Die im Jahr 2007 eingeführte Zahlungsdiensterichtlinie (PSD1) legte den Grundstein für die Schaffung eines einheitlichen Rechtsrahmens für den europäischen Zahlungsverkehr.
Aufbauend darauf zielte die PSD2 darauf ab, den Wettbewerb zu stärken und die Sicherheit zu erhöhen. Durch Innovationen wie Open Banking sollen neue Marktpotenziale erschlossen werden. Eine Evaluierung zeigte jedoch Schwachstellen wie unzureichende Schnittstellenstandards und Unterschiede in der nationalen Umsetzung.
Mit PSD3 und der ergänzenden Payment Service Regulation (PSR) sollen diese Defizite behoben und der Zahlungsverkehr weiter harmonisiert werden.
Die PSD3 und PSR befinden sich derzeit noch im Gesetzgebungsprozess und werden voraussichtlich erst im dritten Quartal 2025 in Kraft treten, um die aktuelle PSD2 abzulösen. Der vorliegende Artikel basiert auf den aktuellen Entwürfen der PSD3 und PSR. Da sich während des laufenden Verfahrens noch Änderungen ergeben können, ist zu beachten, dass die hier dargestellten Inhalte sich bis zur finalen Verabschiedung der Texte noch ändern können.
In einem früheren Artikel hat meine Kollegin Swaantje Völkel bereits die wesentlichen Neuerungen von PSD3 und PSR im Vergleich zur bisherigen PSD2 dargestellt.
Dieser Artikel geht detailliert auf die Auswirkungen der PSR auf die Schnittstellenanforderungen ein. Zudem werden ihre Folgen für Open Banking und die europäische Zahlungsinfrastruktur beleuchtet.
Ein entscheidendes Ziel der PSR besteht darin, durch die Umwandlung von wesentlichen Inhalten der PSD2 in eine direkt anwendbare Verordnung die Harmonisierung auf EU-Ebene zu fördern und nationale Interpretationsspielräume zu reduzieren.
Besondere Aufmerksamkeit widmet die PSR der Präzisierung und Optimierung der Anforderungen an Schnittstellen. Diese sollen Drittanbietern einen sicheren und effizienten Zugang zu Zahlungskonten ermöglichen. Dies umfasst sowohl die Interoperabilität und Datensicherheit als auch die Benutzerfreundlichkeit, um das Potenzial von Open Banking vollständig auszuschöpfen.
Neue Schnittstellenanforderungen für kontoführende Zahlungsdienstleister unter der PSR
Mit der Verpflichtung kontoführender Zahlungsdienstleister, Drittanbietern wie Kontoinformations- und Zahlungsauslösediensten dedizierte Schnittstellen (API) für den Zugriff auf Zahlungskontodaten bereitzustellen, wurde ein erster technischer Standard für Open Banking etabliert. Ergänzend dazu wurde die Bereitstellung sogenannter Fallback-Schnittstellen vorgeschrieben. Diese sollen bei Störungen oder Ausfällen der dedizierten Schnittstellen eine alternative Zugangsmöglichkeit sicherstellen.
Die zuständigen Aufsichtsbehörden konnten diese Verpflichtung jedoch aussetzen, sofern der kontoführende Zahlungsdienstleister die Zuverlässigkeit und Leistungsfähigkeit seiner dedizierten Schnittstelle hinreichend nachweisen konnte. Die bisherige Nutzung der Kundenschnittstelle via Screen Scraping wurde für Zahlungskonten untersagt. Dabei ist die Nutzung der Schnittstelle für weitere Bankprodukte (z. B. Sparkonten) von der PSD2 nicht berührt. Dienstleister im Bereich Open Banking nutzen daher häufig die dedizierte Schnittstelle wie auch die Kundenschnittstelle parallel.
Ein großer Kritikpunkt ist, dass jedes kontoführende Institut mindestens eine Schnittstelle im Sinne der PSD2 anbieten und grundsätzlich auch eine Fallback-Lösung bereithalten muss.
Die PSR greift diese Schwäche des bisherigen Ansatzes auf und vereinfacht die Schnittstellenanforderungen. Künftig wird die dedizierte Schnittstelle zur standardmäßigen technischen Lösung für den Datenzugriff durch Drittanbieter. Die Bereitstellung sonstiger Schnittstellen ist nur noch in streng definierten Ausnahmefällen zulässig. Diese betreffen insbesondere kleinere Institute oder spezialisierte Geschäftsmodelle, bei denen die Bereitstellung einer dedizierten Schnittstelle als unverhältnismäßig aufwendig betrachtet werden kann. In solchen Fällen kann die zuständige Aufsichtsbehörde die Nutzung der Kundenschnittstelle oder sogar den vollständigen Verzicht auf eine Schnittstelle genehmigen. Die Verpflichtung zur Bereitstellung einer Fallback-Schnittstelle entfällt vollständig, was die zentrale Rolle der dedizierten Schnittstellen unterstreicht.
Neue Anforderungen für den Zugang durch Kontoinformationsdienste
Die PSR stellt darüber hinaus neue Anforderungen an den Zugang und die Nutzung der dedizierten Schnittstellen durch Kontoinformationsdienste. Unter der PSD2 war eine erneute Authentifizierung des Zahlungsdienstnutzers auf Ebene des kontoführenden Zahlungsdienstleisters alle 180 Tage erforderlich. Mit der PSR wird diese Regelung reformiert: Nach einer initialen starken Kundenauthentifizierung beim kontoführenden Zahlungsdienstleister erfolgt die erneute Authentifizierung nun auf Ebene des Kontoinformationsdienstes. Diese Änderung zielt darauf ab, die Benutzerfreundlichkeit zu verbessern und gleichzeitig die regulatorischen Anforderungen für Drittanbieter effizienter zu gestalten.
Die Verordnung schreibt des Weiteren vor, dass kontoführende Zahlungsdienstleister einen uneingeschränkten Zugang zu ihren APIs rund um die Uhr ermöglichen müssen, auch wenn der Zahlungsdienstnutzer nicht aktiv anwesend ist. Kontoinformationsdienste sind jedoch verpflichtet, den Zahlungsdienstnutzern ihre Absicht zur Nutzung dieses erweiterten Zugriffs im Voraus offenzulegen, um die Transparenz und Kontrolle über den Datenzugang zu gewährleisten.
Fazit: Harmonisierung der europäischen Zahlungsinfrastruktur durch die PSR
Die konsistente Nutzung dedizierter Schnittstellen reduziert die Fragmentierung und erhöht die Sicherheit. Gleichzeitig könnten die neuen regulatorischen Anforderungen für kontoführende Zahlungsdienstleister eine Entlastung darstellen, da künftig ausschließlich die Bereitstellung einer dedizierten Schnittstelle für Drittanbieter erforderlich ist.
Es erscheint ratsam, institutsindividuelle Analysen durchzuführen, um potenzielle Ausnahmen von dieser Verpflichtung zu prüfen und dadurch mögliche organisatorische oder finanzielle Entlastungen zu identifizieren. Auf der anderen Seite profitieren Drittanbieter von einer erhöhten Interoperabilität und klar definierten technischen Standards, die die Integration und Nutzung der Schnittstellen erheblich erleichtern. Verbraucher können von einer verbesserten Benutzerfreundlichkeit, erweiterten Funktionen und einem höheren Maß an Datensicherheit profitieren.
Auf regulatorischer Ebene markiert die PSR einen weiteren Schritt hin zu einer harmonisierten und interoperablen Zahlungsinfrastruktur in der Europäischen Union. Die klaren und verbindlichen Anforderungen minimieren nationale Unterschiede und stärken die Rechtssicherheit für alle Beteiligten. Gleichzeitig muss die Umsetzung der neuen Regelungen sorgfältig beobachtet werden, um sicherzustellen, dass die regulatorischen Ziele – insbesondere die Förderung von Wettbewerb und Innovation bei gleichzeitiger Erhöhung der Datensicherheit – in der Praxis erreicht werden.
