PSD2 – Chaos in den letzten Wochen vor Ende der Umsetzungsfrist / Aufschub für Kreditkartenzahlungen durch BaFin

Wie wir bereits berichtet haben, endet am 14.09.2019 die Umsetzungsfrist für die restlichen Vorgaben der PSD2-Richtlinie. Für Onlinehändler bedeutet dies in erster Linie, dass diverse Zahlungsdienste technisch künftig so integriert werden müssten, dass eine sog. starke Kundenauthentifizierung gewährleistet ist. Leider ist es - trotz knapper Zeit – um viele Zahlungsdiensteanbieter sehr still geworden, was die technische Umsetzung der PSD2-Vorgaben betrifft. Banken, Zahlungsanbieter und Handel scheinen aktuell den gesetzlichen Vorgaben noch deutlich hinterherzuhinken.

Worum geht es?

Bereits zum 13.01.2018 wurde die PSD2-Richtlinie in deutsches Recht umgesetzt. Die Richtlinie soll den elektronischen Zahlungsverkehr europaweit sicherer und bequemer gestalten sowie den Wettbewerb unter den Zahlungsdiensteanbietern ankurbeln.

Bis zum 14.09.2019 sind mehrere technische Teilaspekte der PSD2-Richtlinie umzusetzen. Dazu gehören insbesondere die folgenden Vorgaben:

• die Einführung einer starken Kundenauthentifizierung (SCA) zur Erhöhung der Sicherheit bei Vornahme elektronischer Zahlungen;
• die Schaffung von Datenschnittstellen (API) seitens der Banken, damit Drittanbieter wie Finanz-Start-ups, andere Banken und Zahlungsdienstleister auf die Zahlungskonten der Bankkunden zugreifen können;
• die Bereitstellung eines Notfallmechanismus seitens der Banken (Fallback), um zu verhindern, dass dritten Zahlungsdienstleistern der Zugang wegen „schlechter“ Schnittstellen verwehrt wird.

Die Vorgaben hinsichtlich SCA berühren mittelbar auch den klassischen Onlinehändler, da dieser in aller Regel betroffene elektronische Zahlungsdienste (wie z.B. Paypal oder Kreditkartenzahlung) in seinen Shop implementiert hat. Geht es nach der PSD2, sollen Paypal und Kreditkartenzahlung ab dem 14.09.2019 nur noch unter Einhaltung einer SCA laufen.

Was die PSD2 – die primär an die Zahlungsdiensteanbieter adressiert - für Onlinehändler bedeutet, haben wir hier bereits für Sie aufbereitet:

Schleppende (technische) Umsetzung

Aktuell zeigt sich, dass viele Banken und Zahlungsdienstanbieter die neuen Vorgaben wohl gar nicht bis zum Stichtag umsetzen werden können.

Sei es aufgrund eines zu späten Starts der Umsetzung oder aufgrund der technischen Komplexität: Bis zum 14.09.2019 dürfte es nach Einschätzung von Branchenkennern sehr unwahrscheinlich sein, dass die neuen Vorgaben der PSD2 flächendecken eingehalten werden können.

Nachfolgend möchten wir einen kurzen Überblick über den aktuellen Stand sowie diverse nationale Alleingänge behördlicherseits schaffen.

EBA preschte bereits im Juni vor

Die Europäische Bankenaufsicht (EBA) hat bereits im Juni 2019 grünes Licht dafür gegeben, dass nationale Aufsichtsbehörden in Sachen SCA zumindest in Ausnahmefällen den Zahlungsdiensteanbietern mehr Zeit für eine Umsetzung gewähren dürfen.

Bereits mit dieser Stellungnahme der EBA wurde die Frist zum 14.09.2019 aufgeweicht, wenngleich die EBA der Forderung der Lobbyisten nach einem für alle Zahlungsdiensteanbieter gültigen pauschalen Aufschub nicht nachgekommen ist.

Nun räumt auch die BaFin Aufschub für Umsetzung der SCA ein

Mit einer aktuellen Pressemitteilung vom 21.08.2019 teilte die deutsche Bundesanstalt für Finanzdienstleistungsaufsicht mit:

"Zahlungsdienstleister mit Sitz in Deutschland dürfen Kreditkartenzahlungen im Internet ab dem 14. September 2019 vorerst auch ohne Starke Kundenauthentifizierung ausführen. Die Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) wird dies zunächst nicht beanstanden. Sie will damit Störungen bei Internet-Zahlungen verhindern und einen reibungslosen Übergang auf die neuen Anforderungen der Zweiten Zahlungsdiensterichtlinie (Payment Services Directive 2 – PSD 2) ermöglichen."

Dies bedeutet, dass die BaFin – ohne den genauen Zeitrahmen zu nennen – davon absehen wird, gegen Zahlungsdiensteanbieter vorzugehen, die auch nach dem 14.09.2019 die Kreditkartenzahlung ohne SCA durchführen.

Wenn sich schon eine Behörde dazu veranlasst sieht, den Zahlungsdiensteanbietern derartige Zugeständnisse zu machen, muss es in der Praxis mit der Umsetzung der SCA in vielen Fällen wohl noch sehr düster aussehen.

Nationale Alleingänge konterkarieren EU-Einheitlichkeit

Die BaFin steht damit nicht alleine da.

In Großbritannien hat die britische Finanzaufsichtsbehörde FCA kürzlich für die Einführung der SCA eine Übergangsfrist von 18 Monaten beschlossen. Zahlungsdiensteanbieter, welche die SCA noch nicht implementiert haben, daran jedoch bereits arbeiten, sollen binnen dieser Übergangsfrist keine Strafen befürchten müssen.

Auch aus Irland, Italien und den Niederlanden wird hinsichtlich SCA Ähnliches berichtet.

Damit wird der Sinn einer europäischen Richtlinie – die ja gerade eine EU-weit einheitlichen Rechtsrahmen schaffen soll – in Frage gestellt.

Aktuell scheinen hier einige nationale Aufsichtsbehörden ihr eigenes Süppchen zu kochen, wohl aus der puren Not heraus, dass die Anbieter den neuen Anforderungen technisch aktuell nicht im Ansatz gewachsen sind (und andernfalls erhebliche Einschränkungen im Zahlungsverkehr drohen würden).

Fazit: Nichts wird so heiß gegessen wie es gekocht wird

Das Thema PSD2 betrifft Onlinehändler generell rechtlich nur am Rande.

Praktisch bzw. technisch jedoch geht das Thema Händler jedoch sehr wohl etwas an, Stichwort „Kaufabbruch“.

Wenn schon SCA technisch umgesetzt werden soll, muss diese auch reibungslos und für den Zahlenden in zumutbarer Weise umgesetzt werden, sonst vergeht dem Interessenten schnell die Freude am Onlineshopping.

Onlinehändler dürfen sich nun die berechtigte Frage stellen, wie diese denn dafür sorgen sollen, dass in ihren Shops technisch zum 14.09.2019 nur noch „PSD2-kompatible“ Zahlungsarten angeboten werden, wenn es viele Zahlungsdiensteanbieter selbst aktuell gar nicht schaffen, ihre Dienste entsprechend technisch anzupassen, so dass diese die PSD2-Vorgaben überhaupt erfüllen.

Händler können daher auch gute 3 Wochen vor dem Stichtag weiterhin nur abwarten, bis die Zahlungsdiensteanbieter ihre Infrastruktur entsprechend angepasst haben. In Deutschland jedenfalls haben durch die „Befreiung“ seitens der BaFin Kreditkartenanbieter erst einmal eine gewisse Narrenfreiheit, was die Implementierung von SCA betrifft.

Tipp: Sie haben Fragen zu dem Beitrag? Diskutieren Sie hierzu gerne mit uns in der Unternehmergruppe der IT-Recht Kanzlei auf Facebook.