Umsetzung der Zweiten Zahlungsdiensterichtlinie

Am 21. Juli 2017 ist das Gesetz zur Umsetzung der Zweiten Zahlungsdiensterichtlinie im Bundesgesetzblatt verkündet worden. Durch dieses Gesetz, das am 13. Januar 2018 in Kraft getreten ist, ist das Zahlungsdiensteaufsichtsgesetz neu gefasst worden.

Änderungen durch das neue ZAG

Im Bereich der Erlaubnispflicht werden zwei weitere Tatbestände für ZAG-Institute eingeführt. Zahlungsauslösedienste sind Dienste, die auf Veranlassung des Kunden einen Zahlungsvorgang auslösen, wobei das angesprochene Konto nicht beim Zahlungsauslösedienstleister selbst, sondern bei einem anderen Institut geführt wird. Diesen Dienstleistern kommt angesichts des wachsenden Online-Handels zunehmende Bedeutung zu.

Neu im Katalog der Zahlungsdienste ist auch der Kontoinformationsdienst. Bei diesem handelt es sich um einen Online-Dienst, der dem Zahlungsdienstenutzer konsolidierte Informationen über ein oder mehrere Konten mitteilt, die der Nutzer bei anderen Instituten führt. Während bislang der Zugriff auf Kundengelder Grundvoraussetzung für eine Aufsichtspflicht nach dem ZAG war, wird erstmals der reine Zugriff auf Daten, die Zahlungskonten betreffen, unter Aufsicht gestellt.

Außerdem wird der Tatbestand des Akquisitionsgeschäfts weiter gefasst. Das digitalisierte Zahlungsgeschäft wird kein eigennormierter Zahlungsdienst mehr sein. Dieser Tatbestand wird allerdings nicht ersatzlos wegfallen, sondern in alten und neuen Zahlungsdienstetatbeständen aufgehen.

Schließlich wurden bei der Umsetzung der Zahlungsdiensterichtlinie die Bereichsausnahmen für bestimmte Zahlungssysteme und die Telekommunikationsbranche umrissen: Ein entsprechend verwendetes Zahlungsinstrument ist nur noch dann erlaubnisfrei, wenn seine Einsatzmöglichkeit auf ein klar definiertes (engeres) Netz, auf eine sehr begrenzte Produktpalette oder auf bestimmte soziale oder steuerliche Zwecke beschränkt wird. Auch die Telekommunikationsbranche ist, was bestimmte Geschäfte angeht, nur noch erlaubnisfrei, solange sie gewisse Obergrenzen einhält.

Technische Anforderungen erweitert

Für die Aufsicht über Zahlungs- und E-Geld-Institute bringt das Gesetz insbesondere eine Erweiterung der technischen Anforderungen mit sich. So sind etwa Verfahren für Sicherheitsvorfälle, für den Umgang mit sensiblen Zahlungsdaten und für die Geschäftsfortführung im Krisenfall, die Erfassung statistischer Daten sowie eine Sicherheitsstrategie zu implementieren bzw. zu dokumentieren. Unternehmen, die ausschließlich Kontoinformationsdienste erbringen, müssen, anstatt eine Erlaubnis einzuholen, nur eine Registrierung beantragen, werden dann aber auch beaufsichtigt. Zahlungsauslöse- und Kontoinformationsdienstleister benötigen etwa eine Absicherung für den Haftungsfall.

Sicherheit im Zahlungsverkehr

Große Bedeutung hat das Thema Sicherheit im Zahlungsverkehr. Durch eine verpflichtende starke Kundenauthentifizierung für bestimmte Vorgänge sollen Betrugsfälle im Zahlungsverkehr minimiert werden. Spezielle Anforderungen an die technischen Zugangsschnittstellen zum Zahlungskonto für die neuen Zahlungsdienstleister sollen einen strukturierten und sicheren Zugriff auf die Zahlungskonten ermöglichen. Die Europäische Bankenaufsichtsbehörde EBA (European Banking Authority) hat dazu Technische Regulierungsstandards entworfen, die am 14. März 2018 als Delegierte Verordnung der Europäischen Kommission¹ in Kraft getreten sind. Die Zahlungsdienstleister haben nun eine Frist bis zum 14. September 2019, um diese Verordnung umzusetzen.

Fußnote: