Digitalisierung im Zahlungsverkehr

Allgemeines zu Open Banking

Open Banking ermöglicht es Kund:innen, ausgewählten Drittanbietern über sichere Schnittstellen (APIs) den Zugriff auf ihre Zahlungskonten zu gewähren. Diese Drittanbieter sind bei der FMA als Kontoinformations- oder Zahlungsauslösedienstleister registriert bzw. konzessioniert.
Ziel von Open Banking ist es, den Wettbewerb im Zahlungsverkehr zu stärken, Innovationen zu fördern und den Kund:innen mehr Transparenz und Kontrolle über ihre Finanzdaten zu geben.

Rechtsgrundlagen

Die rechtliche Basis von Open Banking bildet die zweite Zahlungsdiensterichtlinie (PSD2), in Österreich umgesetzt durch das Zahlungsdienstegesetz 2018 (ZaDiG 2018). Ergänzt wird dieser Rahmen durch die Delegierte Verordnung (EU) 2018/389. Zudem veröffentlichte die Europäische Bankenaufsichtsbehörde (EBA) eine Reihe von Q&A, die Auslegungsfragen rund um Open Banking und die Anwendung der PSD2 klären.

Ausnahmebewilligungen und laufende Überwachung

Zahlungsdienstleister, die eine dedizierte Schnittstelle (API) zur Kommunikation mit Drittanbietern bereitstellen, sind verpflichtet, einen Notfallmechanismus bereitzuhalten. Dieser soll sicherstellen, dass bei Ausfällen der Schnittstelle weiterhin ein Zugang zu den Zahlungskonten möglich ist.

Die FMA kann gemäß Art. 33 Abs 6 DelVO (EU) 2018/389 eine Ausnahme von dieser Verpflichtung gewähren, wenn die dedizierte Schnittstelle alle folgenden Bedingungen erfüllt:

• Technische Anforderungen: Erfüllung aller Vorgaben gemäß Art. 32 DelVO 2018/389.
• Gestaltung und Testung: Schnittstelle wurde gemäß Art. 30 Abs. 5 DelVO 2018/389 erfolgreich getestet.
• Praxisbewährung: Mindestens dreimonatige, breite Nutzung in der Praxis.
• Problembehebung: Technische Probleme wurden umgehend behoben.

Die FMA prüft Anträge auf Ausnahmeregelungen sorgfältig und überwacht die dedizierten Schnittstellen laufend hinsichtlich ihrer Verfügbarkeit, Stabilität und diskriminierungsfreien Ausgestaltung.

Allgemeines zur starken Kundenauthentifizierung (SCA)

Die starke Kundenauthentifizierung (Strong Customer Authentication, SCA) ist ein zentrales Sicherheitsinstrument im digitalen Zahlungsverkehr. Die SCA soll sicherstellen, dass nur jene Nutzer:innen Zahlungen auslösen können, die auch auf dem jeweiligen Konto dazu berechtigt sind.

Zahlungsdienstleister sind verpflichtet, bei den meisten elektronischen Zahlungsvorgängen mindestens zwei voneinander unabhängige Authentifizierungsfaktoren aus den folgenden Kategorien zu verwenden:

• Besitz (z. B. Mobiltelefon, Token)
• Wissen (z. B. Passwort, PIN)
• Inhärenz (z. B. Fingerabdruck, Gesichtserkennung)

Nur wenn zwei dieser Faktoren gleichzeitig verwendet werden, gilt der Zugriff bzw. die Zahlung als stark authentifiziert.
Ziel der SCA ist es, das Betrugsrisiko im Zahlungsverkehr zu reduzieren und das Vertrauen der Nutzer:innen in digitale Zahlungslösungen zu stärken.

Rechtsgrundlagen

Die rechtlichen Grundlagen der SCA finden sich in der Zahlungsdiensterichtlinie PSD2, in Österreich umgesetzt durch das Zahlungsdienstegesetz 2018 (ZaDiG 2018). Ergänzt wird dieser Rahmen durch die Delegierte Verordnung (EU) 2018/389, die technische Regulierungsstandards für die starke Kundenauthentifizierung und sichere Kommunikation festlegt.

Ausnahmebewilligungen und laufende Überwachung

Die Rechtslage sieht für bestimmte Anwendungsfälle Ausnahmen von der Pflicht zur SCA vor. Einige dieser Ausnahmen können ohne Bewilligung der FMA in Anspruch genommen werden – etwa:

• bei reinem Zugriff auf Kontoinformationen ohne Zahlung
• bei Kleinbetragszahlungen bis zu €30
• oder bei kontaktlosen Zahlungen an Verkaufsstellen bis zu €50.

Daneben gibt es Ausnahmetatbestände, die einer Bewilligung durch die FMA bedürfen: So erlaubt Art. 17 der DelVO (EU) 2018/389 etwa eine Ausnahme für juristische Personen, die Zahlungsvorgänge ausschließlich über speziell entwickelte und ausschließlich intern genutzte Zahlungsprozesse oder -protokolle durchführen. Voraussetzung ist ein mit der PSD2 vergleichbares Sicherheitsniveau.

Die FMA prüft entsprechende Anträge im Einzelfall und berücksichtigt dabei insbesondere die technische Ausgestaltung, die Zugriffsbeschränkung auf Nicht-Verbraucher sowie die Sicherheitsarchitektur der eingesetzten Protokolle.
Im Rahmen ihrer laufenden Aufsicht prüft die FMA, ob Zahlungsdienstleister bei der Anwendung der starken Kundenauthentifizierung verhältnismäßig vorgehen und insbesondere auf mehrfache ungerechtfertigte Abfragen verzichten.

Mit dem „Financial Data Access and Payments Package“ verfolgt die Europäische Kommission das Ziel, den digitalen Finanzmarkt der EU weiterzuentwickeln und zukunftsfit zu machen.

Das Gesetzespaket besteht aus zwei zentralen Elementen:

• der dritten Zahlungsdiensterichtlinie (PSD3) samt Zahlungsdiensteverordnung (PSR)
• sowie der neuen Verordnung über den Zugang zu Finanzdaten (Financial Data Access – FiDA).

Die PSD3/PSR sollen die bestehenden Vorgaben für Zahlungsdienste an aktuelle technologische Entwicklungen und neue Marktbedürfnisse anpassen. Mit der FiDA wird erstmals ein einheitlicher europäischer Rechtsrahmen für den kontrollierten Zugriff auf und die kontrollierte Weitergabe von Finanzdaten geschaffen. Im Unterschied zu Open Banking, das sich auf Zahlungskontoinformationen beschränkt, umfasst Open Finance eine breitere Datenbasis – etwa zu Spar- und Anlageprodukten, Versicherungen oder Pensionsvorsorge.

Die FMA bringt ihre Aufsichtserfahrung und regulatorische Expertise aktiv auf nationaler wie europäischer Ebene ein, um einen verlässlichen, sicheren und zugleich innovationsfreundlichen Rechtsrahmen mitzugestalten, der sowohl die Sicherheit im Zahlungsverkehr stärkt als auch die verantwortungsvolle Nutzung von Finanzdaten unterstützt.