Interview zur PSD2: „Online-Händler sind keine Banker“

Die technischen Standards der EU-Richtlinie PSD2 treten am 14. September in Kraft. Einige Fristen wurden von der deutschen Bankenaufsichtsbehörde BaFin kurz vor dem Start verschoben. Was bedeuten die bevorstehenden Änderungen für Online-Händler, Kunden und Fintechs? Wir haben bei Mirko Hüllemann, Gründer und CEO der Heidelpay Group, und Stefan Krautkrämer, Gründer und Geschäftsführer von FinTecSystems, nachgefragt.  

OnlinehändlerNews: Kam es für Sie überraschend, dass die BaFin die Frist für die Einrichtung der offenen Schnittstellen zwischen Banken und Drittanbietern verschoben hat? 

Mirko Hüllemann (MH): Überhaupt nicht, das kam mit Ankündigung. Die EBA hatte es nationalen Aufsichtsbehörden ja schon davor freigestellt, dies zu tun. Nachdem wir die Erfahrung gemacht haben, dass die SEPA-Einführung 2014 verschoben wurde, war für uns klar, dass das auch diesmal so kommen wird. 

Stefan Krautkrämer (SK): Wir haben so früh wie möglich mit den Tests der neuen Schnittstellen begonnen und müssen nach umfangreichen Tests von mehr als 95 Prozent der Schnittstellen feststellen: Der überwiegende Teil der uns zur Verfügung gestellten Schnittstellen hat entweder keinen ausreichend funktionalen Umfang, baut enorme Hürden für Endkunden oder Anbieter auf oder ist schlicht technisch nicht performant. Daher ist die Entscheidung der BaFin zur Fristverlängerung folgerichtig und weitsichtig. Denn der Kern der PSD2 lautet ja: Drittanbieter dürfen nicht von Banken benachteiligt werden.

Es ist im Sinne des Kunden, dass wir Drittanbieter weiterhin in kompletter Breite alternative Zugänge zu Konten anbieten können. Klar ist aber auch, dass wir – ebenso wie die Banken – ein Interesse an starken Schnittstellen haben. Durch die Entscheidung der BaFin bleibt jetzt Zeit, gemeinsam an den Anforderungen für dedizierte Schnittstellen zu arbeiten. Wir stehen dafür bereit und gehen auch bereits aktiv auf Banken zu.

MH: Die PSD2 nützt eher den Fintechs, das ist politisch auch so gewollt. Denn die Banken haben seit der Einführung des Euros versäumt, für Innovationen zu sorgen, deswegen stärkt man jetzt die Fintechs. Leidtragende sind natürlich die Online-Händler, die hier mit Begriffen bombardiert werden, die selbst für Fachleute schwierig sind. Was bedeuten etwa PIS, AIS oder SCA? Welche Freigrenzen gibt es? Da entsteht natürlich Verwirrung bei Händlern.

Wie bewerten Sie, dass die BaFin anschließend auch noch die Frist für die Umsetzung der starken Kundenauthentifizierung (SCA) für Kreditkartenzahlungen im Internet verschoben hat? 

MH: Das ist mehr als fair. Der Händler ist ja der Leidtragende, wenn die SCA nicht umgesetzt werden. Jetzt haben sie ein bisschen mehr Zeit für die Umsetzung. Die Erleichterung betrifft auch nur die Kreditkarte, die nach unseren Studien im reinen Online-Handel nur bei 10 % aller Zahlungsvorgänge genutzt wird. Ich sehe den Stand der Umsetzung nicht so dramatisch: Die Payment Service Provider (PSPs) sind alle vorbereitet.

SK: Eine echte Fristverschiebung ist es ja nicht. Es wird nur die Kontrolle zur Einhaltung der Pflichten der SCA zum Stichtag 14. September 2019 nicht scharf geschaltet. Unsere Kunden, beispielsweise im Bereich E-Commerce, schauen sich die Conversion-Verluste sehr genau an und wir erkennen kleine, aber deutliche Verschiebungen im Check-out zugunsten anderer, sicherer Zahlarten. Dazu gehört auch onlineueberweisen.de von FinTecSystems oder die durch die digitale Kontoanalyse (XS2A) von FinTecSystems abgesicherten Lastschriften. Eine SCA haben diese Verfahren auch, sie gelten als sicher und sind wesentlich günstiger als die Kreditkarte. Kaufabbrüche im Check-out sind ja immer ärgerlich, besonders aber dann, wenn es an regulatorischen Hürden liegt. 

Die BaFin hat in ihrer Begründung zur Verlängerung der Frist für die Umsetzung der SCA angemerkt, dass die Zahlungsdienstleister in Deutschland ausreichend auf PSD2 vorbereitet seien – im Gegensatz zu den Online-Händlern. Teilen Sie diese Einschätzung?

SK: Ja. Es besteht immer noch Anpassungsbedarf bei vielen Händlern und dieser Prozess wird selten schnell umgesetzt. Vor allem dann nicht, wenn der Check-out gerade gut läuft. Hier gilt häufig: „Never change a running system“.

MH: Die PSPs, die jetzt von der BaFin geprüft und lizenziert wurden, sind für die Umsetzung der PSD2-Standards bereit. Es gibt womöglich Online-Händler, die es noch nicht sind, weil sie ihre Shops ohne die Unterstützung von Zahlungsinstituten selber programmieren. Oder sie haben alte Shopsysteme mit alten Payment-Seiten integriert. Klar, ich bin Vertreter eines Zahlungsdienstleisters, aber wenn ich so neutral wie möglich argumentieren würde, würde ich diesen Händlern raten: „Nehmt doch einen Service-Provider.“ Das ist günstiger als die Shops selbst umzustellen, die Provider sind bereit für PSD2 und haben das 3-D Secure 2.0 schon umgesetzt. 

Was sollten die nächsten Schritte der Online-Händler sein, um sich auf die SCA vorzubereiten? 

SK: Händler sollten mit ihren PSPs und/oder Acquirer sprechen und sich beraten lassen. Hier wird oft schnell und gut geholfen. 

MH: Die meisten Händler fragen bei uns sehr aktiv nach und wir informieren sie entsprechend, unter anderem per Newsletter. Wir wollen kommunizieren: „Du musst dich nicht darum kümmern, weil wir uns schon darum gekümmert haben.“ Ich kann nur für uns sprechen, aber wir haben alles zentral gesteuert und Händler sind bei uns heute schon bereit für die PSD2-Prozesse inklusive der SCA. Der deutsche Online-Händler bräuchte gar nicht so viel Angst vor der PSD2 haben, aber natürlich gibt es immer Unsicherheiten, wenn die Materie so schwer zu verstehen ist. Händler sind nunmal keine Banker. 

Wo sehen Sie den größten Nachholbedarf bei der Umsetzung der PSD2-Vorgaben?

MH: Der dringendste Nachholbedarf besteht darin, dass die Banken gut funktionierende und dokumentierte Schnittstellen zur Verfügung stellen, damit Drittanbieter auf die Bankkonten der Kunden zugreifen können, wenn diese das wünschen. Bisher haben die Banken gerade das grobe Minimum gemacht. Es muss ein stabiles Rahmenwerk gestellt werden, das es ermöglicht, dass Anfragen durch Drittanbieter in Echtzeit verschickt werden können ohne dass man minutenlang warten muss, um aufs Konto zu schauen oder Zahlungen auszulösen.

SK: Tatsächlich im Vorgehen der Banken und in der Kommunikation in den Markt hinein. Unsere Prüfungen und Ergebnisse haben wir regelmäßig vorgetragen und wir sind an einem offenen Austausch mit allen Stakeholdern stark interessiert. Wir würden uns wünschen, wesentlich stärker in die Entwicklung von Schnittstellen-Standards einbezogen zu werden. Immerhin laufen über uns jetzt schon ein Großteil der XS2A-bezogenen Transaktionen am Markt und wir wissen genau, worauf es ankommt bei Schnittstellen: Stabilität, Funktionalität und Performance.

Haben die Kreditinstitute denn ein Interesse daran, dass die Fristen zur Umsetzung von PSD2 nach hinten verschoben werden?  

MH: Natürlich, die Banken werden dafür ja nicht bezahlt. Die Kundendaten, die jetzt auch Fintechs zur Verfügung gestellt werden müssen, sind das Gold der Banken, aber das haben sie in der Vergangenheit nie verstanden. Jahrzehntelang haben die Banken nie umgesetzt, was die Europäische Kommission und die EZB von ihnen wollten, nämlich einen europäischen Zahlungsraum mit europäischen Zahlungsmitteln. Das hat zur PSD2-Richtlinie geführt und die wird im Finanzbereich einen Innovationsschub auslösen.

Die Verbraucher können zum Beispiel alle Bankkonten in einer App verwalten. An der Konkurrenz durch Fintechs können Banken nicht interessiert sein. Und ja, der Online-Handel wird an manchen Ecken etwas komplizierter, darauf müssen sich Händler einstellen. Doch wenn wir dieses heterogene Europa wenigstens im Zahlungsverkehr vereinheitlichen können, ist das eine tolle Sache. Wenn wir in Europa große Online-Händler ermöglichen wollen, dann müssen wir es den Händlern einfach machen, in ganz Europa anzubieten. 

SK: Die Pflicht zu PSD2-konformen Schnittstellen ist nicht gleichzeitig auch die Pflicht zum Abschalten bisher funktionierender und etablierter Schnittstellen, wie FINts/HBCI oder Direct Account Access. Die Entwicklung neuer, funktionaler Schnittstellen braucht eine gewisse Zeit und ist eine komplexe Materie. Die PSD2 schafft die Leitplanken für alle Marktteilnehmer und ist die Regulierung eines zukunftsgerichteten Marktes – auch da braucht es Zeit, sich darauf einzustellen. Wichtig sind doch – das hat die PSD2 auch herausgestellt – die Bedürfnisse und die Wünsche des Kunden. Der Endkunde hat bereits entschieden, was er wünscht: sichere, innovative und komfortable Banking-Services – darauf sollten alle Marktteilnehmer ihre Kräfte fokussieren.