Die technologiegetriebenen Innovationen im Zahlungsverkehr haben eine Vielzahl von neuen Produkten und Anbietern hervorgebracht. Spontan denkt man an Bitcoin, Ethereum oder Ripple oder an eine weitere der rund 1500 Kryptow\u00e4hrungen. Diese dienen allerdings heute nur selten als Zahlungsmittel; sie werden prim\u00e4r als Anlageinstrumente eingesetzt. Doch\u00a0 auch im eigentlichen Zahlungsverkehr gibt es Innovationssch\u00fcbe, die un\u00fcbersehbar sind, wie etwa die Near-Field-Technologie, die von Apple Pay oder der Schweizer Bezahl-App Twint verwendet wird. Die neuen Technologien sind in den letzten Jahren zur Gewohnheit geworden und haben die Abwicklung von Zahlungsvorg\u00e4ngen stark ver\u00e4ndert und beschleunigt.
\n
\nGetrieben werden die Entwicklungen nicht zuletzt durch die sogenannten Finanztechnologieunternehmen (Fintechs). Sie brechen die traditionelle Wertsch\u00f6pfungskette der Banken auf, nutzen aber vielfach deren Infrastruktur f\u00fcr die eigene Dienstleistung. Ein Zahlungsverkehr ganz ohne Banken, wie ihn die Blockchain-Technologie verspricht, ist momentan noch Wunschdenken.
\n
\nDas \u00abSurfen auf der Bankinfrastruktur\u00bb versch\u00e4rft die Problematik der Datensicherheit und des Datenschutzes, die beim elektronischen Zahlungsverkehr ohnehin schon bestehen. Eng damit verbunden ist die Gefahr von unbefugten Zugriffen auf die Konten von Bankkunden, namentlich durch Hackerangriffe.
\n
\nDie EU hat bereits darauf reagiert. Das Auftreten von Anbietern ohne Banklizenz und die erh\u00f6hte Gefahr von Hackerangriffen wurden mit der Revision der ersten Zahlungsdiensterichtlinie aus dem Jahr 2009 angegangen. Die zweite Zahlungsdiensterichtlinie (Second Payments Services Directive, PSD2) gilt seit Anfang 2018.
<\/p>\n
\nMit der neuen EU-Richtlinie PSD2 werden drei Kategorien von sogenannten Dritten Zahlungdienstleistern auf dem Markt f\u00fcr Zahlungsdienste zugelassen: Kontoinformationsdienste, Zahlungsausl\u00f6sedienste und Drittemittenten von Zahlungskarten. Letztere gibt es auf dem Markt noch nicht, weshalb sich die gegenw\u00e4rtige Diskussion auf die ersten beiden konzentriert.
\n
\nKontoinformationsdienste wie etwa Qontis ziehen s\u00e4mtliche Kontoinformationen eines Bankkunden bei den verschiedenen Banken zusammen und erlauben einen benutzerfreundlichen \u00dcberblick \u00fcber dessen gesamte Finanzlage. Sie werden meist mit anderen Diensten, wie Liquidit\u00e4tstools oder Budgetierungstools, kombiniert. Bei den Zahlungsausl\u00f6sediensten wie zum Beispiel Klarna (fr\u00fcher Sofort GmbH) handelt es sich um eine Softwarebr\u00fccke zwischen den E-Commerce-H\u00e4ndlern und den Webportalen der Bank, die einen einfachen Zahlungsvorgang erm\u00f6glicht. Bei beiden Diensten gew\u00e4hrt die Kundin den Zahlungsdienstleistern einen direkten Onlinezugriff auf ihr Bankkonto, indem sie ihre pers\u00f6nliche PIN oder Transaktionsnummer auf dem Webportal der externen Zahlungsdienstleister eingibt. Dieser Vorgang, den man \u00abscreen scraping\u00bb nennt, ist anf\u00e4llig f\u00fcr Hackerangriffe (sogenannte Man-in-the-Middle-Attacken).
\n
\nAuch in der Schweiz haben sich Kontoinformationsdienste und Zahlungsausl\u00f6sedienste etabliert. Wer diese Dienste nutzt, tr\u00e4gt zurzeit aber die gesamte Verantwortung f\u00fcr St\u00f6rvorg\u00e4nge, insbesondere auch f\u00fcr Hackerangriffe auf das Bankkonto. Denn die Schweizer Banken untersagen in ihren Allgemeinen Gesch\u00e4ftsbedingungen (AGB) den Kunden, ihre PIN und Transaktionsnummer an Externe weiterzugeben.
<\/p>\n
\nGanz andere Wege geht die EU mit der PSD2. Die Banken werden darin ausdr\u00fccklich verpflichtet, den Dritten Zahlungsdienstleistern den Zugang zu den Konten zu gew\u00e4hren, falls die Kunden dies w\u00fcnschen. Allerdings muss das \u00fcber eine separate Schnittstelle geschehen, denn das Screen Scraping wird in der EU nach einer \u00dcbergangsfrist verboten. Zudem werden die Banken allgemein zur Kooperation mit den neuen Zahlungsdienstleistern verpflichtet: So m\u00fcssen \u00dcberweisungen, die per Zahlungsausl\u00f6sedienste angestossen werden, gleich schnell und zu denselben Kosten ausgef\u00fchrt werden, wie wenn sie von der Bank selbst vorgenommen werden. Gem\u00e4ss Richtlinie muss die Bank auch dann mit dem Zahlungsausl\u00f6sedienst kooperieren, wenn kein Vertrag zwischen den beiden besteht. Das bedeutet, dass die Banken diesen Zugang unentgeltlich zur Verf\u00fcgung stellen m\u00fcssen. Das Trittbrettfahren von Dritten Zahlungsdienstleistern wird also bewusst gef\u00f6rdert. Die EU erhofft sich davon einen verst\u00e4rkten Wettbewerb auf dem Markt der Zahlungsdienste. F\u00fcr die Dritten Zahlungsdienstleister ist die forcierte Markt\u00f6ffnung allerdings mit dem Preis einer Regulierung verbunden: Sie ben\u00f6tigen eine Lizenz, und es gilt f\u00fcr sie ein umfangreiches Pflichtenheft bez\u00fcglich Datenschutz und Datensicherheit.
\n
\nIn der Schweiz werden die Drittanbieter hingegen nicht reguliert. Konkret bedeutet das, dass diese Dienstleister nach wie vor das Screen Scraping betreiben d\u00fcrfen und die Kunden das volle Risiko f\u00fcr Fehlvorg\u00e4nge tragen.
<\/p>\n
\nAuch beim heute wohl gr\u00f6ssten Risiko im elektronischen Massenzahlungsverkehr, den Hackerangriffen, geht die EU andere Wege als die Schweiz. So verpflichtet die PSD2 die Banken im Zusammenhang mit elektronischen Zahlungsvorg\u00e4ngen regulatorisch zu einer sogenannten starken Kundenauthentifizierung. Das bedeutet, dass die pers\u00f6nlichen Legitimationsmittel aus mindestens zwei unabh\u00e4ngigen Authentifizierungselementen bestehen m\u00fcssen und der Zahlungsvorgang dynamisch mit der \u00dcberweisungssumme und dem Zahlungsempf\u00e4nger verkn\u00fcpft sein muss. Die Freigabe eines Online-Zahlungsvorgangs, der beispielsweise per PIN und Transaktionsnummer am Computer ausgel\u00f6st wird, kann nur erfolgen, wenn die Kundin zus\u00e4tzlich einen weiteren Code auf einem unabh\u00e4ngigen Ger\u00e4t, etwa einem Smartphone, erh\u00e4lt und mit diesem Code gleichzeitig mitgeteilt wird, an wen die Zahlung geht und welche Summe \u00fcberwiesen werden soll. So werden typische Man-in-the-Middle-Attacken erkennbar.
\n
\nZudem werden die hohen Sicherheitsstandards in der EU nicht nur regulatorisch, sondern auch \u00fcber die Haftungsverteilung durchgesetzt. Verlangt die Bank f\u00fcr die elektronische Zahlungsausl\u00f6sung keine starke Kundenauthentifizierung, muss sie den unbefugt abgezogenen Betrag auch dann ersetzen, wenn die Kundin sich im Umgang mit ihren pers\u00f6nlichen Legitimationsmitteln grob fahrl\u00e4ssig verhalten hat. Nur gerade bei betr\u00fcgerischer Absicht kann die Bank also das Risiko einer unautorisierten Transaktion auf die Kundin abw\u00e4lzen. Dar\u00fcber hinaus begrenzt die EU das Risiko der Kunden selbst bei einem starken Kundenauthentifizierungsverfahren auf 50 Euro, wenn diese leicht fahrl\u00e4ssig gehandelt haben. Allerdings sollten solche Konstellationen nach Einf\u00fchrung der starken Kundenauthentifizierung nicht mehr vorkommen. Denn: Wer trotz Angabe des Zahlungsempf\u00e4ngers und des \u00dcberweisungsbetrags eine unbefugte Zahlung freigibt, muss sich grobe Fahrl\u00e4ssigkeit vorhalten lassen.
\n
\nAnders in der Schweiz: Zwar hat sich auch hier die 2-Faktoren-Authentifizierung mit PIN und Transaktionsnummer etabliert, aber die wenigsten Finanzinstitute bieten eine starke Kundenauthentifizierung nach dem EU-Muster an. Zudem sehen die AGB der Schweizer Banken vor, dass eine Zahlung immer dann als autorisiert gilt, wenn sie unter Verwendung der personalisierten Legitimationsmittel erfolgt. Das Risiko f\u00fcr Hackerangriffe tr\u00e4gt also uneingeschr\u00e4nkt die Kundin. Ob eine solche vertragliche Ausgestaltung der Risikoverteilung privatrechtlich zul\u00e4ssig ist, ist fraglich. Aber sie ist in den AGB so geregelt, und die betrogenen Kunden m\u00fcssten ihre Rechte erst durch alle Instanzen klagen. Zwar m\u00f6gen die Banken sich \u2013 gerade im Fall von breit angelegten Hackerangriffen \u2013 kulant zeigen. Kulanz ist aber aus Kundensicht kein nachhaltiges L\u00f6sungsmodell.
<\/p>\n
\nDie EU hat auf die Innovationen und die erh\u00f6hten Risiken im Zahlungsverkehr reagiert und mit der PSD2 klare Entscheidungen getroffen. Sie \u00f6ffnet den Markt f\u00fcr ausgew\u00e4hlte neue Zahlungsdienstleister und f\u00f6rdert durch den zunehmenden Wettbewerb, dass die Wertsch\u00f6pfung im Zahlungsverkehr auch Drittanbietern offensteht. Gleichzeitig verlangt sie hohe Sicherheitsstandards und erweitert den Kundenschutz.
\n
\nIn der Schweiz hat sich die Bankiervereinigung in einem Positionspapier vom September 2017 gegen eine entsprechende schweizerische Regulierung ausgesprochen. Die Kritik richtet sich insbesondere gegen den regulatorischen Zwang zur Markt\u00f6ffnung f\u00fcr die Konkurrenz aus dem Nichtbankensektor. Gem\u00e4ss der Bankiervereinigung stellt dieser einen unn\u00f6tigen Eingriff in einen funktionierenden Markt dar. Zudem sei die \u00d6ffnung aus Sicherheitsgr\u00fcnden bedenklich, und die Kunden m\u00fcssten die damit verbundenen Kosten tragen.
\n
\nDie PSD2 ist keine leicht verdauliche Regulierungskost. Sie hat aber den Vorteil, dass die neuen Anbieter von Zahlungsdiensten in die Regulierung eingebunden sind. Das schafft f\u00fcr die Nutzer von Zahlungsdiensten mehr Sicherheit. Mittelfristig ist es unvermeidbar, dass man f\u00fcr diesen Sektor regulatorische Eckpunkte setzt. Dann wird man allerdings auch die Frage eines regulatorisch vorgegebenen Open Banking erneut diskutieren m\u00fcssen, bei dem auch Drittanbieter Zugang zum Markt f\u00fcr Zahlungsdienstleister haben.<\/p>","protected":false},"excerpt":{"rendered":"
Die technologiegetriebenen Innovationen im Zahlungsverkehr haben eine Vielzahl von neuen Produkten und Anbietern hervorgebracht. Spontan denkt man an Bitcoin, Ethereum oder Ripple oder an eine weitere der rund 1500 Kryptow\u00e4hrungen. Diese dienen allerdings heute nur selten als Zahlungsmittel; sie werden prim\u00e4r als Anlageinstrumente eingesetzt. Doch\u00a0 auch im eigentlichen Zahlungsverkehr gibt es Innovationssch\u00fcbe, die un\u00fcbersehbar sind, […]<\/p>","protected":false},"author":4675,"featured_media":22604,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"om_disable_all_campaigns":false,"ep_exclude_from_search":false,"footnotes":""},"post__type":[69,66],"post_opinion":[],"post_serie":[],"post_content_category":[96],"post_content_subject":[],"acf":{"seco_author":4675,"seco_co_author":null,"author_override":"","seco_author_post_ocupation_year":"","seco_author_post_occupation_de":"Professorin f\u00fcr Privat- und Bankrecht und Direktorin des Instituts f\u00fcr Bankrecht, Universit\u00e4t Bern","seco_author_post_occupation_fr":"Professeure de droit priv\u00e9 et de droit bancaire, directrice de l\u2019Institut de droit bancaire de l\u2019universit\u00e9 de Berne","seco_co_authors_post_ocupation":null,"short_title":"Fintechs im EU-Zahlungsverkehr","post_lead":"Innovationen von Nichtbanken revolutionieren den Zahlungsverkehr. Doch die traditionellen Banken wehren sich gegen eine regulierte Markt\u00f6ffnung. Anders als die Schweiz hat die EU darauf reagiert: Sie \u00f6ffnet den Markt f\u00fcr Drittanbieter, fordert aber gleichzeitig h\u00f6here Sicherheitsstandards.","post_hero_image_description":"Wer in der Schweiz Zahlungsdienstleistungen von Nichtbanken nutzt, tr\u00e4gt die Verantwortung bei Hackerangriffen selber.","post_hero_image_description_copyright_de":"Keystone","post_hero_image_description_copyright_fr":"","post_references_literature":"","post_kasten":null,"post_notes_for_print":"","first_teaser_header_de":"","first_teaser_header_fr":"","first_teaser_text_de":"","first_teaser_text_fr":"","second_teaser_header_de":"","second_teaser_header_fr":"","second_teaser_text_de":"","second_teaser_text_fr":"","kseason_de":"","kseason_fr":"","post_in_pdf":106943,"main_focus":[156247,156982],"serie_email":null,"frontpage_slider_bild":106947,"artikel_bild-slider":null,"legacy_id":"77975","post_abstract":"Die Digitalisierung f\u00fchrt auf dem Markt f\u00fcr Zahlungsdienste zu neuen Produkten und neuen Anbietern aus dem Nichtbankensektor. Das versch\u00e4rft nicht nur den Wettbewerb, sondern erh\u00f6ht auch das Risiko von unbefugten Zugriffen auf die Konten von Bankkunden. Wie sollen die Banken mit diesen neuen Akteuren umgehen? Und wie kann man die Kontosicherheit erh\u00f6hen? Die EU hat mit der zweiten Zahlungsdiensterichtlinie (PSD2) klare Entscheidungen getroffen. Sie forciert die \u00d6ffnung der Banken gegen\u00fcber neuen Anbietern (Fintechs) und erh\u00f6ht die Sicherheitsanforderungen bei elektronischen Zahlungs\u00advorg\u00e4ngen. In der Schweiz besteht seitens der Banken Widerstand gegen einen entsprechenden Regulierungsansatz. Mittelfristig lassen sich allerdings gewisse regulatorische Eckpunkte f\u00fcr die neuen Anbieter nicht vermeiden; sp\u00e4testens dann wird sich aber die Frage einer forcierten Markt\u00f6ffnung f\u00fcr Zahlungsdienste aus dem Nichtbankensektor erneut stellen.","magazine_issue":"20180601","seco_author_reccomended_post":null,"redaktoren":[3988,0],"korrektor":4139,"planned_publication_date":"20180525","original_files":null,"external_release_for_author":"20180424","external_release_for_author_time":"00:00:00","link_for_external_authors":"https:\/\/dievolkswirtschaft.ch\/exedit\/5acf715068154"},"_links":{"self":[{"href":"https:\/\/dievolkswirtschaft.ch\/de\/wp-json\/wp\/v2\/posts\/106940"}],"collection":[{"href":"https:\/\/dievolkswirtschaft.ch\/de\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/dievolkswirtschaft.ch\/de\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/dievolkswirtschaft.ch\/de\/wp-json\/wp\/v2\/users\/4675"}],"replies":[{"embeddable":true,"href":"https:\/\/dievolkswirtschaft.ch\/de\/wp-json\/wp\/v2\/comments?post=106940"}],"version-history":[{"count":1,"href":"https:\/\/dievolkswirtschaft.ch\/de\/wp-json\/wp\/v2\/posts\/106940\/revisions"}],"predecessor-version":[{"id":126214,"href":"https:\/\/dievolkswirtschaft.ch\/de\/wp-json\/wp\/v2\/posts\/106940\/revisions\/126214"}],"acf:user":[{"embeddable":true,"href":"https:\/\/dievolkswirtschaft.ch\/de\/wp-json\/wp\/v2\/users\/4139"},{"embeddable":true,"href":"https:\/\/dievolkswirtschaft.ch\/de\/wp-json\/wp\/v2\/users\/0"},{"embeddable":true,"href":"https:\/\/dievolkswirtschaft.ch\/de\/wp-json\/wp\/v2\/users\/3988"},{"embeddable":true,"href":"https:\/\/dievolkswirtschaft.ch\/de\/wp-json\/wp\/v2\/users\/4675"}],"acf:post":[{"embeddable":true,"href":"https:\/\/dievolkswirtschaft.ch\/de\/wp-json\/wp\/v2\/main_focus_post\/156982"},{"embeddable":true,"href":"https:\/\/dievolkswirtschaft.ch\/de\/wp-json\/wp\/v2\/main_focus_post\/156247"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/dievolkswirtschaft.ch\/de\/wp-json\/wp\/v2\/media\/22604"}],"wp:attachment":[{"href":"https:\/\/dievolkswirtschaft.ch\/de\/wp-json\/wp\/v2\/media?parent=106940"}],"wp:term":[{"taxonomy":"post__type","embeddable":true,"href":"https:\/\/dievolkswirtschaft.ch\/de\/wp-json\/wp\/v2\/post__type?post=106940"},{"taxonomy":"post_opinion","embeddable":true,"href":"https:\/\/dievolkswirtschaft.ch\/de\/wp-json\/wp\/v2\/post_opinion?post=106940"},{"taxonomy":"post_serie","embeddable":true,"href":"https:\/\/dievolkswirtschaft.ch\/de\/wp-json\/wp\/v2\/post_serie?post=106940"},{"taxonomy":"post_content_category","embeddable":true,"href":"https:\/\/dievolkswirtschaft.ch\/de\/wp-json\/wp\/v2\/post_content_category?post=106940"},{"taxonomy":"post_content_subject","embeddable":true,"href":"https:\/\/dievolkswirtschaft.ch\/de\/wp-json\/wp\/v2\/post_content_subject?post=106940"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}