Neben strategischen Herausforderungen werden Banken durch die neue Zahlungsdiensterichtlinie II (ZDRL II) auch vor große praktische Aufgaben gestellt, die sowohl Hürde als auch Chance zugleich sein können. Je stärker Banken hier frühzeitig agieren und ihre Prozesse an die Neuerungen anpassen, desto geringer wird ihr Risiko ausfallen, auf Veränderungen nur noch passiv reagieren zu können.Die ZDRL II ist am 12. Januar 2016 in Kraft getreten und muss binnen der nächsten zwei Jahre durch die nationalen Gesetzgeber der Mitgliedstaaten der Europäischen Union (EU) in das jeweilige nationale Recht umgesetzt werden. In Deutschland wird dies maßgeblich zu Änderungen des Zahlungsdiensteaufsichtsgesetzes (ZAG), des Kreditwesengesetzes (KWG) und der im Bürgerlichen Gesetzbuch (BGB) enthaltenen Regelungen zu Zahlungsdiensten führen. Schnittstelle für DrittparteiBetroffen sind von der ZDRL II alle Zahlungsdienste, die innerhalb der EU erbracht werden. Dies stellt insofern eine Neuerung dar, als davon nicht nur Zahlungsvorgänge erfasst sind, bei denen sowohl der Zahlungsdienstleister des Zahlers als auch der des Zahlungsempfängers in der EU ansässig sind. Vielmehr werden auch solche erfasst, bei denen nur einer der beteiligten Zahlungsdienstleister in der EU ansässig ist. Auch die Währung spielt keine Rolle – neben der Währungseinheit Euro können daher zum Beispiel auch Transaktionen in US-Dollar von den Regelungen der ZDRL II betroffen sein. Von besonderer Relevanz für Banken ist die Öffnung der Bank/Kunden-Schnittstelle für dritte Zahlungsdienstleister. So müssen Banken künftig dritten Zahlungsdienstleistern (insbesondere Zahlungsauslöse- und Kontoinformationsdiensten) Zugang zu den online geführten Zahlungskonten ihrer Kunden gewähren.Aus Sicht der Banken, die sensible Kundendaten preisgeben sollen, ist dabei entscheidend, dass dritte Zahlungsdienstleister künftig ebenfalls reguliert werden sowie strenge Regelungen hinsichtlich der Nutzung dieser Daten einhalten müssen. Kein KundendatenmonopolEine besondere Herausforderung besteht darin, dass die technischen Voraussetzungen für den Zugang zu den Zahlungskonten noch weitgehend undefiniert sind. Einheitliche Standards soll die European Banking Authority (EBA) durch technische Regulierungsstandards (RTS) setzen. Mit der Veröffentlichung eines ersten Entwurfs dieser RTS kann im Sommer bzw. Herbst dieses Jahres gerechnet werden. Banken müssen sich bewusst sein, dass dritte Zahlungsdienstleister ihnen das jetzige “Monopol” auf Kundendaten streitig machen können. Aus diesem Grund müssen sie sich Strategien überlegen, mit denen sie weiterhin das sog. Frontend gegenüber dem Kunden darstellen. Mit der Öffnung geht daneben die Frage einher, wer künftig für Fehler bei der Durchführung von Zahlungsdiensten, beispielsweise der Auslösung einer Transaktion, haftet.An dieser Stelle regelt die ZDRL II, dass die Bank grundsätzlich primär haftet. Ein Rückgriff auf den dritten Zahlungsdienstleister ist jedoch möglich, sofern dieser für den Fehler verantwortlich ist. Um dies rechtssicher zu ermitteln, müssen Banken bereits frühzeitig agieren und Prozesse aufsetzen, die eine Ermittlung der Fehlerquelle und eine Kommunikation mit den dritten Zahlungsdienstleistern ermöglichen. Neue HaftungsregelnFerner wurde aus Gründen der Stärkung des Verbraucherschutzes im Zahlungsverkehr die Haftungsbeteiligung des Zahlungsdienstnutzers von 150 Euro auf 50 Euro reduziert. Ausgenommen bleiben jedoch unter anderem Vorsatz und grobe Fahrlässigkeit.Eine weitere Neuerung ist das Erfordernis einer starken Kundenauthentifizierung. Darunter ist “eine Authentifizierung unter Heranziehung von mindestens zwei Elementen der Kategorien Wissen (etwas, das nur der Nutzer weiß), Besitz (etwas, das nur der Nutzer besitzt) oder Inhärenz (etwas, das der Nutzer ist), die insofern voneinander unabhängig sind, als die Nichterfüllung eines Kriteriums die Zuverlässigkeit der anderen nicht in Frage stellt, und die so konzipiert ist, dass die Vertraulichkeit der Authentifizierungsdaten geschützt ist” (Legaldefinition), zu verstehen. Zweimal zwei noch sichererZahlungsdienstleister werden verpflichtet, diese zu verlangen, wenn der Zahler beispielsweise online auf sein Konto zugreift, einen elektronischen Zahlungsvorgang auslöst oder über einen Fernzugang eine Handlung vornimmt, die ein Betrugs- oder Missbrauchsrisiko in sich birgt. Im Fall elektronischer Fernzahlungsvorgänge (wie etwa eine Überweisung vom Online-Konto) wird zwecks Reduzierung des Betrugsrisikos zusätzlich verlangt, ein Element zu benutzen, welches dynamisch mit einem bestimmten Betrag und bestimmten Empfänger verknüpft ist. Diese Neuregelung kann möglicherweise dazu führen, dass eine sog. Zweimal-zwei-Faktor-Authentifizierung erforderlich wird (zum Beispiel Einloggen in das Online-Konto mit zwei Faktoren und Auslösen einer Überweisung mit zwei weiteren Faktoren).In welchen Fällen konkret eine starke Kundenauthentifizierung mit zwei Faktoren erfolgen muss beziehungsweise Ausnahmen von dieser Anforderung vorliegen, wird noch in den von der EBA zu entwerfenden RTS festgelegt. Auch hier werden die Banken ihre Prozesse, wie zum Beispiel Online-Banking-Auftritte, durchleuchten und Anpassungen vornehmen müssen.Schließlich werden mit der ZDRL II Transparenz- und Informationspflichten gegenüber Verbrauchern erweitert. Dies betrifft sowohl vorvertragliche Informationspflichten als auch umfassende Informationen nach Auslösung eines Zahlungsvorgangs, insbesondere sämtliche transaktionsrelevanten Daten. Banken müssen daher auch in dieser Hinsicht Anpassung vornehmen.Festzuhalten bleibt im Hinblick auf die Neuerungen der Zahlungsdiesnterichtline II, dass auf Banken eine Vielzahl neuer regulatorischer und strategischer Herausforderungen zukommt. Aus diesem Grunde müssen diese – wenn nicht schon geschehen – sich sofort intensiv mit den neuen Regelungen auseinandersetzen sowie Strategien im Umgang mit dritten Zahlungsdienstleistern erarbeiten.—-Ulrike Schild, LL.M. (Aberdeen), Rechtsanwältin bei KPMG Rechtsanwaltsgesellschaft in Frankfurt —-Christian Conreder, Rechtsanwalt und Manager bei KPMG Rechtsanwaltsgesellschaft in Hamburg