[German Below]
The 2nd Payment Services Directive (PSD II) was published on December 23rd, 2015 in the Official EU Journal, ultimately replacing the 1st Payment Services Directive. On one hand, PSD II takes technological developments and advancements in the area of payment systems into account, while on the other hand, it considers the increased data protection and security requirements in electronic payment transactions. Additionally, previously unregulated payment service providers and other forms of payment now fall within the scope of the directive. This is in particular applicable to FinTech companies as well as new payment methods including, for example, the eWallet.
The scope of this legislation is also being extended locally, in that it also covers payment transactions involving countries outside the EU or EEA, or those involving foreign currencies. These are so-called “one leg out transactions.” Additionally, banks are obligated to grant third party payment service providers access to their accounts at the request of the customer. Furthermore, Payment Initiation Service Providers (PISPs) and Account Information Service Providers (AISPs) will be introduced as two new types of payment services providers or, respectively, third-party providers. Ultimately, the PISP forwards the order to the customer’s bank after it has been triggered by the customer, while the AISP enables a customer with several accounts to manage all of the transactions and account balances on one user interface.
The regulatory technical standards (RTS) based on the PSD II, which came into force on 14 March 2018, will also apply in Liechtenstein starting in 2019. These include, in particular, requirements for security measures in accordance with the PSD II designed to protect the confidentiality and integrity of the user security features, as well as requirements for common and secure standards for communication in the payment services sector. In the same context, a payment service provider must also perform strong customer authentication if, for example, the payer accesses his payment account online and triggers an electronic payment transaction.
Ultimately, as an EEA Member State, Liechtenstein will also have to implement the PSD II. However, the Directive has not yet been incorporated into the EEA Agreement. That being said, it already makes sense to familiarize oneself with the innovations in the field of payment service law.
If you have any questions, please do not hesitate to contact us.
Am 23. Dezember 2015 wurde die 2. Zahlungsdienstrichtlinie (PSD II) im EU-Amtsblatt veröffentlicht. Diese ersetzt die 1. Zahlungsdienstrichtlinie (PSD I) und berücksichtigt einerseits technologische Entwicklungen und Neuerungen im Bereich der Bezahlsysteme sowie andererseits die erhöhten Datenschutz- und Sicherheitsanforderungen im elektronischen Zahlungsverkehr. Zudem fallen nun auch bisher unregulierte Zahlungsdienstleister und Zahlungsformen unter den Anwendungsbereich der Richtlinie. Dies betrifft insbesondere FinTech-Unternehmen. Neue Bezahlarten umfassen z.B. die eWallet.
Der Anwendungsbereich der EU-Rechtssetzung hinsichtlich der Erbringung von Zahlungsdiensten wird auch lokal ausgedehnt: Auch Zahlungsvorgänge, an welchen Staaten ausserhalb der EU bzw. des EWR beteiligt sind und die in Fremdwährungen vorgenommen werden, sind davon erfasst (sogenannte one leg out-Transaktionen). Darüber hinaus werden Banken dazu verpflichtet, dritten Zahlungsdienstanbietern auf Wunsch ihrer Kunden Zugang zu deren Konten zu gewähren. Weiters werden mit dem Zahlungsauslösedienstleister (Payment Initiation Service Providers, PISP) und dem Kontoinformationsdienstleister (Account Information Service Provider, AISP) zwei neue Arten von Zahlungsdienstleistern bzw. Drittanbietern eingeführt: Der PISP leitet den Auftrag nach Auslösen durch den Kunden an dessen Bank weiter; mittels des AISP wird ermöglicht, dass ein Kunde mit mehreren Konten alle Transaktionen und Kontostände auf einer Oberfläche verwalten kann.
Die auf der PSD II basierenden technischen Regulierungsstandards (regulatory technical standards, RTS), die am 14. März 2018 in Kraft getreten sind, gelten ab Anfang 2019 und umfassen insbesondere Anforderungen an Sicherheitsmassnahmen gemäss der PSD II zum Schutz der Vertraulichkeit und Integrität der Sicherheitsmerkmale der Zahlungsdienstnutzer sowie Anforderungen an gemeinsame und sichere Standards für die Kommunikation im Zahlungsdienstleistungssektor. Ebenso muss in diesem Zusammenhang ein Zahlungsdienstleister eine starke Kundenauthentifizierung durchzuführen, wenn der Zahler z.B. online auf sein Zahlungskonto zugreift, einen elektronischen Zahlungsvorgang auslöst
Liechtenstein wird als EWR-Mitgliedstaat die PSD II ebenfalls umzusetzen haben. Die Richtlinie wurde allerdings bisher noch nicht in das EWR-Abkommen übergenommen. Es ergibt jedoch bereits jetzt Sinn, sich bereits mit den Neuerungen im Bereich des Zahlungsdienstrechts vertraut zu machen.
Bei Fragen können Sie uns gerne kontaktieren.
