Für einen individuellen Ausdruck passen Sie bitte die Einstellungen in der Druckvorschau Ihres Browsers an. Regelwerk, EU 2022, Wirtschaft/Finanzwesen - EU Bund

Die Europäische Kommission -

gestützt auf den Vertrag über die Arbeitsweise der Europäischen Union,

gestützt auf die Richtlinie (EU) 2015/2366 des Europäischen Parlaments und des Rates vom 25. November 2015 über Zahlungsdienste im Binnenmarkt, zur Änderung der Richtlinien 2002/65/EG, 2009/110/EG und 2013/36/EU und der Verordnung (EU) Nr. 1093/2010 sowie zur Aufhebung der Richtlinie 2007/64/EG ¹, insbesondere auf Artikel 98 Absatz 4 Unterabsatz 2,

in Erwägung nachstehender Gründe:

(1) Artikel 10 der Delegierten Verordnung (EU) 2018/389 der Kommission ² sieht eine Ausnahme von der in Artikel 97 der Richtlinie (EU) 2015/2366 verankerten Pflicht zur starken Kundenauthentifizierung vor, wenn ein Zahlungsdienstnutzer nur auf seinen Kontostand und die jüngsten Vorgänge auf seinem Zahlungskonto zugreift, ohne dass dabei sensible Zahlungsdaten offengelegt werden. In diesem Fall dürfen Zahlungsdienstleister beim Zugriff auf Kontoinformationen von der starken Kundenauthentifizierung absehen, sofern beim erstmaligen Zugriff auf die Kontoinformationen und anschließend mindestens alle 90 Tage eine starke Kundenauthentifizierung verlangt wird.

(2) Die Nutzung dieser Ausnahme hat in der Praxis zu einer überaus unterschiedlichen Anwendung der Delegierten Verordnung (EU) 2018/389 geführt, wobei die starke Kundenauthentifizierung von manchen kontoführenden Zahlungsdienstleistern alle 90 Tage verlangt wird, von anderen dagegen in kürzeren Zeitabständen und von manchen, die die Ausnahme gar nicht anwenden, bei jedem Kontozugriff eine starke Kundenauthentifizierung verlangt wird. Diese Unterschiedlichkeit hat bei der Nutzung von Kontoinformationsdiensten zu unerwünschten Reibungen in der "Customer Journey" und zu negativen Auswirkungen auf die Dienste von Kontoinformationsdienstleistern geführt.

(3) Um ein angemessenes Gleichgewicht zwischen den Zielen der Richtlinie (EU) 2015/2366, d. h. zwischen der Erhöhung der Sicherheit, der Erleichterung von Innovationen und der Förderung des Wettbewerbs im Binnenmarkt sicherzustellen, ist es notwendig, die Anwendung der in Artikel 10 der Delegierten Verordnung (EU) 2018/389 vorgesehenen Ausnahme für den Fall, dass über einen Kontoinformationsdienstleister auf die Kontoinformationen zugegriffen wird, zu präzisieren. So sollte die starke Kundenauthentifizierung Zahlungsdienstleistern in einem solchen Fall nicht freigestellt sein, sondern sollte die Ausnahme verbindlich vorgeschrieben werden, sofern Bedingungen erfüllt sind, die darauf abzielen, den Schutz und die Sicherheit der Daten der Zahlungsdienstnutzer zu gewährleisten.

(4) Die Ausnahme sollte nur für den Zugriff auf den Kontostand und die jüngsten Zahlungsvorgänge auf einem Zahlungskonto gelten, bei dem keine sensiblen Zahlungsdaten offengelegt werden. Die Ausnahme sollte nur dann gelten, wenn die Zahlungsdienstleister beim erstmaligen Zugriff über den jeweiligen Kontoinformationsdienstleister bereits eine starke Kundenauthentifizierung verlangt haben, und sollte regelmäßig erneuert werden.

(5) Um den Schutz und die Sicherheit der Daten der Zahlungsdienstnutzer zu gewährleisten, sollten Zahlungsdienstleister jederzeit eine starke Kundenauthentifizierung verlangen dürfen, wenn sie objektiv gerechtfertigte und gebührend nachgewiesene Gründe im Zusammenhang mit einem nicht autorisierten oder betrügerischen Zugriff haben. Dies könnte der Fall sein, wenn die Transaktionsüberwachungsmechanismen des kontoführenden Zahlungsdienstleisters ein erhöhtes Risiko eines nicht autorisierten oder betrügerischen Zugriffs erkennen. Um eine einheitliche Anwendung der Ausnahme zu gewährleisten, sollten die kontoführenden Zahlungsdienstleister die Gründe für die Durchführung einer starken Kundenauthentifizierung in solchen Fällen dokumentieren und gegenüber ihrer zuständigen nationalen Behörde auf Verlangen gebührend rechtfertigen.

(6) Greift der Zahlungsdienstnutzer direkt auf die Kontoinformationen zu, sollte es den Zahlungsdienstleistern weiterhin freigestellt sein, ob sie eine starke Kundenauthentifizierung verlangen. Grund dafür ist, dass in solchen Fällen, im Gegensatz zum Zugriff über einen Kontoinformationsdienstleister, keine besonderen Probleme beobachtet wurden, die eine Änderung der in Artikel 10 der Delegierten Verordnung (EU) 2018/389 vorgesehenen Ausnahme erforderlich machen würden.

(7) Um gleiche Wettbewerbsbedingungen für alle Zahlungsdienstleister zu gewährleisten und im Einklang mit dem Ziel der Richtlinie (EU) 2015/2366