Die zweite Zahlungsdiensterichtlinie – zwischen technischer Innovation und Ausdehn... Page 1 of 30
ZBB 2016, 122
Matthias Terlau*
Die zweite Zahlungsdiensterichtlinie – zwischen technischer Innovation und
Ausdehnung des Aufsichtsrechts
Die zweite Zahlungsdiensterichtlinie ist am 12. 1. 2016 in Kraft getreten. Sie stellt das Ergebnis einer
zweieinhalb Jahre dauernden Debatte einer Reform der europäischen Regulierung für Zahlungsdienste dar.
Die bisherige Zahlungsdiensterichtlinie datiert aus dem Jahr 2007. Technische Innovationen und deren
Regulierung haben einen großen Raum der politischen Arbeit in der Reform eingenommen. Das Thema
Sicherheit des Zahlungsverkehrs und auch der Zahlungsdienstleister war dem Gesetzgeber ein besonderes
Anliegen und hat zu umfangreichen Neuregelungen geführt. Der europäische Gesetzgeber hat sich zudem
bemüht, Konturen im Anwendungsbereich zu schärfen und hierdurch mehr Rechtssicherheit zu schaffen.
Jenseits des Rampenlichts der politischen Diskussionen wurden sodann zahlreiche aufsichtsrechtliche
Vorschriften für Zahlungsinstitute und für sämtliche Zahlungsdienstleister stark erweitert.
Inhaltsübersicht
I. Einleitung
1. Historie
2. Regulierungsziele
3. Herausforderungen
4. Inkrafttreten, Umsetzung, ausführende Rechtsakte
5. Regelungskonzept
II. Anwendungsbereich
1. Territorialer Anwendungsbereich – beschränkt und erweitert
2. Sachlicher Anwendungsbereich beschränkt – Ausnahmetatbestände
2.1 Ausnahme für Handelsagenten beschränkt
2.2 Ausnahme der begrenzten Netze beschränkt
2.2.1 Allgemeines
2.2.2 Dienste, die auf bestimmten, nur begrenzt verwendbaren
Zahlungsinstrumenten beruhen
2.2.3 Erwerb von Waren oder Dienstleistungen lediglich in den Geschäftsräumen
des Emittenten
2.2.4 Begrenztes Netz von Dienstleistern
2.2.5 Sehr begrenztes Waren- oder Dienstleistungsspektrum
2.2.6 Instrumente für soziale und steuerliche Zwecke
http://www.zbb-online.com/heft-2-2016/zbb-2016-122-die-zweite-zahlungsdiensteric...
20.04.2016
Die zweite Zahlungsdiensterichtlinie – zwischen technischer Innovation und Ausdehn... Page 2 of 30
ZBB 2016, 123
2.2.7 Anzeigepflichten
2.3 Ausnahme für elektronische Kommunikationsnetze und -dienste erweitert
2.4 Konzernausnahme präzisiert
2.5 Inkasso-Ausnahme eingeschränkt
III. Zulassung und Überwachung von Zahlungsinstituten
1. Zusätzliche Anforderungen für den Zulassungsantrag
2. „Kleine“ Zahlungsinstitutslizenz
3. Laufende Überwachung von Zahlungsinstituten
3.1 Inhaberkontrolle
3.2 Datenschutz, Risikomanagement und Authentifizierung
4. Beschränkungen des europäischen Passes für Zahlungsinstitute
4.1 Verschärfung des Prüfungsverfahrens durch den Aufnahmemitgliedstaat
4.2 Mindestvoraussetzungen für die Nutzung des europäischen Passes
4.3 Berichtspflichten von Agenten und Zweigniederlassungen im Aufnahmemitgliedstaat,
zentrale Kontaktstelle
IV. Neue Vorschriften für alle Zahlungsdienstleister
1. Surcharging
2. Datenschutz
3. Management operationeller und sicherheitsrelevanter Risiken
4. Authentifizierung
4.1 Online-Zugriff durch den Zahler
4.2 Zahler löst elektronischen Zahlungsvorgang aus; Fernzahlungsvorgänge
4.3 Sonstige riskante Handlung durch den Zahler
4.4 Ausnahmen von der starken Kundenauthentifizierung
4.5 Haftung bei (erlaubtem und nicht erlaubtem) Unterlassen der starken
Kundenauthentifizierung
V. Zahlungsauslösedienste, Kontoinformationsdienste und dritte kartengebundene Zahlungsdienste
1. Zahlungsauslösedienste
1.1 Definition Zahlungsauslösedienst
1.1.1 Auslösen
1.1.2 Antrag des Zahlers
1.2 Anerkennung und Garantie des Zahlungsauslösedienstleisters
1.3 Zahlungsauslösedienst und Erlaubnispflicht; Inkrafttreten
1.4 Haftung und Haftpflichtversicherung
1.5 Authentifizierung bei Nutzung eines Zahlungsauslösedienstes
http://www.zbb-online.com/heft-2-2016/zbb-2016-122-die-zweite-zahlungsdiensteric...
20.04.2016
Die zweite Zahlungsdiensterichtlinie – zwischen technischer Innovation und Ausdehn... Page 3 of 30
1.5.1 Starke Kundenauthentifizierung für die Auslösung
1.5.2 Adressat der Pflicht aus Art. 97 Abs. 4 Satz 1 PSD2 zur
Kundenauthentifizierung
1.5.3 Zahlungsauslösedienstleister darf sich auf Verfahren des kontoführenden
Zahlungsdienstleisters stützen
1.5.4 Sicherheitsvorkehrungen des Zahlungsauslösedienstleisters
1.5.5 Starke Authentifizierung des Zahlers gegenüber dem
Zahlungsauslösedienstleister
1.6 Zusammenfassung
2. Kontoinformationsdienst
3. Kartengebundene Zahlungsdienste durch Dritte
VI. Zusammenfassung
I. Einleitung
Am 23. 12. 2015 wurde die vom Europäischen Parlament und vom Rat verabschiedete zweite
Zahlungsdiensterichtlinie1 (PSD2) im Amtsblatt der Europäischen Union veröffentlicht. Am 12. 1. 2016 trat
sie in Kraft. Dies stellt das Ergebnis einer zweieinhalb Jahre dauernden Debatte einer Reform der
europäischen Regulierung für Zahlungsdienste dar.
1. Historie
Die Vorgängerin, die erste Zahlungsdiensterichtlinie (PSD1)2 enthält in Art. 87 einen Auftrag an die EUKommission, spätestens bis zum 1. 1. 2012 einen (Rechenschafts-)Bericht über die Umsetzung und die
Auswirkungen der PSD1 vorzulegen. Diesen Bericht hat die EU-Kommission am 24. 3. 20133 veröffentlicht;
der Bericht endet mit der Schlussfolgerung, dass man zur Verbesserung ihrer Wirkung, zur Klarstellung
einer
Reihe
von
Gesichtspunkten,
zur
Schaffung
gleicher
Wettbewerbsbedingungen
und
zur
Berücksichtigung technologischer Entwicklungen eine Reihe von Änderungen [der Zahlungsdiensterichtlinie]
ins Auge fassen könnte. Am gleichen Tag legte die EU-Kommission einen Vorschlag für eine zweite
Zahlungsdiensterichtlinie4 vor.
Gleichzeitig mit dem Vorschlag zur PSD2 veröffentlichte die Kommission ihren Vorschlag für eine
Verordnung
über
Interbankenentgelte
für
kartengebundene
Zahlungsvorgänge
(MIF-VO).5
Das
Gesetzgebungsverfahren der MIF-VO kam schneller zum Abschluss als das der PSD2; sie wurde am
19. 5. 2015
im
Amtsblatt
veröffentlicht.6
Daneben
steht
aus
jüngster
Vergangenheit
die
sog.
Zahlungskontenrichtlinie;7 im ZusamZBB 2016, 124
menhang mit der PSD2 sind auch die SEPA-Verordnung8 und die Überweisungs-Verordnung9 zu nennen.
Neben die PSD1 trat bereits im Jahr 2009 die zweite E-Geld-RL,10 deren Art. 17 ebenfalls eine Überprüfung
durch die Kommission bis zum 1. 11. 2012 in Form eines Berichts an die Europäischen Organe vorsieht.
Dieser Bericht liegt bisher nicht vor.
http://www.zbb-online.com/heft-2-2016/zbb-2016-122-die-zweite-zahlungsdiensteric...
20.04.2016
Die zweite Zahlungsdiensterichtlinie – zwischen technischer Innovation und Ausdehn... Page 4 of 30
2. Regulierungsziele
In Erwägungsgrund 7 Satz 3 macht die PSD2 ihr wesentliches Anliegen deutlich: „Zahlungsdienste sind eine
wesentliche Voraussetzung für das Funktionieren zentraler wirtschaftlicher und gesellschaftlicher
Tätigkeiten.“ In den Erwägungsgründen 1 – 7 der PSD2, in denen die grundlegenden Ziele erläutert werden,
heißt es sodann weiter: Marktöffnung für neue Zahlungsmittel, Effizienzgewinn im Zahlungssystem, mehr
Auswahl und Transparenz seien wesentliche Regulierungsanliegen.11 Es gehe zudem darum, bestehenden
und neuen Marktteilnehmern gleichwertige Bedingungen für ihre Tätigkeiten zu garantieren;12 daneben wird
eine Stärkung des Verbrauchervertrauens und ein hohes Maß an Verbraucherschutz13 betont. Wesentliches
Regulierungsziel sei es zudem, einen integrierten Binnenmarkt für sichere elektronische Zahlungen
kontinuierlich weiterzuentwickeln.14 Die Zersplitterung des europäischen Zahlungsverkehrsmarktes sei zu
beenden, wichtige Bereiche des Zahlungsverkehrsmarktes seien nach wie vor entlang der nationalen
Grenzen aufgeteilt.
Einen besonderen Akzent legt der europäische Gesetzgeber auf das Thema Sicherheit. Nutzer von
Zahlungsdiensten sollten angemessen vor Sicherheitsrisiken geschützt werden.15
Daraus leiten sich – so der EU-Gesetzgeber – folgende Regulierungsmaßnahmen ab: Schließung von
Regulierungslücken dort, wo es technische Gegebenheiten erfordern, mehr Rechtsklarheit insbesondere im
Anwendungsbereich und bei der Definition der Ausnahmebereiche sowie das Ziel der unionsweit
einheitlichen Anwendung des vorgegebenen rechtlichen Rahmens.16
3. Herausforderungen
Der Gesetzgeber
reagiert
im Rahmen
der PSD2 auf
zahlreiche technische
Innovationen
im
Massenzahlungsverkehr.17
Im Fokus der Verhandlungen um die PSD2 stand die Regulierung von
Zahlungsauslösediensten
(in
Deutschland
z. B.
Sofort-Überweisung).
Die
Diskussion
um
einen
angemessenen regulatorischen Ausgleich zwischen der vorhandenen Zahlungsinfrastruktur, insbesondere
dem Online-Banking, und den neuen Zahlungsdiensten, die als sog. Overlay-Services die vorhandene
Infrastruktur nutzen und darauf aufsetzen, wurde bisweilen sehr politisch geführt. Der europäische
Gesetzgeber ist in diesem Zusammenhang bemüht, Zahlungsdienste technologieneutral zu definieren und
die Entwicklung neuer Zahlungsdienste im regulatorischen Rahmen zuzulassen.18 Das Thema
Zahlungsauslösedienst zeigt aber auch die Beschränkungen des Gesetzgebers, der vom ersten Entwurf bis
zum Inkrafttreten der Umsetzungsgesetze einen Zeitraum von mehr als fünf Jahren benötigt.19 Es dürfte sich
deshalb auch in den nächsten Monaten und Jahren herauskristallisieren, dass selbst die innovative PSD2
aktuelle Themen, wie z. B. blockchain, noch nicht erfasst.
4. Inkrafttreten, Umsetzung, ausführende Rechtsakte
Das Inkrafttreten der PSD2 am 12. 1. 2016 bedeutet, dass damit die aus der RL folgenden
Umsetzungsaufträge an die Mitgliedstaaten ihre rechtliche Wirkung entfalten. Zudem gelten seitdem die
Aufträge an die EBA und die EU-Kommission, vor allem technische Regulierungsstandards sowie Leitlinien
zu entwerfen und fristgerecht in Kraft zu setzen.
Am 13. 1. 2018 werden die nationalen Umsetzungsgesetze zur PSD2 – sofern diese bis dahin von den
nationalen Gesetzgebern erlassen sind – in Kraft treten (Art. 115 Abs. 2 PSD2). Erst einige Monate danach
– die EBA rechnet damit nicht vor Oktober 201820 – werden die Sicherheitsvorschriften der PSD2 zur
Kundenauthentifizierung und zur sicheren Kommunikation in Kraft treten.21
http://www.zbb-online.com/heft-2-2016/zbb-2016-122-die-zweite-zahlungsdiensteric...
20.04.2016
Die zweite Zahlungsdiensterichtlinie – zwischen technischer Innovation und Ausdehn... Page 5 of 30
5. Regelungskonzept
Erneut arbeitet die Zahlungsdiensterichtlinie auch in ihrer zweiten Fassung mit der Maßgabe der
Vollharmonisierung (Art. 107 Abs. 1 PSD2). Dem nationalen Gesetzgeber werden hierdurch nur wenige
Spielräume für eigene Gestaltungen überlassen, da er die Regelungen der RL weder über- noch
unterschreiten darf, soweit dies nicht ausdrücklich zugelassen ist. Dies ist nur bei wenigen Detailregelungen,
die in Art. 107 Abs. 1 PSD2 genannt sind, der Fall, z. B. die Möglichkeit gem. Art. 32 PSD2 eine
eingeschränkte, nur im Inland gültige Zahlungsinstitutslizenz für Kleinstinstitute (weniger als 3 Mio. €
Transaktionsvolumen monatlich) zu vergeben.22 In Art. 62
ZBB 2016, 125
Abs. 5 PSD2 findet sich die Erweiterung des Verbots von Surcharging (s. dazu unten IV 1.)
Die PSD2 überlässt zahlreiche Ausführungsvorschriften in Form von Leitlinien oder technischen
Regulierungsstandards der Europäischen Bankenaufsichtsbehörde (EBA), die in gewissem Turnus
aufgefordert ist, diese abgeleiteten Rechtsakte zu überprüfen und ggf. zu erneuern. Die EBA hat diese
technischen Regulierungsstandards zu entwerfen; sie müssen zur Erlangung von Rechtswirkung durch die
EU-Kommission in Kraft gesetzt werden. Die EBA ist zudem gefordert, Leitlinien (Art. 16 EBA-VO)23
herauszugeben.
Die
Kommission
hat
gem.
Art. 106
PSD2
ein
elektronisches
Merkblatt
für
Verbraucherrechte zu erstellen.
II. Anwendungsbereich
1. Territorialer Anwendungsbereich – beschränkt und erweitert
Gemäß ihrem Art. 2 Abs. 1 findet die PSD2 Anwendung auf alle Zahlungsdienste innerhalb der Union. Für
die Teile unter Titel III (Transparenz und Informationspflichten) und Titel IV (Rechte und Pflichten bei der
Erbringung
und
Nutzung
von
Zahlungsdiensten
–
einschließlich
Datenschutz-
und
Risikomanagementpflichten) differenziert sie jedoch, allerdings in etwas anderer Weise als die PSD1 dies
getan hat. Diese Teile sind anwendbar, wenn die Zahlung in einer EU-Währung24 erfolgt und der
Zahlungsdienstleister in der Union ansässig ist. Dabei bedeutet Ansässigkeit ein Abstellen auf die
tatsächliche Belegenheit der die Zahlung ausführenden Stelle.25 Bei Zahlungen in einer Drittwährung gelten
Titel III und IV (mit Einschränkungen) nur, wenn beide Zahlungsdienstleister in der Union ansässig sind, für
die Bestandteile des Zahlungsvorgangs, die in der Union getätigt werden. Inhaltlich wesentlich neu ist Art. 2
Abs. 4 PSD2, wonach Titel III und IV (mit Einschränkungen) bei Zahlungsvorgängen in sämtlichen
Währungen für die Bestandteile des Zahlungsvorgangs, die in der Union getätigt werden, gelten, wenn nur
einer der beteiligten Zahlungsdienstleister (one leg transaction) in der Union ansässig ist. Gegenüber der
PSD1 erfährt der territoriale Anwendungsbereich hier eine Präzisierung und auch eine Einschränkung; nach
Art. 2 Abs. 2 PSD1 galten diese Bestimmungen nämlich für sämtliche Zahlungsdienste in einer EUWährung, selbst wenn diese außerhalb der Eurozone erbracht wurden.
2. Sachlicher Anwendungsbereich beschränkt – Ausnahmetatbestände
Es ist das erklärte Ziel der PSD2, den Anwendungsbereich, insbesondere die davon ausgenommenen
Elemente, die als zu wenig eindeutig, allgemein und schlicht überholt angesehen wurden,26 zu präzisieren
und insoweit Rechtsklarheit zu schaffen.27
http://www.zbb-online.com/heft-2-2016/zbb-2016-122-die-zweite-zahlungsdiensteric...
20.04.2016
Die zweite Zahlungsdiensterichtlinie – zwischen technischer Innovation und Ausdehn... Page 6 of 30
2.1 Ausnahme für Handelsagenten beschränkt
Die für den Waren- und Dienstleistungsvertrieb ganz wesentliche Ausnahmebestimmung des Art. 3 lit. b
PSD1 und PSD2, die es dem Vertriebsunternehmen unter bestimmten Umständen erlaubt, Gelder in
Empfang zu nehmen, wurde in der PSD2 präzisiert. Die Abwicklung der Zahlungsvorgänge durch den
Handelsagenten ist nur dann erlaubt, wenn er nur für eine der beiden Seiten, nämlich entweder den Zahler
oder den Zahlungsempfänger, tätig wird. Dies war seit spätestens Sommer 201228 die Praxis der deutschen
Finanzaufsicht. Diese Beschränkung folgt auch aus der Zwecksetzung der Vorschrift, namentlich der
Interessenwahrungspflicht des Handelsagenten und aus dem Anvertrauen der eigenen Interessen durch
den Unternehmer an den Handelsagenten, so wie es die Europäische Handelsvertreterrichtlinie29 vorgibt.30
2.2 Ausnahme der begrenzten Netze beschränkt
2.2.1 Allgemeines
Die Ausnahme für begrenzte Netze war Gegenstand einer langen und intensiven Debatte im Rahmen des
zweieinhalb Jahre dauernden Gesetzgebungsverfahrens der PSD2. Die Regelung des Art. 3 lit. k PSD1
wurde als wenig präzise empfunden.31 Es gab hierzu Beschwerden von Aufsichtsbehörden und vermutlich
auch von Marktteilnehmern über die beträchtlichen Volumina von Zahlungstransaktionen, die unter dieser
Ausnahmebestimmung – wohl aufgrund extensiver Auslegung in einigen Mitgliedstaaten – gehandelt
werden. Hierdurch seien für die Nutzer der Zahlungsdienste erhebliche Risiken entstanden und für die
beaufsichtigten Akteure am Markt Wettbewerbsnachteile.32 Das Ergebnis der politischen Diskussion ist eine
Regelung, die gegenüber der PSD1 nur in Nuancen verändert wurde. Jedoch finden sich nun in den
Erwägungsgründen 13 und 14 der PSD2 zahlreiche präzisierende Auslegungshinweise. Diese könnten für
Deutschland sogar gegenüber der zuletzt sehr restriktive Handhabung des § 1 Abs. 10 Nr. 10 ZAG
(entspricht Art. 3 lit. k PSD1) durch die deutsche Finanzaufsicht eine neue, liberalere Verwaltungspraxis zur
Folge haben.
2.2.2 Dienste, die auf bestimmten, nur begrenzt verwendbaren Zahlungsinstrumenten beruhen
Die Einfügung der Wörter „begrenzt verwendbar“ ist Ausfluss des Willens des europäischen Gesetzgebers,
die Vorschrift weiter einzuschränken. Die Erwägungsgründe geben hier vor:33 Die Verwendung darf nicht in
mehr als einem begrenzten
ZBB 2016, 126
Netz erfolgen. Zudem darf das Instrument nicht zum Erwerb eines unbegrenzten Waren- oder
Dienstleistungsspektrums verwendet werden können.
Auch der Begriff „Zahlungsinstrumente“ in Art. 3 lit. k PSD2 ist neu. Früher hieß es „Instrumente“. Ein
Zahlungsinstrument ist gem. Art. 4 Nr. 14 PSD2 (gleichlautend die Definition der PSD1) jedes personalisierte
Instrument
und/oder
Zahlungsdienstnutzer
jeder
personalisierte
und dem
Verfahrensablauf,
Zahlungsdienstleister
das
bzw.
vereinbart wurde
der
zwischen
dem
und zur Erteilung eines
Zahlungsauftrags verwendet wird. Die Verwendung des Begriffs „Zahlungsinstrument“ stellt sich als
dogmatisch unsauber dar, weil das Vorliegen der Ausnahmebestimmung gerade zur Folge hat, dass kein
Zahlungsdienst besteht.34 Man wird dies aber als Willen des Gesetzgebers verstehen müssen, auf eine
bestehende Definition als Begriffsmerkmal verweisen zu können. Solche Zahlungsinstrumente sind z. B.
http://www.zbb-online.com/heft-2-2016/zbb-2016-122-die-zweite-zahlungsdiensteric...
20.04.2016
Die zweite Zahlungsdiensterichtlinie – zwischen technischer Innovation und Ausdehn... Page 7 of 30
kartenbasierte Instrumente mit PIN, Online-Banking mit PIN, PayPal.35 Die Ausnahmebestimmung erfasst
also z. B. Gutschein- oder Geschenkkarten, die jeweils mit einer PIN versehen sind. Dasselbe gilt auch für
Applikationen (Apps) in Smartphones oder in Online-Portalen, wenn ein personalisierter Verfahrensablauf
gewährleistet ist.
2.2.3 Erwerb von Waren oder Dienstleistungen lediglich in den Geschäftsräumen des Emittenten
Schon unter der PSD1 erstreckte sich die Ausnahmebestimmung des Art. 3 lit. k auf den Erwerb von Waren
oder Dienstleistungen lediglich in den Geschäftsräumen des Emittenten.36 Solche „Geschäftsräume des
Emittenten“ können auch Einkaufszentren sein:37 nach dem oben (II 2.2.2) Gesagten ist zukünftig ein
begrenztes Waren- oder Dienstleistungsspektrum zu verlangen.38
Das weitere Merkmal dieser Ausnahmebestimmung, das eine Geschäftsvereinbarung mit einem
„professionellen Emittenten“ vorliegen müsse, ist dagegen neu und erst durch den Econ-Ausschuss des
Europäischen Parlaments in den Entwurf aufgenommen worden.39 Das Adjektiv „professionell“ wird man
dabei wohl als „erfahren“ übersetzen können. Man wird nicht so weit gehen können, hier einen
professionellen Emittenten in Form eines zugelassenen Zahlungsdienstleisters zu fordern, da in diesem Fall
für die Ausnahmebestimmung kein Anwendungsbereich mehr bliebe. Das Verständnis von „professionell“
als „erfahren“ könnte weiter dadurch konkretisiert werden, dass der Schutzzweck der Vorschrift ein
Vertrauen in den Emittenten erfordert, dass dieser die Zahlungen mit dem Instrument ordnungsgemäß
abwickelt und die häufig voreingezahlten Gelder sorgfältig verwaltet.40
2.2.4 Begrenztes Netz von Dienstleistern
Auch hier wurde der Wortlaut der Vorschrift kaum verändert. Allerdings ist davon auszugehen, dass
Erwägungsgrund 13 Satz 4 Halbs. 1 der präzisierenden Erläuterung gerade dieser Ausnahmebestimmung
des begrenzten Netzes in Art. 3 lit. k i) Alt. 2 dienen soll; die in Erwägungsgrund 13 Satz 4 mit „zweitens“
und „drittens“ eingeleiteten weiteren Halbsätze beziehen sich nämlich offenbar auf die Unterpunkte ii) und iii)
der Ausnahmebestimmung. Danach sind Instrumente ausgenommen, die verwendet werden können zum
„Erwerb von Waren und Dienstleistungen bei einem bestimmten Einzelhändler oder einer bestimmten
Einzelhandelskette, wenn die beteiligten Stellen unmittelbar durch eine gewerbliche Vereinbarung
verbunden sind, in der beispielsweise die Verwendung einer einheitlichen Zahlungsmarke vorgesehen ist,
und diese Zahlungsmarke in den Verkaufsstellen verwendet wird und – nach Möglichkeit – auf dem dort
verwendbaren Zahlungsinstrument aufgeführt ist.“41
Ob tatsächlich zu fordern ist, dass sämtliche Akzeptanzstellen untereinander und mit dem Emittenten durch
eine gewerbliche Vereinbarung verbunden sind, ist fraglich. Der Zweck der Ausnahmevorschrift, wonach das
Regulierungsbedürfnis entfällt, wenn die Akzeptanzstellen selbst über vertragliche Vereinbarungen und
sorgfältige Auswahl sicherstellen können, dass eine Zuverlässigkeit des Emittenten gegeben ist,42 würde
bilaterale Vereinbarungen ausreichen lassen.
Danach
kann
das
Instrument
bei
einem
bestimmten
Einzelhändler
oder
einer
bestimmten
Einzelhandelskette einsetzbar sein.43) Hierunter fallen deshalb auch Karten von Elektronikanbietern, deren
Einzelhandelsgeschäfte jeweils unter derselben Marke operieren; diese Marke trägt sodann auch der
Gutschein oder die Applikation für Smartphones als „Zahlungsmarke“. Des Weiteren sind die unter
einzelnen Marken eines Konzerns vertriebenen Warenangebote erfasst, die in der Regel durchaus
spezialisiert, d. h. nicht unbeschränkt im Sinne des Erwägungsgrunds sind. Dasselbe gilt für Waren- und
Dienstleistungsangebote von Franchiseverbünden.
http://www.zbb-online.com/heft-2-2016/zbb-2016-122-die-zweite-zahlungsdiensteric...
20.04.2016
Die zweite Zahlungsdiensterichtlinie – zwischen technischer Innovation und Ausdehn... Page 8 of 30
Als Beispiele nennt der europäische Gesetzgeber weiterhin Kundenkarten, Tankkarten, Mitgliedskarten,
Fahrkarten des öffentlichen Verkehrs, Parktickets, Essensgutscheine und Gutscheine für bestimmte
Dienstleistungen,44 wobei nicht klar ist, ob sich diese Beispiele auf Art. 3 lit. k i) oder ii) PSD2 beziehen.
Eine geographische Beschränkung, wie es die deutsche Finanzaufsicht in der Vergangenheit verlangt hat,45
wird von der PSD2 weder im Text der Ausnahmebestimmung des Art. 3 lit. k noch in den
Erwägungsgründen 13 und 14 gefordert. Insbesondere ist dies auch nicht in dem auf die Ausnahme des
begrenzten Netzes von Dienstleistern verweisenden Erwägungsgrund 13 Satz 4 Halbs. 1 PSD2 erwähnt.46
ZBB 2016, 127
2.2.5 Sehr begrenztes Waren- oder Dienstleistungsspektrum
Die bisher als „begrenzte Auswahl“ gekennzeichnete Ausnahmevorschrift ist restriktiv neu gefasst worden.
Das Wort „sehr“ wurde eingefügt. Zudem ist das Wort „Spektrum“ im Zusammenhang mit „Waren- oder
Dienstleistungsspektrum“ ein Novum. Entscheidend ist, so der europäische Gesetzgeber, dass der
Verwendungszweck des Zahlungsinstruments wirksam auf eine feste Zahl funktional verbundener Waren
oder Dienstleistungen begrenzt ist.47 Dabei dürfte es weniger auf die Gesamtzahl aller tatsächlich damit zu
erwerbenden Gegenstände ankommen, sondern vielmehr auf eine feste Zahl von der Art. nach gleichen
Waren oder Dienstleistungen, also Waren- oder Dienstleistungskategorien, wie z. B. Kleidungsstücke,
Getränke, Speisen.48
Das Wort „sehr“ beantwortet die Frage, wie begrenzt ein solches Waren- oder Dienstleistungsspektrum sein
muss. Hier geht es darum, dass lediglich wenige Arten von Waren- oder Dienstleistungen durch ein solches
Instrument erworben werden können. Damit drückt das Wort „sehr“ wiederum die Zielsetzung des
europäischen Gesetzgebers aus, mit den Ausnahmevorschriften nicht einen übermäßig großen Bereich
nicht beaufsichtigter Tätigkeit entstehen zu lassen, durch den die beaufsichtigten Akteure am Markt
Wettbewerbsnachteile erleiden.49
Ob man zusätzlich eine geographische Beschränkung der Einsatzmöglichkeit des Instruments verlangen
darf,50 erscheint zweifelhaft. Der europäische Gesetzgeber hat in seinen Erwägungsgründen,51 ebenso wie
schon in den Erwägungsgründen zur zweiten E-Geld-RL,52 klar darauf hingewiesen, dass die
Ausnahmebestimmung in Art. 3 lit. k ii) PSD2 „unabhängig vom geographischen Ort der Verkaufsstelle“
gilt.53
2.2.6 Instrumente für soziale und steuerliche Zwecke
Neu hinzugekommen ist die Ausnahme gem. Art. 3 lit. k iii) PSD2 für Instrumente, die bestimmten sozialen
oder steuerlichen Zwecken dienen. Sie müssen örtlich auf die Verwendung in einem einzigen Mitgliedstaat
beschränkt sein, sie unterliegen den Vorschriften einer nationalen oder regionalen öffentlichen Stelle und
dienen dem Erwerb bestimmter Waren oder Dienstleistungen. Als Beispiel nennt der europäische
Gesetzgeber54 Essensgutscheine und Gutscheine für bestimmte Dienstleistungen in einem steuer- oder
arbeitsrechtlichen Rahmen.
2.2.7 Anzeigepflichten
Neu regelt die PSD2 eine Meldepflicht bei Inanspruchnahme der Ausnahmebestimmungen der Art. 3 lit. k i)
und ii), d. h. nicht für Art. 3 lit. k iii) (soziale oder steuerliche Zwecke). Sie gilt, wenn der Gesamtwert der
http://www.zbb-online.com/heft-2-2016/zbb-2016-122-die-zweite-zahlungsdiensteric...
20.04.2016
Die zweite Zahlungsdiensterichtlinie – zwischen technischer Innovation und Ausdehn... Page 9 of 30
abgewickelten Zahlungsvorgänge monatlich den Betrag von 1 Mio. € überschreitet. Ein Zahlungsvorgang ist
nach Art. 4 Nr. 5 PSD2 die „Bereitstellung, Transfer oder Abhebung eines Geldbetrags“. Dies bedeutet, dass
sowohl das Aufladen von Gutscheinkarten als auch deren Nutzung jeweils Zahlungsvorgänge darstellen und
entsprechend zu addieren sind. In diesem Fall hat der Dienstleister55 die Ausnutzung der entsprechenden
Ausnahmebestimmung der zuständigen Behörde anzuzeigen (gemäß der Umsetzungsvorschrift zu Art. 37
Abs. 2 PSD2). Die Aufsichtsbehörde hat sodann aufgrund der Angaben des Dienstleisters zu prüfen, ob die
Inanspruchnahme der Ausnahmebestimmung anerkannt wird, und setzt den Dienstleister hiervon in
Kenntnis. Eine Frist für die Prüfung durch die Aufsichtsbehörde besteht nicht, so dass auch nicht – anders
als in der französischen Ausführungsbestimmung zur PSD1, in Art. L. 521-3 Code monétaire et financier,
sowie im Vorschlag der EU-Kommission56 – die Tätigkeit nach einem Fristablauf als genehmigt gilt.57
2.3 Ausnahme für elektronische Kommunikationsnetze und -dienste erweitert
Die bisherige Ausnahmebestimmung des Art. 3 lit. l PSD1 wurde erheblich ausgeweitet und verändert. Nach
der PSD1 galt (vereinfacht), dass Zahlungsvorgänge über Digital- oder IT-Geräte privilegiert sind, wenn
Waren oder Dienstleistungen an solche Digital- oder IT-Geräte geliefert und über Digital- oder IT-Geräte
genutzt
werden.
Der
Gesetzgeber
der
PSD2
nimmt
nun
zu
Gunsten
von
Betreibern
von
Kommunikationsnetzen oder -diensten zum einen (i) den Erwerb von digitalen Inhalten und Sprachdiensten
aus, ungeachtet des Geräts. Dies dürfte keine wesentliche Erweiterung der bisherigen Rechtslage
darstellen, sondern vor dem Hintergrund der neuen Betragsgrenzen eine Einschränkung. Dagegen ist
zukünftig auch ausgenommen (ii) ein Zahlungsvorgang über ein elektronisches Gerät für den Erwerb von
Tickets. Hierbei ist es anders als in PSD1 nicht mehr erforderlich, dass dieses Ticket auch über ein Digitaloder IT-Gerät genutzt wird. Damit können hier bis zu den neuen Betragsgrenzen Parktickets,
Veranstaltungstickets, Tickets für Personenbeförderung u. ä. über die Abrechnung für die Nutzung des
Kommunikationsnetzes oder -dienstes bezahlt werden. Warenkäufe sowie auch Tickets für Warenkäufe sind
hiervon jedoch nicht abgedeckt.58 Zudem nimmt der europäische Gesetzgeber Zahlungsvorgänge über
elektronische Geräte im Rahmen einer gemeinnützigen Tätigkeit aus. Auch hier gilt zukünftig nicht mehr die
Beschränkung, dass die Dienstleistung über ein Digital- oder IT-Gerät auch genutzt werden muss. Damit
sind Spenden an gemeinnützige Organisationen über die Kommunikationsdienst- oder -netzrechnung
möglich. Bei den Betragsgrenzen für solche Zahlungsvorgänge unter Art. 3 lit. l PSD2 hat man sich auf 50 €
pro Zahlungsvorgang sowie auf einen kumulativen Wert von 300 € monatlich als Maximalgrößen geeinigt.
ZBB 2016, 128
Ähnlich wie bei der Ausnahmebestimmung der begrenzten Netze sieht auch Art. 37 Abs. 3 PSD2 vor, dass
ein Dienstleister, der die Ausnahmebestimmung des Art. 3 lit. l PSD2 nutzt, eine Meldepflicht gegenüber der
zuständigen Behörde hat. Diese Meldepflicht greift unabhängig von dem Umfang der Zahlungsvorgänge ein.
Zudem ist jährlich ein Bestätigungsvermerk einzureichen, aus dem hervorgeht, dass die Tätigkeit mit den in
Art. 3 lit. l PSD2 festgesetzten Obergrenzen vereinbar ist.
2.4 Konzernausnahme präzisiert
Die bereits unter der PSD1 bestehende Ausnahmebestimmung über Zahlungsvorgänge innerhalb eines
Konzerns gem. Art. 3 lit. n wurde in der PSD2 durch einen flankierenden Erwägungsgrund präzisiert. Hierin
ist nunmehr klargestellt, dass auch der Einzug von Zahlungsaufträgen im Namen der Gruppe durch ein
http://www.zbb-online.com/heft-2-2016/zbb-2016-122-die-zweite-zahlungsdiensteric...
20.04.2016
Die zweite Zahlungsdiensterichtlinie – zwischen technischer Innovation und Ausde... Page 10 of 30
Mutterunternehmen
oder
durch
sein
Tochterunternehmen
Zahlungsdienstleister nicht als Zahlungsdienst im Sinne dieser RL
für
gilt.59
die
Weiterleitung
an
einen
Wenn aber danach der Einzug
durch ein Konzernunternehmen bei einem Dritten für ein anderes Konzernunternehmen von der
Konzernausnahme erfasst ist, dann sollte dies auch gelten für die Entgegennahme von Zahlungen durch ein
Konzernunternehmen für ein anderes Konzernunternehmen von einem Dritten, d. h. einem nicht
konzernangehörigen Unternehmen. Denn die Entgegennahme ist lediglich die passive Form der Einziehung.
Dies hat die deutsche Finanzaufsicht in der Vergangenheit bisweilen anders gesehen.
2.5 Inkasso-Ausnahme eingeschränkt
Die sog. Inkasso-Ausnahme, wonach ein Finanztransfergeschäft i. S. v. § 1 Abs. 2 Nr. 6 Alt. 2 ZAG nicht
vorliegt, wenn im Rahmen des Inkasso Gelder des Auftraggebers von einem Schuldner eingezogen und an
den Gläubiger ausgekehrt werden, ist weder in der PSD1 noch in der PSD2 ausdrücklich geregelt. Der
deutsche Gesetzgeber des ZAG hat sie aber im Rahmen der Gesetzesbegründung zum ZAG
vorausgesetzt.60 Die Inkasso-Ausnahme ist für die gesamte Branche der Inkasso-Unternehmen von
herausragender Bedeutung. Seit Bestehen des ZAG und der entsprechenden anderen nationalen Gesetze
wurde zudem immer wieder versucht, bestimmte weitere Fallkonstellationen unter die Inkasso-Ausnahme zu
subsumieren. Während der Gesetzgeber des ZAG in der Regierungsbegründung noch sehr großzügig
Beitreibungsinkasso und ausgelagerte Debitorenbuchhaltung – unter bestimmten Voraussetzungen – vom
Anwendungsbereich des ZAG und damit von der Erlaubnispflicht ausnimmt,61 hat die deutsche
Finanzaufsicht die Inkasso-Ausnahme immer weiter beschränkt, so dass schlussendlich in beiden Varianten
der Inkasso-Ausnahme nur noch der Einzug „gestörter Forderungen“ anerkannt wurde.
Letztlich bleibt aber der Befund, dass der Tatbestand des Finanztransfergeschäfts zu weit geraten ist und
deshalb der teleologischen Reduktion bedarf, wonach der Schutz der beteiligten Akteure, das
Zahlungssystem und die Geldwäscheprävention einer Regulierung nicht bedürfen.62 Der europäische
Gesetzgeber stellt nun klar, das für die Bezahlung von Rechnungen von Versorgungsunternehmen und
anderen regelmäßigen Haushaltsrechnungen über Supermärkte, Groß- und Einzelhändler nicht von der
Erlaubnispflicht für Finanztransfergeschäfte bzw. ggf. auch speziellere Zahlungsdienste ausgenommen ist.63
III. Zulassung und Überwachung von Zahlungsinstituten
Die Zulassung und die laufende Überwachung von Zahlungsinstituten hat durch die PSD2 ebenfalls eine
Reihe signifikanter Neuerungen erfahren.
1. Zusätzliche Anforderungen für den Zulassungsantrag
Die PSD2 hat die im Antrag auf Zulassung als Zahlungsinstitut beizubringenden Angaben um sechs Punkte
erweitert. Hierin spiegelt sich das generelle Bestreben der RL wider, die Sicherheit der Zahlungen, das
Risikomanagement der Zahlungsdienstleister sowie auch den Umgang mit Daten der Zahler zu verbessern.
So verlangt Art. 5 Abs. 1 lit. f PSD2 nunmehr die Beschreibung der Verfahren bei Sicherheitsvorfällen und
sicherheitsbezogenen Kundenbeschwerden. Dies war auch bisher häufig Gegenstand der Darstellungen
des Zulassungsantrags. Art. 5 Abs. 1 lit. g PSD2 verlangt eine Beschreibung des Umgangs mit sensiblen
Zahlungsdaten, in Art. 5 Abs. 1 lit. h PSD2 geht es um die Geschäftsfortführung im Krisenfall sowie
Notfallpläne, in lit. i um eine Beschreibung statistischer Daten über Leistungsfähigkeit, Geschäftsvorgänge
und Betrugsfälle, in lit. j um die Dokumentationen einer Sicherheitsstrategie einschließlich des Schutzes vor
Betrug und illegaler Verwendung sensibler und personenbezogener Daten. In Art. 5 Abs. 1 lit l PSD2 schlägt
http://www.zbb-online.com/heft-2-2016/zbb-2016-122-die-zweite-zahlungsdiensteric...
20.04.2016
Die zweite Zahlungsdiensterichtlinie – zwischen technischer Innovation und Ausde... Page 11 of 30
sich nieder, dass die RL nunmehr die Anforderungen an ein Institut erhöht, mit denen dieses eingesetzte
Agenten oder Zweigniederlassungen turnusmäßig, mindestens jährlich überprüft. Zu den neuen
Anforderungen an den Zulassungsantrag von Zahlungsauslösediensten und Kontoinformationsdiensten s. u.
V.
Nach Erteilung des Erlaubnisantrags werden Zahlungsinstitute in das dafür vorgesehene nationale Register
eingetragen (Art. 14 PSD2). Hinzu kommt in Zukunft ein zentrales europäisches Register, das die EBA
führen wird (Art. 15 Abs. 1 PSD2).
2. „Kleine“ Zahlungsinstitutslizenz
Ebenso wie die PSD1 gestattet auch die PSD2 den Mitgliedstaaten, die im Monatsdurchschnitt der
vorangegangenen zwölf Monate die von einem Mitgliedstaat festgesetzte Obergrenze, höchstens aber 3
Mio. €, an Zahlungsvorgängen durchZBB 2016, 129
führen, eine beschränkte Lizenz zu erteilen. Diese kann – je nach Ausgestaltung durch den Mitgliedsstaat –
geringeren Anforderungen unterliegen als die Erlaubnis nach Art. 5 ff. PSD2. Allerdings hat der deutsche
Gesetzgeber des Jahres 2009 bereits von der entsprechenden Möglichkeit in Art. 26 PSD1 keinen
Gebrauch gemacht.64
3. Laufende Überwachung von Zahlungsinstituten
Zur laufenden Überwachung der Zahlungsinstitute enthielt die PSD1 nur wenige Regelungen. Die zentrale
Norm von PSD1 und PSD2 findet sich in Art. 22 Abs. 1 PSD2, wonach die Mitgliedstaaten sicherstellen,
dass die Kontrollen der zuständigen Behörden, mit denen sie die laufende Einhaltung der Bestimmungen
dieses Titels überprüfen, verhältnismäßig, geeignet und den Risiken von Zahlungsinstituten angemessen
sind. Die weit überwiegende Anzahl der Regelungen des Zahlungsaufsichtsrechts zu Überwachungs- und
Eingriffsmaßnahmen der zuständigen Aufsichtsbehörden sowie zu Verhaltenspflichten zugelassener
Institute entspringt deshalb autonomem Recht. Die PSD2 enthält hierzu jedoch einige Neuerungen.
3.1 Inhaberkontrolle
Die jetzige Regelung zur Inhaberkontrolle in § 11 ZAG beruht auf autonomem Recht; die PSD1 enthielt
hierzu keine Vorgabe.65 Nunmehr regelt Art. 6 PSD2, dass die Absicht der Veränderung einer Inhaberschaft
von Beteiligungen an Zahlungsinstituten dann meldepflichtig ist, wenn die Beteiligung die Schwelle von
20 %, 30 % oder 50 % erreicht oder überschreitet.
3.2 Datenschutz, Risikomanagement und Authentifizierung
Signifikante Änderungen enthält die PSD2 zudem für sämtliche Zahlungsdienstleister, d. h. nicht nur für
Zahlungsinstitute, für das Risikomanagement und die Kundenauthentifizierung sowie für den Datenschutz.
Hierzu wird in einem gesonderten Abschnitt (unten IV) für alle Zahlungsdienstleister einzugehen sein.
4. Beschränkungen des europäischen Passes für Zahlungsinstitute
http://www.zbb-online.com/heft-2-2016/zbb-2016-122-die-zweite-zahlungsdiensteric...
20.04.2016
Die zweite Zahlungsdiensterichtlinie – zwischen technischer Innovation und Ausde... Page 12 of 30
Die PSD2 beschränkt die Freizügigkeit, den sog. europäischen Pass, für Zahlungsinstitute, die außerhalb
ihres Herkunftsmitgliedstaats im Rahmen des grenzüberschreitenden Dienstleistungsverkehrs oder in
Ausübung der Niederlassungsfreiheit in einem anderen Mitgliedstaat Zahlungsdienste erbringen wollen. Hier
gilt zwar nach wie vor das bestehende Notifizierungsverfahren gegenüber den Behörden des
Herkunftsmitgliedstaats, die sodann die Behörden des Aufnahmemitgliedstaates benachrichtigen.
Das auf die Notifizierung folgende Verfahren wurde aber verschärft. Ein großer Teil der Missstandsaufsicht
über Zahlungsinstitute (bzw. E-Geld-Institute) durch die zuständigen Finanzaufsichtsbehörden war in den
vergangenen Jahren nämlich dadurch geprägt, vorschriftswidriges Geschäftsgebahren von Agenten oder
Zweigniederlassungen aufzudecken oder zu verhindern. Dies betraf insbesondere Agenten und
Zweigniederlassungen von Instituten mit Sitz in einem anderen EWR-Mitgliedstaat. Diese Erfahrungen der
Aufsichtsbehörden spiegeln sich nunmehr in Art. 28 bis 30 PSD2 wider.
4.1 Verschärfung des Prüfungsverfahrens durch den Aufnahmemitgliedstaat
Nach
Art. 28
Abs. 2
PSD2
ist
nunmehr
ausdrücklich
vorgesehen,
dass
die
Behörden
des
Herkunftsmitgliedstaats die Bewertungen der Behörden des Aufnahmemitgliedstaats über die Nutzung des
europäischen Passes durch ein Zahlungsinstitut einschließlich der beabsichtigten Agenten- oder
Zweigniederlassungstätigkeit berücksichtigen und ggf. die Nutzung von Agenten sowie die Errichtung einer
ausländischen Zweigniederlassung ablehnen. Diese Möglichkeit zur Berücksichtigung bestand zwar auch
nach altem Recht im Rahmen des allgemeinen Informationsaustauschs zwischen den Behörden; sie ist
nunmehr ausdrücklich für das Freizügigkeitsverfahren kodifiziert. Bei Meinungsverschiedenheiten zwischen
den Behörden soll die EBA unterstützend tätig werden.66 Im Ganzen resultiert daraus eine Stärkung der
Behörden des Aufnahmemitgliedstaats, die ihre Grenze in Art. 52 Abs. 1 AEUV findet, d. h. Beschränkungen
müssen aus Gründen der öffentlichen Ordnung, Sicherheit oder Gesundheit gerechtfertigt sein.
4.2 Mindestvoraussetzungen für die Nutzung des europäischen Passes
Zur Nutzung der Niederlassungsfreiheit enthält die PSD2 zudem eine gewichtige Neuerung in Art. 11 Abs. 3
PSD2: Zahlungsinstitute müssen zumindest einen Teil ihres Zahlungsdienstgeschäfts am Ort ihrer
Hauptverwaltung und ihres Sitzes erbringen. Die Erwägungsgründe erläutern dies: „Zur Vermeidung von
Verstößen gegen das Niederlassungsrecht muss vorgeschrieben werden, dass das Zahlungsinstitut, das die
Zulassung in einem Mitgliedstaat beantragt, mindestens einen Teil seines Zahlungsdienstgeschäfts in
diesem Mitgliedstaat ausübt.“67 Dies bedeutet, dass Zahlungsinstitute, die in ihrem Herkunftsmitgliedstaat
keinerlei Tätigkeiten entfalten, die Zulassung nicht erlangen können oder diese verlieren. Prüft man dies vor
dem Hintergrund des höherrangigen Niederlassungsrechts des Art. 49 AEUV und der dazu ergangenen
Rechtsprechung des EuGH,68 müsste diese Einschränkung aus Gründen der öffentlichen Ordnung,
Sicherheit oder Gesundheit i. S. d. Art. 52 Abs. 1 AEUV gerechtfertigt sein.69 Das Erfordernis der
Hauptverwaltung im Herkunftsmitgliedstaat (Art. 11 Abs. 3 PSD2, Art. 10 Abs. 3 PSD1) ist gerechtfertigt, weil
ansonsten kein unmittelZBB 2016, 130
barer Zugriff der Aufsichtsbehörden auf die Verwaltung des Zahlungsinstituts besteht und hierdurch die
Aufsichtstätigkeit
erschwert
wird.
Ob
deshalb
auch
die
Ausübung
von
Zahlungsdiensten
im
Herkunftsmitgliedstaat gefordert werden muss, erscheint dagegen fraglich.
http://www.zbb-online.com/heft-2-2016/zbb-2016-122-die-zweite-zahlungsdiensteric...
20.04.2016
Die zweite Zahlungsdiensterichtlinie – zwischen technischer Innovation und Ausde... Page 13 of 30
4.3 Berichtspflichten von Agenten und Zweigniederlassungen im Aufnahmemitgliedstaat, zentrale
Kontaktstelle
Nach dem neuen Art. 29 Abs. 2 Satz 2 PSD2 können die Behörden des Aufnahmemitgliedstaats gegenüber
dem ausländischen Zahlungsinstitut anordnen, dass dieses ihnen in regelmäßigen Abständen über die in
ihrem Hoheitsgebiet ausgeübten Tätigkeiten berichtet. Solche Meldungen sind nach Art. 29 Abs. 2 Satz 2
PSD2 für Informations- oder statistische Zwecke und, sofern die Agenten oder Zweigniederlassungen das
Zahlungsdienstgeschäft im Rahmen der Niederlassungsfreiheit ausüben, für die Überwachung der
Einhaltung der zur Umsetzung der Titel III und IV erlassenen nationalen Rechtsvorschriften vorzuschreiben.
Titel III und IV enthalten ganz überwiegend zivil- und verbraucherschutzrechtliche Vorschriften. Durch die
Umsetzungsvorschriften zu Art. 29 Abs. 2 Satz 2 PSD2 wird also der Finanzaufsichtsbehörde des
Aufnahmemitgliedstaats
die
Überwachung
der
Einhaltung
von
Vorschriften
des
Zivil-
und
Verbraucherschutzrechts übertragen; dies allerdings beschränkt auf Agenten und Zweigniederlassungen
ausländischer Institute. Die Regelung dürfte man mindestens als verunglückt bezeichnen. Immerhin enthält
insbesondere Titel IV der PSD2 neben zivilrechtlichen auch aufsichtsrechtliche Regelungen zum
Management operationeller und sicherheitsrelevanter Risiken sowie zur Kundenauthentifizierung. Letztlich
fällt hierunter auch der Datenschutz.
Weiterhin
können
die
Behörden
des
Aufnahmemitgliedstaats
gegenüber
einem
ausländischen
Zahlungsinstitut, das sein Niederlassungsrecht über Agenten ausübt, anordnen, dass das Zahlungsinstitut
ihnen eine zentrale Kontaktstelle benennt, um eine angemessene Kommunikation und Berichterstattung zu
erleichtern. Die laufende Kommunikation (jetzt Art. 29 Abs. 3 PSD2) zwischen den Behörden des
Aufnahmemitgliedstaats und des Herkunftsmitgliedstaats war auch nach PSD1 bereits vorgesehen. Die EBA
ist aufgefordert, hierzu technische Regulierungsstandards zu entwerfen.
Alles in allem entfernt sich die PSD2 damit – wohl aufgrund der Erfahrungen der Aufsichtsbehörden in den
letzten sechs Jahren – einen gutes Stück vom grundlegenden Prinzip der Aufsicht durch den
Herkunftsmitgliedstaat.
IV. Neue Vorschriften für alle Zahlungsdienstleister
Die PSD2 enthält in Titel IV für sämtliche Zahlungsdienstleister – dies sind neben Zahlungsinstituten und
E-Geld-Instituten insbesondere auch Kreditinstitute nach Art. 4 Abs. 1 Nr. 1 CRR70 und die anderen in Art. 1
Abs. 1 PSD2 Genannten sowie die KFW (Art. 2 Abs. 5 PSD2) – zahlreiche neue Regelungen. Die
wesentlichen sind:
1. Surcharging
Art. 62 Abs. 4 PSD2 regelt ein Verbot des Surcharging (Entgelt für die Nutzung eines Zahlungsmittels) für
Zahlungsinstrumente, für die in der MIF-VO die Interbankenentgelte festgelegt sind.
Für andere Zahlungsinstrumente ist es aber zulässig – es sei denn einzelstaatliche Regelungen verbieten
dies (Art. 62 Abs. 5 PSD2) –, dass der Zahlungsempfänger vom Zahler für die Nutzung eines bestimmten
Zahlungsinstruments ein Entgelt verlangt, ihm eine Ermäßigung anbietet oder ihm anderweitig einen Anreiz
zur Nutzung dieses Instruments gibt (Art. 62 Abs. 3 PSD2).71 Dabei dürfen Entgelte nicht höher sein als die
direkten Kosten, die dem Zahlungsempfänger für die Nutzung des betreffenden Zahlungsinstruments
entstehen.
2. Datenschutz
http://www.zbb-online.com/heft-2-2016/zbb-2016-122-die-zweite-zahlungsdiensteric...
20.04.2016
Die zweite Zahlungsdiensterichtlinie – zwischen technischer Innovation und Ausde... Page 14 of 30
Nach Art. 94 Abs. 2 PSD2 dürfen Zahlungsdienstleister die für das Erbringen ihrer Zahlungsdienste
notwendigen personenbezogenen Daten nur mit der ausdrücklichen Zustimmung des Zahlungsdienstnutzers
abrufen, verarbeiten und speichern. Hierdurch schränkt Art. 94 Abs. 2 PSD2 auch die Nutzung der Daten für
andere Zwecke als die Erbringung von Zahlungsdiensten ein.
Diese Regelung flankiert die bisher nach PSD1 schon geltende Anordnung, dass die Verarbeitung
personenbezogener Daten durch Zahlungssysteme und Zahlungsdienstleister gestattet ist, sofern das zur
Verhütung, Ermittlung und Feststellung von Betrugsfällen im Zahlungsverkehr notwendig ist.
Die Debatte um den Datenschutz wurde im Laufe des Gesetzgebungsverfahrens sehr intensiv geführt.
Sorge war offenbar, dass Zahlungsdienstleister die Daten ihrer Nutzer auch für andere Zwecke,
insbesondere für die Vermarktung von Produkten verbundener Unternehmen, nutzen würden. Das Ergebnis
ist eine aus deutscher Sicht des BDSG harmlos anmutende Regelung der spezifischen Zustimmung. Für
andere Staaten dürfte dies eine Verschärfung des Datenschutzes darstellen. Eine zukünftige europäische
Datenschutzverordnung wird hier vermutlich noch weitere Vereinheitlichung, auch für Zahlungsdienstleister,
bringen.
Ob
damit
in
Zukunft
eine
Überwachung
des
Datenschutzes
der
Finanzdienstleister
durch
Finanzaufsichtsbehörden einhergeht, ist nicht ganz klar, könnte aber aus dem Zusammenhang der
Vorschriften zu Antragsangaben im Zulassungsantrag in Art. 5 Abs. 1 lit. g und lit. j PSD2, zur
Missstandsüberwachung in Art. 22 Abs. 1 PSD2 und Art. 94 PSD2 folgen.72
3. Management operationeller und sicherheitsrelevanter Risiken
Im ursprünglichen Vorschlag der Kommission73 verwies die PSD2 zur Regelung von Sicherheitsrisiken bei
ZahlungsdienstZBB 2016, 131
leistern auf den Vorschlag der NIS-RL,74 der wenige Monate vor dem Vorschlag zur PSD2 veröffentlicht
worden war, aber im Gesetzgebungsverfahren scheiterte.
Art. 95 und 96 PSD2 gehen nun weit über das ursprüngliche Konzept des Kommissionsvorschlags hinaus:
Nach
Art. 95
Abs. 1
PSD2
müssen
Zahlungsdienstleister
einen
Rahmen
angemessener
Risikominderungsmaßnahmen und Kontrollmechanismen zur Beherrschung der operationellen und der
sicherheitsrelevanten Risiken im Zusammenhang mit den von ihnen erbrachten Zahlungsdiensten schaffen.
Zudem müssen Zahlungsdienstleister Verfahren für das Management von Vorfällen, auch zur Aufdeckung
und Klassifizierung schwerer Betriebs- und Sicherheitsvorfälle, festlegen und anwenden. Mindestens jährlich
haben alle Zahlungsdienstleister hierzu eine Bewertung an die zuständige Aufsichtsbehörde zu übermitteln.
Nach Art. 96 Abs. 1 PSD2 sind Zahlungsdienstleister verpflichtet, im Falle eines schwerwiegenden Betriebsoder eines Sicherheitsvorfalls unverzüglich die zuständige Behörde in dem Herkunftsmitgliedstaat des
Zahlungsdienstleisters zu unterrichten.
Die EBA ist aufgefordert, Leitlinien gem. Art. 16 EBA-VO zur Festlegung, Anwendung und Überwachung der
Sicherheitsmaßnahmen sowie Klassifizierung der schwerwiegenden Vorfälle und die Bewertung durch die
Behörden zu erlassen.
Während man ein Risikomanagement- und Kontrollsystem für alle Unternehmen als richtig und angemessen
betrachten wird,75 stellt sich die Frage, ob eine aufsichtsrechtliche Verankerung und Überwachung für alle
http://www.zbb-online.com/heft-2-2016/zbb-2016-122-die-zweite-zahlungsdiensteric...
20.04.2016
Die zweite Zahlungsdiensterichtlinie – zwischen technischer Innovation und Ausde... Page 15 of 30
Zahlungsdienstleister erforderlich war und ist. Dasselbe gilt für die Meldung von Sicherheitsvorfällen; hier
würde es wohl ausreichen, die Meldepflicht auf Zahlungsdienstleister mit hohen Volumina an
Zahlungsvorgängen zu beschränken.
Der deutsche Gesetzgeber hat im Juli 2015 das IT-Sicherheitsgesetz verabschiedet,76 das teilweise
ähnliche Regelungen enthält wie der Vorschlag zur NIS-RL. Hiernach sind „Betreiber Kritischer
Infrastrukturen“ u. a. zur Einführung von Sicherheitsverfahren verpflichtet. Ob Zahlungsdienstleister
„Betreiber
Kritischer
Infrastrukturen“
Sicherheitsgesetzes möglicherweise
sind,
wird
bestimmen.77
eine
Verordnung
auf
der
Grundlage
des
IT-
Inwieweit dann wegen des IT-Sicherheitsgesetzes auf
eine gesonderte Umsetzung von Teilen des Art. 95 und 96 PSD2 verzichtet werden kann, wird im
Umsetzungsverfahren zur PSD2 zu beurteilen sein.
Aktuell regeln die MaSI78 u. a. das Management von IT-Sicherheitsrisiken, Meldung von Sicherheitsrisiken,
Kundenidentifizierung und -authentifizierung sowie sichere Kommunikation. Zu allen diesen Fragen enthält
die PSD2 umfassendere Regelungen, so dass mit Umsetzung der PSD2 in nationales Recht, das im
Wesentlichen am 13. 1. 2018 in Kraft tritt (Art. 115 Abs. 2 PSD2), bzw. durch den Erlass technischer
Regulierungsstandards damit zu rechnen ist, dass die MaSI aufgehoben werden.79
4. Authentifizierung
Nach Art. 97 Abs. 1 PSD280 stellen die Mitgliedstaaten sicher, dass ein Zahlungsdienstleister in bestimmten
definierten Fällen eine starke Kundenauthentifizierung verlangt. Seit dem 5. 5. 2015 gilt bereits gem. Titel II
Ziffer 7.1 Satz 1 MaSI, dass Zahlungsdienstleister eine starke Kundenauthentifizierung für die Autorisierung
von Internetzahlungsvorgängen durch den Kunden (einschließlich Sammelüberweisungen) und die Erteilung
und Änderung elektronischer Einzugsermächtigungen durchführen sollten. Art. 97 PSD2 geht allerdings im
Anwendungsbereich weit über die Anforderungen der MaSI hinaus.
4.1 Online-Zugriff durch den Zahler
Nach Art. 97 Abs. 1 lit. a PSD2 hat ein Zahlungsdienstleister eine starke Authentifizierung zu verlangen,
wenn der Zahler online auf sein Zahlungskonto zugreift.
Zunächst ist unklar, was „online“ bedeutet. Der zur Vorschrift gehörige Erwägungsgrund 95 spricht in Satz 1
und Satz 2 von „elektronisch“ angebotenen Zahlungsdiensten. Deshalb dürfte richtig sein, wenn die EBA in
ihrem Diskussionspapier vom 8. 12. 2015 formuliert, es gehe darum, alle Geräte (z. B. PC, mobile Geräte,
Chipkarten und selbst Bankautomaten) zu erfassen, mit denen der Nutzer eine Verbindung zu seinem
Bankkonto herstellt, die den Austausch von Nachrichten zwischen dem Gerät und dem Netzwerk, das die
Kontoinformation bereithält, ermöglicht.81
Bei dem Terminus „Zugriff“ ist zu unterscheiden. Die Auslösung eines Zahlungsvorgangs muss ein „Zugriff“
sein; das geht schon aus Art. 97 Abs. 1 lit. b PSD2 hervor, der aber bei Zahlungsvorgängen, die über ein
Zahlungskonto ausgelöst werden, spezieller ist und lit. a verdrängt. Im Übrigen ist fraglich, ob bereits das
Sichtbarmachen von Informationen einen Zugriff darstellt.82
4.2 Zahler löst elektronischen Zahlungsvorgang aus; Fernzahlungsvorgänge
Die starke Kundenauthentifizierung ist auch zu verlangen, wenn der Zahler einen elektronischen
Zahlungsvorgang auslöst (Art. 97 Abs. 1 lit. b PSD2).
http://www.zbb-online.com/heft-2-2016/zbb-2016-122-die-zweite-zahlungsdiensteric...
20.04.2016
Die zweite Zahlungsdiensterichtlinie – zwischen technischer Innovation und Ausde... Page 16 of 30
ZBB 2016, 132
„Auslösen eines Zahlungsvorgangs“ dürfte gleichbedeutend sein mit Bewirken des Zugangs der
Autorisierung oder – sofern (ungeachtet der Authentifizierungspflichten des Art. 97 Abs. 1 PSD2) eine
Autorisierung nicht vereinbart ist – Zugang der Zahlungsdaten beim kontoführenden Zahlungsdienstleister83
(vgl. auch unten V 1.1.1).
Das Wort „elektronisch“ ist nach Erwägungsgrund 95 Satz 3 PSD2 sehr weit zu verstehen als jeglicher
Zahlungsvorgang, der unter Nutzung elektronischer Plattformen und Geräte ausgelöst und durchgeführt
wird. Die elektronische Erfassung der Zahlerdaten über ein Kassenterminal reicht. Damit sind
Kartenzahlungen,
Überweisungen,
e-Geld-Transaktionen
und
Lastschriften
eingeschlossen;
nur
papiergestützte Zahlungsvorgänge (z. B. Kreditkartenzahlung mit Kreditkarten-Ratsche (Imprinter)) oder
Bestellungen per Post oder Telefon sind ausgenommen.84
Sofern auszulösende Zahlungsvorgänge Fernzahlungsvorgänge sind, müssen Zahlungsdienstleister gem.
Art. 97 Abs. 2 PSD2 eine starke Kundenauthentifizierung verlangen, die Elemente umfasst, die den
Zahlungsvorgang dynamisch mit einem bestimmten Betrag und einem bestimmten Zahlungsempfänger
verknüpfen. Ein „Fernzahlungsvorgang“ ist gem. Art. 4 Nr. 6 PSD2 ein „Zahlungsvorgang, der über das
Internet oder mittels eines Geräts, das für die Fernkommunikation verwendet werden kann, ausgelöst wird“.
Art. 4 Nr. 34 PSD2 definiert „Fernkommunikationsmittel“ als ein „Verfahren, das ohne gleichzeitige
körperliche Anwesenheit von Zahlungsdienstleister und Zahlungsdienstnutzer für den Abschluss eines
Vertrags über die Erbringung von Zahlungsdiensten eingesetzt werden kann“.
4.3 Sonstige riskante Handlung durch den Zahler
Der dritte Fall des Art. 97 Abs. 1 PSD2 liegt vor, wenn der Zahler über einen Fernzugang eine Handlung
vornimmt, die das Risiko eines Betrugs im Zahlungsverkehr oder anderen Missbrauchs birgt. Dieses ist eine
Auffangregelung, die eingreift, wenn der Anwendungsbereich von Art. 97 Abs. 1 lit. a und lit. b PSD2 nicht
eröffnet ist. Aus Sicht der EBA geht es darum, dass ein Zahler gewisse Zahlungsfunktionalitäten aktiviert
oder deaktiviert, dass er vertrauenswürdige Zahlungsempfänger auf eine White List aufnimmt oder
Personen oder Unternehmen auf eine Black List von blockierten Personen aufnimmt, dass er
Verfügungsbeschränkungen über seine Zahlungsinstrumente einrichtet oder deren Aufhebung beantragt
oder eigene Daten ändern möchte, die Gegenstand von Missbrauch sein können.85
4.4 Ausnahmen von der starken Kundenauthentifizierung
Eine starke Authentifizierung ist erforderlich, wenn nicht in Zukunft eine Ausnahme hiervon oder eine
alternative Authentifizierung mit geringeren Anforderungen gestattet ist. Diese Ausnahmebestimmungen
werden in den von der EBA zu entwerfenden und von der EU-Kommission zu erlassenden technischen
Regulierungsstandards gem. Art. 98 Abs. 1 lit. b, Abs. 3 PSD2 enthalten sein. Es wäre verfrüht, im aktuellen
Stadium
der
Veröffentlichung
lediglich
eines
Diskussionspapiers
der
EBA
den
Inhalt
der
Ausnahmebestimmungen zu analysieren. In dem Diskussionspapier hat die EBA im Wesentlichen die
Ausnahmebestimmungen aufgeführt, die auch in der MaSI enthalten sind: (i) Kleinbetragszahlungen,86 wenn
das Risiko von kumulativen Zahlungen überwacht wird, (ii) ausgehende Zahlungen an vertrauenswürdige
Zahlungsempfänger, die zuvor in einer White List vom Zahler hinterlegt wurden, (iii) Übertragungen
zwischen zwei Konten desselben Zahlers, die bei demselben Zahlungsdienstleister gehalten werden,
(iv) Transaktionen mit niedrigem Risiko, die als solche in einer Transaktionsrisikoanalyse eingestuft wurden,
http://www.zbb-online.com/heft-2-2016/zbb-2016-122-die-zweite-zahlungsdiensteric...
20.04.2016
Die zweite Zahlungsdiensterichtlinie – zwischen technischer Innovation und Ausde... Page 17 of 30
deren Kriterien die regulatorischen technischen Standards der EBA definieren werden und (v) rein
konsultative Dienstleistungen, in denen keine sensiblen Zahlungsdaten gezeigt werden, wobei der
Datenschutz zu beachten ist.87 Auffallend ist, dass die EBA nahezu alle auch unter der MaSI bekannten
Ausnahmen aufführt, jedoch die Ausnahme des Transfers innerhalb desselben Zahlungsdienstleisters nicht
erwähnt,88 eine Regelung, von der aktuell vor allem Zahlungsdienste wie PayPal profitieren.
4.5 Haftung bei (erlaubtem und nicht erlaubtem) Unterlassen der starken Kundenauthentifizierung
Die
aufsichtsrechtliche
und
von
der
Finanzaufsicht
zu
kontrollierende
Pflicht
zur
starken
Kundenauthentifizierung aus Art. 97 PSD2 wird flankiert von drei neuen haftungsrechtlichen Vorschriften:
Nach Art. 74 Abs. 2 Satz 1 PSD2 trägt der Zahler, wenn der Zahlungsdienstleister keine starke
Kundenauthentifizierung verlangt, einen finanziellen Verlust nur, wenn er in betrügerischer Absicht
gehandelt hat. Der Zahlungsempfänger muss dem Zahlungsdienstleister des Zahlers den finanziellen
Schaden ersetzen, wenn er oder sein Zahlungsdienstleister eine starke Kundenauthentifizierung nicht
akzeptiert
(Art. 74
Abs. 2
Satz 2
PSD2).
Der
Ausgestaltung
des
Regressanspruchs
zweier
Zahlungsdienstleister dient Art. 92 Abs. 1 Satz 2 PSD2, wonach der Regress nach Art. 73 und 89 PSD2
auch Entschädigungen in dem Fall umfasst, dass einer der Zahlungsdienstleister keine starke
Kundenauthentifizierung verlangt.
Der europäische Gesetzgeber hat dabei weder im Text dieser Bestimmungen, noch in den
Erwägungsgründen, noch auch in Art. 98 PSD2 diese Haftungsvorschriften eingeschränkt für die Fälle, in
denen Zahlungsdienstleister aufsichtsrechtlich von der starken Kundenauthentifizierung absehen dürfen.
Der Auftrag in Art. 98 Abs. 1 lit. b PSD2 an die EBA, hierzu technische Regulierungsstandards zu entwerfen,
verhält sich zur
ZBB 2016, 133
Einschränkung der Haftung nicht. Ein solcher Auftrag wäre wohl auch nach höherrangigem Recht
unzulässig.
Auf der anderen Seite kann es aber nicht der Wille des europäischen Gesetzgebers gewesen sein, die von
der EBA zu entwerfenden und von der EU-Kommission gem. Art. 98 Abs. 4 Unterabs. 2 PSD2 zu
erlassenden Ausnahmen von der starken Kundenauthentifizierung durch Haftungsregelungen ihrer
praktischen Bedeutung zu berauben. Die Ausnahmen von der starken Kundenauthentifizierung bedeuten
auch nicht, dass keine Authentifizierung mehr vorzunehmen wäre, sondern dass im Interesse einer
einfacheren
Geschäftsabwicklung
für
Authentifizierungsverfahren Platz greifen
Transaktionen
mit
niedrigerem
Risiko
ein
alternatives
kann.89
Hier muss vielmehr weiterhin das gestufte Verfahren aus grundsätzlich bestehender Beweislast des
Zahlungsdienstleisters nach Art. 72 PSD2 (aktuell § 675w BGB), Beweislastverschiebungen durch den
Beweis des ersten Anscheins90 – sofern dieser angesichts der Neuregelung des Art. 72 Abs. 2 Satz 2 PSD2
Bestand
hat
–
sowie
ggf.
möglicher
Verzicht
auf
den
Nachweis
der
Autorisierung
bei
Kleinbetragsinstrumenten nach Art. 63 Abs. 1 lit. b PSD2 (aktuell § 675i Abs. 2 Nr. 3 BGB) Anwendung
finden.
Für die Praxis wird die Frage so lange offen bleiben, bis die nationalen Zivilgerichte hierzu Gelegenheit zur
Entscheidung haben werden. Es ist vorauszusehen, dass diese Frage von Mitgliedstaat zu Mitgliedstaat
unterschiedlich gehandhabt werden wird.
http://www.zbb-online.com/heft-2-2016/zbb-2016-122-die-zweite-zahlungsdiensteric...
20.04.2016
Die zweite Zahlungsdiensterichtlinie – zwischen technischer Innovation und Ausde... Page 18 of 30
V. Zahlungsauslösedienste, Kontoinformationsdienste und dritte kartengebundene Zahlungsdienste
Wesentliches Kernstück und der am meisten umstrittene Diskussionspunkt in der politischen Behandlung
der PSD2 war der im Kommissionsvorschlag noch sog. „dritte Zahlungsdienstleister“,91 im Englischen kurz
„TPP – Third Party Payment Service Provider“ genannt.
1. Zahlungsauslösedienste
1.1 Definition Zahlungsauslösedienst
Nach
Art. 4
Nr. 15
PSD2
ist
ein
Zahlungsauslösedienst
ein
„Dienst,
der
auf
Antrag
des
Zahlungsdienstnutzers einen Zahlungsauftrag in Bezug auf ein bei einem anderen Zahlungsdienstleister
geführtes Zahlungskonto auslöst“. Der andere Zahlungsdienstleister wird in der PSD2 als kontoführender
Zahlungsdienstleister definiert (Art. 4 Nr. 17 PSD2).
1.1.1 Auslösen
Prägendes Merkmal des Zahlungsauslösedienstes ist das „Auslösen“. Dieser in der PSD2 nicht definierte
Begriff kann sprachlich bedeuten: (1) in Gang setzen, betätigen, (2) in Gang kommen oder auch
(3) hervorrufen, bewirken.92 Im englischen Text der RL findet sich das Wort „initiate“, was wohl mit „einleiten“
oder „anstoßen“ zu übersetzen ist. In der PSD2 wird der Begriff „auslösen“ in ganz unterschiedlichen
Gestaltungen verwendet: In Art. 4 Nr. 15 PSD2 heißt es, dass der „Dienst […] einen Zahlungsauftrag […]
auslöst“. Art. 97 Abs. 1 lit. b PSD2 greift ein, wenn der Zahler „einen elektronischen Zahlungsvorgang
auslöst“. In Art. 64 Abs. 2 Satz 2 PSD2 heißt es: „Die Zustimmung zur Ausführung eines Zahlungsvorgangs
kann auch über93 […] den Zahlungsauslösedienstleister erteilt werden.“
Entscheidend ist, dass der europäische Gesetzgeber „auslösen“ mit zwei Begriffen zusammen verwendet,
Zahlungsauftrag und Zahlungsvorgang. Der Zahlungsauftrag ist zivilrechtlich eine Weisung des Zahlers
gegenüber seiner Bank zur Ausführung eines Zahlungsvorgangs.94 „Zahlungsvorgang“ „die […]
Bereitstellung, Transfer oder Abhebung eines Geldbetrags […]“ (Art. 4 Nr. 5 PSD2). Die Zustimmung des
Zahlers zum Zahlungsvorgang, die Autorisierung, die nunmehr Art. 64 Abs. 1 Satz 1 PSD2 regelt, ist nach
h. M. eine rechtsgeschäftsähnliche Handlung, auf die die Regeln über Willenserklärungen Anwendung
finden.95
Daraus folgt, dass Zahlungsvorgang oder Zahlungsauftrag „auslösen“ bedeutet, den Zugang dieser
Erklärungen bewirken, d. h. alles von Seiten des Zahlers Erforderliche zu tun, um den kontoführenden
Zahlungsdienstleister zur Durchführung des Zahlungsvorgangs zu veranlassen. Den Zahlungsvorgang
„auslösen“ bedeutet deshalb, den Zugang der Autorisierung des Zahlers beim kontoführenden
Zahlungsdienstleister bewirken,96 wenn – wie im Regelfall – eine Autorisierung i. S. d. § 675j Abs. 1 Satz 1
BGB vereinbart ist. Wenn die Autorisierung nicht vereinbart ist, würde ein Absenden der Zahlungsdaten oder
der Kundenidentifikatoren (i. S. d. Art. 4 Nr. 33 PSD2) ausreichen. Den Zahlungsauftrag „auslösen“ bedeutet
deshalb, den Zugang der Weisung (des Zahlers) an den kontoführenden Zahlungsdienstleister bewirken97
1.1.2 Antrag des Zahlers
Nach der Definition des Art. 4 Nr. 15 PSD2 muss das Auslösen „auf Antrag des Zahlers“ erfolgen. Was
„Antrag“ bedeutet, besagt die PSD2 nicht.
http://www.zbb-online.com/heft-2-2016/zbb-2016-122-die-zweite-zahlungsdiensteric...
20.04.2016
Die zweite Zahlungsdiensterichtlinie – zwischen technischer Innovation und Ausde... Page 19 of 30
Aus verschiedenen Vorschriften der PSD2 ist zu schlussfolgern, dass diese nicht notwendig einen Vertrag
zwischen Zahler und Zahlungsauslösedienstleister voraussetzt.98 Dies wird besonders deutlich in der
Regelung des Art. 73 Abs. 3 PSD2, wonach „eine […] finanzielle Entschädigung […] nach dem […]
gegebenenfalls auf den Vertrag zwischen dem Zahler und
ZBB 2016, 134
dem Zahlungsauslösedienstleister anwendbaren Recht festgelegt werden“ kann. Dies besagt, dass eine
vertragliche Haftung des Zahlungsauslösedienstleisters nur in Betracht kommt, wenn hier ein Vertrag
besteht. Hieraus lässt sich im Umkehrschluss folgern, dass grundsätzlich ein Vertrag zwischen Zahler und
Zahlungsauslösedienstleister von der RL nicht vorausgesetzt wird.
Bei der Herleitung der Bedeutung des Wortes „Antrag“ in der Definition des Art. 4 Nr. 15 PSD2 ist zu
berücksichtigen, dass der Zahlungsauslösedienstleister zwischen Zahler und Zahlungsempfänger und dem
kontoführenden Zahlungsdienstleister steht. Er übermittelt im Rahmen einer Geschäftsbesorgung für den
Zahlungsempfänger den Zahlungsauftrag und die Autorisierung des Zahlers an den kontoführenden
Zahlungsdienstleister des Zahlers. Hierbei wird er – auch – für den Zahler tätig. Damit stellt sich der
Geschäftsbesorgungsvertrag zwischen Zahlungsempfänger und Zahlungsauslösedienstleister99 als Vertrag
zugunsten Dritter, nämlich des Zahlers dar. Sofern der Zahlungsempfänger dem Zahler im Rahmen der AGB
des Valutaverhältnisses die Zahlung über einen Zahlungsauslösedienstleister anbietet, sollte im
Geschäftsbesorgungsvertrag zwischen Zahlungsempfänger und Zahlungsauslösedienstleister auch ein
Recht des Zahlers i. S. d. § 328 Abs. 1 BGB vereinbart sein, dass dieser vom Zahlungsauslösedienstleister
die Auslösung des Zahlungsauftrags und des Zahlungsvorgangs verlangen kann.100
Dabei handelt der Zahlungsauslösedienstleister im Hinblick auf die Erklärungen zum Zahlungsauftrag und
zur Autorisierung in der Regel nicht als Stellvertreter, sondern als Erklärungsbote des Zahlers, d. h. er
übermittelt nur eine fremde Erklärung.101 Die PSD2 geht nämlich davon aus, dass der Zahler die
Erklärungen selbst abgibt:102 Art. 66 Abs. 2 PSD2 besagt nämlich (für Zahlungsauslösedienste): „Erteilt der
Zahler seine ausdrückliche Zustimmung zur Ausführung einer Zahlung gemäß Artikel 64 […].“
1.2 Anerkennung und Garantie des Zahlungsauslösedienstleisters
Nach Art. 66 Abs. 1 PSD2 haben die Mitgliedstaaten sicher zu stellen, dass ein Zahler das Recht hat,
Zahlungsauslösedienste über einen Zahlungsauslösedienstleister zu nutzen. Art. 66 Abs. 3 PSD2 enthält
zahlreiche Beschränkungen für den Zahlungsauslösedienstleister, die einen Missbrauch seiner Stellung als
„Softwarebrücke
zwischen
Zahlungsdienstleisters“103
der
Website
des
Händlers
und
der
Plattform
des
kontoführenden
verhindern sollen. Der kontoführende Zahlungsdienstleister wird im Gegenzug
verpflichtet, die Zahlung auszuführen und dies dem Zahlungsauslösedienstleister anzuzeigen. Eines
Vertrags zwischen kontoführendem Zahlungsdienstleister und Zahlungsauslösedienstleister bedarf es hierzu
nicht (Art. 66 Abs. 5 PSD2).
1.3 Zahlungsauslösedienst und Erlaubnispflicht; Inkrafttreten
Im Gegenzug zur Anerkennung des Zahlungsauslösedienstes sieht die RL für Zahlungsauslösedienstleister
die Zulassungspflicht und die staatliche Beaufsichtigung (Art. 1 Abs. 1 lit. d i. V. m. Art. 37 Abs. 1 PSD2) vor.
Der Zahlungsauslösedienstleister ist nun nicht mehr zulassungsfreier technischer Dienstleister i. S. d. Art. 3
lit. j PSD2, wie am Ende von Art. 3 lit. j PSD2 ausdrücklich klarstellt. Ein Zahlungsauslösedienst ist ein
http://www.zbb-online.com/heft-2-2016/zbb-2016-122-die-zweite-zahlungsdiensteric...
20.04.2016
Die zweite Zahlungsdiensterichtlinie – zwischen technischer Innovation und Ausde... Page 20 of 30
Zahlungsdienst i. S. d. Art. 4 Nr. 3 PSD2 i. V. m. Anhang I (7) zur PSD2. Fehlt die Erlaubnis, hat die
Aufsichtsbehörde dem Zahlungsauslösedienstleister die Tätigkeit zu untersagen (Art. 37 Abs. 1 PSD2).
Die nationalen Gesetze zur Umsetzung der PSD2 werden am 13. 1. 2018 in Kraft treten. Mit diesem Tag gilt
die Erlaubnispflicht für Zahlungsauslösedienste. Der Richtliniengeber hat aber eine vorübergehende
Bestandsgarantie für vor dem 12. 1. 2016 bestehende Zahlungsauslösedienste eingeräumt; diese
Zahlungsauslösedienste sind erst erlaubnispflichtig, wenn die Regelungen über Sicherheitsmaßnahmen
u. a. im Hinblick auf die Einschaltung von Zahlungsauslösediensten, im Hinblick auf die starke
Kundenauthentifizierung
und
die
sichere
Kommunikation
zwischen
Zahlungsauslösedienst
und
kontoführendem Zahlungsdienstleister in Kraft treten (Art. 115 Abs. 5 PSD2). Die EBA rechnet damit, dass
dieser Zeitpunkt nicht vor Oktober 2018 eintritt.104
1.4 Haftung und Haftpflichtversicherung
Die Haftung für nicht autorisierte und für nicht erfolgte, fehlerhafte oder verspätete Ausführung von
Zahlungsvorgängen stellte sich in der politischen Debatte als besondere Herausforderung für die Fälle dar,
in denen Zahlungsaulösedienste tätig werden. Dies vor allem vor dem Hintergrund, dass die PSD2 in beiden
Fällen dem kontoführenden Zahlungsdienstleister zukünftig auferlegt, dem Zahler den Betrag unverzüglich
mit Wertstellung auf den Tag der Belastung des Kontos zu erstatten (Art. 73 Abs. 1 PSD2, Art. 89 Abs. 1
Unterabs. 2 und 3 PSD2). Der kontoführende Zahlungsdienstleister haftet also zunächst auch für die Fehler
des Zahlungsauslösedienstleisters, wenn ein solcher in den Zahlungsvorgang eingeschaltet war.105
Zu Gunsten des kontoführenden Zahlungsdienstleisters sieht die PSD2 nunmehr dreierlei vor:
Der Zahlungsaulösedienstleister ist im Fall des Bestreitens der Autorisierung beweispflichtig dafür, dass der
Zahlungsvorgang authentifiziert war, ordnungsgemäß aufgezeichnet wurde und keine technische Panne
vorlag (Art. 72 Abs. 1 Unterabs. 2 PSD2). Im Fall der nicht erfolgten oder fehlerhaften
ZBB 2016, 135
Ausführung
muss
der
Zahlungsaulösedienstleister
beweisen,
dass
der
Zahlungsauftrag
beim
kontoführenden Zahlungsdienstleister des Zahlers eingegangen ist und dass der Zahlungsvorgang
authentifiziert, ordnungsgemäß aufgezeichnet und nicht durch ein technisches Versagen oder einen
anderen Mangel beeinträchtigt wurde (im Einzelnen: Art. 90 Abs. 1 Unterabs. 2 PSD2).
Haftet der Zahlungsauslösedienstleister für den nicht autorisierten oder fehlerhaft ausgeführten
Zahlungsvorgang, so hat er den kontoführenden Zahlungsdienstleister auf dessen Verlangen unverzüglich
für die infolge der Erstattung an den Zahler erlittenen Verluste oder gezahlten Beträge, einschließlich des
Betrags des nicht autorisierten Zahlungsvorgangs zu entschädigen (Art. 73 Abs. 2 Unterabs. 2 Satz 1,
Art. 90
Abs. 2
PSD2).
Wenn
der
kontoführende
Zahlungsdienstleister
allerdings
keine
starke
Kundenauthentifizierung verlangt, könnte der Regress des kontoführenden Zahlungsdienstleisters gegen
den Zahlungsauslösedienstleister gem. Art. 92 Abs. 1 Satz 2 PSD2 gehindert sein.
Um
den
kontoführenden
Zahlungsauslösedienstleisters
Zahlungsauslösedienste
Zahlungsdienstleister
zu
schützen,
beantragen,
als
haben
vor
der
mangelnden
Zahlungsinstitute,
Voraussetzung
für
die
ihre
Solvenz
eine
Zulassung
Zulassung
des
für
eine
Berufshaftpflichtversicherung nachzuweisen (Art. 5 Abs. 2 PSD2) und aufrechtzuerhalten. Die Einzelheiten
legt die EBA in Leitlinien i. S. v. Art. 16 EBA-VO fest (Art. 5 Abs. 4 PSD2).
http://www.zbb-online.com/heft-2-2016/zbb-2016-122-die-zweite-zahlungsdiensteric...
20.04.2016
Die zweite Zahlungsdiensterichtlinie – zwischen technischer Innovation und Ausde... Page 21 of 30
1.5 Authentifizierung bei Nutzung eines Zahlungsauslösedienstes
1.5.1 Starke Kundenauthentifizierung für die Auslösung
Nach Art. 97 Abs. 4 Satz 1 PSD2 gelten die Absätze 2 und 3 auch, „wenn Zahlungen über einen
Zahlungsauslösedienstleister ausgelöst werden“. Es gilt also „auch“, „dass die Zahlungsdienstleister für
elektronische Fernzahlungsvorgänge eine starke Kundenauthentifizierung verlangen, die Elemente umfasst,
die
den
Zahlungsvorgang
dynamisch
mit
einem
bestimmten
Betrag
und
einem
bestimmten
Zahlungsempfänger verknüpfen“ (Art. 97 Abs. 2 PSD). Das Auslösen einer Zahlung durch den
Zahlungsauslösedienstleister wird also gleichgesetzt mit der Einleitung eines Fernzahlungsvorgangs und es
wird insofern auf die Rechtsfolge des Art. 97 Abs. 2 PSD2 verwiesen.
1.5.2 Adressat der Pflicht aus Art. 97 Abs. 4 Satz 1 PSD2 zur Kundenauthentifizierung
Dann aber stellt sich die Frage, wer Adressat dieser Vorschrift aus Art. 97 Abs. 4 Satz 1 i. V. m. Art. 97
Abs. 2 PSD2 ist, der Zahlungsauslösedienstleister (der auch ein Zahlungsdienstleister nach Art. 4 Nr. 3
PSD2 ist) oder der kontoführende Zahlungsdienstleister.
Wie oben gesehen, bewirkt der Zahlungsauslösedienstleister als Erklärungsbote des Zahlers den Zugang
der Autorisierung und des Zahlungsauftrags des Zahlers beim kontoführenden Zahlungsdienstleister (vgl.
oben V 1.1.1 und 1.1.2). Dies ist die Bedeutung von „auslösen“. Der kontoführende Zahlungsdienstleister ist
Adressat des Zahlungsauftrags und der Autorisierung. Der Zahlungsauslösedienstleister übermittelt diese
nur (Art. 97 Abs. 4 Satz 1 PSD2: „wenn Zahlungen über einen Zahlungsauslösedienstleister ausgelöst
werden“).
Adressat der Vorschrift ist also nach wie vor der kontoführende Zahlungsdienstleister; dieser muss die
Auslösung über einen Zahlungsauslösedienstleister als Fernzahlungsvorgang behandeln und eine starke
Authentifizierung
nebst
dynamischer
Verknüpfung
verlangen.
Dass
eine
Zahlung
über
einen
Zahlungsauslösedienstleister übermittelt wird, stellt der kontoführende Zahlungsdienstleister fest, weil der
Zahlungsauslösedienstleister sich ihm gegenüber gem. Art. 66 Abs. 3 lit. d PSD2 identifizieren muss.106
1.5.3 Zahlungsauslösedienstleister darf sich auf Verfahren des kontoführenden
Zahlungsdienstleisters stützen
Nach Art. 97 Abs. 5 PSD2 stellen die Mitgliedstaaten „sicher, dass der kontoführende Zahlungsdienstleister
dem Zahlungsauslösedienstleister […] gestattet, sich auf die Authentifizierungsverfahren zu stützen, die er
dem Zahlungsdienstnutzer […] – in Fällen, in denen der Zahlungsauslösedienstleister beteiligt ist – auch
gemäß den Absätzen 1, 2 und 3 bereitstellt“.
Berücksichtigt man, dass der Zahlungsauslösedienstleister die mit starker Authentifizierung versehene
Autorisierung des Zahlers an den kontoführenden Zahlungsdienstleister als Erklärungsbote übermittelt, stellt
sich die Frage, wie in diesem Zusammenhang „sich auf die Authentifizierungsverfahren […] stützen“ (im
englischen Text „to rely on […]“) in Art. 97 Abs. 5 PSD2 zu verstehen ist. Damit könnte zum einen gemeint
sein, dass der Zahlungsauslösedienstleister auf die vom kontoführenden Zahlungsdienstleister dem Zahler
zur Verfügung gestellten persönlichen Sicherheitsmerkmale des Zahler vertrauen darf; das würde aber
voraussetzen, dass der Zahlungsauslösedienstleister sie überprüfen kann, was nicht der Fall ist. Diese
Vorschrift ist vielmehr auf die lange Diskussion im Vorfeld der Entstehung der PSD2 um die Nutzung der
persönlichen Sicherheitsmerkmale des Zahlers zurückzuführen. Dreh- und Angelpunkt des Streits in
Deutschland waren die Online-Banking-AGB der deutschen Banken und Sparkassen. Ziffer 7.2 der Online-
http://www.zbb-online.com/heft-2-2016/zbb-2016-122-die-zweite-zahlungsdiensteric...
20.04.2016
Die zweite Zahlungsdiensterichtlinie – zwischen technischer Innovation und Ausde... Page 22 of 30
Banking-AGB enthält zahlreiche Sicherheitsvorschriften und Verbote an den Kunden, die persönlichen
Sicherheitsmerkmale, insbesondere PIN und TAN, an Dritte weiterzugeben oder sie auf anderen
Internetseiten als der Online-Banking-Seite der eigenen Bank einzugeben. Diese Regelungen in Ziffer 7.2
der Online-Banking-AGB werden durch Inkrafttreten der nationalen Umsetzungsgesetze zu Art. 66 Abs. 1
und Art. 97 Abs. 5 PSD2107 infrage gestellt werden.
ZBB 2016, 136
Art. 97 Abs. 5 PSD2 bedeutet also, dass der Zahlungsauslösedienstleister die personalisierten
Sicherheitsmerkmale des Zahlers entgegennehmen und als Erklärungsbote an den kontoführenden
Zahlungsdienstleister weiterleiten darf.
1.5.4 Sicherheitsvorkehrungen des Zahlungsauslösedienstleisters
Gem. Art. 97 Abs. 4 Satz 1 i. V. m. Art. 97 Abs. 3 PSD2 haben Zahlungsdienstleister über angemessene
Sicherheitsvorkehrungen zu verfügen, um die Vertraulichkeit und die Integrität der personalisierten
Sicherheitsmerkmale der Zahlungsdienstnutzer zu schützen. Allerdings darf sich gem. Art. 97 Abs. 5 PSD2
auch hier der Zahlungsauslösedienstleister auf die Sicherheit der Authentifizierungsverfahren stützen, die
der
kontoführende
Zahlungsdienstleister
dem
Zahler
zur
Verfügung
stellt.
Zudem
hat
der
Zahlungsauslösedienstleister selbst die für ihn geltenden Sicherheitsvorschriften des Art. 66 Abs. 3 PSD2 zu
beachten, insbesondere die Geheimhaltung der persönlichen Sicherheitsmerkmale und die Übermittlung
über sichere und effiziente Kanäle (Art. 66 Abs. 3 lit. b PSD2).
Nach Art. 66 Abs. 3 lit d PSD2 muss der Zahlungsauslösedienstleister sich gem. Art. 98 Abs. 1 lit. d PSD2
gegenüber dem kontoführenden Zahlungsdienstleister des Zahlers jedes Mal, wenn eine Zahlung ausgelöst
wird,
identifizieren
und
mit
dem
kontoführenden
Zahlungsdienstleister,
dem
Zahler
und
dem
Zahlungsempfänger auf sichere Weise kommunizieren. Die Anforderungen u. a. an diese sichere
Kommunikation muss die EBA in den zu entwerfenden technischen Regulierungsstandards gem. Art. 98
PSD2 festlegen.
1.5.5 Starke Authentifizierung des Zahlers gegenüber dem Zahlungsauslösedienstleister
Ein Zahlungsauslösedienstleister ist Zahlungsdienstleister i. S. d. Art. 4 Nr. 11 PSD2. Nach Art. 97 Abs. 1
PSD2 sind alle Zahlungsdienstleister zur starken Kundenauthentifizierung verpflichtet.
Die Vorschriften des Art. 97 Abs. 1 PSD2 passen aber nicht auf den Zahlungsauslösedienstleister. Im
Rahmen von Art. 97 Abs. 1 lit. a PSD2 (Zahler greift auf sein Zahlungskonto zu) war der europäische
Gesetzgeber wohl der Überzeugung, dass nur der Zahlungsdienstleister, der das dem Zugriff des Zahlers
unterliegende Konto führt, zur starken Kundenauthentifizierung verpflichtet sein sollte. Dies will der
Richtliniengeber wohl auch durch den Verweis in Art. 97 Abs. 4 PSD2 zum Ausdruck bringen, indem er dort
Abs. 1 nicht in den Verweis einbezieht.108
Auch Art. 97 Abs. 1 lit. b PSD2, der die starke Kundenauthentifizierung verlangt, wenn der Zahler einen
elektronischen
Zahlungsvorgang
auslöst,
ist
nicht
einschlägig.
Zahlungsauslösedienstleister löst nämlich den Zahlungsvorgang
Nicht
der
Zahler
sondern
der
aus.109
Die Nutzung eines Zahlungsauslösedienstleisters ist auch nicht i. S. d. Art. 97 Abs. 1 lit. c PSD2 eine
sonstige riskante Handlung des Zahlers über einen Fernzugang. Das Auslösen des Zahlungsvorgangs
http://www.zbb-online.com/heft-2-2016/zbb-2016-122-die-zweite-zahlungsdiensteric...
20.04.2016
Die zweite Zahlungsdiensterichtlinie – zwischen technischer Innovation und Ausde... Page 23 of 30
selbst nimmt hier der Zahlungsauslösedienstleister vor; zudem ist dieses bereits durch das vom
kontoführenden
Zahlungsdienstleister
durchzuführende
Authentifizierungsverfahren
gesichert.
Die
Preisgabe der personalisierten Sicherheitsmerkmale des Zahlers ist eine riskante Handlung; hierfür hat der
europäische Gesetzgeber aber bereits den Schutz des Art. 97 Abs. 3 PSD2 vorgesehen. Zusammenfassend
ist deshalb festzustellen, dass der Zahlungsauslösedienstleister nicht nach Art. 97 Abs. 1 PSD2 zur starken
Kundenauthentifizierung verpflichtet ist.110
1.6 Zusammenfassung
Die sehr umfangreichen und teilweise komplexen Regelungen zum Zahlungsauslösedienst sind das
Resultat einer intensiven politischen Auseinandersetzung. Diese wird voraussichtlich im Rahmen der
Vorbereitung von technischen Regulierungsstandards und Leitlinien durch die EBA sowie auch im Rahmen
der Auslegung – einzelne Fragen sind jetzt schon erkennbar – fortgeführt werden.
2. Kontoinformationsdienst
Ein „Kontoinformationsdienst“ ist nach Art. 4 Nr. 16 MiF-VO ein Online-Dienst zur Mitteilung konsolidierter
Informationen über ein Zahlungskonto oder mehrere Zahlungskonten, das/die ein Zahlungsdienstnutzer
entweder bei einem anderen Zahlungsdienstleister oder bei mehr als einem Zahlungsdienstleister hält.
Im Gegensatz zum Zahlungsauslösedienst ist der Kontoinformationsdienst nur wenigen Vorschriften der
PSD2 unterworfen. Deshalb sieht sich der europäische Gesetzgeber in Art. 33 Abs. 2 Satz 1 PSD2
gezwungen, ausdrücklich anzuordnen, dass er „wie ein Zahlungsinstitut behandelt wird“. Er unterliegt einem
vereinfachten Zulassungsverfahren: nur die Angaben nach Art. 5 Abs. 1 lit. a, b, e bis h, j, l, n, p und q und
Abs. 3
PSD2
(Nachweis
der
Haftpflichtversicherung)
sind
zu
erbringen.
Er
benötigt
nach
Zahlungsaufsichtsrecht kein Anfangskapital (vgl. Art. 7 und 9 Abs. 1 PSD2) und kein Eigenkapital. Aus Titel
III und Titel IV der PSD2 gelten nur Art. 41, 45 und 52 sowie die Art. 67, 69 und 95 bis 98 für
Kontoinformationsdienste.
Ebenso wie Zahlungsauslösedienstleister erhalten Kontoinformationsdienstleister in Art. 67 Abs. 1 PSD2
eine indirekte Garantie: Die Mitgliedstaaten stellen sicher, dass ein Zahlungsdienstnutzer das Recht hat,
Dienste, die den Zugang zu Zahlungskontoinformationen gemäß Anhang I Nummer 8 PSD2 ermöglichen, zu
nutzen. Dieses Recht besteht nicht, wenn das Zahlungskonto nicht online zugänglich ist.
3. Kartengebundene Zahlungsdienste durch Dritte
Zuletzt
enthält
Art. 65
PSD2
Absicherungen
für
Zahlungsdienstleister,
die
kartengebundene
Zahlungsinstrumente ausgeben. Diesen hat der kontoführende Zahlungsdienstleister unverzüglich zu
bestätigen, ob ein für die Ausführung eines kartengebundenen Zahlungsvorgangs erforderlicher Betrag
ZBB 2016, 137
auf dem Zahlungskonto des Zahlers verfügbar
ist. Kartengebundener Zahlungsvorgang111 und
kartengebundenes Zahlungsinstrument werden in der PSD2 selbst nicht definiert, so dass die Definitionen in
Art. 4 Nr. 7 und 20 MIF-VO Anwendung finden dürften.
Der europäische Gesetzgeber will hier den Wettbewerb fördern. Neue Kartenanbieter oder auch MobilePayment-Anbieter, deren Angebot auf den bestehenden Kreditkarten-Schemes basiert,112 sollen eine
http://www.zbb-online.com/heft-2-2016/zbb-2016-122-die-zweite-zahlungsdiensteric...
20.04.2016
Die zweite Zahlungsdiensterichtlinie – zwischen technischer Innovation und Ausde... Page 24 of 30
bessere Möglichkeit zum Markteintritt haben, auch wenn sie nicht die „Hausbank“ des Zahlers sind und
dessen Girokonto führen.113
Die Bestätigung der Ausführung besteht ausschließlich aus „Ja“ oder „Nein“, nicht jedoch in der Mitteilung
des Kontostands. Die Bestätigung gestattet dem kontoführenden Zahlungsdienstleister nicht, einen
Geldbetrag auf dem Zahlungskonto des Zahlers zu blockieren.
VI. Zusammenfassung
Der
europäische
Gesetzgeber
hat
den
ersten
Schritt
einer
umfangreichen
Reform
der
Zahlungsdienstrichtlinie abgeschlossen.
Vielfach sind ihm die erwünschten Präzisierungen insbesondere im sachlichen Anwendungsbereich
gelungen. Dennoch ist nicht mit Sicherheit voraussehbar, wie die nationalen Aufsichtsbehörden diese
Regelungen aufnehmen werden. Mit dieser Unsicherheit und mit dem dadurch entstehenden Maß an
Ungleichheit zwischen den Mitgliedstaaten wird man aber umgehen können.
Durchgehend spürt man in der PSD2 den Wunsch nach stärkerer und umfassenderer Regulierung. Dies
betrifft den Erlaubnisantrag für Zahlungsinstitute, besonders auch den europäischen Pass für
Zahlungsinstitute sowie die interne Organisation und das Risikomanagement der Zahlungsdienstleister. Die
dadurch entstehenden Compliance-Kosten für die regulierten Institute sind immens und es darf an dieser
Stelle der Hinweis nicht fehlen, dass dies unter Umständen auch die wirtschaftliche Entwicklung und
Innovation unserer europäischen Volkswirtschaft beeinträchtigt.
Die Regelungen über neu regulierte Dienste, Zahlungsauslösedienste, Kontoinformationsdienste und
kartenbasierte Dienste, werden nach ihrem Inkrafttreten in 2018 mit Leben zu füllen sein. Die
Herausforderungen für den Rechtsanwender sind teilweise jetzt schon absehbar.
* Dr. iur., Rechtsanwalt/Partner, Osborne Clarke, Leiter der Praxisgruppe Bank- und Kapitalmarktrecht,
Köln
1 RL
(EU) 2015/2366 des Europäischen Parlaments und des Rates v. 25. 11. 2015 über
Zahlungsdienste im Binnenmarkt, zur Änderung der Richtlinien 2002/65/EG, 2009/110/EG und
2013/36/EU und der VO (EU) Nr. 1093/2010 sowie zur Aufhebung der RL 2007/64/EG, ABl L 337/35.
2 RL 2007/64/EG des Europäischen Parlaments und des Rates v. 13. 11. 2007 über Zahlungsdienste
im Binnenmarkt, zur Änderung der Richtlinien 97/7/EG, 2002/65/EG, 2005/60 und 2006/48 EG sowie
zur Aufhebung der RL 97/5/EG, ABl L 319/1.
3 Bericht der Kommission an das Europäische Parlament und den Rat über die Anwendung der RL
2007/64/EG über Zahlungsdienste im Binnenmarkt und der VO (EG) Nr. 924/2009 über
grenzüberschreitende Zahlungen in der Gemeinschaft, COM(2013) 549.
4 Vorschlag für eine RL des Europäischen Parlaments und des Rates über Zahlungsdienste im
Binnenmarkt, zur Änderung der Richtlinien […], COM(2013) 547.
5 Vorschlag
für
eine
Verordnung
des
Europäischen
Parlaments
und
des
Rates
über
Interbankenentgelte für kartengebundene Zahlungsvorgänge, COM(2013) 550.
6
http://www.zbb-online.com/heft-2-2016/zbb-2016-122-die-zweite-zahlungsdiensteric...
20.04.2016
Die zweite Zahlungsdiensterichtlinie – zwischen technischer Innovation und Ausde... Page 25 of 30
VO (EU) 2015/751 des
Europäischen Parlaments und des Rates
v. 29. 4. 2015 über
Interbankenentgelte für kartengebundene Zahlungsvorgänge, ABl L 123/1.
7 RL 2014/92/EU des Europäischen Parlaments und des Rates v. 23. 7. 2014 über die Vergleichbarkeit
von Zahlungskontoentgelten, den Wechsel von Zahlungskonten und den Zugang zu Zahlungskonten
mit grundlegenden Funktionen, ABl L. 257/214.
8 VO (EU) 260/2012 des Europäischen Parlaments und des Rates v. 14. 3. 2012 zur Festlegung der
technischen Vorschriften und der Geschäftsanforderungen für Überweisungen und Lastschriften in
EUR und zur Änderung der VO (EG) 924/2009, ABl L 94/22.
9 VO
(EG) 924/2009 des Europäischen Parlaments und des Rates v. 16. 9. 2009 über
grenzüberschreitende Zahlungen in der Gemeinschaft und zur Aufhebung der VO (EG) 2560/2001,
ABl L 266/11.
10 RL 2009/110/EG des Europäischen Parlaments und des Rates vom 16. 9. 2009 über die Aufnahme,
Ausübung und Beaufsichtigung der Tätigkeit von E-Geld-Instituten, zur Änderung der Richtlinien
2005/60/EG und 2006/48/EG sowie zur Aufhebung der RL 2000/46/EG, ABl L 267/7.
11 Erwägungsgrund 6 Satz 4 PSD2.
12 Erwägungsgrund 6 Satz 2 PSD2.
13 Erwägungsgrund 6 PSD2.
14 Erwägungsgrund 5 PSD2.
15 Erwägungsgrund 7 Satz 4 PSD2.
16 Erwägungsgrund 6 PSD2.
17 Erwägungsgrund 3 PSD2; s. auch Omlor, ZIP 2016, 558, 559.
18 Erwägungsgrund 21 PSD2; s. dazu auch Linardatos, WM 2014, 300; Bauer/Glos, DB 2016, 456, 457;
Omlor, ZIP 2016, 558, 561.
19 Hierzu auch Terlau, DB 2016, Heft 9, S. M5.
20 EBA, Discussion Paper on future RTS on strong customer authentication and secure communication
under PSD2, EBA/DP/2015/03, 8 December 2015, Nr. 15, S. 8.
21 Die Europäische Bankenaufsichtsbehörde (EBA) hat nach Art. 98 Abs. 4 Satz 1 PSD2 der
Europäischen Kommission bis zum 13. 1. 2017 hierzu Entwürfe zu übermitteln; die EU-Kommission
hat gem. Art. 98 Abs. 4 Satz 2 PSD2 die Befugnis, diese Durchführungsrechtsakte in Kraft zu setzen.
Die Vorschriften u. a. über Zahlungsauslösedienste, über starke Kundenauthentifizierung und sichere
Kommunikation treten sodann gem. Art. 115 Abs. 4 PSD2 18 Monate nach Inkrafttreten der
technischen Regulierungsstandards in Kraft.
22 Von der entsprechenden Möglichkeit unter der PSD1 hat der deutsche Gesetzgeber keinen
Gebrauch gemacht; vgl. Regierungsbegründung ZAG, BT-Drucks. 16/11613, S. 27.
23 VO (EU) Nr. 1093/2010 des Europäischen Parlaments und des Rates v. 24. 11. 2010 zur Errichtung
einer Europäischen Aufsichtsbehörde (Europäische Bankenaufsichtsbehörde), zur Änderung des
http://www.zbb-online.com/heft-2-2016/zbb-2016-122-die-zweite-zahlungsdiensteric...
20.04.2016
Die zweite Zahlungsdiensterichtlinie – zwischen technischer Innovation und Ausde... Page 26 of 30
Beschlusses Nr. 716/2009/EG und zur Aufhebung des Beschlusses 2009/78/EG der Kommission,
ABl L 331/12.
24 Sobald die PSD2 auf den europäischen Wirtschaftsraum erstreckt wird, werden hier auch EWR-
Währungen erfasst sein.
25 Zum alten Recht: Begründung zum Regierungsentwurf, BT-Drucks. 16/11643, S. 100.
26 Erwägungsgrund 4 PSD2.
27 Erwägungsgrund 4 PSD2.
28 Die in den öffentlichen Medien auch behandelte ebay-Entscheidung der BaFin, Handelsblatt v.
5. 6. 2012.
29 RL 86/653/EWG des Rates v. 18. 12. 1986 zur Koordinierung der Rechtsvorschriften der
Mitgliedsstaaten betreffend die selbständigen Handelsvertreter, ABl L 382/17 ff.
30 Hierzu ausführlich Terlau, ZBB 2014, 291, 296 f.
31 Vgl. nur Findeisen, in: Ellenberger/Findeisen/Nobbe, Zahlungsverkehrsrecht, 2. Aufl., 2013, § 1a
Rz. 76 f.
32 Erwägungsgrund 13 PSD2.
33 Erwägungsgrund 13 PSD2.
34 Der Vorschlag der Kommission zur zweiten Zahlungsdiensterichtlinie sprach demgemäß noch von
„Instrumente“.
35 Findeisen (Fußn. 31), § 1 Rz. 419; MünchKomm-Casper, BGB, 6. Aufl., 2012, § 675j Rz. 27, § 675w
Rz. 8.
36 Hierzu Terlau, ZBB 2014, 291, 299 f.
37 Vgl. hierzu Terlau, in: Casper/Terlau, ZAG, 2014, § 1a Rz. 78 m. w. N.
38 Erwägungsgrund 13 Satz 2 PSD2.
39 Nachweise bei Terlau, ZBB 2014, 291, 301, Fußn. 111.
40 Vgl. zum Schutzzweck Terlau, ZBB 2014, 291, 299 f., 301.
41 Erwägungsgrund 13 Satz 4 Halbs. 1 PSD2.
42 Vgl. Terlau, ZBB 2014, 291, 302.
43 Vgl. auch mit ähnlichen Begriffsbestimmungen in Erwägungsgrund 5 („Ladenketten“) Zweite E-Geld-
RL.
44 Erwägungsgrund 14 Satz 1 PSD2; vgl. auch schon Erwägungsgrund 5 Satz 1 Zweite E-Geld-RL.
45 BaFin-Merkblatt v. 22. 12. 2011, Abschnitt 4. c) aa) Gruppe 2.
46 Vgl. hierzu ausführlicher Terlau (Fußn. 37), § 1a Rz. 81.
47 Erwägungsgrund 13 Satz 4 Halbs. 2 PSD2.
http://www.zbb-online.com/heft-2-2016/zbb-2016-122-die-zweite-zahlungsdiensteric...
20.04.2016
Die zweite Zahlungsdiensterichtlinie – zwischen technischer Innovation und Ausde... Page 27 of 30
48 Erwägungsgrund 13 Satz 3 PSD2.
49 Erwägungsgrund 13 Satz 2 a. E. PSD2.
50 So aber BaFin-Merkblatt v. 22. 12. 2011, Abschnitt 4. c) aa) Gruppe 2; ähnlich auch Findeisen
(Fußn. 31), § 1 Rz. 548, jeweils zum ZAG.
51 Erwägungsgrund 13 Satz 4 Halbs. 2 PSD2.
52 Erwägungsgrund 5 zur Zweiten E-Geld-RL.
53 S. dazu auch schon Terlau (Fußn. 37), § 1a Rz. 81; Terlau, ZBB 2014, 291, 302.
54 Erwägungsgrund 14 Satz 1 PSD2.
55 Der
europäische
Gesetzgeber
spricht
auch
von
„potentiellem
Zahlungsdienstleister“
–
Erwägungsgrund 14 Satz 4 PSD2.
56 Vorschlag zur PSD2, oben Fußn. 4.
57 Vgl. hierzu auch Terlau, BB 2013, 1996; sowie Terlau (Fußn. 37), § 1a Rz. 74.
58 Erwägungsgrund 15 PSD2.
59 Erwägungsgrund 17 PSD2.
60 Begründung zum Regierungsentwurf, BT Drucks, 16/11613, S. 35; bestätigend Findeisen (Fußn. 31),
§ 1 Rz. 304; sowie auch BaFin-Merkblatt v. 22. 12. 2011, Ziff. 2. f).
61 Ebenso wie zahlreiche andere europäische Staaten.
62 So auch Casper, in: Casper/Terlau, ZAG, 2014, § 1 Rz. 76.
63 Erwägungsgrund 9 Satz 2 und Satz 2 PSD2; anders noch die EU-Kommission, FAQ Question
No. 414,
abrufbar
unter
http://ec.europa.eu/finance/payments/docs/framework/transposition/faq_en.pdf (zuletzt abgerufen am
8. 4. 2016).
64 Vgl. hierzu Regierungsbegründung ZAG, BT-Drucks. 16/11613, S. 27.
65 Walter, in: Casper/Terlau, ZAG, 2014, § 11 Rz. 1.
66 Vgl. Erwägungsgrund 41 Satz 2 PSD2.
67 Erwägungsgrund 36 PSD2.
68 EuGH ZIP 1999, 438 (m. Bespr. Roth, S. 861 u. Werlauff, S. 867) = NJW 1999, 2027, Rz. 16, 18 –
Centros, dazu EWiR 1999, 259 (Neye).
69 Zurückhaltender für das Problem der pseudo foreign corporations: EuGH ZIP 1999, 438 = NJW 1999,
2027, Rz. 25 – Centros: Hiernach ist im Einzelfall das missbräuchliche oder betrügerische Verhalten
der Betroffenen auf der Grundlage objektiver Kriterien in Rechnung zu stellen.
70 VO (EU) Nr. 575/2013 des Europäischen Parlaments und des Rates v. 26. 6. 2013 über
Aufsichtsanforderungen an Kreditinstitute und Wertpapierfirmen und zur Änderung der VO (EU)
Nr. 648/2012, ABl L 176/1.
http://www.zbb-online.com/heft-2-2016/zbb-2016-122-die-zweite-zahlungsdiensteric...
20.04.2016
Die zweite Zahlungsdiensterichtlinie – zwischen technischer Innovation und Ausde... Page 28 of 30
71 S. dazu auch Omlor, ZIP 2016, 558, 561.
72 Kritisch hierzu Zahrte, ZBB 2015, 410, 416.
73 Vorschlag der Kommission zur PSD2, oben Fußn. 4.
74 Vorschlag für eine Richtlinie des Europäischen Parlaments und des Rates über Maßnahmen zur
Gewährleistung einer hohen gemeinsamen Netz- und Informationssicherheit in der Union, Brüssel, v.
7. 2. 2013, COM(2013) 48.
75 Vgl. auch § 92 Abs. 1 AktG.
76 Gesetz zur Erhöhung der Sicherheit informationstechnischer Systeme v. 17. 7. 2015, BGBl I, 1324.
77 Im Referentenentwurf zur sog. BSI-Kritisverordnung v. 13. 1. 2016 sind Finanzdienstleister nicht
aufgeführt.
78 BaFin, Rundschreiben 4/2015 (BA) – Mindestanforderungen an die Sicherheit von Internetzahlungen
(MaSI) Geschäftszeichen BA 57-K 3142-2013/0017 v. 5. 5. 2015; die MaSI sind im Wesentlichen eine
wörtliche
Übernahme
der
EBA,
Leitlinien
zur
Sicherheit
von
Internetzahlungen,
EBA/GL/2014/12_Rev1 v. 19. 12. 2014; vgl. hierzu auch BaFin, Anschreiben zum Rundschreiben
4/2015 – BA 57-K 3142-2013/0017 v. 5. 5. 2015.
79 Ähnlich auch BaFin, Fragen und Antworten zu den Mindestanforderungen an die Sicherheit von
Internetzahlungen (MaSI) v. 28. 10. 2015, Ziffer 1k); ebenso auch Zahrte, ZBB 2015, 410, 416.
80 Zu den für die Vorschriften geltenden Übergangsfristen s. o. I 4.
81 EBA, Discussion Paper on future RTS on strong customer authentication and secure communication
under PSD2, EBA/DP/2015/03, 8 December 2015, Nr. 27 i), S. 12.
82 Vgl. EBA, Discussion Paper on future RTS on strong customer authentication and secure
communication under PSD2, EBA/DP/2015/03, 8 December 2015, Nr. 42, S. 16.
83 Ausführlich hierzu Terlau, jurisPK-BKR 2/2016, Anm. 1.
84 So auch EBA, Discussion Paper on future RTS on strong customer authentication and secure
communication under PSD2, EBA/DP/2015/03, 8 December 2015, Nr. 27 ii), S. 12.
85 So auch EBA, Discussion Paper on future RTS on strong customer authentication and secure
communication under PSD2, EBA/DP/2015/03, 8 December 2015, Nr. 27 iii), S. 12.
86 Art. 42 Abs. 1 PSD2: 30 €; nach Art. 42 Abs. 2 PSD2 können die Mitgliedstaaten oder ihre
zuständigen Behörden, d. h. in Deutschland die BaFin, diesen Betrag für innerstaatliche
Zahlungsvorgänge verringern oder verdoppeln. Für Zahlungsinstrumente auf Guthabenbasis können
die Mitgliedstaaten diese Beträge auf bis zu 500 € erhöhen.
87 So auch EBA, Discussion Paper on future RTS on strong customer authentication and secure
communication under PSD2, EBA/DP/2015/03, 8 December 2015, Nr. 42, S. 16.
88 S. aber Ziff. 7.1 Spiegelstrich 2 MaSI.
89 So auch EBA, Discussion Paper on future RTS on strong customer authentication and secure
communication under PSD2, EBA/DP/2015/03, 8 December 2015, Nr. 42, S. 16.
http://www.zbb-online.com/heft-2-2016/zbb-2016-122-die-zweite-zahlungsdiensteric...
20.04.2016
Die zweite Zahlungsdiensterichtlinie – zwischen technischer Innovation und Ausde... Page 29 of 30
90 BGB-OGK/Hofmann, Stand: 16. 1. 2016, § 675w Rz. 30 ff. m. w. N.; MünchKomm-Casper (Fußn. 35),
§ 675w Rz. 9 ff.
91 Vgl. Art. 4 Nr. 11 des Vorschlags der Kommission zur PSD2, oben Fußn. 4.
92 www.duden.de, Stichwort „auslösen“.
93 Kursivsetzung durch den Verfasser.
94 Statt aller MünchKomm-Casper (Fußn. 35), § 675f Rz. 39.
95 MünchKomm-Casper (Fußn. 35), § 675j Rz. 6; Palandt/Sprau, BGB, 75. Aufl., 2016, § 675j Rz. 3; so
wohl auch Frey, in: Ellenberger/Findeisen/Nobbe, ZVR, 2. Aufl., 2013, § 675j Rz. 6; a. A.
PWW/Fehrenbacher, BGB, 10. Aufl., 2015, § 675 Rz. 2: einseitige Willenserklärung; so auch
Erman/v. Westphalen, BGB, 13. Aufl., 2011, § 675j Rz. 2.
96 Terlau, jurisPK-BKR 2/2016, Anm. 1.
97 Ausführlich Terlau, jurisPK-BKR 2/2016, Anm. 1.
98 Ausführlich Terlau, jurisPK-BKR 2/2016, Anm. 1.
99 Dies ist kein Zahlungsdienstevertrag und kein Rahmenvertrag i. S. d. PSD2, weil er nicht auf die
zukünftige Ausführung einzelner oder aufeinander folgender Zahlungsvorgänge gerichtet ist und nicht
die Verpflichtung zur Einrichtung eines Zahlungskontos enthält (arg. e. Art. 4 Nr. 21 PSD2).
100 Ausführlich Terlau, jurisPK-BKR 2/2016, Anm. 1.
101 Zur Abgrenzung Stellvertretung und Botenschaft die ganz h. M.: BGHZ 12, 327, 334; MünchKomm-
Schubert, BGB, 7. Aufl., 2015, § 164 Rz. 70; Erman/Maier-Reimer, BGB, 13. Aufl., 2011, Vor § 164
Rz. 24.
102 Vgl. auch Terlau, jurisPK-BKR 2/2016, Anm. 1, mit weiteren Belegen.
103 Erwägungsgrund 27 PSD2.
104 EBA, Discussion Paper on future RTS on strong customer authentication and secure communication
under PSD2, EBA/DP/2015/03, 8 December 2015, Nr. 15, S. 8.
105 S. hierzu auch Omlor, ZIP 2016, 558, 562.
106 Vgl. auch Erwägungsgrund 93 Satz 6: „Diese gemeinsamen und offenen Standards sollten außerdem
sicherstellen, dass dem kontoführenden Zahlungsdienstleister bewusst ist, dass er von einem
Zahlungsauslösedienstleister oder einem Kontoinformationsdienstleister und nicht vom Kunden selbst
kontaktiert wird.“
107 Hier ist fraglich, ob es sich um Regelungen i. S. d. Art. 115 Abs. 2 PSD2 handelt, die am 13. 1. 2018
in Kraft treten oder um Sicherheitsvorschriften nach Art. 115 Abs. 4 PSD2, die erst frühestens im
Oktober 2018 in Kraft treten; s. oben I 4 und V 1.3.
108 Terlau, jurisPR-BKR 2/2016, Anm. 1, unter IV.3.c).
109 Terlau, jurisPR-BKR 2/2016, Anm. 1, unter IV.3.c).
110 Ausführlich dazu Terlau, jurisPR-BKR 2/2016, Anm. 1, unter IV.3.c).
http://www.zbb-online.com/heft-2-2016/zbb-2016-122-die-zweite-zahlungsdiensteric...
20.04.2016
Die zweite Zahlungsdiensterichtlinie – zwischen technischer Innovation und Ausde... Page 30 of 30
111 Art. 4 Nr. 7 MIF-VO: „Dienstleistung, die auf der Infrastruktur und den Geschäftsregeln eines
Kartenzahlverfahrens beruht, um mit Hilfe einer Karte oder eines Telekommunikations-, Digital- oder
IT-Geräts oder einer entsprechenden Software eine Zahlung auszuführen […]“.
112 Allerdings gilt dies nicht für Prepaid-Produkte, weil E-Geld gem. Art. 65 Abs. 6 PSD2 ausgenommen
ist. Da der das kartengebundene Zahlungsinstrument ausgebende Zahlungsdienstleister hier den
Kontostand selbst verwaltet, benötigt er auch die Bestätigung nicht.
113 Erwägungsgrund 6 Satz 2 PSD2: „Den bestehenden sowie neuen Marktteilnehmern sollten
gleichwertige Bedingungen für ihre Tätigkeit garantiert werden […]“.
zurück
© 2016 RWS Verlag Kommunikationsforum GmbH




http://www.zbb-online.com/heft-2-2016/zbb-2016-122-die-zweite-zahlungsdiensteric...
20.04.2016

Fragen und Aufgaben zur Röntgenstrukturanalyse (Vorlesung) 1

An: Doro Zauner | Presse- und Öffentlichkeitsarbeit | lit.COLOGNE Tel

GAMM VERT FUTURE Cup 2015 Finale 1 Papillo Lara LK5

ALFRED HORN GmbH & Co. KG - Abt. Buchhaltung

Einladung zum Landesimkertag - beim NÖ

DerTreasurer Print 03 | 2015

Entwurf

Gesendet: Montag, 1. Juni 2015 16:25 An: ghe.lannert@googlemail

01. Juni 2015: Veröffentlichung der Euroboden GmbH 133 KB

Kundeninformation Sehr geehrte Kundin, sehr geehrter Kunde, die