Blog:

PSD2 und SCA: Aufgeschoben, nicht aufgehoben

Die Umsetzung von PSD2 und Starker Kundenauthentifizierung (SCA) bei Kartenzahlungen im Internet ist nicht mehr stichtagsgebunden. Der datierte bisher auf den 14.September 2019. Heute hat die BaFin entschieden: „vorerst“ und „für befristete Zeit“ wird sie es nicht beanstanden, wenn nach dem Stichtag „kartengebundene Fernzahlungen“ ohne SCA durchgeführt werden.

Hintergrund:

Die Payment Services Directive (PSD) ist eine EU-Richtlinie der Europäischen Kommission aus dem Jahr 2007 im Zahlungsdiensterecht. Sie reguliert Zahlungsdienste und Zahlungsdienstleister in der gesamten EU und dem Europäischen Wirtschaftsraum. Ziel der Richtlinie ist es, den europäischen Wettbewerb in der Payment Branche zu erhöhen, Dritten den Zugang oder die Teilnahme zum bzw. am Wettbewerb zu ermöglichen, durch die Harmonisierung des Verbraucherschutzes und durch Rechte und Pflichten für Zahlungsdienstleister gleiche Wettbewerbsbedingungen zu schaffen. Die PSD betrifft also weit mehr als Online-Transaktionen bzw. den Online-Handel.

Stufe 2 der PSD, also PSD2, trat Anfang 2018 in Kraft. Mit ihr einher gingen vor allem die Richtlinien für die Erhöhung des Verbraucherschutzes im elektronischen Zahlungsverkehr (SCA/2FA=Starke Kundenauthentifizierung=Zwei-Faktor-Authentifizierung) und die Öffnung des Marktes für neue Innovationen im Zahlungsverkehr (Open Banking). Technisch ausgedrückt: Banken müssen für Zahlungsdienstleister neue Schnittstellen bereitstellen, die es ihnen ermöglichen, auf die Zahlungskonten der Bankkunden zu zugreifen. Die bisherigen Schnittstellen sind nicht PSD2-konform.

Das bedeutet, dass frühestmöglich zum Stichtag die Banken die alten Schnittstellen abschalten und die neuen aufschalten dürften und könnten, sofern eine positive Bescheidung durch die BaFin dafür vorliegt. Bereits am letzten Donnerstag aber unterzeichnete Executive Director Raimund Röseler von der BaFin ein Rundschreiben und äußerte erhebliche Bedenken an der Funktionalität dieser Schnittstellen. Schlussendlich bezweifelte er, dass zum 14.September PSD2-konforme Schnittstellen bereitgestellt sein werden.

Digitale Medien titelten dies mit "Bafin gewährt Aufschub der PSD2". Der Euphemismus "Aufschub" steht für „Nacharbeiten und PSD2-konforme Schnittstellen anbieten“.

Eine weitere Anforderung in der PSD2 ist die Starke Kundenauthentifizierung (SCA). Onlinehändler haben die 2FA für verschiedene Zahlarten in ihren Shops umzusetzen. Frühzeitig wurden Befürchtungen laut, dass dies aufgrund verschiedener Umstände bis zum 14.September nicht zu schaffen sei.

Die Auswirkungen wären erhebliche Verwerfungen am Markt und somit deutliche Umsatzeinbußen bei Händlern. Hierzu hatte bereits im Juli die BaFin angekündigt, aufsichtliche Flexibilität zu nutzen, um Nachteile für Kunden und Händler zu vermeiden und dies in einem gemeinsamen Gespräch zu erörtern.

Im heutigen Rundschreiben der BaFin an Verbände der Empfänger von Kreditkartenzahlungen, ebenfalls gezeichnet von Executive Director Raimund Röseler, heißt es:

"Ich werde es im Rahmen meines aufsichtlichen Ermessen vorerst nicht beanstanden, wenn deutsche Zahlungsdienstleister kartenbasierte Fernzahlungsvorgänge auch ohne Starke Kundenauthentifizierung ausführen.“

Weiter heißt es, diese Maßnahme „betrifft nur Kartenzahlungen im Internet und nicht etwa auch andere Teile der PSD2“. 

Welche konkreten Maßnahmen oder Schlussfolgerungen sind dem aktuellen Rundschreiben zur SCA zu entnehmen?

  1. Kartenzahlungen im Internet können vorerst auch nach dem 14. September ohne Starke Kundenauthentifizierung ausgeführt werden.
  2. Von der Starken Kundenauthentifizierung sind nur Kartenzahlungen über den 14. September hinaus ausgenommen.
  3. Shop-Betreiber oder Payment Service Provider, die bereits das alte Authentifizierungsverfahren 3D Secure 1.0 für Kartenzahlungen anbieten, müssen dies auf die PSD2-konforme Version 3D Secure 2.x aktualisieren. 
  4. Der Payment Bereich muss schnellstmöglich angepasst werden, um Starke Kundenauthentifizierung anzubieten.

In beiden Rundschreiben der BaFin bleibt offen, welcher Zeitraum für diese Nacharbeiten, Aktualisierungen oder Anpassungen gewährt wird. Da diesbezüglich noch Gespräche geführt werden, gilt es abzuwarten, ob es nicht doch noch eine konkrete Fristverlängerung oder Übergangsfrist für alle Akteuren geben wird.

Bleibt zu hoffen, dass dies im Sinne der Verbraucher und Händler geschieht und eine Übergangsfrist für die gesamte Umsetzung der PSD2 und SCA von 18 Monaten in Anspruch genommen wird.