Öffnung des Zahlungsverkehrs für Drittdienste – ein Pyrrhussieg?

27. Februar 2017 in Kategorie Markt

 von
Ilka Brian
Rechtsanwältin und Syndikus in der Rechtsabteilung der Commerzbank AG, Frankfurt/M.


Mit der PSD 2 wird erstmals der Zahlungsverkehr für Drittdienste geöffnet. Die Richtlinie enthält neue Vorschriften für sog. Drittkartenemittenten, Zahlungsauslösedienste und Kontoinformationsdienste, die alle drei auf Wunsch des Kontoinhabers in unterschiedlicher Tiefe Zugriff auf die Kunde-Bank-Schnittstelle im Online-Banking erhalten. Zwar müssen die durch die PSD 2 nun erstmals legitimierten Drittdienste besondere Anforderungen einhalten. Es wurde aber erreicht, dass Banken künftig nicht mehr aus Sicherheitserwägungen heraus den Zugriff des mit ihnen regelmäßig vertraglich nicht verbundenen Drittdienstes auf bei ihnen geführte Zahlungskonten verhindern dürfen.

Technische Standards zur Sicherheit im Online-Banking

Der daraus resultierende Eingriff in die Sicherheit des Online Banking soll nach den Vorgaben der PSD 2 durch technische Standards (RTS) für die Authentifizierung und die Absicherung der Kommunikation mit Drittdiensten durch die European Banking Authority (EBA) relativiert werden. Die EBA hat am 12.08.2016 ein entsprechendes Konsultationspapier sowie Entwürfe der RTS vorgelegt.

Gemäß dem EBA-Entwurf ist den Drittdiensten kein direkter Zugang zu den Zahlungskonten bei der kontoführenden Bank über das Online-Banking oder sonstige Kundenkanäle zu gewähren, sondern lediglich über eine eigens für Drittdienste geschaffene Schnittstelle. Kontoführende Banken werden verpflichtet, mindestens eine dezidierte Schnittstelle („dedicated interface“) für Drittdienste für bestimmte Datenzugriffe anzubieten. Mit diesem Ansatz hat die EBA den erhöhten Anforderungen der PSD 2 an die Sicherheit im Zahlungsverkehr und auch dem Datenschutz Rechnung getragen. Sowohl Banken als auch Drittdienste werden zur Einhaltung neuer Vorgaben für den Zugang zu Kontoinformationen, die sichere Kommunikation und die Legitimation/Authentifizierung bei Zugriffen und bei Auftragserteilungen verpflichtet.

Zu den Entwürfen der RTS sind bislang mehr als 250 Stellungnahmen eingegangen. Einige Marktteilnehmer, insbesondere der Ausschuss für Wirtschaft und Währung des Europäischen Parlaments (ECON), haben zahlreiche Kritikpunkte geäußert. Vielfach wird die Forderung erhoben, gerade den Zahlungsauslösediensten weiter den unmittelbaren Kontozugriff („direct access“) über die bestehende Kunde-Bank- Schnittstelle im Online-Banking unter Nutzung der Kundenauthentifizierungsmittel und damit das sog. „Screen Scraping“ zu ermöglichen. Eine verpflichtende Schnittstelle für den Zugriff der Drittdienste auf Kundenkonten widerspreche den Bestimmungen in Art. 98 Abs. 2 PSD 2.

Zulässigkeit von Screen Scraping nach der PSD 2

Der Begriff Screen Scraping umfasst generell alle Verfahren zum strukturierten Auslesen von Texten aus Computerbildschirmen. Gegenwärtig wird der Ausdruck hauptsächlich in Bezug auf Webseiten verwendet. In diesem Fall bezeichnet Screen Scraping speziell die Technologien, die der Gewinnung von Informationen durch gezieltes Extrahieren der benötigten Daten dienen.

Tatsächlich sprechen die besseren Argumente für die Beibehaltung des von der EBA verfolgten Ansatzes einer verpflichtenden Schnittstelle und damit gegen die Zulässigkeit des Screen Scraping unter der PSD 2: Art. 66 Abs. 3 (d) und Art. 67 Abs. 2 (c) PSD 2 statuieren die Verpflichtung der Drittdienste, sich bei Zugriffen auf Kontodaten eindeutig gegenüber dem kontoführenden Institut zu identifizieren. Dies ist bei Nutzung der bestehenden Kunde-Bank- Schnittstelle und der Kundenauthentifizierungsmittel durch den Drittdienst nicht möglich.

Die kontoführende Bank kann beim Screen Scraping auch nicht feststellen, wer den Datenzugriff tatsächlich vornimmt. Die Identifizierungspflicht der Drittdienste würde leerlaufen. Die kontoführende Bank verstieße gegen ihre korrespondierenden Pflichten aus der PSD 2. Der Zugriff von unlizenzierten Drittdiensten, der über die PSD 2 zum Schutze des Verbrauchers verhindert werden soll, wäre nach wie vor möglich.

Die ebenfalls durch die PSD 2 geforderte Beschränkung der einsehbaren Kundendaten auf die für den jeweiligen Geschäftszweck des Drittdienstes notwendigen Daten könnte nicht gewährleistet werden. Vor allem gegenüber dem Zahlungsauslösedienst ist die kontoführende Bank gem. Art. 66 Abs. 4 (b) PSD 2 lediglich gehalten, Informationen zur Ausführung bzw. Ausführbarkeit des Zahlungsauftrags zu geben. Dies beinhaltet gerade keinen Anspruch auf weitere Zahlerdaten bzw. einen Anspruch auf Einblick in das Kundenkonto insgesamt, der dem Screen Scraping immanent ist.

Wie der bestehend Streit mit Blick auf die klaren Regelungen der PSD 2 aufgelöst wird, ist aktuell offen. Hält die EBA an ihrer (richtigen) Vorgabe einer verpflichtenden Schnittstelle für den Zugriff von Drittdiensten auf Kundenkonten fest, dürften insbesondere die Zahlungsauslösedienste trotz der mit der PSD 2 beabsichtigten Marktöffnung nichts gewonnen haben.

Bislang hat die EBA lediglich eine kritische Überprüfung der RTS-Entwürfe in Aussicht gestellt. Allerdings wurde die Veröffentlichung der RTS verschoben und ist nicht vor Februar 2017 zu erwarten.

PRAXISTIPPS

  • Marktteilnehmer, vor allem Banken und Drittdienste, sollten den weiteren Verlauf der Diskussion auf Europäischer Ebene sowie den Konsultationsprozess intensiv beobachten.
  • Änderungen in der finalen Fassung der RTS gerade auch im Hinblick auf die Vorgabe einer verpflichtenden Schnittstelle können aktuell nicht ausgeschlossen werden. Darauf müssen Marktteilnehmer reagieren können.

SEMINARTIPP

______________________________________________________________________________________

Dieser Beitrag ist erschienen im Newsletter Banken-Times SPEZIAL Markt,
Ausgabe Februar 2017
.
(Kostenlose) Bestellung möglich unter http://www.fc-heidelberg.de/bankentimes
_______________________________________________________________________________________

 

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

Comment

Folgende HTML Tags und Attribute können verwendet werden: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <strike> <strong>