Dritte Zahlungsdienstleister – Regulierung eines Graubereichs bei Onlinezahlungen

von Johannes Urschitz | 29.01.2018

Durch die PSD II Richtlinie und das geplante Zahlungsdienstegesetz 2018 (ZaDiG 2018) werden die bisher nicht reglementierten „Zahlungsauslösedienstleister“ und „Kontoinformationsdienstleister“ rechtlich verankert. Den sogenannten „Dritten Zahlungsdienstleistern“ kommt im Onlinehandel erhebliche Bedeutung zu, weshalb die bevorstehende Regulierung zu begrüßen ist.

Die Dritten Zahlungsdienstleister knüpfen an das Online-Banking der Kreditinstitute an. Ein bekanntes Beispiel für einen Zahlungsauslösedienst ist die SOFORT-Überweisung, die von der Sofort GmbH angeboten wird.

Das Geschäftsmodell besteht darin, dass der Online-Kunde den Zahlungsauslösedienstleister beauftragt, für ihn bei seinem kontoführenden Kreditinstitut eine Überweisung auszulösen. Der Verkäufer erhält daraufhin die Bestätigung, dass die Bezahlung der Ware oder Dienstleistung veranlasst wurde. Auch wenn der Verkäufer tatsächlich noch keinen Zahlungseingang verbuchen kann, erhält er doch die Gewissheit, dass die Zahlung bereits ausgelöst und auf dem „Weg“ ist. Auf Basis dieser Bestätigung wird die Ware oder Dienstleistung sogleich freigegeben. Um einen Zahlungsauslösedienst nutzen zu können, wird lediglich ein online zugängliches Zahlungskonto benötigt. Eine Kreditkarte ist dazu nicht erforderlich.

Über einen Kontoinformationsdienstleister können Kunden aufbereitete Informationen über ihre Zahlungskonten erhalten.

Neue rechtliche Rahmenbedingungen

Eigentlich sollte die Umsetzung der PSD II Richtlinie durch das ZaDIG 2018 bereits am 13. Jänner 2018 in Kraft treten. Eine rechtzeitige Umsetzung war aufgrund der vorgezogenen Nationalratswahl 2017 jedoch nicht mehr möglich. Bis wann nun die Beschlussfassung im Parlament erfolgt, ist derzeit noch unklar.

Bisher gibt es in Österreich für Dritte Zahlungsdienstleister keine gesetzlichen Vorgaben. Es handelt sich also um einen rechtlichen „Graubereich“, der durch den bevorstehenden Rechtsrahmen geregelt werden soll.

Zahlungsauslösedienstleister benötigen dann eine Konzession. Für Kontoinformationsdienstleister wird eine Registrierung ausreichen. Bei Pflichtverletzungen kann die FMA die Konzession wieder entziehen oder bei Kontoinformationsdienstleistern eine Streichung aus dem Register vornehmen.

Eine wesentliche Neuerung ist, dass Kreditinstitute gesetzlich verpflichtet werden, mit den Dritten Zahlungsdienstleistern zusammenzuarbeiten und Bankkunden ein Recht darauf bekommen, diese Dienste in Anspruch zu nehmen. Banken müssen daher die technischen Rahmenbedingungen schaffen, damit die Dritten Zahlungsdienstleister ihre Dienstleistungen an das jeweilige Online-Banking anknüpfen können.

Da die Dritten Zahlungsdienstleister über ihre Dienstleistungen umfassenden Zugriff auf Kunden- und Zahlungsverkehrsdaten erhalten, nennt das ZaDiG 2018 konkrete Datenschutzvorgaben. Vor allem dürfen die Dritten Zahlungsdienstleister die erhobenen Daten nicht für andere Zwecke als für die Erbringung der gewünschten Dienstleistung verwenden, darauf zugreifen oder speichern. Einer Veräußerung gesammelter Daten an interessierte Dritte wird dadurch ein Riegel vorgeschoben.

Bei Abwicklungsproblemen trägt die Haftung grundsätzlich das kontoführende Kreditinstitut. Unter bestimmten Voraussetzungen hat das Kreditinstitut allerdings einen Regressanspruch gegen den Zahlungsauslösedienst.

Fazit

Für Dritte Zahlungsdienstleister gibt es bisher keine konkreten rechtlichen Vorgaben. Das wird sich demnächst ändern. Für Kunden bietet der neue Rechtsrahmen mehr Sicherheit, vor allem was den Schutz ihrer Daten betrifft. Banken und betroffene Unternehmen erwarten klarere Vorgaben, deren Einhaltung sie allerdings gewährleisten müssen.