Zahlungsdiensteaufsichtsrecht
Beitrag aus dem Jahresbericht 2017 der BaFin
Umsetzung der Zweiten Zahlungsdiensterichtlinie
Am 21. Juli 2017 ist das Gesetz zur Umsetzung der Zweiten Zahlungsdiensterichtlinie im Bundesgesetzblatt verkündet worden. Durch dieses Gesetz, das am 13. Januar 2018 in Kraft getreten ist, ist das Zahlungsdiensteaufsichtsgesetz neu gefasst worden.
Änderungen durch das neue ZAG
Im Bereich der Erlaubnispflicht werden zwei weitere Tatbestände für ZAG-Institute eingeführt. Zahlungsauslösedienste sind Dienste, die auf Veranlassung des Kunden einen Zahlungsvorgang auslösen, wobei das angesprochene Konto nicht beim Zahlungsauslösedienstleister selbst, sondern bei einem anderen Institut geführt wird. Diesen Dienstleistern kommt angesichts des wachsenden Online-Handels zunehmende Bedeutung zu.
Hinweise zum Zahlungsdiensteaufsichtsgesetz
Die BaFin hat am 29. November 2017 das überarbeitete Merkblatt „Hinweise zum Zahlungsdiensteaufsichtsgesetz“ auf ihrer Website veröffentlicht. Das Merkblatt enthält umfangreiche Ausführungen zur Erlaubnis- bzw. Registrierungspflicht für Zahlungsdienste und E-Geld sowie zu den Bereichsausnahmen und erläutert das seit 13. Januar 2018 zu beachtende Anzeigewesen. Maßgebliche, im Merkblatt benannte Verbände erklärten sich bereit, die Anzeigen ihrer Mitglieder in konsolidierter Form an die BaFin zu übermitteln. Nachdem sie das Merkblatt veröffentlicht hatte, veranstaltete die BaFin für die betroffenen Marktakteure am 5. Dezember 2017 eine Konferenz zur Neufassung des Zahlungsdiensteaufsichtsgesetzes.
Neu im Katalog der Zahlungsdienste ist auch der Kontoinformationsdienst. Bei diesem handelt es sich um einen Online-Dienst, der dem Zahlungsdienstenutzer konsolidierte Informationen über ein oder mehrere Konten mitteilt, die der Nutzer bei anderen Instituten führt. Während bislang der Zugriff auf Kundengelder Grundvoraussetzung für eine Aufsichtspflicht nach dem ZAG war, wird erstmals der reine Zugriff auf Daten, die Zahlungskonten betreffen, unter Aufsicht gestellt.
Außerdem wird der Tatbestand des Akquisitionsgeschäfts weiter gefasst. Das digitalisierte Zahlungsgeschäft wird kein eigennormierter Zahlungsdienst mehr sein. Dieser Tatbestand wird allerdings nicht ersatzlos wegfallen, sondern in alten und neuen Zahlungsdienstetatbeständen aufgehen.
Schließlich wurden bei der Umsetzung der Zahlungsdiensterichtlinie die Bereichsausnahmen für bestimmte Zahlungssysteme und die Telekommunikationsbranche umrissen: Ein entsprechend verwendetes Zahlungsinstrument ist nur noch dann erlaubnisfrei, wenn seine Einsatzmöglichkeit auf ein klar definiertes (engeres) Netz, auf eine sehr begrenzte Produktpalette oder auf bestimmte soziale oder steuerliche Zwecke beschränkt wird. Auch die Telekommunikationsbranche ist, was bestimmte Geschäfte angeht, nur noch erlaubnisfrei, solange sie gewisse Obergrenzen einhält.
Technische Anforderungen erweitert
Für die Aufsicht über Zahlungs- und E-Geld-Institute bringt das Gesetz insbesondere eine Erweiterung der technischen Anforderungen mit sich. So sind etwa Verfahren für Sicherheitsvorfälle, für den Umgang mit sensiblen Zahlungsdaten und für die Geschäftsfortführung im Krisenfall, die Erfassung statistischer Daten sowie eine Sicherheitsstrategie zu implementieren bzw. zu dokumentieren. Unternehmen, die ausschließlich Kontoinformationsdienste erbringen, müssen, anstatt eine Erlaubnis einzuholen, nur eine Registrierung beantragen, werden dann aber auch beaufsichtigt. Zahlungsauslöse- und Kontoinformationsdienstleister benötigen etwa eine Absicherung für den Haftungsfall.
Sicherheit im Zahlungsverkehr
Große Bedeutung hat das Thema Sicherheit im Zahlungsverkehr. Durch eine verpflichtende starke Kundenauthentifizierung für bestimmte Vorgänge sollen Betrugsfälle im Zahlungsverkehr minimiert werden. Spezielle Anforderungen an die technischen Zugangsschnittstellen zum Zahlungskonto für die neuen Zahlungsdienstleister sollen einen strukturierten und sicheren Zugriff auf die Zahlungskonten ermöglichen. Die Europäische Bankenaufsichtsbehörde EBA (European Banking Authority) hat dazu Technische Regulierungsstandards entworfen, die am 14. März 2018 als Delegierte Verordnung der Europäischen Kommission1 in Kraft getreten sind. Die Zahlungsdienstleister haben nun eine Frist bis zum 14. September 2019, um diese Verordnung umzusetzen.
Fußnote:
- 1 Delegierte Verordnung (EU) 2018/389 der Kommission vom 27. November 2017 zur Ergänzung der Richtlinie (EU) 2015/2366 des Europäischen Parlaments und des Rates durch technische Regulierungsstandards für eine starke Kundenauthentifizierung und für sichere offene Standards für die Kommunikation.