Regulierungspflichtig oder nicht: Welche Anforderungen stellt PSD2 an FinTech-Startups?
Die PSD2-Richtlinie – was müssen FinTech-Startups beachten
Im Januar 2018 trat die überarbeitete Zahlungsrichtlinie in Kraft, die in der gesamten EU gilt. Insbesondere Onlinezahlungen, sowie Dienstleister auf diesem Gebiet, sogenannte Finanz-Start-ups (FinTech) sollen so deutlich verbesserte Marktbedingungen erhalten. Doch was heißt das konkret?
Die neue Richtlinie – worum geht es
Die PSD (Payment Service Directive) schafft in der überarbeiteten Variante PSD2 Rahmenbedingungen, um Verbraucher beim Onlinezahlungsverkehr besser zu schützen. Dazu gehört, das Dienstleister, die innovative Online- und Mobilfunkzahlungen entwickeln und anbieten, zielgerichtet unterstützt werden. Unterstützung bedeutet u.a., dass Banken Schnittstellen (Banking API) einrichten müssen, um diesen Dienstleistern den Zugriff auf Bankkundendaten zu ermöglichen. Das wiederum berührt Sicherheitsregelungen, wie HBCI (Online-Banking-Standards) und insbesondere den daraus weiterentwickelten FinTS (Finanzial Transaction Services). Die Folge, es besteht Regulierungsbedarf. Der innovativen Idee auf der einen Seite, steht die BaFin, als Kontrolleur, auf der anderen Seite gegenüber. Das ist nicht nur eine Frage der BaFin-Gebühren, das ist auch ein inhaltliches Problem. Wer ist erlaubnispflichtig und wer nicht?
Wen betrifft die Richtlinie als FinTech – was sind die Kriterien
Ganz grundsätzlich ist die Verarbeitung sensibler Finanzdaten registrierungspflichtig. Das muss ein Dienstleister im Einzelfall nach PSD2 prüfen. Dabei gibt es allerdings auch klare Kriterien, die eine BaFin Erlaubnis zwingend vorschreiben.
Kontoinformationsdienste (KID)
Ein FinTech Dienstleister der im Auftrag eines Kunden auf dessen Bankkonten zugreift, um über eine Banking API Serviceleistungen anzubieten, bedarf einer Genehmigung durch die Finanzaufsicht. Klassische Beispiele sind Kreditplattformen, Bankwechselservice oder Apps im Multi-Banking Bereich.
Zahlungsauslösedienste (ZAD)
Anbieter, die im Auftrag eines Kunden auf dessen Konto bei einem anderen Zahlungsdienstleister Transaktionen durchführen, gelten als Zahlungsdienst. Dabei greifen sie auf Authentifizierungsverfahren des kontoführenden Zahlungsdienstleisters zurück. Er bietet dafür eine Schnittstelle, die Banking API. Das ist regulierungspflichtig.
Während die Gebühren für die Erlaubnis als Zahlungsauslöse- oder Kontoinformationsdienst noch moderat sind, ist das Verfahren selber durchaus anspruchsvoll, um nicht zu sagen aufwendig. Ein Start-up kann da leicht in eine unangenehme Zeitverzögerung für seinen Markteintritt stolpern. Als Alternative bietet sich die Zusammenarbeit mit einem bereits zugelassenen Anbieter an. Im Schutz seiner Erlaubnis werden die Anforderungen abgedeckt, ohne das der Newcomer sich in ein ungewisses Antragsverfahren stürzen muss.
Fazit
Mit dem Zahlungsdienstaufsichtsgesetz (ZAG) und seiner Konkretisierung als PSD2-Richtlinie bestehen klare Regelungen für Finanzdienstleister im Bereich Zahlungsdienste. Start-ups, die innovative Ideen als Zahlungsdienst erbringen wollen, müssen Zulassungsbedingungen erfüllen, die von der Finanzaufsicht BaFin geprüft werden. Sie erteilt die notwendige Erlaubnis. Eine Alternative für Neugründungen, die einen schnellen Markteintritt für wichtig erachten, ist die Kooperation mit einem bereits zugelassenen Zahlungsdienstleister.