PSD II: Der Kontoinformationsdienst

Ausgelöst durch technische Neuerungen und damit einhergegangene Fortentwicklungen von Geschäftsmodellen im Bereich des Zahlungsverkehrsmarktes soll das durch die neue zweite Zahlungsdienstrichtlinie (Richtlinie (EU) 2015/2366 – PSD II) eingeführte Regime eine Regulierung der daraus entstandenen Risiken bewirken.

Durch die beständig wachsende Regulierung des Finanzsektors können für Unternehmen Unsicherheiten entstehen, in welchem Maße sie einer solchen Regulierung unterliegen. Dies hat für Start-Ups bzw. FinTechs, die neue und innovative Geschäftsmodelle – beispielsweise Kontoinformationsdienste – entwickeln ebenso Bedeutung wie für Inkubatoren oder Venture Capital Fonds bei Investitionen in solche Unternehmen. Eine aufsichtsrechtliche Due Diligence sollte in solchen Fällen ebenso sorgfältig durchgeführt werden, wie die Ausgestaltung gesellschaftsrechtlicher Vereinbarungen.

Denn obgleich die regulatorischen Folgen im Bereich der Zahlungsdienste nicht so komplex sind wie beispielsweise das Eigenmittelregime eines Kreditinstitutes, kann auch eine fehlende Registrierung Sanktionen nach sich ziehen. In einer immer komplexeren Rechtsarchitektur ist damit eine umfassende rechtliche Bewertung in verschiedensten Rechtsgebieten – auch dem öffentlichen Aufsichtsrecht – unabdingbar.

Der Markt für Massenzahlungsverkehr hat seit Inkrafttreten der ersten Zahlungsdienstrichtlinie (Richtlinie 2007/64/EG – PSD I) bedeutende technische Veränderungen erfahren. Die neuen Zahlungsdienste, gestützt auf elektronische und mobile Zahlungen, stellen den bisherigen regulatorischen Rahmen vor Herausforderungen und Rechtsunsicherheiten – insbesondere für FinTechs, aber auch für alte Hasen wie etablierte Banken.

Da die PSD I für viele innovative Zahlungsmittel und -dienste nicht (mehr) als ausreichend angesehen wurde, soll die PSD II fortschrittsbedingten Rechtsunsicherheiten, (potentiellen) Sicherheitsrisiken in der Zahlungskette und mangelndem Verbraucherschutz entgegenwirken. Über die Neuerungen der PSD II berichteten wir bereits (https://www.twobirds.com/de/news/articles/2015/germany/december/neuerungen-durch-die-ueberarbeitet-zahlungsdiensterichtlinie). Die PSD II soll gerade neuen, innovativen Zahlungsdiensten einen Zugang zum gesamten europäischen Markt ermöglichen und gleichzeitig den Verbraucherschutz bei Nutzung von Zahlungsdienstleistungen in der EU auf einheitlich hohem Standard gewährleistet.

Die Umsetzung der PSD II in den einzelnen Mitgliedsstaaten wird erstmalig Kontoinformationsdienste als Zahlungsdienst erfassen. Diese soll dieser Beitrag näher beleuchten und gesellschaftsrechtliche Implikationen der öffentlich-rechtlichen Aufsichtsregime über Zahlungsdienste deutlich machen, um FinTechs und Investoren Chancen und Risiken aufzuzeigen.

2. Der Begriff des Kontoinformationsdienstes

Ein Kontoinformationsdienst ist ein Online-Dienst zur Mitteilung konsolidierter Informationen über ein Konto bei einem oder mehreren Zahlungsdienstleistern, die über Online-Schnittstellen des kontoführenden Zahlungsdienstleisters zugänglich sind. Durch den Kontoinformationsdienst soll der Zahlungsdienstnutzer einen Gesamtüberblick über seine finanzielle Situation zu einem bestimmten Zeitpunkt in Echtzeit erhalten.

In seinem Angebot muss der Kontoinformationsdienstleister sich nicht auf eine direkte Übernahme und Widergabe der Umsatzdaten der Online Banking-Konten beschränken; vielmehr kann es sich um für die Darstellung bearbeitete Umsatzdaten handeln. In der Definition des Kontoinformationsdienstes liegt auch sein kommerzielles Potenzial: Die mögliche bearbeitete bzw. ausgewertete Darstellung verschiedener Konten ermöglicht es, ein auf die Bedürfnisse des Kunden zugeschnittenes Produkt zu entwerfen, das sich durch die Analyse, Auswertung und Darstellung kennzeichnet und dem Nutzer einen Mehrwert bietet.

3. Regulatorische Erfassung von Kontoinformationsdiensten

Durch die Einbeziehung von Kontoinformationsdiensten in den Regelungsumfang der PSD II werden Verantwortlichkeit, Pflichten und Haftung der Unternehmen, die diese Dienste anbieten und bisher von der Regulierung nicht erfasst sind, geregelt. Es sollen insbesondere der Verbraucher- und Datenschutz gestärkt werden: Nutzer sollen einen adäquaten Schutz ihrer Zahlungs- und Kontendaten erhalten.

4. Die Ausgestaltung des neuen regulatorischen Regimes

Nach Art. 33 PSD II bedürfen Zahlungsdienstleister, die als regulierte Tätigkeit ausschließlich Kontoinformationsdienste anbieten, keiner Zulassung als Zahlungsinstitut. Kontoinformationsdienste bedürfen ab der Umsetzung der PSD II in nationales Recht (ab dem 13. Januar 2018) einer Registrierung; eine Erlaubnis ist nicht erforderlich. Die Registrierung soll die rechtlichen und regulatorischen Mindestanforderungen gewährleisten, denen die Kontoinformationsdienstleister unterliegen.

Weiter ist angesichts der Besonderheiten der ausgeübten Tätigkeit und der mit der Bereitstellung von Kontoinformationsdiensten verbundenen Risiken eine besondere Aufsichtsregelung für Kontoinformationsdienstleister vorgesehen. Kontoinformationsdienstleister sollen schließlich auch den „Europäischen Pass“ für grenzüberschreitende Tätigkeiten nutzen können. Ob ein Nebentätigkeitsverbot für Kontoinformationsdienste bestehen wird, ist noch nicht abschließend geklärt; die PSD II  macht dazu keine ausdrücklichen Vorgaben.

5. Voraussetzungen der Registrierung

Während Zahlungsinstitute zum Zeitpunkt der Zulassung zur Deckung von Risiken ihrer Geschäftstätigkeit über ein Anfangskapital verfügen müssen und laufenden Kapitalvorschriften unterliegen, sind Kontoinformationsdienstleister von dieser Anforderung ausgenommen. Kontoinformationsdienstleister müssen für ihre Registrierung eine Berufshaftpflichtversicherung oder eine andere gleichwertige Garantie nachweisen, die ihre Haftung gegenüber dem kontoführenden Zahlungsdienstleister und dem Zahlungsdienstnutzer für Risiken bei nicht autorisierten oder betrügerischen Tätigkeiten abdeckt. Diese Absicherung muss alle Länder umfassen, in denen der Kontoinformationsdienstleister tätig werden will. Leitlinien für die Kriterien einer solchen Haftpflichtversicherung oder einer anderen gleichwertigen Garantie werden von der EBA entwickelt. Die EBA führte bereits eine entsprechende Konsultation durch, deren Ergebnisse noch ausstehen.

6. Breite Zugangsmöglichkeiten zu Kontoinformationsdiensten

Jeder Zahlungsdienstnutzer soll Kontoinformationsdienste nutzen können. Hierfür soll nach der PSD II sichergestellt werden, dass Kontoinformationsdienstleiste Zugang zu den Zahlungssystemen erhalten können. Der Zugang soll nicht stärker eingeschränkt werden, als dies für die Absicherung bestimmter Risiken nötig ist. Die Kommunikation zwischen dem kontoführenden Zahlungsdienstleister und dem Kontoinformationsdienstleister muss auf daher sichere Weise erfolgen. Die von der EBA auszuarbeitenden technischen Regulierungsstandards werden hierfür präzise Anforderungen regeln. Bis zu deren Inkrafttreten dürfen kontoführende Zahlungsdienstleister deren Nichteinhaltung (durch sich selbst oder den Kontoinformationsdienstleister) nicht dazu missbrauchen, Kontoinformationsdienste zu behindern.

Hintergrund für die Beschränkung der Definition des Kontoinformationsdienstes auf Online-Dienste ist, dass auch nur online zugängliche Konten für Kontoinformationsdienstleister nutzbar sind (vgl. Art. 67 Abs. 1 PSD II). Damit kein unkontrollierter Zugang zu Onlinekonten erfolgt, sollen die von der EBA zu setzenden Standards sicherstellen, dass dem kontoführenden Zahlungsdienstleister bewusst ist, dass er von einem Kontoinformationsdienstleister und nicht vom Kunden selbst kontaktiert wird. Derzeit ist noch offen, in welcher Weise ein Kontoinformationsdienst Zugang zu den Umsatzdaten erlangen wird. Allerdings muss der Kontoinformationsdienstleister jedenfalls sicherstellen, dass die personalisierten Sicherheitsmerkmale des Nutzers keiner anderen Partei als dem Nutzer und dem Emittenten der personalisierten Sicherheitsmerkmale zugänglich sind und dass die Übermittlung über sichere und effiziente Kanäle erfolgt. Trotz der von der PSD II formulierten Geschäftsmodellneutralität besteht ein Verbot des Anforderns von sensiblen Zahlungsdaten (einschließlich personalisierter Sicherheitsmerkmale) für Kontoinformationsdienstleister.

7. Umfassende Regulierung der Datennutzung angestrebt

Die PSD II spricht davon, dass „neuen Dienstleistern unabhängig von ihrem Geschäftsmodell die Möglichkeit“ gegeben werden soll, „ihre Dienste in einem klaren und harmonisierten Rechtsrahmen anzubieten“ (Erwägungsgrund 33 PSD II). Diese Geschäftsmodellneutralität deutet daraufhin, dass der Richtliniengeber – wie oben erwähnt – Kontoinformationsdienste nicht darauf beschränken wollte, verschiedene Umsatzdaten unbearbeitet darzustellen. Damit Zahlungsdienstnutzern ein Mehrwert geboten werden kann, ist eine Analyse der Umsatzdaten erforderlich. Die PSD II verbietet wohl nicht grundsätzlich die Auswertung von Umsatzdaten zusätzlich zu der sicher erlaubten Anzeige der Daten.

Die technischen Regulierungsstandards der EBA sollen auch Regelungen für die Datennutzung enthalten. Ein Kontoinformationsdienstleister darf „im Einklang mit den Datenschutzvorschriften Daten nicht für andere Zwecke als für den vom Zahlungsdienstnutzer ausdrücklich geforderten Kontoinformationsdienst verwenden, darauf zugreifen oder speichern“. Die Datennutzung ist somit zweckgebunden durch den Willen des Nutzers. Der Umfang des Erlaubten kann aber nur im Einzelfall bestimmt werden.

8. Übergangszeitraum

Kontoinformationsdienstleister, die ihre Tätigkeit bereits vor dem 12. Januar 2016 ausgeübt haben, dürfen diese Tätigkeit innerhalb der Umsetzungsfrist weiterhin ausüben. Jedoch enthält dieser Bestandsschutz zwei Einschränkungen. Zum einen gilt der Bestandsschutz nur bis zur Umsetzung der PSD II in nationales Recht zum 13. Januar 2018. Danach ist eine Untersagung der Tätigkeit im Rahmen der umgesetzten Regelungen der PSD II möglich. Zum anderen müssen die Sicherheitsmaßnahmen nach Art. 65, 66, 67 und 97 PSD II innerhalb von 18 Monaten nach Inkrafttreten der technischen Regulierungsstandards von den Mitgliedstaaten angewendet werden. Diese sollen von der EBA bis zum 13. Januar 2017 als Entwurf an die Europäische Kommission übermittelt werden. Danach wird die Europäische Kommission diese erlassen. Mit einer Umsetzung der technischen Regulierungsstandards und mit einer Anwendung der Sicherheitsmaßnahmen der Art. 65, 66, 67 und 97 PSD II ist daher erst Mitte 2018 zu rechnen.

Folglich können Kontoinformationsdienstleister, die ihre Tätigkeit bereits vor dem 12. Januar 2016 aufgenommen haben, diese bis zur Umsetzung der PSD II zum 13. Januar 2018 ausüben.