Zahlungsdiensterichtlinie

Die Zahlungsdiensterichtlinie^[2] (manchmal abgekürzt als ZaDiRL^[3], zumeist jedoch PSD von englisch Payment Services Directive) reguliert Zahlungsdienstleister in der gesamten Europäischen Union (EU) einheitlich.

Richtlinie (EU) 2015/2366
Text von Bedeutung für den EWR
Titel:	Richtlinie (EU) 2015/2366 des Europäischen Parlaments und des Rates vom 25. November 2015 über Zahlungsdienste im Binnenmarkt, zur Änderung der Richtlinien 2002/65/EG, 2009/110/EG und 2013/36/EU und der Verordnung (EU) Nr. 1093/2010 sowie zur Aufhebung der Richtlinie 2007/64/EG
Bezeichnung: (nicht amtlich)	Zweite Zahlungsdiensterichtlinie, Payment Services Directive 2
Geltungsbereich:	EWR
Rechtsmaterie:	Zahlungsdiensterecht
Grundlage:	AEUV, insbesondere Artikel 114
Verfahrensübersicht:	Europäische Kommission Europäisches Parlament IPEX Wiki
Inkrafttreten:	12. Januar 2016
Ersetzt:	Richtlinie 2007/64/EG
In nationales Recht umzusetzen bis:	13. Januar 2018
Umgesetzt durch:	Gesetz zur Umsetzung der Zweiten Zahlungsdiensterichtlinie
Fundstelle:	ABl. L, Nr. 337, 23. Dezember 2015, S. 35–127
Volltext	Konsolidierte Fassung (nicht amtlich) Grundfassung
Regelung muss in nationales Recht umgesetzt worden sein.
Hinweis zur geltenden Fassung von Rechtsakten der Europäischen Union

Richtlinie 2007/64/EG
Text von Bedeutung für den EWR
Titel:	Richtlinie 2007/64/EG des Europäischen Parlaments und des Rates vom 13. November 2007 über Zahlungsdienste im Binnenmarkt, zur Änderung der Richtlinien 97/7/EG, 2002/65/EG, 2005/60/EG und 2006/48/EG sowie zur Aufhebung der Richtlinie 97/5/EG
Bezeichnung: (nicht amtlich)	(Erste) Zahlungsdiensterichtlinie, Payment Services Directive (1)
Geltungsbereich:	EWR
Rechtsmaterie:	Zahlungsdiensterecht
Grundlage:	EGV, insbesondere Artikel 47 Absatz 2 Sätze 1 und 3 und Artikel 95
Verfahrensübersicht:	Europäische Kommission Europäisches Parlament IPEX Wiki
Inkrafttreten:	25. Dezember 2007
Ersetzt:	Richtlinie 97/5/EG[1]
In nationales Recht umzusetzen bis:	1. November 2009
Fundstelle:	ABl. L 319 vom 5. Dezember 2007, S. 1–36
Volltext	Konsolidierte Fassung (nicht amtlich) Grundfassung
Regelung ist außer Kraft getreten.
Hinweis zur geltenden Fassung von Rechtsakten der Europäischen Union

Die Richtlinie soll den europaweiten Wettbewerb erhöhen und auch Nichtbanken, wie FinTechs, die Teilnahme an der Zahlungsbranche ermöglichen. Sie vereinheitlicht in der EU Rechte und Pflichten für Zahlungsdienstleister, Handelsunternehmen und Verbraucher.^[4]

Die Zahlungsdiensterichtlinie 2007/64/EG (PSD) wurde ersetzt durch die zweite Zahlungsdiensterichtlinie (EU) 2015/2366 (PSD2). Beide wurden von der Europäischen Kommission als EU-Richtlinien beschlossen. Sie schaffen ein europäisches Zahlungsdiensterecht.

PSD: Überblick

Die Selbstregulierungsinitiative des europäischen Bankensektors zur Schaffung des Europäischen Zahlungsraums (SEPA) ist im Europäischen Zahlungsverkehrsrat vertreten und legt die Harmonisierung von Zahlungsprodukten, Infrastrukturen und technischen Standards fest (Rulebooks für Überweisung/Lastschrift, BIC, IBAN, ISO 20022 XML-Nachrichtenformat, EMV-Chipkarten/Terminals). Die PSD stellt den gesetzlichen Rahmen für alle Zahlungsdienstleister.

Ein Ziel der Zahlungsdiensterichtlinie bestand darin, den Wettbewerb mit der Teilnahme auch von Nichtbanken zu fördern und durch die Harmonisierung des Verbraucherschutzes die Wettbewerbsbedingungen zu vereinheitlichen. Das Ziel der Zahlungsdiensterichtlinie in Bezug auf die Verbraucher war es, die Kundenrechte zu erhöhen, schnellere Zahlungen zu garantieren (spätestens am nächsten Tag ab dem 1. Januar 2012), Rückerstattungsrechte zu beschreiben, weitere Informationen über Zahlungen zu geben.^[5] Obwohl die PSD eine Harmonisierungsrichtlinie ist, erlauben bestimmte Elemente unterschiedliche Optionen durch einzelne Länder.

Der Zahlungsdiensterichtlinie PSD 1 trat am 25. Dezember 2007 in Kraft^[2] Sie sollte bis 1. November 2009 von allen EU- und EWR-Mitgliedstaaten in nationales Recht umgesetzt werden.^[6]

Technische Übersicht

Die Zahlungsdiensterichtlinie enthält zwei Hauptbereiche:

1. „Marktregeln“ beschreiben, wer Zahlungsdienste erbringen darf. Neben den Kreditinstituten (d. h. Banken) und bestimmten Behörden (z. B. Zentralbanken, Regierungsstellen) erwähnt die PSD die von der E-Geld-Richtlinie im Jahr 2000 geschaffenen elektronischen Geldinstitute. Dies schuf die neue Kategorie der „Zahlungsinstitute“. Organisationen, die keine Kreditinstitute sind, können die Zulassung als Zahlungsinstitut beantragen, wenn sie die Kapital- und Risikomanagementanforderungen erfüllen.
2. „Geschäftsleitungsregeln“ legen fest, welche Transparenz Informationsdienstleistungsinstitute wahren müssen, darunter Gebühren, Wechselkurse, Transaktionsreferenzen und maximale Ausführungszeit. Es legt die Rechte und Pflichten sowohl für Zahlungsdienstleister als auch Nutzer fest, wie Transaktionen autorisiert und durchgeführt werden, Haftung im Falle der unbefugten Verwendung von Zahlungsinstrumenten, die Erstattung von Zahlungen.

Jedes Land musste eine „zuständige Behörde“ für die aufsichtsrechtliche Überwachung der Zahlungsinstitute benennen.^[7]

Aktualisierungen

Die Zahlungsdiensterichtlinie wurde 2009 (Verordnung (EG) Nr. 924/2009) und 2012 (Verordnung (EU) Nr. 260/2012) aktualisiert. Ein Umsetzungsbericht von 2013 fand, dass die Zahlungsdiensterichtlinie die Bereitstellung einheitlicher Zahlungsdienste in der gesamten EU erleichterte und die Rechts- und Produktionskosten für viele Zahlungsdienstleister reduzierte. Zum Beispiel folgten die Gebühren für 100-EUR-Transfers mit einem weiteren Abwärtstrend auf 0,50 EUR Euro-Durchschnitt für Online-Überweisungen und blieben mit 3,10 EUR für am Bankschalter eingeleitete Transfers niedrig.

Verbleibende Probleme

1. Die Zahlungsdiensterichtlinie (PSD) gilt nur für Zahlungen im Europäischen Wirtschaftsraum, nicht aber für Transaktionen in oder aus Drittländern.
2. PSD-Befreiungen im Zusammenhang mit Zahlungsaktivitäten lassen Nutzer ungeschützt.
3. Die PSD-Option für Händler, eine Gebühr zu berechnen oder einen Rabatt zu geben, kombiniert mit der Option für Länder, diese zu begrenzen, führte zu „extremer Heterogenität am Markt“.
4. Es entstanden „Drittanbieter-Zahlungsdienstleister“, die das Online-Shopping durch kostengünstige Zahlungslösungen im Internet erleichtern, indem sie die Online-Banking-Systeme der Kunden mit ihrer Vereinbarung nutzen und den Händlern mitteilen, dass das Geld unterwegs ist. Andere „Kontoinformationsdienste“ bieten konsolidierte Angaben über verschiedene Konten eines Zahlungsdienstnutzers an.

Eine Harmonisierung der Erstattungsregeln für Lastschriften, die Verringerung des Geltungsbereichs des „vereinfachten Regimes“ für „kleine Zahlungsinstitute“ und die Themen Sicherheit, Zugang zu Informationen über Zahlungskonten oder Datenschutz wurden vorgeschlagen.

PSD2: Überarbeitete Zahlungsdiensterichtlinie

Am 8. Oktober 2015 verabschiedete das Europäische Parlament den Vorschlag der EU-Kommission zur Schaffung sichererer und innovativerer europäischer Zahlungen (PSD2). Am 16. November 2015 verabschiedete der Rat der Europäischen Union die Überarbeitete Zahlungsdiensterichtlinie (PSD2), Richtlinie (EU) 2015/2366. Die Mitgliedstaaten hatten bis 13. Januar 2018 Zeit, die Richtlinie in ihre nationalen Gesetze und Vorschriften umzusetzen.^{[8][9][10][11]}

Die neuen Regeln sollen Banken besser vor Betrug schützen, wenn Kunden online bezahlen, die Nutzung innovativer Online- und Mobilfunkzahlungen fördern und grenzüberschreitende europäische Zahlungsdienste sicherer machen.^[12][13] Kommissar Jonathan Hill, zuständig für Finanzstabilität, Finanzdienstleistungen und Union der Kapitalmärkte, sagte: „Diese Gesetzgebung ist ein Schritt in Richtung eines digitalen Binnenmarktes, der den Verbrauchern und Unternehmen zugutekommt und der Wirtschaft helfen wird.“

Zwei-Faktor-Anmeldung

Die Richtlinie PSD2 umfasst viele Regelungen. Aus Verbrauchersicht unmittelbar spürbar ist die Pflicht zur Zwei-Faktor-Anmeldung^[11] (2FA) im Onlinebanking und bei Bezahlungen mit Girokarte, Kreditkarte, PayPal usw. Ausgenommen sind Lastschrift, Kauf-auf-Rechnung und Nachnahme, bei denen kein unmittelbarer Zahlungsvorgang stattfindet. Weil die Regelungen für den Handel aufwendig umzusetzen und für den Verbraucher umständlich sind,^[14][15] wurde die Einführung in Deutschland mehrmals verschoben, von ursprünglich September 2019 auf zuletzt Mitte März 2021.^[16]

Um die „starke Kundenauthentifizierung“ zu erfüllen (engl. Strong Customer Authentication = SCA), sind für Zahlungsvorgänge offline wie online zwei Faktoren aus den drei Bereichen Wissen, Besitz und Biometrie vorgeschrieben:^[17]

• Wissen: Passwort, PIN, Bildschirmmuster, Frage nach dem Geburtsnamen der Mutter o. ä.
• Besitz: Karte, Smartphone, Security-Token, SMS-Empfang, Browser-Session^[18]
• Biometrie: Fingerabdruck, Stimme, Iris-Scan, …

Online ist der zweite Faktor ungleich schwieriger umzusetzen, denn offline war schon immer eine Karte zum Bezahlen nötig.

Schnittstellen

Die PSD2 soll auch Finanz-Start-ups (so genannte FinTechs) stärken. Banken müssen Schnittstellen (APIs) einrichten, über die Drittdienstleister auf Zahlungskonten der Bankkunden zugreifen können (Open Banking). Manche Banken sehen in Open Banking eine strategische Chance und öffneten sich frühzeitig über die regulatorischen Vorgaben der PSD2 hinaus, beispielsweise in Form von zusätzlichen Schnittstellen, die den Zugriff auf Kreditkarten- und Depotdaten ermöglichen.^[19][20] Andere ringen mit Fintechs um die richtige Auslegung – und die Frage, wie sie auf Kundendaten zugreifen dürfen. Die Banken beharren darauf, dass künftig nur noch Daten über spezielle Schnittstellen und nicht mehr per Screen Scraping der Onlinebanking-Oberfläche abgefragt werden.^[21] Nach einer Übergangsperiode müssen ASPSPs (Account Servicing Payment Service Provider bzw. kontobezogener Zahlungsdienstleister oder Banken) jedoch ab dem 14. September 2019 allen Drittanbietern entweder eine eigene dedizierte Schnittstelle bieten oder sie dieselbe nutzen lassen, wie sie ihren eigenen Kunden bereitstellen. Nur für den Fall, dass diese versagen, darf als Fallback-Szenario noch auf das Screen Scraping zurückgegriffen werden.^[22]

Gesetzgebungsverfahren

Am 27. November 2017 verabschiedete die EU-Kommission technische Regulierungsstandards für eine starke Kundenauthentifizierung und für sichere offene Standards für die Kommunikation, die elektronische Zahlungen in Geschäften und im Internet sicherer machen sollen. Diese technischen Regulierungsstandards legen unter anderem fest, wie Drittanbieter und kontoführende Zahlungsdienstleister sicher elektronisch miteinander zu kommunizieren haben. Nach Annahme der regulatorisch technischen Anforderungen (RTS) durch die Kommission hatte das Europäische Parlament und der Rat drei Monate Zeit, um diese zu prüfen. Sie wurden schließlich am 13. März 2018 als Delegierte Verordnung (EU) 2018/389 zur starke Kundenauthentifizierung und für sichere offene Standards für die Kommunikation im Amtsblatt veröffentlicht. Diese Verordnung gilt ab 14. September 2019. Bis dahin waren die technischen Regulierungsstandards umzusetzen.^[23]

• Die überarbeitete Richtlinie über Zahlungsdienste wurde in Deutschland mit dem Gesetz zur Umsetzung der Zweiten Zahlungsdiensterichtlinie^[24] am 13. Januar 2018 umgesetzt.^[25] Mit dem Änderungsgesetz wird das Zahlungsdiensteaufsichtsgesetz neu gefasst und die zivilrechtlichen Vorschriften im Bürgerlichen Gesetzbuch angepasst. Das Gesetz hat das Ziel, den bestehenden Rechtsrahmen für Zahlungsdienste an den technologischen Fortschritt anzupassen, die Sicherheit von Zahlungen zu verbessern und die Rechte der Kunden bei der Nutzung der gängigen Zahlverfahren zu stärken.^{[26][27][28][29]}
• In Österreich wurde die PSD2 mit dem Zahlungsdienstegesetz 2018^[30] umgesetzt. Dieses Gesetz trat am 1. Juni 2018 in Kraft.
• Die Schweiz muss die PSD2-Regulierung der EU nicht umsetzen, dennoch wird diskutiert, ob eine PSD2-äquivalente Regulierung eingeführt werden soll. In der Schweiz gewähren die Banken, insbesondere die Hypothekarbank Lenzburg,^[31] bereits heute Drittanbietern Zugriff auf Konten und öffnen die Kundenschnittstelle, wenn dies im beidseitigen Interesse von Bank und Kunden ist. Ein gesetzlicher Zwang für die Banken besteht jedoch nicht. Die Schweiz setzt somit auf marktwirtschaftliche Lösungen. Die Schweizerische Bankiervereinigung (SBVg) lehnt eine Regulierung analog zu PSD2 respektive eine gesetzlich erzwungene Öffnung der Zugriffsrechte für Dritte ab.^[32]

AISPs und PISPs

Die PSD2 hat zwei neue Gruppen von Zahlungsdiensteanbietern geschaffen:^[33][22]

A. Account Information Service Providers (AISPs) ‚Kontoinformationsdienste‘

AISPs sind berechtigt auf Zahlungs- und Abrechnungskonten des Kunden zuzugreifen und ihm konsolidierte Kontoinformationen bereitzustellen.

Beispiel: Martina möchte einen Überblick über ihre Finanzen bekommen. Wie viel Geld nimmt sie monatlich mit ihrem Onlineshop ein, wie viel Zins und Tilgung zahlt sie für ihr Darlehen, wie hoch sind ihre Kreditkartenabrechnungen etc. Dazu nutzt sie einen AISP, der die benötigten Informationen von den verschiedenen Konten und Banken besorgt und zusammenführt.

B. Payment Initiation Services Providers (PISPs) ‚Zahlungsauslösedienste‘

PISPs sind berechtigt elektronische Zahlungsvorgänge im Namen des Kunden einzuleiten.

Beispiel: Jan möchte etwas aus dem Onlineshop von Martina bestellen. Er besitzt keine Kreditkarte, nutzt kein paydirekt und eine TAN für eine Überweisung hat er auch nicht zur Hand. Er kann jedoch durch das Übermitteln von zusätzlichen Informationen (z. B. IBAN) eine Zahlung über einen PISP an Martina einleiten, so dass diese ihre Ware gefahrlos versenden kann.

Eine weitere Kategorie sind:

Deckungsabfragedienste:

Diese stellen ein kartengebundenes Zahlungsinstrument aus, wobei diese nicht das Zahlungskonto des Zahlungsdienstnutzers führen. Damit der drittkartenaustellende Emittent, der keinen Einblick in das Zahlungskonto des Zahlungsdienstnutzers hat, sein Kreditrisiko einschätzen kann, soll dieser nach Art. 65 der PSD2 beim zahlungskontoführenden Zahlungsdienstleister anfragen dürfen, ob ein ausreichender Geldbetrag zur Begleichung der offenen Forderung auf dem Zahlungskonto verfügbar ist. Das kontoführende Zahlungsinstitut ist zu einer Auskunft in Form einer „Ja“- oder „Nein“ -Meldung verpflichtet. Die Abfrage des exakten Kontostands ist nicht vorgesehen.

Gebührenübertragung auf Kunden

Aufgrund der überarbeiteten Zahlungsdiensterichtlinie, die seit dem 13. Januar 2018 giltt, verbot PayPal am 9. Januar 2018 in seinen Allgemeinen Geschäftsbedingungen seinen Händlern, PayPal-Gebühren auf Kunden umzulegen - es sei denn, mit Paypal war eine abweichende Praxis vertraglich vereinbart.^[34] Am 13. Dezember 2018 entschied das Landgericht München I im Fall Flixbus gegen PayPal, so dass auch Flixbus keine Gebühren auf Kunden weitergeben darf.^[35]

Das Münchner Oberlandesgericht kippte das Urteil im Oktober 2019 und hielt die Gebühren für zulässig.

Das Urteil wurde im März 2021 vom Bundesgerichtshof im Rahmen eines Musterverfahrens bestätigt. Der Händler darf die Kosten für PayPal, Klarna o. ä. an den Kunden weitergeben. Nur die im Gesetz explizit genannten Zahlarten Banküberweisung, Lastschrift, EC- und Kreditkarte müssen kostenfrei sein.^[36] Dadurch wird für den Kunden Kostentransparenz geschaffen und der Händler kann den Kostenvorteil durch günstige Zahlungsarten wie Überweisung an den Kunden weitergeben. Im Falle von PayPal ändert das Urteil des BGH keine gängige Praxis, da die AGB von PayPal es dem Händler verbieten, Aufschläge zu verlangen.^[37] Jedoch kann das Urteil Einfluss auf andere Zahlungsmittel haben. Größere Händler verhandeln zwar die Bedingungen mit PayPal direkt, konnten aber aufgrund derer Marktmacht auch keine Abweichungen in dieser Hinsicht durchsetzen.^[38]

PSD3: Überarbeitete Zahlungsdiensterichtlinie

Ab Oktober 2025 beginnt die Umsetzung der Zahlungsdiensterichtlinie in Version 3. Hierbei wird neben der IBAN auch der Name des Zahlungsempfängers obligatorisch mit dem bei der Bank registrierten Name bei Sofortzahlungen und bei regulären Überweisungen abgeglichen. Nur bei exakter Übereinstimmung des Zahlungsempfängers mit dem bei der Bank registrierten Inhaber der IBAN darf eine Überweisung getätigt werden.^[39]

Schlüsseldaten

• März 2000: Lissabon-Agenda, um Europa bis 2010 zur wettbewerbsfähigsten und dynamischsten wissensbasierten Wirtschaft der Welt zu machen
• Dezember 2001: Verordnung (EG) Nr. 2560/2001 über grenzüberschreitende Zahlungen in Euro
• 2002: Europäischer Zahlungsverkehrsausschuss – Gründung durch die Bankenbranche, um die SEPA-Initiative voranzutreiben und die wichtigsten nicht zahlungswirksamen Zahlungsinstrumente im gesamten Euroraum zu harmonisieren (bis Ende 2010)
• 2001–2004: Beratungszeitraum und Vorbereitung der PSD
• Dezember 2005: Vorschlag für PSD durch die GD Binnenmarktkommissar Charlie McCreevy
• 25. Dezember 2007: PSD trat in Kraft
• 1. November 2009: Frist für die Umsetzung in nationales Recht
• Aktualisierung im Jahr 2009: Beseitigung der Unterschiede bei den grenzüberschreitenden und nationalen Zahlungen in Euro (Verordnung (EG) Nr. 924/2009)
• Aktualisierung im Jahr 2012: Verordnung über grenzüberschreitenden Zahlungen, „multilaterale Austauschgebühren“ (Verordnung (EU) Nr. 260/2012)
• Juli 2013: Bericht über die Umsetzung der PSD und ihre beiden Updates
• 16. November 2015: Der Rat der Europäischen Union verabschiedet die PSD2 und gibt den Mitgliedstaaten zwei Jahre Zeit, die Richtlinie in ihre nationalen Gesetze und Verordnungen umzusetzen.
• 13. Januar 2018: Richtlinie 2007/64/EG ist aufgehoben und durch Richtlinie (EU) 2015/2366 ersetzt.
• 13. März 2018: Die Delegierte Verordnung (EU) 2018/389 der Kommission zur Ergänzung der Richtlinie (EU) 2015/2366 durch technische Regulierungsstandards für eine starke Kundenauthentifizierung und für sichere offene Standards für die Kommunikation wird im Amtsblatt veröffentlicht. Sie gilt seit 14. September 2019.

Literatur

• Markus Montz: PSD2: Was sich ab September beim elektronischen Bezahlen ändert. In: c’t. Nr. 15, 2019, S. 122–127 (heise.de [abgerufen am 14. Juli 2019] Grundlagenartikel und Umsetzungsstand).
• Thomas Klemm: EU-Richtlinie PSD2: Online Shopping wird zur Qual. In: Frankfurter Allgemeine Zeitung. Abgerufen am 7. August 2019.
• Dimitrios Linardatos: Das Haftungssystem im bargeldlosen Zahlungsverkehr nach Umsetzung der Zahlungsdiensterichtlinie. Nomos-Verlag, 2013, ISBN 978-3-8487-0709-6 (Veraltet, da vor PSD2).

Weblinks

• Text der Richtlinie
• European Union PSD official website
• European Payments Council
• Felix Strassmair-Reinshagen vom BaFin-Referat für Cybersicherheit in der Digitalisierung und Regulierung des Zahlungsverkehrs der Bundesanstalt für Finanzdienstleistungsaufsicht (15. Juni 2020): Starke Kundenauthentifizierung: Neue Pflicht wirkt sich auf Online-Banking und Bezahlen im Internet aus (Memento vom 1. Mai 2020 im Internet Archive). Archiviert vom Original am 1. Mai 2020.
• Bundesanstalt für Finanzdienstleistungsaufsicht (2016): Zweite Zahlungsdiensterichtlinie – Beitrag aus dem Jahresbericht 2016 der BaFin (Memento vom 1. Juli 2020 im Internet Archive). Ein Übersichtsartikel mit den wesentlichen Rechtsänderungen in Deutschland infolge der zweiten Zahlungsdiensterichtlinie. Archiviert vom Original am 1. Juli 2020.
• Bundesbank (ohne Datum): PSD2. Ein Übersichtsartikel, der die Umsetzung der zweiten Zahlungsdiensterichtlinie durch das Zahlungsdiensteumsetzungsgesetz mittels Text und Infografiken thematisiert. Archiviert vom Original am 1. Juli 2020.
  • Bundesbank (ohne Datum): Glossar PSD2 als Zusatzartikel zum PSD2 Hauptartikel der Bundesbank. Archiviert vom Original am 1. Juli 2020.
  • Bundesbank (ohne Datum): Häufig gestellte Fragen zu Drittdienstleistern als Zusatzartikel zum PSD2 Hauptartikel der Bundesbank. Archiviert vom Original am 1. Juli 2020.
  • Bundesbank (ohne Datum): Häufig gestellte Fragen zu Sicherheit und Privatsphäre als Zusatzartikel zum PSD2 Hauptartikel der Bundesbank. Archiviert vom Original am 1. Juli 2020.