15.12.2016: PSD2 - Verzögerung bei der Finalisierung der technischen Standards

Laptop und Kreditkarte

Über 260 Stellungnahmen trafen bei der Europäischen Bankenaufsichtsbehörde EBA zu ihrem Entwurf der Regulatory Technical Standards (RTS) zur starken Kundenauthentifizierung und sicheren Kommunikation im bargeldlosen Zahlungsverkehr ein. Wie wir im Artikel „Die europäische Zahlungsdiensterichtlinie PSD2 bietet Kreditinstituten große Chancen“ vom 03.11.2016 berichteten, stand der Entwurf für die RTS bis Ende Oktober 2016 zur Konsultation. Diese technischen Regulierungsstandards dienen als ergänzende Regularien für die europäische Zahlungsdiensterichtlinie (Payment Service Directive 2, PSD2), da die PSD2 in einigen Bereichen einen gewissen Gestaltungsraum zulässt. Die RTS richten sich an alle Zahlungsdienstleister gemäß PSD2. Sie werden ein angemessenes Maß an Sicherheit für den Verbraucher und gleichzeitig einen fairen Wettbewerb zwischen allen Zahlungsdienstleistern sicherstellen sowie die Entwicklung von benutzerfreundlichen, leicht zugänglichen und innovativen Zahlungsmitteln gewährleisten.

Viele Organisationen nutzten die Chance, ihre Meinung zu den technischen Regulierungsstandards zu äußern und Verbesserungsvorschläge hervorzubringen. Seit Beginn der Konsultationsphase im August 2016 ist eine Flut an Stellungnahmen zum RTS-Entwurf bei der EBA eingetroffen, so dass ein erheblicher Anpassungsbedarf bei den RTS zur starken Kundenauthentifizierung und sicheren Kommunikation im bargeldlosen Zahlungsverkehr besteht. Hingegen der ursprünglichen Annahme wird die finale Fassung der technischen Regulierungsstandards nicht im Januar 2017 veröffentlicht. Vielmehr ist derzeitig eine Verzögerung um mindestens einen Monat wahrscheinlich. In diesem Zusammenhang wird sich auch die Umsetzungspflicht bezüglich der Artikel der PSD2 verschieben, die sich mit der starken Kundenauthentifizierung und mit Standards für eine gemeinsame sichere Kommunikation befassen. Denn nach Artikel 115 Abs. 4 PSD2 müssen die in den Artikeln 65, 66, 67 und 97 genannten Sicherheitsmaßnahmen 18 Monate nach dem Zeitpunkt des Inkrafttretens der in Artikel 98 genannten technischen Regulierungsstandards angewandt werden.

Auch Deutsche Organisationen wie der Bundesverband Informationswirtschaft, Telekommunikation und neue Medien e.V. (Bitkom) oder die Deutsche Kreditwirtschaft äußerten Kritikpunkte am Entwurf der RTS. Laut Bitkom ist es beispielsweise notwendig, dass die technischen Regulierungsstandards systemunabhängige Anforderungen an die Schnittstellen mit seinen Elementen, Komponenten und Nachrichtenarten spezifizieren muss. Die Kreditinstitute sollten die technische Dokumentation auf Grundlage der Mindestanforderungen, die in der endgültigen Fassung der RTS festgelegt werden müssen, zur Verfügung stellen. So hilft es dritten Zahlungsdienstanbietern, die verschiedenen Schnittstellen für ihre Dienste zu nutzen. Es müssen Mindestbarrieren aufgestellt werden, die von allen Zahlungsdienstleistern eingehalten werden müssen, um damit ein europäisches Open Banking-System zu fördern. Der Bitkom schlägt vor, die Anforderung in den RTS nicht zu hoch zu setzen, da dies zu einer Situation führen würde, in der Menschen keine Mechanismen verwenden können. Es muss ein Gleichgewicht zwischen der notwendigen Sicherheit und Kundennutzen gefunden werden.

Die Deutsche Kreditwirtschaft verfolgt mit ihrer Stellungnahme das Ziel, für alle Anspruchsgruppen in der Zahlungskette gleiche Rahmenbedingungen mit entsprechenden Verantwortlichkeiten und Verbindlichkeiten zu schaffen. Sie ist der Auffassung, dass Drittanbieter die Kommunikationsschnittstelle nutzen sollte, die die Bank anbietet. Es sollte nicht mehr zulässig sein, diese Schnittstelle zu umgehen, um auf die Zahlungskonten zuzugreifen. Außerdem fordert die Deutsche Kreditwirtschaft, dass ein Kreditinstitut nicht von Drittanbietern gezwungen werden darf, Transaktionen ohne starke Kundenauthentifizierung zu verarbeiten. Auch mit dem Inhalt des Punktes 29 vom Abschnitt „Rationale“ stimmt die Deutsche Kreditwirtschaft nicht überein, d.h. der Ausschluss von Verhaltensdaten als Bestandteil einer starken Kundenauthentifizierung. Schließlich stimmt die Deutsche Kreditwirtschaft mit den Anforderungen überein, Zertifikate eines qualifizierten Treuhanddienstleisters im Rahmen der eIDAS-Verordnung zur gegenseitigen Identifizierung von Zahlungsdienstleistern zu verwenden. Jedoch sollten elektronische Siegel den Website-Zertifikaten vorgezogen werden.

Die Vielzahl an Stellungnahmen sowie die Ausführungen des Bitkom und der Deutschen Kreditwirtschaft belegen, dass der RTS-Entwurf noch einige Schwachstellen aufweist, die zu beseitigen sind. Wir empfehlen den Kreditinstituten und Zahlungsdienstleistern, weiterhin den Konsultationsprozess zu den technischen Regulierungsstandards zu beobachten und sich auf mögliche Änderungen bei der endgültigen Fassung der RTS einzustellen.


 

Zurück