deen
Nexia Ebner Stolz

Zahlungsdienstleister: Die Payment Service Directive 2

Mit der Payment Service Directive sollte das Zahlungsdienstrecht und der Zahlungsdienstleister im gesamten europäischen (Wirtschaft) Raum reguliert werden mit dem Ziel, die Aufnahme von Nichtbanken in die Zahlungsbranche durch angeglichene Wettbewerbsbedingungen zu erhöhen. Mit der überarbeiteten Zahlungsdiensterichtlinie (PSD 2) werden bspw. Banken verpflichtet, Schnittstellen einzurichten, die Zahlungsdienstleistern den Zugriff auf die Konten der Bankkunden ermöglichen.

Mit Ein­füh­rung der Pay­ment Ser­vice Direc­tive (Zah­lungs­di­ens­te­richt­li­nie) sollte das Zah­lungs­di­en­st­recht und der Zah­lungs­di­enst­leis­ter im gesam­ten euro­päi­schen (Wirt­schaft) Raum regu­liert wer­den. Ziel ist es, die Auf­nahme von Nicht­ban­ken in die Zah­lungs­bran­che durch ange­g­li­chene Wett­be­werbs­be­din­gun­gen zu erhöhen. Die über­ar­bei­tete Zah­lungs­di­ens­te­richt­li­nie (PSD 2) löst die Zah­lungs­di­ens­te­richt­li­nie 2007/64/EG (PSD) vom 13.11.2007 ab und ist seit 13.1.2018 gül­tig. Hier­bei wer­den bspw. Ban­ken verpf­lich­tet, Schnitt­s­tel­len ein­zu­rich­ten, die Zah­lungs­di­enst­leis­tern den Zugriff auf die Kon­ten der Bank­kun­den ermög­li­chen.

Das regu­la­to­ri­sche Rah­men­werk bil­det das Gesetz über die Beauf­sich­ti­gung von Zah­lungs­di­ens­ten (Zah­lungs­di­enst­auf­sichts­ge­setz, ZAG), wel­ches die Ein­füh­rung neuer erlaub­nispf­lich­ti­ger Zah­lungs­di­enste und die Ein­schrän­kung bis­he­ri­ger Aus­nah­me­re­ge­lun­gen, vor allem die Erhöh­ung des Ver­brau­cher­schut­zes, bein­hal­tet. Mit den regu­la­to­ri­schen tech­ni­schen Stan­dards (RTS) ist eine Basis für eine starke Kun­den­au­then­ti­fi­zie­rung und sichere offene Stan­dards für die Kom­mu­ni­ka­tion geschaf­fen wor­den. Abge­run­det wird der regu­la­to­ri­sche Rah­men durch die Leit­li­nien zu Sicher­heits­maß­nah­men bezüg­lich der ope­ra­tio­nel­len und sicher­heits­re­le­van­ten Risi­ken von Zah­lungs­di­ens­ten (EBA Leit­li­nie 2017/17).

Um die Anfor­de­run­gen aus den Regu­la­rien zu beur­tei­len, emp­fiehlt sich bei­spiels­weise eine an das Infor­ma­ti­ons­si­cher­heits-Mana­ge­ment­sys­tem ange­lehnte Vor­ge­hens­weise. Aus­gangs­punkt ist die Schaf­fung einer ein­heit­li­chen Samm­lung der wesent­li­chen Anfor­de­run­gen der PSD 2. Hierzu bedarf es einer Umfeld- und Anfor­de­rungs­ana­lyse.
 
Es gilt Über­de­ckun­gen zwi­schen ein­zel­nen Nor­men vorab zu iden­ti­fi­zie­ren, um Dop­pel­ar­bei­ten und poten­ti­elle Inkon­gru­en­zen zu ver­mei­den (z. B. Über­schnei­dun­gen von PSD 2 und EU-DSGVO). Die Nor­men soll­ten in ihre ein­zel­nen The­men­fel­der (Anfor­de­run­gen) geg­lie­dert wer­den und ansch­lie­ßend sowohl zuein­an­der als auch zu den für sie wesent­li­chen ISMS-Objek­ten in Bezie­hung gebracht wer­den. Orga­ni­sa­ti­ons­ob­jekte kön­nen Pro­zesse, App­li­ka­tio­nen, Infra­struk­tur oder recht­li­che Ein­hei­ten sein. Die wesent­lichs­ten Nor­men hierzu sind neben den bereits oben auf­ge­führ­ten Regu­la­rien bspw.:

  • Min­de­st­an­for­de­run­gen an u. a. Ban­ken bzgl. des Umgangs mit Geschäfts­ri­si­ken, ins­be­son­dere IT-Risi­ken und „Sichere Inter­net­zah­lun­gen“ (bis zu deren Ablö­sung),
  • Out­sour­cing Gui­de­li­nes (z. B. MaRisk / BAIT / MaSI),
  • Daten­schutz-Grund­ver­ord­nung (EU-DSGVO) sowie
  • ISO 27001 / BSI-Hin­weise als Haupt­bau­stein eines zer­ti­fi­zier­ten ISMS und tech­ni­sche Hin­weise und Anfor­de­run­gen des BSI.

Nach­dem der Gel­tungs­be­reich / Scope der Prü­fungs­auf­ga­ben­stel­lung fest­ge­legt ist, sind die Risi­ken des Scopes zu iden­ti­fi­zie­ren. Wel­chen Bedro­hun­gen ist das Unter­neh­men aus­ge­setzt? Hier­für ist ein Mana­ge­ment­sys­tem zur Iden­ti­fi­ka­tion von tech­ni­schen und orga­ni­sa­to­ri­schen Schwach­s­tel­len und Bedro­hun­gen ein wesent­li­cher Bestand­teil. Nur so kön­nen Sicher­heits­lü­cken und Bedro­hun­gen, die von innen wie außen auf das Unter­neh­men, den Pro­zess, das Sys­tem ein­wir­ken, zuver­läs­sig iden­ti­fi­ziert wer­den. Es sind Maß­nah­men abzu­lei­ten, wel­che dem Risiko ent­ge­gen­steu­ern kön­nen.

Z. B. for­dert die Leit­li­nien zu Sicher­heits­maß­nah­men (EBA/GL/2017/17) Sicher­heits­maß­nah­men zur Min­de­rung der sicher­heits­re­le­van­ten und ope­ra­tio­nel­len Risi­ken sowie eine Sicher­heits­st­ra­te­gie gemäß PSD 2. Ebenso sind eine Defini­tion und Zuwei­sung von Auf­ga­ben und Zustän­dig­kei­ten sowie Berichts­li­nien, Ver­fah­ren und Sys­teme zur Iden­ti­fi­zie­rung, Mes­sung, Über­wa­chung und Steue­rung der Risi­ken sowie Rege­lun­gen zur Auf­rech­t­er­hal­tung des Geschäfts­be­triebs (Busi­ness Con­ti­nuity) und eine ord­nungs­ge­mäße Doku­men­ta­tion gefor­dert. Diese Rege­lun­gen gestal­ten sich bspw. ana­log den Anfor­de­run­gen der MaRisk / BAIT. Hier ste­hen eben­falls Ver­füg­bar­keit, Inte­gri­tät und Ver­trau­lich­keit der Sys­teme und Daten mit dem Ziel der Risi­ko­m­in­de­rung unter Berück­sich­ti­gung der indi­vi­du­el­len Risi­kobe­reit­schaft im Fokus.

Die RTS for­dern ein spe­zi­fi­sches Doku­men­ta­ti­ons­rah­men­werk. Hier sind z. B. in Art. 3 i.V.m. Art 1 Sicher­heits­maß­nah­men für die starke Kun­den­au­then­ti­fi­zie­rung, Anwen­dung von Aus­nah­men hier­für, Sicher­stel­lung von Ver­trau­lich­keit und Inte­gri­tät von Kun­den­zu­gangs­in­for­ma­tio­nen sowie all­ge­meine und offene Stan­dards für die Kom­mu­ni­ka­tion gefor­dert. Es gilt zu eru­ie­ren, wel­che Pro­zesse, Ver­fah­ren, Sys­teme etc. zu doku­men­tie­ren, wel­che Nach­weise vor­zu­hal­ten sind und für wen und wann die Infor­ma­tio­nen zur Ver­fü­gung zu stel­len sind. Grund­sätz­lich ent­sp­re­chen die vor­zu­hal­ten­den Doku­men­ta­tio­nen, Infor­ma­tio­nen und Nach­weise den „übli­chen“ Sorg­faltspf­lich­ten aus einem Infor­ma­ti­ons­si­cher­heits-Mana­ge­ment­sys­tem oder Anfor­de­run­gen bspw. der MaRisk / BAIT. Auch sind im Doku­men­ta­ti­ons­rah­men­werk gemäß dem ISO-Stan­dard 27001 schon viele The­men der PSD 2 abge­deckt.

Um den Bedarf der (noch) zu imp­le­men­tie­ren­den Maß­nah­men / Kon­trol­len benen­nen zu kön­nen (Sta­te­ment of App­lica­bi­lity – Gap-Ana­lyse), sind die bereits im Unter­neh­men umge­setz­ten Sicher­heits­maß­nah­men mit den Anfor­de­run­gen des zugrunde lie­gen­den Regel­werks (hier RTS und EBA-Leit­li­nie) gegen­über­zu­s­tel­len.

Das Ergeb­nis legt offen, wel­cher Abde­ckungs­grad bereits mit den beste­hen­den Pro­zes­sen und Doku­men­ten vor­liegt und wel­che Lücken es zu sch­lie­ßen gilt.

Um die gewon­nen Erkennt­nisse ziel­füh­r­end in die Opti­mie­rung des beste­hen­den Risi­ko­ma­na­ge­ments / ISMS zu über­füh­ren, gilt es, einen umfas­sen­den Maß­nah­men­plan zu ers­tel­len, wel­cher Abhän­gig­kei­ten berück­sich­tigt sowie Ver­ant­wort­lich­kei­ten und Fris­ten iden­ti­fi­ziert. Das „Sta­te­ment of App­lica­bi­li­ty“ stellt die Maß­nah­men dar, wel­che aus bestimm­ten Grün­den ange­wen­det bzw. auch nicht ange­wen­det wur­den.

Bei der ISO 27001 bei­spiels­weise sind die Maß­nah­men als nor­ma­tive Werte im sog. ANNEX A auf­ge­führt. Die im Annex A beschrie­be­nen Maß­nah­men sind von der Norm als (nor­ma­tive) Reak­tion auf die Ergeb­nisse der Risi­ko­be­trach­tung zu sehen. Es han­delt sich hier­bei um imp­li­zite Maß­nah­men­ziele. Die Liste der Maß­nah­men­ziele und Maß­nah­men in Anhang A ist nicht ersc­höp­fend und wei­tere Maß­nah­men­ziele und Maß­nah­men könn­ten erfor­der­lich sein. Durch bereits beste­hende (all­ge­meine) Anfor­de­run­gen aus den MaRisk / BAIT soll­ten die kon­to­füh­r­en­den Zah­lungs­di­enst­leis­ter (Ban­ken) bereits Maß­nah­men / Kon­trol­len imp­le­men­tiert haben, wel­che bspw. die Beschrän­kung von Zugriffs­rech­ten, den über­mit­tel­ten Infor­ma­ti­on­s­um­fang oder Über­wa­chung von Schnitt­s­tel­len the­ma­ti­sie­ren. Die PSD 2 len­ken den Fokus somit noch ein­mal ver­stärkt und auch detail­lier­ter auf den Zah­lungs­ver­kehr.

Die EBA-Leit­li­nien grei­fen die aus MaRisk / BAIT sowie aus ISMS und BCM hin­läng­lich bekann­ten Prin­zi­pien, Ver­fah­ren und Maß­nah­men auf und bezie­hen diese auf die Geschäft­s­pro­zesse im Zusam­men­hang mit Zah­lungs­di­ens­ten. Somit kön­nen z. B. im Rah­men der Jah­res­ab­schluss­prü­fung Prü­fungs­hand­lun­gen bei Auf­bau- und Ablauf­prü­fung ana­log durch­ge­führt wer­den. In der Pra­xis sind die Geschäft­s­pro­zesse im Zusam­men­hang mit Zah­lungs­di­ens­ten in das bereits beste­hende Risi­ko­ma­na­ge­ment / ISMS / BCM ein­zu­be­zie­hen und ent­sp­re­chend zu berück­sich­ti­gen. Ggf. ist eine Anpas­sung / Opti­mie­rung des Risi­ko­ma­na­ge­ments ent­sp­re­chend den EBA-Leit­li­nien vor­zu­neh­men. Die Detail­ge­nau­ig­keit sollte in einem ange­mes­se­nen Ver­hält­nis zur Größe des Zah­lungs­di­enst­leis­ters sowie zu Art, Umfang, Kom­ple­xi­tät und Risi­ko­be­haf­tung des Zah­lungs­di­ens­tes ste­hen (Pro­por­tio­na­li­tät­s­prin­zip), d. h., dass grund­sätz­lich alle Arbeits­pa­kete der Leit­li­nien berück­sich­tigt wer­den müs­sen. Ledig­lich der Detai­lie­rungs­grad der Aus­ge­stal­tung darf in Abhän­gig­keit von den indi­vi­du­el­len Gege­ben­hei­ten beim Zah­lungs­di­enst­leis­ter vari­ie­ren.

Wesent­li­cher Bestand­teil ist die Über­prü­fung der beschrie­be­nen Maß­nah­men / Kon­trol­len. Auf deren Wirk­sam­keit sind die fol­gen­den Aspekte zu berück­sich­ti­gen:

  • Ist die Schutz­maß­nahme geeig­net, um das Risiko zu redu­zie­ren?
  • Stellt die getrof­fene Maß­nahme eine neue/zusätz­li­che Gefähr­dung dar?
  • Wird die Schutz­maß­nahme in der Pra­xis ver­wen­det, ein­ge­hal­ten, nicht mani­pu­liert?

Wich­tig hier­bei ist genau zu defi­nie­ren, wel­che Kon­trolle geprüft wird, wel­che Prü­fungs­hand­lun­gen vor­ge­nom­men wur­den (z. B. Befra­gung, Beo­b­ach­tung, Durch­sicht), der Stich­pro­ben­um­fang sowie das Ergeb­nis der Funk­ti­ons­prü­fun­gen (Art und Anzahl der Abwei­chun­gen, unab­hän­gig davon, ob der Wirt­schafts­prü­fer zu der Auf­fas­sung gelangt, dass das zuge­hö­rige Kon­troll­ziel erreicht wurde) und die Beur­tei­lung der Abwei­chung im Hin­blick auf die Wirk­sam­keit der Kon­trolle.

Die PSD 2 (z. B. EBA-Leit­li­nien) neh­men Anfor­de­run­gen der MaRisk / BAIT auf und erhöhen den Detail­grad punk­tu­ell. Für die sys­te­ma­ti­sche Ana­lyse der Sicher­heit­s­an­for­de­run­gen und Abde­ckung durch ein Mana­ge­ment-Sys­tem für IT-Sicher­heit bie­tet sich bspw. die ISO 27001 als Werk­zeug zur Bedi­e­nung der Anfor­de­run­gen aus der PSD 2 an. Hier­bei ist es aber unab­ding­bar, den Scope der bereits beste­hen­den Mana­ge­ment-Sys­te­men zu beach­ten.

nach oben