Artikel 30
Allgemeine Anforderungen an Zugangsschnittstellen
(1)
Kontoführende Zahlungsdienstleister, die einem Zahler ein online zugängliches Zahlungskonto bereitstellen, haben mindestens eine Schnittstelle eingerichtet, die alle folgenden Anforderungen erfüllt:
a)
Kontoinformationsdienstleister, Zahlungsauslösedienstleister und Zahlungsdienstleister, die kartengebundene Zahlungsinstrumente ausstellen, können sich gegenüber dem kontoführenden Zahlungsdienstleister identifizieren.
b)
Kontoinformationsdienstleister können auf sichere Weise kommunizieren, um Informationen über ein oder mehrere bezeichnete Zahlungskonten und damit in Zusammenhang stehende Zahlungsvorgänge anzufordern und zu empfangen.
c)
Zahlungsauslösedienstleister können auf sichere Weise kommunizieren, um einen Zahlungsauftrag für das Zahlungskonto des Zahlers auszulösen und alle Informationen über die Auslösung des Zahlungsvorgangs sowie alle den kontoführenden Zahlungsdienstleistern zugänglichen Informationen in Bezug auf die Ausführung des Zahlungsvorgangs zu empfangen.
(2)
Zur Authentifizierung des Zahlungsdienstnutzers ermöglicht es die in Absatz 1 genannte Schnittstelle, dass Kontoinformationsdienstleister und Zahlungsauslösedienstleister sich auf alle Authentifizierungsverfahren verlassen können, die dem Zahlungsdienstnutzer vom kontoführenden Zahlungsdienstleister bereitgestellt werden.
Die Schnittstelle muss zumindest alle folgenden Anforderungen erfüllen:
a)
Ein Zahlungsauslösedienstleister oder ein Kontoinformationsdienstleister kann den kontoführenden Zahlungsdienstleister ausgehend von der Zustimmung des Zahlungsdienstnutzers anweisen, mit der Authentifizierung zu beginnen.
b)
Während der Authentifizierung werden Kommunikationssitzungen zwischen dem kontoführenden Zahlungsdienstleister, dem Kontoinformationsdienstleister, dem Zahlungsauslösedienstleister und dem betreffenden Zahlungsdienstnutzer aufgebaut und aufrechterhalten.
c)
Integrität und Vertraulichkeit der personalisierten Sicherheitsmerkmale und der Authentifizierungscodes, die durch oder über den Zahlungsauslösedienstleister oder den Kontoinformationsdienstleister übertragen werden, sind gewährleistet.
(3)
Die kontoführenden Zahlungsdienstleister gewährleisten, dass ihre Schnittstellen die von internationalen oder europäischen Standardisierungsorganisationen ausgegebenen Kommunikationsstandards erfüllen.
Die kontoführenden Zahlungsdienstleister gewährleisten zudem, dass die technische Spezifikation einer jeden Schnittstelle dokumentiert ist und die Routinen, Protokolle und Tools angibt, die von Zahlungsauslösedienstleistern, Kontoinformationsdienstleistern und Zahlungsdienstleistern, die kartengebundene Zahlungsinstrumente ausstellen, benötigt werden, damit die Interoperabilität ihrer Software und ihrer Anwendungen mit den Systemen der kontoführenden Zahlungsdienstleister gegeben ist.
Die kontoführenden Zahlungsdienstleister machen zumindest die auf die Zugangsschnittstelle bezogene Dokumentation spätestens sechs Monate vor dem in Artikel 38 Absatz 2 genannten Geltungsbeginn oder vor dem anvisierten Termin der Markteinführung der Zugangsschnittstelle, wenn die Einführung nach dem in Artikel 38 Absatz 2 angegebenen Datum erfolgt, auf Verlangen der zugelassenen Zahlungsauslösedienstleister, Kontoinformationsdienstleister und Zahlungsdienstleister, die kartengebundene Zahlungsinstrumente ausstellen, oder der Zahlungsdienstleister, die ihre entsprechende Zulassung bei den zuständigen Behörden beantragt haben, kostenfrei zugänglich und veröffentlichen eine Zusammenfassung der Dokumentation auf ihrer Website.
(4)
Zusätzlich zu Absatz 3 gewährleisten die kontoführenden Zahlungsdienstleister, dass sie, Notfallsituationen ausgenommen, jegliche Änderung der technischen Spezifikation ihrer Schnittstelle den zugelassenen Zahlungsauslösedienstleistern, Kontoinformationsdienstleistern und Zahlungsdienstleistern, die kartengebundene Zahlungsinstrumente ausstellen, oder Zahlungsdienstleistern, die ihre entsprechende Zulassung bei den zuständigen Behörden beantragt haben, so bald wie möglich und nicht später als drei Monate vor Implementierung der Änderung im Voraus zur Verfügung stellen.
Die Zahlungsdienstleister dokumentieren Notfallsituationen, in denen Änderungen implementiert wurden, und machen die Dokumentation den zuständigen Behörden auf Verlangen zugänglich.
(4a)
Abweichend von Absatz 4 stellen kontoführende Zahlungsdienstleister den in diesem Artikel genannten Zahlungsdienstleistern die Veränderungen, die sie an den technischen Spezifikationen ihrer Schnittstellen vorgenommen haben, um Artikel 10a nachzukommen, mindestens zwei Monate, bevor diese Veränderungen implementiert werden, zur Verfügung.
(5)
Die kontoführenden Zahlungsdienstleister stellen eine Testumgebung, einschließlich Unterstützung, für den Verbindungsaufbau und für Funktionstests zur Verfügung, damit die zugelassenen Zahlungsauslösedienstleister, Zahlungsdienstleister, die kartengebundene Zahlungsinstrumente ausstellen, Kontoinformationsdienstleister oder Zahlungsdienstleister, die eine entsprechende Zulassung beantragt haben, ihre Software und ihre Anwendungen testen können, die sie verwenden, um Benutzern einen Zahlungsdienst anzubieten. Diese Testumgebung sollte spätestens sechs Monate vor dem in Artikel 38 Absatz 2 genannten Geltungsbeginn oder vor dem anvisierten Termin der Markteinführung der Zugangsschnittstelle zur Verfügung gestellt werden, wenn die Einführung nach dem in Artikel 38 Absatz 2 angegebenen Datum erfolgt.
Jedoch dürfen über die Testumgebung keine sensiblen Informationen ausgetauscht werden.
(6)
Die zuständigen Behörden stellen sicher, dass die kontoführenden Zahlungsdienstleister den in den vorliegenden Standards verankerten Verpflichtungen in Bezug auf für die von ihnen eingerichtete(n) Schnittstelle(n) jederzeit nachkommen. Falls ein kontoführender Zahlungsdienstleister die Anforderungen an Schnittstellen gemäß den vorliegenden Standards nicht erfüllt, stellen die zuständigen Behörden sicher, dass die Erbringung von Zahlungsauslösediensten und Kontoinformationsdiensten nicht verhindert oder unterbrochen wird, soweit die betreffenden Anbieter solcher Dienste die in Artikel 33 Absatz 5 festgelegten Bedingungen erfüllen.