PSD3/PSR –Verbesserungen des Verbraucherschutzes (Betrugsprävention, Sicherheit und erhöhte Transparenz)
- Branche:
- Financial Institutions
Wie zum Auftakt unserer Newsletter-Reihe zur PSD3 bereits hier berichtet, hat die Europäische Kommission Ende Juni 2023 das lang erwartete Financial data access and payments package, unter anderem bestehend aus Entwürfen zur einer neuen Payment Service Directive (PSD3) und einer neuen Payment Service Regulation (PSR), vorgelegt.
Eines der vier Ziele des Pakets ist die Verbesserung der Verbraucherrechte: Zahlungsbetrug soll weiter bekämpft und eingedämmt sowie insgesamt mehr Transparenz und Sicherheit für Verbraucherinnen und Verbraucher geschaffen werden.
Im zweiten Teil unserer Newsletter-Reihe stellen wir Ihnen die geplanten Maßnahmen zur Betrugsprävention und Stärkung des Verbraucherschutzes vor.
Betrugsprävention
Die Erstattungsrechte für Verbraucher in Betrugsfällen werden ausgeweitet: So sollen Zahlungsdienstleister künftig in Betrugsfällen haften, wenn sich der Betrüger durch missbräuchliche Verwendung des Namens, Email-Adresse oder Telefonnummer des Zahlungsdienstleisters als Angestellter des Zahlungsdienstleisters ausgibt (sogenanntes „Spoofing“). Dabei muss der Zahlungsdienstleister dem Zahlungsdienstnutzer den vollen Geldbetrag, der aufgrund des Betruges überwiesen wurde, erstatten, sofern der Zahlungsdienstnutzer den Betrug unverzüglich bei der Polizei angezeigt und den Zahlungsdienstleister darüber informiert hat. Keine Haftung des Zahlungsdienstleisters besteht, wenn der Verbraucher grob fahrlässig oder in Betrugsabsicht gehandelt hat. Die Beweislast für ein solches Handeln des Verbrauchers liegt jedoch beim Zahlungsdienstleister (Art. 59 PSR-Entwurf).
Außerdem sollen Zahlungsdienstleister künftig Daten im Zusammenhang mit Betrugsfällen untereinander austauschen können (Art. 82 PSR-Entwurf).
Um IBAN-Betrug zu unterbinden, sollen Zahlungsdienstleister künftig auch dazu verpflichtet werden, bei Überweisungen in einer EU-Währung unentgeltlich die Übereinstimmung des IBANs des Zahlungsempfängers mit dem Kontonamen zu prüfen (IBAN-name check). Eine solche Überprüfungspflicht besteht unter der PSD2 derzeit nicht (siehe auch OGH, 23.10.2014, 2 Ob 224/13z). Diese Überprüfungspflicht soll den Zahlungsdienstleister des Zahlungsempfängers auf Anfrage des Zahlungsdienstleisters des Auftraggebers treffen und soll kostenlos erfolgen. Eine korrespondierende Regelung für Euro-Sofortzahlungen ist bereits im Verordnungsentwurf der Kommission hinsichtlich Sofortzahlungen (Instant Payments) vorgesehen und soll nunmehr im Rahmen der PSR ausgeweitet werden (Art. 50 PSR-Entwurf). In der Praxis ist daher davon auszugehen, dass die Zahlungsdienstleister des Auftraggebers standardisiert den IBAN-name check beim Zahlungsdienstleister des Zahlungsempfängers anfordern werden.
Da bislang nicht ausdrücklich geregelt ist, ob bei Zahlungsanweisungen der Firmenname oder die Geschäftsbezeichnung (Werbename) eines Zahlungsempfängers anzugeben ist, kommt es gelegentlich zu Verwirrungen bei Zahlungsdienstnutzern, wenn der Firmenname des Zahlungsempfängers vom Werbenamen verschieden ist. Den Zahlungsdienstnutzern ist es so oft nicht möglich, zu erkennen, ob es sich bei der Transaktion um einen möglichen Betrug handelt. Deswegen soll der Zahlungsdienstleister des Auftraggebers künftig dazu verpflichtet sein, unter anderem auch den Werbenamen des Zahlungsempfängers anzugeben (Art. 16 (a) iVm Art. 25 Abs. 1 lit. a PSR-Entwurf).
Strengere Vorgaben bei der starken Kundenauthentifizierung
Das zentrale Sicherheitskonzept der PSD2 stellt das Verfahren zur starken Kundenauthentifizierung (SCA) dar. Zahlungsdienstnutzer müssen sich dabei durch (mindestens) zwei Elemente aus den Kategorien Wissen (zB PIN), Besitz (zB Zahlungskarte) und Inhärenz (zB Fingerabdruck) identifizieren (auch „2-Faktor-Authentifizierung“ genannt).
Im Bereich der Zahlungsauslöse- und Kontoinformationsdienste werden die Anforderungen im Zusammenhang mit der SCA erweitert werden: so wird der SCA-Vorgang künftig verpflichtend bei der erstmaligen Anwendung sowie spätestens alle 180 Tage angewendet werden müssen, wenn auf Kontodaten zugegriffen werden soll (Art. 86 Abs. 4 PSR-Entwurf).
Um besondere Kundengruppen (wie etwa Menschen mit Behinderungen oder ältere Personen) nicht finanziell auszugrenzen, sollen Zahlungsdienstleister künftig dazu verpflichtet sein, Anwendungsmöglichkeiten für die SCA bereitzustellen, die auch von diesen Personengruppen verwendet werden können (Art. 88 PSR-Entwurf).
Bei von Händlern ausgelösten Zahlungsvorgängen wird klargestellt, dass bei der erstmaligen Einrichtung des Mandats eine SCA erforderlich ist, bei nachfolgenden Zahlungsvorgängen jedoch nicht mehr angewendet werden muss (Art. 85 Abs. 2 iVm Abs. 3 PSR-Entwurf).
In Bezug auf telefonische oder Mail-Order-Bestellungen wird klargestellt, dass eine nicht digitale Auslösung des Zahlungsvorgangs keiner Verpflichtung zur SCA zu unterliegen wird. Dies unter der Voraussetzung, dass der Zahlungsdienstleister des Zahlers Sicherheitsanforderungen und -kontrollen durchführt, die eine Form der Authentifizierung des Zahlungsvorgangs ermöglichen (Art. 85 Abs. 7 PSR-Entwurf).
Mehr Transparenz für Verbraucher
Vorabzustimmung zu Zahlungen / Blockieren von Geldbeträgen
Aus Sicht des EU-Gesetzgebers sind die Interessen der Verbraucher besonders bei kartengebundenen Zahlungsvorgängen gefährdet, bei denen der genaue Transaktionsbetrag zu dem Zeitpunkt, zu dem der Zahler die Erlaubnis zur Ausführung des Zahlungsvorgangs erteilt, nicht bekannt ist. Eine solche Vorabzustimmung und damit einhergehend das Blockieren von Beträgen ist regelmäßig bei der Anmietung von Autos oder Hotelbuchungen erforderlich. Nach dem PSR-Entwurf soll daher bei solchen Transaktionen der Zahlungsempfänger künftig verpflichtet sein, seinem Zahlungsdienstleister unmittelbar den genauen Betrag der Transaktion bekannt zu geben, sobald die Dienstleistung erbracht/Waren geliefert worden sind. Weiteres soll der geblockte Betrag in einem angemessenen Verhältnis zu jenem Betrag des anstehenden Zahlungsvorgangs stehen müssen, der zum Zeitpunkt der Blockierung vernünftigerweise erwartet werden kann (Art. 61 PSR-Entwurf).
Währungsumrechnungsgebühren
Bei Zahlungsvorgängen innerhalb der EU sowie von der EU in ein Drittland sollen Zahlungsdienstleister verpflichtet werden, künftig im Voraus eine Schätzung abzugeben, wie hoch die Währungsumrechnungsgebühren sein werden. Die Gebühren sollen explizit als prozentualer Aufschlag gegenüber den letzten verfügbaren Euro-Referenzkursen dargestellt werden. Zudem sollen bei Überweisungen in Drittländer die Zahlungsdienstnutzer verpflichtend über die voraussichtliche Dauer, bis der Zahlungsempfänger die Überweisung erhält, informiert werden (Art. 13 Z 1 lit. c und lit. f PSR-Entwurf) .
Gebühren bei Geldautomaten
Je nachdem, ob ein Geldautomat (ATM) zum Zahlungsdienstleister selbst, dessen Netz, oder zu einem fremden Netz gehört, können unterschiedliche Gebühren bei inländischen Bargeldbehebungen anfallen. Zahlungsdienstleister sollen künftig dazu verpflichtet werden, allfällige Gebühren bei inländischen Geldautomaten entsprechend offenzulegen (Art. 20 (c) lit. ii PSR-Entwurf).
Gerne steht Ihnen das Financial Services Regulatory Team von Binder Grösswang zur Verfügung, um Sie frühzeitig bei der Vorbereitung auf die kommenden Anforderungen zu unterstützen.
Hinweis: Dieser Blog stellt lediglich eine generelle Information und keineswegs eine Rechtsberatung von Binder Grösswang Rechtsanwälte GmbH dar. Der Blog kann eine individuelle Rechtsberatung nicht ersetzen. Binder Grösswang Rechtsanwälte GmbH übernimmt keine Haftung, gleich welcher Art, für Inhalt und Richtigkeit des Blogs.