Die Mitgliedstaaten müssen die Regelungen bis zum 13. Januar 2018 in nationales Recht umsetzen; Artikel 109 enthält jedoch Übergangsregelungen für bestimmte Unternehmen, die etwas länger Zeit haben, die neuen Vorschriften anzuwenden. Die Umsetzungsanforderungen für gewisse IT-Sicherheitsmaßnahmen werden auf europäischer Ebene definiert und frühestens im Juli 2018 anwendbar sein.

Die neue Zahlungsdiensterichtlinie entwickelt den europäischen Binnenmarkt für elektronische Zahlungen fort. Dabei wurden die Vorschriften der alten Richtlinie an die innovativen Bezahlsysteme im Internet und per Mobilfunk angepasst, die teilweise noch im Entstehen begriffen sind. Neue Informations- und Haftungsvorschriften sollen einen stärkeren Schutz der Kunden gewährleisten.

Anwendungsbereich

Die Richtlinie betrifft Kreditinstitute, E-Geld-Institute und Zahlungsinstitute sowie Postscheckämter – diese gibt es in Deutschland nicht mehr –, aber auch die Europäische Zentralbank, die nationalen Zentralbanken, die Mitgliedstaaten und ihre Gebietskörperschaften, wenn sie nicht in ihrer Eigenschaft als Behörden handeln.

Sie gilt grundsätzlich für alle Zahlungsdienste, die in der Europäischen Union getätigt werden, und schreibt Rechte und Pflichten vor, die mit deren Erbringung und Nutzung einhergehen.

Für die Bestandteile von Zahlungsvorgängen, die innerhalb der EU in der Währung eines Nicht-EU-Staats getätigt werden, obgleich sowohl der Zahlungsdienstleister des Zahlers als auch der des Zahlungsempfängers in der Union ansässig sind, oder bei denen unabhängig von der Währung nur einer der beiden Zahlungsdienstleister seinen Sitz in der Europäischen Union hat, gelten die Vorschriften fortan ebenfalls, allerdings nur eingeschränkt. So finden beispielsweise die Vorgaben zur maximalen Ausführungsfrist für den zu erbringenden Zahlungsvorgang grundsätzlich keine Anwendung.

Erlaubnisvorbehalt

Vor dem Hintergrund, dass sich der Markt für elektronische Zahlungen seit 2007 verändert hat, regelt die Zweite Zahlungsdiensterichtlinie den Erlaubnisvorbehalt neu. Das Gefüge der Zahlungsdienstetatbestände wurde justiert, bestimmte Ausnahmen von der Erlaubnispflicht konkretisiert.

Zwei Geschäftstätigkeiten wurden neu als Zahlungsdienste anerkannt und sind damit künftig zulassungs- beziehungsweise registrierungspflichtig: der Zahlungsauslöse- und der Kontoinformationsdienst. Diese bauen auf dem Internet-Banking der Kreditinstitute auf. Die Dienstleister übermitteln – meist via Internet – Datensätze zwischen Kunden und Kreditinstituten, ohne selbst in den Besitz von Kundengeldern zu kommen. Beim Zahlungsauslösedienst können Kunden über die Internetseite des Dienstleisters eine Überweisung auslösen, wenn sie im Online-Shop eines Händlers eingekauft haben. Beim Kontoinformationsdienst erhalten sie via Internet vom Dienstleister aufbereitete Informationen über ihre Guthaben auf Konten bei verschiedenen Kreditinstituten.

Hingegen gilt das digitalisierte Zahlungsgeschäft künftig nicht mehr als Zahlungsdienst. Der Tatbestand fällt allerdings nicht ersatzlos weg. Je nach Ausgestaltung der Dienstleistungen können diese stattdessen künftig den Tatbestand einer der anderen Zahlungsdienste erfüllen, die die Richtlinie in Anhang I definiert (siehe Definition). Das Zahlungsauthentifizierungsgeschäft wird als Zahlungsdienstetatbestand erweitert.

Die Konkretisierung der Reichweite von Ausnahmen betrifft unter anderem die Vorschriften für Zahlungsinstrumente mit begrenzter Einsatzmöglichkeit und für bestimmte Zahlungsvorgänge durch Anbieter von elektronischen Kommunikationsnetzen oder -diensten, die bestimmte Schwellenwerte nicht überschreiten. Die Dienstleister, die unter diese beiden Ausnahmen fallen, benötigen zwar keine Erlaubnis der BaFin, müssen ihr die Geschäfte aber melden.

Anforderungen an das Erlaubnisverfahren

Die Richtlinie regelt auch das Erlaubnisverfahren für Zahlungs- und E-Geld-Institute. Es ist europaweit einheitlich und entspricht dem bisherigen Verfahren; allerdings gibt es einige Ergänzungen.

Wie bisher müssen die Zahlungsdienstleister einen Zulassungsantrag bei der Aufsichtsbehörde einreichen, der das Geschäftsmodell darstellt. Zudem muss ein tragfähiger Geschäftsplan beigefügt sein. Die Inhaber bedeutender Beteiligungen müssen zuverlässig, die Geschäftsleiter außerdem fachlich geeignet sein. Die Unternehmen haben eine ordnungsgemäße Geschäftsorganisation, eine angemessene Unternehmenssteuerung und interne Kontrollmechanismen einzurichten.

Neu ist, dass der Zulassungsantrag nun weitere Unterlagen zu enthalten hat. Die Unternehmen müssen beispielsweise ihre Sicherheitsstrategie darlegen und angeben, wie sie

• mit Sicherheitsvorfällen und sicherheitsbezogenen Kundenbeschwerden umgehen,
• sensible Zahlungsdaten handhaben,
• die Geschäftsfortführung im Krisenfall sicherstellen und
• bestimmte statistische Daten erheben, etwa über Geschäftsvorgänge.

Zahlungsauslöse- und Kontoinformationsdienste

Die neue Richtlinie unterwirft auch Zahlungsauslöse- und Kontoinformationsdienste, die sich bereits etabliert haben, einer Regulierung. Die Kreditinstitute müssen ihnen Zugang zu den im Online-Banking geführten Zahlungskonten gewähren. Im Gegenzug haben diese Dienstleister je nach Ausgestaltung ihres Geschäftsmodells besondere Vorschriften über den Zugang zum Zahlungskonto, zu den Kontoinformationen und deren Nutzung zu beachten.

So müssen sie beispielsweise sicherstellen, dass personalisierte Sicherheitsmerkmale des Zahlungsdienstnutzers keiner anderen Partei als dem Nutzer und dem Emittenten der personalisierten Sicherheitsmerkmale zugänglich sind, und dass der Zahlungsauslöse- beziehungsweise Kontoinformationsdienstleister diese über sichere und effiziente Kanäle übermittelt.

Zudem müssen Zahlungsauslöse- und Kontoinformationsdienstleister eine Berufshaftpflichtversicherung vorweisen.

Starke Kundenauthentifizierung

Darüber hinaus enthält die Novelle für Zahlungsdienstleister besondere Sicherheitsanforderungen an die Zahlungsausführung, die Kunden besser vor Betrug, Missbrauch und sonstigen Problemen schützen sollen.

So müssen Zahlungsdienstleister künftig in bestimmten Fällen, etwa wenn ein elektronischer Zahlungsvorgang ausgelöst wird, eine starke Kundenauthentifizierung verlangen. Diese erfordert mindestens zwei Elemente der Kategorien Wissen (zum Beispiel das Passwort), Besitz (zum Beispiel die Girokarte) und Inhärenz, also ein ständiges Merkmal des Kunden (zum Beispiel der Fingerabdruck). Die Elemente müssen voneinander unabhängig sein. Die Nichterfüllung eines Kriteriums darf die Zuverlässigkeit der anderen also nicht beeinträchtigen. Die Vertraulichkeit der Authentifizierungsdaten muss geschützt sein. Darüber hinaus muss der Authentifizierungsprozess Elemente umfassen, die den Zahlungsvorgang dynamisch mit einem bestimmten Betrag und einem bestimmten Zahlungsempfänger verknüpfen.

Haftungsverteilung

Für den Fall nicht autorisierter Zahlungsvorgänge sieht die Novelle – ebenso wie für autorisierte Zahlungsvorgänge – ausdifferenzierte Regelungen zu Anzeige, Nachweis und Haftung vor. Nicht autorisiert sind beispielsweise Zahlungsvorgänge, die mit verlorenen, gestohlenen oder auf andere Weise missbräuchlich verwendeten Zahlungsinstrumenten ausgeführt werden.

In solchen Fällen soll die Selbstbeteiligung des Zahlers künftig nur noch maximal 50 Euro des Schadens betragen – es sei denn, er handelt in betrügerischer Absicht, vorsätzlich oder grob fahrlässig. Den restlichen Betrag muss ihm der Zahlungsdienstleister erstatten.

Ist ein Zahlungsauslösedienstleister für den nicht autorisierten Zahlungsvorgang verantwortlich, entschädigt dieser wiederum den kontoführenden Zahlungsdienstleister für die Erstattungen, die dieser an den Zahler geleistet hat.

Informationen für Verbraucher

Die Richtlinie wird außerdem zu mehr Transparenz bei den Vertragsbedingungen führen, indem sie neue Informationspflichten für Zahlungsdienste vorschreibt. So müssen beispielsweise bestimmte Bargeldabhebungsdienste die Kunden über alle Gebühren für Geldabhebungen vor Ort informieren, sowohl vor der Abhebung als auch auf der Quittung.

Die Europäische Kommission wird bis Januar 2018 ein benutzerfreundliches elektronisches Merkblatt erstellen, in dem die Rechte der Verbraucher bei Zahlungsdiensten klar und leicht verständlich aufgeführt sind.

Die Europäische Bankenaufsichtsbehörde EBA wird ein zentrales elektronisches Register über Zahlungsinstitute und deren Agenten einrichten, in dem die Register der nationalen Aufsichtsbehörden zusammenfließen. Das Register soll für Kunden transparent sein.

Darüber hinaus arbeitet die EBA an verschiedenen Leitlinien und Technischen Regulierungs- und Durchführungsstandards, die die Vorgaben der Novelle konkretisieren sollen. Für den Kundenschutz wird insbesondere der geplante Technische Regulierungsstandard zur Authentifizierung und zur Kommunikation von Bedeutung sein.

Überprüfung

Die Europäische Kommission muss bis zum 13. Januar 2021 einen Bericht über die Anwendung und die Auswirkungen der Novelle vorlegen. Darin soll sie unter anderem bewerten, wie sich die Schwellenwerte auswirken, unterhalb derer bestimmte Zahlungsvorgänge durch Anbieter von elektronischen Kommunikationsnetzen oder -diensten nicht unter die Richtlinie fallen, und ob sie angemessen sind. Die Kommission kann den Bericht mit einem neuen Gesetzgebungsvorschlag verknüpfen.

Definition: Zahlungsdienste

Zahlungsdienste sind Dienstleistungen, die der Abwicklung des Zahlungsverkehrs dienen. Klassische Zahlungsdienstleister sind Banken; zunehmend treten aber auch neue, innovative Unternehmen auf den Plan, die gemeinhin als „FinTechs“ bezeichnet werden. Nach der neuen Zahlungsdiensterichtlinie sind Zahlungsdienste

• Dienste, die Bareinzahlungen sowie -abhebungen auf und von einem Zahlungskonto (zum Beispiel Girokonto) ermöglichen, sowie alle für die Führung eines Zahlungskontos erforderlichen Vorgänge,
• die Ausführung von Zahlungsvorgängen wie Lastschriften, Überweisungen und mittels Zahlungskarten, auch wenn diese durch einen Kreditrahmen gedeckt sind,
• die Ausgabe von Zahlungsinstrumenten und die Annahme und Abrechnung (Acquiring) von Zahlungsvorgängen,
• Finanztransfergeschäfte,
• Zahlungsauslösedienste und
• Kontoinformationsdienste.