PSD2: Mögliche Folgen für Banking und E-Commerce

Bis zum 18. Januar 2018 muss die neue EU-Zahlungsdiensterichtlinie PSD2 umgesetzt werden. Der aktuelle und finale Entwurf wurde von der Europäischen Bankenaufsicht (EBA) bereits im Februar 2017 veröffentlicht. Die neue „Paid Services Directive“ soll die Sicherheit bei Zahlungen erhöhen und die Grundlage für einen einheitlichen europäischen Zahlungsverkehr bilden. Grenzüberschreitende Zahlungen in das europäische Ausland sollen genauso einfach und schnell über die Bühne gehen können, wie im Inland. Dabei sollen Verbraucher außerdem besser geschützt werden. Nicht zuletzt soll der Payment-Sektor für neue Anbieter geöffnet werden, um mehr Wettbewerb zu erzielen. Wir blicken auf die wichtigsten Inhalte der Richtlinie und auf die Folgen für Banken und Handel.

PSD2: Die wichtigsten Inhalte

„Starke“ Kundenauthentifizierung

Zum einen soll die PSD2 neue Standards für eine „starke“ Kundenauthentifizierung definieren. In Abschnitt 3.2.1. des Konsultationspapiers zu der Richtlinie spezifiziert die EBA, eine starke Authentifizierung sei in Form einer Zwei-Faktor-Autorisierung festzulegen. Diese unterscheidet allgemein drei Kategorien, über die sich Nutzer authentifizieren könnten: Ihr Wissen, ihr Besitz und (schlecht übersetzt) ihre biologischen oder biometrischen Merkmale. (Der englische Begriff im Papier lautet hier: „Inherence“. Oft ist das beispielsweise ein Fingerabdruck.) Ein einfaches Beispiel für die Zwei-Faktor-Authentifizierung ist die EC-Karte: Das Wissen des Kunden ist hier die PIN-Nummer, der Besitz ist die Karte selbst. Nur mit beiden kann beispielsweise am Automaten Geld abgehoben werden. Die genauen technischen Anforderungen für eine solche Authentifizierung beim bargeldlosen Bezahlen sollen allerdings noch definiert werden; und die Tatsache, dass es einheitliche Standards für jedes Bezahlverfahren geben soll, ist dabei höchst umstritten.

AISPs und PISPs: Neue Wettbewerber

Eines der wichtigsten Ziele von PSD2 ist außerdem, neuen Anbietern den Weg auf den Payment-Markt zu eröffnen. Dazu sollen die Banken gezwungen werden, Drittparteien über Schnittstellen Zugang zu Bankkonten zu ermöglichen, um Zahlungen auslösen oder Informationen bereitstellen zu können. Dabei soll die Kontrolle darüber beim Verbraucher liegen, der diesen Zugriff zunächst erlauben muss.

Generell werden dadurch grob zwei Bereiche denkbar, in denen neue Anbieter aktiv werden könnten. Im Englischen spricht man hier von sogenannten AISPs (Account Information Service Providers) und PISPs (Payment Integration Service Providers).

AISPs könnten es Kunden etwa ermöglichen, einen einfachen Überblick über alle ihre Kontodaten, Transaktionen und weiteren Informationen für alle ihre Banken auf einen Blick zu erhalten, beispielsweise auf einem gemeinsamen Dashboard. Bisher müsste man sich diese Informationen bei jeder Bank einzeln anschauen. AISPs wären also so etwas wie Aggregatoren, die Informationen von mehreren Konten an einem Ort zusammenführen. Für Banken ist das auch eine Chance: Es wäre beispielsweise eine Idee proaktiv an die Sache heranzugehen und selbst eine solche Dienstleistung anzubieten.

PISPs könnten als Drittparteien in der Lage sein, Zahlungen auszulösen. Der Sinn ist es, den Zahlungsverkehr – zum Beispiel im E-Commerce – grundlegend zu vereinfachen. Bisher ging der Weg dabei vom Konsumenten -> über den Händler -> zum Acquiring -> über das Card Scheme -> bis zur Bank, die die Karte ausgestellt hat; und danach den umgekehrten Weg wieder zurück zum Händler, der die Zahlung erhalten soll. Über PISPs soll sich das radikal vereinfachen: Denn über diese Dienste können Kunden direkt eine Zahlung bei ihrer Bank veranlassen, ohne auf ein zwischengeschaltetes Payment-Produkt zurückzugreifen. So könnte ein Online-Händler wie Amazon selbst als PISP fungieren und Kunden könnten die Zahlung im Kontext ihrer Einkaufsumgebung einfach über Amazon selbst vornehmen.

Mögliche Folgen für E-Commerce und Banken

Damit hat die neue Richtlinie sowohl für die Banken- als auch die Handelswelt mögliche Konsequenzen. Bei Banken gestalten die sich so, dass diese FinTech-Unternehmen, die einfache Bezahldienstleistungen anbieten, den Zugang zu den Konten ihrer Kunden nicht mehr verweigern dürfen. Das könnte dazu führen, dass sie einen weiteren wichtigen Touchpoint mit ihren Kunden verlieren. Und ihr Kerngeschäft wird ja durch die Start-ups derzeit sowieso an vielen Punkten attackiert.

Für die Online-Händler hingegen könnte sich hier eine Chance eröffnen. Denn über PSD2 wird es für Händler möglich, Käufer zu fragen, ob sie deren Bankdaten für die Zahlung verwenden sollen. Stimmen diese zu, können über einen PISP Zahlungen veranlasst werden. Das spielt aus zwei Gründen vor allem größeren Händlern in die Karten.

Könnte Sie auch interessieren: Kate Pohl von der ING Bank zur PSD2.

Erstens wird es nicht einfachsein, selbst zu einem PISP zu werden, da man die technischen Standards bei der Authentifizierung erfüllen muss, die derzeit noch von der EBA spezifiziert werden. Für kleinere Unternehmen wird das nicht ohne weiteres umsetzbar sein. Außerdem wird man als PISP sehr wahrscheinlich irgendeiner Form von Aufsicht unterliegen. Das wiederum bedeutet Compliance – und Compliance Management ist nicht günstig.

Zweitens haben Kunden nach PSD2 die Möglichkeit, Händler, die sie oft frequentieren und denen sie vertrauen, bei der Zahlung auf eine White List zu setzen, um sich die Authentifizierung vollständig zu sparen. Und das wird wohl eher bei den bekannten Händlern passieren, als bei unbekannteren oder kleineren Nischen-Shops. Dadurch wird aber wiederum bei den Größeren der Bezahlvorgang noch ein Stück komfortabler, was einen weiteren kleinen Wettbewerbsvorteil verspricht.