STRATEGIE19. August 2019

BaFin-Einschätzung zu PSD2-Schnittstellen – FinTechs jubilieren, Banken lecken ihre Wunden

Dr. Christian Conreder, Rechtsanwalt, ist Associate Partner bei der Rödl Rechtsanwaltsgesellschaft SteuerberatungsgesellschaftDr. Christian Conreder

Eigentlich sollten von der Bank­aufsicht beaufsichtigte Drittdienstleister – oder auch Third-Party-Provider genannt – ab dem 14. September 2019 nur noch über eine PSD2-Schnittstelle auf die von Banken für Ihre Kunden geführten Zahlungskonten zugreifen dürfen. Ein Zugriff bspw. via FinTS sollte ab diesem Zeitpunkt nicht mehr möglich sein. Dieser Plan wurde am vergangen Donnerstag von der BaFin zunächst ad acta gelegt, was zu einem Paukenschlag in der Branche geführt hat.

von RA Dr. Christian Conreder

Aufgrund der Umsetzung der Zweiten eu­ro­päi­schen Zahlungsdiensterichtlinie (PSD2) sind Banken verpflichtet, Drittdienstleistern (Kon­to­in­for­ma­ti­ons­diens­te oder Zahlungsauslösedienste) ab dem 14. September 2019 einen kontrollierten Zugang zu Zahlungskonten (PSD2-Schnittstelle) zu ermöglichen, wenn der jeweilige Kunde dies wünscht. Über diese Schnittstelle können Drittdienstleister im Auftrag der Kunden auf deren Zahlungskonten zugreifen, bspw. zum Kontoinformationsabruf oder zur Zahlungsauslösung. Dieses wurde insbesondere in der begleitenden Delegierten Verordnung (EU) 2018/389 (Delegierten Verordnung) zur starken Kundenauthentifizierung und sicheren Kommunikation konkretisiert.

PSD2 – wie gut sind die Banken-APIs?
I Teil 1: DK erstaunt über BaFin-Bewertung der PSD2-APIs (Stellungnahme der DK)


II Teil 2: FinTechs jubilieren, Banken lecken ihre Wunden (Bewertung RA Conreder)


III Teil 3: RTS-konformer Zugriff verschafft Zeit (Stellungnahme FinTecSystems)


IV Teil 4: BaFin äußert Sorge wegen PSD2-APIs der Kredit­institute (Einordnung KPMG Law)

Nach dieser können sich Banken auch dann vom Bereitstellen eines sog. Notfallmechanismus befreien lassen, wenn ihre PSD2-Schnittstellen – stark vereinfacht – allen Vorgaben der PSD2 und der Delegierten Verordnung entsprechen. Anderenfalls müssen Banken Drittdienstleistern die sog. Kundenschnittstelle, die auch die Zahlungsdienstnutzer nutzen, für den Zugriff zur Verfügung stellen. Banken waren bereits bis zum 14. März 2019 verpflichtet, eine angemessene Dokumentation der technischen Schnittstelle sowie eine entsprechende Testumgebung für Drittdienste bereitzustellen. Ebenfalls veranstaltete die BaFin mehrere sog. Workshops über das Testen von PSD2-Schnittstellen für alle relevanten Marktteilnehmern.

Das Einschreiten der BaFin

Über die Ausgestaltung der PSD2-Schnittstellen und die Migration auf die vorgenannte Schnittstellen gab es zwischen Banken und Drittdienstleistern bereits in der Vergangenheit mehrfach Uneinigkeiten. Dies rief nun die BaFin auf den Plan. In einem Rundschreiben teilte deren Exekutivdirektor Raimund Röseler mit, dass die BaFin vorliegende Anträge zur Erteilung einer Ausnahme von der Bereitstellung eines Notfallmechanismus nach Artikel 33 Absatz 6 der Delegierten Verordnung bis zum 14. September 2019 nicht positiv bescheiden könne. Damit hat die BaFin mittelbar zum Ausdruck gebracht, dass die derzeit von den Banken entwickelten PSD2-Schnittstellen nicht vollumfänglich den gesetzlichen Anforderungen entsprechen. Ebenfalls kritisiert die BaFin, dass die gesetzlich geforderte dreimonatige Testphase der Schnittstelle im breitem Umfang bis zum 14. September 2019 nicht erreicht werden wird. Aus diesem Grunde müssen Banken bis zum Zeitpunkt der Konformität, die derzeit von Drittdienstleistern genutzten Zugangsschnittstellen weiter zur Verfügung stellen. Dies kann sowohl die direkte Kundenschnittstelle (Web-Schnittstelle) als auch eine andere dedizierte Schnittstelle (wie bspw. FinTS) sein.

Kritikpunkte der BaFin an den PSD2-Schnittstellen den Banken

Autor Dr. Christian Conreder
Dr. Christian Conreder, Rechtsanwalt, ist As­so­cia­te Part­ner bei der Rödl Rechts­­an­walts­­ge­sel­l­­schaft Steu­er­be­ra­tungs­ge­sell­schaft mbH am Stand­ort Ham­burg und lei­tet den Be­reich Ka­pi­tal­an­la­ge­recht.

Der Schwer­punkt sei­ner an­walt­li­chen Tä­tig­keit liegt im Bank- und Ka­pi­tal­markt­recht, na­ment­lich in den Be­rei­chen des Zah­lungs­ver­kehrs- und Ka­pi­tal­an­la­ge­rechts. Ne­ben Ka­pi­tal­ver­wal­tungs­ge­sell­schaf­ten, Emis­si­ons­häu­sern und Fa­mi­ly Of­fices be­rät Herr Dr. Con­re­der u a. Ban­ken, Zah­lungs­dienst­leis­ter, Kar­te­n­e­mit­ten­ten und Fin­Techs in zi­vil- und auf­sichts­recht­li­chen Fragestellungen.

In ihrem Rundschreiben konkretisiert die BaFin ihre Erwartungen an die PSD2-Schnittstellen:

1. Bei PSD2-Schnittstellen, die zur Authentifizierung nur den Weg des „Redirection“ anbieten, wird die BaFin nur dann eine Befreiung gewähren, wenn die konkrete Ausgestaltung kein Hindernis für Drittdienstleister darstellt.
2. Die BaFin wird keine PSD2-Schnittstelle akzeptieren, bei denen eine Bank bei einem externen Zugriff eine manuellen Eingabe der IBAN des Zahlungskontos erforderlich macht.
3. Ferner stellt nach Ansicht der BaFin die mangelnde Darstellung von Daueraufträgen ein Verstoß gegen die Anforderungen der PSD2 dar. Deshalb wird eine Schnittstelle, die dem Kontoinformationsdienstleister keine Daueraufträge anzeigt, ebenfalls von der BaFin nicht akzeptiert.

Die über den 14. September 2019 hinausgehende Nutzung der derzeit von Drittdienstleistern genutzten Zugangsschnittstellen – also Web-Schnittstelle oder FinTS – stellt für viele FinTechs und Drittdienstleister eine große Erleichterung dar, um einen reibungslosen Übergang auf die PSD2-Schnittstellen zu schaffen. Entsprechend groß dürfte die Erleichterung über die neu gewonnene Zeit in diesem Lager sein.

Die Deutsche Kreditwirtschaft (DK) zeigte sich in einer Pressemitteilung deutlich erstaunt über die Reaktion der BaFin, betonte aber, sich weiter konstruktiv beteiligen zu wollen.

BaFin
BaFinKai Hartmann Photography / BaFin

Die BaFin wird nun für Anfang September 2019 einen weiteren Workshop über das Testen von PSD2-Schnittstellen planen, um so eine zufriedenstellende Lösung für alle Marktteilnehmer zu moderieren.”Dr. Christian Conreder

Schreiben Sie einen Kommentar

Ihre E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert