SEPA Instant Payment - POS und eCommerce-Abwicklung über Zahlungsauslösedienste und technische Dienstleister nach der PSD2
Veröffentlicht am 19th Feb 2016
Es ist die Absicht der EZB und des ERPB (Euro Retail Payments Board), mit Instant Payments die Geschwindigkeit von Zahlungen in der Europäischen Union erheblich zu steigern. Heute dauert es in der Regel einen Geschäftstag, bis eine Zahlung den Empfänger erreicht. Mit Instant Payments soll die Gutschrift “in real time”, 24 Stunden pro Tag, 365 Tage im Jahr, stattfinden. Das Verfahren wird voraussichtlich ab 2018 verfügbar sein – möglicherweise mit einer EU-gesetzlichen Verpflichtung der Zahlungsdienstleister, es durchzuführen.
Ein „Use Case“ von Instant Payment könnte es sein, damit im eCommerce oder am Point of Sale (POS) eine einfache und schnelle bargeldlose Zahlung Zug-um-Zug zu gewährleisten, so dass auch Garantien für zeitverzögerte Zahlungen (z.B. bei Kreditkarten) entfallen können. Zur Abwicklung wird es aber eines dazwischen geschalteten Dienstleisters bedürfen, der Händler und Online-Banking verknüpft. Für die Abwicklung von SEPA Instant Payment ist es also von erheblicher Bedeutung, die Regeln zur Zahlungsabwicklung über solche dritten Dienstleister unter der PSD2 zu betrachten und zu berücksichtigen.
Das Folgende ist die Zusammenfassung einer umfassenden Abhandlung, die der Autor in der Online-Fachzeitschrift jurisPR-BKR 2/2016 am 18. Februar 2016 veröffentlicht hat.
Einleitung
Aktuell bestehen zwei unterschiedliche Verfahren bei Abwicklung von Überweisungen – insbesondere im eCommerce – über dritte Dienstleister: (1) Das erste Verfahren ist dadurch gekennzeichnet, dass der Betreiber den Zahler von der Internetseite des Online-Shops in das Online-Banking seiner Hausbank leitet und ihn dort die Überweisung selbst durchführen lässt. Dort muss der Zahler sich in der Regel über Nutzerkennwort, PIN und TAN authentifizieren und kann dadurch die Zahlung auslösen. Dieses erste Verfahren besteht bei giropay, iDeal und eps. (2) Das zweite Verfahren weicht hiervon ab, indem der das Verfahren betreibende dritte Dienstleister vom Nutzer dessen Nutzerkennwort, PIN und eine TAN entgegennimmt und diese über das Online-Banking an die Hausbank des Zahlers weiterleitet. Dieses Verfahren liegt dem Bezahldienst Sofort Überweisung zugrunde.
Am 13. Januar 2018 werden die nationalen Umsetzungsgesetze zur zweiten Zahlungsdiensterichtlinie (PSD2) in Kraft treten. Die Sicherheitsvorschriften der PSD2 zur Kundenauthentifizierung und zur sicheren Kommunikation werden voraussichtlich im Oktober 2018 ihre Geltung erlangen. Am 8. Dezember 2015 hat die EBA bereits ein Diskussionspapier in Vorbereitung der technischen Regulierungsstandards zur Kundenauthentifizierung veröffentlicht; dessen Ausführungen sind in die nachfolgenden Überlegungen eingeflossen.
Im Folgenden sollen vor allem diese Vorschriften über die Abwicklung der Zahlung betrachtet werden. Sonstige regulatorische Fragen im Zusammenhang mit SCTinst, z.B. die Einhaltung von Geldwäscheregularien, Sanktionsprüfungen, Maßgaben der Geldtransferverordnung etc., Fragen im Zusammenhang mit einem etwaigen deferred settlement und dabei abzugebenden Garantien und Kreditierungen von SCTinst-Zahlungen und Fragen im Zusammenhang mit dem Risikomanagement der Zahlungsdienstleister, können an dieser Stelle nicht behandelt werden.
Dritter Dienstleister ermöglicht Auslösung des SEPA Instant Payment unter Geltung der PSD2
Im Verfahren (1) wird der Kunde über die vom Betreiber des Bezahlverfahrens angebotene Schnittstelle (online-Zahlungsportal oder App auf Mobiltelefon) in sein Online-Banking geleitet. Die vom Dienstleister angebotene Schnittstelle füllt zwar das elektronische Überweisungsformular aus (Zahlungsempfänger, IBAN, Betrag, Verwendungszweck einschl. Referenz des Händlers). Der Zahler selbst aber, d.h. nicht der dritte Dienstleister, gibt im Online-Banking die TAN zur Autorisierung des SEPA Instant Payment ein. D.h. der Zahler löst den Zahlungsvorgang und den Zahlungsauftrag selbst aus.
Der dritte Dienstleister, d.h. der Betreiber des Bezahlverfahrens, ist in diesem Verfahren kein Zahlungsauslösedienstleister im Sinn der PSD2. Eine Erlaubnis benötigt er auch nach Umsetzung der PSD2 in nationales Recht nicht.
Der Zahler löst dabei einen elektronischen (d.h. nicht papierhaften oder Phone- oder Mailorder) Zahlungsvorgang selbst aus. Deshalb ist eine starke Kundenauthentifizierung erforderlich.
POS SEPA Instant Payments mit starker Kundenauthentifzierung oder Ausnahmen
Eine Zahlung am POS mit SEPA Instant Payment unterscheidet sich von dem Verfahren bei einer eCommerce-Zahlung dadurch, dass der Zahler entweder über ein Smartphone oder über ein noch zu entwickelndes Kassenterminal in sein Online-Banking geleitet wird und dort – wenn das Verfahren (1) eingesetzt wird – selbst in seinem Online-Banking den Zahlungsauftrag und die Autorisierung abgibt. Bei Nutzung des Smartphones kann der Nutzer entweder selbst einen von der Kasse des Händlers erzeugten Code in eine dafür vorgesehene App eingeben oder das Kassenterminal kommuniziert über Near Field Communication (NFC) mit dem Smartphone und überträgt den Transaktionscode des Händlers in die Application.
Hierbei handelt es sich um einen elektronischen Zahlungsvorgang, weil die Zahlungsdaten und die Autorisierung vom Zahler elektronisch übermittelt werden.
Die damit erforderliche starke Kundenauthentifizierung könnte allenfalls entfallen oder durch eine alternative Kundenauthentifizierung ersetzt werden, wenn die von der EBA zu entwickelnden technischen Regulierungsstandards dies vorsehen.
Sollte eine starke Kundenauthentifizierung erforderlich sein, so ist bei einer Lösung über Smartphones möglicherweise zu berücksichtigen, dass die beiden Authentifizierungsfaktoren über zwei verschiedene Kanäle geleitet werden müssen. Das veröffentlichte Diskussionspapier der EBA vom 8. Dezember 2015 stellt die Notwendigkeit der zwei Kanäle aber in Frage.
Fernzahlungsvorgang
Sowohl das Smartphone des Kunden als auch ein entsprechendes Händlerterminal, in das der Kunde seine Autorisierung des Instant Payment-Zahlungsvorgangs eingibt, sind solche Fernkommunikationsgeräte im Verhältnis zwischen Zahlungsdienstleister und Zahlungsdienstnutzer. Nach der Definition kommt es nicht auf die körperliche Anwesenheit des Händlers am POS an. Deshalb ist auch am POS eine dynamische Verknüpfung von Transaktion, Zahler und Zahlbetrag erforderlich, wenn nicht eine von der EBA zu entwerfende Ausnahmeregelung eingreift.
Dritter Dienstleister löst SEPA Instant Payment für Zahler aus unter Geltung der PSD2
Anders sind die rechtlichen Rahmenbedingungen, wenn der zahlende Kunde im eCommerce-Portal oder am POS über die vom dritten Dienstleister angebotene Schnittstelle (online-Zahlungsportal oder App auf Mobiltelefon) nicht selbst in das Online-Banking seiner Hausbank geleitet wird. Im Verfahren (2) übergibt der zahlende Kunde über eine Schnittstelle (online-Zahlungsportal oder App auf Mobiltelefon) seine für die Auslösung eines Zahlungsvorgangs im Online-Banking erforderlichen Daten (PIN, TAN o.a., Zahlungsempfänger, dessen IBAN, Betrag, Verwendungszweck einschl Referenz des Händlers) an einen dritten Dienstleister und dieser leitet die Daten an die Hausbank des zahlenden Kunden weiter. Dabei kann auch hier die Übertragung der Händlerdaten durch die Anbindung des Systems des dritten Dienstleisters an das Händlerkassensystem unmittelbar zwischen diesen erfolgen.
Dritter Dienstleister als Zahlungsauslösedienst
Wenn der dritte Dienstleister selbst PIN und TAN des Zahlers an die Hausbank des Zahlers übermittelt, ist er ein Zahlungsauslösedienstleister.
Im Verfahren (2) löst der dritte Dienstleister auf Antrag des Zahlers den Zahlungsauftrag des Zahlers – und auch den Zahlungsvorgang – beim kontoführenden Zahlungsdienstleister aus im Sinn der Vorschriften der PSD2. Auslösen bedeutet dabei „Bewirken des Zugangs“ – je nach Fall – des Zahlungsauftrags und / oder der Autorisierung des Zahlungsvorgangs.
Dabei setzt die PSD2 keinen Vertrag zwischen Zahler und Zahlungsauslösedienstleister voraus; ein solcher Vertrag kann, muss aber nicht bestehen. Vielmehr dürfte es in den meisten Fällen so sein, dass der Geschäftsbesorgungsvertrag zwischen dem Händler und dem Zahlungsauslösedienstleister (z.B. Sofort) als Vertrag zugunsten des Zahlers wirkt und daraus das Recht des Zahlers resultiert, den Zahlungsauslösedienstleister als Erklärungsboten für die Herbeiführung des Zugangs des Zahlungsauftrags und der Autorisierung an den kontoführenden Zahlungsdienstleister zu nutzen.
Auslösung des SEPA Instant Payment über einen Zahlungsauslösedienst
Nach der PSD2 gelten die Regeln über starke Kundenauthentifizierung und die dynamische Verknüpfung bei Fernzahlungsvorgängen auch, „wenn Zahlungen über einen Zahlungsauslösedienstleister ausgelöst werden“. Das Auslösen einer Zahlung durch den Zahlungsauslösedienstleister wird dabei gleichgesetzt mit der Einleitung eines Fernzahlungsvorgangs.
Adressat der Vorschrift ist aber nach wie vor der kontoführende Zahlungsdienstleister; dieser muss die Auslösung über einen Zahlungsauslösedienstleister als Fernzahlungsvorgang behandeln und eine starke Authentifizierung nebst dynamischer Verknüpfung verlangen. Dass eine Zahlung über einen Zahlungsauslösedienstleister übermittelt wird, stellt der kontoführende Zahlungsdienstleister fest, weil der Zahlungsauslösedienstleister sich ihm gegenüber identifizieren muss; die Standards hierfür muss die EBA gemeinsam mit der Kommission als technische Regulierungsstandards festlegen.
Der Zahlungsauslösedienstleister muss die personalisierten Sicherheitsmerkmale des Zahlers entgegennehmen und als Erklärungsbote an den kontoführenden Zahlungsdienstleister weiterleiten.
Der Zahlungsauslösedienstleister selbst ist nicht zur starken Kundenauthentifizierung des Zahlers verpflichtet; dies gilt auch bei Auslösung eines SEPA Instant Payment.
SEPA Instant Payment am POS
Am POS wäre es im Verfahren (2) erforderlich, dass der Zahler an der Kasse des Einzelhändlers auf ein Zahlungsportal des (von der BaFin zugelassenen) Zahlungsauslösedienstleisters zugreifen kann. Dies kann entweder über ein Smartphone geschehen, in das der Zahler die Kassendaten (Betrag und Vorgangsnummer des Händlers), d.h. dessen Namen und Kontonummer und die personalisierten Sicherheitsmerkmale für sein Online-Banking eingibt, oder über ein besonderes Kassenterminal des Händlers, das dem Zahler diese Eingaben gestattet.
Auch das SEPA Instant Payment am POS ist – wenn es über einen Zahlungsauslösedienstleister erfolgt – ein Fernzahlungsvorgang, so dass eine starke Kundenauthentifizierung mit dynamischer Verknüpfung zwischen Transaktion, Zahlbetrag und Zahler erforderlich ist, es sei denn einzelne Ausnahmevorschriften würden eingreifen. Der Zahlungsauslösedienstleister muss auch hier keine eigene Kundenauthentifizierung gegenüber dem Zahler durchführen.