Payment Services Directive 2 (PSD2) – Grundlagen und Erklärung der EU-Regulation

Schon wieder eine EU-Verordnung? Die Payment Services Directive 2 (PSD2) als Treiber der Banken- und Paymentrevolution

PSD2 – ist das die DSGVO für ePayment und Banking? Überall wird digitalisiert und reguliert. Bank, Behörde, Post und Telefon – Begriffe, die so gar nicht in unsere heutige Zeit passen. Bankfilialen, Ämter, der gute alte Postbrief und das klassische Telefon sind eigentlich nichts, was wir mit Digitalisierung, Fortschritt und Komfort in Verbindung bringen. Für viele noch mit Sicherheit und Beständigkeit assoziiert, werden oder wurden einige von diesen Institutionen bereitgestellten Dienste langsam aber sicher abgeschafft. Die Bank ist eine App. Telefoniert wird über das Internet. Die Post liefert vielerorts mehr Amazon-Pakete als klassische Briefpost aus. Das eigene KFZ ummelden? Für viele ein klassischer Behördengang, aber wer kauft in ein paar Jahren noch Autos? Die junge Generation will lieber ein neues Handy, nutzt Carsharing und lässt die vom Dieselskandal gebeutelten Automobilhersteller als reine Hardware-Lieferanten links liegen. Sieht man sich Vorreiter der Digitalisierung in Europa an, so sind Verwaltungsapparat und Gesundheitswesen die nächsten Kandidaten für die digitale Durchdringung.

Alles digital, alles mit dem Handy

Wir verwenden quasi alle Services, welche wir im täglichen Leben benötigen, von unserem Handy aus – also digital. In aller Munde sind vor allem Banken. Sie sind zum reinen Obligatorium geworden, um Geldbeträge zu verwahren, das Gehalt zu bekommen oder die Miete zu bezahlen. Im täglichen Leben bezahlen wir schon lange online, Bankfilialen sterben wie die Fliegen und mit Bargeld ist in Ländern wie Schweden bereits kein Mittagessen mehr zu bekommen.

All dies klingt sehr futuristisch – kein Wunder, dass vielerorts das Vertrauen in die schöne digitale Welt noch etwas hintenansteht. Wer sorgt hier für Ordnung? Auf was kann ich mich verlassen? Was hat morgen noch Bestand? Die EU hat deshalb mit diversen Maßnahmen begonnen, unsere für eine analoge Welt vor dem Jahr 2000 verabschiedeten Gesetze auf europäischer Ebene neu zu entwerfen. Diese werden in Form von Verordnungen an die Mitgliedsstaaten weitergegeben, wo sie in nationales Recht umzusetzen sind. Allen voran die Datenschutz-Grundverordnung (DSGVO) von Mai 2018, welche vielerorts als kompliziert, unnötig und zu kurzfristig angesetzt verstanden wurde. Allerdings wurden mit der DSGVO die geltenden Datenschutzgesetze auf einen neuen, zeitgemäßen Level gehoben und die Betroffenenrechte von Individualpersonen zum ersten Mal überhaupt klar geregelt. Konkret hat der Bürger nun zum ersten Mal eine realistische Handhabe gegen Firmen, die nicht transparent mit personenbezogenen Daten umgehen und kann sich wehren. Am 14.09.2019 endet nun die finale Umsetzungs- und Implementierungsphase der wichtigsten EU-Verordnung des Jahres: Der Payment Services Directive 2, kurz PSD2.

Wer regelt eigentlich digitale Zahlungen?

PSD2 umfasst die Regelung des EU-Binnenmarkts hinsichtlich des Zahlungsverkehrs und kann direkt als neue Zahlungsdiensterichtlinie in der EU verstanden werden. Was ist geschehen, dass es eine solche Richtlinie benötigt? Der Reihe nach.

Als ich mein erstes Konto eröffnete, gab es Kreditkarten (einst unvorstellbarer Luxus für Erwachsene) und Scheckkarten. Mit letzterer konnte man sich Kontoauszüge am Drucker in der Filiale holen, Geld abheben – oder einen Scheck ausstellen. Wer erinnert sich noch an die zwei parallelen Striche quer auf der Vorderseite, welche „nur zur Verrechnung“ bedeuteten? Das alles ist passé. Die EC-Karte kam, das bargeldlose Bezahlen wurde zum Standard und die langsame Entwicklung im Bankenmarkt beflügelte viele findige Dienstleister – Paypal, Klarna, Sofort und wie sie alle heißen. Diese Brückenbauer hatten und haben nur eine Aufgabe: Mit den zum Internet inkompatiblen EC-Karten, Girokonten oder Kreditkarten die Brücke zum ePayment schlagen. Aus Brückenbauern wurden Milliarden-Unternehmen, die heute als Zahlungsdienstleister etabliert sind. So sucht der Käufer heute explizit nach Zahlungsmöglichkeiten wie Paypal, bevor er auf „Jetzt bestellen“ klickt. Händler wie Amazon nutzen die vorhandenen Konten, um damit „Bezahlen mit Amazon“ Dienste anzubieten und selbst eine Brücke zu schlagen. Pseudo-Vorkasse-Systeme erlauben eine direkte Zahlung mit dem Bankkonto. Was für ein Chaos – kein Wunder, das der Konsument hier nicht mehr durchblickt.

Governance für das Frictionless-Everything

Es ging rasch weiter: Das eGeld schlich sich über das Handy ein. 2018 war es in good old Germany so weit: Die verdutzten Gesichter des Kassenpersonals, wenn man auf die Ansage „ich zahle mit Karte“ sein Handy an das Terminal hält und weder PIN noch Unterschrift benötigt werden – wie ein Zeitreisender aus der Zukunft. Mit der virtuellen Kreditkarte als kontaktloses Zahlungsmittel kann man wirklich nicht mehr auseinanderhalten wo Geld beginnt, aufhört und was nun Karte oder Onlinezahlung ist. Zu Recht sind technisch weniger versierte Kunden komplett überfordert und selbst technikaffine Menschen bezweifeln, dass all dieser Komfort am Ende sicher sein soll. Schliesslich hat ihnen niemand erklärt, dass eine per HCE (Host Card Emulation) bereitgestellte Kreditkarte auf dem Handy vielleicht sogar sicherer ist als ihre Schwester aus Plastik, die bereits mehrfach bzgl. Sicherheitsmängeln durch die Presse gejagt wurde. Zusammen mit der Diskussion um eine mögliche Bargeldabschaffung sind die Gemüter erhitzt und Geschäftsleute verunsichert. Auch die wöchentlichen Datenschutzskandale tragen dazu bei, dass der Kunde sich manchmal die Zeit des Sparbuchs in der Schublade zurückwünscht. Der Trend, die Reibung am Point of Sale – neudeutsch Friction am POS genannt – zu eliminieren, Payments also „frictionless“ zu machen, kam schneller als gedacht.

Payment Services Directive 2 (PSD2) – Europe to the rescue

Die EU-Verordnung PSD2 regelt nun, was von Payment-Dienstleistern bisher „irgendwie“ gelöst wurde. Zum Beispiel die Grundlage, was als sicher gilt, und was nicht: Bis vor kurzem waren schliesslich sogar noch papierbasierte TAN-Listen für Onlineüberweisungen üblich. Mit solchen Verfahren ist nun endgültig Schluss – das Stichwort lautet sichere Kundenauthentifizierung, welche z.B. in Form der 2FA, sog. „Zwei-Faktor-Authentifizierung“ umgesetzt wird. Sicher gilt, wenn ich beweisen kann, dass ich nicht nur jemand bin oder etwas weiss, sondern auch etwas habe. Einen SMS-Code zum Beispiel, der einem Onlinedienst beweist, dass man sich soeben nicht nur mit meinem bekannten (und vielleicht auf einem Zettel notierten und in falsche Hände geratenen) Passwort angemeldet hat, sondern auch noch das zur Person gehörige Handy in der Hand hält und dieses entsperren konnte, um die SMS zu lesen.

Das abgelöste Schaltergeschäft, welches ohnehin nur noch in wenigen Teilen der Republik angeboten wird, ist in jeder Hinsicht der Onlinewelt gewichen. So, wie man früher noch seine Girokarte oder das Sparbuch zusammen mit dem Personalausweis vorzeigen musste um sich mit zwei Faktoren zu authentifizieren, erhalten wir nun die lang erwartete digitale Variante dieser Sicherheitsvorkehrung für Banken in einer Form, wie wir sie bereits von Google, Ebay und Amazon kennen. Die PSD2 regelt aber auch Kontenzugriffe von Zahlungsdienstleistern und die Haftung bei Onlinekäufen. Auf diese Weise werden die Prozesse hinter den Zahlungsvorgängen aller Dienstleister zum ersten Mal standardisiert und harmonisiert. Als Basis für die Verarbeitung von Zahlungen dient immer die explizite Zustimmung, der „Consent“ des Nutzers, welcher durchgehend nachweisbar sein muss. Und das ist eine gute Sache.

Auf 93 Seiten kann man unter https://eur-lex.europa.eu/legal-content/DE/TXT/PDF/?uri=CELEX:32015L2366&from=DE einen Blick auf den Text der Payment Services Directive 2 (PSD2) werfen – hoffen wir, dass es Politikern, Behörden und Banken gelingt, die Regulierung unseres Zahlungsraumes mit Fokus auf ePayment nicht nur umzusetzen, sondern die Menschen auch von ihrer Sinnhaftigkeit zu überzeugen.

Philipp Schneidenbach arbeitet als Principal bei Ventum Consulting in München. Er ist Experte für Governance, Risk und Compliance, Enterprise Architecture und IT Service Management. Seine Rolle beinhaltet auch die interne Verantwortung für Legal und Compliance sowie Digitale Transformation. Philipp teilt seine Insights als Sprecher auf internationalen Events und den Social Media Kanälen bei Linkedin und Instagram.

Die Kommentarfunktion ist geschlossen.