Die Europäische Kommission will den Zahlungsverkehr und den Zugang zu Finanzdaten in der EU modernisieren und harmonisieren. Dazu hat sie drei Gesetzesvorschläge vorgelegt, die den Wettbewerb, die Sicherheit und den Verbraucherschutz im Finanzsektor stärken sollen. Die Vorschläge betreffen die Überarbeitung der Zahlungsdiensterichtlinie (PSD3), die Einführung einer neuen Verordnung über Zahlungsdienste im Binnenmarkt (PSR) und die Schaffung eines Rahmens für den Zugang zu Finanzdaten (FIDA).

Das EU-Parlament hat die Vorschläge zu PSD3 und PSR in erster Lesung angenommen. Die Trilog-Verhandlungen mit dem Rat sind noch im Gange. Die endgültige Verabschiedung wird voraussichtlich 2025/2026 erfolgen. Die PSR wird danach innerhalb von 18 Monaten in allen Mitgliedstaaten unmittelbar gelten, während die PSD3 als Richtlinie innerhalb derselben Zeit in nationales Recht umgesetzt werden muss. Die neuen Regelungen werden erhebliche Auswirkungen auf Banken, andere Zahlungsdienstleister, Händler und Marktplätze haben. Diese müssen ihre Prozesse und Technologien anpassen, um regulatorische Konformität zu gewährleisten und im digitalisierten Markt wettbewerbsfähig zu bleiben. Was sind die wichtigsten Änderungen und Herausforderungen für die Marktteilnehmer?

PSD3 und PSR sollen den Wettbewerb im Zahlungsverkehr fördern, indem sie Drittanbietern und Zahlungsdienstleistern durch stärker standardisierte und interoperable APIs (Application Programming Interface) den Zugang zu Bankdaten und Zahlungssystemen (wie Target) erlauben. Banken müssen mit mehr innovativen Konkurrenzangeboten rechnen, die den Kunden eine größere Auswahl an Zahlungsmöglichkeiten bieten. Um sich zu behaupten, müssen Banken in ihre technologische Infrastruktur investieren.

Zahlungsdienstleister und E-Geld-Institute sehen sich einem neuen gesetzlichen Zulassungssystem ausgesetzt, das nunmehr einen Liquidationsplan vorsieht. Bereits lizenzierte Zahlungsdienstleister und E-Geld-Institute müssen innerhalb eines Übergangszeitraums von 24 Monaten einen neuen Zulassungsantrag stellen und sich umfangreichen Prüfungen unterziehen. Vorteilhaft für diese Unternehmen ist, dass Kundengelder künftig auf Konten bei Zentralbanken gesichert werden können und die Möglichkeiten zum Austausch über Betrugsvorfälle erweitert werden. Gleichzeitig steigen die Anforderungen an die Sicherheit und den Schutz vor Betrug, etwa durch konkretisierte Vorgaben zur starken Kundenauthentifizierung (SCA), zur Transaktionsüberwachung und zur Kundeninformation.

Darüber hinaus werden die Haftungsregeln präziser und verbraucherfreundlicher gestaltet. Der Zahlungsdienstleister haftet für den vollen Betrag der Überweisung, wenn er es versäumt hat, dem Zahler eine festgestellte Diskrepanz zwischen dem Kundenidentifikator und dem vom Zahler angegebenen Namen des Zahlungsempfängers mitzuteilen. Auch sollen Zahlungsdienstleister in Fällen von Phishing haften. Der Zahler trägt nur dann die Verluste, wenn er selbst betrügerisch oder grob fahrlässig gehandelt hat.

Banken und Zahlungsdienstleister müssen daher ihre internen Prozesse und Systeme überprüfen und anpassen, um mögliche Haftungsrisiken zu minimieren. Allerdings fordern Bankenverbände wie die European Banking Federation (EBF) und die Deutsche Kreditwirtschaft (DK), dass die allgemein formulierte Pflicht zur Zusammenarbeit der Telekommunikationsanbieter etwa in Fällen von Fake-Webseiten-, Caller- und IP-Spoofing (Identitätstäuschung) konkretisiert wird und verweisen dazu auf das französische Anti-Spoofing-Gesetz.

PSD3 und PSR haben auch erhebliche Auswirkungen auf Händler und Marktplätze. Diese müssen Anpassungen in der IT-Sicherheit, des Datenschutzes und der Compliance vornehmen. Ein wichtiger Punkt ist die Verschärfung der Ausnahme von der Lizenzpflicht für Handelsvertreter. Diese Befreiung wird künftig nur noch unter sehr begrenzten Bedingungen anwendbar sein. Wie schon unter der PSD2 muss der Handelsvertreter vom Zahler oder Zahlungsempfänger ermächtigt sein, Transaktionen in deren Namen abzuschließen.

E-Commerce-Plattformen, die sowohl Käufer als auch Verkäufer vertreten, profitieren nicht von der Handelsvertreter-Ausnahme und benötigen daher eine Lizenz. Die Europäische Bankenaufsichtsbehörde (EBA) wird beauftragt, spezifische Leitlinien zu erstellen, um mehr Klarheit und Einheitlichkeit in der EU zu gewährleisten. Plattformen, auf die bisher diese Ausnahme anwendbar war, müssen die neuen Regelungen genau prüfen und gegebenenfalls ihr Geschäftsmodell ändern oder mit lizenzierten Zahlungsdienstleistern zusammenarbeiten.

Ein weiterer Punkt ist die Erhöhung der Sicherheitsanforderungen für Zahlungstransaktionen und eine damit einhergehende verschärfte Haftung: Händler und Marktplätze müssen sicherstellen, dass sie die SCA unterstützen und die erforderlichen Informationen über Gebühren, Wechselkurse und sonstige Kosten transparent an ihre Kunden weitergeben. Sie müssen auch robuste Mechanismen für die Betrugserkennung implementieren und mit den Zahlungsdienstleistern zusammenarbeiten, um solche Fälle zu vermeiden oder zu beheben.

Schließlich müssen sich Händler und Marktplätze auf die erweiterten Regelungen für Drittanbieter im Zahlungsverkehr einstellen, die unter der PSD3 und der PSR gelten. Dies betrifft insbesondere die Regulierung von Open-Banking-Diensten, die den Zugang zu Zahlungskontoinformationen und die Auslösung von Zahlungen ermöglichen. Händler und Marktplätze müssen sicherstellen, dass sie die Zustimmung ihrer Kunden einholen, bevor sie deren Daten an Drittanbieter weitergeben oder von diesen abrufen. Sie müssen auch die Datenschutz- und Sicherheitsstandards einhalten, die für den Datenaustausch gelten.

Neben der PSD3 und der PSR hat die Kommission auch einen Vorschlag für den Zugang zu europäischen Finanzdaten (FIDA) vorgelegt. FIDA soll den Zugang zu Finanzdaten für Verbraucher und Unternehmen erleichtern, personalisierte Finanzdienstleistungen ermöglichen und die digitale und grüne Transformation der EU unterstützen. FIDA soll auch die Innovation im Fintech-Sektor fördern, indem er den sicheren und effizienten Austausch von Daten zwischen verschiedenen Akteuren ermöglicht.

Verbraucher und Unternehmen können ihre Daten verschiedenen Dienstleistern zur Verfügung stellen, um neue Dienstleistungen zu nutzen oder zu vergleichen. Sie erhalten mehr Transparenz darüber, wie ihre Daten verwendet werden, und mehr Kontrolle über die Weitergabe ihrer Daten an Dritte. Sie können über Dashboards ihre Zugriffsberechtigungen überwachen und verwalten.

FIDA verpflichtet Unternehmen, Finanzdaten unter bestimmten Bedingungen Dritten zur Verfügung zu stellen. Dies betrifft insbesondere Banken, die Zahlungskontodaten an Drittanbieter weitergeben müssen, wenn der Kunde dem zugestimmt hat. Unternehmen müssen sicherstellen, dass sie die erforderlichen technischen und organisatorischen Maßnahmen treffen, um den effizienten Datenaustausch zu gewährleisten.

Die neuen Regelungsvorschläge für Zahlungsdienste und Finanzdaten in der EU enthalten Änderungen in unterschiedlichen Bereichen. Viele Änderungen sind eher technischer Natur und kleinteilig. Dabei ist auch im Hinblick auf die durch die EBA weiter zu konkretisierenden technischen Regulierungsstandards und Leitlinien noch einiges im Fluss. Einige der Änderungen greifen massiv in die Geschäftsmodelle bestehender Marktteilnehmer ein. In jedem Fall sollten Marktteilnehmer die Auswirkungen der rechtlichen Änderungen auf ihr jeweiliges Geschäftsmodell genau analysieren, Compliance-Strategien entwickeln und dort, wo erforderlich, technologische und geschäftliche Anpassungen vornehmen.

Diese Anpassungen umfassen etwa den Auf- oder Ausbau einer IT-Sicherheitsarchitektur, eine Aktualisierung der IT-Systeme und Verfahren zum Umgang mit operationellen und sicherheitsrelevanten Vorfällen (Incident-Response Plan). Abhängig von der jeweiligen Situation des Anbieters könnten im Hinblick auf geänderte Lizenzanforderungen geschäftliche Anpassungen darin bestehen, nicht wesentliche Teile des Geschäftsmodells einzustellen oder auszulagern, verstärkt mit lizenzierten Teilnehmern zusammenzuarbeiten oder vertragliche Strukturen zu verändern.