Payment Services Directive 2

Die Payment Services Directive 2 (PSD2) ist die überarbeitete Fassung der ursprünglichen Zahlungsdiensterichtlinie (PSD1) aus dem Jahr 2007. Sie wurde am 13. Januar 2018 in nationales Recht der EU-Mitgliedstaaten überführt und bildet einen zentralen Bestandteil des europäischen Zahlungsverkehrsrechts. Die PSD2 verfolgt das Ziel, Innovation, Sicherheit und Wettbewerb im Zahlungsverkehr zu stärken und zugleich die Rechte und den Schutz der Verbraucher auszubauen.

Die Richtlinie wurde eingeführt, um den Veränderungen im Zahlungsmarkt gerecht zu werden – insbesondere durch das Aufkommen neuer Technologien, mobiler Zahlungen, Online-Banking und digitaler Finanzdienstleister.

Öffnung des Marktes: Neue Zahlungsdienstleister

Eine der größten Neuerungen der PSD2 ist die Schaffung eines regulierten Zugangs zu Zahlungskonten für Drittanbieter, wodurch der Zahlungsverkehr für neue Akteure geöffnet wird. Dies umfasst insbesondere zwei neue Arten von Zahlungsdienstleistern:

1. Zahlungsauslösedienste (PIS): Diese Anbieter ermöglichen dem Nutzer, eine Zahlung direkt von seinem Bankkonto auszulösen, ohne den klassischen Weg über Kartenzahlung oder Online-Überweisung zu nutzen. Beispiel: Eine Direktzahlung vom Girokonto beim Online-Shopping.
2. Kontoinformationsdienste (AIS): Diese Anbieter bieten einen Überblick über mehrere Bankkonten an und helfen Kunden, ihre Finanzen zentral zu verwalten – etwa durch Haushaltsbuch-Apps oder Tools für Kreditwürdigkeitsprüfungen.

Beide Dienste benötigen eine behördliche Zulassung und unterliegen einer Aufsicht durch nationale Behörden wie z. B. die BaFin in Deutschland.

Sicherheit: Starke Kundenauthentifizierung (SCA)

Ein zentrales Element der PSD2 ist die Einführung der starken Kundenauthentifizierung (Strong Customer Authentication – SCA), geregelt in Artikel 97 der Richtlinie. Demnach müssen Zahlungsdienstleister bei elektronischen Zahlungen, Online-Kontozugriffen oder risikobehafteten Transaktionen eine Authentifizierung verlangen, die auf mindestens zwei von drei Faktoren basiert:

• Wissen: z. B. Passwort oder PIN
• Besitz: z. B. Smartphone oder Token
• Inhärenz: z. B. Fingerabdruck oder Gesichtserkennung

Bei Kartenzahlungen im Internet oder beim Login ins Online-Banking ist die Anwendung von SCA verpflichtend, sofern keine gesetzlich definierte Ausnahme vorliegt (z. B. geringe Beträge oder Vertrauenswürdigkeit des Empfängers).

Zudem muss die Authentifizierung dynamisch mit dem Betrag und dem Zahlungsempfänger verknüpft sein – ein wirksames Mittel gegen sogenannte “Man-in-the-Middle”-Angriffe.

Access to Account (XS2A) – Der Konto-Zugang für Dritte

Mit der PSD2 wird das sogenannte „Access to Account“-Prinzip (XS2A) rechtlich verankert. Banken sind verpflichtet, Drittanbietern den Zugang zu Kundenkonten zu ermöglichen – sofern der Kunde dem ausdrücklich zustimmt. Dies erfolgt in der Regel über standardisierte Schnittstellen (APIs), über die Drittanbieter Zahlungen auslösen oder Kontoinformationen abrufen können.

Dadurch entsteht das Konzept des Open Banking, bei dem Finanzdienstleistungen durch offene Schnittstellen modular nutzbar und kombinierbar werden. Die Bank wird nicht mehr zum exklusiven Anbieter, sondern zu einem Teil eines vernetzten Finanzökosystems.

Verbraucherschutz und Haftung

Die PSD2 enthält eine Vielzahl von Regelungen, die den Verbraucherschutz stärken. Dazu zählen insbesondere:

• Haftungsbeschränkung bei unautorisierten Zahlungen: Der Kunde haftet maximal mit 50 Euro, wenn seine Zugangsdaten missbraucht werden – es sei denn, grobe Fahrlässigkeit oder Betrug liegen vor.
• Erstattungspflicht der Bank bei unautorisierten Transaktionen: Die Bank muss dem Kunden den Betrag unverzüglich zurückerstatten.
• Informationspflichten: Kunden haben das Recht auf klare, transparente Informationen über Gebühren, Fristen, Wechselkurse, Widerrufsrechte und Vertragsbedingungen.
• Verkürzung der Ausführungsfrist: Zahlungsaufträge innerhalb der EU müssen grundsätzlich am nächsten Geschäftstag abgeschlossen sein.

Die Richtlinie verbietet auch sogenannte Surcharges, also zusätzliche Gebühren bei Kreditkartenzahlungen (z. B. bei Online-Tickets), wenn regulierte Karten (z. B. Visa oder Mastercard) verwendet werden.

Technische Standards und Aufsicht

Zur Umsetzung der PSD2 wurde die European Banking Authority (EBA) beauftragt, technische Regulierungsstandards (RTS) zu entwickeln, insbesondere zur starken Kundenauthentifizierung und zur Kommunikation mit Drittanbietern (API-Spezifikationen). Diese Standards stellen sicher, dass:

• alle Marktteilnehmer gleiche Voraussetzungen haben,
• die Schnittstellen sicher und interoperabel sind,
• der Datenschutz gemäß DSGVO gewahrt wird.

Die Umsetzung in den Mitgliedstaaten erfolgt durch die jeweiligen nationalen Aufsichtsbehörden – in Deutschland z. B. durch die BaFin.