EBA legt Entwürfe für die Anforderungen der PSD2-API von Banken vor – Wenig Licht am Ende des Tunnels?
KPMG
Die European Banking Authority („EBA“) hat am 12. August 2016 ein Konsultationspapier inklusive eines Entwurfs technischer Regulierungsstandards (RTS) zur starken Kundenauthentifizierung sowie zu Standards für die Kommunikation zwischen Dritten Zahlungsdienstleistern, wie bspw. Kontoinformationsdiensten und Zahlungsauslösediensten, und Banken vorgelegt.
von Dr. Christian Conreder, Rechtsanwalt & Manager – in Zusammenarbeit mit RA Andres Prescher (beide KPMG Rechtsanwaltsgesellschaft)
Art. 98 PSD2 sieht vor, dass die EBA in enger Zusammenarbeit mit der Europäischen Zentralbank („EZB“) und nach Anhörung aller maßgeblichen Akteure technische Regulierungsstandards ausarbeitet. Vor diesem Hintergrund hat die EBA bereits am 8. Dezember 2015 ein Diskussionspapier zu den Themen starke Kundenauthentifizierung und Kommunikation zwischen Dritten Zahlungsdienstleistern und Banken veröffentlicht. Hieraus ist das nun vorliegende Konsultationspapier einschließlich der Entwürfe technischer Regulierungsstandards entstanden.Spannend ist insbesondere für Banken und Dritte Zahlungsdienstleister, wie die Schnittstelle für die Kommunikation zwischen den Akteuren aussehen wird. Über diese Schnittstelle werden zukünftig die Dienste der Dritten Zahlungsdienstleister ermöglicht, für die ein Zugriff auf das Kundenkonto erforderlich ist. Erwartungsgemäß stellt Art. 19 der Entwürfe der RTS, der die Anforderungen an die Kommunikationsschnittstellen von kontoführenden Zahlungsdienstleistern regelt, kaum technische Spezifikationen dar, sondern beschränkt sich lediglich auf funktionale und nichtfunktionale Anforderungen an die technischen Systeme von Banken.
Dr. Christian Conreder, Rechtsanwalt, ist Manager bei der KPMG Rechtsanwaltsgesellschaft mbH am Standort Hamburg und Mitglied der Praxisgruppe Financial Services. Der Schwerpunkt seiner anwaltlichen Tätigkeit bildet das Bank- und Bankaufsichtsrecht mit einem Fokus auf den Bereich des Zahlungsverkehrs. Er berät u.a. Banken, Zahlungsdienstleister, Kartenemittenten und FinTechs in zivil- und aufsichtsrechtlichen Fragestellungen.Im Einzelnen müssen kontoführende Zahlungsdienstleister, die dem Zahler ein Konto mit Online-Zugang anbieten, mindestens eine Kommunikationsschnittstelle anbieten, die den Kontoinformationsdienstleistern, Zahlungsauslösedienstleistern und Zahlungsdienstleister, die kartengebundene Zahlungsinstrumente ausgeben, folgende drei Nutzungsmöglichkeiten kumulativ zur Verfügung stellen:
I. Müssen sich diese gegenüber dem kontoführenden Zahlungsdienstleister identifizieren können.II. Müssen sie sicher mit dem kontoführenden Zahlungsdienstleister kommunizieren können, um Zahlungskonteninformationen anzufragen, Zahlungen auszulösen und Bestätigungen zu erhalten, ob der für die Ausführung einer kartenbasierten Zahlung erforderliche Betrag auf dem Zahlungskonto des Zahlers verfügbar ist.
III. Müssen sie sich auf die Authentifizierungsverfahren des kontoführenden Zahlungsdienstleisters verlassen können.
Insbesondere hinsichtlich der Authentifizierungsverfahren sind ergänzend folgende Aspekte zu beachten:
1. Muss die Möglichkeit des Kontoinformationsdienstleisters oder Zahlungsauslösedienstleisters bestehen, den kontoführenden Zahlungsdienstleister anzuweisen, den Authentifizierungsprozess zu starten2. Muss der Aufbau und die Aufrechterhaltung eines Kommunikationsvorgangs zwischen den beteiligten Parteien während des Authentifizierungsprozesses gewährleistet werden.
3. Muss der Schutz der Integrität und Vertraulichkeit der persönlichen Sicherheitsmerkmale und Authentifizierungscodes gewährleistet werden, wenn diese vom Zahlungsauslösedienstleister oder Kontoinformationsdienstleiter übertragen werden.
Schließlich müssen die Kommunikationsschnittstellen ISO 20022 und anderen Kommunikationsstandards entsprechen.
Darüber hinaus ist eine Dokumentation der technischen Spezifikation der Kommunikationsschnittstelle von den kontoführenden Zahlungsdienstleistern auf ihrer Webseite kostenlos und öffentlich zur Verfügung zu stellen – einschließlich einer Liste von Routinen, Protokollen und Tools, die erforderlich sind, um mit dem System zu interagieren. Veröffentlichungen von Änderungen an den technischen Spezifikationen sind so früh wie möglich, spätestens jedoch drei Monate vor der Implementierung der Änderung (außer in Notfällen) vorzunehmen.
Die Kommunikationsschnittstelle muss das gleiche Servicelevel (einschließlich Support) bieten, wie die eigene Online-Banking-Plattform; Statistiken über die Verfügbarkeit der Kommunikationsschnittstelle sind den zuständigen Behörden auf Anfrage zur Verfügung zu stellen.
Weiterhin muss eine Testfunktion einschließlich Support angeboten werden, um Drittanbietern den Test ihrer Software und Applikationen zu ermöglichen.
Der RTS-Entwurf konkretisiert zwar die Regelungen der PSD2 und ist gegenüber dieser auch detaillierter. Allerdings bewegt er sich aber auf einem recht hohen Abstraktionsniveau, so dass er für die Implementierung der Schnittstelle nur von geringer Hilfe sein wird.”
Die Konsultationsphase des vorgelegten EBA-Papiers läuft bis zum 12. Oktober 2016. Anschließend wird die EBA bis zum 12. Januar 2017 den finalen RTS-Entwurf veröffentlichen. Da der RTS gemäß der PSD2 jedoch erst 18 Monate nach seiner Annahme durch die EU-Kommission anwendbar sein wird, ist mit dessen Anwendbarkeit nach aktuellem Stand frühestens im Oktober 2018 zu rechnen. Der RTS soll in Form einer sog. Delegierten Verordnung erlassen werden und wäre dann unmittelbar in allen Mitgliedstaaten anwendbar. Spielräume für eine nationale Umsetzung bestehen dann nicht mehr.aj
Text in Zusammenarbeit mit RA Andres Prescher (KPMG Rechtsanwaltsgesellschaft mbH)
Sie finden diesen Artikel im Internet auf der Website:
https://itfm.link/35698
Schreiben Sie einen Kommentar