Begriffsbestimmung und Einführung
Die Zahlungsdiensterichtlinie (kurz: ZDRL, englisch Payment Services Directive, PSD bzw. PSD2) ist eine Richtlinie des Europäischen Parlaments und des Rates zur Regelung von Zahlungsdiensten und Zahlungsdienstleistern im Europäischen Binnenmarkt. Sie legt einen einheitlichen Rechtsrahmen für Zahlungsdienste fest und verfolgt das Ziel, den Wettbewerb zu fördern, Verbraucher zu schützen und Innovationen im europäischen Zahlungsverkehr voranzutreiben. In Deutschland wurde die Zahlungsdiensterichtlinie insbesondere durch das Zahlungsdiensteaufsichtsgesetz (ZAG) sowie Änderungen im Bürgerlichen Gesetzbuch (BGB) und anderen einschlägigen Vorschriften umgesetzt.
Historische Entwicklung
Erste Zahlungsdiensterichtlinie (PSD, Richtlinie 2007/64/EG)
Die erste Zahlungsdiensterichtlinie wurde am 13. November 2007 erlassen und sollte heterogene nationale Regelungen harmonisieren und Hindernisse für Zahlungsdienste insbesondere innerhalb des Europäischen Wirtschaftsraums (EWR) abbauen. Sie bildete die Grundlage für den einheitlichen Euro-Zahlungsverkehrsraum („Single Euro Payments Area“, SEPA).
Zweite Zahlungsdiensterichtlinie (PSD2, Richtlinie (EU) 2015/2366)
Mit der zweiten Zahlungsdiensterichtlinie, der sogenannten PSD2, wurde die PSD abgelöst und substantiell erweitert. Sie trat am 13. Januar 2018 in Kraft und zielte darauf ab, die Marktöffnung für neue Zahlungsdienstleister zu ermöglichen, starke Kundenauthentifizierung einzuführen und Risiken bei elektronischen Zahlungen zu minimieren.
Anwendungsbereich und Zielsetzung
Anwendungsbereich
Die Zahlungsdiensterichtlinie gilt für Zahlungsdienste, die innerhalb des EWR von Zahlungsdienstleistern erbracht werden. Erfasst werden damit Kreditinstitute, E-Geld-Institute, Zahlungsinstitute, technische Dienstleister und bestimmte weitere Dienstleister, die Zahlungstransaktionen abwickeln.
Zielsetzung
Kernziel der Richtlinie ist es, folgende Interessen und Vorgaben auszutarieren:
- Verbraucherschutz: Schutz der Nutzer vor Missbrauch, Betrug und mangelnder Transparenz bei Zahlungsdiensten
- Wettbewerbsförderung: Schaffung eines offenen Marktes für neue Zahlungsdienstleister, insbesondere sogenannte Drittanbieter (z. B. Kontoinformationsdienste und Zahlungsauslösedienste)
- Harmonisierung: Vereinheitlichung nationaler Regulierungen und Beseitigung regulatorischer Hürden
- Innovationsförderung: Unterstützung technologischer Entwicklungen im Bereich des Zahlungsverkehrs
Rechtliche Grundlagen und wesentliche Pflichten
Rechtsgrundlagen
Die Grundlage der Zahlungsdiensterichtlinie bildet insbesondere Artikel 114 des Vertrags über die Arbeitsweise der Europäischen Union (AEUV), der der Harmonisierung des Binnenmarktes dient. Die Richtlinie wurde durch nationale Umsetzungsakte, wie das deutsche Zahlungsdiensteaufsichtsgesetz (ZAG), verbindlich gemacht.
Begriffsdefinitionen
Die ZDRL gibt eine detaillierte Legaldefinition zentraler Begriffe, zum Beispiel:
- Zahlungsdienst: Umfasst Überweisungen, Lastschriften, Kartenzahlungen, Barein- und auszahlungen, Issuing und Acquiring, Führen von Zahlungskonten sowie Kontoinformations- und Zahlungsauslösedienste.
- Zahlungsdienstleister: Rechtlich definierte Kategorien von Anbietern (z. B. Kreditinstitute, Zahlungsinstitute, E-Geld-Institute).
Wesentliche Pflichten und Anforderungen
Zulassung und Aufsicht
Zahlungsdienstleister unterliegen einem Erlaubnisvorbehalt. Sie benötigen eine behördliche Zulassung und unterstehen laufender Aufsicht durch nationale Aufsichtsbehörden (z. B. BaFin in Deutschland).
Transparenz- und Informationspflichten
Die Richtlinie schreibt umfangreiche Informationspflichten gegenüber Kunden vor, unter anderem bezüglich Gebühren, Wechselkursen, Ausführungsfristen und Nutzerrechten.
Nutzerrechte und Haftungsregelungen
Besondere Bedeutung besitzen die Haftungsregeln bei nicht autorisierten oder fehlerhaften Zahlungsvorgängen, Widerrufsrechten und Rückerstattungsansprüchen.
Regulatorische Neuerungen durch PSD2
Starke Kundenauthentifizierung (Strong Customer Authentication, SCA)
PSD2 verlangt die Einführung der starken Kundenauthentifizierung, um Betrugsrisiken bei elektronischen Zahlungen zu reduzieren. Hierbei müssen mindestens zwei voneinander unabhängige Merkmale aus den Kategorien Wissen, Besitz und Inhärenz kombiniert werden.
Zugang zu Zahlungskonten (XS2A)
Die Richtlinie regelt den Zugang von Drittanbietern (z. B. Zahlungsauslösedienste, Kontoinformationsdienste) zu Zahlungskonten („Access to Account“, XS2A), um Wettbewerb und Innovation im Zahlungsdienstleistungssektor zu stärken.
Technische Regulierungsstandards (RTS)
Zur Konkretisierung wurden technische Regulierungsstandards erlassen, die insbesondere Sicherheitsanforderungen und Schnittstellen für Drittanbieter definieren.
Auswirkungen und Bedeutung im Zahlungsverkehrsrecht
Die Zahlungsdiensterichtlinie hat den europäischen Zahlungsverkehr stark verändert und gilt als grundlegendes Regelwerk für Zahlungsdienstleister sowie Zahlungsdienstnutzer. Sie ermöglicht neue Geschäftsmodelle und Services wie Aggregatoren, FinTech-Unternehmen und APIs im Zahlungsverkehr. Gleichzeitig stärkt sie den Verbraucherschutz und erhöht die Rechtssicherheit für Anbieter und Nutzer.
Umsetzung in nationales Recht
Deutschland
In Deutschland erfolgte die Umsetzung der Zahlungsdiensterichtlinie in erster Linie durch das Zahlungsdiensteaufsichtsgesetz (ZAG) sowie durch Änderungen im Bürgerlichen Gesetzbuch und anderen relevanten untergesetzlichen Regelungen. Die Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) ist maßgebliche Aufsichtsbehörde.
Weitere Mitgliedstaaten
In allen EU- und EWR-Mitgliedstaaten wurden eigene nationale Regelungen geschaffen, die sich nach den Mindestanforderungen der Richtlinie richten, jedoch im Detail variieren können.
Weiterführende Regelungen und Ausblick
Beziehungen zu anderen Regelwerken
Die Zahlungsdiensterichtlinie steht in engem Zusammenhang mit Regelwerken wie der E-Geld-Richtlinie, dem Geldwäschegesetz, Datenschutzvorschriften (z. B. DSGVO) und SEPA-Verordnungen.
Aktuelle Entwicklungen und Ausblick
Angesichts der Digitalisierung des Zahlungsverkehrs wird die Zahlungsdiensterichtlinie regelmäßig an technische und wirtschaftliche Entwicklungen angepasst. Eine mögliche dritte Richtlinie (PSD3) wird bereits diskutiert, um künftigen Herausforderungen wie Open Banking, digitalem Euro und verstärktem Datenschutz Rechnung zu tragen.
Literatur und Weblinks
Veröffentlichungen der Europäischen Kommission zur Zahlungsdiensterichtlinie
Gesetzestexte und Umsetzungshilfen zum Zahlungsdiensteaufsichtsgesetz (ZAG)
Offizielle Dokumente und Leitlinien der Europäischen Bankenaufsichtsbehörde (EBA) sowie BaFin
SEPA-Informationsmaterialien der Deutschen Bundesbank
Hinweis: Die hier dargestellten Informationen dienen der sachlichen Darstellung des Begriffs Zahlungsdiensterichtlinie im Sinne eines Rechtslexikons. Eine weitergehende individuelle Rechtsberatung wird dadurch nicht ersetzt.
Häufig gestellte Fragen
Welche Anforderungen stellt die Zahlungsdiensterichtlinie (PSD2) an die Identitätsprüfung von Zahlungsdienstnutzern?
Die Zahlungsdiensterichtlinie (PSD2) schreibt vor, dass Zahlungsdienstleister eine starke Kundenauthentifizierung (Strong Customer Authentication, SCA) implementieren müssen, sofern der Nutzer einen elektronischen Zahlungsvorgang auslöst oder auf sensible Kontoinformationen zugreift. Gesetzlich verankert ist dies in den Artikeln 4 Nr. 30, 97 PSD2 und weiter konkretisiert in den technischen Regulierungsstandards der EU-Kommission. Die SCA verlangt, mindestens zwei unabhängige Authentifizierungsmerkmale aus den Kategorien Wissen (etwas, das nur der Nutzer weiß – z.B. Passwort), Besitz (etwas, das nur der Nutzer besitzt – z.B. Mobiltelefon) und Inhärenz (etwas, das den Nutzer charakterisiert – z.B. Fingerabdruck), zu prüfen. Die rechtlichen Vorgaben sehen eng definierte Ausnahmen für Kleinbetragszahlungen, kontaktlose Kartenzahlungen und bestimmte wiederkehrende Transaktionen vor, wobei die Verantwortung für die Einhaltung und Nachweisführung beim Zahlungsdienstleister liegt. Ein Verstoß gegen die Vorgaben führt zu aufsichtsrechtlichen Konsequenzen, etwa Bußgeldern oder Maßnahmen durch nationale Aufsichtsbehörden wie die BaFin.
Welche rechtlichen Verpflichtungen treffen Zahlungsdienstleister im Zusammenhang mit Drittanbietern nach der PSD2?
Nach der PSD2 sind Zahlungsdienstleister verpflichtet, autorisierten Drittanbietern (z. B. Kontoinformationsdiensten und Zahlungsauslösediensten) Zugang zu den Zahlungskonten ihrer Kunden zu gewähren, sofern der Kunde dies ausdrücklich autorisiert hat (Art. 66 und 67 PSD2). Dabei dürfen für den Zugriff keine zusätzlichen Entgelte gegenüber Drittanbietern oder Endkunden erhoben werden und der Zugang darf nicht diskriminierend im Vergleich zu eigenen Diensten erfolgen. Der Kontoführer haftet für die sichere Kommunikation und muss eine dedizierte Schnittstelle (API) oder eine bestehende Schnittstelle in diskriminierungsfreier Art zur Verfügung stellen. Die Pflicht zur Gewährleistung eines ununterbrochenen und sicheren Zugangs ist dabei ebenfalls geregelt; Störungen oder Einschränkungen können als Verstoß gegen regulatorische Vorgaben betrachtet und von Aufsichtsbehörden sanktioniert werden. Besonders zu beachten ist der Datenschutz: Jeglicher Zugriff der Drittanbieter erfolgt streng zweckgebunden und nur auf Basis der ausdrücklichen Zustimmung des Kunden in Übereinstimmung mit der DSGVO.
Wie gestaltet sich die Haftung bei nicht autorisierten Zahlungsvorgängen nach der Zahlungsdiensterichtlinie?
Im Falle eines nicht autorisierten Zahlungsvorgangs – das heißt, wenn der Zahlungsdienstnutzer den betreffenden Vorgang weder autorisiert noch beauftragt hat – regelt Art. 73 ff. PSD2, dass der Zahlungsdienstleister des Zahlers grundsätzlich für die Rückerstattung des vollständigen Betrags haftet, es sei denn, der Nutzer hat betrügerisch oder grob fahrlässig gehandelt. Die Rückzahlung hat unverzüglich, spätestens jedoch bis zum Ende des folgenden Geschäftstags, nach Anzeige des nicht autorisierten Vorgangs zu erfolgen. Bis zu einer Höchstgrenze von 50 Euro kann die Haftung im Falle eines Missbrauchs durch Verlust, Diebstahl oder sonstigen missbräuchlichen Vorgangs beim Nutzer liegen, sofern keine grobe Fahrlässigkeit oder Betrug vorliegt. Besondere juristische Bedeutung kommt der Beweislastregel zu: Der Zahlungsdienstleister trägt die Beweislast dafür, dass der betreffende Zahlungsvorgang durch den Nutzer autorisiert oder ordnungsgemäß authentifiziert wurde.
Welche Informationspflichten nach der PSD2 hat der Zahlungsdienstleister gegenüber seinen Kunden?
Art. 44 bis 50 PSD2 schreiben umfangreiche Informationspflichten vor. Zahlungsdienstleister müssen dem Kunden vor und nach Vertragsschluss über wesentliche Vertragsinhalte wie Kosten, Vertragslaufzeit, Widerrufsmöglichkeiten, Entgelte und Ausführungszeiten vollständig und klar informieren. Zusätzlich verlangt die Richtlinie, dass bei jeder Transaktion Bestätigungsinformationen (Betrag, Empfänger, Ausführungszeitpunkt etc.) kurzfristig zur Verfügung gestellt werden müssen. Ferner besteht die Pflicht, Änderungen der Vertragsbedingungen oder der Entgelte mindestens zwei Monate vor ihrem Inkrafttreten in Textform mitzuteilen. Bei Verstößen gegen diese Informationspflichten drohen aufsichtsrechtliche Maßnahmen, und unter Umständen sind Klauseln in betroffenen Verträgen unwirksam.
Welche Rolle spielt die nationale Aufsichtsbehörde in der Durchsetzung der PSD2-Vorgaben?
Die nationale Aufsichtsbehörde – in Deutschland die Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) – ist für die Überwachung und Durchsetzung der PSD2-Vorgaben zuständig. Sie erteilt die erforderlichen Erlaubnisse für Zahlungsdienste, überwacht deren laufende Geschäftstätigkeit und prüft die Einhaltung des risikoorientierten Aufsichtsrahmens aus der PSD2. Die Behörde kann bei Verstößen aufsichtsrechtliche Maßnahmen wie Abmahnungen, Bußgelder, Untersagungen von Geschäftsmodellen oder im Extremfall das Entziehen der Lizenz ergreifen. Darüber hinaus ist die BaFin Ansprechpartner für grenzüberschreitende Sachverhalte im europäischen Kontext durch die Zusammenarbeit mit der Europäischen Bankenaufsichtsbehörde (EBA) und anderen europäischen Behörden.
Welche Pflichten bestehen im Falle von Sicherheitsvorfällen und wie sind diese zu melden?
Nach Art. 96 PSD2 sind Zahlungsdienstleister verpflichtet, erhebliche Sicherheitsvorfälle – insbesondere solche, die zu finanziellen Verlusten oder zur unbefugten Offenlegung von Daten führen – unverzüglich der zuständigen Aufsichtsbehörde, in Deutschland der BaFin, zu melden. Die Meldepflicht umfasst neben der schnellen Erstmeldung auch eine fortlaufende Aktualisierung des Sachstands. Je nach Schwere des Vorfalls müssen ebenfalls andere Stellen, wie die Bundesbank, Kunden oder gegebenenfalls europäische Behörden, informiert werden. Der Meldeprozess ist verbindlich in technischen Regulierungsstandards festgelegt und orientiert sich an den Vorgaben der EBA. Die Nichtbeachtung dieser Meldepflicht stellt eine Ordnungswidrigkeit dar und kann mit Bußgeldern geahndet werden.
