«Modernising payment services and opening financial services data». Mit diesem Titel verkündete die EU-Kommission in einer offiziellen Medienmitteilung vom 28. Juni ihren lang erwarteten Entwurf für die Zahlungsdiensterichtlinie PSD3 (mittlerweile 3. Vorlage, davor PSD1 und PSD2). Tatsächlich ist die PSD3 aber inzwischen vielmehr zu einem Bestandteil eines wesentlich umfangreicheren, zunehmend verdichteten Regulierungspakets (namentlich «Financial data access and payments package») geworden und im Kontext dessen vielleicht sogar der unwesentlichste – dazu aber gleich mehr. Analog PSD2 hat PSD3 zum Ziel, dass Verbraucherinnen und Verbraucher sicher elektronische Zahlungen in der EU tätigen können und dabei Dank reduzierter Markteintrittsbarrieren von einer breiteren Auswahl an Zahlungsdienstleistern (und damit potenziell günstigeren sowie neuen Angeboten) profitieren. Aufbauend aus den Erkenntnissen der PSD2-Umsetzung enthält PSD3 ein erweitertes Massnahmenpaket: zentral sind dabei u.a. die EU-übergreifende Harmonisierung der im Rahmen von PSD2 eingeführten Zahlungsdienste AIS und PSS durch eine Verschärfung von Einhaltungsvorschriften und entsprechenden Sanktionen, eine Angleichung der Wettbewerbsbedingungen zwischen Banken und Nicht-Banken sowie die Eindämmung von Zahlungsbetrug, z.B. durch eine verbesserte Authentifizierung von Kunden und Zahlungsempfängern. Ein Hauptproblem der PSD2 war, dass sie als «lose» Richtlinie in den einzelnen EU-Ländern unterschiedlich interpretiert bzw. in nationales Recht umgesetzt wurde und dadurch einen einheitlichen europäischen Ansatz verhinderte. Deshalb ergänzt die EU-Kommission PSD3 neu um eine «Payment Services Regulation (PSR)», die dort einheitliche Regeln im Zahlungsverkehr definiert, wo keine länderspezifischen Abweichungen mehr bestehen dürfen. Als direkte gesetzliche Verordnung findet PSR im Gegensatz zu PSD3 unmittelbar in allen EU-Staaten gleiche Anwendung. Welche regulatorischen Aspekte die Richtline PSD3 und welche die Verordnung PSR abdeckt, erfahrt ihr hier.
Soviel also zum Thema «Modernising Payments». Richtig spannend wird es aber im zweiten Teil der eingangs erwähnten Medienmitteilung: «Opening financial services data». Denn damit weitet die EU-Kommission den Regulierungsumfang erstmals von Open Banking auf Open Finance aus. Das rechtliche Instrument dahinter heisst «Financial Data Access Regulation (FIDA)» und regelt die Rechte und Pflichten für die gemeinsame Nutzung von Kundendaten im Finanzsektor über Zahlungskonten hinaus. Neu sollen also auch Sparkonten, Depots, Kredite, Hypotheken, die Vorsorge und Versicherungen berücksichtigt werden. Inhaber von finanzbezogenen Kundenddaten – generell, also nicht mehr nur spezifisch Banken – sind verpflichtet, diese auf Kundenwunsch regulierten Datennutzern zur Verfügung zu stellen, indem sie die erforderliche technische Infrastruktur einrichten. Hochinteressant sind dabei insbesondere folgende Rechte und Pflichten im Rahmen der FIDA:
- Vollständige Kontrolle der Verbraucherinnen und Verbraucher darüber, wer auf ihre Daten zugreift und zu welchem Zweck («Consent Management»), sichergestellt durch spezielle Dashboards, über die Kunden ihre Zustimmung für den Datenzugriff durch Dritte erteilen bzw. widerrufen können (DSGVO-konform). Diese Dashboards müssen die Datenhalter zur Verfügung stellen.
- Standardisierung von Kundendaten und der erforderlichen technischen Schnittstellen im Rahmen von «Data Sharing Schemes», an denen sowohl Dateninhaber als auch die Datennutzer teilnehmen müssen. In diesen Schemes sind ebenso klare Haftungsregelungen für Datenschutzverletzungen und Streitbeilegungsmechanismen zu definieren.
- Schaffung monetärer Anreize für Dateninhaber, qualitativ hochwertige Schnittstellen im Rahmen der Data Sharing Schemes einzurichten, in Form einer angemessenen Entschädigung durch Datenkonsumenten.
Finanzinstitute (Banken, aber auch andere Datenhalter im Umfang von Open Finance) müssen in den Aspekten Standardisierung, Governance oder Haftung im Rahmen der Data Sharing Schemes sowie beim Thema «Consent Management» also noch einmal über die Bücher. Dafür erlaubt ihnen dieser neue Rahmen erstmals auch die Option der Monetarisierung ihrer obligatorischen Schnittstellen. Vergleicht man den aktuellen Regulierungsstand in der EU mit der Situation in der Schweiz, dann fällt auf, dass es genau die oben genannten Anforderungen waren, die SIX bei der Entwicklung der bLink-Plattform als Grundlage berücksichtigt hat: ein einheitlich vorgegebenes Consent Management, ein hoher Standardisierungsgrad, einheitliche Vertrags- und Haftungsregelungen, eine klare Governance (letztere im Zusammenspiel mit Branchenverbänden wie der SBVg, Swiss Fintech Innovations und OpenWealth) sowie die Möglichkeit für Datenanbieter, gegenüber Datenkonsumenten Gebühren für den Zugriff auf ihre Schnittstellen zu erheben. Insofern kann bLink als ein Data Sharing Scheme im Sinne der neuen EU-Regulierung verstanden werden – mit dem Unterschied, dass dieses in der Schweiz aktuell freiwillig ist.
Wie die Schemes in der EU aussehen werden, ist aktuell noch unklar. Fakt ist aber, dass der Markt nach Verabschiedung der neuen Gesetzesakte (vermutlich noch vor den Europawahlen 2024) 18 Monate Zeit hat, um gemeinsam und in Eigenverantwortung die genannten Aspekte und Bedingungen für den zukünftigen Datenaustausch im Finanzsektor umzusetzen. FIDA dürfte einiges auf den Kopf stellen und den internationalen Wettbewerb durch das Öffnen neuer Türen zustätzlich verschärfen. Es kommen also spannende Zeiten auf uns zu, die uns wohl des Öfteren in den EU-Raum rüber schielen lassen werden – und womöglich sogar auch andersrum?