PSD2, Dynamische Verknüpfung & FIDO-Authentifikatoren
Die überarbeitete Zahlungsdiensterichtlinie (PSD2) stellt eine bedeutende Weiterentwicklung der europäischen Zahlungsregulierung dar und aktualisiert das ursprüngliche PSD-Rahmenwerk aus dem Jahr 2007. Ziel dieser Richtlinie ist es, einen stärker integrierten europäischen Zahlungsmarkt zu schaffen, Sicherheitsmaßnahmen zu verbessern, Verbraucher zu schützen und Innovation zu fördern, indem die Bankeninfrastruktur für Drittanbieter geöffnet wird. Mit der vollständigen Umsetzung zwischen 2018 und 2020 hat die PSD2 grundlegend verändert, wie Finanzinstitute, Zahlungsdienstleister und Verbraucher interagieren. Dieser Artikel beleuchtet die wichtigsten Bestandteile der PSD2, ihre Umsetzungsanforderungen, Sicherheitsmaßnahmen, Auswirkungen auf verschiedene Interessengruppen sowie die Herausforderungen und Chancen im sich wandelnden Finanzdienstleistungsumfeld.
Verständnis der Kernziele und des rechtlichen Rahmens der PSD2
Die PSD2 aktualisiert und erweitert die von der ursprünglichen Zahlungsdiensterichtlinie von 2007 festgelegten EU-Vorschriften. Sie trat am 12. Januar 2016 in Kraft, wobei die EU-Mitgliedstaaten bis zum 13. Januar 2018 Zeit hatten, sie in nationales Recht umzusetzen. Die Richtlinie wird von der Europäischen Kommission verwaltet, um Zahlungsdienste und Zahlungsdienstleister in der gesamten Europäischen Union und dem Europäischen Wirtschaftsraum zu regulieren.
Die vier Hauptziele der PSD2 sind klar definiert: Beitrag zu einem stärker integrierten und effizienteren europäischen Zahlungsmarkt; Angleichung der Wettbewerbsbedingungen für Zahlungsdienstleister durch die Einbeziehung neuer Akteure; sicherere und zuverlässigere Zahlungen; sowie ein verbesserter Schutz für europäische Verbraucher und Unternehmen. Im Kern unterstützt die PSD2 Innovation und Wettbewerb im Einzelhandel-Zahlungsverkehr und stärkt gleichzeitig die Sicherheit von Zahlungsvorgängen und den Schutz von Verbraucherdaten.
Der rechtliche Rahmen der PSD2 besteht aus zwei Hauptteilen. Die „Marktvorschriften“ beschreiben, welche Arten von Organisationen Zahlungsdienste anbieten dürfen, darunter Kreditinstitute (Banken), E-Geld-Institute und die neu geschaffene Kategorie der „Zahlungsinstitute“ mit eigenen aufsichtsrechtlichen Regelungen. Die „Verhaltensregeln“ legen Transparenzanforderungen für Zahlungsdienstleister fest, einschließlich Gebühren, Wechselkurse, Transaktionsreferenzen und maximaler Ausführungszeit sowie Rechte und Pflichten für Anbieter und Nutzer.
Die PSD2 wird durch regulatorische technische Standards ergänzt, die von der Europäischen Bankenaufsichtsbehörde in Zusammenarbeit mit der EZB entwickelt wurden. Diese Standards betreffen die starke Kundenauthentifizierung, gemeinsame und sichere Kommunikationsstandards, Vorfallberichterstattung und Sicherheitsmaßnahmen für betriebliche und sicherheitsbezogene Risiken. Diese Komponenten bilden zusammen einen umfassenden Rahmen für die Modernisierung von Zahlungsdiensten in ganz Europa.
Starke Kundenauthentifizierung (SCA): Anforderungen und Umsetzung
Im Mittelpunkt der PSD2 steht das Konzept der Starken Kundenauthentifizierung (Strong Customer Authentication, SCA), einer Sicherheitsmaßnahme zur Betrugsprävention und zur Erhöhung der Sicherheit bei Online-Zahlungsvorgängen. Die SCA verpflichtet Zahlungsdienstleister zur Umsetzung einer Mehrfaktor-Authentifizierung für elektronische Zahlungen und den Kontozugang, wodurch die Sicherheitsstandards im europäischen Zahlungsverkehr erheblich verbessert werden.
Laut Richtlinie gilt eine Kundenauthentifizierung dann als „stark“, wenn sie auf der Verwendung von zwei oder mehr unabhängigen Elementen aus den folgenden Kategorien basiert: Wissen (etwas, das nur der Nutzer weiß, z. B. ein Passwort oder eine PIN), Besitz (etwas, das nur der Nutzer besitzt, z. B. eine Karte oder ein Authentifizierungsgerät) und Inhärenz (etwas, das der Nutzer ist, z. B. Fingerabdruck oder Spracherkennung). Diese Elemente müssen unabhängig sein, sodass ein Verstoß gegen eines die Zuverlässigkeit der anderen nicht beeinträchtigt.
Für Ferntransaktionen wie Online-Zahlungen gehen die Sicherheitsanforderungen noch weiter, indem ein dynamischer Bezug zur konkreten Transaktionssumme und dem Zahlungsempfänger hergestellt werden muss. Dies bietet zusätzlichen Schutz und minimiert Risiken bei Fehlern oder Betrugsversuchen. Der am weitesten verbreitete Ansatz zur Identitätsprüfung von Karteninhabern gemäß SCA ist 3D Secure 2.0, das die Nutzererfahrung verbessert und gleichzeitig die zusätzlichen Authentifizierungsschritte reduziert.
Es gibt jedoch mehrere Ausnahmen von den SCA-Anforderungen, die ein Gleichgewicht zwischen Sicherheit und Benutzerfreundlichkeit schaffen sollen. Dazu gehören Transaktionen mit geringem Wert (unter 30 €), Transaktionen mit geringem Risiko (basierend auf Echtzeit-Risikobewertung), wiederkehrende Zahlungen des gleichen Betrags an denselben Empfänger sowie Zahlungen an vertrauenswürdige Empfänger, die der Kunde zuvor auf eine Positivliste gesetzt hat. Zahlungsdienstleister können diese Ausnahmen beim Zahlungsprozess beantragen, jedoch liegt die endgültige Entscheidung beim kartenausgebenden Institut.
Open Banking und Drittanbieter-Zahlungsdienstleister unter PSD2
Die PSD2 öffnet den EU-Zahlungsmarkt für Drittanbieter-Zahlungsdienstleister, indem sie Banken verpflichtet, über offene Programmierschnittstellen (APIs) Zugang zu Kundenkontoinformationen und Zahlungsinitiierungen zu ermöglichen. Dieser fundamentale Wandel von geschlossenen zu offenen Bankensystemen hat ein neues, wettbewerbsorientiertes und integriertes Finanzökosystem ermöglicht, das oft als „Open Banking“ bezeichnet wird.
Die Richtlinie deckt drei Arten von Dienstleistungen durch Drittanbieter (Third-Party Providers, TPPs) ab: Zahlungsinitiierungsdienste, Kontoinformationsdienste und kartenbasierte Zahlungsinstrumente. Zahlungsinitiierungsdienste ermöglichen es Verbrauchern, Online-Zahlungen durchzuführen und informieren Händler sofort über die Zahlung, was den sofortigen Versand von Waren oder Zugang zu Dienstleistungen ermöglicht. Kontoinformationsdienste bieten Verbrauchern und Unternehmen einen Überblick über ihre finanzielle Situation, indem sie Informationen über verschiedene Zahlungskonten hinweg konsolidieren. Kartenbasierte Zahlungsinstrumente ermöglichen es Drittanbietern, eine Bestätigung über verfügbare Mittel vom kontoführenden Zahlungsdienstleister einzuholen.
Die PSD2 schreibt vor, dass alle Drittanbieter-Zahlungsdienstleister von den zuständigen Behörden autorisiert und reguliert sein müssen. Die Mitgliedstaaten müssen sicherstellen, dass kontoführende Zahlungsdienstleister (hauptsächlich Banken) den Zugang zu diesen Dienstleistungen nicht blockieren oder behindern. Der Zugang darf nur verweigert werden, wenn der Drittanbieter nicht autorisiert ist oder ein Betrugsverdacht besteht. Für jede Transaktion ist zudem die ausdrückliche Zustimmung des Zahlers erforderlich.
Dieses Open-Banking-Modell hat Fintech-Unternehmen dazu befähigt, innovative und personalisierte Finanzprodukte und -dienstleistungen zu entwickeln. Mit Zugriff auf Kundendaten und Bankeninfrastruktur über APIs können diese neuen Anbieter integrierte Ansichten mehrerer Finanzkonten bereitstellen, Zahlungsprozesse optimieren und innovative Finanzmanagement-Tools entwickeln, die unter dem früher geschlossenen Bankensystem nicht möglich gewesen wären.
Technische Anforderungen und APIs: Die Infrastruktur hinter PSD2
Application Programming Interfaces (APIs) dienen als technologisches Rückgrat für die Umsetzung der PSD2-Anforderungen. Diese Schnittstellen ermöglichen eine sichere Kommunikation zwischen Banken und Drittanbietern, wodurch der Austausch von Finanzdaten und Zahlungsanweisungen auf Grundlage der Zustimmung des Kunden erfolgen kann. Der Erfolg der PSD2-Implementierung hängt maßgeblich von der Entwicklung robuster, sicherer und standardisierter APIs ab.
Gemäß PSD2 müssen Banken und andere kontoführende Zahlungsdienstleister mindestens eine dedizierte Schnittstelle für den Zugriff auf Open-Banking-Daten bereitstellen. Diese Schnittstellen müssen bestimmte Leistungs- und Funktionsanforderungen erfüllen, um einen konsistenten und zuverlässigen Service für Drittanbieter zu gewährleisten. Die regulatorischen technischen Standards verlangen zudem die Bereitstellung einer „Sandbox“-Umgebung, in der Drittanbieter ihre Anwendungen vor dem Echtbetrieb testen können.
Die Berlin Group, eine paneuropäische Initiative zur Standardisierung der Zahlungsverkehrs-Interoperabilität, hat NextGenPSD2 entwickelt – einen offenen, gemeinsamen und harmonisierten europäischen API-Standard, der es Drittanbietern ermöglicht, unter PSD2 auf Bankkonten zuzugreifen. Dieser Standard soll es Zahlungsdienstleistern erleichtern, die Erlaubnis der Kunden zum Zugriff auf ihre Konten zu erhalten und Zahlungen zu initiieren. Viele Banken haben diesen Standard übernommen, dennoch gibt es weiterhin Fragmentierungen in den nationalen Umsetzungen.
Die technische Infrastruktur muss zudem starke Sicherheitsmaßnahmen unterstützen, einschließlich der Verschlüsselung sensibler Daten, der sicheren Identifikation von Parteien und dem Schutz vor Betrug und Cyber-Bedrohungen. Drittanbieter müssen zur sicheren Identifikation qualifizierte Zertifikate gemäß eIDAS für die Website-Authentifizierung sowie elektronische Siegel für die Kommunikation zwischen Finanzdienstleistern verwenden. Diese Zertifikate stellen sicher, dass nur autorisierte Stellen auf Kundendaten zugreifen und Zahlungen initiieren können.
Verbraucherschutz und Stärkung der Rechte durch PSD2
Ein zentrales Ziel der PSD2 ist die Verbesserung des Verbraucherschutzes und der Rechte im digitalen Zahlungsverkehr. Die Richtlinie enthält mehrere Bestimmungen, die Kunden mehr Kontrolle über ihre Finanzdaten geben und stärkeren Schutz vor Betrug und unautorisierten Transaktionen bieten.
Im Falle unautorisierter Transaktionen stärkt die PSD2 den Verbraucherschutz, indem sie eine sofortige Rückerstattung an den Zahlungsdienstnutzer verlangt. Der Nutzer haftet nicht, wenn es ihm nicht möglich war, einen Verlust aufgrund von Diebstahl oder missbräuchlicher Verwendung seines Zahlungsinstruments – wie etwa durch Datenlecks oder Hackerangriffe – zu erkennen. In anderen Fällen, etwa bei verloren gegangenen oder gestohlenen Zahlungsmitteln wie einer Geldbörse, kann der Nutzer mit maximal 50 € haften, sofern er seiner Meldepflicht nachgekommen ist und nicht grob fahrlässig oder betrügerisch gehandelt hat.
Die Richtlinie untersagt es Händlern außerdem, Verbrauchern zusätzliche Gebühren für bestimmte Zahlungsmethoden zu berechnen. Dieses Verbot gilt, wenn sowohl die Bank des Verbrauchers als auch der Zahlungsdienstleister des Händlers im Europäischen Wirtschaftsraum ansässig sind und der Verbraucher eine Debit- oder Kreditkarte, ein Lastschriftverfahren oder eine Überweisung nutzt. Auch wenn das Verbot nicht greift, darf eine etwaige Zusatzgebühr nicht über die tatsächlichen Kosten hinausgehen, die dem Händler durch die Annahme der Zahlungsmethode entstehen.
PSD2 verschafft Kunden mehr Transparenz und Kontrolle über ihre Finanzdaten. Dritte dürfen nur mit ausdrücklicher Zustimmung der Kunden auf Kontoinformationen zugreifen, und diese Zustimmung kann jederzeit widerrufen werden. Um den Kunden die Verwaltung dieser Berechtigungen zu erleichtern, sind kontoführende Zahlungsdienstleister verpflichtet, ein in die Benutzeroberfläche integriertes „Dashboard“ bereitzustellen, über das Nutzer überwachen und steuern können, welche Drittanbieter Zugriff auf ihre Daten haben.
Auswirkungen von PSD2 auf Finanzinstitute und ihre Geschäftsmodelle
PSD2 hat traditionelle Banken dazu gezwungen, ihre Position und Geschäftsmodelle angesichts zunehmender Konkurrenz und sich wandelnder Kundenerwartungen zu überdenken. Durch die Verpflichtung, Drittanbietern Zugang zu Kundendaten und Zahlungsinitiation zu gewähren, hat PSD2 sowohl Herausforderungen als auch Chancen für etablierte Finanzinstitute geschaffen.
Eine der bedeutendsten Auswirkungen ist der steigende Druck auf Preise und Margen. Technologisch versierte Zahlungsdienstleister nutzen den automatisierten Zugang zu Kundenkonten und verstärken den Wettbewerb – insbesondere im Bereich Konto-zu-Konto-Zahlungen, die das klassische Geschäft mit Kartenzahlungen bedrohen könnten. In einem großen europäischen Markt könnten neue Anbieter mit solchen Lösungen Bankeinnahmen in Höhe von 50 bis 100 Millionen Euro gefährden.
Banken stehen vor einer strategischen Entscheidung: Entweder sie entwickeln sich zu Versorgern standardisierter Bankprodukte – mit reduziertem Kundenkontakt und Fokus auf die Bilanzfunktion – oder sie nutzen die Gelegenheit, sich als innovative digitale Dienstleister neu zu positionieren. Viele Institute verfolgen letztere Strategie und sehen in der PSD2-Umsetzung einen Teil ihrer digitalen Transformation.
Die fortschrittlichsten Banken entwickeln neue Geschäftsmodelle, die das Open-Banking-Ökosystem aktiv nutzen. Dazu zählen der Aufbau von API-Portalen, über die Drittanbieter Dienste auf Basis der Bankinfrastruktur entwickeln können, Kontenaggregationsdienste zur konsolidierten Finanzübersicht, sowie Ökosysteme aus Finanz- und Nichtfinanzdienstleistungen, die breitere Kundenbedürfnisse abdecken. Einige Banken haben Plattformen geschaffen, die eigene Angebote mit Services von Fintech-Partnern kombinieren und so ein ganzheitliches Finanzdienstleistungserlebnis bieten.
PSD2-Umsetzungszeitplan und wichtige Meilensteine
Die Umsetzung der PSD2 war ein mehrjähriger, schrittweiser Prozess mit mehreren zentralen Meilensteinen, die die Einführung dieser bahnbrechenden Regulierung geprägt haben. Das Verständnis dieser Zeitachse hilft, den evolutionären Charakter der europäischen Zahlungsregulierung einzuordnen.
Die Geschichte beginnt mit der ursprünglichen Zahlungsdiensterichtlinie (PSD), die 2007 in Kraft trat. Ziel war es, einen einheitlichen Zahlungsmarkt in der EU zu schaffen und Zahlungsdienste zu regulieren. Mit dem digitalen Wandel, insbesondere durch Smartphones und Online-Shopping, wurde jedoch ein neues Rahmenwerk erforderlich.
Im Juli 2013 legte die Europäische Kommission einen Vorschlag für eine zweite Zahlungsdiensterichtlinie (PSD2) vor, um auf die Mängel der ursprünglichen Regelung und neue Technologien zu reagieren. Am 25. November 2015 wurde die Richtlinie vom Europäischen Parlament verabschiedet und trat am 12. Januar 2016 in Kraft.
Die EU-Mitgliedstaaten hatten bis zum 13. Januar 2018 Zeit, die PSD2 in nationales Recht zu überführen – das war der erste Umsetzungsschritt. Die technischen Standards, insbesondere zur starken Kundenauthentifizierung und sicheren Kommunikation, wurden am 13. März 2018 im Amtsblatt der EU veröffentlicht.
Diese Standards sollten ab dem 14. September 2019 gelten, was eine Übergangsphase einleitete, in der Zahlungsdienstleister ihre Dienste unter PSD2 anbieten konnten, ohne alle Sicherheitsanforderungen sofort erfüllen zu müssen. Aufgrund von Umsetzungsproblemen gewährte die Europäische Bankenaufsicht eine Fristverlängerung bis zum 31. Dezember 2020 für die SCA.
Während der gesamten Umsetzungsphase arbeiteten Finanzinstitute und Drittanbieter an der technologischen Infrastruktur, insbesondere an APIs, zur sicheren Datenfreigabe und Zahlungsinitiation. Bis zum 14. März 2019 mussten alle Finanzinstitute mit API-Angeboten diese für externe Tests durch Drittanbieter verfügbar machen – ein weiterer wichtiger Meilenstein.
Herausforderungen, Chancen und zukünftige Entwicklung der Zahlungsregulierung
Obwohl PSD2 bedeutende Neuerungen im europäischen Zahlungswesen eingeführt hat, war die Umsetzung nicht frei von Herausforderungen. Finanzinstitute hatten mit erheblichen technischen Hürden zu kämpfen, um sichere und effiziente APIs zu entwickeln, die den Anforderungen genügen. Viele Banken mussten Altsysteme modernisieren und in neue digitale Infrastrukturen investieren – mit erheblichen Kosten. Besonders schwierig war die Umsetzung der starken Kundenauthentifizierung bei gleichzeitiger Wahrung einer guten Nutzererfahrung, vor allem im Hinblick auf Kaufabbrüche im E-Commerce.
Trotz dieser Herausforderungen hat PSD2 erhebliche Innovationspotenziale eröffnet. Fintechs nutzen Open Banking zur Entwicklung neuer Dienste, die Verbrauchern mehr Kontrolle über ihre Finanzen geben – von Tools zur persönlichen Finanzverwaltung bis hin zu vereinfachten Zahlungsmethoden. Für Unternehmen, insbesondere KMUs, bietet PSD2 neue Lösungen für Liquiditätsmanagement, Multi-Konto-Zugriff und effizientere Zahlungsprozesse.
Der Blick in die Zukunft zeigt, dass die Zahlungsregulierung auf der Grundlage der PSD2 weiterentwickelt wird. Die Europäische Kommission hat bereits Pläne für eine PSD3 angekündigt, um die bestehende Richtlinie zu modernisieren. Diese nächste Iteration soll verbleibende Herausforderungen adressieren und die Finanzbranche weiter in die digitale Zukunft führen. Zu den Zielen gehören verbesserte Maßnahmen zur Betrugsprävention, bessere Kundenkommunikation und die Weiterentwicklung von Open-Banking-Rahmenwerken.
Auch international hat PSD2 Wirkung gezeigt: Länder wie Australien, Brasilien und Singapur haben vergleichbare Regelwerke eingeführt oder befinden sich in der Entwicklung. Dies weist auf einen Trend zur globalen Standardisierung hin – mit der Perspektive eines grenzüberschreitend einheitlicheren Zahlungssystems.
Mit fortschreitender Technologie – etwa in den Bereichen Blockchain, künstliche Intelligenz und digitale Währungen – muss sich die Zahlungsregulierung weiterentwickeln, um neue Chancen und Risiken angemessen zu adressieren. Die Untersuchung der Europäischen Kommission zum digitalen Euro und entsprechende Regulierungspläne zeigen, dass der Regulierungsrahmen sich parallel zur technischen Innovation weiterentwickeln wird – stets mit dem Ziel, Sicherheit, Wettbewerb und Verbraucherschutz in Einklang zu bringen.
