Seit dem 13. Januar 2018 findet in der EU die sogenannte zweite Zahlungsdiensterichtlinie (PSD2) Anwendung. Dieser Beitrag untersucht mögliche Auswirkungen dieser Regulierung auf den Wettbewerb zwischen Banken und Fintechs.[ 1 ] Mit der ersten Zahlungdiensterichtlinie (PSD - Payment Services Directive 1) aus dem Jahr 2007 wurden alle Dienste, die die Ausführung von Zahlungsvorgängen, Finanztransfers, Bareinzahlungen, Barauszahlungen sowie die Ausgabe und Annahme von Zahlungsinstrumenten anbieten, einheitlich reguliert (EU Parlament und Rat, 2015, 36). Seitdem haben sich Smartphones stark verbreitet, E-Commerce ist enorm gewachsen und durch den Markteintritt von Finanztechnologieunternehmen, den so genannten Fintechs, sind neue technische Möglichkeiten der Zahlungsabwicklung durch
Topics:
Markus Demary, Christian Rusche considers the following as important:
This could be interesting, too:
Dirk Niepelt writes “Report by the Parliamentary Investigation Committee on the Conduct of the Authorities in the Context of the Emergency Takeover of Credit Suisse”
Investec writes Federal parliament approves abolition of imputed rent
investrends.ch writes Novo Nordisk Studie bringt Absturz
Urs Birchler writes Der “Regulatorische Filter”: Das Filetstück des PUK-Berichts:
Seit dem 13. Januar 2018 findet in der EU die sogenannte zweite Zahlungsdiensterichtlinie (PSD2) Anwendung. Dieser Beitrag untersucht mögliche Auswirkungen dieser Regulierung auf den Wettbewerb zwischen Banken und Fintechs.[ 1 ]
Mit der ersten Zahlungdiensterichtlinie (PSD - Payment Services Directive 1) aus dem Jahr 2007 wurden alle Dienste, die die Ausführung von Zahlungsvorgängen, Finanztransfers, Bareinzahlungen, Barauszahlungen sowie die Ausgabe und Annahme von Zahlungsinstrumenten anbieten, einheitlich reguliert (EU Parlament und Rat, 2015, 36). Seitdem haben sich Smartphones stark verbreitet, E-Commerce ist enorm gewachsen und durch den Markteintritt von Finanztechnologieunternehmen, den so genannten Fintechs, sind neue technische Möglichkeiten der Zahlungsabwicklung durch Nicht-Banken entstanden. Somit bestand Anpassungsbedarf bei den Regeln der PSD (EU Parlament und Rat, 2015, 36).
Anpassung der Regulierung an Veränderungen
Die neuen Wettbewerber mit ihren innovativen Geschäftsmodellen werden zum Teil nicht von bestehenden Regelungen erfasst. Dies liegt unter anderem auch daran, dass Fintechs nicht notwendigerweise eine Banklizenz benötigen, sofern ihre Geschäftstätigkeit keine Wertpapiergeschäfte, Kreditgeschäfte, Zahlungsverkehrsgeschäfte oder Einlagengeschäfte umfasst und sie nur technische Unterstützung für eine Bank übernehmen. Darunter fällt zum Beispiel die Bereitstellung von Soft- und Hardware.
Die European Banking Authority (EBA) geht 2017 von rund 1.500 Fintechs in der EU aus (EBA, 2017a, 20). Zu 282 dieser Unternehmen lagen detaillierte Informationen vor, die eine Bestimmung der einschlägigen Regulierungsvorschrift ermöglichten. Dabei wurde festgestellt, dass 31 Prozent der Fintechs nicht reguliert und bei weiteren acht Prozent die Regulierung unbekannt war. Nur 18 Prozent fielen direkt in den Rahmen der PSD und weitere zwei Prozent hatten zwar ein neuartiges Geschäftsmodell, konnten dieser jedoch zugeordnet werden (sog. hybrider Zahlungsdienst). 11 Prozent wurden als Investmentgesellschaft, neun Prozent als Kreditinstitut und sieben Prozent als E-Geld-Institut klassifiziert und damit entsprechend reguliert.
Fintechs erhalten aber Einblick in die Finanzen der Bankkunden. Gerade weil es sich beim Zugang zu den Konten und den darin enthaltenen Finanzdaten um sensible Informationen handelt, erscheint eine Regulierung daher sinnvoll (EU Parlament und Rat, 2015, 39).
Binnenmarkt wird gestärkt
Bislang wurden insgesamt 14 Prozent der Fintechs nur durch nationale Regeln erfasst. Dies hat aus Sicht der Europäischen Union die Entstehung eines EU-Binnenmarktes nicht gefördert (EU Parlament und Rat, 2015). Dieser soll nun durch die Vollharmonisierung der neuen Regelungen von PSD2 vorangetrieben werden. Insbesondere der Anwendungsbereich und die Ausnahmen werden jetzt unionsweit eindeutig festgelegt. Beispielsweise Kontoinformationsdienste sowie Zahlungsauslösedienste, welche also nie in den Besitz von Kundengeldern gelangen, können nach PSD2 unionsweit einheitlich erfasst und reguliert werden (ebenda, 2015). Dies soll den grenzüberschreitenden Wettbewerb stärken. In Deutschland führt PSD2 zu einer Neufassung des Zahlungsdiensteaufsichtsgesetzes (ZAG) sowie zu Änderungen im Bürgerlichen Gesetzbuch (Deutscher Bundestag, 2017, 79 ff.). Durch letztere werden insbesondere die Rechte und Pflichten von der beiden Vertragsparteien Zahlungsdienstleister und Zahlungsdienstnutzern im Verhältnis zueinander im deutschen Recht verankert.
Rechte der Verbraucher und Sicherheitsstandards werden verbessert
Die Rechte von Nutzern zu stärken ist ein Hauptanliegen der Richtlinie (Deutscher Bundestag, 2017, 78). Die Endverbraucher sollen zudem durch eine Erhöhung der Sicherheit des Zahlungsverkehrs besser vor Cyberkriminalität geschützt werden. Gerade durch die vollharmonisierte Einführung von Regeln sollen in der EU bessere und einheitliche Sicherheitsstandards gelten. So verlangt PSD2 eine sogenannte starke Kundenauthentifizierung bei einem online Zugriff auf das eigene Konto (Deutscher Bundestag, 2017, 81). Das heißt, es sind mindestens zwei Merkmale aus den folgenden Kategorien erforderlich: Wissen (z.B. PIN), Besitz (z.B. Kreditkarte) und Inhärenz (z.B. Fingerabdruck). Die Präzisierung der anzuwendenden Maßnahmen erfolgt durch technische Regulierungsstandards seitens der EBA. Jedoch sind diese frühestens Ende 2018 und damit erst fast ein Jahr nach der Richtlinie verbindlich (EBA, 2017b, 4).
Zugang zu Konten und Kontodaten wird ermöglicht
Im Zuge der technischen Regulierung seitens der EBA werden auch die Bedingungen festgelegt, unter denen Zahlungsdienste einen Zugang zu im Online-Banking geführten Konten bei einem anderen Zahlungsdienst sowie den damit verbundenen Kontodaten erhalten. Bisher konnte und wurde es zum Teil von kontoführenden Zahlungsinstituten untersagt, dass Kunden Zugangsdaten wie ein Passwort an andere Zahlungsdienste weitergeben, wodurch diese nicht genutzt werden konnten. Neu ist jetzt, dass, sobald ein Zahlungsdienst die Erlaubnis zur Geschäftstätigkeit hat, der Verbraucher ein Recht hat, diesen zu nutzen und das kontoführende Zahlungsinstitut Zugang zu Konto und Daten gewähren muss, ohne dass der Bankkunde dabei gegen die allgemeinen Geschäftsbedingungen der Bank verstößt. Durch PSD2 entsteht nun mehr Rechtssicherheit für Kunden und Drittanbieter. Jedoch dürfen nur die Informationen übermittelt werden, die unbedingt für den Dienst des Drittanbieters erforderlich sind und für die der Kunde eine Erlaubnis erteilt hat (Deutscher Bundestag, 2017, 80). Beispielsweise können Online-Händler nun Kosten sparen, indem sie Zahlungen direkt vom Konto des Kunden auslösen, anstatt den Zahlvorgang durch die Bank auslösen zu lassen (Baumgarten, 2017).
Mehr Wettbewerb durch gleichen Standard
Die kontoführenden Banken konnten bisher allein über die Daten ihrer Kunden verfügen und diese für neue Geschäftsmodelle sowie Vertragsabschlüsse nutzen. Durch PSD2 wird dieses Datenmonopol aufgebrochen. Der Kunde kann nach eigenen Präferenzen neue Zahlungsdienste nutzen und diesen seine Informationen zur Generierung individueller Produkte und Dienstleistungen zur Verfügung stellen. Dabei wurden zwei mögliche Zugangswege zu den Bankkonten diskutiert:
- Beim so genannten Screen-Scaping nutzt der Drittanbieter den Konto-Login des Kunden und greift, wie der Kunde auch, über die Homepage der Bank auf das Konto des Kunden zu. Er kann dann auf alle Kontodaten zugreifen, auch auf diejenigen Daten, die nicht für die jeweilige Dienstleistung benötigt werden.
- Die Bank stellt dem Drittanbieter den Kontozugang über eine dezidierte Schnittstelle (Application Programming Interface, API) zur Verfügung. Dabei kann der Drittanbieter nur auf eine begrenzte Menge an Daten zurückgreifen, so beispielsweise nur die für die Erbringung seiner jeweiligen Dienstleistung erforderlichen Daten.
Die EBA hat sich in ihren technischen Standards für den Zugang über die API entschieden. Solange sich die Banken über einen gemeinsamen technischen Standard für die API einigen oder die EBA einen solchen Standard festlegt, besteht ein Level-Playing-Field zwischen Banken und Fintechs im Bereich der Zahlungsdienste. Der Kontozugang über das Screen Scaping hätte den weniger regulierten Fintechs einen Wettbewerbsvorteil gegenüber den Banken verschafft. Um einen fairen Wettbewerb zu gewährleisten, müssen aber noch weitere Bedingungen erfüllt sein. Zum einen dürfen Banken den Drittanbietern nicht ihr Geschäft auf technischem Weg erschweren, beispielsweise durch einen verlangsamten Datenzugang. Zum anderen darf es Fintechs aber auch nicht erlaubt sein, auf technischem Weg mehr Informationen von Bankkonto abzufragen, als zur Erstellung ihrer Dienstleistung benötigt wird.
Baumgarten, Tobias, 2017, PS häh? Was die PSD 2 für den Nutzer bring[ a ]t [abgerufen am 13.12.2017]
Deutscher Bundestag, 2017, Entwurf eines Gesetzes zur Umsetzung der Zweiten Zahlungsdiensterichtlinie, Drucksache 18/11495, Berlin
Demary, Markus / Rusche, Christian, 2018, Strengthend Competition in Payment Services[ b ], IW-Kurzbericht vom 8. Januar 2018
EBA – European Banking Authority, 2017a, Discussion Paper on the EBA’s approach to financial technology (FinTech), EBA/DP/2017/02, London
EBA, 2017b, Final Report on Draft RTS on SCA and CSC, London
EU Parlament und Rat - Europäisches Parlament und Rat, 2015, Richtlinie (EU) 2015/2366 vom 25. November 2015, Brüssel
Monopolkommission, 2016, Hauptgutachten XXI: Wettbewerb 2016, Hauptgutachten gemäß § 44 Abs. 1 Satz 1 GWB, 20. September 2016, Bonn
©KOF ETH Zürich, 15. Jan. 2018