PSD3/PSR: Gesteigerte Wettbewerbsfähigkeit von Open Banking-Diensten
- Branche:
- Financial Institutions
Wie zum Auftakt unserer Newsletter-Reihe zur PSD3 bereits hier berichtet, hat die Europäische Kommission Ende Juni 2023 das lang erwartete Financial data access and payments package, unter anderem bestehend aus Entwürfen zur einer neuen Payment Service Directive (PSD3) und einer neuen Payment Service Regulation (PSR), vorgelegt.
Neben der Verbesserung der Verbraucherrechte, über die wir kürzlich hier berichtet haben, ist ein weiteres Ziel des Pakets die Steigerung der Wettbewerbsfähigkeit der Open Banking-Dienste.
Open Banking
Open Banking hat bereits jetzt schon eine neue Ära in der Finanzbranche eingeläutet. Open Banking steht als Begriff für die Öffnung und Nutzung von Bankdienstleistungen, die außerhalb des Serviceangebots des kontoführenden Zahlungsdienstleisters genutzt werden können – zum Beispiel auf Plattformen von Drittanbietern. Open Banking beschreibt auch Dienste, die über das eigene Angebot des Zahlungsdienstleisters genutzt werden können.
Open Banking erlaubt es also, dass Drittanbieter Kontoinhabern Zusatzfunktionalitäten anbieten, indem sie – mit Zustimmung des Kontoinhabers – direkt auf Daten des Kontos zugreifen. Die PSD2 hat bereits den rechtlichen Rahmen für derartige Open Banking-Dienste geschaffen, indem sie Regelungen für kontoführende Zahlungsdienstleister eingeführt hat.
Seit der Einführung der PSD2 ist der Markt des Open Banking stark gewachsen – es sind aber auch zahlreiche Schwierigkeiten in der praktischen Anwendung deutlich geworden. Insbesondere das Fehlen eines einheitlichen Standards bei den Schnittstellen (application programming interfaces - APIs) hat dazu geführt, dass es am europäischen Markt eine Vielzahl von unterschiedlichen API-Lösungen gibt. Diese API-Lösungen sind jedoch von unterschiedlicher Qualität und Leistung und bereiten Drittanbietern Schwierigkeiten beim Datenzugang. Um die Wettbewerbsfähigkeit von Open Banking in der EU zu stärken, will der europäische Gesetzgeber daher für eine erhöhte Standardisierung und Interoperabilität sorgen.
Harmonisierung, Bereitstellung und Verbesserung von Schnittstellen (APIs)
Die wohl größten Neuerungen des Regelungspakets zur PSD3/PSR betreffen daher die APIs für den Datenaustausch zwischen Drittanbietern und Zahlungsdienstleistern. Die Anforderungen werden in der PSR geregelt sein, um eine europaweit einheitliche Anwendung zu gewährleisten. Es wird jedoch weiterhin keine gesetzlich vorgegebene technischen Beschreibung einer API geben.
Die PSR wird jedoch verpflichtete Mindestanforderungen für APIs vorsehen. Gewisse Anforderungen an APIs gab es bislang zwar auch schon im Rahmen der PSD2 und in den von der Europäischen Bankenaufsichtsbehörde (EBA) formulierten technischen Standards, diese werden aber nun weiter ergänzt bzw. von der EBA konkretisiert werden. Ziel dieser Anpassungen ist es, eine Standardisierung der APIs zu erreichen (Art. 36 PSR-Entwurf iVm Erwägungsgrund 59 PSR).
Die PSR wird außerdem neue Leistungsanforderungen an APIs und ihre Mindestfunktionalitäten einführen. Weiters legt die PSR erstmals spezielle Regelungen an die Verfügbarkeit und die Antwortzeiten (Latenz) von APIs fest. Die Latenzzeit von Open-Banking-APIs sollte nicht länger sein als die Latenzzeit der Online- oder Mobile-Banking-Anwendung (Art. 37 PSR-Entwurf).
Kontoführende Zahlungsdienstleister sollen zudem dazu verpflichtet werden, künftig mindestens eine API für den Zugang zu Open Banking-Diensten bereitzustellen (Art. 35 Z 1 PSR-Entwurf). Sie sollen für den Kontozugang jedoch keine vertragliche Vereinbarung mit dem Drittanbieter verlangen dürfen, sodass der Dienst für Nutzer der APIs kostenlos bleibt. Eine permanente Ausweichschnittstelle (fallback interface) soll hingegen nicht mehr erforderlich sein.
Kontoführende Zahlungsdienstleister werden künftig auch umfassende Pflichten zur Prävention von Ausfällen von APIs treffen (Art. 38 PSR-Entwurf).
Einführung von Genehmigungs-Dashboards
Um die Funktionen des Open Bankings für Zahlungsdienstnutzer zu verbessern, sollen kontoführende Zahlungsdienstleister verpflichtet werden, ein Dashboard für die Nutzer zu erstellen. In diesem Dashboard sollen die Zahlungsdienstnutzer einen Überblick über die Datenzugriffsberechtigungen erhalten, die sie Drittanbietern erteilt haben, einschließlich Zweck und Dauer der Berechtigungen sowie ausstehenden Berechtigungen. Die Zahlungsdienstnutzer sollen über das Dashboard die erteilten Berechtigungen verwalten und gegebenenfalls sperren können. Der Zahlungsdienstleister ist verpflichtet, die betroffenen Drittanbietern unverzüglich darüber zu informieren, wenn eine Datenzugangsberechtigung entzogen wird (Art. 43 Z 1 iVm Z 2 PSR-Entwurf).
Die Kosten der geplanten Änderungen zu den APIs sollen nach dem Vorschlag der Europäischen Kommission von den Drittanbietern wie etwa Kontoinformationsdienstleistern getragen werden. Durch Einsparungen, wie etwa dem Entfall der Ausweichschnittstelle, soll diese Kostentragung jedoch ausgeglichen werden.
Gerne steht Ihnen das Financial Services Regulatory Team von Binder Grösswang zur Verfügung, um Sie frühzeitig bei der Vorbereitung auf die kommenden Anforderungen zu unterstützen.
Hinweis: Dieser Blog stellt lediglich eine generelle Information und keineswegs eine Rechtsberatung von Binder Grösswang Rechtsanwälte GmbH dar. Der Blog kann eine individuelle Rechtsberatung nicht ersetzen. Binder Grösswang Rechtsanwälte GmbH übernimmt keine Haftung, gleich welcher Art, für Inhalt und Richtigkeit des Blogs.