Expertenplattform für den  Europäischen Zahlungsverkehr

PSD2: Aktueller Status der RTS und Leitlinien

Adressaten dieser Anforderungsspezifikation sind die europäischen Zahlungsdienstleister und die nationalen Aufsichtsbehörden. Um zu gewährleisten, dass die Anforderungen adäquat zu den technischen und wirtschaftlichen Interessen aller Marktteilnehmer passen, sind im Rahmen von Konsultationen alle Marktteilnehmer (Großbanken, FinTechs, Verbände, etc.) aufgerufen, entsprechende Kommentierungen abzugeben.

Die RTS und ITS werden durch die Kommission als delegierter Rechtsakt erlassen und im Amtsblatt der europäischen Union veröffentlicht. Somit entfalten diese eine unmittelbare Wirkung gegenüber den Adressaten.

Die Leitlinien hingegen sind von den nationalen Aufsichtsbehörden bzw. durch die EZB im „Comply-or-Explain-Prinzip" [1] in den nationalen Aufsichtsstandard zu transferieren.

Der Großteil der Zahlungsdienstleister befindet sich mitten in der Umsetzung der Bestandteile der PSD2, die bis zum 12. Januar 2018 umzusetzen sind. Problematisch in der Umsetzungsplanung ist der Verzug in der Veröffentlichung der RTS zur starken Kundenauthentifizierung und der sicheren Kommunikation, sowie der Leitlinie zu Sicherheitsmaßnahmen. Ohne, dass die finalen Anforderungen und die von der PSD2 losgelösten Umsetzungsfristen bekannt sind, kann eine Umsetzung nicht sinnvoll begonnen werden.

Verschärft wird diese Problematik davon, dass die Budgetplanung in den meisten Häusern für das kommende Geschäftsjahr 2018 bereits abgeschlossen ist. Insb. die Diskussionen um die Kontoschnittstelle haben einen großen Einfluss auf das Budget im nächsten Jahr.

Im Folgenden wird der aktuelle Status zu den einzelnen Leitlinien und RTS näher erläutert.

RTS/ITS: Zentrales Zahlungsinstitutsregister

Gemäß Art. 15 Abs. 4 PSD2 ist die EBA mandatiert, einen RTS für die technischen Anforderungen für die Entwicklung, den Betrieb und die Führung des elektronischen zentralen Registers und für den Zugang zu den darin enthaltenen Angaben bis zum 13.01.2018 an die Kommission übermitteln.

Zusätzlich zu diesem RTS wurde die EBA mandatiert, einen ITS (Art. 15 Abs. 5 PSD2) bis zum 13.07.2017 zu veröffentlichen, in dem die Einzelheiten und die Struktur der zu übermittelnden Angaben, einschließlich des gemeinsamen Formats und Musters enthalten sind.

Bis heute hat die EBA zu beiden Mandaten noch keine Stellung genommen oder ein Konsultationsverfahren gestartet.

RTS: Antrag auf Ausübung der Niederlassungsfreiheit und des Rechts auf freien Dienstleistungsverkehr

Art. 28 Abs. 5 PSD2 mandatiert die EBA einen RTS über den Antrag auf Ausübung der Niederlassungsfreiheit und des Rechts auf freien Dienstleistungsverkehrs zu erstellen und an die Kommission zu übergeben.

Das Konsultationspapier (EBA/CP/2015/25) wurde am 11.12.2015 veröffentlicht. Der finale Entwurf (EBA/RTS/2016/08) wurde am 14.12.2016 an die Kommission übergeben.

Der RTS tritt im vierten Quartal 2018 in Kraft und betrifft in erster Linie die nationalen Aufsichtsbehörden. Diese haben i.S.d. RTS Maßnahmen zu treffen, um zu gewährleisten, dass ein reibungsloser Informationsaustausch zwischen den Aufsichtsbehörden stattfindet.

RTS: Kriterien für eine zentrale Kontaktstelle

Der RTS legt die Kriterien fest, wann Zahlungsdienstleister eine zentrale Kontaktstelle für die jeweiligen nationalen Aufsichtsbehörden zur Verfügung stellen müssen. Dies bezieht sich auf Fälle, in denen sie ihre Dienstleistungen in mehreren europäischen Staaten auf Basis des Passporting-Rechts anbieten.

Der Entwurf für den RTS gemäß Art. 29 Abs. 5 PSD2 wurde von der EBA am 29.06.2017 in die Konsultation (EBA/CP/2017/09) gegeben.

Die Übergabe des finalen Entwurfs an die Kommission soll am 13.01.2018 erfolgen.

Parallel entwickeln die drei Europäischen Aufsichtsbehörden (EBA, EIOPA und ESMA) in einem Joint Committee einen ähnlichen RTS (JC/2017/08) aus Sicht der Geldwäsche- und Terrorismusfinanzierungsprävention, wann eine zentrale Kontaktstelle eingerichtet werden muss. Eine Verzahnung dieser Aktivitäten ist Stand heute nicht vorgesehen.

RTS: Starke Authentifizierung und sichere Kommunikation

Der RTS zur starken Authentifizierung und sicheren Kommunikation ist das bekannteste Mandat (Art. 98 Abs. 1 PSD2) der EBA. Dieser spezifiziert die Anforderungen an die starke Kundenauthentifizierung und die sichere Kommunikation beim Kontozugang dritter Zahlungsdienstleister.

Das Konsultationsverfahren (EBA/CP/2016/11) zu diesem RTS wurde am 12.08.2016 gestartet und hat zu einem Rekord bei der Anzahl der Rückmeldungen geführt. Auf Grund der großen Bedeutung des RTS für die Marktteilnehmer fand zusätzlich am 23.09.2016 eine öffentliche Anhörung statt.

Mit einer kleinen Verspätung veröffentlichte die EBA den finalen Entwurf (EBA/RTS/2017/02) am 23.02.2017. Auch hier stellt dieser RTS ein Novum dar, da der finale Entwurf durch die Kommission nicht akzeptiert wurde (Ref. Ares (2017) 2639906), sondern mit Anmerkungen an die EBA zur Überarbeitung übergeben wurde. Die EBA ihrerseits hat (EBA/Op/2017/09) die Änderungswünsche der Kommission in Teilen zurück gewiesen.

Auf Grund dieses Spannungsverhältnisses ist mit einer Veröffentlichung des delegierten Rechtsaktes im Amtsblatt nicht vor dem vierten Quartal 2017 zu rechnen.

GL: Berufshaftpflichtversicherung

Im Rahmen der Zulassung als Zahlungsinstitut und der Registrierung als Kontoinformationsdienstleister ist es erforderlich, dass eine den Geschäftsbetrieb abdeckende Berufshaftpflicht vom Dienstleister abgeschlossen wird.

Hierzu wurde die EBA mandatiert (Art. 5 Abs. 4 PSD2), eine Leitlinie zum Inhalt dieser Berufshaftpflichtversicherung zu veröffentlichen.

Nach Durchführung der Konsultation (EBA/CP/2016/12) wurde am 07.07.2017 die finale Leitlinie (EBA/GL/2017/08) veröffentlicht.

GL: Informationen für die Zulassung

Am 11.07.2017 hat die EBA die Leitlinien (EBA/GL/2017/09) für die Informationen im Rahmen der Zulassung von Zahlungs- und E-Geld-Instituten, sowie zur Registrierung von Kontoinformationsdienstleistern veröffentlich.

Die Leitlinie richtet sich an bestehende und neue Dienstleister gleichermaßen. Denn zum Ende der Übergangsfrist im Juli 2018 müssen auch die bestehenden Dienstleister nachweisen, dass sie die geänderten Anforderungen erfüllen.

GL: Sicherheitsmaßnahmen

Neben dem RTS zur starken Kundenauthentifizierung und der sicheren Kommunikation ist die Leitlinie zu den Anforderungen an die Sicherheitsmaßnahmen, die für Zahlungsdienstleister wichtigste, da diese - wie auch schon die MaSI -  einen großen dokumentarischen Aufwand nach sich zieht.

Der geplante Termin zur Veröffentlichung der finalen Leitlinie am 13.07.2017 ist bereits verstrichen (Art. 95 Abs. 3 PSD2), so dass die EBA sich hiermit im Verzug befindet.

Das dazugehörige Konsultationsverfahren (EBA/CP/2017/04) läuft noch bis zum 07.08.2017 läuft und man kann davon ausgehen, dass eine Veröffentlichung frühestens Ende September 2017 erfolgen wird.

Im Rahmen der Umsetzungsprojekte stellt dies eines der großen Projektrisiken dar, da der Umsetzungszeitpunkt weiterhin offen ist. Den Termin für die Umsetzung legen letztendlich die nationalen Aufsichtsbehörden im Rahmen des Comply-or-Explain fest.

GL: Meldung von Vorfällen

In Ergänzung zu den Leitlinien zu Sicherheitsmaßnahmen wurde die EBA durch Art. 96 Abs. 3 PSD2 mandatiert, Leitlinien für die Klassifizierung schwerwiegender Sicherheitsvorfälle sowie zu deren Meldung zu entwickeln.

Nach Durchführung der Konsultation (EBA/CP/2016/23) wurde am 27.07.2017 die finale Leitlinie (EBA/GL/2017/10) veröffentlicht.

GL: Beschwerdeverfahren

Die Leitlinie zur Abwicklung von Beschwerdeverfahren ist an die zuständigen nationalen Behörden adressiert und die Veröffentlichung ist für den 13.01.2018 terminiert.

Das Konsultationsverfahren (EBA/CP/2017/01) ist bereits seit dem 16.05.2017 abgeschlossen. Es ist davon auszugehen, dass der geplante Veröffentlichungstermin gehalten werden kann.

 


[1] Comply-or-Explain-Prinzip – Die nationale Aufsichtsbehörde hat die Wahl, ob die Leitlinie zur Anwendung kommt (Comply) oder keine Anwendung findet (Explain). Im Falle der Anwendung, zeigt die nationale Aufsichtsbehörde die Anwendung an. Im Falle der Nicht-Anwendung erläutert die nationale Aufsichtsbehörde die Gründe für die Nicht-Anwendung.

Artikel als PDF

Autoren

Kommentare

Schreiben Sie den ersten Kommentar.