Die Kommission und die EBA haben bereits wiederholt Stellungnahmen zur Anwendbarkeit der Richtlinie (EU) 2015/2366 ("PSD2") und der Delegierten Verordnung (EU) 2018/389 („SKA RTS“) zur starken Kundenauthentifizierung („SKA“) bei so genannten "One-Leg"-Transaktionen veröf-fentlicht. Diese Aussagen haben jedoch zum Teil neue Fragen zu deren Anwendbarkeit innerhalb der Payment-Industrie aufgeworfen. In zwei neueren Stellungnahmen vom 6. September 2019 (Question ID 2018_4030 und Question ID 2018_4233) haben EBA und Kommission nun bei einigen offenen Fragen vor allem bei Kartenzahlungen für weitere Klarheit gesorgt.
Was ist eine „One-Leg“ Transaktion?
Art. 2 (4) der PSD2 erklärt verschiedene Bestimmungen der PSD2, einschließlich Art. 97 PSD2 zur SKA, auf Transaktionen für anwendbar, bei denen nur einer der PSP seinen Sitz innerhalb der Europäischen Union hat. Dies gilt jedoch nur für die Teile der Transaktion, die in der Europäischen Union durchgeführt werden. Obwohl aus dem Wortlaut der PSD2 hervorzugehen scheint, dass nur der Standort der beteiligten PSPs für die Bestimmung der Anwendbarkeit der PSD2 und der SKA-RTS relevant ist, waren die EBA-Veröffentlichungen zu dieser Frage bislang nicht ganz eindeutig.
Einerseits bezog sich die EBA in ihrem Abschlussbericht zum Entwurf der “Regulatory Technical Standards on Strong Customer Authentication and common and secure communication under Article 98 of Directive 2015/2366 (PSD2)” (EBA/RTS/2017/02, 23. Februar 2017, “Abschlussbericht”), Erwägungsgrund 16, hinsichtlich der Anwendbarkeit der PSD2 und der SKA RTS auf One-Leg Transaktionen nur auf das Land, in dem der PSP seinen Sitz hat.
In ihrer Stellungnahme vom 13. Juni 2018 (EBA-Op-2018-04, “2018 Stellungnahme“), Ziff. 32 äußerte sich die EBA jedoch dahingehend, dass die SKA für alle von einem Zahler initiierten Zahlungsvorgänge, einschließlich derjenigen Kartenzahlungen, die über den Zahlungsempfänger innerhalb des EWR eingeleitet werden, durchzuführen ist. Diese Äußerung konnte auch so verstanden werden, dass der Sitz des Händlers für die Anwendbarkeit der SKA in “One-Leg”-Konstellationen relevant sein könnte.
In ihrer Stellungnahme vom 6. September 2019 (Question ID 2018_4030 und Question ID 2018_4233) hat die EBA (im Namen der Kommission) zu Recht klargestellt, dass allein der Standort der beteiligten PSPs für die Anwendbarkeit von SKA relevant ist.
“Best Effort”-Ansatz bei “One-Leg” Transaktionen
Die wohl interpretations- und klärungsbedürftigste Aussage der EBA zu “One-Leg”-Transaktionen war jedoch, dass sämtliche europäischen PSPs in One-Leg Konstellationen angemessene Anstrengungen zu unternehmen haben, um die rechtmäßige Nutzung eines Zahlungsinstruments festzustellen. Dies hatte die EBA schon in Erwägungsgrund 16 des Abschlussberichts verlangt. Aber auch in der 2018 Stellungnahme äußerte die EBA, dass ein PSP die SKA auf der Grundlage eines “Best-Effort”-Ansatzes bei “One-Leg”-Transaktionen anwenden sollte.
Diese Aussage hat zu verschiedenen Folgefragen geführt. Würde beispielsweise ein “Best-Effort”-Ansatz erfordern, dass der in der Europäischen Union ansässige PSP aktive Maßnahmen durchführt (z.B. den Abschluss von Vereinbarungen mit PSPs aus Drittländern), um sicherzustellen, dass diese PSPs die Anwendbarkeit der SKA auch in “One-Leg” Situationen unterstützen? Oder könnte diese Verpflichtung von einem PSP verlangen, eine Transaktion in bestimmten Situationen abzulehnen, sofern die Durchführung der SKA nicht gewährleistet werden kann?
Hinweise auf eine solche “Best-Effort”-Verpflichtung der PSPs finden sich nirgendwo in der PSD2. Infolgedessen kann die PSD2 auch konsequenterweise keine Hinweise auf den Inhalt dieser “Best-Effort”-Pflichten geben.
Auch der Verband Schwedischer Banken fragte die EBA, was Emittenten von Karten mit Sitz in der Europäischen Union tun müssten, um dem “Best-Effort”-Ansatz zu entsprechen, wenn der PSP des Händlers außerhalb der Europäischen Union ansässig ist und die SKA nicht unterstützt.
In ihrer Antwort auf Frage ID 2018_4233 hat die EBA nun für bestimmt Konstellationen Klarheit geschaffen:
Der Emittent der Karte hat seinen Sitz in der Europäischen Union, der Acquirer des Händlers hat seinen Sitz außerhalb der Europäischen Union
In diesem Fall unterliegt nach Auffassung von EBA und Kommission der Emittent der SKA, der Acquirer des Händlers jedoch nicht. Die EBA/Kommission ist der Ansicht, dass der Emittent, wenn er die Anwendung der SKA nicht sicherstellen kann, selbst zu beurteilen hat, ob er die Durchführung der Transaktion verweigert oder aber in Kauf nimmt, den Haftungsanforderungen nach Art. 73 PSD2 zu unterfallen, sofern der Zahler die Transaktion nicht autorisiert hat.
Es gibt daher keine besonderen Verpflichtungen für den Emittenten aufgrund des „Best-Effort”-Ansatzes in dieser Situation. Die Antwort auf die Frage ID 2018_4233 deutet jedoch darauf hin, dass, sofern der Emittent dem Acquirer die Durchführung der SKA technisch auferlegen kann, es der “Best-Effort”-Ansatz verlangen würde, dass der Emittent dies auch tut.
Der Emittent der Karte hat seinen Sitz außerhalb der Europäischen Union, der Acquirer des Händlers hat seinen Sitz in der Europäischen Union
In diesem Fall unterliegt nicht der Emittent, sondern ausschließlich der Acquirer des Händlers der SKA. Hier ist die EBA der Ansicht, dass der Acquirer des Händlers in der Lage sein muss, die SKA zu akzeptieren, und daher Mechanismen einzuführen hat, welche die Durchführung der SKA ermöglichen.
Aus dieser Stellungnahme ergibt sich allerdings nicht, ob der Acquirer lediglich die selben Maßnahmen ergreifen muss, die er auch für Zahlungen der Kunden von Emittenten mit Sitz in der Europäischen Union vorzusehen hat, oder ob der “Best-Effort”-Ansatz auch weitergehende Maßnahmen vom Acquirer verlangen kann. Ein Drittland könnte etwa Vorschriften erlassen haben, die eine ähnliche SKA wie die in der PSD2 und den SKA RTS verlangen, aber inhaltlich anders ausgestaltet sind, etwa andere Authentifizierungselemente oder andere Ausnahmeregelungen als in der PSD2 und den SKA RTS vorsehen. Dann stellt sich die Frage, ob ein Acquirer, sofern erforderlich, zusätzliche Anstrengungen unternehmen muss, um die Durchführung der SKA nach den Vorschriften dieses Drittlandes zu ermöglichen.
Daher ist die Frage, welche Maßnahmen der Acquirer zu ergreifen hat, um dem “Best-Effort”-Ansatz zu genügen, für diese Konstellation weiterhin nicht ganz klar. Es ergibt sich jedoch nicht ausdrücklich aus der Antwort der EBA, dass ein Acquirer mit Sitz in der Europäischen Union Maßnahmen ergreifen müsste, die über das hinausgehen, was nach den SKA RTS erforderlich ist.
Zusammenfassung und Ausblick
Die Antworten der EBA (im Namen der Kommission) sind für die Aufsichtsbehörden der Mitgliedstaaten nicht verbindlich. Daher müssen die betroffenen PSPs nachverfolgen, ob ihre nationale Aufsichtsbehörde die Position von EBA/Kommission teilt und wie sie sich im Hinblick auf die verbliebenen offenen Fragen positioniert.
Obwohl die Antworten der EBA/Kommission noch einige Fragen zu “One-Leg”- Konstellationen offen lassen, haben sie zumindest klargestellt, dass der “Best-Effort”-Ansatz PSPs in der Europäischen Union nicht dazu verpflichtet, Transaktionen zu blockieren. Wo es technisch möglich ist, sollen PSP mit Sitz in der Europäischen Union allerdings die Durchführung der SKA unterstützen und ermöglichen. Unklar ist, ob und welchen Aufwand PSPs hierfür in Kauf nehmen müssen.