Die Europäische Kommission hat am 28.6.2023 Entwürfe für gleich drei Verordnungen und eine Richtlinie veröffentlicht, die für die Payment-Branche von elementarer Bedeutung sind.
Die Entwürfe im Einzelnen
Payment Services Directive 3 (nachfolgend “PSD3”)
Payment Services Regulation (nachfolgend “PSR”)
Financial Data Access Regulation (nachfolgend “FDA-Regulation”)
Dieser Beitrag ist der Auftakt unserer Reihe „PSD3 & Co.“ auf PayTechLaw mit Beiträgen zu PSD3, PSR, FDA-Regulation und Digital Euro Regulation.
Wir stellen auf PayTechLaw in den nächsten Beiträgen die PSD3/PSR, die FDA-Regulation und die Digital Euro Regulation genauer dar. Danach widmen wir uns auf PayTechLaw im Detail Einzelthemen aus PSD3/PSR, FDA-Regulation und Digital Euro Regulation und deren Auswirkungen auf die Praxis.
Ein Hinweis: Vor der offiziellen Veröffentlichung der Entwürfe zirkulierten geleakte Versionen der Entwürfe. Uns ist dabei aufgefallen, dass die Leaks nicht vollständig deckungsgleich sind mit den offiziellen Vorschlägen. Daher auf jeden Fall mit den offiziellen Dokumenten arbeiten.
Der Weg zur PSD3 und zur PSR – Zahlungsdienste und E-Geld-Geschäft
Wie der Name PSD3 impliziert, gab es vor der PSD3 die PSD1 und die PSD2.
Die PSD1, erlassen am 13. November 2007, schuf eine erste Harmonisierung im Bereich der Zahlungsdienste. Ergänzt wurde diese Richtlinie durch die E-Geld-Richtlinie, erlassen am 16. September 2009, welche Regeln für das Betreiben des E-Geld-Geschäfts europaweit aufstellte.
Die PSD1 wurde abgelöst durch die PSD2, welche am 25. November 2015 in Kraft trat. Die PSD2 führte insbesondere die Pflicht für die Banken ein, anderen Marktteilnehmern Zugang zu den für ihre Kunden geführten Zahlungskonten zu geben und regulierte diese neuen Marktteilnehmer als Zahlungsauslösedienst und/oder Kontoinformationsdienst.
Die PSD1 und die PSD2 waren jeweils EU-Richtlinien, auf Englisch „Directive“. Eine EU-Richtline entfaltet keine direkte Rechtswirkung in den einzelnen Mitgliedsstaaten, sondern bedarf eines gesetzgeberischen Umsetzungsaktes in die jeweilige nationale Rechtsordnung. Der EU-Gesetzgeber verpflichtet die einzelnen Mitgliedsstaaten, die jeweilige Richtlinie bis zu einem vorgegebenen Zeitpunkt umzusetzen. So sah die PSD2 eine Umsetzungsfrist bis Januar 2018 und für die Regelungen zur starken Kundenauthentifizierung (Strong Customer Authentication) bis September 2019 vor. In Deutschland wurden die regulatorischen Vorgaben der PSD2 und der E-Geld-Richtlinie im Wesentlichen im Zahlungsdiensteaufsichtsgesetz (ZAG) und der zivilrechtliche Teil im Wesentlichen im Bürgerlichen Gesetzbuch (BGB) geregelt.
Dem vorliegenden Vorschlag der EU-Kommission geht ein intensiver und komplexer Review-Prozess voraus. So startete die EU-Kommission am 10. Mai 2022 zwei Konsultationen zum Review der PSD2, welche im August 2022 abgeschlossen waren. Insbesondere veröffentliche am 23. Juni 2022 die European Banking Authority (EBA) eine Stellungnahme in diesem Review-Prozess (siehe dazu unseren PayTechLaw-Beitrag vom 29. Juni 2022).
Die EU-Kommission geht nun einen anderen Weg und verteilt die Regelungen der PSD2 und der E-Geld-Richtlinie über die PSD3 als EU-Richtlinie und die PSR als EU-Verordnung, in Englisch „Regulation“. Eine EU-Verordnung wird, anders als eine EU-Richtlinie, unmittelbar in den einzelnen Mitgliedsstaaten gültig.
Ziele der PSD3 und der PSR
Diese Vorgehensweise folgt aus den Zielen, die mit der PSD3 und der PSR verfolgt werden. Die EU-Kommission möchte eine stärkere Harmonisierung im Bereich der Zahlungsdienste erreichen, weswegen der PSD3 als Richtlinie die PSR als Verordnung zur Seite gestellt wird.
Die PSD3 regelt hierbei die Erlaubniserteilung und die aufsichtsrechtlichen Vorgaben für die Zahlungsinstitute. Unter den Begriff der Zahlungsinstitute fallen künftig auch Institute, die das E-Geld-Geschäft betreiben. Die Kategorie des „E-Geld-Instituts“ entfällt.
Die PSR regelt die Transparenz- und Informationspflichten für alle Kategorien von Zahlungsdienstleistern (insbesondere Kreditinstitute und Zahlungsinstitute) sowie die Rechte und Pflichten aller Kategorien von Zahlungsdienstleister einerseits und Zahlungsdienstnutzer andererseits bei der Erbringung von Zahlungsdiensten und E-Geld-Diensten.
Die PSD3 und PSR ersetzen dabei sowohl die PSD2 als auch die E-Geld-Richtlinie.
Etwas erstaunlich ist, dass die Vorschläge zu PSD3 und PSR keine besonderen Regelungen zu Stablecoins (E-Geld-Token und vermögenswertereferenzierte Token) enthalten. Zwar unterfallen Stablecoins den Regelungen der MiCAR, jedoch können Dienstleistungen im Zusammenhang mit Stablecoins auch Zahlungsdienste darstellen und damit den Regelungen der PSD3 und der PSR unterfallen. Die undifferenzierte Anwendung des Regelwerks der PSD3 und der PSR auf Zahlungsdienste im Zusammenhang mit Stablecoins könnte jedoch auf praktische Schwierigkeiten stoßen (z.B. die Regelungen zur starken Kundenauthentifizierung). Es bleibt abzuwarten, ob sich im anstehenden Gesetzgebungsverfahrens hieran noch etwas ändert.
Wie geht es weiter mit PSD3 und PSR?
Die PSD3 und PSR liegen als Vorschlag der EU-Kommission vor und gehen nun ins normale gesetzgeberische Verfahren der EU unter Beteiligung des Europäischen Parlaments und des Rats der Europäischen Union.
Das Verfahren endet mit der Veröffentlichung der PSD3 und PSR im Amtsblatt der Europäischen Union und die PSD3 und PSR treten 20 Tagen nach Veröffentlichungen formal in Kraft. Die Regelungen der PSD3 und PSR finden dann nach 18 Monaten nach Inkrafttreten Anwendung.
Soweit dies in der PSD3 und PSR vorgesehen ist, werden die EU-Kommission und die EBA zu einzelnen Bestimmungen der PSD3 und der PSR Ausführungsvorschriften in Form von Delegierten Verordnungen bzw. Auslegungshinweise in Form von Leitlinien erlassen.
FDA-Regulation – Open Finance
Die FDA-Regulation schafft – lange erwartet – einen Rechtsrahmen für den Zugang und die Nutzung von Finanzdaten jenseits der Daten von Zahlungskonten. Dazu gehören zum Beispiel Daten zu Sparkonten oder Versicherungsprodukten.
Kunden-Dashboards zur Verwaltung der Zugriffsberechtigung auf Finanzdaten werden ebenso Pflicht wie die Mitgliedschaft in Systemen zur gemeinsamen Nutzung von Finanzdaten für Dateninhaber. Parallel zum bisher existierenden Kontoinformationsdienst (welcher in der PSD3 und der PSR geregelt wird) wird der erlaubnispflichtige Dienst des Finanzinformationsdienstleisters geschaffen.
Es handelt sich bei der FDA-Regulation ebenfalls um eine EU-Verordnung die unmittelbar im jeweiligen Mitgliedsstaat Anwendung findet.
Wie bei der PSD3 und PSR durchläuft die FDA-Regulation das weitere europäische Gesetzgebungsverfahren unter Beteiligung des EU-Parlaments und des Rats der Europäischen Union und tritt 20 Tage nach Veröffentlichung im Amtsblatt der Europäischen Union in Kraft. Teile der FDA-Regulation sollen 18 Monate nach Inkrafttreten der FDA-Regulation Anwendung finden, die FDA-Regulation insgesamt 24 Monate nach Veröffentlichung.
Einen ausführlicheren Überblick findet Ihr in einem der nächsten Beiträge in der Reihe „PSD3 & Co.“ bei PayTechLaw.
Digital Euro Regulation
Die neue Digital Euro Regulation stellt einen großen Schritt in Richtung digitaler Euro dar.
Erklärtes Ziel ist es, den Rechtsrahmen für die Einführung eines digitalen Euros zu schaffen. Der digitale Euro soll als Ergänzung des Bargeldes Zahlungen im Retail-Markt als Alternative zu klassischen Zahlungsarten in Euro ermöglichen.
Es handelt sich bei der FDA-Regulation ebenfalls um eine EU-Verordnung, die unmittelbar im jeweiligen Mitgliedsstaat Anwendung findet.
Einen ausführlicheren Überblick findet Ihr in einem der nächsten Beiträge in der Reihe „PSD3 & Co.“ bei PayTechLaw.
