EU-Kommission will Banksektor weiter öffnen und die Authentifizierung verbessern
Die EU-Kommission hat ein Gesetzespaket für Zahlungsdienstleistungen und einen offenen Finanzdatenraum vorgestellt. Sie will die PSD2 reformieren.
(Bild: KellySHUTSTOC / Shutterstock.com)
Vielen Geschäftsbanken und ihren Kunden dürfte die Umsetzung der EU-Zahlungsdiensterichtlinie PSD2 vor allem wegen der Umstellung auf die 2-Faktor-Authentifzierung (2FA) etwa beim Online-Banking noch im Magen liegen. Am Mittwoch hat die EU-Kommission ein umfangreiches Gesetzespaket vorgelegt, um den Zahlungsverkehr und den Finanzsektor im weiteren Sinne inklusive des Versicherungswesens vollends "in das digitale Zeitalter zu überführen".
Die geplanten Vorgaben sollen der Kommission zufolge den Verbraucherschutz und den Wettbewerb bei elektronischen Zahlungen stärken. Endkunden könnten künftig ihre Daten sicher weitergeben, um von einem breiteren Spektrum besserer und billigerer Finanzprodukte und -dienstleistungen zu profitieren. Diese Leitlinien hatte die Kommission bereits in ihrer Finanzstrategie 2020 umrissen.
Banken müssen Schnittstelle bereithalten
Teil der Initiative ist eine Novelle der EU-Zahlungsdiensterichtlinie PSD2. Mit dem geplanten Upgrade auf eine PSD3 will die Kommission unter anderem die Wettbewerbsbedingungen zwischen Banken und anderen Finanzakteuren weiter angleichen und die Funktionsweise des offenen Bankwesens ("Open Banking") verbessern. Dazu sollen verbleibende Hindernisse für die Bereitstellung offener Bankdienstleistungen beseitigt und die Kontrolle der Kunden über ihre Zahlungsdaten gestärkt werden.
Die aktuelle Richtlinie sieht nicht nur Wege für einen leichteren Kontowechsel und die 2FA-Pflicht auch beim Shopping im Internet vor. Finanzinstitute müssen damit auch eine einheitliche, offengelegte Schnittstelle bereithalten, um zertifizierten und bei Aufsichtsbehörden wie der Bafin registrierten Drittanbietern den Zugriff auf Kontodaten für unterschiedliche Anwendungen zu ermöglichen.
2FA vereinfacht
Mit dem PSD3-Entwurf soll nun klarer werden, unter welchen Umständen bestimmte Arten von Transaktionen, für die der Kunde Zahlungsaufträge nicht über elektronische Plattformen oder Geräte erteilt, von der Pflicht zur "starken Kundenauthentifizierung" ausgenommen sein können. Zugleich drängt die Kommission aber auf zusätzliche Schutzmaßnahmen vor Betrug. So soll etwa die Überprüfung, ob die IBAN der Zahlungsempfänger mit ihren Kontonamen übereinstimmt, für alle Überweisungen verbindlich werden.
Die Anwendung der 2FA bei Zahlungskonten-Informationsdiensten will die Kommission vereinfachen: Banken, die Inhaber von Zahlungskonten sind, sollen die starke Authentifizierung in der Regel nur beim ersten Zugriff auf entsprechende Daten durch Open-Banking-Dienstleister anwenden. Ausnahme ist, dass ein begründeter Betrugsverdacht besteht.
Gestärkt werden soll der Einsatz digitaler Wallets, in denen eine virtuelle Zahlungskarte gespeichert ist. Die 2FA muss hier dem Plan nach zum Zeitpunkt der Registrierung eines Zahlungsinstruments in der E-Brieftasche unter der Verantwortung der Zahlungsdienstleister durchgeführt werden, die dieses Instrument ausgegeben haben. Generell sollen alle Nutzer von Methoden zur 2FA profitieren können, "die ihren Bedürfnissen und Situationen angepasst sind". Anbieter dürften nicht nur auf eine einzige Technik, ein Gerät oder einen Mechanismus wie den Besitz eines Smartphones setzen.
Datenzugriff beschränken
Der Vorschlag soll ferner gewährleisten, dass die Open-Banking-Regeln mit der Datenschutz-Grundverordnung (DSGVO) besser harmonisieren. Die Kommission will so klarstellen, dass für Zahlungsdienstleister die Erlaubnis, auf personenbezogene Daten ihrer Kunden zuzugreifen und diese zu verarbeiten, beschränkt ist auf Informationen, die für die Erbringung der spezifischen, mit dem Kunden vereinbarten Zahlungsdienste erforderlich sind. Es gelte das Prinzip der Datenminimierung.
Die Verfügbarkeit von Bargeld in Geschäften und an Automaten soll verbessert werden, indem Einzelhändlern die Option erhalten, jenseits von "Cashback" Bargelddienstleistungen für Kunden zu erbringen. Ein Kauf wäre dafür nicht mehr erforderlich. Um die Akzeptanz von Bargeld zu steigern, hat die Kommission parallel einen eigenen Gesetzentwurf auf den Weg gebracht.
Dashboard für Berechtigungen
Zweite große Komponente des Pakets ist ein Verordnungsvorschlag für den Zugang zu Finanzdaten. Kunden sollen ein Recht erhalten, ihre Daten an Nutzer wie Finanzinstitute oder FinTechs "in einem sicheren maschinenlesbaren Format weiterzugeben". Dies soll Instrumente für den Vergleich von Finanzprodukten oder eine personalisierte Online-Beratung beflügeln. Inhaber von Kundendaten will die Kommission verpflichten, diese Daten anderen Finanzinstituten zur Verfügung zu stellen, "indem sie die erforderliche technische Infrastruktur einrichten und – als unerlässliche Voraussetzung für eine solche Weitergabe – die Zustimmung der Kunden einholen".
Banken und andere Finanzakteure sollen parallel angehalten werden, eine Art Übersichtscockpit in Form eines "Dashboards" bereitzustellen, mit dem Nutzer "alle Berechtigungen, die sie Drittanbietern für den Zugriff auf ihre Zahlungskontodaten erteilen, visualisieren und verwalten können". Zuvor hatten Verbraucherschützer den Datenschutz und eine gewisse Übergriffigkeit bei Zahlungsauslösediensten wie Sofort bemängelt, der zum schwedischen Anbieter Klarna gehört. Verbraucher sollen zudem in Fällen, in denen ihre Gelder vorübergehend gesperrt sind, mehr Rechte erhalten. Kontoauszüge und Informationen über Gebühren an Geldautomaten sind transparenter zu machen.
Daten teilen mit Datenkraken?
Dieser Entwurf sieht zudem klare Haftungsregelungen bei Datenschutzverletzungen und Streitbeilegungsmechanismen in Systemen für den Finanzdatenaustausch vor. Ferner sollen mit "einer angemessenen Vergütung" zusätzliche Anreize für Dateninhaber geschaffen werden, hochwertige Schnittstellen für Drittnutzer bereitzustellen.
Unter Kundendaten fasst die Kommission neben Informationen rund um Kredite, Spar- und Geldanlagen, betriebliche und private Altersvorsorge etwa auch solche zu Sachversicherungen. Daten, die zum Zwecke der Bonitätsbeurteilung (Scoring) von Unternehmen etwa durch Auskunfteien wie die Schufa erhoben werden, sind ebenfalls betroffen.
Außen vor bleiben sollen Kundendaten, bei denen "eine Gesamtkosten-Nutzen-Analyse ergab, dass die Risiken einer finanziellen Ausgrenzung die potenziellen Vorteile überwiegen könnten". Dies bezieht sich insbesondere auf Scorewerte natürlicher Personen sowie Lebens- und Krankenversicherungen. Martin Schmidberger von der ING-Bank beklagte schon vor Jahren, dass Datenteilen per PSD2 vor allem Datenkraken zugutekomme. Von dem vorgesehen breiten Finanzdatenraum dürften Big-Tech-Konzerne wie Amazon, Apple, Google oder Microsoft noch stärker profitieren.
(axk)
