Sektionen

Message
Payment Services Directive (PSD2)

Payment Services Directive (PSD2)

Die EU gestaltet mit der zweiten Edition der Payment Services Directive, kurz PSD2, die Spielregeln im Banking und insbesondere im Zahlungsverkehr neu. PSD2 verpflichtet unter anderem Banken in der EU, Drittanbietern Zugang zu Bankkonten zu gewähren. Die PSD2-Regulierung der EU gilt nicht für die Schweiz. Die Schweiz setzt auf marktwirtschaftliche Lösungen. Eine PSD2-analoge Regulierung in der Schweiz ist unnötig.

PSD2 verpflichtet unter anderem Banken in der EU, Drittanbietern (sog. Third Party Payment Service Provider, TPP) Zugang zu Bankkonten zu gewähren. Zu diskutieren gibt im Besonderen das sogenannte Screen Scraping.

Screen Scraping bezeichnet eine Technologie, um Informationen von Websites durch direktes Extrahieren der relevanten und gewünschten Daten zu gewinnen.
Wenn Screen Scraping akzeptiert werden sollte, würden Drittanbietern de facto einen Blankocheck erhalten und könnten im Namen der Kunden, Zahlungen direkt ab Konto ausführen oder sich Kontodaten beschaffen. Sollte Screen Scraping nicht betrieben werden können, hängt die Art und Weise des Zugriffs stark von der Umsetzung und Ausgestaltung der Schnittstelle der Bank ab.

PSD2 gilt nicht für die Schweiz

Die Schweiz muss die PSD2-Regulierung der EU nicht umsetzen, dennoch wird auch hier diskutiert, ob eine PSD2-äquivalente Regulierung eingeführt werden soll. In der Schweiz gewähren die Banken bereits heute Drittanbietern Zugriff auf Konten und öffnen die Kundenschnittstelle, wenn dies im beidseitigen Interesse von Bank und Kunden ist. Ein gesetzlicher Zwang für die Banken besteht jedoch nicht. Die Schweiz setzt somit auf marktwirtschaftliche Lösungen.

Die Schweizerische Bankiervereinigung (SBVg) lehnt eine Regulierung analog zu PSD2 respektive eine gesetzlich erzwungene Öffnung der Zugriffsrechte für Dritte aus folgenden Gründen ab:

  • Eine PSD2-analoge Regulierung in der Schweiz ist unnötig, weil kein Handlungsbedarf besteht, der Wettbewerb funktioniert und die Banken schon heute (unabhängig von PSD2) zahlreiche innovative Lösungen anbieten. Ein regulatorischer Zwang zur Öffnung wäre ein unnötiger Eingriff in den funktionierenden Markt und würde zu einer Wettbewerbsverzerrung zu Ungunsten der Banken führen.
  • Das Thema Sicherheit der Kundendaten spielt im elektronischen Banking eine zentrale Rolle. Die höchste Sicherheit kann nur garantiert werden im Zusammenwirken von Kunde und Bank. Eine staatlich erzwungene Öffnung ist gefährlich, weil bankenspezifische Sicherheitsprinzipien nicht vollumfänglich adressiert werden und sich so Sicherheitslücken auftun.
  • Auf Seiten der Finanzinstitute würden zusätzliche Aufwände und Kosten in den Bereichen Sicherheitsstruktur und Compliance entstehen, die letztlich der Kunde bezahlen müsste.

Eine einseitige Öffnung der Zugriffsrechte für Dritte, wie es die PSD2 innerhalb der EU verlangt, ist ein Experiment auf Kosten der Bankkunden, das gefährliche Verwirrung schafft und die Datensicherheit der Kunden untergräbt.

Was ist PSD2?

PSD2 soll in der EU einen einheitlichen Rechtsrahmen für elektronische und mobile Zahlungsauslösedienstleister und Kontoinformationsdienstleister schaffen, welcher von den EU-Mitgliedstaaten anfangs 2018 umzusetzen ist. PSD2 sieht vor, den sicheren Zahlungsverkehr für TPPs aufzubrechen. Bankfremde Anbieter sollen Zugang zu sensiblen Kundendaten erhalten. Die Banken müssen dabei diesen Dritten Schnittstellen für einen Zugang zu den Kundendaten kostenlos zur Verfügung stellen. Als neue Zahlungsdienstleister sind einerseits Zahlungsauslösedienstleister (sog. PISPs – Payment Initiation Service Providers) vorgesehen und andererseits Kontoinformationsveredler (sog. AISP – Account Information Service Providers). Es gibt jedoch selbst in der EU noch viele ungeklärte Punkte bei PSD2 in Bezug auf die technische Spezifikation der Schnittstellen, die Abschätzung der Folgekosten oder wie sicherheitstechnischen Bedenken Rechnung getragen werden kann.

Der Teufel liegt im Detail

Im Winter 2017 wurde der finale Entwurf der Regulatory Technical Standards (RTS) durch die European Banking Authority (EBA) vorgelegt. Die EBA hat dabei technische Standards für eine starke Kundenauthentifizierung formuliert. Gemäss dem vorliegenden Entwurf wird der Zugriff für die neuen Dienstleister nur über eine separate Schnittstelle (mit zusätzlicher Notschnittstelle) zugelassen. Screen Scraping soll nicht mehr erlaubt sein, also die Datenbeschaffung über die Schnittstelle des Kunden. Der Begünstigte und der Betrag werden zudem neu mit der Authentifizierung verlinkt sein. Ende Mai 2017 hat jedoch die EU-Kommission die EBA aufgefordert, die Zulässigkeit von Screen Scraping erneut zu prüfen. Nach wie vor gibt es in der EU im Zuge der Umsetzungsarbeiten verschiedene offene Fragen. Die technischen Konkretisierungen (EBA-Richtlinien) können frühestens im Mai 2019 in Kraft treten. Dies hat eine Lücke zur Folge zwischen PSD2 und den EBA-Richtlinien.

Ein wirtschaftliches Experiment auf Kosten der Sicherheit und des Datenschutzes

Die Kunden haben Anspruch auf hohe Sicherheit im elektronischen und mobilen Banking. Eine staatlich erzwungene Öffnung von Schnittstellen birgt jedoch grosse Gefahren im Bereich der Sicherheit. Zum Beispiel stellt sich die Frage, ob die Zahlungsauslösedienste den vollen Zugang zum elektronischen Bankkonto erhalten, was bedeuten würde, dass diese Dienstleister auch zu allen Bankkonten und -depots der elektronischen Kundenbeziehung Zugang hätten. Das käme einer Aushändigung eines Blankochecks inklusive sämtlicher Kontoauszüge gleich, der Drittanbieter wüsste dann über alle Vermögenswerte Bescheid und könnte sämtliche Zahlungsposten wie beispielsweise Miet- und Lohnzahlungen, die Versicherung, Krankenkasse, Mobiltelefonanbieter einsehen. Für den Kunden wird es zudem immer schwieriger zu erkennen, was mit seinen Daten geschieht, wo sie gespeichert werden und welche Rechte er hat. Mit der erzwungenen Öffnung der Bankkonten sind die Konsequenzen für den Kunden schwer abzuschätzen.

Ziel verfehlt

PSD2 wird nicht primär den europäischen oder gar schweizerischen Startups helfen, sondern den globalen Tech-Giganten in die Hände spielen. Sie können die Kundendaten auf ihren weit verbreiteten Plattformen aggregieren. Damit verfehlt PSD2 auch das Ziel. Die Schweizer Tradition der freiwilligen Investitionen in die Zukunft zeigt einen anderen Weg: Die Schweizer Banken investieren in Fintech-Lösungen und arbeiten dazu eng mit Startups und Lösungsanbietern aller Art zusammen. Die Schweizer Banken sind somit – unabhängig von PSD2 –daran, selber respektive mit Partnern und Fintech-Firmen mögliche Anwendungen zu entwickeln, um damit mit innovativen Lösungen den Kundennutzen zu stärken.

Marktgerechte Lösungen in der Schweiz auch ohne PSD2

  • Die Banken können Kundenschnittstellen bereits heute öffnen, wenn es im Interesse von Bank und Kunde ist.
  • Die Schweiz muss PSD2 nicht umsetzen (weder direkt noch indirekt), da sie weder Mitglied der EU noch des EWR ist und sich auch keine entsprechende Verpflichtung in den bilateralen Abkommen mit der EU findet.
  • Schweizer Banken bieten schon jetzt und ohne regulatorischen Zwang zahlreiche innovative Bezahl- und Finanzverwaltungslösungen an. Beispiele sind:
    • Im E-Banking lassen sich mit der E-Rechnung vorerfasste Rechnungen elektronisch prüfen und begleichen. E-Rechnungen sind sehr sicher, weil der Rechnungssteller von der Bank authentifiziert wird, was bei einer Papierrechnung nicht der Fall ist.
    • Ab 2019 erhält der Einzahlungsschein einen QR-Code mit sämtlichen Zahlungsinformationen. Eine Innovation, welche optimal die Brücke aus der alten, papierbasierten Welt in die neue digitale Welt schlägt.
    • Im Markt gibt es einige Beispiele von gut funktionierenden Partnerschaften, die auf sichere, standardisierte Schnittstellen setzen. So zum Beispiel der automatisierte Datenaustausch zwischen E-Banking und Buchhaltungsprogrammen.
    • Bezahl-App TWINT: Gibt dem Kunden bereits heute die Möglichkeit P2P-, E-Commerce- und POS-Zahlungen direkt ab Konto sicher komfortabel zu erledigen