Die Richtlinie (EU) 2015/2366, meist als PSD2 bezeichnet, ist die zweite EU-Zahlungsdiensterichtlinie. Sie regelt den europäischen Rechtsrahmen für Zahlungsdienste, stärkt den Schutz von Zahlungsdienstnutzern, erweitert den Kreis der beaufsichtigten Zahlungsdienstleister und schafft Regeln für neue digitale Zahlungsdienste. Als Richtlinie gilt sie nicht unmittelbar, sondern bedarf grundsätzlich der Umsetzung durch die Mitgliedstaaten, also auch durch Österreich.
Was regelt Richtlinie (EU) 2015/2366?
Die PSD2 modernisiert das europäische Zahlungsdiensterecht und ersetzt in weiten Bereichen die frühere Zahlungsdiensterichtlinie. Ihr Ziel ist ein einheitlicherer und sichererer Zahlungsverkehr im Binnenmarkt. Erfasst werden vor allem Überweisungen, Lastschriften, Kartenzahlungen und bestimmte Online-Zahlungsvorgänge. Die Richtlinie enthält Vorgaben dazu, wer Zahlungsdienste erbringen darf, welche Informationspflichten gegenüber Kundinnen und Kunden bestehen und wie Rechte und Pflichten bei der Ausführung von Zahlungen verteilt sind.
Ein wesentlicher Schwerpunkt liegt auf neuen Marktteilnehmern. Die PSD2 erfasst insbesondere Zahlungsauslösedienste und Kontoinformationsdienste. Zahlungsauslösedienste ermöglichen es, eine Zahlung unmittelbar vom Zahlungskonto der Kundin oder des Kunden auszulösen, ohne dass zwingend das Online-Banking der kontoführenden Bank verwendet werden muss. Kontoinformationsdienste bereiten Kontodaten aus einem oder mehreren Zahlungskonten auf und stellen sie in gebündelter Form dar. Damit wurde der europäische Rechtsrahmen an die technische Entwicklung des digitalen Zahlungsverkehrs angepasst.
Außerdem verschärft die Richtlinie die Sicherheitsanforderungen. Besonders bekannt ist die Vorgabe zur starken Kundenauthentifizierung. Darunter versteht man zusätzliche Sicherheitsmechanismen bei elektronischen Zahlungen und beim Zugriff auf Zahlungskonten. Die Richtlinie selbst enthält den Grundsatz, während technische Details teilweise durch ergänzende unionsrechtliche Vorgaben konkretisiert wurden.
Ein weiterer Kernbereich betrifft die Haftung und den Verbraucherschutz. Die PSD2 regelt etwa, welche Informationen vor und nach einer Zahlung zur Verfügung zu stellen sind, wie mit nicht autorisierten Zahlungsvorgängen umzugehen ist und in welchem Ausmaß Nutzerinnen und Nutzer bei Missbrauch haften. Sie enthält auch Regeln zu Fristen, Entgelten und zur Transparenz im Verhältnis zwischen Zahlungsdienstleistern und ihren Kundinnen und Kunden.
Warum ist der Rechtsakt wichtig?
Die Richtlinie ist wichtig, weil sie den rechtlichen Rahmen für den modernen europäischen Zahlungsverkehr prägt. Ohne einheitliche Vorgaben würden grenzüberschreitende Zahlungen, digitale Geschäftsmodelle und neue FinTech-Angebote deutlich stärker durch nationale Unterschiede erschwert. Die PSD2 dient daher dem Binnenmarkt, dem Wettbewerb und dem Schutz der Nutzerinnen und Nutzer.
Besonders bedeutsam ist, dass die Richtlinie den Zugang zu Zahlungskonten unter bestimmten Voraussetzungen für neue, regulierte Anbieter geöffnet hat. Das wird häufig mit dem Begriff „Open Banking“ verbunden. Gemeint ist nicht ein schrankenloser Datenzugang, sondern ein rechtlich geregelter Zugang mit Zustimmung der Kontoinhaberin oder des Kontoinhabers und unter Aufsicht. Dadurch sollten Innovationen gefördert und die starke Stellung traditioneller Banken im Zahlungsverkehr relativiert werden.
Gleichzeitig reagiert die PSD2 auf Missbrauchs- und Sicherheitsrisiken im Online-Zahlungsverkehr. Gerade bei Karten- und Internetzahlungen war ein unionsweit abgestimmtes Sicherheitsniveau von großer praktischer Bedeutung. Die Richtlinie versucht daher, Innovation und Sicherheit miteinander zu verbinden.
Bedeutung für Österreich
Für Österreich ist die PSD2 vor allem durch ihre Umsetzung in das nationale Recht relevant. Da Richtlinien grundsätzlich nicht unmittelbar den gesamten innerstaatlichen Rechtsrahmen ersetzen, musste Österreich die unionsrechtlichen Vorgaben in österreichische Gesetze übernehmen. Zentral ist dabei das Zahlungsdienstegesetz 2018, das die PSD2 im österreichischen Recht umsetzt und den maßgeblichen Rahmen für Zahlungsdienste bildet.
In Österreich betrifft die Richtlinie daher nicht nur Banken, sondern auch Zahlungsinstitute, E-Geld-Institute und neue technische Dienstleister, soweit sie unter den unionsrechtlichen Zahlungsdiensterahmen fallen. Zuständig im Aufsichtsbereich ist insbesondere die österreichische Finanzmarktaufsicht (FMA), soweit das jeweilige nationale Aufsichtsrecht dies vorsieht.
Praktisch relevant ist die PSD2 in Österreich bei Online-Banking, Kartenzahlungen im Internet, Zahlungs-Apps, Kontoinformationsdiensten und Schnittstellen zwischen Banken und Drittanbietern. Auch österreichische Verbraucherinnen und Verbraucher profitieren von klareren Informationsrechten, Haftungsregeln und Sicherheitsstandards. Unternehmen wiederum müssen ihre Zahlungsabläufe und Kundenkommunikation an die gesetzlichen Vorgaben anpassen.
Im österreichischen Zusammenhang ist außerdem wichtig, dass die PSD2 nicht isoliert zu lesen ist. Sie steht in Verbindung mit unionsrechtlichen Datenschutzvorgaben, insbesondere der Datenschutz-Grundverordnung, sowie mit aufsichtlichen und technischen Vorgaben auf EU-Ebene. Für die Praxis ergibt sich daraus ein Zusammenspiel von Zahlungsdiensterecht, Aufsichtsrecht, Datenschutz und IT-Sicherheit.
Wer ist davon betroffen?
- Banken und Sparkassen, weil sie Zahlungskonten führen, Zahlungsvorgänge abwickeln und unter bestimmten Voraussetzungen Schnittstellen für regulierte Drittanbieter bereitstellen müssen.
- Zahlungsinstitute, E-Geld-Institute und FinTech-Unternehmen, insbesondere wenn sie Zahlungsauslösedienste, Kontoinformationsdienste oder andere Zahlungsdienste anbieten.
- Verbraucherinnen, Verbraucher und Unternehmen, weil sie Zahlungsdienste nutzen, Informationsrechte haben und von Haftungs- und Sicherheitsregeln unmittelbar betroffen sind.
Praktische Bedeutung
Im Alltag zeigt sich die Bedeutung der PSD2 vor allem bei elektronischen Zahlungen. Wer in Österreich online einkauft, mit Karte bezahlt oder eine Banking-App verwendet, bewegt sich regelmäßig im Anwendungsbereich des modernisierten Zahlungsdiensterechts. Die starke Kundenauthentifizierung führt etwa dazu, dass Zahlungen häufig durch zusätzliche Freigabeschritte abgesichert werden. Das kann über eine Banking-App, ein TAN-Verfahren oder andere gesetzeskonforme Sicherheitslösungen erfolgen.
Auch bei der Nutzung externer Finanz-Apps ist die Richtlinie praktisch relevant. Wenn eine App Kontostände und Umsätze mehrerer Konten bündelt oder im Auftrag der Nutzerin oder des Nutzers eine Zahlung auslöst, stellt sich die Frage, ob ein regulierter Kontoinformationsdienst oder Zahlungsauslösedienst vorliegt. Für österreichische Nutzerinnen und Nutzer ist dann wesentlich, ob der Anbieter rechtmäßig zugelassen oder registriert ist und welche Rechte bei Fehlern oder missbräuchlichen Vorgängen bestehen.
Für Unternehmen hat die PSD2 Bedeutung bei der Gestaltung von Bezahlprozessen, beim Einsatz externer Zahlungsdienstleister und bei der Einbindung von Online-Zahlmethoden in Webshops. Auch Fragen der Kostenstruktur, der Abwicklungsgeschwindigkeit und der technischen Schnittstellen hängen oft mittelbar oder unmittelbar mit diesem Rechtsrahmen zusammen.
Rechtlich wichtig ist außerdem die Abgrenzung zwischen autorisierten und nicht autorisierten Zahlungsvorgängen. Wird etwa eine Zahlung ohne Zustimmung der Kontoinhaberin oder des Kontoinhabers ausgelöst, greifen Schutzmechanismen und Haftungsregeln. Die konkrete Beurteilung hängt jedoch stets vom Einzelfall und vom österreichischen Umsetzungsrecht ab.
Abgrenzung zu anderen Regelungen
Die PSD2 ist eine Richtlinie des Unionsrechts und daher von EU-Verordnungen zu unterscheiden. Während Verordnungen grundsätzlich unmittelbar in allen Mitgliedstaaten gelten, müssen Richtlinien wie die PSD2 grundsätzlich erst in nationales Recht umgesetzt werden. Für Österreich ist daher nicht nur der Text der Richtlinie selbst, sondern vor allem das österreichische Umsetzungsrecht maßgeblich.
Abzugrenzen ist die PSD2 insbesondere vom allgemeinen Bankaufsichtsrecht. Nicht jede bankaufsichtsrechtliche Frage ist zugleich eine Frage des Zahlungsdiensterechts. Die PSD2 betrifft spezifisch Zahlungsdienste und bestimmte damit verbundene Marktteilnehmer. Ebenso ist sie vom Datenschutzrecht zu unterscheiden: Der Umgang mit Zahlungsdaten kann zwar durch die PSD2 ermöglicht oder begrenzt werden, die datenschutzrechtliche Zulässigkeit richtet sich aber zusätzlich nach den einschlägigen Datenschutzvorschriften.
Ferner ist die Richtlinie von Regelungen zu Kartengebühren, Geldwäscheprävention und zivilrechtlichen Vertragsfragen zu trennen. In der Praxis überschneiden sich diese Materien häufig, bleiben aber rechtlich eigenständig. Wer etwa einen Zahlungsdienst betreibt, muss regelmäßig nicht nur das Zahlungsdiensterecht, sondern auch gewerberechtliche, datenschutzrechtliche, zivilrechtliche und aufsichtsrechtliche Vorgaben beachten.
Der Begriff PSD2 ist unionsrechtlich und auch in Österreich gebräuchlich. Er bezeichnet keine eigenständige österreichische Gesetzesbezeichnung, sondern die Kurzbezeichnung der EU-Richtlinie und des dadurch geprägten Rechtsrahmens. Maßgeblich für die unmittelbare innerstaatliche Rechtsanwendung sind in Österreich vor allem die nationalen Umsetzungsvorschriften.
Quellen
- Richtlinie (EU) 2015/2366 des Europäischen Parlaments und des Rates vom 25. November 2015 über Zahlungsdienste im Binnenmarkt
- EUR-Lex
- Zahlungsdienstegesetz 2018 (ZaDiG 2018), Österreich
- Rechtsinformationssystem des Bundes (RIS)
- Finanzmarktaufsicht Österreich (FMA)
