit Sitz in Deutschland ist dann die am 17. April 2019 geäußerte Ansicht der BaFin verbindlich, wenn sie im Hinblick auf § 55 Abs. 1 ZAG der BaFin-Aufsicht unterliegen. Für Institute mit Sitz in Deutschland, die der EZB-Aufsicht unterliegen, ist trotz der Äußerung der BaFin vom 17. April 2019 ungeklärt, ob diese Stellungnahme der Generaldirektion FISMA der Kommission für sie Anwendung finden wird. Das sollten diese Institute ggf. mit der EZB klären.

d) Haftung für nicht-autorisierte Zahlungsvorgänge

Lässt ein Zahlungsempfänger, also ein Händler, eine starke Kundenauthentifizierung nicht zu, obschon sie erforderlich gewesen wäre, haftet er für nicht-autorisierte Zahlungsvorgänge verschärft. Diese Haftung kommt dann in Betracht, wenn der kontoführende Zahlungsdienstleister die starke Kundenauthentifizierung bei Lastschrifterteilung verlangen würde, was vermutlich kaum jemals der Fall sein wird. Also eher ein theoretisches Risiko.

Resumée

Ganz große Teile der Branche können aufatmen. Aber der Krimi um die Auslegung der PSD2 zur starken Kundenauthentifizierung wird wohl noch einige Zeit weitergehen. Am 14. September 2019 muss alles technisch umgesetzt sein.

weitere Artikel von Kategorien ,