de en
Nexia Ebner Stolz

Branchen

Novellierung des Zahlungsdiensteaufsichtsgesetzes

Be­reits seit dem 12.1.2016 gilt die Richt­li­nie (EU) 2015/2366 über Zah­lungs­dienste im Bin­nen­markt (Pay­ment Ser­vices Di­rec­tive - PSD II). Zu ih­rer Um­set­zung in deut­sches Recht trat am 13.1.2018 das neue und vollständig über­ar­bei­tete Zah­lungs­diens­teauf­sichts­ge­setz (ZAG n. F.) in Kraft.

We­sent­li­che Merk­male des ZAG n. F. sind ne­ben der Einführung neuer er­laub­nis­pflich­ti­ger Zah­lungs­dienste und der Ein­schränkung bis­he­ri­ger Aus­nah­me­re­ge­lun­gen, vor al­lem die Erhöhung des Ver­brau­cher­schut­zes u. a. durch die Einführung zusätz­li­cher An­for­de­run­gen an ein IT-Si­cher­heits­ma­nage­ment, an die Be­schwerde- und Mel­de­ver­fah­ren, so­wie an die Kun­den­au­then­ti­fi­zie­rung für die Zah­lungs­dienste er­brin­gen­den Un­ter­neh­men.

Novellierung des Zahlungsdiensteaufsichtsgesetzes© Thinkstock

Hinweis

Be­reits vor In­kraft­tre­ten des ZAG n. F. hat die Bun­des­an­stalt für Fi­nanz­dienst­leis­tungs­auf­sicht (Ba­Fin) ihr Merk­blatt „Hin­weise zum ZAG“ über­ar­bei­tet und die­ses am 29.11.2017 veröff­ent­licht. Darin wer­den Aus­le­gungs­hin­weise u. a. zu den Er­laub­nis- und Re­gis­trie­rungs­pflich­ten so­wie zu den Be­griffs­de­fi­ni­tio­nen der Zah­lungs­dienste und de­ren Aus­nah­men ge­ge­ben.

Neue Anforderungen an die Erlaubnis- bzw. Registrierungsanträge

Im ZAG n. F. wer­den die An­for­de­run­gen an die Er­laub­nis- bzw. Re­gis­trie­rungs­anträge für alle Zah­lungs­dienst­leis­ter er­wei­tert. Für die An­trag­stel­lung gel­ten künf­tig nicht nur be­son­dere Überg­angs­fris­ten (siehe nach­fol­gend). Ne­ben den bis­her gel­ten­den Vor­aus­set­zun­gen sind zusätz­li­che An­ga­ben u. a. zum Zu­gang zu sen­si­blen Zah­lungs­da­ten, zum Um­gang mit Si­cher­heits­vorfällen vor­zu­neh­men so­wie eine Be­schrei­bung der Si­cher­heits­stra­te­gie, ein­schließlich ei­ner de­tail­lier­ten Ri­si­ko­be­wer­tung der er­brach­ten Zah­lungs­dienste ein­zu­rei­chen. Grund­lage für die An­trag­stel­lung sind die Leit­li­nien der Eu­ropäischen Ban­ken­auf­sichts­behörde (EBA Leit­li­nien) zur Zu­las­sung von Zah­lungs­in­sti­tu­ten und E-Geld-In­sti­tu­ten so­wie zur Ein­tra­gung von Kon­to­in­for­ma­ti­ons­dienst­leis­tern (EBA/GL/2017/09) vom 8.11.2017.

Hinweis

Die Ba­Fin veröff­ent­lichte auf der Grund­lage der EBA Leit­li­nien am 4.12.2017 auf ih­rer In­ter­net­seite www.ba­fin.de die zu be­ach­ten­den In­halte zu den Er­laub­nis- bzw. Re­gis­trie­rungs­anträgen in der Form von ta­bel­la­ri­schen Über­sich­ten. In Be­zug auf den Ab­lauf des Er­laub­nis- bzw. Re­gis­trie­rungs­ver­fah­rens sind Vor­abklärun­gen vor An­trags­ein­rei­chung mit der Auf­sicht möglich.

Neue Erlaubnistatbestände

Kern­ele­ment des ZAG n. F. ist, dass sog. „Dritte Zah­lungs­dienst­leis­ter“ in den An­wen­dungs­be­reich auf­ge­nom­men wer­den. Dar­un­ter fal­len Zah­lungs­auslöse­dienste (ZAD, d. h. Zah­lungs­dienst­leis­ter führen Zah­lun­gen di­rekt vom Bank­konto des Kun­den aus) und Kon­to­in­for­ma­ti­ons­dienste (KID, d. h. Zah­lungs­dienst­leis­ter ver­wal­ten alle Kon­to­ver­bin­dun­gen des Kun­den und stel­len ihm kon­so­li­dierte In­for­ma­tio­nen zu sei­nen Zah­lungs­kon­ten zur Verfügung). An­ders als die klas­si­schen Zah­lungs­dienste zeich­nen sich die neuen Zah­lungs­dienste da­durch aus, dass diese Zah­lungs­dienst­leis­ter zu kei­nem Zeit­punkt in den Be­sitz von Kun­den­gel­dern ge­lan­gen.

Mit dem Ein­be­zug drit­ter Zah­lungs­dienst­leis­ter in den An­wen­dungs­be­reich des ZAG n. F. wer­den de­ren Ver­ant­wort­lich­kei­ten, Pflich­ten und Haf­tung ge­setz­lich ge­re­gelt. Für die Er­brin­gung von ZAD be­darf es künf­tig ei­ner Er­laub­nis nach § 10 ZAG n. F. und von KID ei­ner Re­gis­trie­rung nach §§ 34, 43 ZAG n. F. bei der Ba­Fin. Für die An­trag­stel­lung gel­ten nicht nur be­son­dere Überg­angs­fris­ten (siehe nach­fol­gend), son­dern auch be­son­dere An­for­de­run­gen an die ein­zu­rei­chen­den Un­ter­la­gen. So sind z. B. Nach­weise zur spe­zi­fi­schen Be­rufs­haft­pflicht­ver­si­che­rung oder ei­ner gleich­wer­ti­gen Ga­ran­tie zur Ab­si­che­rung der Haf­tung nach §§ 16 bzw. 36 ZAG n. F. zu er­brin­gen. Zu­dem gel­ten für Zah­lungs­dienst­leis­ter, die ZAD oder KID er­brin­gen, be­son­dere Pflich­ten zur si­che­ren Iden­ti­fi­ka­tion und Kom­mu­ni­ka­tion mit dem kon­toführen­den In­sti­tut des Kun­den (siehe nach­fol­gend).

Gleich­zei­tig sind für diese Zah­lungs­dienst­leis­ter di­verse Er­leich­te­run­gen vor­ge­se­hen. Sie un­ter­lie­gen z. B. nicht den lau­fen­den Ei­gen­mit­tel­an­for­de­run­gen oder An­for­de­run­gen an die In­sol­venz­si­che­rung nach §§ 15 bzw. 17 ZAG n. F, pro­fi­tie­ren je­doch wie alle Zah­lungs­in­sti­tute vom EU-Pass mit Nie­der­las­sungs- und Dienst­leis­tungs­recht nach § 38 ZAG n. F.

Hinweis

CRR-Kre­dit­in­sti­tute gel­ten nach wie vor als nach dem ZAG n. F. zu­ge­las­sene Zah­lungs­dienst­leis­ter. Ein CRR-Kre­dit­in­sti­tut, das zwar eine Er­laub­nis für das Kre­dit­ge­schäft, nicht aber für das Ein­la­gen­ge­schäft hat, fällt nicht dar­un­ter. Er­bringt die­ses gleich­wohl Zah­lungs­dienste, wird es als Zah­lungs­in­sti­tut qua­li­fi­ziert und fällt un­ter den Er­laub­nis­vor­be­halt des ZAG n. F.

Neue aufsichtsrechtliche Pflichten

Eine Schlüssel­rolle im Rah­men des ZAG n. F. ha­ben die neu ein­geführ­ten auf­sichts­recht­li­chen An­for­de­run­gen so­wohl an die Si­cher­heit im Zah­lungs­ver­kehr als auch an das Ri­si­ko­ma­nage­ment der Zah­lungs­dienst­leis­ter:

  • Schnitt­stel­len zwi­schen ZAD, KID und kon­toführen­den In­sti­tu­ten (§§ 45 - 52 ZAG n. F.) so­wie verstärkte Kun­den­au­then­ti­fi­zie­rung (§ 55 ZAG n. F.)

Das kon­toführende In­sti­tut ist Kraft Ge­setz ver­pflich­tet, den Zah­lungs­dienst­leis­tern, die ZAD oder KID er­brin­gen, einen PSD II-kon­for­men Zu­gang zu den On­line-Kon­ten sei­ner Kun­den be­reit­zu­stel­len. Gleich­zei­tig sind diese Zah­lungs­dienst­leis­ter ver­pflich­tet, sich bei je­dem Zah­lungs­vor­gang durch Nut­zung qua­li­fi­zier­ter Zer­ti­fi­kate zu iden­ti­fi­zie­ren. Zu­dem wird künf­tig nicht nur bei In­ter­net­zah­lun­gen durch Kun­den, son­dern u. a. auch bei elek­tro­ni­schen Zah­lun­gen am POS-Ter­mi­nal, beim On­line-Zu­gang des Kun­den und beim Ein­schal­ten von ZAD oder KID eine verstärkte Kun­den­au­then­ti­fi­zie­rung ge­for­dert. Die ein­zel­nen Maßnah­men zur Um­set­zung die­ser Ver­pflich­tun­gen hat die EU-Kom­mis­sion am 27.11.2017 mit dem fi­na­len Ent­wurf ei­ner de­le­gier­ten Ver­ord­nung über die tech­ni­schen Re­gu­lie­rungs­stan­dards (RTS) zur verstärk­ten Kun­den­au­then­ti­fi­zie­rung und si­che­ren Kom­mu­ni­ka­tion (C (2017) 7782 fi­nal) an­ge­nom­men.

Hinweis

Da nach ih­rer Veröff­ent­li­chung (er­war­tet im ers­ten Quar­tal 2018) eine Um­set­zungs­frist von 18 Mo­na­ten vor­ge­se­hen ist, wer­den die RTS vor­aus­sicht­lich in der 2. Jah­reshälfte 2019 wirk­sam. Bis da­hin darf einem Zah­lungs­dienst­leis­ter, der ZAD oder KID er­bringt, der Zu­gang zu Kun­den­kon­ten und -in­for­ma­tio­nen von den kon­toführen­den In­sti­tu­ten nicht ver­wei­gert wer­den. Die verstärkte Kun­den­au­then­ti­fi­zie­rung hat bis da­hin wei­ter nach Maßgabe der Min­dest­an­for­de­run­gen an die Si­cher­heit von In­ter­net­zah­lun­gen (MaSI) aus dem Jahr 2015 zu er­fol­gen, die von der Ba­Fin auf der Grund­lage der ers­ten eu­ropäischen Zah­lungs­diens­te­richt­li­nie aus dem Jahr 2007 er­las­sen ist.

  • Ri­si­ken und Mel­dung von Vorfällen (§§ 53, 54 ZAG n. F.)

Mit der Um­set­zung der PSD II im ZAG n. F. müssen nun alle Zah­lungs­dienst­leis­ter (so­fern es sich da­bei um ein CRR-Kre­dit­in­sti­tut han­delt, zusätz­lich zu den Vor­ga­ben der Min­dest­an­for­de­run­gen an das Ri­si­ko­ma­nage­ment (Ma­Risk) und der Bank­auf­sicht­li­chen An­for­de­run­gen an die IT (BAIT)) an­ge­mes­sene IT-Si­cher­heitsmaßnah­men zur Be­herr­schung ope­ra­tio­nel­ler und si­cher­heits­re­le­van­ter Ri­si­ken er­grei­fen, ins­be­son­dere die mit den Zah­lungs­diens­ten ver­bun­de­nen Ri­si­ken ein­deu­tig iden­ti­fi­zie­ren und ein an­ge­mes­se­nes Ri­si­ko­ma­nage­ment auf­bauen.

Hinweis

Die EBA Leit­li­nien zu den Si­cher­heitsmaßnah­men bezüglich der ope­ra­tio­nel­len und si­cher­heits­re­le­van­ten Ri­si­ken von Zah­lungs­diens­ten (EBA/GL/2017/17) wur­den am 12.1.2018 in deut­scher Sprache veröff­ent­licht. Die Ba­Fin prüft der­zeit die Um­set­zung die­ser An­for­de­run­gen in die Auf­sichts­pra­xis. Bis da­hin gel­ten die ent­spre­chen­den Be­stim­mun­gen der MaSI wei­ter.

Zu­dem sind Mel­dung über schwer­wie­gende Be­triebs- oder Si­cher­heits­vorfälle an die Ba­Fin und u. U. auch an da­von be­trof­fene Kun­den zu er­stat­ten.

Hinweis

Die Re­ge­lung nach § 54 ZAG n. F zur Mel­de­pflicht bei schwer­wie­gen­den Be­triebs- oder Si­cher­heits­vorfällen er­setzt die bis­he­rige Re­ge­lung gemäß Nr. 3.2 der MaSI. Die EBA Leit­li­nien zur Mel­de­pflicht schwer­wie­gen­der Si­cher­heits­vorfälle (EBA/GL/2017/10) vom 19.12.2017 ge­ben Aus­kunft darüber, wel­che Vorfälle kon­kret mel­de­pflich­tig sind. Die Ba­Fin be­ab­sich­tigt diese Leit­li­nien in die deut­sche Auf­sichts­pra­xis um­zu­set­zen und hat be­reits die tech­ni­schen Ge­ge­ben­hei­ten für das Mel­de­ver­fah­ren (MVP-Por­tal) ge­schaf­fen.

EBA Level II- und Level III-Maßnahmen

Zur Kon­kre­ti­sie­rung der auf­sichts­recht­li­chen An­for­de­run­gen in der PSD II wurde die EBA mit der Er­ar­bei­tung von sog. Le­vel II- und Le­vel III-Maßnah­men (tech­ni­sche Re­gu­lie­rungs­stan­dards (RTS), tech­ni­sche Durchführungs­stan­dards (ITS), Leit­li­nien) ermäch­tigt und be­auf­tragt. Die nach­fol­gende Ab­bil­dung gibt einen Über­blick der re­le­van­ten Maßnah­men und de­ren Um­set­zungs­stand.

EBA Level II- und Level III-Maßnahmen

Da je­doch nicht alle Maßnah­men be­reits am 13.1.2018 an­wend­bar wa­ren, hat die EBA mit Stel­lung­nahme vom 19.12.2017 Um­set­zungsmaßnah­men für die Überg­angs­phase emp­foh­len.

Übergangsfristen für Erlaubnis- bzw. Registrierungsanträge nach dem ZAG n. F.

Für die Er­brin­gung von Zah­lungs­diens­ten ist eine Ba­Fin-Er­laub­nis bzw. Re­gis­trie­rung er­for­der­lich. Je nach Zah­lungs­dienst­leis­ter- und Zah­lungs­diens­teart gibt das ZAG n. F. gem. §§ 66 ff. ZAG n. F. un­ter­schied­li­che, zeit­lich ge­staf­felte Überg­angs­vor­schrif­ten für die zu stel­len­den Er­laub­nis- bzw. Re­gis­trie­rungs­anträge vor:

  • Zah­lungs- und E-Geld-In­sti­tute mit vor­han­de­ner Er­laub­nis

Be­ste­hende, nach dem ZAG in der Fas­sung bis zum 12.1.2018 (ZAG a. F.) zu­ge­las­sene, Zah­lungs- und E-Geld-In­sti­tute ha­ben die Re­ge­lun­gen des ZAG a. F. wei­ter­hin, längs­tens je­doch bis zum 13.7.2018, an­zu­wen­den. So­fern sie auch nach dem 13.7.2018 ihre Zah­lungs­dienste er­brin­gen möch­ten, hat­ten diese be­reits bis zum 26.1.2018 eine Ab­sichts­an­zeige und bis zum 9.2.2018 einen An­trag auf neue Er­laub­nis im Rah­men ei­nes sog. er­leich­ter­ten Er­laub­nis­ver­fah­rens bei der Ba­Fin zu stel­len. An­dern­falls er­lischt die alte Er­laub­nis am 13.7.2018 und ein neues Er­laub­nis­ver­fah­ren ohne Er­leich­te­run­gen wird er­for­der­lich.

Hinweis

Das er­leich­terte Er­laub­nis­ver­fah­ren be­deu­tet, dass aus­schließlich die neuen Er­laub­nis­an­for­de­run­gen nach § 10 Abs. 2 Satz 1 Nr. 6 - 10 ZAG n. F. u. a. zu IT-Si­cher­heits­fra­gen, zu or­ga­ni­sa­to­ri­schen und stra­te­gi­schen Fra­gen zu berück­sich­ti­gen und An­ga­ben zu ein­ge­tre­te­nen we­sent­li­chen Ände­run­gen der tatsäch­li­chen und recht­li­chen Verhält­nisse vor­zu­neh­men sind.

  • Un­ter­neh­men, die ZAD oder KID er­brin­gen

Da für Un­ter­neh­men, die ZAD oder KID er­brin­gen, erst­ma­lig im ZAG n. F. ge­setz­li­che Rah­men ge­schaf­fen wur­den, gal­ten diese Dienst­leis­tun­gen bis­lang als er­laub­nis­frei.

So­fern Un­ter­neh­men diese Zah­lungs­dienste nach dem 13.1.2018 wei­ter­hin er­brin­gen möch­ten, sind sie zur An­trag­stel­lung um eine Er­laub­nis nach § 10 ZAG n. F. bzw. Re­gis­trie­rung nach §§ 34, 43 ZAG n. F. bei der Ba­Fin bis zum 13.4.2018 ver­pflich­tet. Aus Gründen der Rechts­si­cher­heit dürfen diese Un­ter­neh­men überg­angs­weise ihre Tätig­keit bis zur Be­stands­kraft der Ent­schei­dung über den Er­laub­nis- bzw. Re­gis­trie­rungs­an­trag wei­ter­hin er­brin­gen.

Un­ter­neh­men, die be­reits vor dem In­kraft­tre­ten der PSD II am 12.1.2016 ZAD oder KID er­bracht ha­ben, dürfen überg­angs­weise ihre Tätig­keit bis zum Wirk­sam­wer­den der RTS zur verstärk­ten Kun­den­au­then­ti­fi­zie­rung und si­che­ren Kom­mu­ni­ka­tion, die die An­for­de­run­gen der §§ 45 - 52 und 55 ZAG n. F. kon­kre­ti­sie­ren, wei­ter­hin er­brin­gen.

Die er­for­der­li­chen Er­laub­nis- bzw. Re­gis­trie­rungs­anträge sind recht­zei­tig und vollständig ein­zu­rei­chen.

BaFin hebt die Bereichsausnahme zum Konzernprivileg auf

Eine der be­deu­tends­ten Verände­rung mit ho­her prak­ti­scher Re­le­vanz im von der Ba­Fin am 29.11.2017 veröff­ent­lich­ten Merk­blatt „Hin­weise zum ZAG“ ist die Auf­he­bung der Be­reichs­aus­nahme zum Kon­zern­pri­vi­leg.

Die bis­her be­ste­hende Be­reichs­aus­nahme ermöglichte die Ein­rich­tung von zen­tra­li­sier­ten Ein­hei­ten für Zah­lungs­dienste in­ner­halb ei­nes Kon­zerns (Tre­asury-Ein­hei­ten). Der Wort­laut für das Kon­zern­pri­vi­leg hat sich im ZAG n. F. nicht geändert. Wei­ter­hin stel­len „Zah­lungs­vorgänge und da­mit ver­bun­dene Dienste in­ner­halb ei­nes Kon­zerns oder zwi­schen Mit­glie­dern ei­ner kre­dit­wirt­schaft­li­chen Ver­bund­gruppe“ keine Zah­lungs­dienste dar. Der Kon­zern­be­griff ori­en­tiert sich da­bei am Han­dels­recht (§§ 271 Abs. 2 i. V. m. 290ff. HGB), wo­bei die Aus­nahme nicht auf Gleich­ord­nungs­kon­zerne an­wend­bar ist.

Gemäß dem neuen Ba­Fin-Merk­blatt ist der Wort­laut des Kon­zern­pri­vi­legs hin­ge­gen ent­spre­chend eng aus­zu­le­gen. Dem­nach sind Zah­lungs­vorgänge „in den Kon­zern hin­ein“ oder „aus dem Kon­zern her­aus“ nicht mehr pri­vi­le­giert. Die enge Ver­wal­tungs­an­wei­sung be­deu­tet, dass die Be­reichs­aus­nahme nur auf kon­zern­in­terne Zah­lungs­vorgänge An­wen­dung fin­det. Eine er­laub­nis­pflich­tige Zah­lungs­dienst­leis­tung ist da­mit stets an­zu­neh­men, so­bald eine Kon­to­voll­macht oder Zah­lungs­be­fug­nis der Tre­asury-Ein­heit zur Ab­wick­lung von kon­zern­ex­ter­nem Zah­lungs­ver­kehr vor­liegt.

Hinweis

Mit die­ser Aus­le­gung un­ter­wirft die Ba­Fin seit dem 13.1.2018 ei­nige Tre­asury-Ein­hei­ten bzw. de­ren recht­li­che Ein­hei­ten dem Er­laub­nis­vor­be­halt nach dem ZAG n. F. Nach Hin­wei­sen von Verbänden, u. a. vom Bun­des­ver­band der Deut­schen In­dus­trie e. V. (BDI) und vom Ver­band Deut­scher Tre­asu­rer e. V., auf die Ver­wer­fun­gen zwi­schen ZAG n. F. und der en­ge­ren Aus­le­gung der Ba­Fin be­steht der­zeit Rechts­un­si­cher­heit. Gemäß ei­ner Pres­se­mit­tei­lung des BDI vom 13.2.2018 sei die An­wen­dung der bis­he­ri­gen Aus­le­gung des Kon­zern­pri­vi­legs bis zur endgülti­gen Klärung möglich. Im April 2018 sol­len wei­tere Ge­spräche mit der Ba­Fin statt­fin­den.

nach oben