Mehr Sicherheit, besser Konsumentenschutz, vor allem aber Hoheitsverlust der Bank über die Daten ihrer Kunden: Das alles regelt die EU-Richtlinie PSD2 (Payment Services Directive). Obwohl die Regulierung eine der größten Umwälzungen der letzten Jahre für Banken bringt, haben sie bisher nur acht Länder voll umgesetzt, wie eine aktuelle Ermittlung der EU-Kommission zeigt. Österreich gehört zu den Ländern, die säumig sind.

Finanzministerium: "Größtes Interesse an raschem Beschluss"
Aus dem österreichischen Finanzministerium heißt es: "Wir haben größtes Interesse an der raschen Beschlussfassung". Jedenfalls solle das Gesetz im ersten Quartal 2018 beschlossen werden, sagte ein Sprecher von Finanzminister Hartwig Löger gegenüber FONDS professionell ONLINE. Obwohl Österreich säumig ist, rechnet er nicht mit einem Vertragsverletzungsverfahren der EU. Seitens der EU habe man noch kein Schreiben erhalten, in dem man zur Rechtfertigung aufgefordert wurde. Das ist üblicherweise der erste Schritt, mit dem ein solches Verfahren eingeleitet wird.

Hans-Martin Kraus von Capco hat indes für die Nachzügler-Staaten wenig Verständnis. "Die finalen Regulierungsstandards zur starken Kundenauthentifizierung kamen zwar erst im November 2017. Aber bereits im Februar 2017 gab es einen umfassenden Entwurf zu dieser wichtigen Frage. Es gab im finalen Standard nur drei oder vier Änderungen. Auf jeden Fall nichts, was jemanden abhalten hätte müssen, die Richtlinie umzusetzen", so Kraus. Er ist bei Capco in Deutschland Zahlungsverkehrsexperte für das Gesamt-Europa.

Deutschland gehört zu den wenigen Ländern, die mit der PSD2-Umsetzung schon im Reinen sind. De Fakto wissen die Länder und die betroffenen Banken schon seit zwei Jahren, was die EU von ihnen will: Die Richtlinie selbst (EU 2015/2366) ist seit 13. Jänner 2016 in Kraft und sieht die Anwendung ab 13. Jänner 2018 vor.

Endgültig wirksam 2019
Knackpunkt im Zeitplan für die reale Umsetzung ist, dass die Richtlinie die Europäische Bankenaufsicht (EBA) beauftragt (Art. 15), mehrere technische Regulierungsstandards (RTS) und Leitlinien zu veröffentlichen. Diese beschreiben, wie die Richtlinie im Detail umzusetzen ist. Die letzten RTS waren eben jene zur starken Kundenauthentifizierung, die die EU-Kommission am 27. November angenommen hat. Sie dürften Ende Februar (Rat und Parlament erhalten drei Monate Einspruchsmöglichkeit) im Amtsblatt der EU veröffentlicht werden. Nach einer Übergangsfrist von 18 Monaten werden sie wirksam. Das bedeutet, dass PSD2 für die Banken endgültig ab September 2019 gilt.

In der wichtigen Frage der starken Kundenauthentifizierung wird festgelegt, wie die Zahlungsdienstleister (Fintechs, so wie konventionelle) künftig für die sichere Zahlungsdurchführung sorgen müssen: In den RTS ist vorgesehen, dass mindestens zwei von drei erforderlichen Elementen gegeben sein müssen: "Nötig ist etwas das der Kunde weiß, zum Beispiel ein PIN oder ein Passwort; etwas, das der Kunde besitzt, zum Beispiel einen TAN; und ein inhärentes Merkmal, zum Beispiel ein Fingerabdruck", erklärt Kraus. "Zwei dieser Elemente müssen mindestens beteiligt sein, damit eine Transaktion abgewickelt werden kann".

Ausnahmen für den Firmenkundenbereich
Die EU habe sich dabei zuletzt noch nachsichtig gezeigt und diese Maßnahmen im Firmenkundenbereich entschärft. Ein Industriekunde und seine Bank müssen also nicht ständig über Fingerabdruck ihren Willen zur Transaktion bestätigen.

Im Endkundenbereich aber sind die verschärften Sicherheitsstandards die entscheidende Basis für die reibungslose Anwendung der PSD2. Denn mit ihr wird es künftig möglich, dass fremde Zahlungsdienstleister auf Bankkonten umfassend zugreifen. Die Bank muss einem Fintech oder auch einem Konkurrenzinstitut gewähren, dass es Zahlungen auslöst und Kontoinformationen bekommt, wenn der Kunde das will.

Als Beispiele nennt Kraus etwa den schwedischen Sofortbezahldienst Klarna. Klarna wickelt Überweisungen zwischen Händlern und Kunden ab und bietet auch Rechnungen- und Retourenmanagement an. Seit dem Vorjahr hat das Unternehmen eine eigene Banklizenz. Durch Zukäufe ist Klarna innerhalb kurzer Zeit zu einem der größten Zahlungsdienstleister Europas aufgestiegen. In Deutschland wiederum sei die Deutsche Bank mit einer Multibanking-App aktiv, die auch Fremdkunden angeboten wird. Der deutsche Sparkassensektor biete ein Institutübergreifendes Instant Payment-Tool an.

"Banken, die aktiv investieren, werden gestärkt aus der PSD2 hervorgehen. Wer nicht investiert, riskiert hingegen, die High-End-Kunden zu verlieren. Denn genau die Kunden, die häufig Onlinedienste nutzen, sind die ökonomisch besser gestellten", so Kraus. (eml)


Den finalen Report zur EU-Richtlinie können Sie hier downloaden