Josje Fiolet
Innopay Josje Fiolet
Josje Fiolet
INNOPAY

Die überarbeitete Zahlungsdiensterichtlinie der Europäischen Union (EU) (PSD2) wurde im Januar 2016 als Aktualisierung der PSD 1 (2007 verabschiedet) verabschiedet und führt zwei neue Lizensierungstypen ein: Zahlungsauslösedienste und Kontoinformationsdienste. Neue Akteure in der Finanzbranche und etablierte Unternehmen (z. B. Banken, E-Geld-Institute), die diese Dienste anbieten wollen, werden im Folgenden als Drittanbieter bzw. Third Party Providers (TPPs) bezeichnet.

Ein Drittanbieter unter PSD2 zu sein oder zu werden, eröffnet Geschäftsmöglichkeiten für etablierte und neue Marktteilnehmer gleichermaßen, erfordert jedoch eine sorgfältige Abwägung der Kosten für die Einhaltung der Vorschriften, die durch den Erwerb der Lizenz, aber noch mehr durch deren Aufrechterhaltung entstehen. Diese Kosten können durch eine ordnungsgemäße Umsetzung der PSD2-Lizenzierungsanforderungen optimiert werden, die weitreichende organisatorische Auswirkungen in Bereichen wie Geschäftsabläufe, Risikomanagement, Compliance, Governance und Reporting haben.

Dieser Blog soll potenziellen Drittanbietern dabei helfen, die regulatorischen Anforderungen zu verstehen und ihre Lizenz auf strategische und effiziente Weise erfolgreich zu erwerben und zu behalten. Wir konzentrieren uns hier auf die Einhaltung der Vorschriften der PSD2, wobei ein lizenziertes Unternehmen auch die Einhaltung anderer Vorschriften wie GDPR, AMLD und eIDAS beachten muss.

Überblick über die mit der PSD2 vertrauten Regulierungsbehörden

Über die PSD2 ist viel gesagt und geschrieben worden, was oft zu Fehlinterpretationen der Zeitpläne und Anforderungen geführt hat. Dieser Blog soll Unternehmen einen strukturierten Überblick der zahlreichen Anforderungen der EBA bieten. 

Insgesamt wurden 14 Dokumente von der EBA veröffentlicht, die im Folgenden beschrieben und nach ihrer Relevanz für die PSD2-Lizenzierung geordnet wurden. Ein gutes Verständnis der Drittanbieter über die Auswirkungen der Standards und Leitlinien auf ihre Organisation trägt zu einem effizienteren Lizenzierungsprozess bei.

EBA publications on PSD2
Abbildung 3. Einstufung der Relevanz von EBA GL, RTS, Opinion-Veröffentlichungen unter PSD2 durch INNOPAY. © INNOPAY BV. All rights reserved.

Wir raten potenziellen Drittanbietern, zunächst die Anforderungen in den Dokumenten mit hoher Relevanz zu erfassen und sich dann zu den Dokumenten mit mittlerer/geringer Relevanz vorzuarbeiten. Die Ergebnisse der regulatorischen Bewertung liefern zudem wertvollen Input für die Entwicklung des Business Case, der ein wichtiger Schritt ist, bevor ein Lizenzantrag gestellt werden sollte.

Business case entwickeln 

Der Erwerb und die Aufrechterhaltung einer Lizenz im Finanzsektor erweist sich für Organisationen als Herausforderung. Langwierige Antragsverfahren (die leicht länger als 9 Monate dauern), aufsichtsrechtliche Bußgelder und unvorhergesehene erforderliche betriebliche Änderungen können die Folge sein. Diese negativen Erfahrungen kultivieren eine oft geäußerte Ansicht über Lizenzierung und Aufsicht als "regulatorische Belastung" mit hohen Kosten. Der regulatorische Rahmen der PSD2 stellt ähnliche Herausforderungen dar, wenn man die schiere Anzahl und die Auswirkungen der Anforderungen betrachtet. Wenn es richtig gemacht wird, kann es jedoch weit weniger kostspielig sein, eine eigene Lizenz zu erwerben und zu behalten, als solche Dienste über einen lizensierten Drittanbieter einzukaufen. Zudem zeigen unsere Erfahrungen, dass es auch Fälle gibt, in denen sich eine Lizenzvergabe insgesamt positiv auf die Kosten auswirken kann, da sie betreffende Unternehmen dazu zwingt Betriebsabläufe zu straffen und zu “entrümpeln".

Ein solider Business Case sollte Chancen und Kosten mindestens auf den folgenden drei Ebenen bewerten: Strategisch (z. B. Produkte, Wettbewerb, Markt), regulatorisch (z. B. Gap-Analyse) und organisatorisch (z. B. operative Reife). Wenn der Business Case auf allen drei Ebenen sorgfältig durchgeführt wird, können Drittanbieter einen guten Einstieg in den Lizensierungsprozess finden, der weiter unten beschrieben wird.

Der Lizenzierungsprozess und darüber hinaus

Die PSD2-Lizenzanforderungen umfassen Themen wie eine Zahlungsdienstleistungs-beschreibung, einen Geschäftsplan, Governance-Regelungen, Eignung des Managements, einen internen Kontrollrahmen, Risikomanagement und Compliance, Sicherheit und operative Standards. Der Hauptzweck der Aufsichtsbehörde besteht darin, das Vertrauen zu gewinnen, dass der Drittanbieter in all diesen Bereichen ein professionelles Geschäft betreibt und die relevanten Regeln befolgt. Wir empfehlen Drittanbietern einen strukturierten und maßgeschneiderten Ansatz für ihre Lizenzanträge, der den gesamten Lizenzierungslebenszyklus abdeckt (siehe Abbildung 4 unten).

 

Indicative structured approach towards licensing based on INNOPAY analysis
Abbildung 4. Indikativer strukturierter Ansatz zur Lizenzierung von INNOPAY. © INNOPAY BV. All rights reserved.

Der übergeordnete Gedanke besteht darin, die regulatorischen Anforderungen auf das aktuelle Betriebsmodell abzubilden und einen Plan zu erstellen, um etwaige Lücken zu schließen. Hier sollten aufsichtsrechtliche Leitlinien und Best Practices berücksichtigt werden. Für den Lizenzantrag reicht es in den meisten Bereichen aus, eine Dokumentation einzureichen, die einen konformen organisatorischen Aufbau zeigt (da die lizenzierten Produkte noch nicht eingeführt wurden). Im Wesentlichen bedeutet dies die Erstellung und Einreichung von Unterlagen wie Richtlinien, Prozessbeschreibungen und Risikobewertungen. Um jedoch die Lizenz zu behalten und ohne aufsichtsrechtliche Bedenken im Markt zu operieren (die oft mit obligatorischen Nachbesserungen einhergehen), müssen Drittanbieter in der Lage sein, der Aufsichtsbehörde eine konforme Arbeitsweise zu demonstrieren. Aus diesem Grund sind Drittanbieter gut beraten, ihr Betriebsmodell schon früh im Prozess der Lizenzbeantragung (neu) zu entwerfen, um "Compliance by Design" für ihre Aktivitäten sicherzustellen und zukünftige Kosten zu vermeiden.

Unserer Erfahrung nach ist die Umsetzung einer konformen Arbeitsweise bei den Anforderungen in den folgenden Bereichen am schwierigsten:

- Entwicklung des Rahmenwerks für ein operatives Risikomanagement mit detaillierten und hochwirksamen Anforderungen zu Vorfällen, Betrug, Authentifizierung und Kommunikation

- Einhaltung der Anti-Geldwäsche Anforderungen und Anforderungen zur Bekämpfung der Terrorismusfinanzierung. Insbesondere die Anforderungen zur Customer Due Diligence (Know-Your-Customer-Prinzipien) und dem Transaktionsmonitoring

- Governance und insbesondere die Anforderungen an eine angemessene Aufgabentrennung (“first", “second" und gelegentlich "third line of defence")

Wenn Sie noch heute mit Ihrem Lizenzierungsprozess beginnen möchten, wenden Sie sich einfach an Josje Fiolet, um zu erfahren, wo wir Ihnen helfen können. Halten Sie auch Ausschau nach zukünftigen Blogs in den Themengebieten PSD2 und Lizensierung.

Sie möchten mehr darüber Erfahren, wie Sie erfolgreich eine PSD2-Lizenz erhalten und behalten können? Laden Sie unseren Ansatz unten herunter:

Nehmen Sie Kontakt auf

Bereit für die Zusammenarbeit mit den Experten von INNOPAY?