deen
Nexia Ebner Stolz

Novellierung des Zahlungsdiensteaufsichtsgesetzes

Bereits seit dem 12.1.2016 gilt die Richtlinie (EU) 2015/2366 über Zahlungsdienste im Binnenmarkt (Payment Services Directive - PSD II). Zu ihrer Umsetzung in deutsches Recht trat am 13.1.2018 das neue und vollständig überarbeitete Zahlungsdiensteaufsichtsgesetz (ZAG n. F.) in Kraft.

Wesent­li­che Merk­male des ZAG n. F. sind neben der Ein­füh­rung neuer erlaub­nispf­lich­ti­ger Zah­lungs­di­enste und der Ein­schrän­kung bis­he­ri­ger Aus­nah­me­re­ge­lun­gen, vor allem die Erhöh­ung des Ver­brau­cher­schut­zes u. a. durch die Ein­füh­rung zusätz­li­cher Anfor­de­run­gen an ein IT-Sicher­heits­ma­na­ge­ment, an die Beschwerde- und Mel­de­ver­fah­ren, sowie an die Kun­den­au­then­ti­fi­zie­rung für die Zah­lungs­di­enste erbrin­gen­den Unter­neh­men.

Novellierung des Zahlungsdiensteaufsichtsgesetzes© Thinkstock

Hin­weis

Bereits vor Inkraft­t­re­ten des ZAG n. F. hat die Bun­des­an­stalt für Finanz­di­enst­leis­tungs­auf­sicht (BaFin) ihr Merk­blatt „Hin­weise zum ZAG“ über­ar­bei­tet und die­ses am 29.11.2017 ver­öf­f­ent­licht. Darin wer­den Aus­le­gungs­hin­weise u. a. zu den Erlaub­nis- und Regi­s­trie­rungspf­lich­ten sowie zu den Begriffs­de­fini­tio­nen der Zah­lungs­di­enste und deren Aus­nah­men gege­ben.

Neue Anfor­de­run­gen an die Erlaub­nis- bzw. Regi­s­trie­rung­s­an­träge

Im ZAG n. F. wer­den die Anfor­de­run­gen an die Erlaub­nis- bzw. Regi­s­trie­rung­s­an­träge für alle Zah­lungs­di­enst­leis­ter erwei­tert. Für die Antrag­stel­lung gel­ten künf­tig nicht nur beson­dere Über­gangs­fris­ten (siehe nach­fol­gend). Neben den bis­her gel­ten­den Vor­aus­set­zun­gen sind zusätz­li­che Anga­ben u. a. zum Zugang zu sen­si­b­len Zah­lungs­da­ten, zum Umgang mit Sicher­heits­vor­fäl­len vor­zu­neh­men sowie eine Besch­rei­bung der Sicher­heits­st­ra­te­gie, ein­sch­ließ­lich einer detail­lier­ten Risi­ko­be­wer­tung der erbrach­ten Zah­lungs­di­enste ein­zu­rei­chen. Grund­lage für die Antrag­stel­lung sind die Leit­li­nien der Euro­päi­schen Ban­ken­auf­sichts­be­hörde (EBA Leit­li­nien) zur Zulas­sung von Zah­lungs­in­sti­tu­ten und E-Geld-Insti­tu­ten sowie zur Ein­tra­gung von Kon­to­in­for­ma­ti­ons­di­enst­leis­tern (EBA/GL/2017/09) vom 8.11.2017.

Hin­weis

Die BaFin ver­öf­f­ent­lichte auf der Grund­lage der EBA Leit­li­nien am 4.12.2017 auf ihrer Inter­net­seite www.bafin.de die zu beach­ten­den Inhalte zu den Erlaub­nis- bzw. Regi­s­trie­rung­s­an­trä­gen in der Form von tabel­la­ri­schen Über­sich­ten. In Bezug auf den Ablauf des Erlaub­nis- bzw. Regi­s­trie­rungs­ver­fah­rens sind Vor­ab­klär­un­gen vor Antrag­s­ein­rei­chung mit der Auf­sicht mög­lich.

Neue Erlaub­ni­stat­be­stände

Kern­e­le­ment des ZAG n. F. ist, dass sog. „Dritte Zah­lungs­di­enst­leis­ter“ in den Anwen­dungs­be­reich auf­ge­nom­men wer­den. Dar­un­ter fal­len Zah­lungs­aus­lö­se­di­enste (ZAD, d. h. Zah­lungs­di­enst­leis­ter füh­ren Zah­lun­gen direkt vom Bank­konto des Kun­den aus) und Kon­to­in­for­ma­ti­ons­di­enste (KID, d. h. Zah­lungs­di­enst­leis­ter ver­wal­ten alle Kon­to­ver­bin­dun­gen des Kun­den und stel­len ihm kon­so­li­dierte Infor­ma­tio­nen zu sei­nen Zah­lungs­kon­ten zur Ver­fü­gung). Anders als die klas­si­schen Zah­lungs­di­enste zeich­nen sich die neuen Zah­lungs­di­enste dadurch aus, dass diese Zah­lungs­di­enst­leis­ter zu kei­nem Zeit­punkt in den Besitz von Kun­den­gel­dern gelan­gen.

Mit dem Ein­be­zug drit­ter Zah­lungs­di­enst­leis­ter in den Anwen­dungs­be­reich des ZAG n. F. wer­den deren Ver­ant­wort­lich­kei­ten, Pflich­ten und Haf­tung gesetz­lich gere­gelt. Für die Erbrin­gung von ZAD bedarf es künf­tig einer Erlaub­nis nach § 10 ZAG n. F. und von KID einer Regi­s­trie­rung nach §§ 34, 43 ZAG n. F. bei der BaFin. Für die Antrag­stel­lung gel­ten nicht nur beson­dere Über­gangs­fris­ten (siehe nach­fol­gend), son­dern auch beson­dere Anfor­de­run­gen an die ein­zu­rei­chen­den Unter­la­gen. So sind z. B. Nach­weise zur spe­zi­fi­schen Berufs­haftpf­licht­ver­si­che­rung oder einer gleich­wer­ti­gen Garan­tie zur Absi­che­rung der Haf­tung nach §§ 16 bzw. 36 ZAG n. F. zu erbrin­gen. Zudem gel­ten für Zah­lungs­di­enst­leis­ter, die ZAD oder KID erbrin­gen, beson­dere Pflich­ten zur siche­ren Iden­ti­fi­ka­tion und Kom­mu­ni­ka­tion mit dem kon­to­füh­r­en­den Insti­tut des Kun­den (siehe nach­fol­gend).

Gleich­zei­tig sind für diese Zah­lungs­di­enst­leis­ter diverse Erleich­te­run­gen vor­ge­se­hen. Sie unter­lie­gen z. B. nicht den lau­fen­den Eigen­mit­tel­an­for­de­run­gen oder Anfor­de­run­gen an die Insol­venz­si­che­rung nach §§ 15 bzw. 17 ZAG n. F, pro­fi­tie­ren jedoch wie alle Zah­lungs­in­sti­tute vom EU-Pass mit Nie­der­las­sungs- und Dienst­leis­tungs­recht nach § 38 ZAG n. F.

Hin­weis

CRR-Kre­di­t­in­sti­tute gel­ten nach wie vor als nach dem ZAG n. F. zuge­las­sene Zah­lungs­di­enst­leis­ter. Ein CRR-Kre­di­t­in­sti­tut, das zwar eine Erlaub­nis für das Kre­dit­ge­schäft, nicht aber für das Ein­la­gen­ge­schäft hat, fällt nicht dar­un­ter. Erbringt die­ses gleich­wohl Zah­lungs­di­enste, wird es als Zah­lungs­in­sti­tut qua­li­fi­ziert und fällt unter den Erlaub­nis­vor­be­halt des ZAG n. F.

Neue auf­sichts­recht­li­che Pflich­ten

Eine Schlüs­sel­rolle im Rah­men des ZAG n. F. haben die neu ein­ge­führ­ten auf­sichts­recht­li­chen Anfor­de­run­gen sowohl an die Sicher­heit im Zah­lungs­ver­kehr als auch an das Risi­ko­ma­na­ge­ment der Zah­lungs­di­enst­leis­ter:

  • Schnitt­s­tel­len zwi­schen ZAD, KID und kon­to­füh­r­en­den Insti­tu­ten (§§ 45 - 52 ZAG n. F.) sowie ver­stärkte Kun­den­au­then­ti­fi­zie­rung (§ 55 ZAG n. F.)

Das kon­to­füh­r­ende Insti­tut ist Kraft Gesetz verpf­lich­tet, den Zah­lungs­di­enst­leis­tern, die ZAD oder KID erbrin­gen, einen PSD II-kon­for­men Zugang zu den Online-Kon­ten sei­ner Kun­den bereit­zu­s­tel­len. Gleich­zei­tig sind diese Zah­lungs­di­enst­leis­ter verpf­lich­tet, sich bei jedem Zah­lungs­vor­gang durch Nut­zung qua­li­fi­zier­ter Zer­ti­fi­kate zu iden­ti­fi­zie­ren. Zudem wird künf­tig nicht nur bei Inter­net­zah­lun­gen durch Kun­den, son­dern u. a. auch bei elek­tro­ni­schen Zah­lun­gen am POS-Ter­mi­nal, beim Online-Zugang des Kun­den und beim Ein­schal­ten von ZAD oder KID eine ver­stärkte Kun­den­au­then­ti­fi­zie­rung gefor­dert. Die ein­zel­nen Maß­nah­men zur Umset­zung die­ser Verpf­lich­tun­gen hat die EU-Kom­mis­sion am 27.11.2017 mit dem fina­len Ent­wurf einer dele­gier­ten Ver­ord­nung über die tech­ni­schen Regu­lie­rungs­stan­dards (RTS) zur ver­stärk­ten Kun­den­au­then­ti­fi­zie­rung und siche­ren Kom­mu­ni­ka­tion (C (2017) 7782 final) ange­nom­men.

Hin­weis

Da nach ihrer Ver­öf­f­ent­li­chung (erwar­tet im ers­ten Quar­tal 2018) eine Umset­zungs­frist von 18 Mona­ten vor­ge­se­hen ist, wer­den die RTS vor­aus­sicht­lich in der 2. Jah­res­hälfte 2019 wirk­sam. Bis dahin darf einem Zah­lungs­di­enst­leis­ter, der ZAD oder KID erbringt, der Zugang zu Kun­den­kon­ten und -infor­ma­tio­nen von den kon­to­füh­r­en­den Insti­tu­ten nicht ver­wei­gert wer­den. Die ver­stärkte Kun­den­au­then­ti­fi­zie­rung hat bis dahin wei­ter nach Maß­g­abe der Min­de­st­an­for­de­run­gen an die Sicher­heit von Inter­net­zah­lun­gen (MaSI) aus dem Jahr 2015 zu erfol­gen, die von der BaFin auf der Grund­lage der ers­ten euro­päi­schen Zah­lungs­di­ens­te­richt­li­nie aus dem Jahr 2007 erlas­sen ist.

  • Risi­ken und Mel­dung von Vor­fäl­len (§§ 53, 54 ZAG n. F.)

Mit der Umset­zung der PSD II im ZAG n. F. müs­sen nun alle Zah­lungs­di­enst­leis­ter (sofern es sich dabei um ein CRR-Kre­di­t­in­sti­tut han­delt, zusätz­lich zu den Vor­ga­ben der Min­de­st­an­for­de­run­gen an das Risi­ko­ma­na­ge­ment (MaRisk) und der Ban­k­auf­sicht­li­chen Anfor­de­run­gen an die IT (BAIT)) ange­mes­sene IT-Sicher­heits­maß­nah­men zur Beherr­schung ope­ra­tio­nel­ler und sicher­heits­re­le­van­ter Risi­ken erg­rei­fen, ins­be­son­dere die mit den Zah­lungs­di­ens­ten ver­bun­de­nen Risi­ken ein­deu­tig iden­ti­fi­zie­ren und ein ange­mes­se­nes Risi­ko­ma­na­ge­ment auf­bauen.

Hin­weis

Die EBA Leit­li­nien zu den Sicher­heits­maß­nah­men bezüg­lich der ope­ra­tio­nel­len und sicher­heits­re­le­van­ten Risi­ken von Zah­lungs­di­ens­ten (EBA/GL/2017/17) wur­den am 12.1.2018 in deut­scher Spra­che ver­öf­f­ent­licht. Die BaFin prüft der­zeit die Umset­zung die­ser Anfor­de­run­gen in die Auf­sichts­pra­xis. Bis dahin gel­ten die ent­sp­re­chen­den Bestim­mun­gen der MaSI wei­ter.

Zudem sind Mel­dung über schwer­wie­gende Betriebs- oder Sicher­heits­vor­fälle an die BaFin und u. U. auch an davon betrof­fene Kun­den zu erstat­ten.

Hin­weis

Die Rege­lung nach § 54 ZAG n. F zur Mel­depf­licht bei schwer­wie­gen­den Betriebs- oder Sicher­heits­vor­fäl­len ersetzt die bis­he­rige Rege­lung gemäß Nr. 3.2 der MaSI. Die EBA Leit­li­nien zur Mel­depf­licht schwer­wie­gen­der Sicher­heits­vor­fälle (EBA/GL/2017/10) vom 19.12.2017 geben Aus­kunft dar­über, wel­che Vor­fälle kon­k­ret mel­depf­lich­tig sind. Die BaFin beab­sich­tigt diese Leit­li­nien in die deut­sche Auf­sichts­pra­xis umzu­set­zen und hat bereits die tech­ni­schen Gege­ben­hei­ten für das Mel­de­ver­fah­ren (MVP-Por­tal) geschaf­fen.

EBA Level II- und Level III-Maß­nah­men

Zur Kon­k­re­ti­sie­rung der auf­sichts­recht­li­chen Anfor­de­run­gen in der PSD II wurde die EBA mit der Erar­bei­tung von sog. Level II- und Level III-Maß­nah­men (tech­ni­sche Regu­lie­rungs­stan­dards (RTS), tech­ni­sche Durch­füh­rungs­stan­dards (ITS), Leit­li­nien) ermäch­tigt und beauf­tragt. Die nach­fol­gende Abbil­dung gibt einen Über­blick der rele­van­ten Maß­nah­men und deren Umset­zungs­stand.

EBA Level II- und Level III-Maßnahmen

Da jedoch nicht alle Maß­nah­men bereits am 13.1.2018 anwend­bar waren, hat die EBA mit Stel­lung­nahme vom 19.12.2017 Umset­zungs­maß­nah­men für die Über­gangs­phase emp­foh­len.

Über­gangs­fris­ten für Erlaub­nis- bzw. Regi­s­trie­rung­s­an­träge nach dem ZAG n. F.

Für die Erbrin­gung von Zah­lungs­di­ens­ten ist eine BaFin-Erlaub­nis bzw. Regi­s­trie­rung erfor­der­lich. Je nach Zah­lungs­di­enst­leis­ter- und Zah­lungs­di­ens­te­art gibt das ZAG n. F. gem. §§ 66 ff. ZAG n. F. unter­schied­li­che, zeit­lich gestaf­felte Über­gangs­vor­schrif­ten für die zu stel­len­den Erlaub­nis- bzw. Regi­s­trie­rung­s­an­träge vor:

  • Zah­lungs- und E-Geld-Insti­tute mit vor­han­de­ner Erlaub­nis

Beste­hende, nach dem ZAG in der Fas­sung bis zum 12.1.2018 (ZAG a. F.) zuge­las­sene, Zah­lungs- und E-Geld-Insti­tute haben die Rege­lun­gen des ZAG a. F. wei­ter­hin, längs­tens jedoch bis zum 13.7.2018, anzu­wen­den. Sofern sie auch nach dem 13.7.2018 ihre Zah­lungs­di­enste erbrin­gen möch­ten, hat­ten diese bereits bis zum 26.1.2018 eine Absicht­s­an­zeige und bis zum 9.2.2018 einen Antrag auf neue Erlaub­nis im Rah­men eines sog. erleich­ter­ten Erlaub­nis­ver­fah­rens bei der BaFin zu stel­len. Andern­falls erlischt die alte Erlaub­nis am 13.7.2018 und ein neues Erlaub­nis­ver­fah­ren ohne Erleich­te­run­gen wird erfor­der­lich.

Hin­weis

Das erleich­terte Erlaub­nis­ver­fah­ren bedeu­tet, dass aus­sch­ließ­lich die neuen Erlaub­ni­s­an­for­de­run­gen nach § 10 Abs. 2 Satz 1 Nr. 6 - 10 ZAG n. F. u. a. zu IT-Sicher­heits­fra­gen, zu orga­ni­sa­to­ri­schen und stra­te­gi­schen Fra­gen zu berück­sich­ti­gen und Anga­ben zu ein­ge­t­re­te­nen wesent­li­chen Ände­run­gen der tat­säch­li­chen und recht­li­chen Ver­hält­nisse vor­zu­neh­men sind.

  • Unter­neh­men, die ZAD oder KID erbrin­gen

Da für Unter­neh­men, die ZAD oder KID erbrin­gen, erst­ma­lig im ZAG n. F. gesetz­li­che Rah­men geschaf­fen wur­den, gal­ten diese Dienst­leis­tun­gen bis­lang als erlaub­nis­f­rei.

Sofern Unter­neh­men diese Zah­lungs­di­enste nach dem 13.1.2018 wei­ter­hin erbrin­gen möch­ten, sind sie zur Antrag­stel­lung um eine Erlaub­nis nach § 10 ZAG n. F. bzw. Regi­s­trie­rung nach §§ 34, 43 ZAG n. F. bei der BaFin bis zum 13.4.2018 verpf­lich­tet. Aus Grün­den der Rechts­si­cher­heit dür­fen diese Unter­neh­men über­gangs­weise ihre Tätig­keit bis zur Bestands­kraft der Ent­schei­dung über den Erlaub­nis- bzw. Regi­s­trie­rung­s­an­trag wei­ter­hin erbrin­gen.

Unter­neh­men, die bereits vor dem Inkraft­t­re­ten der PSD II am 12.1.2016 ZAD oder KID erbracht haben, dür­fen über­gangs­weise ihre Tätig­keit bis zum Wirk­sam­wer­den der RTS zur ver­stärk­ten Kun­den­au­then­ti­fi­zie­rung und siche­ren Kom­mu­ni­ka­tion, die die Anfor­de­run­gen der §§ 45 - 52 und 55 ZAG n. F. kon­k­re­ti­sie­ren, wei­ter­hin erbrin­gen.

Die erfor­der­li­chen Erlaub­nis- bzw. Regi­s­trie­rung­s­an­träge sind recht­zei­tig und voll­stän­dig ein­zu­rei­chen.

BaFin hebt die Bereichs­aus­nahme zum Kon­zern­pri­vi­leg auf

Eine der bedeu­tends­ten Ver­än­de­rung mit hoher prak­ti­scher Rele­vanz im von der BaFin am 29.11.2017 ver­öf­f­ent­lich­ten Merk­blatt „Hin­weise zum ZAG“ ist die Auf­he­bung der Bereichs­aus­nahme zum Kon­zern­pri­vi­leg.

Die bis­her beste­hende Bereichs­aus­nahme ermög­lichte die Ein­rich­tung von zen­tra­li­sier­ten Ein­hei­ten für Zah­lungs­di­enste inn­er­halb eines Kon­zerns (Trea­sury-Ein­hei­ten). Der Wort­laut für das Kon­zern­pri­vi­leg hat sich im ZAG n. F. nicht geän­dert. Wei­ter­hin stel­len „Zah­lungs­vor­gänge und damit ver­bun­dene Dienste inn­er­halb eines Kon­zerns oder zwi­schen Mit­g­lie­dern einer kre­dit­wirt­schaft­li­chen Ver­bund­grup­pe“ keine Zah­lungs­di­enste dar. Der Kon­zern­be­griff ori­en­tiert sich dabei am Han­dels­recht (§§ 271 Abs. 2 i. V. m. 290ff. HGB), wobei die Aus­nahme nicht auf Glei­ch­ord­nungs­kon­zerne anwend­bar ist.

Gemäß dem neuen BaFin-Merk­blatt ist der Wort­laut des Kon­zern­pri­vi­legs hin­ge­gen ent­sp­re­chend eng aus­zu­le­gen. Dem­nach sind Zah­lungs­vor­gänge „in den Kon­zern hin­ein“ oder „aus dem Kon­zern her­aus“ nicht mehr pri­vi­le­giert. Die enge Ver­wal­tungs­an­wei­sung bedeu­tet, dass die Bereichs­aus­nahme nur auf kon­zern­in­terne Zah­lungs­vor­gänge Anwen­dung fin­det. Eine erlaub­nispf­lich­tige Zah­lungs­di­enst­leis­tung ist damit stets anzu­neh­men, sobald eine Kon­to­voll­macht oder Zah­lungs­be­fug­nis der Trea­sury-Ein­heit zur Abwick­lung von kon­zern­ex­ter­nem Zah­lungs­ver­kehr vor­liegt.

Hin­weis

Mit die­ser Aus­le­gung unter­wirft die BaFin seit dem 13.1.2018 einige Trea­sury-Ein­hei­ten bzw. deren recht­li­che Ein­hei­ten dem Erlaub­nis­vor­be­halt nach dem ZAG n. F. Nach Hin­wei­sen von Ver­bän­den, u. a. vom Bun­des­ver­band der Deut­schen Indu­s­trie e. V. (BDI) und vom Ver­band Deut­scher Trea­su­rer e. V., auf die Ver­wer­fun­gen zwi­schen ZAG n. F. und der enge­ren Aus­le­gung der BaFin besteht der­zeit Recht­s­un­si­cher­heit. Gemäß einer Pres­se­mit­tei­lung des BDI vom 13.2.2018 sei die Anwen­dung der bis­he­ri­gen Aus­le­gung des Kon­zern­pri­vi­legs bis zur end­gül­ti­gen Klär­ung mög­lich. Im April 2018 sol­len wei­tere Gespräche mit der BaFin statt­fin­den.


nach oben