BaFin - Navigation & Service

Thema MVP-Portal Informationen zum Meldeverfahren für schwerwiegende Betriebs- und Sicherheitsvorfälle bei Zahlungsdienstleistern

Meldepflicht bei Sicherheitsvorfällen

Gemäß § 54 Absatz 1 Satz 1 ZAG hat ein Zahlungsdienstleister die BaFin unverzüglich über eine schwerwiegende Betriebs- und Sicherheitsvorfälle zu unterrichten.

Zu der Frage, welche Vorfälle konkret meldepflichtig sind, hat die EBA am 10.06.2021 ihre „Guidelines on major incident reporting under Directive (EU) 2015/2366 (PSD2)“ mit den „Revised Guidelines on major incident reporting under PSD2“ überarbeitet. Die überarbeiteten Richtlinien hat die BaFin mit dem aufsichtlichen Rundschreiben 03/2022 (BA) umgesetzt. Für die Erfüllung dieser aktualisierten Meldepflicht wird die BaFin zum 01.10.2022 ihr elektronisches Meldeverfahren, das auf der Melde- und Veröffentlichungsplattform (MVP) der BaFin beruht, umstellen. Ein entsprechendes Testverfahren kann bereits ab dem Datum dieser Veröffentlichung genutzt werden.

Um erstmalig zum Fachverfahren zugelassen zu werden, um Zahlungssicherheitsvorfälle erfolgreich an die BaFin melden zu können bzw. das Verfahren zu testen, sind die folgenden Schritte notwendig.

1. Selbstregistrierung am MVP-Portal

Jede meldeberechtigte Person (nachfolgend „Melder“) muss sich als Nutzer im MVP-Portal registrieren, soweit sie dort nicht bereits registriert ist.

Diese Registrierung kann jederzeit durchgeführt werden.

2. Freischaltung für das Meldeverfahren „PSD2-Zahlungssicherheitsvorfälle“ beantragen

Innerhalb des MVP-Portals kann der Melder über einen Antrag die Freischaltung für das Meldeverfahren „PSD2-Zahlungssicherheitsvorfälle“ bzw. „TEST: PSD2-Zahlungssicherheitsvorfälle“ beantragen. Hierfür ist in der Menüleiste links „Fachverfahren beantragen“ auszuwählen. Bitte berücksichtigen Sie die dortigen Ausfüllhinweise. Der ausgefüllte Antrag kann anschließend unter „Antragsliste aufrufen“ im pdf-Format abgerufen werden. Der Antrag ist auf Seite 2 von einer zeichnungsbefugten Person und auf Seite 3 vom Melder selbst - jeweils unter Angabe des Datums bzw. des Datums und des Ortes – eigenhändig zu unterschreiben. Der unterschriebene Antrag ist auf dem Postweg an folgende Adresse zu senden:

Bundesanstalt für Finanzdienstleistungsaufsicht
GIT 2 – IKT-Vorfall
Graurheindorfer Str. 108
53117 Bonn

Wir weisen Sie darauf hin, dass unrichtige/unvollständige Anträge keine Freischaltung für das beantragte Fachverfahren ermöglichen und abgelehnt werden. Sollten benötigte Auswahlmöglichkeiten nicht verfügbar („ausgegraut“) sein, überprüfen Sie bitte, ob nicht ein Antrag mit diesen Auswahlmöglichkeiten bereits den Status „vorläufig“ oder „akzeptiert“ hat. Ein akzeptierter bzw. sich noch in Prüfung befindender Antrag kann nicht nochmal gestellt werden. Überprüfen Sie bitte anschließend Ihre Benutzerdaten unter „Benutzerdaten ändern“ auf Richtigkeit. Im Falle einer Antragsablehnung kann eine Freischaltung nur durch eine neue (richtige und vollständige) Antragstellung unter einer neuen Antragsnummer erfolgen. Beachten Sie bitte, dass die Registrierung zwingend mit einer geschäftlichen E-Mailadresse zu erfolgen hat.

Bitte überprüfen Sie sowohl vor Einreichung als auch vor Unterzeichnung des Antrags die Richtigkeit und Aktualität Ihrer Angaben. Bitte stellen Sie auch sicher, dass sämtliche vor Antragstellung erfolgten Änderungen der Kontaktdaten des Meldepflichtigen der Fachaufsicht der BaFin mitgeteilt wurden.

Ein Melder, der für mehrere Zahlungsdienstleister melden möchte, hat der BaFin eine Excel-Datei zur Verfügung zu stellen, in der alle betroffenen Zahlungsdienstleister mit Firma und BAK-Nummern eingetragen sind sowie die jeweilige Meldebefugnis nachzuweisen. Diese Datei ist an „ikt-vorfall@bafin.de“ zu senden.

ZahlungsdienstleisterBAK-Nummer

Für Zahlungsdienstleister, die in dieser Tabelle nicht aufgeführt sind, kann keine Meldung abgegeben werden!

3. Benachrichtigung der BaFin

Der Melder wird über die erfolgreiche/nicht erfolgreiche Freischaltung für das Meldeverfahren „PSD2-Zahlungssicherheitsvorfälle“ informiert Die Benachrichtigung erfolgt per E-Mail, über die im MVP-Portal hinterlegte E-Mailadresse.

Sobald die Benachrichtigung über die erfolgreiche Freischaltung erfolgt ist, kann der Melder Meldungen über schwerwiegende Zahlungssicherheitsvorfälle abgeben.

Zur Abgabe der Meldung werden drei verschiedene Möglichkeiten zu Verfügung gestellt. Zahlungsdienstleister sind jederzeit frei, zwischen diesen Methoden zu wählen:

1. Nutzung eines Web-Formulars
Im MVP-Portal wird ein Web-Formular zur Verfügung gestellt. Dieses kann von dem Melder online ausgefüllt werden.

2. Nutzung des Datei Uploads
Der Melder hat die Möglichkeit, innerhalb des MVP-Portals eine Meldung manuell als XML-Datei hochzuladen.

3. Nutzung einer SOAP-Webservice-Schnittstelle
Durch die Nutzung einer SOAP-Webservice-Schnittstelle kann eine Meldung automatisiert hochgeladen werden.

In allen drei Fällen werden die Meldungen auf Konsistenz überprüft und anschließend an eine Meldedatenbank weitergeleitet. Der Melder erhält eine Benachrichtigung, in der ihm mitgeteilt wird, ob die Meldung erfolgreich übermittelt worden ist. In dieser Bestätigung wird eine ID mitgesendet. Diese ID ist bei späteren Meldungen zu demselben Vorfall zu nutzen, um die Meldungszuordnung zu gewährleisten. Falls bei der Überprüfung ein Fehler festgestellt wird, wird die Meldung nicht an die Datenbank weitergeleitet: Der Fehler wird direkt im Response (Webservice) oder auf der Webseite (Formular) mitgeteilt.

Technische Details für die Anbindung finden Sie unten in den Anlagen.

Kontakt:Für Fach­fra­gen

E-Mail: ikt-vorfall@bafin.de

Kontakt: MVP Sup­port­hot­li­ne
Für technische Fragen und Probleme

E-Mail: mvp-support@bafin.de

Zusatzinformationen

Fanden Sie den Beitrag hilfreich?

Wir freuen uns über Ihr Feedback

Es hilft uns, die Webseite kontinuierlich zu verbessern und aktuell zu halten. Bei Fragen, für deren Beantwortung wir Sie kontaktieren sollen, nutzen Sie bitte unser Kontaktformular. Hinweise auf tatsächliche oder mögliche Verstöße gegen aufsichtsrechtliche Vorschriften richten Sie bitte an unsere Hinweisgeberstelle.

Wir freuen uns über Ihr Feedback