EBA will Lastschrift lähmen

Trübe Aussichten: Die EBA wirft die Nebelmaschine an und Fragen auf. (Foto: EBA)

Wenige Monate bevor die starke Kundenauthentifizierung (SCA) für elektronische Bezahlungen aufgrund der EU-Zahlungsdienste-Richtlinie (PSD2) am 14. September obligatorisch wird, fällt der Europäischen Bankenaufsicht (EBA) plötzlich ein, dass auch für Lastschriftmandate eine Zwei-Faktor-Autorisierung (2FA) erforderlich sein soll.

Das mit 20 Prozent Marktanteil zweitbeliebteste Online-Zahlverfahren ist damit (mal wieder) in seiner Existenz bedroht. Und das Drama PSD2-Umsetzung um ein Kapitel reicher.

Dieser Beitrag ist eigentlich überflüssig, denn es gibt bereits einen hervorragenden Podcast zum Thema von PayTechLaw. Darin wird das Problem umfassend erläutert und eingeordnet. Ich höre so gut wie nie Podcasts, den habe ich mir angehört und empfehle ihn Payment-Interessierten und eLastschrift-Anwendern dringend weiter. Für Nicht-Podchast-Hörer hier die EBA-Posse schwarz-auf-weiß. In my own words, getreu dem Meeting-Motto: Es ist schon alles gesagt, nur noch nicht von jedem. Brannte mir eh auf der Tastatur:

Eine Antwort, die neue Fragen aufwirft

Die EBA hat am 22. Februar 2019 eine Antwort auf eine Frage zur PSD2 im Sinlge Rulebook Q&A veröffentlicht. Danach soll plötzlich und unerwartet für die Erteilung eines Lastschrift-Mandats einmalig eine „starke Kundenauthentifizierung“ erforderlich sein – jedenfalls, wenn sie per „remote channel“ erfolgt.

„Where the mandate of the payer to the payee to initiate these transactions is provided through a remote channel, the setting up of such a mandate is subject to strong customer authentication, as this action may imply a risk of payment fraud or other abuses within the meaning of Article 97(1)(c) of the PSD2“

Davon war bislang noch nie die Rede. Soweit ich das mitgeschnitten haben, waren Lastschriften bei der SCA immer außen vor. Im gesamten, langjährigen und turbulenten Diskussionsprozess um die Richtlinie und ihre Umsetzung (RTS) war klar: Lastschriften sind kein PSD2- und insbesondere kein SCA-Thema.

Warum die EBA sie nun plötzlich über den Buchstaben „c“ des Artikel 97 (1) („the payer … (c) carries out any action through a remote channel which may imply a risk of payment fraud or other abuses.) einer SCA-Pflicht unterwerfen will, bleibt für Außenstehende im Londoner Nebel verborgen.

Die Lastschrift wird eben nicht – wie es Art 97 (1) PSD2 verlangt – vom Zahler (Payer) initiiert, sondern vom Zahlungsempfänger (Payee). Sie kann auch deshalb 13 Monate lang ohne Angaben von Gründen durch den Kontoinhaber zurückgerufen werden, wenn kein wirksames Mandat vorlag (ansonsten acht Wochen lang). Worin die EBA das systemische Risiko sieht, dass einen harten Markteingriff wie die verpflichtende „Zwei-Faktor-Autorisierung“ rechtfertigt, bleibt ihr Geheimnis. Erklärt wird die neue Rechtsauslegung in der dürftigen und unscheinbaren Antwort nicht.

Missbrauch bei Lastschriften trifft den Zahlungsempfänger

Wenn mit Lastschriften betrogen wird, wie jüngst im Fall der Bahn-Karten, dann ist das in der Regel ein Problem des Zahlungsempfängers, nicht des Kunden. Der Zahlungsempfänger kann reagieren und seine Sicherungssysteme optimieren oder eben ganz auf Lastschriften verzichten. BTW: Deshalb verzichtet die Bahn seit round about 2006 auf ELV beim Kassieren in den Zügen (keine Online-Bonitätsprüfung möglich).

Ein Marktversagen, dass eine Regulierung rechtfertigen würde, ist nicht deshalb aber nicht erkennbar. Schon bei Kreditkarten und den übrigen Zahlverfahren die von der SCA betroffen sind, kann man den Regulierungsbedarf für den „Zwei Faktor Unsinn“ grundsätzlich hinterfragen. Zahlungsverkehrsexperte wie der Computop CEO Ralf Galdis sind gar der Auffassung, die PSD2 bewirke mit der 2FA-Pflicht das Gegenteil von dem, was der EU-Gesetzgeber ursprünglich im Sinn hatte: Den Wettbewerb der Zahlungsverfahren, respektive Anbieter zu erhöhen. Bei Lastschriften wird der Übereifer des Regulators aus den genannten Gründen aber absolut absurd.

Besonders krass und unverständlich, wenn dieser Eifer auch noch ohne jedwede Ankündigung und in dieser Form – en passant im Rahmen von FAQs daherkommt. Nicht der demokratisch legitimierte EU-Gesetzgeber wird auf Basis einer ordentlichen Folgenabschätzung im Sinne einer „better regulation“ aktiv, sondern eine wild gewordene Aufsichtsbehörde, dehnt den Anwendungsbereich der PSD2 mal eben im Vorbeigehen drastisch aus.

Zur Dimension: In Deutschland wird rund die Hälfte des bargeldlosen Zahlungsverkehrs per Lastschrift abgewickelt. Im E-Commerce haben Lastschriften laut EHI Retail Institute einen Anteil von 20 Prozent und sind damit nach dem Rechnungskauf das zweitbeliebteste Zahlverfahren.

Marktanteil: Jede fünfte Online-Zahlung ist eine Lastschrift – ach ja, der Lastschrift-Anteil in den PayPal-Zahlung dürfte zudem auch nicht ohne sein.

Hoffnung auf das Hornberger Schießen 3.0

Nun hoffen deutschen Onlinehändler, Gas-, Strom- und Wasserwerke, Fernsprechanbieter, Versicherer und Spendenorganisationen aller guten Zwecke, dass das Hornberger Schießen der SEPA-Lastschrift sich wiederholt. Diese sollte ursprünglich europaweit schriftlich erteilt werden, was in Deutschland auch die Schriftform (Papier und Unterschrift) gemeint hätte (instruktiv zur damaligen Debatte: zB dieser Beitrag). Nach einem Sturm der „lastschriftenziehenden Wirtschaft“ hatten Bundesfinanzministerium und die nachgeordnete Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) aber ein Einsehen und drückten ein Auge zu. Deshalb kann das Lastschriftmandat auch weiterhin per Klick und E-Mail erteilt werden. Oder es wird (regelwidrig) einfach munter weiter eingezogen und weggeguckt. Wo kein Kläger, da kein Richter.

BaFin muss über EBA-Vorgabe entscheiden

Ob das noch so funktioniert, wenn die EBA – immer noch sauer auf die EU-Kommission, weil sie bei den RTS zur SCA erst zurechtgewiesen und dann übergangen wurde – nun eine starke Kundenauthentifizierung für die Mandatserteilung verlangt? Traut sich die BaFin so weit weg von der europäischen Fahrrinne? Ich schicke mal eine Anfrage raus. 🙂

Die Frankfurter täten gut daran, die Frage/Antwort „2018_4359“ der EBA zu ignorieren, beziehungsweise, zu erklären („comply or explain“), warum eine eLastschrift keiner SCA Bedarf. Kleine Hilfestellung dazu: Es gibt keine Legitimation einer Aufsichtsbehörde den Anwendungsbereich der PDS2-Richtlinie derart auszuweiten. Es gibt keinen Bedarf für eine 2FA – jedenfalls keinen validen Nachweis eines systemischen Sicherheitsrisikos bei eLastschriften. Es würde ein kostengünstiges, europäisches und verbraucherfreundliches Zahlverfahren aus dem Weg räumen behindern. Es würde mittlere und kleinere Onlinehändler im Wettbewerb noch mehr benachteiligen als es die SCA ohnehin schon strukturell tut (Whitelist, Login-Effekt, AmazonPay, ApplePay & Co.). Es spielt den amerikanischen Kreditkartengesellschaften und den asiatischen Payment- und Lifestyleschemes in die Hand. Das größte Risiko bei Lastschriften trägt der Händler. Der weiß, welches Risiko im dräut und kann reagieren – oder vom Markt verschwinden. Es gibt keinen Grund für den Gesetzgeber zu handeln. Dann erst recht nicht für eine Aufsichtsbehörde, sieben Monate vor Inkrafttreten der Regelung für die der Gesetzgeber den Marktteilnehmern 12 Monate Übergangsfrist gewährt.

Online Blümchen bestellen mit doppelter Autorisierung?

Warum sollte ein Online-Blumenhändler oder eine Internet-Kartendruckerei auf die kostengünstige, bequeme und verbraucherfreundliche Lastschrift verzichten bzw. die Mandatserteilung mit einem zweiten Faktor absichern müssen? Liebe BaFin: Lasst Lastschriften lange leben!

Selbst wenn die BaFin aber erneut ein Einsehen und ein Herz für die Lastschrift hat, bleibt die EBA-Vorgabe ein Ärgernis. Die Lastschrift hätte eine gute Chance, Basis für ein europäisches Zahlverfahren zu werden und auch in anderen Mitgliedsstaaten deutlich an Bedeutung zu gewinnen (keine Gebühren, Einzug durch den Zahlungsempfänger). Völlig unnötig schmeißt die EBA dem Zahlverfahren nun Steine in den Weg, wo EZB und EU-Kommission sich doch so sehr ein europäisches Zahlungsscheme wünschen, das Mastercard, Visa, Amex, PayPal, Alipay, WeChat & Co. Paroli bieten kann.

Update 14. März 2019

Ich verweise auf die hilfreichen Kommentare unten zur Einordnung des obigen Beitrags. Wie dort profund erläutert, bezieht sich die EBA-Antwort auf die SCA für das eMandat, nicht für jede Lastschriftzahlung. Das sieht auch die BaFin so, wie ein Sprecher auf Anfrage mitteilt. Man prüfe, ob die bisherige Verwaltungspraxis geändert werden muss und werde dazu alsbald öffentlich Stellung nehmen, so die BaFin in der üblichen, formelhaften Sprachgebrauch einer Aufsichtsbehörde. Der Schluss, den man daraus ziehen kann: Da bisher niemand eMandate einholt, muss auch niemand eine SCA für Lastschriften durchführen.

Im Übrigen habe ich die EBA für die späte Kehrtwendung und Stellungnahme zum Thema gescholten. Der Vorwurf geht fehl. Wie im Disclaimer für eine nachgeordnete Aufsichtsbehörde eine Spur zu deutlich wird, handelt es sich um eine Antwort der EU-Kommission. Die nur „on behalf“ von der EBA übermittelt wird. Man kann auch in formelhafter Sprache viel zwischen den Zeilen sagen oder dort fliegende Einhörner verstecken.

Sehr lesenswert und breit recherchiert zum Thema #PSD2 bzw. „starke Kundenauthentifizierung“ ist der Beitrat von Karsten Seibel in der „Welt“ unter dem vielsagendem Titel: „Wie Brüssel Amazon noch stärker macht“. Vom Autor war auf Twitter auch zu erfahren, dass die BaFin alsbald einen Q&A zum Thema SCA / 2FA veröffentlichen will. Bis zum 14. September ist ja auch noch reichlich Zeit für die rechtsunterworfenen Marktteilnehmer.

Last but not least: Mastercard hat ein kostenloses White-Paper zur SCA-Thematik ins Netz gestellt.

6 thoughts on “EBA will Lastschrift lähmen

  1. Also ohne Lastschriftbestellungen könnte ich meinen Online-Shop auch gleich zusperren. Was soll ich denn sonst nehmen, womit die Leute meine Software sofort bezahlen können und dann unmittelbar den Lizenzcode per Mail kriegen?
    – Kreditkarte: Zu viel Logistik dahinter nötig (Verträge, Software, Gebühren, evtl. Terminal/manuelle Bearbeitung nötig);
    – Amazon Pay: Mühsam zu integrieren (schon mal probiert und erst mal auf die lange Bank geschoben);
    – Giropay: geht nicht mit allen Banken;
    – Paydirekt: wollen mich nicht (bin zu kleiner Händler);
    – Paypal: friert gemäß c’t-Berichten Händlergelder ja gerne mal wahllos ein, ohne Kontakt- oder Widerspruchsmöglichkeit;
    – Drittprovider (Klarna & Co.): eigentlich ja hierzulande unnötig, verursacht nur Mehraufwand und Mehrgebühren.
    Offene Rechnung ist auch keine Alternative – da wäre ich dann zu 73% meiner Arbeitszeit damit beschäftigt, den Leuten hinterherzulaufen, damit sie endlich zahlen…
    Und wie soll so eine „starke Kundenauthentifizierung“ denn überhaupt technisch funktionieren? Sollen die Kunden dazu eine TAN eingeben oder was?
    Das hat mal wieder jemand am grünen Tisch erhirnt, der vom Real Life NULL Ahnung hat…

  2. Sie schreiben, BaFin sollte der EBA erklären, „…warum eine eLastschrift keiner SCA Bedarf…“. Aber das hat ja doch niemand behauptet – sondern es geht um die Erteilung von Aufträgen. Die Initiierung eines SCTs, wie auch eines „standing orders“ UND natürlich auch die SDD-Mandatsvergabe sind solche Aufträge. Daher stand die Notwendigkeit einer SCA bei Vergabe eines SDD-Mandates IMMER SCHON in der PSD2 als Vorgabe. Das hat eigentlich nichts mit der EBA zu tun – außer, dass die EBA eben die Durchführungsbehörde für diese Vorgaben ist.

    Ohne SCA – egal was auf einem Bildschirm erzählt wird – gilt ein Vergabe eines Abbuchung-Auftrags formal NICHT als „Mandat“. Jede technisch danach generierte „Mandats-Nummer“ ist insofern ungültig und quasi ein fake.
    Und wenn man im Streitfall kein gültiges Mandat vorweisen kann, dann trifft die längere Risikospanne von 13 Monaten zu. Als Beispiel: PayPal forciert anstatt der Kreditkarte auf einen IBAN und SDD umzustellen – PayPal hat mit dieser Lösung kein einziges (rechtsgültiges) Mandat und ist mit diesem Systemrisiko (sic!) somit 13 Monate im vollen Risiko.

    Es gibt also sehr wohl die „Toleranz“, KEIN SCA durchführen zu müssen – wobei ich das eher kritisch für kleinere Händler und Begünstigte sehe, den diese haben nicht die Organisation eines PayPals, amazons, oder großer Utility-Provider falls wirklich mal eine Rückbuchung geschieht und man den Rechtsweg aus dem Grundgeschäft antreten muss. Für kleine Händler stellt SDD ohne Mandat (also ohne SCA) ein relativ höheres finanzielles und organisatorisches Risiko dar.

    Bitte in diesem Themenkomplex auch noch zu beachten:
    –> der IBAN zählt nicht zu den geheim zu haltenden sensiblen Daten (steht auf Briefpapier und überall) und ich möchte daher nicht, dass irgendjemand meinen IBAN auf irgendeiner Seite als Abbuchungskonto einträgt (so wie es heute möglich ist)
    –> der Hinweis „bisher ist ja ohnedies nichts passiert“ ist vom Sicherheits- und Behördenstandpunkt wohl in keiner Lebenslage durchzuhalten.
    –> Das Risiko trifft nicht nur den SDD-Begünstigten sondern auch dessen Bank, denn eigentlich müsste die „Creditor-Bank“ prüfen, dass der Creditor rechtskonforme Mandate besitzt.
    –> Banken bieten in einigen Ländern bereits das sogenannte E-Mandat an, wodurch mittels SCA die Vergabe eines IBANS vom Kontoberechtigten online geprüft und legalisiert wird
    –> die PSD2 legalisiert sogar die Verwendung eines SDD als Zahlungsinstruments mit der neuen Rolle des (Card based) „Payment Instrument Issuers“ und ermöglich zur weiteren operativen Risikoreduktion zusätzlich eine eigene Kontoabfrage: „availability of fund“.

    Sorry, aber IMHO: die Kritik an der EBA geht da jetzt aber wohl ins Leere.

  3. Die Klarstellung der EBA bezieht sich auf das sogenannte „e-Mandat“, bei der die Bank des Zahlers in dem Vorgang der Mandatserteilung involviert ist.

    Man könnte sagen, „unglücklicherweise war das Einfügen einer solchen Bezugnahme von der EBA ausgelassen worden“, die in etwa so hätte lauten können:

    „Where the mandate of the payer to the payee to initiate these transactions is provided through a remote channel **with involvement of the payers bank**, the setting up of such a mandate is subject to strong customer authentication, as this action may imply a risk of payment fraud or other abuses within the meaning of Article 97(1)(c) of the PSD2“

    Warum fehlt dieser Einschub? – Weil das SDD-Regelwerk für den eCommerce ausschließlich das „e-Mandat“ als einzig gültige Verfahrensweise zur Erteilung eines Mandats über einen Remote Channel kennt. Daher bedurfte es dem zusätzlichen Einschub (aus Sicht einer EBA) nicht. – Nachvollziehbar, denn mit „Where …. is provided through a remote channel“ wurde der Anwendungsbereich hinreichend adressiert.

    Eine Wirkung auf die (inzwischen nicht nur in Deutschland) gelebte Praxis ist daraus nicht abzuleiten. Ein „lediglich per Click im Web“ erteiltes SEPA-Lastschriftmandat bleibt schlichtweg auch weiterhin „nicht gültig erteilt“ im Sinne des Rulebooks. Mit dieser Situation haben sich die e-Lastschrifthändler inzwischen längst arrangiert.

    Die Klarstellung der EBA betrifft somit lediglich jene Banken, die ein solches e-Mandat für die SEPA-Lastschrift im Remote-Channel heute schon als Mehrwertoption (AOS) anbieten. Diese haben nun Gewißheit erhalten, dass sie auch für diesen Geschäftsvorgang künftig eine 2FA-konforme Methode anzuwenden haben. Das dürfte diese Banken jedoch nicht überraschen.

  4. Lieber Herr Bender,
    Sie wissen, dass ich Ihre Kommentare immer sehr schätze, aber in diesem Fall muss ich Ihnen und auch ein paar populär aufgebrachten Anwaltskollegen widersprechen. Die EBA hat schon in ihrem Discussion Paper zu den PSD2 RTS vom 8.12.2015, dort Absatz 27ii. und Abschnitt 35, in ihrem Consultation Paper zu den PSD2 RTS vom 12.8.2016, Abschnitt 17 und 18, und in ihrem Final Report vom 23.2.2017 (Abschnitt 4.3.3 Comment 272 Frage 2) Satz 3) die Meinung vertreten, dass ein eMandate der starken Kundenauthentifizierung unterliegt. Im Consultation Paper findet sich auch bereits der Hinweis, dass hier eine SCA gemäß Art 97 Abs. 1 lit c) PSD2 erforderlich sein soll. Das ist nicht neu!
    Ich gebe Ihnen gerne zu, dass die EBA hier eigentlich nicht zuständig ist für die Interpretation der Level 1-Texte. Deswegen findet sich in der Antwort zu Q&A Nr 2018_4359 auch ein Disclaimer. Letztlich müssen aktuell die Aufsichtsbehörden, d.h. für die meisten Banken und ZAG-Institute in Deutschland die BaFin und für einige Banken die EZB, zunächst entscheiden, ob sie dieser Auffassung folgen. Hier wäre sicherlich eine Guidance der BaFin hilfreich, weil bisher nicht klar ist, ob die BaFin auch diesen Level 1-Stellungnahmen der EBA uneingeschränkt folgen wird.
    Auch gebe ich zu, dass die Stellungnahme der EBA für die anstehende technische Umsetzung bis zum 14.9.2019 spät kommt. Wer sich aber mal ein bisschen mit der Thematik befasst hatte, konnte die Antwort vorhersehen (s.o.) und hat seine Mandanten dahingehend beraten.
    Noch eins: Wenn sie mal die Lastschrift mit Kreditkartenzahlungen vergleichen, dann werden Sie, weil Sie sich auskennen, feststellen müssen, dass beides Pull-Zahlungen sind, d.h. sie werden im Grund durch den Zahlungsempfänger ausgelöst, nachdem der Zahler vorher diese Auslösung autorisiert hat. Strukturell ist also eine Lastschrift und eine Kreditkartenzahlung durchaus vergleichbar. Warum aber sollte die eine ganz eindeutig unter SCA fallen und die andere nicht? Da kann man bei der Lastschrift mit dem 8-wöchigen Erstattungsrecht argumentieren. Aber SCA soll vor allem (natürlich nicht ausschließlich) die Zahlungsdienstleister gegen Fraud schützen und unter dem Blickwinkel fällt das 8-wöchige Erstattungsrecht zugunsten des Zahlers (Verbrauchers) nicht ins Gewicht, weil auch der Kartenzahler eine Erstattung verlangen kann, wenn er geltend macht, er habe die Zahlung nicht autorisiert.
    Natürlich kann man die ganze SCA-Regelung als Unsinn bezeichnen und ich habe selbst innerhalb der politischen Verbandsarbeit sehr häufig darauf hingewiesen, dass die Regulierung im Ausgangspunkt nicht den technischen Markstandards, d.h. nicht modern ist, sondern einem mehr als 10 Jahre alten Standard entspricht, und in ihrer Komplexität nicht angemessen und deshalb nicht gerechtfertigt ist. Aber wir haben sie nun einmal jetzt und dann muss man sie auch gleichmäßig für alle Zahlungsarten anwenden, sonst entstehen Ungleichgewichte.
    Das in aller Kürze!
    Beste Grüße
    Matthias Terlau

  5. Vielen Dank für die qualifizierten Kommentare! Es zeigt sich mal wieder: Bei BargeldlosBlog steckt die Kompetenz in der Kommentarspalte. Deshalb mache ich diese unregelmäßigen, unqualifizierten Unkenrufe zum unbaren Zahlungsverkehr hier ja auch für lau und nebenbei. Ich weiß, dass die „richtigen Leute“ BargeldlosBlog lesen und kommentieren und das motiviert mich, mehr als die 5 Euro Spenden, die ich mit diesem Blog bislang eingenommen habe. 🙂

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.