Die zweite Payment Service Directive (PSD2) ermöglicht Zahlungsdiensten den Zugang zu Bankkonten von Kunden aller europäischen Banken. Eine riesige Chance für FinTechs, die damit aber auch erstmals von Regulierung betroffen sind und technische Sicherheitsvorkehrungen treffen müssen. Ein kurzer Überblick.
1. Akt: Regulierungspflicht klären
Der PSD2-Regulierung unterliegen nur FinTechs, die über die neuen Banking APIs auf Konten bei anderen Banken (genauer auf Online-Zahlungskonten) zugreifen möchten. Und nur diese Unternehmen benötigen eine Lizenz der nationalen Finanzaufsichtsbehörde, in Deutschland der BaFin.
Betroffen sind Zahlungsauslösedienstleister (ZAD), die auf Bankkonten zugreifen, um Überweisungen vorzunehmen. Zudem betrifft die Richtlinie Kontoinformationsdienstleister (KID), die nur Auskünfte über Kontodaten benötigen. Beide müssen sich bei der BaFin registrieren.
2. Akt: BaFin-Lizenz beantragen. Achtung: Aufwand!
Die BaFin stellt unterschiedliche Anforderungen an ZAD und KID. Einige Auflagen müssen von beiden Anbietern erfüllt werden. Dazu zählen:
- die verbindliche Rechtsform „juristische Person“ oder „Personenhandelsgesellschaft“;
- eine Berufshaftpflicht oder eine vergleichbare Garantie;
- eine Sicherheitsstrategie zum Schutz der Nutzer;
- Beschreibungen, wie man Sicherheitsvorfälle und Kundenbeschwerden über die Sicherheit behebt und verhindert und wie man das Geschäft im Krisenfall fortführt.
Eigenkapital müssen beide dagegen nicht laufend bereitstellen. Zahlungsauslösedienstleister erwartet auf dem Weg zur BaFin-Erlaubnis zusätzlicher Aufwand – so etwa der Nachweis über ein Anfangskapital von mindestens 50.000 Euro, statistische Daten über Leistungsfähigkeit, Geschäftsvorgänge sowie Betrugsfälle und eine Inhaberkontrolle. Einen umfassenderen Überblick über den Registrierungsprozess gibt es in einem Factsheet unter bdr.de/psd2.
Wichtig: ZAD und KID sollten für die BaFin-Lizenzierung genügend Zeit einplanen. Drei bis vier Monate kann es durchaus dauern. Die Gebühren liegen zwischen 6.000 und 12.000 Euro.
3. Akt: Den passenden Vertrauensdiensteanbieter wählen
Die BaFin-Lizenz ist da? Spätestens jetzt benötigen Zahlungsdienste qualifizierte Zertifikate (QWACs), um auf die API des Kreditinstituts zugreifen zu können. Mit QWACs weisen sie sich gegenüber der Bank als Lizenzinhaber aus und sichern die Datenübermittlung.
Erhältlich sind die Zertifikate bei qualifizierten Vertrauensdiensteanbietern, die auf einer Vertrauensliste der EU stehen und zusätzlich die PSD2-Erweiterungen haben. Ein deutscher Anbieter ist die D-TRUST GmbH, eine Tochter der Bundesdruckerei – das erste europäische Unternehmen, das überhaupt zur Ausgabe von QWACs berechtigt war.
4. Akt: Jetzt schon testen – auch ohne BaFin-Lizenz
Die PSD2 schreibt für Banken ab Mitte März eine Testphase vor, in der Drittanbieter die geöffneten Schnittstellen prüfen können. Für die ZAD und KID ist die Teilnahme an dieser Testphase empfehlenswert, um das eigene System und die Schnittstelle der Banken zu überprüfen. Hier können sich Zahlungsdienste dann auch einen Eindruck vom jeweiligen Schnittstellen-Standard verschaffen, den die PSD2 nicht vorschreibt und der deshalb variieren kann. Europaweit am anerkanntesten ist der Berlin-Group-Standard. Für die Testphase ist keine BaFin-Lizenz erforderlich. Kostenlose Testzertifikate kann man jetzt schon bei der Bundesdruckerei erhalten: bdr.de/psd2
5. Akt: QWACs und QSiegel sichern – und den API-Standard im Blick behalten
Spätestens ab Mitte Juni müssen die Banken ihr Produktivsystem öffnen, Drittanbieter können dann testweise auf echte Kundenkonten zugreifen.
Wichtig zu wissen: Für die Testphase mit echten Kundenkonten muss die BaFin-Lizenz vorliegen! Die benötigten Echtzertifikate gibt es bei den ausgewählten Vertrauensdiensteanbietern. Die D-TRUST zum Beispiel stellt ab Mai Echtzertifikate mit PSD2-Erweiterungen zur Verfügung. Übrigens: Die European Banking Authority (EBA) empfiehlt Banken, neben den QWACs auch qualifizierte Siegel vom Drittanbieter zu verlangen. Diese QSiegel signieren einen Dateninhalt und machen beispielsweise eine Transaktion über Jahre nachvollziehbar. Auch sie sind bei Vertrauensdiensteanbietern wie der D-TRUST erhältlich.