Die Ausarbeitung der PSR ist in vollem Gange: Das Europäische Parlament hat den Gesetzgebungsvorschlag der Europäischen Kommission mit einigen Abänderungen angenommen. Der Änderungsentwurf enthält unter anderem Neues bei den Ausnahmebestimmungen für Zahlungsdienste, schärfere Haftungsregelungen zur Betrugsprävention und Verpflichtungen für Zugänge zu mobilen Geräten für Front-End-Dienste.
Nachdem die Europäische Kommission dem Parlament und dem Rat im Sommer 2023 einen Gesetzgebungsvorschlag („Kommissionsvorschlag“) zur Überarbeitung der Richtlinie (EU) 2015/2366 (Payment Services Directive 2 – „PSD2“) vorlegte, nahm das Parlament den Vorschlag am 23. April 2024 mit Abänderungen an. Der Kommissionsvorschlag sieht vor, dass die PSD2 abgeändert und in zwei Rechtsakte – eine Richtlinie und eine Verordnung – aufgefächert wird. Vorschriften hinsichtlich der Zulassung und Beaufsichtigung von Zahlungsinstituten sollen nun in einer Richtlinie („PSD3“) und Vorschriften zur Beaufsichtigung sowie hinsichtlich der zivilrechtlichen Pflichten von Zahlungsdiensten getrennt hiervon in einer Verordnung („PSR“) geregelt werden. Hierdurch bezweckt der Gesetzgeber eine Harmonisierung der europäischen Regelungen, da letztere für die Mitgliedstaaten unmittelbar Anwendung findet und keiner Umsetzung in nationales Recht bedarf. Gleichzeitig wird die Richtlinie 2009/110/EG (Zweite E-Geld-Richtlinie) aufgehoben und E-Geld-Institute werden in den Anwendungsbereich des Kommissionsvorschlags einbezogen.
Die Neuerungen aufgrund des Kommissionsvorschlags und des Änderungsentwurfs zur PSD3 hatten wir bereits hier kommentiert. In diesem Beitrag nehmen wir die Neuerungen aufgrund des Änderungsentwurfs des Europäischen Parlaments zur PSR („Änderungsentwurf“ oder „PSR-E“) in den Blick.
Durch den Änderungsentwurf wurde u.a. eine weitere Ausnahmebestimmung vom Vorliegen eines Zahlungsdienstes eingefügt. Danach soll die PSR-E keine Anwendung finden auf Zahlungsvorgänge, die mittels E-Geld-Token im Sinne der Verordnung (EU) 2023/1114 („MiCAR“) durchgeführt werden, wenn der Zahlungsdienstleister bereits nach den Vorschriften der MiCAR in einem Mitgliedstaat zugelassen ist (Art. 2 Abs. 2 lit. ha) PSR-E). Damit soll eine Doppelregulierung vermieden werden.
Bei der Ausnahmebestimmung für Konzernzahlungen sollen nunmehr auch verbundene Dienste „einschließlich der Einziehung von Geldbeträgen sowie der Ausführung von Zahlungen“ durch ein Konzernunternehmen „im Namen der Gruppe“ erfasst sein (Art. 2 Abs. 2 lit. m) PSR-E). Es stellt sich die Frage, ob der Gesetzgeber damit auch Zahlungen aus dem Konzern heraus oder in den Konzern hinein erfassen will, die nach der gegenwärtigen Verwaltungspraxis der BaFin nicht unter die Ausnahmebestimmung des § 2 Abs. 1 Nr. 13 ZAG fallen.
Der Änderungsentwurf enthält gegenüber dem Kommissionsvorschlag zahlreiche Verschärfungen hinsichtlich der Haftung von Zahlungsdienstleistern und sog. Anbietern elektronischer Kommunikationsdienste. Letztere sollen bspw. Betreiber von Online-Plattformen oder Mobilfunkbetreiber umfassen (ErwG 80 PSR-E). Wie schon der Kommissionsvorschlag sieht auch der Änderungsentwurf eine Haftung der Zahlungsdienstleister gegenüber Zahlungsdienstnutzern, bei denen es sich um Verbraucher handelt, für den Fall vor, dass diese sog. „Spoofing-Fällen“ zum Opfer fallen (Art. 59 Abs. 1 PSR-E). Der Änderungsentwurf etabliert nun auch eine grundsätzliche Haftungspflicht für Anbieter elektronischer Kommunikationsdienste gegenüber Zahlungsdienstleistern, soweit sie betrügerische oder rechtswidrige Inhalte nicht entfernen, obwohl sie aufgrund einer Mitteilung des Zahlungsdienstleisters Kenntnis hiervon haben (Art. 59 Abs. 5 PSR-E). Im Übrigen enthält die Vorschrift ein umfassendes Pflichtenprogramm für Anbieter elektronsicher Kommunikationsdienste zur Verhinderung von Betrugsfällen, etwa durch Kundeninformationen oder organisatorische Maßnahmen.
Eine weitere Haftungsverschärfung soll für Zahlungsdienstleister bestehen, soweit diese ein Zahlungsinstrument u.a. bei Vorliegen objektiver Risiken oder des Verdachts einer nicht autorisierten oder betrügerischen Nutzung des Zahlungsinstruments nicht sperren (Art. 51 Abs. 2 PSR-E). Bisher hatte der Zahlungsdienstleister zivilrechtlich nur ein Recht zu Sperrung.
Der Änderungsentwurf sieht auch eine Verpflichtung für sog. „Erstausrüster mobiler Geräte und Anbieter elektronischer Kommunikationsdienste“ gegenüber den Anbietern von Front-End-Diensten vor, die Interoperabilität mit den technischen Funktionen zu ermöglichen, die für die Speicherung und Übertragung von Daten zur Abwicklung von Zahlungsvorgängen erforderlich sind (Art. 88a Abs. 1 PSR-E). Diese Verpflichtung soll Art. 6 Abs. 7 der Verordnung (EU) 2022/1925 (Digital Markets Act) ergänzen. Die Begriffe „Erstausrüster“ und „Front-End-Dienste“ sind im PSR-E nicht definiert sind. Der Begriff „Front-End-Dienste“ ist im Entwurf der Verordnung zum Digitalen Euro definiert ist als „alle Komponenten, die für die Bereitstellung von Diensten für die Nutzer des digitalen Euro erforderlich sind und über definierte Schnittstellen mit Back-End-Lösungen und anderen Front-End-Diensten interagieren“. Die Erstausrüster bezeichnet die PSR-E auch als Originalhersteller mobiler Geräte. Daher dürfte die Vorschrift im Kern darauf abzielen, Zahlungsdienstleistern, die Zahlungsdienstnutzern eine Anwendung auf einem mobilen Gerät zur Durchführung von Zahlungsdiensten bereitstellen wollen, einen Anspruch auf Zugang zu allen erforderlichen Hardware- und Softwarekomponenten zu verschaffen, die zur Durchführung von Zahlungsdiensten erforderlich sind. Die PSR-E hat hierbei vor allem die Nahfeldkommunikation und die sicheren Elemente von mobilen Geräten im Blick.
Mit dem Änderungsentwurf wurden zudem einige Transparenzvorschriften in die PSR-E eingefügt, bspw. hinsichtlich der Entgelte für die Währungsumrechnung (Art. 5 Abs. 2, Art. 13 Abs. 1, Art. 20 lit. c) v), Art. 24 PSR-E), der Entgelte für Bargeldbereitstellungsdienste (Art. 7 PSR-E) oder der Entgelte für Abhebungen an Geldautomaten (Art. 28 Abs. 3a PSR-E).
Für Rahmenverträge zwischen einem Zahlungsdienstleister und einem Zahlungsdienstnutzer sieht der Änderungsentwurf im Vergleich zum Kommissionsvorschlag Anpassungen dahingehend vor, dass für den Zahlungsdienstnutzer bei Kündigung des Rahmenvertrages keine Kosten entstehen dürfen, soweit dieser mindestens drei (statt der im Kommissionsvorschlag vorgesehen sechs) Monate in Kraft war (Art. 23 Abs 2 PSR-E). Die Kündigungsfrist von Rahmenverträgen durch den Zahlungsdienstleister hat das Parlament von zwei Monaten im Kommissionsvorschlag auf drei Monate angehoben (Art. 23 Abs. 3 PSR-E).
Das Europäische Parlament hat dem Kommissionsvorschlag Vorschriften bzgl. der Erhebung von Entgelten hinzugefügt. So sollen Zahlungsempfänger vom Zahler kein Entgelt für Zahlungen verlangen dürfen (Art. 28 Abs. 3 PSR-E). Das Angebot von Ermäßigungen oder anderweitigen Anreizen zur Nutzung eines bestimmten Zahlungsinstruments durch den Zahler soll jedoch möglich sein (Art. 28 Abs. 3b PSR-E). Außerdem müssen Zahlungsempfänger den Zahlungsdienstnutzern mindestens eine Zahlungsmethode anbieten, für die kein Aufschlag erhoben wird und bei der nicht auf einen Zahlungsauslösedienstleister zurückgegriffen wird (Art. 33 Abs. 1a PSR-E). Das Verhältnis zwischen dem Verbot von Entgelten und der Möglichkeit der Erhebung von Aufschlägen bedarf noch der Klarstellung.
Für die Frage, ob eine Ausnahme von der Pflicht zur starken Kundenauthentifizierung durchgeführt werden muss, darf im Rahmen eines delegierten Rechtsaktes als Kriterium die Verbraucher- oder Unternehmereigenschaft der am Zahlungsvorgang Beteiligten herangezogen werden (Art. 85 Abs. 11 lit. ca) PSR-E). Für das Merkmal der Inhärenz sieht der Änderungsentwurf umgebungs- und verhaltensbezogene Merkmale vor, die bspw. im Zusammenhang mit dem Standort des Zahlungsdienstnutzers, dem Zeitpunkt der Transaktion oder dem verwendeten Gerät stehen (Art. 85 Abs. 12 PSR-E). Darüber hinaus wurden im Änderungsentwurf Vorschriften für die starke Kundenauthentifizierung eingefügt, die Kunden mit Behinderungen, geringen digitalen Kompetenzen, älteren Personen und Personen, die keinen Zugang zu digitalen Kanälen oder Zahlungsinstrumenten haben, berücksichtigen sollen (Art. 88 Abs. 2 PSR-E).
Wie bereits im Kommissionsvorschlag müssen kontoführende Zahlungsdienstleister („ASPSP“) für Kontoinformationsdienstleister („AIS“) und Zahlungsauslösedienstleister („PIS“) neben der dedizierten Schnittstelle keine weitere Schnittstelle unterhalten. Sie werden aber nun ausdrücklich dazu verpflichtet, AIS und PIS dauerhaft Zugang zu solchen Schnittstellen zu gewähren, die die Geschäftskontinuität ermöglichen (Art. 35 Abs. 2 PSR-E). Außerdem sollen ASPSP sicherstellen, dass sie Änderungen der technischen Spezifikation für ihre dedizierte Schnittstelle nicht später als sechs Wochen (statt drei Monate im Kommissionsvorschlag) vor Implementierung der Änderung im Voraus zur Verfügung stellen (Art. 35 Abs. 4 PSR-E). Weiter werden ASPSP verpflichtet, PIS innerhalb von spätestens 30 Sekunden nach der Autorisierung zu bestätigen, ob die Zahlung ausgeführt worden ist oder wird (Art. 36 Abs. 5 PSR-E). Schließlich müssen ASPSP alle Aktualisierungen der für die Auslösung und Ausführung des Zahlungsvorgangs notwendigen Informationen, die auch der Zahler erhalten würde, dem PIS laufend über die dedizierte Schnittstelle als Push-Nachricht in Echtzeit mitteilen, bis die Zahlung ausgeführt oder abgelehnt wurde (Art. 37 Abs. 3 PSR-E).
Der Änderungsentwurf ergänzt den Kommissionsvorschlag hinsichtlich der Eröffnung eines Zahlungskontos für ein Zahlungsinstitut durch ein Kreditinstitut dahingehend, dass letzteres die Eröffnung nur in solchen Fällen verweigern bzw. ein solches Konto nur dann schließen darf, wenn objektive, diskriminierungsfreie und verhältnismäßige Gründe dies rechtfertigen. Die Kündigungsfrist für die Schließung eines solchen Kontos soll vier Monate betragen, soweit sie nicht im Zusammenhang mit Betrug oder rechtswidrigen Handlungen erfolgt (Art. 32 Abs. 1 PSR-E). Die Entscheidung über die Verweigerung der Eröffnung bzw. Schließung eines Zahlungskontos soll das Kreditinstitut der zuständigen Behörde mitteilen (Art. 32 Abs. 3a PSR-E). Mit diesen Regelungen will man Schwierigkeiten von Zahlungsinstituten bei der Eröffnung von Bankkonten begegnen.
Neben einer Vielzahl von Detailänderungen in der PSR-E verdienen vor allem die neuen Haftungstatbestände gegenüber Anbietern elektronischer Kommunikationsdienste besondere Beachtung. Gleiches gilt für die Pflicht gegenüber Anbietern elektronischer Kommunikationsdienste und Erstausrüstern mobiler Geräte, Front-End-Diensten Zugang zu den Geräten zu gewähren. Die verwendeten Begrifflichkeiten und Regelungen erscheinen noch nicht ganz konsistent und bedürfen noch der Klarstellung. Zu begrüßen ist, dass die PSR-E nunmehr die Frage der Abgrenzung zur MiCAR bei Einsatz von E-Geld-Token angeht.
Aufgrund der Vielzahl der zum Teil sehr detailreich geänderten Regelungen scheint die PSR-E noch ein gutes Stück von der finalen Fassung entfernt zu sein.
Das Europäische Parlament hat die Vorschläge der Europäischen Kommission für die PSR-E (und die PSD3) in der ersten Lesung am 23. April 2024 mit Abänderungen angenommen. Im nächsten Schritt kann der Rat beschließen, den Standpunkt des Parlaments zu billigen – dann gilt die PSR-E als erlassen – oder ihn ändern – dann wird der Kommissionsvorschlag an das Parlament zur zweiten Lesung zurückverwiesen. Mit Blick auf die umfangreichen Abänderungen durch das Parlament und die bevorstehende Europawahl im Juni 2024 rechnen wir damit, dass die Verhandlungen zwischen dem Europäischen Parlament und dem Rat der Europäischen Union erst danach beginnen werden.