In einem Brief vom 25. September an EU-Kommissionspräsident Jean-Claude Juncker sprechen sich 27 Verbände und Unternehmen aus der Digitalwirtschaft gegen den Entwurf der Europäischen Bankenaufsicht (EBA) zur „starken Kundenauthentifizierung“ (SCA) aus.
Der vorliegende Entwurf zu den Regulatory Technical Standards (RTS) für die EU-Zahlungsdiensterichtlinie (PSD2) bringe zahlreiche Rechtsunsicherheiten für Händler und Dienstleister mit sich und behindere den E-Commerce in Europa. Der Aufschrei kommt reichlich spät.
Die Verbändevertreter hätten sich schließlich schon hier über den „Zwei Faktor Unsinn“ informieren können oder über die neue Paymentwelt, die die EU-Kommission in ihrer Einfalt schaffen will. 🙂 Der vorläufige finale Draft der EBA, den die EU-Kommission so nicht stehen lassen will und den die EBA aber auch nicht mehr ändern will, liegt bereits seit Mai dieses Jahres auf dem Tisch.
Seither geht es lobbytechnisch in Brüssel hoch her in. Immer mal wieder poppte in den vergangenen Monaten ein Zeitungsartikel zum Thema PSD2 hoch. Mal warnen die Banken vor dem bösen „Screen Scraping“ und pochen auch Datenschutz (also insbesondere den Schutz ihrer Daten), mal schimpfen die munteren FinTechs über die (angebliche?) Blockade-Politik der Banken in Bezug auf den versprochenen Zugang zum Bankkonto (XS2A).
Debatte zu SCA fällt unter den Tisch
Das für Onlinehändler und Internetanbieter aller Coleur sowie für die Verbraucher viel zentralere Thema der „starken Kundenauthentifizierung“ interessiert dagegen keinen Menschen. Dabei droht der Unfug den EU-Kommission und EBA sich zur vermeidlichen Sicherung von elektronischen Zahlungen ausdenken, den E-Commerce in Europa nachhaltig zu beeinträchtigen und die ePayment-Welt auf den Kopf zu stellen. Profiteure der Pläne zur sogenannten „Zwei Faktor Autorisierung“ (2FA) wären vermutlich die großen Online-Plattformen und PayPal, jedenfalls aber nicht die Verbraucher oder kleine und mittelständische Händler. „Das kann nicht so kommen, weil das nicht sein kann“, ist derzeit die Vogel-Strauß-Haltung der Payment- und E-Commerce-Branche zur PSD2 – bzw. konkreter zur RTS der EBA zur SCA.
Es war daher Zeit für das Protestschreiben über das Heise berichtete und das Euroactiv zuerst veröffentlichte. Die Unterzeichner fordern – verkürzt kurzgefasst – eine Stärkung des risikobasierten Ansatzes (Transaction Risk Analysis) zur Bewertung von elektronischen Zahlungen und die Hoheit der Händler und der PSP über die Risikobeurteilung und ihre Konsequenzen.
Payment-Markt reguliert sich selbst
Die Lobbyisten versuchen mit ihrem diplomatisch formulierten Schreiben zu retten, was zu retten ist. In Kenntnis der Tatsache, dass die EU-Kommission den einmal gestarteten Quatsch Regulierungsprozess nicht mehr begraben wird. Doch die Kompromisse zwischen Kommission, EBA und der betroffenen Wirtschaft machen das verunglückte Werk nur noch schlimmer, was der final Draft der EBA mit seine Betragsstaffelungen eindrücklich beweist.
Die Kommission sollte sich besser komplett von der völlig verfehlten „starken Kundenauthentifizierung“ verabschieden – und von der Vorstellung, in die Sicherheit des Payment-Markt mit pauschalen Vorgaben eingreifen zu müssen. In punkto Sicherheit reguliert sich dieser Markt nämlich bestens selbst – siehe nur EMV, 3D-Secure, 2FA auf freiwilliger Basis, etc.. Zahlungsverfahren, die zu teuer oder zu kompliziert sind, werden auf die Plätze verwiesen oder fliegen raus.
Leseempfehlung: Einen sehr guten aktuellen Überblick zur PSD2 bietet André M. Bajorat hier auf den Seiten von Payment and Banking. (Was gilt? Wen trifft es? Was ist offen – und wenn ja, wie viele?)
Update (11.10.17):
Als weitere Leseempfehlung zum Thema PSD2 die Stellungnahme der Schweizer Bankiervereinigung sowie ein Interview mit Andreas Kubli, Head Multichannel Management & Digitization bei UBS Schweiz, auf „ISO 20022 Schweiz). Und ein Kernzitat daraus: „Auch PSD2 wird grosse Auswirkungen haben, aber nicht wie gewünscht für die europäischen Fintechs, sondern für global agierende Tech-Giganten.“
Das bringt auch meine Befürchtung bzgl. der PSD2 zum Ausdruck. Die Zahlungsdiensterichtlinie wird nicht, wie beabsichtigt, Innovationen und Wettbewerb im europäischen Paymentmarkt befördern, sondern als EU-Förderprogramm für Amazon, Apple, Alibaba & Co. wirken. Ein Online-KMU-Killer wie Geoblocking und andere Regulierungsvorhaben der EU zum Digitalen Binnenmarkt.
Ganz ehrlich: So interessiert ich auch an dem Thema bin, an Ihrem Text habe ich praktisch kein Wort verstanden. Weder ist mir bewusst, was mit starker Kundenauthentifizierung gemeint ist, noch weiß ich was die EU da bisher reguliert hat. Aber vielleicht bin ich auch einfach nicht die richtige Zielgruppe.
Tut mir leid. War spät gestern. Der verlinkte Heise-Artikel fasst es gut zusammen. Wollte im Grunde nur auf alte Beiträge hier im Blog verweisen. Motto: „Habe ich schon immer gesagt“ 🙂
Starke Kundenauthentifizierung = Zwei-Faktor-Autorisierung bei eZahlungen -> je zwei Merkmale aus Wissen (PIN, Passwort), Besitz (Karte, Chip), Inhärenz (Fingerabdruck, Iris, etc.). HTH