PSD2: Differenzierte Zugriffsrechte für Firmenkonten - EBA Q&A Klarstellung
- Erika Leitgeb
- vor 15 Minuten
- 3 Min. Lesezeit
Die Europäische Bankenaufsichtsbehörde (EBA) hat am 29. August 2025 mit Q&A Nr. 7265/2024 wichtige Klarstellungen zu differenzierten Zugriffsrechten bei Firmenkonten im Rahmen der PSD2 veröffentlicht. Das Dokument behandelt die Frage, ob individuelle Zugriffsrechte für Mitarbeiter von Unternehmen als Hindernisse für Drittdienstleister ("Third Party Provider" - TPP) gelten.
Risikomanagement bei Unternehmenskonten: Eine besondere Herausforderung
Die Verwaltung von Firmenkonten bringt für multinationale Unternehmen deutlich höhere Risiken mit sich als für Privatpersonen oder kleine Unternehmen. Diese besonderen Risiken ergeben sich aus mehreren Faktoren:
Hohe Transaktionsvolumina: Große Unternehmen verarbeiten täglich eine Vielzahl von Zahlungsvorgängen mit sensiblen Daten
Viele berechtigte Nutzer: Zahlreiche Mitarbeiter benötigen Zugriff auf verschiedene Konten und Zahlungsfunktionen
Komplexe Infrastruktur: Verwendung verschiedener elektronischer Kanäle und Zahlungsinstrumente
Internationale Präsenz: Multiple Konten in verschiedenen Währungen bei unterschiedlichen Instituten
Zentralisierte Liquiditätsverwaltung: Oft werden Zahlungsoperationen in speziellen Zentren gebündelt
Praktische Herausforderungen sind besonders bei der Betrugsprävention, dem Datenschutz und der operativen Kontinuität zu bewältigen.
Delegation Matrices: Das Herzstück der Risikokontrolle
Unternehmen entwickeln detaillierte Delegationsmatrizen mit ihren Banken, um diese Risiken zu steuern. Diese Matrizen enthalten spezifische Regelungen zu:
Autorisierungsebenen: Einzelne oder gemeinsame Berechtigung je nach Nutzer
Betragsgrenzen: Unterschiedliche Limits für verschiedene Mitarbeiter
Kanalzugriff: Berechtigung für spezielle elektronische Kanäle oder Zahlungsinstrumente
Produktnutzung: Zugang zu bestimmten Zahlungsprodukten
Die Governance-Richtlinien des Unternehmens definieren interne Regeln, während die Banken durch ihre Autorisierungstools die Umsetzung dieser Richtlinien sicherstellen.
Open Banking erweitert die Komplexität
Mit der Einführung des Open Banking durch PSD2 steht Unternehmen ein zusätzlicher "PSD2-Kanal" für die Kontoverwaltung zur Verfügung. Dies erfordert eine weitere Differenzierung der Delegationsmatrizen:
Drittdienstleister-spezifische Berechtigungen: Welche Nutzer dürfen über Drittdienstleister auf welche Konten zugreifen?
Datenfreigabekontrolle: Präzise Festlegung, welche sensiblen Informationen mit wem geteilt werden können
Mobile App-Sicherheit: Zusätzliche Kontrollen für Zugriffe über mobile Anwendungen
Unternehmen müssen dabei nicht zwingend ihre bestehenden Delegationsmatrizen für proprietäre Bankkanäle duplizieren.
EBA-Klarstellung: Rechtlicher Rahmen bleibt gewahrt
Die EBA erinnert in ihrer Antwort an die grundlegenden PSD2-Bestimmungen:
Grundrechte der Zahlungsdienstnutzer (Art. 66 Abs. 1 und 67 Abs. 1 PSD2):
Recht auf Nutzung von Zahlungsauslösediensten
Recht auf Nutzung von Kontoinformationsdiensten durch Drittdienstleister
Diskriminierungsverbot (Art. 66 Abs. 4 lit. c und 67 Abs. 3 lit. b PSD2):
Gleiche Behandlung von TPP-übermittelten Zahlungsaufträgen
Keine ungerechtfertigte Benachteiligung bei Datenanfragen über Drittdienstleister
Verbot von Hindernissen (Art. 32 Abs. 2 der Delegierten Verordnung):
Dedizierte Schnittstellen dürfen keine Hindernisse schaffen
Keine zusätzlichen Einverständniserklärungen von Zahlungsdienstnutzern
Differenzierte Zugriffsrechte sind zulässig
Die EBA stellt klar, dass weder PSD2 noch die Delegierte Verordnung juristische Personen daran hindern, ihren Banken Anweisungen für differenzierte Zugriffsrechte zu erteilen. Diese Rechte sind zulässig, wenn sie:
Vom Kontoinhaber definiert: Die juristische Person als Kontoinhaberin gibt die Anweisungen
Vertraglich vereinbart: Teil des vereinbarten Vertragsrahmens zwischen Bank und Unternehmen
Risikoangemessen: Entsprechen den spezifischen Risikomanagement-Anforderungen des Unternehmens
Banken können solche differenzierte Zugriffsrechte umsetzen, ohne gegen die PSD2-Bestimmungen zu verstoßen.
Keine unilateralen Kontrollen durch Banken
Wichtig ist die Unterscheidung zwischen:
Zulässigen Kontrollen: Vom Zahlungsdienstnutzer (Unternehmen) definierte Zugriffsrechte
Unzulässigen Kontrollen: Von der Bank einseitig auferlegte zusätzliche Überprüfungen
Die EBA betont ausdrücklich, dass Banken bei TPP-Zugriffen keine zusätzlichen Kontrollen implementieren dürfen, die über die vom Unternehmen definierten Zugriffsrechte hinausgehen.
💡 Hinweise für Institute:
Für Institute ergeben sich aus dieser EBA-Klarstellung wichtige Handlungsempfehlungen. Zunächst sollten Sie Ihre Firmenkundenverträge überprüfen und sicherstellen, dass diese klare Regelungen zu TPP-Zugriffsrechten enthalten. Dabei ist es entscheidend, die Implementierung differenzierter Zugriffsrechte sorgfältig zu dokumentieren und festzuhalten, dass diese auf ausdrücklichen Kundenwunsch und nicht auf eigene Initiative eingerichtet werden. Vermeiden Sie unbedingt einseitige Kontrollen oder zusätzliche Registrierungsverfahren für TPPs bei Firmenkunden, da diese als unzulässige Hindernisse gewertet werden können. Gleichzeitig sollten Sie Ihre Mitarbeiter für den wichtigen Unterschied zwischen kundenseitigen und bankseitigen Kontrollen sensibilisieren und einheitliche Verfahren für die Umsetzung von Kundenwünschen bezüglich TPP-Zugriff entwickeln.
Quelle / Eckdaten
👉 Link zum Dokument | |
Referenz | Q&A Nr. 7265/2024 |
📅 Veröffentlichung | 29. August 2025 |
Art des Dokuments | Q&A |
Herausgeber | Europäische Bankenaufsichtsbehörde (EBA) |
⚖️ Rechtsgrundlage | Richtlinie (EU) 2015/2366 (PSD2), Delegierte Verordnung (EU) 2018/389 |
Adressaten | Banken, Zahlungsinstitute, Drittdienstleister, Aufsichtsbehörden |
✅ Status | Q&A (nicht rechtsverbindlich, aber praktisch bedeutsam) |
📅 Datum Erstanwendung | Sofort anwendbar |
