Die Vorschläge der EU-Kommission für die PSD3 und die PSR – ein erster Überblick

Die EU-Kommission hat am 28.6.2023 Vorschläge für eine Payment Services Directive 3 (“PSD3”) und eine Payment Services Regulation (“PSR”) vorgelegt. Eine Einordnung der PSD3 und der PSR in die bestehende Regulatorik haben wir bereits in unserem Beitrag „Die neue EU-Payment Service Regulierung – Der Beginn unserer Reihe PSD3 & Co.“ vom 3.7.2023 vorgenommen. Im Folgenden wollen wir einen kurzen Überblick über die wesentlichen Inhalte der PSD3 und der PSR sowie über wesentliche Neuerungen gegenüber der PSD2 und der E-Geld-Richtlinie geben.

Anwendungsbereich der PSD3 und der PSR

Die PSD3 regelt die Erlaubniserteilung und die aufsichtsrechtlichen Vorgaben für Zahlungsinstitute. Unter den Begriff der Zahlungsinstitute fallen künftig auch Institute, die das E-Geld-Geschäft betreiben. Die Kategorie des „E-Geld-Instituts“ entfällt.

Die PSR regelt die Transparenz- und Informationspflichten für alle Kategorien von Zahlungsdienstleistern (insbesondere Kreditinstitute und Zahlungsinstitute) sowie die Rechte und Pflichten aller Kategorien von Zahlungsdienstleistern einerseits und Zahlungsdienstnutzer andererseits bei der Erbringung von Zahlungsdiensten und E-Geld-Diensten. Regelungsgegenstand der PSR sind insoweit insbesondere Regelungen zu vorvertraglichen Informationspflichten der Zahlungsdienstleister, Regelungen zum Abschluss, Inhalt, Änderung und Beendigung von Zahlungsdiensteverträgen, Haftungsregelungen, Regelungen zur Betrugsbekämpfung und zur starken Kundenauthentifizierung.

Katalog der Zahlungsdienste

Der Katalog der Zahlungsdienste, die erlaubnispflichtig sind, bleibt wohl unverändert.

Zu den Zahlungsdiensten zählt künftig auch das Erbringen von E-Geld-Diensten.

Kontoinformationsdienste unterfallen weiterhin dem Rechtsrahmen der PSD3 und der PSR und werden nicht Gegenstand der Financial Data Access Regulation.

Kredite und Buy Now Pay Later

Nach dem Wortlaut der PSD3 dürfen Kredite von Zahlungsinstituten nur im Zusammenhang mit der Ausführung von Überweisungen, Lastschriften und Kartenzahlungen gewährt werden. Im Gegensatz zur bisherigen Rechtslage fehlt die Befugnis zur Kreditvergabe bei der Herausgabe von Zahlungsinstrumenten und beim Acquiring. Dies steht in gewissem Widerspruch zu Erwägungsgrund (35) der PSD3, der ausdrücklich die Ausgabe von Kreditkarten zulässt. Im weiteren Gesetzgebungsverfahren sollten hier entsprechende Klarstellungen erfolgen.

In diesem Zusammenhang ist auch die in den Erwägungsgründen der PSD3 enthaltene Aussage hervorzuheben, wonach Buy Now Pay Later-Produkte keine Zahlungsdienste darstellen und dem Anwendungsbereich der neuen Verbraucherkreditrichtlinie unterfielen. Es bleibt zu prüfen, für welche Produkte auf dem Markt diese Aussage zutrifft und welche Auswirkungen sich für entsprechende Produkte hierdurch ergeben (z.B. Erfordernis einer Bankerlaubnis für das Angebot (bestimmter) Buy Now Pay Later-Produkte, die gegenwärtig noch mit einer Erlaubnis zur Erbringung von Zahlungsdiensten angeboten werden dürfen?).

Erlaubnispflicht und Grandfathering

Unternehmen, die Zahlungsdienste oder E-Geld-Dienste erbringen wollen, bedürfen auch unter der Geltung der PSD3 der Erlaubnis der nationalen Aufsichtsbehörde.

Für Institute, die vor dem Ablauf der Umsetzungsfrist der PSD3 in nationales Recht, eine Erlaubnis zur Erbringung von Zahlungsdienste oder dem Betreiben des E-Geld-Geschäfts erhalten haben, gelten im Hinblick auf den Erwerb einer Erlaubnis nach PSD3 und die Einhaltung der Anforderungen der PSD3 Übergangsbestimmungen (sog. Grandfathering).

Bereichsausnahmen

Art. 3 der PSD2 enthält gegenwärtig einen Katalog von Dienstleistungen, die nicht dem Anwendungsbereich der PSD2 unterfallen und daher ohne Erlaubnis erbracht werden dürfen. Hier wird es voraussichtlich zu einigen Änderungen kommen, die wesentliche Auswirkungen auf bestimmte Geschäftsmodelle haben dürften.

Bemerkenswert ist zunächst, dass die Bereichsausnahmen künftig in der PSR geregelt werden. Aufgrund der unmittelbaren Anwendbarkeit der PSR in den EU-Mitgliedstaaten dürfte das dazu führen, dass die Unterschiede bei der Auslegung der Bereichsausnahmen durch die Aufsichtsbehörden in den EU-Mitgliedstaaten erheblich abnehmen dürften.

Die praxisrelevante Handelsvertreter-Ausnahme soll weiter eingeschränkt werden. Die Vorschrift verlangt – in Anlehnung an die schon bisher sehr restriktive Verwaltungspraxis der BaFin – nun ausdrücklich, dass der Handelsvertreter einen echten Verhandlungsspielraum bei dem Abschluss von Verträgen über den Kauf von Waren/Dienstleistungen hat. Dies dürfte Auswirkungen haben auf Internet-Marktplätze, auf Tankstellen, die Kraftstoffe als Vermittler verkaufen sowie Einzelhandelsgeschäfte, die als Vermittler von Gütern auftreten (z.B. Reisebüros, Ticketverkäufer). Zu analysieren ist auch die Frage, wie sich der in der Norm enthaltene ausdrückliche Verweis auf die Handelsvertreter-Richtlinie auf den bislang von dem deutschen Gesetzgeber privilegierten Zentralregulierer auswirkt.

Die Ausnahme für Werttransportunternehmen und Wertdienstleister ist nicht mehr vorgesehen. Es stellt sich daher die Frage, ob diese Unternehmen künftig eine Erlaubnis für ihre Geschäftstätigkeit benötigen.

Die Cashback-Ausnahme soll erweitert werden. Einzelhändler sollen unter bestimmten Bedingungen an der Ladenkasse künftig auch dann Bargeld ausgeben können, wenn der Kunde keinen Warenkauf getätigt hat.

Die neu gefasste Konzern-Ausnahme, wonach Zahlungsvorgänge zwischen gruppenangehörigen Unternehmen nicht der Erlaubnis bedürfen, könnte so verstanden werden, dass die erlaubnisfreie Zentralisierung des gruppenweiten Zahlungsverkehrs auf ein Gruppenunternehmen zugelassen werden soll. Dies greift die zwischen der BaFin und den Branchenverbänden in den letzten Jahren abgestimmte Auslegung zu Payment Factories auf. Die weiteren Voraussetzungen, die die BaFin an die Zulässigkeit von Payment Factories geknüpft hat (insbesondere die Einrichtung von Prozessen zur Prävention von Geldwäsche und Terrorismusfinanzierung), haben jedoch keinen Eingang in den Normtext gefunden.

Der Wortlaut der praxisrelevanten limited network/limited range-Ausnahme sieht nach erster Analyse keine entscheidenden Änderungen gegenüber dem bisherigen Wortlaut dieser Ausnahme vor. Die EBA wird auch zu dieser Bereichsausnahme Leitlinien mit Auslegungshinweisen erlassen. Die weitere Entwicklung bleibt also für diesen Punkt abzuwarten.

Unabhängige Geldautomatenbetreiber

Unabhängige Geldautomatenbetreiber sollen bei Einhaltung bestimmter Voraussetzungen von der Erlaubnispflicht ausgenommen sein. Eine Ausnahme für unabhängige Geldautomatenbetreiber gibt es auch schon gegenwärtig unter der PSD2. Die BaFin wendet diese Ausnahme auf Grundlage einer restriktiven Auslegung jedoch auf nur rein manuelle Servicetätigkeiten im Zusammenhang mit dem Betrieb von Geldautomaten an. Unabhängige Geldautomatenbetreiber müssen jedoch – ähnlich wie Kontoinformationsdienstleister – ein Registrierungsverfahren durchlaufen und in diesem Rahmen der nationalen Aufsichtsbehörde bestimmte Informationen und Unterlagen vorlegen.

Kundengeldsicherung

Zahlungsinstitute sollen das Recht haben, Kundengelder auch direkt bei einer nationalen Zentralbank zu sichern. Sie sind daher im Gegensatz zur gegenwärtigen Rechtslage nicht mehr gezwungen, ein Treuhandkonto bei einem Kreditinstitut zu eröffnen.

Neu eingeführt wird die Pflicht für Zahlungsinstitute Konzentrationsrisiken bei der Sicherung von Kundengeldern zu vermeiden, indem sie nicht für alle Kundengelder dieselbe Sicherungsmethode verwenden. Insbesondere dürfen sie nicht alle Kundengelder bei einem einzigen Kreditinstitut verwahren. Dies könnte eine Reaktion des Gesetzgebers auf die in der jüngeren Vergangenheit vermehrt aufgetretenen Bankenpleiten sein.

Stärkung der Rechte von Zahlungsinstituten auf Zugang zur Zahlungsabwicklungsinfrastruktur

Die Rechte der Zahlungsinstitute auf Zugang zur Zahlungsabwicklungsinfrastruktur werden gestärkt. Sie werden hierdurch weniger abhängig von den Kreditinstituten. In diesem Zusammenhang ist insbesondere auf folgende Regelungen zu verweisen:

Zahlungsinstitute sollen in die Finalitätsrichtlinie einbezogen werden. Dies ermöglicht Zahlungsinstituten einen direkten Zugang zur Teilnahme an Zahlungssystemen (wie z.B. SEPA-Zahlungsverkehr, Target2).

Die Betreiber von Zahlungssystemen dürfen den Zugang von Zahlungsinstituten zu Zahlungssystemen nur insoweit verbieten, als dies erforderlich ist, um das jeweilige Zahlungssystem vor bestimmten Risiken (z.B. operationelle Risiken, Liquiditätsrisiken) zu schützen.

Kreditinstitute dürfen die Eröffnung eines Zahlungskontos für ein Zahlungsinstitut nur dann ablehnen, wenn sie dafür schwerwiegende Gründe haben (z.B. Verdacht auf unzureichende Geldwäschekontrollen des Zahlungsinstituts, Verdacht auf illegale Aktivitäten des Zahlungsinstituts oder seiner Kunden, Gründe im Zusammenhang mit dem Risikoprofil des Geschäftsmodells des Zahlungsinstituts). Das Recht auf ein Zahlungskonto soll auch Agenten eines Zahlungsinstituts sowie Unternehmen, die eine Erlaubnis als Zahlungsinstitut beantragen, zustehen.

Open Banking unter PSD3 und PSR

Auch im Bereich von Open Banking, d.h. dem Zugang zu Zahlungskonten für Kontoinformationsdienstleister und Zahlungsauslösedienstleister gibt es einige Neuerungen.

Zunächst ist darauf hinzuweisen, dass eine überarbeitete Definition des Begriffs „Zahlungskonten“ eingeführt wird. Die Definition und deren Auslegung entscheidet darüber, welche Konten im Rahmen des Open Banking zugänglich sind. Aus der Begriffsdefinition geht nicht eindeutig hervor, ob ein Konto, das nur zum Senden von Geldbeträgen oder nur zum Empfang von Geldbeträgen genutzt werden kann, als „Zahlungskonto“ zu qualifizieren ist Diese Frage ist z.B. relevant für Kreditkartenkonten.

Kontoführende Zahlungsdienstleister müssen grundsätzlich dedizierte Schnittstellen (APIs) für den Datenaustausch mit Kontoinformationsdienstleistern und Zahlungsauslösedienstleistern bereitstellen. Die Pflicht zur Vorhaltung eines dauerhaften Notfallmechanismus entfällt. Die PSR enthält keine Vorgaben für die technische Ausgestaltung der Schnittstellen. Sie schreibt insoweit nur vor, dass die Schnittstellen europäischen oder internationalen Standards entsprechen müssen.

Der kontoführende Zahlungsdienstleister muss dem Kontoinhaber ein sog. “Permission Dashboard” zur Verfügung stellen, über das der Kontoinhaber die von ihm an Kontoinformationsdienstleister und Zahlungsauslösedienstleister erteilten Berechtigungen überwachen und verwalten kann.

Der kontoführenden Zahlungsdienstleister darf auch zukünftig weder von dem Kontoinhaber noch von dem Zahlungsauslösedienstleister bzw. dem Kontoinformationsdienstleister ein Entgelt für den Zugang zu dem Zahlungskonto des Kontoinhabers verlangen.

Der Kontoinformationsdienstleister soll eine starke Kundenauthentifizierung (SCA) nur für den erstmaligen Zugriff auf Zahlungskontodaten durch den Kontoinhaber anwenden und danach nur jeweils 180 Tage nach der letzten Kundenauthentifizierung.

Digitale Geldbörsen, NFC

Die Bereitstellung von digitalen Geldbörsen (wallets), wie z.B. ApplePay und GooglePay, wird auch unter der PSD3 grundsätzlich als technische Dienstleistung angesehen, die nicht unter die Erlaubnispflicht fällt. Anders ist dies zu beurteilen, wenn die Wallet aufgrund ihrer Ausgestaltung selbst zu einem Zahlungsinstrument wird. Anbieter digitaler Geldbörsen, die Elemente einer starken Kundenauthentifizierung bereitstellen oder prüfen, müssen mit den Instituten der Zahler jedoch eine Auslagerungsvereinbarung schließen.

Klargestellt wird auch, dass Near-Field Communication (NFC) für sich gesehen kein Zahlungsinstrument ist und somit auch nicht als Zahlungsdienst zu qualifizieren ist.

Surcharging

Unter der PSD2 ist das Verbot der Erhebung von Aufschlägen (Surcharging) für die Nutzung von Überweisungen und Lastschriften auf Zahlungen in Euro beschränkt. Das Surcharging-Verbot soll auf Überweisungen und Lastschriften in allen EU-Währungen ausgedehnt werden.

Stärkung des Schutzes der Zahlungsdienstenutzer vor Betrug im Zahlungsverkehr

Die Vorschläge zu PSD3 und PSR stärken den Schutz der Zahlungsdienstenutzer vor Betrug im Zahlungsverkehr insbesondere in folgender Hinsicht:

Der Vorschlag der EU-Kommission für eine Instant Payment Verordnung vom 26.10.2022 sieht vor, dass Zahlungsdienstleister, die Sofortzahlungen in Euro anbieten, den Zahlern die Prüfung der Übereinstimmung von IBAN und Namen der Zahlungsempfänger (IBAN-name check) anbieten müssen. Die PSR weitet diese Anforderung auf Zahlungsdienstleister aus, die Überweisungen in einer EU-Währung anbieten.

Neu eingeführt werden soll eine Haftung der Zahlungsdienstleister im Falle von sog. „Spoofing“. Wurde ein Zahlungsdienstnutzer, der Verbraucher ist, von einem Dritten, der sich als Angestellter des Zahlungsdienstleisters ausgibt, unter Verwendung des Namens, der E-Mail-Adresse oder der Telefonnummer des Zahlungsdienstleisters getäuscht und hat diese Täuschung zu einem betrügerischen Zahlungsvorgang geführt, soll hierfür grundsätzlich der Zahlungsdienstleister haften.

Zahlungsdienstleister sollen verpflichtet werden, verstärkte Transaktionsüberwachungsmechanismen einzuführen, um eine starke Kundenauthentifizierung zu gewährleisten und die Prävention und Aufdeckung betrügerischer Transaktionen zu verbessern.

Schutz von vulnerablen Zahlungsdienstenutzern

Unbeschadet der Anforderungen der EU-Richtlinie über die Barrierefreiheitsanforderungen für Produkte und Dienstleistungen müssen Zahlungsdienstleister Kunden mit Behinderungen, älteren Kunden, Kunden mit geringen digitalen Kenntnissen und Kunden, die keinen Zugang zu digitalen Kanälen haben, alternative Möglichkeiten der starken Kundenauthentifizierung eröffnen. Insbesondere darf die starke Kundenauthentifizierung nicht von dem Besitz eines Smartphones abhängig gemacht werden.

In den folgenden Beiträgen unserer Reihe werden wir uns die aufgeführten Themenkomplexe detaillierter ansehen. Stay tuned.