EUROPÄISCHE KOMMISSION

Brüssel, den 28.6.2023

COM(2023) 365 final

BERICHT DER KOMMISSION

BERICHT DER KOMMISSION AN DAS EUROPÄISCHE PARLAMENT, DEN RAT, DIE EUROPÄISCHE ZENTRALBANK UND DEN EUROPÄISCHEN WIRTSCHAFTS- UND SOZIALAUSSCHUSS



über die Überprüfung der Richtlinie 2015/2366/EU des Europäischen Parlaments und des Rates über Zahlungsdienste im Binnenmarkt

BERICHT DER KOMMISSION AN DAS EUROPÄISCHE PARLAMENT, DEN RAT, DIE EUROPÄISCHE ZENTRALBANK UND DEN EUROPÄISCHEN WIRTSCHAFTS- UND SOZIALAUSSCHUSS

über die Überprüfung der Richtlinie 2015/2366/EU des Europäischen Parlaments und des Rates über Zahlungsdienste im Binnenmarkt

Inhalt

1.    EINLEITUNG    

2.    ANWENDUNG UND AUSWIRKUNGEN DER PSD2 IM ALLGEMEINEN    

3.    SPEZIFISCHE ASPEKTE DER PSD2    

3.1.    Open Banking    

3.2.    Anwendungsbereich    

3.3.    Verbraucherschutz    

3.4.    Sicherheit und Betrugsprävention    

3.5.    Risikominderung und wettbewerbsbezogene Fragen    

3.6.    Durchsetzung    

3.7.    Sonstiges    

4.    SCHLUSSFOLGERUNGEN    

ABKÜRZUNGEN

1.EINLEITUNG 

Die zweite Zahlungsdiensterichtlinie (PSD2) 1 bietet einen Rahmen für sämtliche Massenzahlungen in der Europäischen Union (EU), sowohl für den Euro als auch für andere Währungen und sowohl für inländische als auch für grenzüberschreitende Zahlungen. Mit der ersten Zahlungsdiensterichtlinie (PSD1) 2 , die 2007 verabschiedet wurde, wurde ein harmonisierter Rechtsrahmen für die Schaffung eines integrierten EU-Zahlungsverkehrsmarkts geschaffen. Aufbauend auf der PSD1 wurden mit der PSD2 Hindernisse für neue Arten von Zahlungsdiensten beseitigt und das Niveau des Verbraucherschutzes und der Sicherheit verbessert. Gemäß der Überprüfungsklausel der PSD2 (Artikel 108, siehe Anlage 1) musste die Kommission bis zum 13. Januar 2021 einen Bericht über die Anwendung und die Auswirkungen der PSD2 und insbesondere über folgende Aspekte vorlegen: Entgelte, Anwendungsbereich, Schwellenwerte und Zugang zu Zahlungssystemen. Die Überprüfung konnte bis zu diesem Zeitpunkt nicht erfolgen, da die Richtlinie von einigen Mitgliedstaaten verspätet umgesetzt wurde und sich die Anwendung einiger ihrer Bestimmungen, z. B. der Bestimmungen über die starke Kundenauthentifizierung (siehe Abschnitt 3.4) 3 , verzögerte. Die Bewertung der PSD2 fand daher erst im Jahr 2022 statt. 4 Im Anschluss an die Bewertung und im Lichte ihrer Mitteilung über eine EU-Strategie für den Massenzahlungsverkehr 5 aus dem Jahr 2020 beschloss die Kommission, die PSD2 zu überarbeiten. Der vorliegende Überprüfungsbericht ist den beiden Legislativvorschlägen zur Überarbeitung der PSD2 6 beigefügt. 

2.ANWENDUNG UND AUSWIRKUNGEN DER PSD2 IM ALLGEMEINEN

In den letzten Jahren hat sich der Zahlungsdienstmarkt stark verändert. Bei elektronischen Zahlungen in der EU ist eine konstante Zunahme zu verzeichnen, und 2021 wurde ein Wert von 240 Bio. EUR erreicht (gegenüber 184,2 Bio. EUR im Jahr 2017). 7 Neben der zunehmenden Nutzung von Karten haben digitale Technologien zum Markteintritt neuer Dienstleister geführt. So sind beispielsweise Zahlungsdienstleister, die keine Banken sind, wie Zahlungsinstitute und E-Geld-Institute inzwischen weitverbreitet. Open-Banking-Dienste, einschließlich Kontoinformations- und Zahlungsauslösedienste, haben in diesem Zeitraum erheblich zugenommen (siehe Abschnitt 3.1).

Im Bericht über die Bewertung der PSD2 wird festgestellt, dass die PSD2 in unterschiedlichem Maße zur Erreichung ihrer Ziele beigetragen hat. Ein Bereich mit eindeutig positiven Auswirkungen ist die Betrugsprävention durch die Einführung der starken Kundenauthentifizierung; auch wenn sich die Umsetzung als schwieriger erwies als erwartet, hat die starke Kundenauthentifizierung bereits erheblich zur Eindämmung von Betrug beigetragen. Die PSD2 war auch im Hinblick auf ihr Ziel, die Effizienz und die Transparenz zu erhöhen und die Auswahl an Zahlungsinstrumenten für Zahlungsdienstnutzer zu erweitern, besonders wirksam. Die Bewertung ergab jedoch, dass die Wirksamkeit der PSD2 bei der Schaffung gleicher Wettbewerbsbedingungen begrenzt ist. Dies gilt insbesondere für das anhaltende Ungleichgewicht zwischen Zahlungsdienstleistern, die Banken sind, und Zahlungsdienstleistern, die keine Banken sind, das sich daraus ergibt, dass letztere keinen direkten Zugang zu bestimmten wichtigen Zahlungssystemen haben. Trotz des Aufkommens hunderter neuer Dienstleister, bei denen es sich nicht um Banken handelt, die Millionen von Kunden bedienen, war die Einführung des Open Banking in der EU unterschiedlich erfolgreich (so gab es etwa Probleme mit der Leistung der Datenzugangsschnittstellen für Erbringer von Open-Banking-Diensten). Während die grenzüberschreitende Erbringung von Zahlungsdiensten zunimmt, bleiben viele Zahlungssysteme (insbesondere Debitkartensysteme) weitgehend national. Bisher gibt es noch keine neue, vollständig europaweite Zahlungslösung. Im Rahmen der europäischen Zahlungsinitiative 8 wird derzeit eine erste europaweite Zahlungslösung entwickelt. Die erwarteten Kostensenkungen für Händler durch neue, kostengünstigere Zahlungsmittel, z. B. auf Grundlage des Open Banking, sind noch nicht vollständig eingetreten. Insgesamt lautet das Ergebnis der Bewertung, dass der derzeitige PSD2-Rahmen trotz bestimmter Mängel Fortschritte bei der Erreichung seiner Ziele ermöglicht hat.

Auf diese und andere Aspekte wird in Abschnitt 3 näher eingegangen. Dort werden auch die in Artikel 108 der PSD2 hervorgehobenen Fragen behandelt und die Ergebnisse der Überprüfung der PSD2 ganz allgemein zusammenfasst.

3.SPEZIFISCHE ASPEKTE DER PSD2

3.1.Open Banking

„Open Banking“ bezeichnet den Prozess, durch den Kontoinformationsdienstleister und Zahlungsauslösedienstleister, die gemeinsam als Drittdienstleister bezeichnet werden, in der PSD2 geregelte Dienste für Nutzer anbieten oder erleichtern, indem sie – auf Anfrage des Nutzers – auf dessen Kontodaten bei kontoführenden Zahlungsdienstleistern zugreifen. Obwohl es in der EU bereits vor der PSD2 Open Banking gab, waren Drittdienstleister in einem weitgehend unregulierten Umfeld tätig. Durch die PSD2 wurde ein stabiler Rechtsrahmen für Open Banking mit Schutzmechanismen für die Nutzer geschaffen. Durch diesen wurde kontoführenden Zahlungsdienstleistern die Verpflichtung auferlegt, Drittdienstleistern den Zugang zu Zahlungsdaten ohne zwingende vertragliche Pflichten zu erleichtern, mit dem Ziel, die Entwicklung des Open Banking zu fördern und gleichzeitig Maßnahmen zur Verbesserung der Sicherheit und des Schutzes der Nutzer festzulegen.

Während bereits vor der PSD2 ein Wachstumstrend in Bezug auf Open Banking zu beobachten war, ist der Markt für Open-Banking-Dienste seit 2018 weiter gewachsen. Die Zahl der Drittdienstleister und der Nutzer von Open-Banking-Diensten in der EU ist gestiegen und belief sich im Jahr 2021 auf fast 19 Millionen Nutzer. 9 Durch den Rechtsrahmen wurde der regulierte Zugang von Drittdienstleistern zu Zahlungskonten legitimiert, und die Sicherheit der Nutzer und ihrer Daten sichergestellt. Die Bewertung der PSD2 hat jedoch gezeigt, dass es immer wieder Probleme mit dem wirksamen und effizienten Zugang von Drittdienstleistern zu den Daten von kontoführenden Zahlungsdienstleistern gibt. Drittdienstleister sehen sich noch immer mit erheblichen Hindernissen konfrontiert und berichten häufig, dass die Schnittstellen, die zur Erleichterung ihres Datenzugangs entwickelt wurden 10 , in Qualität und Leistung variieren. Kontoführende Zahlungsdienstleister berichten von erheblichen Umsetzungskosten für die Entwicklung von Anwendungsprogrammierschnittstellen (API) 11 und beklagen, dass sie durch den Rechtsrahmen der PSD2 daran gehindert werden, Drittdienstleistern für die Erleichterung des Zugangs zu Kundendaten über API Entgelte zu berechnen. Kontoführende Zahlungsdienstleister bringen häufig auch Missfallen darüber zum Ausdruck, dass ihre API durch Drittdienstleister nur in geringem Umfang genutzt werden und dass einige Drittdienstleister noch immer ihre Kundenschnittstelle statt der API nutzen.

Vor diesem Hintergrund hat die Kommission im Anschluss an die Überprüfung der PSD2 beschlossen, eine Reihe gezielter Änderungen am Rahmen Open Banking vorzunehmen, um dessen Funktionsweise zu verbessern, allerdings ohne radikale Änderungen, die den Markt destabilisieren oder erhebliche weitere Umsetzungskosten verursachen könnten. Obwohl es in der EU unterschiedliche API-Standards gibt 12 , hält es die Kommission für besser, keine neue, vollständig standardisierte EU-Datenzugangsschnittstelle vorzuschreiben. Dies würde einige offensichtliche Vorteile in Bezug auf den Datenzugang für Drittdienstleister mit sich bringen. Die Anpassung an einen neuen Standard wäre für den Markt als Ganzes jedoch mit erheblichen Kosten verbunden. Die in der EU geltenden API-Standards nach der PSD2 weisen zwar immer noch einige Unterschiede auf, haben sich im Laufe der Zeit aber stark angenähert. Einer der beiden wichtigsten API-Standards deckt wohl 80 % der europäischen API für Open Banking ab. 13 Darüber hinaus bieten API-„Aggregatoren“ trotz bestehender Unterschiede (die oft durch individuelle Variationen der wichtigsten Standards aufseiten der kontoführenden Zahlungsdienstleister verursacht werden) einen einzigen Umsetzungspunkt, der die gleichzeitige Verbindung von Drittdienstleistern mit einer Vielzahl verschiedener API ermöglicht. Daher ist die Kommission mit weitgehender Unterstützung durch den Markt der Ansicht, dass die Kosten für die Einführung eines neuen einheitlichen API-Standards in der EU insgesamt die Vorteile überwiegen würden.

Die Kommission sieht auch keine Vorteile darin, die PSD2-Standardregel zu ändern, die den Zugang zu Daten durch Drittdienstleister ohne verbindliche vertragliche Beziehung und daher ohne finanziellen Ausgleich für kontoführende Zahlungsdienstleister ermöglicht. Die Einführung einer solch radikalen Änderung im Ökosystem des Open Banking wäre wahrscheinlich sehr störend, ohne Garantie, dass die Leistung der Schnittstellen schnell und erheblich verbessert würde. Dem Markt sollte es jedoch freistehen, Vereinbarungen mit einer Ausgleichsregelung für Dienste zu schließen, die über die in der überarbeiteten PSD2 geregelten Dienste hinausgehen, 14 doch sollte es für alle Drittdienstleister stets möglich sein, die PSD2-Basisdienste ohne vorherige vertragliche Vereinbarung oder Entgelte zu nutzen. Andererseits werden in den Rechtsakten zur Überarbeitung der PSD2 neue Mindestanforderungen in Bezug auf die Leistung dedizierter Schnittstellen, einschließlich einer nicht erschöpfenden Reihe verbotener Hindernisse für Open Banking festgelegt, um einen optimalen Datenzugang für Drittdienstleister zum vollen Nutzen ihrer Kunden zu gewährleisten.

Derzeit müssen kontoführende Zahlungsdienstleister – sofern sie nicht unter eine Ausnahmeregelung fallen – nach der PSD2 zwei Datenschnittstellen für Open Banking unterhalten: eine Hauptschnittstelle und eine „Fallback-Schnittstelle“. Diese recht komplexe Regelung sollte jedoch gestrafft werden: Wenn kontoführende Zahlungsdienstleister konforme dedizierte Schnittstellen anbieten, über die Drittdienstleistern die Daten zur Verfügung gestellt werden, die sie für die Betreuung ihrer Kunden benötigen, gibt es keinen Grund, die Anforderung von zwei Schnittstellen beizubehalten. Vielmehr sollte kontoführenden Zahlungsdienstleistern lediglich die Verpflichtung auferlegt werden, dauerhaft eine „dedizierte“ Schnittstelle Open Banking zu unterhalten. 15 Die Abschaffung der dauerhaften Fallback-Schnittstelle, die angesichts der suboptimalen Qualität bestimmter API von vielen Drittdienstleistern immer noch häufig genutzt wird, muss jedoch unbedingt mit einer wesentlichen Anhebung des Leistungsniveaus der Schnittstellen und einer robusten Durchsetzungsregelung einhergehen. Dies sind zwei unabdingbare Voraussetzungen für die Vereinfachung der derzeitigen Landschaft und die Abschaffung der Notwendigkeit, eine dauerhafte „Fallback“-Schnittstelle zu unterhalten. Selbst wenn sie von hoher Qualität sind, können API manchmal ausfallen, und in diesen Fällen muss Drittdienstleistern durch einen vorübergehenden Notfalldatenzugang die Möglichkeit zur Aufrechterhaltung des Betriebs gegeben werden. Um schließlich das Vertrauen der Verbraucher in Open Banking zu stärken und ihnen die Nutzung entsprechender Dienste zu erleichtern und um den Verbraucherschutz zu verbessern, müssen Banken und andere kontoführende Zahlungsdienstleister ihren Kunden, die Open-Banking-Dienste nutzen, ein IT-Tool („Dashboard“) anbieten, das es ihnen ermöglicht, auf einen Blick zu sehen, welche Datenzugriffsrechte sie wem gewährt haben, und auf Wunsch den Zugang von Drittdienstleistern zu ihren Daten über dieses Tool zu löschen.

Zusammen mit den beiden Vorschlägen zur Überarbeitung der PSD2 legt die Kommission einen Legislativvorschlag über den Zugang zu Finanzdaten vor, mit dem die Verpflichtung, Zugang zu Finanzdaten zu gewähren, über Zahlungskontodaten hinaus erweitert wird („offenes Finanzwesen“). Die Kommission hat die Möglichkeit geprüft, Kontoinformationsdienstleister vom PSD-Rahmen in den künftigen Rahmen für den Zugang zu Finanzdaten zu überführen. Auch wenn eine solche Überführung angesichts der Art der Tätigkeit von Kontoinformationsdienstleistern letztlich sinnvoll sein könnte, bestünde für die Kontoinformationsdienstleister bei vorzeitiger Durchführung, d. h. vor dem Vorhandensein eines „Systems“, was eine Voraussetzung für das offene Finanzwesen darstellt, ein erhebliches Risiko von Störungen und Unterbrechungen der Datenzugangsrechte. 16 Ein solches System gibt es auf dem Markt für Open Banking aktuell nicht, wird derzeit aber von den Marktteilnehmern ausgearbeitet. Die Kommission hält es daher für besser, schrittweise vorzugehen und eine solche Überführung vorzusehen, wenn der Rahmen für den Zugang zu Finanzdaten voll funktionsfähig ist, und auch nur dann, wenn die Bedingungen für eine reibungslose Überführung als angemessen erachtet werden.

3.2.Anwendungsbereich 17

Seit der Verabschiedung der PSD2 wurden neue Zahlungsmittel entwickelt, z. B. Sofortzahlungen oder E-Geld-Token (eine Art Kryptowert 18 ). Weitere neue Produkte sind elektronische Brieftaschen (insbesondere „Pass-through-Brieftaschen“), die durch Tokenisierung die Nutzung eines Zahlungsinstruments über ein mobiles Gerät für Online- oder kontaktlose Zahlungen ermöglichen. Es sind auch neue Dienste entstanden, die die Erbringung von Zahlungsdiensten erleichtern, ohne selbst Zahlungsdienste zu sein, z. B. „Buy now, pay later“ (jetzt kaufen, später zahlen) oder „Request to pay“ (Zahlungsaufforderung).

Viele Erbringer solcher neuen Dienste sind als „technische Dienstleister“ vom Anwendungsbereich der PSD2 ausgenommen. Dazu gehören Betreiber von Zahlungssystemen und Dienstleister wie Zahlungsverarbeiter oder Gateways, die zwar selbst keine Zahlungsdienstleister sind, aber die Erbringung von Zahlungsdiensten durch regulierte Zahlungsdienstleister unterstützen. Einige dieser Drittdienstleister haben seit der PSD2 eine sehr wichtige Rolle in der Zahlungsverkehrskette eingenommen, und einige von ihnen, z. B. große Zahlungsdatenverarbeiter, haben in einigen Mitgliedstaaten sogar Quasi-Systemrelevanz erlangt. Diese Situation kann selbstverständlich neue Risiken in der EU-Zahlungslandschaft mit sich bringen.

Vor diesem Hintergrund ist die Verordnung über die digitale operationale Resilienz im Finanzsektor (DORA) relevant. 19 Zahlungsdienstleister im Sinne der PSD2 fallen in den Anwendungsbereich der DORA, deren Bestimmungen direkt auf sie anwendbar sind. Betreiber von Zahlungssystemen, die derzeit keiner Zulassungsregelung im Rahmen der PSD2 unterliegen 20 , fallen jedoch nicht in den Anwendungsbereich der DORA, da die DORA nur für Finanzunternehmen gilt, die nach EU-Recht reguliert und beaufsichtigt werden. Gemäß der DORA war die Kommission verpflichtet, im Rahmen der Überprüfung der PSD2 die Einbeziehung von „Betreiber[n] von Zahlungssystemen und an Zahlungsabwicklungstätigkeiten beteiligte[n] Stellen“ in den Anwendungsbereich der PSD2 zu prüfen, was folglich ihre Einbeziehung in den Anwendungsbereich der DORA ermöglichen würde. 21  

Die Kommission ist zu dem Schluss gekommen, dass eine solche Einbeziehung zum gegenwärtigen Zeitpunkt verfrüht wäre. Bei den privaten und öffentlichen Interessenträgern, die von der Kommission im Rahmen der Überprüfung der PSD2 konsultiert wurden, gibt es in dieser Frage keine vorherrschende Meinung, und bislang wurden keine eindeutigen Nachteile oder Risiken für Verbraucher oder andere Marktteilnehmer festgestellt. Viele der derzeit ausgenommenen Dienste und ihre Erbringer unterliegen bereits der Aufsicht durch die Europäische Zentralbank bzw. durch das Eurosystem (auf der Grundlage von Artikel 127 Absatz 2 des Vertrags über die Arbeitsweise der Europäischen Union) oder werden einer solchen Aufsicht in Kürze unterstellt. Systeme und sogenannte „Mechanismen“ (wie digitale Brieftaschen) fallen unter den neuen Überwachungsrahmen des Eurosystems für elektronische Zahlungsinstrumente, ‑verfahren und ‑mechanismen, der derzeit schrittweise eingeführt wird. Es bestünde daher ein erhebliches Risiko von Doppelarbeit, wenn zu der bestehenden Aufsicht durch die Europäische Zentralbank bzw. durch das Eurosystem eine neue Ebene der EU-Aufsicht hinzukäme, ohne dass die Notwendigkeit dafür stichhaltig belegt wäre. Außerdem besteht die Hauptlogik der PSD2 in der Regulierung von Diensten, die für Endnutzer (Verbraucher, Händler) erbracht werden, und nicht von Diensten, die mit dem Betrieb von Zahlungsinfrastrukturen zusammenhängen, oder von Diensten, die die Ausführung von Zahlungsdiensten unterstützen, ohne selbst Zahlungsdienste zu sein (z. B. Verarbeitung von Zahlungsdaten, Betrieb von Zahlungsterminals, Cloud-Dienste usw.), oder von Diensten, die lediglich die Nutzung eines Zahlungsinstruments erleichtern, ohne dass ein regulierter Zahlungsdienst beteiligt ist. In den EU-Rechtsvorschriften für Finanzdienstleistungen werden verbraucherbezogene Fragen und großkunden- und infrastrukturbezogene Fragen tendenziell in getrennten Rechtsakten geregelt. 22  

Die Kommission ist sich jedoch der zunehmenden Bedeutung dieser unbeaufsichtigten Betreiber bei der Erbringung von Zahlungsdiensten sowie der potenziellen Risiken, die ihre Tätigkeiten für die Zahlungssysteme und die Finanzstabilität mit sich bringen können, voll bewusst. Die Kommission wird daher innerhalb von drei Jahren nach Inkrafttreten der überarbeiteten Rechtsvorschriften in enger Zusammenarbeit mit der Europäischen Zentralbank bzw. dem Eurosystem eine eingehende, faktengestützte Überprüfung vornehmen und dabei insbesondere bewerten, ob zusätzlich zum bestehenden Aufsichtssystem ein spezielles EU-Zulassungs- und Aufsichtssystem für einige der bisher ausgenommenen Unternehmen erforderlich ist. Dieser Zeitrahmen ist notwendig, um ausreichende Nachweise für die Umsetzung zusammenzutragen.

In Anbetracht dieser Erwägungen enthält der Vorschlag zur Überarbeitung der PSD2 lediglich wesentliche Klarstellungen zu den Vorschriften über den Anwendungsbereich der PSD2, bei denen es derzeit Unklarheiten gibt, ohne dass wesentliche Änderungen am bestehenden Anwendungsbereich der PSD2 vorgenommen werden.

Der Zugang zu Bargeld ist eine Priorität der Kommission. Der neue Vorschlag trägt durch die Erleichterung des Zugangs zu Bargeld zu diesem Ziel bei. Derzeit kann ein Einzelhändler im Rahmen der PSD2 einem Kunden ohne Zulassung als Zahlungsdienstleister Bargeld zur Verfügung stellen, allerdings nur in Verbindung mit einem Kauf („Cashback“). Um den Zugang zu Bargeld weiter zu verbessern, schlägt die Kommission vor, Einzelhändlern die Möglichkeit zu geben, einen Bargelddienst anzubieten, auch wenn der Kunde keinen Kauf getätigt hat, ohne dass sie eine Zulassung als Zahlungsdienstleister benötigen oder ein Vertreter eines Zahlungsinstituts sein müssen. Dies ist an einige Bedingungen geknüpft, darunter eine Obergrenze von 50 EUR 23 pro Abhebung und die Verpflichtung zur Offenlegung etwaiger erhobener Entgelte.

Für die Bereitstellung von Bargeld über Geldautomaten ist im Allgemeinen eine Zulassung als Zahlungsdienstleister erforderlich, in der PSD2 ist jedoch für bestimmte Betreiber von Geldautomaten, die keine Banken sind, eine an besondere Bedingungen geknüpfte Ausnahmeregelung vorgesehen. 24 Diese Ausnahmeregelung hat sich in der Praxis als schwer anwendbar erwiesen. Daher wird vorgeschlagen, die Ausnahmeregelung zu streichen, aber Geldautomatenbetreiber, die keine Zahlungskonten führen, in den Anwendungsbereich einzubeziehen, und zwar mit einer weniger strengen Registrierungsregelung und einem angemessenen Maß an Regulierung (z. B. Transparenzpflicht in Bezug auf die Entgelte).

3.3.Verbraucherschutz

i.    Bestimmungen über Entgelte 25  

Die PSD2 ermöglicht es Zahlungsempfängern, von Zahlern Entgelte zu erheben, um sie zur Nutzung bestimmter Zahlungsinstrumente zu bewegen („zusätzliche Entgelte“). Zahlungsempfänger werden jedoch davon abgehalten, Entgelte für die Verwendung von Zahlungsinstrumenten zu fordern, für die die Verordnung über Interbankenentgelte 26 Vorschriften für die Interbankenentgelte enthält, d. h. für Debit- und Kreditkarten von Verbrauchern, die im Rahmen von Vier-Parteien-Kartensystemen ausgegeben werden, und für diejenigen Zahlungsdienste, für die die SEPA-Verordnung 27 gilt, d. h. Überweisungen und Lastschriften in Euro. Den Mitgliedstaaten ist es gegenwärtig gestattet, die Erhebung zusätzlicher Entgelte in größerem Umfang zu verbieten oder zu beschränken – eine Möglichkeit, von der mehr als die Hälfte der Mitgliedstaaten Gebrauch gemacht hat. Die Kommission ist der Auffassung, dass es nicht notwendig ist, die Entgeltpraxis zwischen den Mitgliedstaaten weiter anzugleichen oder diese zu ändern, da das Verbot der Erhebung zusätzlicher Entgelte bereits für 95 % der Zahlungen in der EU gilt. Diese Schlussfolgerung wird von den meisten Teilnehmern an der öffentlichen Konsultation unterstützt. Das in der PSD2 vorgesehene Verbot der Erhebung zusätzlicher Entgelte erstreckt sich derzeit jedoch nicht auf Überweisungen und Lastschriften, die auf andere Währungen außer dem Euro in der EU lauten. Da es keine klare Begründung für diese Beschränkung gibt, schlägt die Kommission vor, das Verbot der Erhebung zusätzlicher Entgelte auf alle Überweisungen und Lastschriften in sämtlichen Währungen auszuweiten.

ii.    Bestimmungen über Zahlungsvorgänge mit Drittländern 28  

Die PSD2 gilt für Zahlungsvorgänge innerhalb der EU und aus Drittländern bzw. in Drittländer in jeder Währung (einschließlich Nicht-EU-Währungen); ihre Bestimmungen beschränken sich jedoch auf die Teile eines Vorgangs, die in der EU abgewickelt werden. Die Entgelte und die Transparenz von Entgelten für Zahlungen innerhalb der EU fallen unter die Verordnung über grenzüberschreitende Zahlungen 29 , diese Verordnung gilt jedoch nicht für Finanztransfers und Überweisungen aus der EU in Drittländer. Wenn eine Währungsumrechnung erforderlich ist, machen die damit verbundenen Kosten oft einen großen Teil der Gesamtkosten aus. Bei Transaktionen aus der EU in Drittländer ist es für die Verbraucher ohne vollständige Transparenz der Kosten und Entgelte schwierig, die Entgelte verschiedener Dienstleister zu vergleichen; daher kann es sein, dass sie sich für einen Dienstleister entscheiden, der nicht am besten für ihre Bedürfnisse geeignet ist. Darüber hinaus besteht nach der aktuellen PSD2 keine Verpflichtung für Zahlungsdienstleister, dem Zahlungsdienstnutzer eine Schätzung der maximalen Ausführungsfrist für solche Transaktionen zu übermitteln.

Die Förderung des Wettbewerbs und die Senkung der Entgelte für internationale Überweisungen und Finanztransfers ist eines der Ziele des G20-Fahrplans für grenzüberschreitende Zahlungen 30 . Daher schlägt die Kommission für Überweisungen und Finanztransfers aus der EU in Drittländer eine Verpflichtung vor, den Zahlungsdienstnutzer im Einklang mit den derzeitigen Informationspflichten für EU-interne Transaktionen über die voraussichtlichen Entgelte für die Währungsumrechnung sowie über die voraussichtliche Frist bis zum Eingang des Geldbetrags beim Zahlungsdienstleister des Zahlungsempfängers in einem Drittland zu informieren. Die Kommission schlägt jedoch nicht vor, eine maximale Frist für die Ausführung von Überweisungen und Geldtransfers aus der EU in Drittländer festzulegen, da dies teilweise von Banken außerhalb der EU abhängt, die nicht den EU-Vorschriften unterliegen.

iii. Schwellenwerte im Zusammenhang mit der Ausnahme elektronischer Kommunikationsnetze 31

Vom Anwendungsbereich der PSD2 ausgenommen sind Zahlungsvorgänge, die von einem Anbieter eines elektronischen Kommunikationsnetzes von einem oder über ein elektronisches Gerät oder für den Kauf von digitalen Inhalten oder Sprachdiensten (z. B. Klingeltöne, Musik und Premium-SMS-Dienste) ausgeführt werden, wenn die Transaktion über die Rechnung des Teilnehmers abgerechnet wird. Diese Ausnahme ist auf 50 EUR pro Transaktion und 300 EUR pro Monat begrenzt. Die Kommission hat bei ihrer Überprüfung der PSD2 keine Probleme im Zusammenhang mit der derzeitigen Höhe der verschiedenen in der PSD2 festgelegten Schwellenwerte festgestellt. In Anbetracht der im Rahmen ihrer Überprüfung eingegangenen Belege schlägt die Kommission keine Änderungen der Schwellenwerte vor, wird aber weiterhin deren Angemessenheit überwachen.

iv.    Bestimmungen über die Blockierung von Geldbeträgen 32

Wird eine Zahlungskarte für eine Zahlung in unbestimmter Höhe verwendet (z. B. an einer Tankstelle, in einem Hotel oder bei einer Autovermietung), wird der Geldbetrag auf der Karte normalerweise vom Zahlungsdienstleister des Zahlers blockiert, nachdem dieser seine Zustimmung gegeben hat. Blockierte Geldbeträge stehen dem Nutzer bis zur Freigabe nicht zur Verfügung, was zu finanziellen Schwierigkeiten führen kann. Es hat sich gezeigt, dass die blockierten Geldbeträge im Vergleich zum Endbetrag, sofern bekannt, unverhältnismäßig oder unangemessen hoch sein können. Das Problem übermäßig hoher blockierter Geldbeträge kann nicht durch die Einführung von Obergrenzen gelöst werden, da die blockierten Beträge in unterschiedlichen Situationen sehr verschieden sein können (Tanken, Mietwagen, Hotelaufenthalt usw.). Dies wurde von der Mehrheit der Interessenträger in der öffentlichen Konsultation bestätigt. 33 Ein weiteres Problem, das damit zusammenhängt, sind die unterschiedlichen Fristen für die Freigabe ungenutzter blockierter Geldbeträge, die laut den eingegangenen Rückmeldungen bis zu mehreren Wochen dauern oder sogar einen ausdrücklichen Antrag des Zahlers erfordern kann. Vor diesem Hintergrund schlägt die Kommission – anstelle der Einführung absoluter Höchstbeträge – Änderungen vor, um die Auszahlung ungenutzter blockierter Geldbeträge zu beschleunigen und die Anforderung aufzuerlegen, dass der blockierte Betrag in einem angemessenen Verhältnis zum voraussichtlichen Endbetrag steht.

3.4.Sicherheit und Betrugsprävention

Im Bereich Betrug war die wichtigste Neuerung der PSD2 die Einführung einer starken Kundenauthentifizierung. Dabei handelt es sich um eine Authentifizierung unter Heranziehung von zwei Authentifizierungsfaktoren, die entweder auf Wissen (z. B. Passwort), Besitz (z. B. Karte) oder Inhärenz (z. B. Fingerabdruck) beruhen. Nach der PSD2 sind Zahlungsdienstleister verpflichtet, eine starke Kundenauthentifizierung zu verlangen, wenn der Zahler online auf ein Zahlungskonto zugreift, einen elektronischen Zahlungsvorgang auslöst oder über einen Fernzugang eine Handlung vornimmt, die das Risiko eines Betrugs im Zahlungsverkehr oder anderen Missbrauchs birgt. Aus der Bewertung der Kommission geht hervor, dass sich die starke Kundenauthentifizierung in Bezug auf die Eindämmung von Betrug bereits als sehr wirksam erwiesen hat. Bei Kartenfernzahlungen beispielsweise ist die Betrugsquote bei Transaktionen mit starker Kundenauthentifizierung um 70–80 % niedriger als bei Transaktionen ohne starke Kundenauthentifizierung. 34 Die schrittweise Einführung der starken Kundenauthentifizierung durch den Markt war jedoch eine Herausforderung, sodass es zu erheblichen Verzögerungen bei der vollständigen Einführung kam. Die Marktteilnehmer weisen regelmäßig auf die Kosten im Zusammenhang mit der Einführung der starken Kundenauthentifizierung hin 35 , und viele würden einen stärker zweckorientierten Ansatz bevorzugen, um die mit der starken Kundenauthentifizierung verbundenen Reibungen bei elektronischen Transaktionen zu verringern. Die Kommission räumt ein, dass die Einführung der starken Kundenauthentifizierung reibungsloser hätte verlaufen und vom Markt, der die Komplexität und die Auswirkungen dieser Umstellung weitgehend unterschätzt hat, sicherlich besser hätte antizipiert werden können. Die Kommission beabsichtigt jedoch nicht, ihren Ansatz in Bezug auf die starke Kundenauthentifizierung zu ändern, da diese bereits eine sehr positive Wirkung auf die Betrugsquote hatte und die meisten Nutzer nach ihrer schrittweisen Einführung mittlerweile gut mit ihr vertraut sind.

Die Einführung der starken Kundenauthentifizierung hat viele Verbraucher in der EU vor konkrete Herausforderungen gestellt und sich auf ihre Möglichkeit ausgewirkt, elektronische Zahlungen zu tätigen. Die Kommission ist der Auffassung, dass jeder in der Lage sein sollte, eine starke Kundenauthentifizierung durchzuführen, unabhängig vom Gesundheitszustand, vom Alter oder von der körperlichen Verfassung. Die Zahlungsdienstleister müssen daher über Mittel zur Durchführung der starken Kundenauthentifizierung verfügen, die für alle ihre Kunden geeignet sind und nicht nur für diejenigen, die beispielsweise ein Smartphone besitzen oder mit der Technologie vertraut sind. Im Einklang mit dem europäischer Rechtsakt zur Barrierefreiheit wird die Kommission von den Zahlungsdienstleistern verlangen, dass sie die Nutzung der starken Kundenauthentifizierung mitunter für Menschen mit Behinderungen, ältere Menschen und andere Personen, die Schwierigkeiten bei der Nutzung der starken Kundenauthentifizierung haben, erleichtern. 36

Trotz ihres Erfolgs kann durch die starke Kundenauthentifizierung nicht allen Arten von Betrug begegnet werden. Angesichts des Aufkommens neuer Arten von Betrug, bei denen die starke Kundenauthentifizierung kaum Wirkung zeigt, darunter insbesondere Social-Engineering-Betrug, bei dem die Betrüger ihre Opfer dazu bringen, ihre Zugangsdaten preiszugeben oder Geldbeträge an einen unrechtmäßigen Zahlungsempfänger zu überweisen, schlägt die Kommission neue Maßnahmen zur Betrugsprävention und zur Entschädigung vor. 37 Dazu gehören Verbesserungen bei der Anwendung der starken Kundenauthentifizierung (z. B. Klärung der Frage, wann eine Transaktion als vom Händler ausgelöster Zahlungsvorgang oder als schriftlich oder telefonisch ausgelöster Zahlungsvorgang gilt), die Schaffung einer Rechtsgrundlage für Zahlungsdienstleister zur Weitergabe betrugsbezogener Informationen unter vollständiger Einhaltung der Datenschutz-Grundverordnung, wie vom Markt allgemein gefordert, eine Verpflichtung der Zahlungsdienstleister zur Durchführung von Aufklärungsmaßnahmen, um die Kunden für Betrug im Zahlungsverkehr zu sensibilisieren, sowie die Ausweitung der Dienste zur Überprüfung der Internationalen Kontonummer (IBAN) bzw. des Namens, die sich bereits in den Märkten, in denen sie eingeführt wurden, als wirksam gegen Betrug und Fehler erwiesen haben, auf sämtliche Überweisungen statt nur auf Sofortzahlungen. 38

Durch die PSD2 wurde ein Erstattungsrecht für Verbraucher eingeführt, allerdings nur für nicht autorisierte Überweisungen, d. h. solche, bei denen der Zahler der Ausführung des Zahlungsvorgangs nicht zugestimmt hat. Sie deckt jedoch nicht die Arten von Betrug ab, die seit ihrer Einführung neu aufgekommen sind und sich immer stärker verbreiten, z. B. den vorstehend erwähnten Social-Engineering-Betrug. Die Anwendung der durch die PSD2 eingeführten starken Kundenauthentifizierung hat zwar bereits zu einer erheblichen Senkung der Betrugsquote im Zusammenhang mit nicht autorisierten Zahlungsvorgängen geführt, ist aber in Bezug auf die Verhinderung dieser neuen Arten von Betrug weitgehend unwirksam. Die Kommission ist der Ansicht, dass der Unterschied zwischen autorisierten und nicht autorisierten Transaktionen durch Social Engineering in der Praxis immer mehr verwischt und immer komplexer wird, was auch rechtliche Fragen dahin gehend aufwirft, ob eine Transaktion als autorisiert angesehen werden kann, nur weil eine starke Kundenauthentifizierung durchgeführt wurde.

Nach Auffassung der Kommission sollten jegliche Änderungen am Haftungsrahmen der PSD2 zur Eindämmung von Betrug beitragen, ohne dass ein neues moralisches Risiko entsteht, das durch ein allgemeines Erstattungsrecht ausgelöst werden könnte, und ohne dass die finanziellen Folgen des Betrugs einfach umgeschichtet werden. Die Kommission schlägt daher vor, zusätzliche Erstattungsrechte für Verbraucher einzuführen, die über nicht autorisierte Transaktionen hinausgehen, die allerdings nur in bestimmten Situationen und unter bestimmten Bedingungen greifen. Die Kommission folgt der Logik, dass in Fällen, in denen die Haftung des Zahlungsdienstleisters aufgrund seines Handelns oder Unterlassens als gegeben angesehen werden kann, ein Erstattungsrecht unter Umständen gerechtfertigt ist. Dazu zählen Fälle, in denen der Verbraucher einen Schaden erlitten hat, der durch ein Versagen des IBAN‑/Namensüberprüfungsdienstes verursacht wurde. Ein weiterer Fall, in dem ein Erstattungsrecht gerechtfertigt wäre, ist, wenn ein Verbraucher Opfer eines Betrugs wird, bei dem sich der Betrüger als Angestellter der Bank des Verbrauchers ausgibt, indem er z. B. die Telefonnummer oder E-Mail-Adresse der Bank verwendet („Doppelgänger-Betrug“ oder „Spoofing“). Im letztgenannten Fall könnte der Zahlungsdienstleister, als der sich der Betrüger ausgibt, ebenso wie der Verbraucher als Opfer betrachtet werden. In immer mehr Mitgliedstaaten entscheiden sich die Banken jedoch zunehmend für die Erstattung solcher betrügerischen Spoofing-Transaktionen, da sie zu Recht besorgt sind über die Auswirkungen dieser Art von Betrug auf ihren Ruf und das Vertrauen der Verbraucher in das Bankensystem. Einige nationale Gerichtsurteile scheinen dem gleichen Trend zu folgen. Es ist jedoch unerlässlich, bestimmte Ausnahmen und Garantien für diese Erstattungsrechte vorzusehen, insbesondere wenn der Verbraucher grob fahrlässig gehandelt hat oder Teil des Betrugs ist.

Die Kommission misst dem Problem des Betrugs größte Bedeutung bei. Sie wird die Entwicklung von Betrug im Zahlungsverkehr in Zusammenarbeit mit den Verbraucherverbänden genau verfolgen und bereit sein, bei Bedarf Anpassungen des Rechtsrahmens vorzuschlagen, auch im Hinblick auf eine weitere Ausweitung der Verlagerung der Haftung. Die Kommission erwartet, dass jeder Akteur in der Zahlungskette – ob privat oder öffentlich und ob reguliert oder nicht – seinen vollen Beitrag zur Betrugsprävention leistet. Neben den regulierten Zahlungsdienstleistern sollten auch Händler, Zahlungssysteme, technische Dienstleister, Mobilfunknetzbetreiber, Internetplattformen usw. in vollem Umfang an den kollektiven Bemühungen mitwirken, und in einigen Fällen könnten auch sie haftbar gemacht werden.

3.5.Risikominderung und wettbewerbsbezogene Fragen 39

Seit dem Inkrafttreten der PSD2 haben die Zahl und die Bedeutung von Zahlungsdienstleistern, die keine Banken sind, zugenommen. Sie können zwar Zahlungskontodienste anbieten, dürfen aber im Gegensatz zu Banken keine Kredite vergeben und müssen für den Erhalt einer Zulassung die Kundengelder bei einer Geschäftsbank sichern. Zahlungsinstitute und E-Geld-Institute müssen daher über ein Konto bei einer Geschäftsbank verfügen. Außerdem erfordert das Anbieten von Zahlungsdiensten den Zugang zu wichtigen Zahlungsinfrastrukturen für die Verarbeitung und Abwicklung von Zahlungen.

Wie die Europäische Bankenaufsichtsbehörde (EBA) in ihrer Stellungnahme vom Januar 2022 40 dargelegt hat, haben Zahlungsinstitute und E-Geld-Institute Probleme mit der Risikominderung durch Geschäftsbanken. Was den Zugang zu Geschäftskonten betrifft, so sind die Banken nach der PSD2 zwar verpflichtet, jede Verweigerung des Kontozugangs für Zahlungsinstitute oder E-Geld-Institute zu erläutern und zu begründen, doch geben sie häufig nur oberflächliche Pro-forma-Erklärungen dafür ab oder gewähren den Zugang, entziehen ihn aber später wieder, was sie gemäß der PSD2 nicht erklären müssen. Dies kann die Tätigkeit von Zahlungsinstituten oder E-Geld-Instituten erheblich beeinträchtigen.

Darüber hinaus verhindert die Richtlinie über die Wirksamkeit von Abrechnungen 41 in ihrer derzeitigen Fassung den Zugang von Zahlungsdienstleistern, die keine Banken sind, zu Zahlungsinfrastrukturen, die von den Mitgliedstaaten im Rahmen dieser Richtlinie benannt wurden, indem sie nicht als mögliche Teilnehmer genannt werden. Dadurch werden Zahlungsinstitute und E-Geld-Institute gezwungen, noch stärker auf Geschäftsbanken zurückzugreifen, und zwar nicht nur für die Sicherung der Kundengelder, sondern auch für die Ausführung von Zahlungen, wodurch eine strukturelle Abhängigkeit der Zahlungsdienstleister, die keine Banken sind, von den Banken und ungleiche Wettbewerbsbedingungen entstehen, die von zahlreichen Marktteilnehmern angeprangert werden.

Der Vorschlag der Kommission zur Überarbeitung der PSD2 enthält daher Maßnahmen, um diese Mängel zu beheben und die Wettbewerbsbedingungen anzugleichen. Die Anforderungen an Banken in Bezug auf Bankkontodienste für Zahlungsdienstleister, die keine Banken sind, werden erheblich verschärft, mit einer strengeren Begründungspflicht für die Verweigerung, die anders als in der PSD2 auch die Einstellung des Dienstes umfasst. Zentralbanken dürfen nach eigenem Ermessen auch Kontodienste für Zahlungsdienstleister erbringen, die keine Banken sind. Die Kommission schlägt ferner vor, die Richtlinie über die Wirksamkeit von Abrechnungen zu ändern, um Zahlungsinstitute 42 als mögliche Teilnehmer an bezeichneten Zahlungssystemen aufzunehmen. Die überarbeiteten Zahlungsvorschriften werden strengere Vorschriften für die Zulassung von Zahlungsinstituten als Teilnehmer an Zahlungssystemen mit einer angemessenen Risikobewertung enthalten.

3.6.Durchsetzung

Eine angemessene Durchsetzung ist unerlässlich, wenn es darum geht, eine harmonisierte Anwendung und Umsetzung der Vorschriften der PSD2 zu gewährleisten. Der Grundsatz der vollständigen Harmonisierung besagt, dass die Mitgliedstaaten keine anderen als die in der PSD2 festgelegten Bestimmungen aufrechterhalten oder einführen dürfen. Die Vorschriften der PSD2 werden jedoch von den verschiedenen Interessenträgern des Zahlungsverkehrsmarkts unterschiedlich ausgelegt und umgesetzt, obwohl im Rahmen des Frage-und-Antwort-Tools, der Stellungnahmen und Leitlinien der EBA 43 mitunter unverbindliche Auslegungshilfen verfügbar sind. Die Aufsicht über Zahlungsinstitute erfolgt auf nationaler Ebene mit den zuständigen nationalen Behörden innerhalb ihres Zuständigkeitsbereichs. Ungleiche Wettbewerbsbedingungen mit dem Potenzial für Aufsichtsarbitrage bestehen, wenn sich Zahlungsdienstleister in einem Mitgliedstaat niederlassen, in dem die Vorschriften der PSD2 in einer für sie vorteilhaften Weise angewandt werden, und von dort aus grenzüberschreitende Dienste in andere Mitgliedstaaten mit strengeren Auslegungen erbringen.

Vor diesem Hintergrund ist es angebracht, die Durchsetzungsbefugnisse der zuständigen nationalen Behörden, insbesondere im Bereich Sanktionen, zu stärken und eine einheitliche Anwendung der EU-Zahlungsvorschriften zu gewährleisten, indem der überwiegende Teil der Vorschriften der PSD2 in eine unmittelbar anwendbare Verordnung umgewandelt wird.

3.7.Sonstiges

I.Kleinere Zahlungsinstitute 44

Nach der PSD2 dürfen die Mitgliedstaaten kleineren Zahlungsinstituten weniger strenge Aufsichtsanforderungen auferlegen, sofern bestimmte Schwellenwerte für ausgeführte Zahlungsvorgänge eingehalten werden. 45 Es wurden keine wesentlichen Probleme im Zusammenhang mit der derzeitigen Höhe der Schwellenwerte festgestellt, sodass es für die Kommission keinen zwingenden Grund gibt, Änderungen an den Schwellenwerten vorzuschlagen; die Kommission schlägt allerdings vor, die Schwellenwerte in Zukunft regelmäßig im Wege delegierter Rechtsvorschriften an die Inflation anzupassen. 

II.Vereinfachung: Abstimmung mit E-Geld-Diensten

Die zweite E-Geld-Richtlinie 46 enthält Vorschriften über die Zulassung und Beaufsichtigung von E-Geld-Instituten. Die PSD2 enthält Vorschriften für die Zulassung und Beaufsichtigung von Zahlungsdienstleistern sowie Rechte und Pflichten und Transparenzanforderungen in der Beziehung zwischen sämtlichen Zahlungsdienstleistern (einschließlich E-Geld-Instituten) und Zahlungsdienstnutzern. Da Zahlungsvorgänge mit E-Geld bereits weitgehend durch die PSD2 geregelt sind, ist der für E-Geld-Institute und Zahlungsinstitute geltende Rechtsrahmen bereits recht kohärent. Die Zulassungsanforderungen, insbesondere in Bezug auf das Anfangskapital und die laufende Kapitalausstattung, sowie einige Schlüsselkonzepte für das E-Geld-Geschäft, wie z. B. die Ausgabe, Verteilung und Rücktauschbarkeit von E-Geld, unterscheiden sich jedoch deutlich von den Diensten, die von Zahlungsinstituten erbracht werden. Die Aufsichtsbehörden hatten in der Praxis Schwierigkeiten, die beiden Regelungen klar voneinander abzugrenzen und E-Geld-Produkte/-Dienste von Zahlungsdiensten, die von Zahlungsinstituten angeboten werden, zu unterscheiden. Dies hat Bedenken im Hinblick auf Aufsichtsarbitrage und ungleiche Wettbewerbsbedingungen aufgeworfen und zu Problemen im Zusammenhang mit einer möglichen Umgehung der Anforderungen der zweiten E-Geld-Richtlinie geführt, indem einige Institute, die E-Geld ausgeben, unter Ausnutzung der Ähnlichkeit zwischen Zahlungsdiensten und E-Geld-Diensten eine Zulassung lediglich als Zahlungsinstitut beantragen.

Die gesammelten Erfahrungen reichen nun aus, um zu dem Schluss zu kommen, dass eine Verschmelzung der beiden Regelungen 47 angebracht ist, indem sie in einem einzigen Rechtsakt zusammengefasst und so weit wie möglich harmonisiert werden, wobei jedoch in begründeten Fällen Raum für Besonderheiten bleibt. Damit wird den Bedenken und Herausforderungen in Bezug auf die Abgrenzung der beiden Rechtsrahmen, insbesondere in der Zulassungsphase, Rechnung getragen. Darüber hinaus wird ein höheres Maß an Harmonisierung, Vereinfachung und kohärenter Anwendung der rechtlichen Anforderungen für Zahlungsinstitute und E-Geld-Institute gewährleistet, wodurch Aufsichtsarbitrage verhindert wird sowie gleiche Wettbewerbsbedingungen und ein zukunftssicherer Rechtsrahmen sichergestellt werden.

4.SCHLUSSFOLGERUNGEN

In Anbetracht der Ergebnisse des Berichts über die Bewertung der PSD2 ist die Kommission zu dem Schluss gelangt, dass zum einen gezielte Änderungen notwendig und zeitnah geboten sind, diese Änderungen zum anderen jedoch eine Weiterentwicklung, aber keine Revolution des EU-Rahmens für den Zahlungsverkehr darstellen sollten. In bestimmten Bereichen, z. B. in Bezug auf den Anwendungsbereich der Rechtsvorschriften oder die Erhebung zusätzlicher Entgelte, gab es keine Hinweise auf Probleme, die erhebliche und sofortige Änderungen rechtfertigen würden; dies wird jedoch insbesondere im Hinblick auf die Betreiber von Zahlungssystemen im Lichte der Überprüfungsklausel der DORA weiter beobachtet. In anderen Bereichen, z. B. in Bezug auf Open Banking, hält es die Kommission angesichts der bisher gültigen Vorschriften der PSD2 und der bereits getätigten Investitionen zur Umsetzung der PSD2-Standards sowie der Kosten, die eine tiefgreifende Änderung der entsprechenden Anforderungen mit sich bringen würde, für unerlässlich, jegliche Optionen zu verwerfen, die mit beträchtlichen neuen Umsetzungskosten und/oder ungewissen Ergebnissen verbunden sind.

Die vorgeschlagenen Überarbeitungen der PSD2 stellen ein Paket von Änderungen dar, die das Funktionieren des EU-Zahlungsverkehrsmarkts verbessern und den Verbraucherschutz erheblich stärken werden. Diese Änderungen stimmen voll und ganz mit den Zielen der Strategie der Kommission für den Massenzahlungsverkehr überein und ergänzen laufende Initiativen wie den Legislativvorschlag für Sofortzahlungen und den Vorschlag für ein offenes Finanzwesen bzw. den Zugang zu Finanzdaten, den die Kommission in Verbindung mit ihren Überarbeitungen der PSD2 ebenfalls vorlegt.

ANLAGE 1

Artikel 108 der Richtlinie (EU) 2015/2366

Überprüfungsklausel

„Die Kommission legt bis zum 13. Januar 2021 dem Europäischen Parlament, dem Rat, der EZB und dem Europäischen Wirtschafts- und Sozialausschuss einen Bericht über die Anwendung und die Auswirkungen dieser Richtlinie und insbesondere über folgende Aspekte vor:

a) die Eignung und Wirkung der Bestimmungen des Artikels 62 Absätze 3, 4 und 5 über Entgelte;

b) die Anwendung des Artikels 2 Absätze 3 und 4, einschließlich einer Prüfung, ob Titel III und IV, sofern technisch möglich, in vollem Umfang auf Zahlungsvorgänge nach jenen Absätzen angewendet werden kann;

c) den Zugang zu Zahlungssystemen, insbesondere im Hinblick auf das Ausmaß des Wettbewerbs;

d) die Angemessenheit und die Auswirkungen der Schwellenwerte für die Zahlungsvorgänge nach Artikel 3 Nummer 1;

e) die Angemessenheit und die Auswirkungen der Schwelle für die Ausnahme nach Artikel 32 Absatz 1 Buchstabe a;

f) die Frage, ob es unter Berücksichtigung der Entwicklungen wünschenswert wäre, ergänzend zu den Bestimmungen des Artikels 75 über Zahlungsvorgänge, bei denen der Betrag nicht im Voraus bekannt ist und Geldbeträge blockiert werden, Höchstgrenzen für die Beträge einzuführen, die in solchen Situationen auf dem Zahlungskonto des Zahlers blockiert werden dürfen.

Die Kommission legt zusammen mit dieser Überprüfung gegebenenfalls einen Gesetzgebungsvorschlag vor.“

ANLAGE 2

Artikel 58 Absatz 2 der Verordnung (EU) 2022/2554 (DORA)

„Im Zusammenhang mit der Überprüfung der Richtlinie (EU) 2015/2366 bewertet die Kommission, ob die Resilienz von Zahlungssystemen und Zahlungsabwicklungstätigkeiten gegenüber Cyberangriffen erhöht werden muss und ob es angemessen ist, den Geltungsbereich dieser Verordnung auf Betreiber von Zahlungssystemen und an Zahlungsabwicklungstätigkeiten beteiligte Stellen auszuweiten. Die Kommission legt unter Berücksichtigung des Ergebnisses dieser Bewertung dem Europäischen Parlament und dem Rat im Rahmen der Überprüfung der Richtlinie (EU) 2015/2366 bis spätestens 17. Juli 2023 einen Bericht vor.

Auf der Grundlage dieses Überprüfungsberichts und nach Konsultation der ESA, der EZB und des ESRB kann die Kommission gegebenenfalls als Teil des Gesetzgebungsvorschlags, den sie gemäß Artikel 108 Unterabsatz 2 der Richtlinie (EU) 2015/2366 annehmen kann, einen Vorschlag unterbreiten, mit dem sichergestellt wird, dass alle Betreiber von Zahlungssystemen und alle an Zahlungsabwicklungstätigkeiten beteiligte Stellen einer angemessenen Überwachung unterliegen, wobei der bestehenden Überwachung durch die Zentralbank Rechnung zu tragen ist.“

(1)

Richtlinie (EU) 2015/2366 vom 25. November 2015 über Zahlungsdienste im Binnenmarkt.

(2)

Richtlinie  2007/64/EG vom 13. November 2007 über Zahlungsdienste im Binnenmarkt.

(3)

Die meisten Vorschriften der PSD2 sind seit Januar 2018 anwendbar, die Vorschriften über die starke Kundenauthentifizierung jedoch erst seit September 2019.

(4)

Der Bewertungsbericht findet sich in Anhang 5 der Folgenabschätzung (SWD(2023) 231 final). Die Bewertung beruhte zum Teil auf einem Bericht des Auftragnehmers VVA/CEPS, der unter diesem Link abrufbar ist.

(5)

  COM(2020) 592 final vom 24.9.2020.

(6)

COM(2023) 366 final und COM(2023) 367 final.

(7)

Europäische Zentralbank, Statistical Data Warehouse, Payments Statistics Report , Juli 2022.

(8)

Siehe https://www.epicompany.eu/.

(9)

Zahlen von Juniper Research, zitiert von Statista . Es gibt keine offiziellen Statistiken zum Open Banking in der EU.

(10)

In der Regel API, da sich die große Mehrheit der kontoführenden Zahlungsdienstleister für eine API als Schnittstelle für Open Banking entschieden hat.

(11)

Einem Bericht des Auftragnehmers der Kommission VVA/CEPS zufolge belaufen sich die einmaligen Umsetzungskosten auf über 2 Mrd. EUR.

(12)

In der EU gibt es im Wesentlichen zwei wichtige PSD2-API-Standards: den Standard der Berlin Group und den STET-Standard.

(13)

  PRESS RELEASE – Berlin Group is offering support to new European payment schemes (berlin-group.org) .

(14)

Etwa das SEPA-Zahlungskontozugangsverfahren, das derzeit vom Markt erörtert wird. SEPA Payment Account Access | European Payments Council .

(15)

Es sei denn, die entsprechende Aufsichtsbehörde entbindet sie aus Gründen der Verhältnismäßigkeit und im Lichte ihres Geschäftsmodells von der Einrichtung einer speziellen Schnittstelle.

(16)

Siehe den Vorschlag der Kommission für eine Verordnung über harmonisierte Vorschriften für einen fairen Datenzugang und eine faire Datennutzung (Datengesetz) (COM(2022) 68 final vom 23. Februar 2022).

(17)

Dieser Abschnitt entspricht Artikel 58 Absatz 2 der DORA, siehe Anlage 2.

(18)

Diese sind zusammen mit anderen Kryptowerten, die nicht als Zahlungsmittel geeignet sind, in der Verordnung (EU) 2023/1114 vom 31. Mai 2023 über Märkte für Kryptowerte geregelt.

(19)

Verordnung (EU) 2022/2554 vom 14. Dezember 2022 über die digitale operationale Resilienz im Finanzsektor.

(20)

In einem Artikel der PSD2, nämlich Artikel 35, werden jedoch Anforderungen an die Betreiber von Zahlungssystemen gestellt.

(21)

Artikel 58 Absatz 2 der DORA, siehe Anlage 2.

(22)

Als Beispiel sind hier die Richtlinie 2014/65/EU vom 15. Mai 2014 über Märkte für Finanzinstrumente und – im Bereich Wertpapiere – die Verordnung (EU) Nr. 909/2014 über Zentralverwahrer zu nennen.

(23)

Insbesondere, um einen fairen Wettbewerb mit Geldautomaten zu gewährleisten und zu verhindern, dass den Geschäften schnell das Bargeld ausgeht.

(24)

Artikel 3 Buchstabe o der PSD2.

(25)

Dieser Abschnitt entspricht Artikel 108 Buchstabe a der PSD2, siehe Anlage 1.

(26)

Verordnung (EU) 2015/751 vom 29. April 2015 über Interbankenentgelte für kartengebundene Zahlungsvorgänge.

(27)

Verordnung (EU) Nr. 260/2012 vom 14. März 2012 zur Festlegung der technischen Vorschriften und der Geschäftsanforderungen für Überweisungen und Lastschriften in Euro.

(28)

Dieser Abschnitt entspricht Artikel 108 Buchstabe b der PSD2, siehe Anlage 1. „Drittländer“ sind als Länder außerhalb des Europäischen Wirtschaftsraums zu verstehen.

(29)

Verordnung (EU) 2021/1230, in der Transparenzpflichten in Bezug auf den voraussichtlichen Gesamtbetrag und die anwendbaren Währungsumrechnungsentgelte festgelegt sind.

(30)

  https://www.fsb.org/wp-content/uploads/P131021-1.pdf

(31)

Dieser Abschnitt entspricht Artikel 108 Buchstabe d der PSD2, siehe Anlage 1.

(32)

Dieser Abschnitt entspricht Artikel 108 Buchstabe f der PSD2, siehe Anlage 1.

(33)

Die im Rahmen der öffentlichen Konsultation eingegangenen Antworten sind unter diesem Link abrufbar.

(34)

Europäische Bankenaufsichtsbehörde, Discussion Paper on EBA’s preliminary observations on selected payment fraud data under PSD2, as reported by the industry (EBA/DP/2022/01), 17. Januar 2022.

(35)

Einem Bericht des Auftragnehmers VVA/CEPS zufolge belaufen sich die einmaligen Umsetzungskosten auf mehr als 5 Mrd. EUR, denen jedoch ein jährlicher Rückgang der Betrugsfälle im Wert von beinahe 1 Mrd. EUR gegenübersteht.

(36)

Richtlinie (EU) 2019/882 vom 17. April 2019 über die Barrierefreiheitsanforderungen für Produkte und Dienstleistungen.

(37)

Auf der Grundlage von Daten der Europäischen Bankenaufsichtsbehörde haben die Kommissionsdienststellen den Wert des Social-Engineering-Betrugs auf 323 Mio. EUR pro Jahr geschätzt. Siehe Folgenabschätzung zum Vorschlag der Kommission zu Sofortzahlungen (SWD(2022) 546 final).

(38)

Diese Dienste, die es in einigen Mitgliedstaaten auf nationaler Ebene gibt, informieren den Zahler vor Abschluss der Zahlung über etwaige Abweichungen zwischen der Kontonummer (IBAN) und dem Namen des Zahlungsempfängers. Eine Verpflichtung der Zahlungsdienstleister, ein solches System anzubieten, wurde bereits im Legislativvorschlag der Kommission zu Sofortzahlungen (COM(2022) 546 final vom 26.10.2022) vorgeschlagen (allerdings nur für Sofortüberweisungen in Euro).

(39)

Dieser Abschnitt entspricht Artikel 108 Buchstabe c der PSD2, siehe Anlage 1.

(40)

  EBA Opinion and annexed report on de-risking.pdf (europa.eu) .

(41)

Richtlinie 98/26/EG vom 19. Mai 1998 über die Wirksamkeit von Abrechnungen in Zahlungs- sowie Wertpapierliefer- und ‑abrechnungssystemen in der geänderten Fassung.

(42)

Nicht E-Geld-Institute, da der Status eines E-Geld-Instituts im künftigen Rechtsrahmen mit dem eines Zahlungsinstituts kombiniert wird (siehe Abschnitt 3.7 Ziffer ii).

(43)

  Single Rulebook Q&A | European Banking Authority (europa.eu) .

(44)

Dieser Abschnitt entspricht Artikel 108 Buchstabe e der PSD2, siehe Anlage 1.

(45)

Artikel 108 Buchstabe e in Verbindung mit Artikel 32 der PSD2.

(46)

Richtlinie 2009/110/EG vom 16. September 2009 über die Aufnahme, Ausübung und Beaufsichtigung der Tätigkeit von E-Geld-Instituten in der geänderten Fassung.

(47)

Siehe den Bericht der Kommission über die Umsetzung und die Auswirkungen der Richtlinie 2009/110/EG und insbesondere über die Anwendung der aufsichtsrechtlichen Anforderungen an E-Geld-Institute.