Payment Service Directive II –Technische Spezifikation und Implikationen

• PSD II definiert fachliche Anforderungen des Kontozugriffs durch Drittanbieter

• Technische Spezifikationen des Zugriffs sowie Kommunikationsprotokolle offen

• Die Authentifikation von Nutzern der Drittanbieter ist zentrales Thema

Mit der Novelle der Payment Service Directive (PSD II) verfolgt der europäische Regulierer die Absicht, den Wettbewerb im Bereich der Zahlungsdienstleistungen weiter zu stärken.  Bisherige Initiativen der Finanzinstitute, wie beispielsweise die ZOB-Schnittstelle (Zentrale Online Banking Schnittstelle) bzw. FinTS (Financial Transaction Services), führten aus unterschiedlichen Gründen zu ungenügender Akzeptanz am Markt.

Aus diesem Grund sollen die Banken im Rahmen der PSD II dritten Zahlungsdienstleistern Zugriff auf die Konteninformationen und Funktionen im Onlinebanking gewähren und zu diesem Zweck eine technische Schnittstelle bereitstellen.

Die zweite Version der Payment Service Directive befindet sich derzeit in der regulatorisch-technischen Spezifikationsphase der EBA. Zentrale Punkte dieses Spezifikationsprozesses werden massive Auswirkungen auf die IT-Infrastruktur der Banken und künftige Geschäftsprozesse haben. Auch wenn die PSD II nicht vor 2018 umgesetzt werden muss, erzwingt sie bereits jetzt aufseiten der Banken die Notwendigkeit zur Vorbereitung der Umsetzungen sowie die strategisch günstige Ausrichtung zum Umgang mit der Situation auf dem neuen Payments-Markt.

Payment Service Provider und Rollen der PSD II

Zum grundlegenden Verständnis ist es essenziell, den Umfang und Fokus der PSD II zu erfassen. Die PSD II konzentriert sich im Wesentlichen auf drei Rollen von Zahlungsdienstleistern (sog. Payment Service Provider), welche entsprechende Zahlungsdienste (Payment Services) anbieten. Es werden insgesamt drei Zahlungsdienste definiert: ein Payment Initiation Service (PIS) zur Auslösung von Zahlungen, ein Account Information Service (AIS) zur Abfrage von Kontoinformationen und ein Payment Instrument Issuing Service (PIIS) zum Abruf von Kontodeckungsinformationen bei Einsatz eines Zahlungsinstruments.

Abbildung 1: Die Payment Service Directive II (Access to Account) setzt den Rahmen für drei konkrete Dienste

Die drei Payment Services umfassen Funktionalitäten, welche der Käufer (Payment Service User – PSU) auch über sein Onlinebanking nutzen kann bzw. bislang nur darüber nutzen konnte. Die Bereitstellung eines dieser Dienste durch einen Drittanbieter ist an die Onlinefähigkeit des Zahlungskontos gebunden. In ihrer einfachsten Form können somit die Payment Services als langer Arm eines Dritten bezeichnet werden, welcher auf Anweisung des PSU handelt.

Prozesse der PSD II

Die Bereitstellung einer Schnittstelle durch die Banken zur Ermöglichung des Kontozugriffs via Drittanbieter erfordert für alle Teilnehmer die Implementierung von Prozessen, welche den Zugriff auf das Konto eindeutig regeln und somit eine standardisierte Kommunikation ermöglichen. Die PSD II definiert hier zuvorderst Obligationen und Anforderungen der Zahlungsverkehrsteilnehmer, spezifiziert jedoch keine Kommunikationsabläufe einer solchen Schnittstelle. Dementsprechend sind mehrere Varianten solcher Prozesse vorstellbar, welche das durch die PSD II geforderte Spektrum funktional abdecken.

Die Vorbereitung aufseiten von Kontoanbietern erfordert somit die tiefgehende Auseinandersetzung mit der PSD II auf funktional-technischer Ebene. Das Verständnis der zugrundeliegenden Zahlungs- und Kommunikationsprozesse ist ein essenzieller Vorteil in der effektiven Vorbereitung der eigenen IT-Systeme und ermöglicht die zukunftssichere Planung von Anpassungen.

Authentifikation und Autorisierung

Als zentrales Thema der PSD II, welches zumindest noch bis zur Veröffentlichung der Regulatory Technical Specifications (RTS) nicht vollkommen erfassbar bleibt, ist die Frage nach der Authentifikation des Zahlers positioniert Es ist vor allem offen, wer in welchem Fall eine Authentifikation des PSU durchzuführen und somit die Identität des PSU zu überprüfen hat. Insbesondere vor dem Hintergrund potentieller Haftungsfragen im Falle von Betrug oder Versagen des Verfahrens ist dieser Aspekt der PSD II viel diskutiert und somit als wichtiger offener Punkt zu klären. Die PSD II fordert zur Authentifikation und Autorisierung von Aktionen am Konto, bisher recht allgemein, die Verwendung von offenen Standards von allen Zahlungsprozessteilnehmern. Mehrere Varianten dieser offenen Standards, wie beispielsweise eine Token-basierte Authentifikation und Autorisierung durch die kontoführende Bank, stehen zur Diskussion.

Technische Risiken

Die PSD II bietet aufgrund ihres Fokus‘ auf Anforderungen und Pflichten hinreichend Raum für Gestaltungsmaßnahmen. Diese offenen Punkte gehen natürlich einher mit Risiken, welche in ihren Ausmaßen und der zu tragenden Verantwortung zu definieren sind. Auch wenn die PSD II bereits spezifische Angaben zu Dokumentationspflichten und Entschädigungszeiträumen macht, bleiben weitere Risiken und Aufwendungen ungeklärt. Die speziellen Verhaltensweisen im Falle von detektierten Fraud-Fällen – besonders durch PSPs – sind beispielsweise noch unklar. Die erhöhte Last durch teilweise automatisierte Anfragen für die Banken etwa und die einhergehenden möglichen Angriffsszenarien durch Denial-of-Service-Attacken stellen große Hürden dar, auf welche sich die Banken und Zahlungsdienstleister frühzeitig einstellen müssen. Rechtzeitige Kenntnis der Anforderungen und technischen Implikationen können hier helfen: sowohl bei der Vorbereitung auf die Implementierungsphase als auch zum Nutzen strategischer Momente.

Die sich für Banken ergebenden strategischen Chancen sind somit ebenfalls im Blick zu behalten und sollten die Überlegungen zu den regulatorischen Anforderungen flankieren. Hierzu gehört einerseits die Nutzung der Payment Services durch die Banken selber und damit einhergehend auch die Nutzung der Daten; andererseits das Anbieten von effektiv hochwertigeren Services. Auch ist die Monetarisierung von Premium-Angeboten für Drittdienstleister als Payment-Hub oder Infrastrukturdienstleister denkbar. Die bereits bestehenden und nutzbaren Synergien der beiden aktuellen Entwicklungsbereiche Technik und Markt lassen sich um eine dritte Dimension der Regulatorik, hier prominent vertreten durch die PSD II, erweitern. Zu ihrer positiven Nutzung und Vorbereitung auf Payments im Jahre 2020 werden die Grundsteine bereits jetzt gelegt.