FinTech – die Zukunft des Zahlungsverkehrs im Lichte der zweiten Zahlungsdienste-RL

Ist das wie ein Rennen von Hase und Igel, der Wettlauf des Regulierers mit den Innovationen? Sobald der Regulierer am Ende der Rennstrecke ankommt, ist der Innovations-Igel schon dort, weil er dort seine Frau bzw. eine Innovation versteckt hat? Der Vergleich passt wohl nur teilweise. So schnell wie ein Hase ist der Regulierer eben doch nicht, aber er wird auch nicht tot umfallen nach dem 74. Lauf.

Ganze 30 Monate hat es seit der ersten Entwurfsfassung gedauert, bis die zweite EU Zahlungsdienste-RL (PSD2) verabschiedet war und weitere 24-33 Monate werden vergehen, bis sie infolge Umsetzung durch die nationalen Parlamente und über ausführende Regulierungsstandards der Europäischen Bankenaufsicht (EBA) ihre Wirkung entfaltet. Entwicklungszyklen von neuen Zahlungsprodukten betragen zwei bis drei Jahre. Im wachsenden Markt der FinTech-Unternehmen gibt es einzelne, die mit neuen Ideen in zwei bis drei Jahren bisweilen ganze Teilmärkte revolutionieren. Angesichts dieser Diagnose könnte man in regulatorischen Pessimismus verfallen.

Das ist aber nicht gerechtfertigt. Die PSD2 stellt sich in sinnvoller Weise der zunehmenden Digitalisierung der Zahlungsindustrie. Mit den sog. dritten Zahlungsdienstleistern werden erstmals technische Dienstleister in die Regulierung aufgenommen, die selbst keine Zahlungsdienste im klassischen Sinn erbringen. Als Zahlungsauslösedienst oder Kontoinformationsdienst bieten sie vielmehr – wie viele andere Internetdienste auch – sog. Overlay Services an, d.h. sie arbeiten auf einer bestehenden Konto-Infrastruktur und bieten ihre Dienste darauf aufbauend an. Die PSD2 hat versucht, den sehr schwierigen Konflikt zwischen der Sicherheit der genutzten Infrastruktur, Wettbewerbsfreiheit und Innovation zu lösen. Daraus ist ein kompliziertes Regelwerk geworden, das auch den Rechtsanwender im täglichen Geschäft vor Herausforderungen stellen wird. Das Konto hat damit eine ihm durchaus gerecht werdende Anerkennung als kritische Infrastruktur – ähnlich der Eisenbahnschiene, dem Strom- oder Telefonnetz – erfahren, dies besonders auch in Zeiten zunehmender Digitalisierung. Von diesem Bestreben ist übrigens auch die 18 Monate früher ergangene EU Zahlungskontenrichtlinie geprägt.

Auch in einem weiteren Punkt ist die PSD2 richtungsweisend: Sie nimmt das für die Digitalisierung so wichtige Thema Sicherheit auf. Die PSD2 enthält für sämtliche Zahlungsdienstleister ein umfangreiches Paket hierzu, bestehend aus Vorgaben zum Risikomanagement der Zahlungsdienstleister, Vorgaben zur sicheren Kommunikation und Authentifizierung der Kunden sowie schlussendlich die Pflicht zur Meldung von Sicherheitsvorfällen. Zusammen mit der Überwachung der Aufsichtsbehörde wird hier das gesamte, dem Regulierer zu Gebote stehende Handwerkszeug implementiert. Zu begrüßen ist auch, dass die PSD2 sich auf die wesentlichen Grundregeln beschränkt und die Details der EBA zusammen mit der EU-Kommission überlässt. Diese vermögen durch Regulierungsstandards und Leitlinien im Laufe der Lebenszeit der PSD2 auf technische Entwicklungen schneller zu reagieren als der Gesetzgeber selbst dies könnte.

Deshalb lässt sich das Regelwerk der PSD2 – das noch zahlreiche weitere Neuerungen enthält – soweit durchaus als gelungen bewerten. Die Last der Arbeit wird in den nächsten Monaten auf der EBA ruhen. Die EBA hat aus der PSD2 den Auftrag, zahlreiche ausführende Regelwerke zu entwerfen. Mit den Vorarbeiten hat sie schon im Dezember letzten Jahres begonnen.

Die EBA sollte dabei allerdings nicht der Versuchung erliegen, möglichst detailliert minutiöse Regelungen zu schaffen. Detailregelungen können der technischen Entwicklung kaum standhalten und, noch schlimmer: bisweilen verhindern sie technische Entwicklung. Streng gehandhabte Vorgaben der starken Kundenauthentifizierung können Wachstum im eCommerce abwürgen und zudem technische Innovationen verhindern: nämlich solche für ein ggf. wesentlich besseres Fraud Management, das nicht am Front End des Kundenkontakts ansetzt, sondern im Back End des Zahlungsdienstleisters stattfindet. Zudem ziehen detaillierte Vorgaben des Regulierers bisweilen hohe Kosten der Umsetzung in den regulierten Unternehmen nach sich, obschon diese ggf. alternative Systeme vorhalten, die einen ähnlich hohen Sicherheitsstandard gewährleisten.

Allerdings ist die Versuchung für die EBA groß. Der Ruf nach sicherer Auslegung wird lauter. Die nationalen Aufsichtsbehörden haben ganz unterschiedliche Tendenzen, Auslegungsspielräume mal zugunsten, mal zuungunsten der Industrie zu nutzen. Dadurch entsteht Regulierungsgefälle zwischen den Staaten, was nicht im Geist des EU-Vertrages ist. Im Sinn der Innovation und im Sinn der Entwicklung einer von Wettbewerb getragenen Best Practice erscheint dennoch die erste Alternative einer offenen und flexiblen Regulierung, insb. im Bereich Risikomanagement und Kundenauthentifizierung, geboten.

Die PSD2 wird sich ab Januar 2018 zu bewähren haben; die Regeln über die sichere Kommunikation und Kundenauthentifizierung voraussichtlich erst im Oktober 2018. Die Zahlungsindustrie und FinTech-Unternehmen sollten in den nächsten Monaten die Tätigkeiten der nationalen Gesetzgeber und der EBA aufmerksam begleiten.