Alle zwei Monate schreibt Maurice Jongmans, CEO der Online Payment Platform und Präsident der Vereinigten Zahlungsinstitute Niederlande (VBIN), einen Artikel für Emerce. Als Zahlungspionier verfasste er einen Artikel über ein Jahr PSD2 in den Niederlanden. Ist dies die Ruhe vor dem Sturm?  

Während meines Vortrags am Platform Day 2019 habe ich die Auswirkungen der überarbeiteten europäischen Zahlungsdiensterichtlinie 2 (PSD2), die in das niederländische Recht umgesetzt wurde, besprochen. Die Erwartungen in Europa und den Niederlanden sind hoch. In der Finanzwelt (Banken und Fintechs) kamen Spekulationen über die neue Realität auf. Haben Banken noch das 'Recht zu existieren'? Hat der Verbraucher noch die Kontrolle über sensible persönliche Daten? Was werden die Big Five tun (die größten BigTech-Unternehmen Apple, Google, Facebook, Amazon und Microsoft)? Die Grundlagen in der Finanzwelt erschüttern, und große Veränderungen wurden erwartet.

Ein Jahr ist bereits vergangen und bis jetzt zeigt sich an der Wasseroberfläche nur eine kleine Welle. Gibt es keine großen Veränderungen? Oder ist dies nur die Ruhe vor dem Sturm?

PSD2

Die PSD2-Gesetzgebung brachte mehrere grundlegende Änderungen mit sich.

1. Die Vorschriften für Zahlungsinstitute wurden mit zusätzlichen Regeln und Bewusstsein für IT-Sicherheitsanforderungen, IT-Risikomanagement und Berichtspflichten im Falle von Vorfällen verschärft.

Für bestehende Zahlungsinstitute bedeutete dies Anpassungen in ihrer Organisation und ihren Verfahren, die der niederländischen Zentralbank (DNB) mitgeteilt und vor Februar 2019 abgeschlossen werden mussten. Diese Termine gewährleisten, dass die bestehende Zahlungsinstitutlizenz zum Startdatum von PSD2 in eine neue PSD2-Lizenz umgewandelt wird. Dieser Prozess wurde erfolgreich abgeschlossen und soweit bekannt, haben alle Zahlungsinstitute eine neue PSD2-Lizenz erhalten. 

Eine große Auswirkung für Zahlungsinstitute, aber der Verbraucher oder Unternehmer wird kaum etwas bemerken.

2. Der Geltungsbereich der Richtlinie umfasst nun auch Handelsplattformen.

Wo Handelsplattformen oder Marktplätze zuvor nicht in den Geltungsbereich der Richtlinie fielen, hat PSD2 den Geltungsbereich der Gesetzgebung angepasst. Dies umfasst Handelsplattformen, die Drittfonds verarbeiten, um PSD2 zu erfüllen, sowie das Outsourcing von Zahlungen an einen Plattform-Zahlungsdienstleister (PSP). Inzwischen haben wir bereits Bewegungen in der Branche festgestellt, wie Plattformen, die zu PSD2-Lizenzen wechseln (wie Uber und Thuisbezorgd) und andere Plattformen, die Zahlungsvorgänge an Zahlungsdienstleister auslagern.

Trotz des einjährigen Jubiläums von PSD2 sind sich viele Plattformen ihrer Verpflichtungen immer noch nicht bewusst und können mit Durchsetzungen der DNB rechnen. Die ersten Warnungen zu diesen Themen wurden bereits versandt.

Eine große Auswirkung für Handelsplattformen und Marktplätze, aber der Verbraucher oder Unternehmer wird kaum etwas bemerken.

3. Die starke Kundenauthentifizierung (SCA) wurde obligatorisch.

SCA bedeutet, dass der Zugang zu Zahlungsdiensten eine umfassende Sicherheit der Identität des Benutzers erfordert. Mit SCA müssen Sie sicherstellen, dass die Zahlungstransaktion vom autorisierten Kontoinhaber oder Kreditkarteninhaber durchgeführt wird. SCA bedeutet: eine Authentifizierung basierend auf der Verwendung von mindestens 2 von 3 verfügbaren Elementen: etwas, das Sie wissen (Passwort oder PIN), etwas, das Sie besitzen (Telefon oder Karte) und etwas, das Sie sind (Fingerabdruck oder Gesichtserkennung) 

Für viele Zahlungsvorgänge war dies bereits verfügbar, wie z. B. das Bezahlen mit Debitkarte, das Einloggen mit einem Lesegerät oder einer App mit Gesichtserkennung auf Ihrem (registrierten!) Telefon. Besonders in der Welt der Kreditkarten gibt es einen schlecht organisierten Authentifizierungsprozess. Häufig bezahlen Sie mit den Kartendaten, was nicht ausreichend ist. Allerdings war die Umsetzungsfrist für SCA von nur 9 Monaten zu kurz für alle Parteien, um Änderungen umzusetzen. Daher gewährt Europa eine Verschiebung der SCA bei Kreditkartenzahlungen bis Ende 2020.

Ab diesem Jahr müssen Verbraucher Kreditkartenzahlungen mit SCA-Elementen authentifizieren. Zum Beispiel durch die Verwendung eines temporären Codes aus einer (registrierten!) App auf einem Telefon. Unternehmer müssen ihre Systeme an SCA anpassen. Unternehmer, die einen Zahlungsdienstleister (PSP) nutzen, können davon ausgehen, dass dieser alle notwendigen Anpassungen abdeckt. 

4. Zahlungsinitiierungsdienste sind neu.

PSD2 begrüßt zwei neue Zahlungsdienste (mit entsprechenden Lizenzen). Der erste ist die Zahlungseinleitung (Payment Initiation Service – PIS). Kurz gesagt, Banken müssen Dritten mit einer Lizenz ermöglichen, Zahlungen (oder Zahlungsketten) im Namen des Kontoinhabers einzuleiten. Der Kontoinhaber ernennt dann einen PIS, um eine Zahlung durchzuführen. Alle europäischen Banken müssen freien Zugang zum Konto gewähren, vorzugsweise mit einem API-Schlüssel (technische Verbindung).

Mit PIS können neue Parteien Zahlungsmethoden entwickeln oder Sie können beispielsweise Google zur Durchführung einer Zahlung verwenden (wenn sie eine Lizenz für PSD2 haben).

In den Niederlanden ist dies jedoch immer noch selten und bisher passiert sehr wenig. Dies hat mehrere Ursachen. Erstens ist das Lizenzierungsverfahren schwerwiegender als ursprünglich vermutet. Bis heute hat die DNB nur eine Handvoll Lizenzen für PIS erteilt (was später erklärt wird). Schließlich führte die Online Payment Platform am 29. August 2019 die erste PSD2-Zahlung zusammen mit iDEAL durch, indem eine Einzelzahlung geplant wurde. Dies wurde in einer privaten Gruppe ausgeführt, aber der erste Pilotversuch für die breite Öffentlichkeit ist für Ende März geplant. Es gibt viele Möglichkeiten für Unternehmer (geplante Zahlungen, wiederkehrende Zahlungen, das Initiieren mehrerer Zahlungen auf einmal), aber die Nachfrage ist noch begrenzt. 

5. Kontoinformationsdienste sind neu.

Der zweite neue Dienst, der unter PSD2 aktiviert wurde, ist die Kontoinformation (Account Information Services – AIS). Dieser Dienst ermöglicht es dem Kontoinhaber, einer dritten Partei den Zugang zu seinen Banktransaktionen zu ermöglichen. Der AIS-Dienstleister kann diese Transaktionen anschließend verarbeiten und dem Benutzer anzeigen. Dieser Dienst eignet sich für Finanzunterlagen, Haushaltsbücher, Kassenbücher oder Budgetpläne. Mit diesem Dienst werden jedoch sensible und persönliche Informationen geteilt, was Diskussionen zum Thema Datenschutz verursacht. 

Ein gutes Beispiel für diesen Dienst ist Peaks (Investieren mit Ihrem Kleingeld).

Außerdem fällt auf, dass Banken diesen neuen Dienst wechselseitig nutzen, indem sie Kontoinformationen anderer Banken in ihrer eigenen Bankumgebung anzeigen. Sie können nun Ihr ABN AMRO- und BUNQ-Konto bei der Rabobank hinzufügen, ABN AMRO hat dies als 'Multi-Banking' eingeführt (mit Rabobank, ING und den Volksbanken-Marken). Informationen über die Anzahl der Nutzer, die ihre anderen Banken verknüpfen, liegen noch nicht vor.

Lizenzen

Als Verbraucher und Unternehmer sehen wir sehr wenig von PSD2. Um eine Vorstellung davon zu bekommen, was zu erwarten ist, habe ich die aktuelle Position der Lizenzen auf der Website der DNB analysiert.

Erstens ist es relativ einfach, sich nach der Beantragung einer PSD2-Lizenz in einem anderen europäischen Land in anderen EWR-Ländern registrieren zu lassen und damit dieselben Dienste anzubieten. Im Register der DNB sind derzeit verschiedene Parteien gelistet. Aber momentan gibt es keine Parteien, die ausschließlich auf die Niederlande ausgerichtete Dienste anbieten. Eine Invasion anderer europäischer Fintechs erscheint unwahrscheinlich.

Außerdem verfügen die großen BigTechs in Europa über eine Lizenz für Zahlungen. In der Zwischenzeit hat Apple Pay die Niederlande betreten, nutzt aber immer noch bestehende Zahlungssysteme. Apple ist in der physischen Welt sehr erfolgreich, aber online (eCommerce) wird es kaum genutzt. Ich erwarte jedoch einen starken Anstieg der Nutzung online. Die Stärke von Apple Pay liegt in der Benutzerfreundlichkeit. Andere Fintechs bleiben noch ruhig.

Übrig bleiben die spezifischen niederländischen Lizenzen. Da es nur eine Handvoll davon gibt, habe ich sie unten näher erläutert:

Bizcuit – Finanzverwaltung für Unternehmer. (PIS und AIS)

Cobase – Zentralbankdienste für Unternehmer. (PIS und AIS)

Dyme – Ein klarer Überblick über alle festen Kosten für Verbraucher. (AIS)

Floryn – Geschäftskredit ohne Aufwand. (AIS)

Online Payment Platform – Zahlungsdienste für Plattformen und Marktplätze. (PIS und AIS)

Huishoudboekje.nl – Aggregation von Verbrauchertransaktionsdaten. (AIS)

MoneyMonk – Online-Buchhaltung für Selbstständige. (AIS)

Peaks – Investieren mit Ihrem Kleingeld. (PIS und AIS)

Twinfield – Online-Buchhaltung. (AIS)

Damit PSD2 ein Erfolg wird und innovative Dienstleistungen auf den Markt kommen, bleibt noch viel zu tun. Es wird kein Sturm, der unerwartet wütet. Schauen wir, ob 2020 ein wenig Wind zulässt.