BaFin-Einschätzung zu PSD2-Schnittstellen: FinTechs jubilieren

Dr. Christian Conreder, Rechtsanwalt, ist Associate Partner bei der Rödl Rechtsanwaltsgesellschaft SteuerberatungsgesellschaftDr. Christian Conreder

Eigentlich sollten von der Bankaufsicht beaufsichtigte Drittdienstleister – oder auch Third-Party-Provider genannt – ab dem 14. September 2019 nur noch über eine PSD2-Schnittstelle auf die von Banken für Ihre Kunden geführten Zahlungskonten zugreifen dürfen. Ein Zugriff bspw. via FinTS sollte ab diesem Zeitpunkt nicht mehr möglich sein. Dieser Plan wurde am vergangen Donnerstag von der BaFin zunächst ad acta gelegt, was zu einem Paukenschlag in der Branche geführt hat.

von RA Dr. Christian Conreder

Aufgrund der Umsetzung der Zweiten europäischen Zahlungsdiensterichtlinie (PSD2) sind Banken verpflichtet, Drittdienstleistern (Kontoinformationsdienste oder Zahlungsauslösedienste) ab dem 14. September 2019 einen kontrollierten Zugang zu Zahlungskonten (PSD2-Schnittstelle) zu ermöglichen, wenn der jeweilige Kunde dies wünscht. Über diese Schnittstelle können Drittdienstleister im Auftrag der Kunden auf deren Zahlungskonten zugreifen, bspw. zum Kontoinformationsabruf oder zur Zahlungsauslösung. Dieses wurde insbesondere in der begleitenden Delegierten Verordnung (EU) 2018/389 (Delegierten Verordnung) zur starken Kundenauthentifizierung und sicheren Kommunikation konkretisiert.

PSD2 – wie gut sind die Banken-APIs?

I Teil 1: DK erstaunt über BaFin-Bewertung der PSD2-APIs (Stellungnahme der DK)

II Teil 2: FinTechs jubilieren, Banken lecken ihre Wunden (Bewertung RA Conreder)

III Teil 3: RTS-konformer Zugriff verschafft Zeit (Stellungnahme FinTecSystems)

IV Teil 4: BaFin äußert Sorge wegen PSD2-APIs der Kreditinstitute (Einordnung KPMG Law)

Nach dieser können sich Banken auch dann vom Bereitstellen eines sog. Notfallmechanismus befreien lassen, wenn ihre PSD2-Schnittstellen – stark vereinfacht – allen Vorgaben der PSD2 und der Delegierten Verordnung entsprechen. Anderenfalls müssen Banken Drittdienstleistern die sog. Kundenschnittstelle, die auch die Zahlungsdienstnutzer nutzen, für den Zugriff zur Verfügung stellen. Banken waren bereits bis zum 14. März 2019 verpflichtet, eine angemessene Dokumentation der technischen Schnittstelle sowie eine entsprechende Testumgebung für Drittdienste bereitzustellen. Ebenfalls veranstaltete die BaFin mehrere sog. Workshops über das Testen von PSD2-Schnittstellen für alle relevanten Marktteilnehmern.

Das Einschreiten der BaFin

Über die Ausgestaltung der PSD2-Schnittstellen und die Migration auf die vorgenannte Schnittstellen gab es zwischen Banken und Drittdienstleistern bereits in der Vergangenheit mehrfach Uneinigkeiten. Dies rief nun die BaFin auf den Plan. In einem Rundschreiben teilte deren Exekutivdirektor Raimund Röseler mit, dass die BaFin vorliegende Anträge zur Erteilung einer Ausnahme von der Bereitstellung eines Notfallmechanismus nach Artikel 33 Absatz 6 der Delegierten Verordnung bis zum 14. September 2019 nicht positiv bescheiden könne. Damit hat die BaFin mittelbar zum Ausdruck gebracht, dass die derzeit von den Banken entwickelten PSD2-Schnittstellen nicht vollumfänglich den gesetzlichen Anforderungen entsprechen. Ebenfalls kritisiert die BaFin, dass die gesetzlich geforderte dreimonatige Testphase der Schnittstelle im breitem Umfang bis zum 14. September 2019 nicht erreicht werden wird. Aus diesem Grunde müssen Banken bis zum Zeitpunkt der Konformität, die derzeit von Drittdienstleistern genutzten Zugangsschnittstellen weiter zur Verfügung stellen. Dies kann sowohl die direkte Kundenschnittstelle (Web-Schnittstelle) als auch eine andere dedizierte Schnittstelle (wie bspw. FinTS) sein.

Kritikpunkte der BaFin an den PSD2-Schnittstellen den Banken

Autor Dr. Christian Conreder

Dr. Christian Conreder, Rechtsanwalt, ist Associate Partner bei der Rödl Rechtsanwaltsgesellschaft Steuerberatungsgesellschaft mbH am Standort Hamburg und leitet den Bereich Kapitalanlagerecht.

Der Schwerpunkt seiner anwaltlichen Tätigkeit liegt im Bank- und Kapitalmarktrecht, namentlich in den Bereichen des Zahlungsverkehrs- und Kapitalanlagerechts. Neben Kapitalverwaltungsgesellschaften, Emissionshäusern und Family Offices berät Herr Dr. Conreder u a. Banken, Zahlungsdienstleister, Kartenemittenten und FinTechs in zivil- und aufsichtsrechtlichen Fragestellungen.

In ihrem Rundschreiben konkretisiert die BaFin ihre Erwartungen an die PSD2-Schnittstellen:

1. Bei PSD2-Schnittstellen, die zur Authentifizierung nur den Weg des „Redirection“ anbieten, wird die BaFin nur dann eine Befreiung gewähren, wenn die konkrete Ausgestaltung kein Hindernis für Drittdienstleister darstellt.
2. Die BaFin wird keine PSD2-Schnittstelle akzeptieren, bei denen eine Bank bei einem externen Zugriff eine manuellen Eingabe der IBAN des Zahlungskontos erforderlich macht.
3. Ferner stellt nach Ansicht der BaFin die mangelnde Darstellung von Daueraufträgen ein Verstoß gegen die Anforderungen der PSD2 dar. Deshalb wird eine Schnittstelle, die dem Kontoinformationsdienstleister keine Daueraufträge anzeigt, ebenfalls von der BaFin nicht akzeptiert.

Die über den 14. September 2019 hinausgehende Nutzung der derzeit von Drittdienstleistern genutzten Zugangsschnittstellen – also Web-Schnittstelle oder FinTS – stellt für viele FinTechs und Drittdienstleister eine große Erleichterung dar, um einen reibungslosen Übergang auf die PSD2-Schnittstellen zu schaffen. Entsprechend groß dürfte die Erleichterung über die neu gewonnene Zeit in diesem Lager sein.

Die Deutsche Kreditwirtschaft (DK) zeigte sich in einer Pressemitteilung deutlich erstaunt über die Reaktion der BaFin, betonte aber, sich weiter konstruktiv beteiligen zu wollen.

Die BaFin wird nun für Anfang September 2019 einen weiteren Workshop über das Testen von PSD2-Schnittstellen planen, um so eine zufriedenstellende Lösung für alle Marktteilnehmer zu moderieren.”Dr. Christian Conreder

Sie finden diesen Artikel im Internet auf der Website:
https://itfm.link/93658

martina sagt:

19. August 2019 um 14:55 Uhr

So. Und was is nu mit SCA? Kommt das zum 14.9. oder gibts da Aufschub? Würden alle eCommerce Transaktionen ohne SCA vorschriftsgemäß abgelehnt, dürfte das ab dem 14.9 für eine gewisse Aufregung beim Endkunden sorgen. Aktuell gibt es nicht allzu viele Händler, die eine SCA anbieten.

Antworten

Stefan sagt:

20. August 2019 um 8:03 Uhr

Chapeau, Klarna & Co.! Alles richtig gemacht bisher! Nachdem die EBA vor Amazon eingeknickt ist, lässt sich jetzt die BaFin vor den Karren der TPPs spannen. Der Tonfall des BaFin-Schreibens war mehr als befremdlich. Alle kritisierten Punkte sind hausgemacht. In den Arbeitsgruppen auf dem Weg zur XS2A hatte die BaFin weder Vorgaben noch Meinungen zu den jetzt durch Herrn Rösler kritisierten Themen. Allerdings hatte sich die Klarna bei der BaFin vor zwei Wochen mit einer 15-seitigen Präsentation über die inkriminierten Punkte beschwert.
Das die BaFin jetzt vierzehn Tage vor dem 14. September einen Workshop zu Dauerauftrag et al abhalten wird, ist zumindest ein richtiger Lösungsansatz. Mal sehen, ob es neue Übergangsfristen wie z.B. in Italien geben wird.

BaFin-Einschätzung zu PSD2-Schnittstellen – FinTechs jubilieren, Banken lecken ihre Wunden

Das Einschreiten der BaFin

Kritikpunkte der BaFin an den PSD2-Schnittstellen den Banken

Schreiben Sie einen Kommentar Antworten abbrechen