Am 18. Juni skizzierte der Rat der Europäischen Union seinen Ansatz zur Ausarbeitung eines Mandats für die überarbeitete Zahlungsdiensterichtlinie (PSD3). Dies bedeutet nicht, dass bereits eine endgültige Einigung erzielt wurde, markiert jedoch den Beginn von Verhandlungen, die zu einem Mandat für PSD3 und die begleitende Zahlungsdiensteverordnung (PSR) führen werden.
Für alle, die mit dem Verfahren nicht vertraut sind: Die PSR wird im Wesentlichen die operationellen und verbraucherbezogenen Vorschriften aus PSD2 in verbindliche Regelungen überführen. Bemerkenswerterweise wird die PSR nicht die Vorschriften zur Lizenzierung und Aufsicht sowie zur Zulassung von Zahlungsinstituten (ZIs) und E-Geld-Instituten (EGIs) umfassen. Der dahinterliegende Gedanke ist es, auf nationaler Ebene mehr Flexibilität bei Zulassung und Aufsicht zu ermöglichen.
Wichtige Ergebnisse der Ratsvereinbarung
Ein Schwerpunkt der Vereinbarung liegt auf der Notwendigkeit, mit PSD3 effektivere Maßnahmen gegen Betrug zu ermöglichen. Besonders wird betont, dass Anbieter elektronischer Kommunikationsdienste stärker in Betrugsprävention eingebunden werden sollen.
Die von der Kommission vorgeschlagene Verordnung sieht vor, Zahlungsdienstleister (PSPs) haftbar zu machen für autorisierte Zahlungen, bei denen Verbraucher durch Täuschung zur Freigabe gebracht wurden, z. B. durch sogenannte „Impersonation Fraud“. Der Text des Europäischen Parlaments vom April 2024 schlug eine erhebliche Erweiterung dieser Haftung vor – auch auf Zahlungen im Zusammenhang mit „anderen relevanten öffentlichen oder privaten Stellen“. Der Rat hingegen hat keine vergleichbare Erweiterung der Haftung vorgeschlagen.
Die vom Rat genehmigten Texte sehen zudem vor, die Frist zur Erstattung im Falle von Impersonation Fraud von 10 auf 15 Geschäftstage zu verlängern. Diese Änderung deutet auf die Absicht hin, Erfahrungen aus dem britischen Erstattungsmodell aufzugreifen.
Darüber hinaus soll klargestellt werden, dass Verbraucher – wie im Vereinigten Königreich – verpflichtet sind, ihrem Zahlungsdienstleister relevante Informationen zum strittigen Zahlungsvorgang bereitzustellen.
Bezüglich Anbieter elektronischer Kommunikationsdienste (ECSPs) zielen die Änderungen des Rats darauf ab, große Technologieunternehmen („Big Tech“) in den regulatorischen Rahmen einzubeziehen. Auch wenn dies mit den Zielen des Parlaments übereinstimmt, liegt der Fokus des Rats auf Maßnahmen zur sektorübergreifenden Zusammenarbeit zur Betrugsprävention und -aufdeckung. Im Gegensatz dazu befürwortete das Parlament eine Haftung von ECSPs gegenüber PSPs, falls diese nicht auf Hinweise zu betrügerischen Inhalten reagieren.
Die Änderungen des Rats beinhalten unter anderem die Verpflichtung für ECSPs, spezielle Kommunikationskanäle mit PSPs einzurichten, um einen effektiven Austausch von Informationen zur Bekämpfung von Betrugsrisiken zu gewährleisten.
In einer dem britischen Modell ähnelnden Maßnahme fordert der Rat zudem die Einführung eines freiwilligen Verhaltenskodex auf EU-Ebene, um Prävention, Sicherheit und die Bekämpfung von Zahlungs- und Finanzbetrug zu fördern.
Auch wenn das britische Erstattungsmodell deutlich weiter greift, zeigen Daten, dass 76 % der Betrugsfälle durch Authorisierte-Push-Payments (APP) online entstehen. Der Anwendungsbereich von PSD3 schließt sogenannte Dienstleistungs- und Warenbetrug aus, die im Vereinigten Königreich 30 % der Gesamtschäden ausmachen. Bemerkenswert ist jedoch, dass 16 % der APP-Fälle im Vereinigten Königreich durch Telekommunikation entstehen – der Großteil davon fällt unter die PSD3-Erstattungsregelung, betrifft höhere Schadenssummen und macht 43 % der Gesamtschäden aus.
Weitere Schwerpunkte sind verbesserter Verbraucherschutz und größere Transparenz bei Gebühren – z. B. bei Geldautomaten, Währungsumrechnungen und Kartensystemgebühren (Visa, Mastercard).
Der Rat betont auch die Notwendigkeit technologischer Innovationen und Schutzmaßnahmen, um Verbraucher zu schützen und Zahlungsdienstleister dazu zu motivieren, Zugang zu zentralen Zahlungssystemen zu erhalten. Ziel ist es, gleiche Wettbewerbsbedingungen zu schaffen.
Auch Krypto-Assets werden nicht ausgeklammert – der Rat möchte sie in den Anwendungsbereich einbeziehen. PSD3 wird sich daher auch auf E-Geld-Token, Zulassungsanforderungen für Krypto-PSPs und Geldwäscheprävention im Bereich Krypto-Zahlungsdienste konzentrieren.
Überraschungen enthält die Ratsposition nicht, wohl aber klare Auswirkungen für Zahlungsdienstleister aller Größenordnungen.
Da die Erstattungsquoten in der EU im internationalen Vergleich hinterherhinken, wächst der Druck auf nationaler Ebene zur Verbesserung des Verbraucherschutzes. Regulierungsbehörden wie die Banque de France fordern von PSPs eine Prüfung, ob der Kunde der Transaktion tatsächlich zustimmte – auch wenn diese formal autorisiert wurde.
Der Rat bekräftigt die Regelung aus PSD2 (Art. 72), wonach die Beweislast beim Zahlungsdienstleister liegt. Er muss belegen, dass die Transaktion authentifiziert, dokumentiert und nicht durch technische Mängel oder Kompromittierung beeinflusst war.
Zusammenfassend lässt sich sagen, dass der Rat entschlossen ist, sicherzustellen, dass Betrugsopfer nicht allein gelassen werden, weil sich Zahlungsdienstleister auf technische Details zur Sorgfaltspflicht berufen. Ziel ist ein einheitlicherer Verbraucherschutz durch die Aufsichtsbehörden.
In Großbritannien gab es bereits Entscheidungen der Finanz-Ombudsstelle gegen PSPs, bei denen Kontrollen versagten – auch wenn der Verbraucher aus Sicht des PSPs zum Teil fahrlässig handelte.
Die Sichtweise setzt sich durch, dass Verbraucher nicht für hochentwickelte Betrugsmaschen verantwortlich gemacht werden dürfen, die sie angemessen nicht erkennen konnten. Diese Haltung dürfte sich verstärken, da Betrüger zunehmend Künstliche Intelligenz einsetzen – sowohl zur Optimierung als auch zur Automatisierung ihrer kriminellen Strategien.
Das Risiko solcher Technologien wird zusätzlich durch den EU-weiten Vorstoß zu Echtzeitzahlungen verschärft. Kriminelle können innerhalb von 10 Sekunden ihre Beute grenzüberschreitend verschieben.
Unvermeidlich stellt sich die Frage, ob sich ein „perfekter Sturm“ zusammenbraut: Die Geschwindigkeit technologischer Entwicklungen, das Ausmaß von Datenpannen und die Kreativität von Kriminellen könnten dazu führen, dass PSD3 Betrug in der EU kaum eindämmen, geschweige denn reduzieren kann.