Umsetzung der Zweiten Zahlungsdiensterichtlinie
Beitrag aus dem Jahresbericht 2018 der BaFin
Zahlungsdienste
Am 13. Januar 2018 ist das neue Zahlungsdiensteaufsichtsgesetz (ZAG) weitgehend in Kraft getreten. Es setzt den aufsichtsrechtlichen Teil der Zweiten Zahlungsdiensterichtlinie (Payment Service Directive 2 – PSD 2) in deutsches Recht um. Die PSD 2 und das novellierte ZAG sollen die fortschreitende Digitalisierung im Zahlungsverkehr rechtlich erfassen. Beide sollen ferner die hier festgeschriebenen Ausnahmetatbestände stärker konturieren und damit dazu beitragen, dass die Vorschriften europaweit einheitlich ausgelegt und angewendet werden.
Sicherheit und Wettbewerb im Zahlungsverkehr
Zu den neuen Vorschriften zählen unter anderem die Pflicht, in bestimmten Fällen eine starke Kundenauthentifizierung einzurichten und für regulierte, beaufsichtigte Zahlungsauslöse- und Kontoinformationsdienstleister – mit Einwilligung des Kunden – Zugang zum online zugänglichen Zahlungskonto zu gewähren. Die aufsichtlichen Anforderungen zur Beherrschung operationeller und sicherheitsrelevanter Risiken im Zahlungsverkehr sowie die diesbezüglichen Meldepflichten gehören ebenfalls dazu. Diese neuen Vorschriften sollen den Wettbewerb im Zahlungsverkehr stärken, die Sicherheit von Zahlungsdiensten steigern und den Schutz der Kunden verbessern.
Starke Kundenauthentifizierung
Die Vorgaben des ZAG zur starken Kundenauthentifizierung, die im September 2019 in Kraft treten werden (siehe Infokasten „Starke Kundenauthentifizierung“), werden im elektronischen Zahlungsverkehr insbesondere die Nutzung von Online-Banking und das Bezahlen im Internet sicherer machen.
Die neuen Vorschriften über die starke Kundenauthentifizierung ergänzt eine Europäische Delegierte Verordnung. Zahlungsdienstleister müssen diese Vorgaben ab dem 14. September 2019 verbindlich anwenden.
Definition:Starke Kundenauthentifizierung
Jeder Nutzer eines Computers ist damit vertraut, sich auf einem Rechner oder einer Webseite zu authentifizieren – zum Beispiel, indem er ein Passwort eingibt. Die Pflicht zur starken Kundenauthentifizierung verlangt aber eine Authentifizierung, die aus mindestens zwei Elementen besteht. Diese Elemente müssen aus zwei der drei Kategorien „Wissen“, „Besitz“ und „Inhärenz“ stammen. Ein Beispiel der Kategorie „Wissen“ ist das Passwort. In der Kategorie „Besitz“ ist das Mobiltelefon ein bekanntes Beispiel: Der Besitz des Geräts lässt sich einfach durch die Eingabe einer Transaktionsnummer (TAN) nachweisen, die auf dem persönlichen Telefon empfangen wurde. Elemente der Kategorie „Inhärenz“ sind persönliche oder körperliche Identifizierungsmerkmale der Nutzer, etwa der Fingerabdruck.
Das ZAG und die Delegierte Verordnung regeln, wann eine starke Kundenauthentifizierung erforderlich ist. Eine starke Kundenauthentifizierung ist beispielsweise dann vorzunehmen, wenn der Zahler einen elektronischen Zahlungsvorgang auslöst oder online auf sein Zahlungskonto zugreift.
Auslösung elektronischer Zahlungen
Ein Zahler löst eine elektronische Zahlung beispielsweise dann aus, wenn er mit seiner Karte und der persönlichen Identifikationsnummer (PIN) an der Ladenkasse im Supermarkt bezahlt – was den Anforderungen an eine starke Kundenauthentifizierung in diesem Anwendungsfall grundsätzlich genügt.
Wenn es sich bei der ausgelösten elektronischen Zahlung um einen Fernzahlungsvorgang handelt, zum Beispiel wenn der Zahler eine Überweisung im Online-Banking oder eine Zahlung mit Kreditkarte im Internet vornimmt, ist die starke Kundenauthentifizierung um eine dynamische Verknüpfung zu erweitern. Dies erfolgt mit einer sogenannten dynamischen Verknüpfung von Empfänger und Betrag. Dies bedeutet eine Verknüpfung des Zahlungsvorgangs mit einem bestimmten Zahlungsempfänger und einem bestimmten Betrag. Dies bedeutet weiter, dass ein Zahlungsdienstleister zum Beispiel bei der Übersendung einer TAN durch eine SMS, dem Zahler mitteilen muss, für welchen Betrag und welchen Zahlungsempfänger diese TAN gilt. Jede Änderung dieser Zahlungsdaten macht die übermittelte TAN ungültig.
Die Delegierte Verordnung beschreibt auch Fälle, in denen die Zahlungsdienstleister auf eine starke Kundenauthentifizierung verzichten können. Ein Beispiel für eine solche Ausnahme sind – unter bestimmten Voraussetzungen – kontaktlose Kartenzahlungen, die auch in Deutschland immer häufiger an der Verkaufsstelle, beispielsweise im Supermarkt genutzt werden.
Meldeverfahren
Das neue Meldeverfahren für schwerwiegende Sicherheitsvorfälle im Zahlungsverkehr ist seit dem 13. Januar 2018 nutzbar. Bis zum Jahresende gingen darüber mehr als 650 Meldungen zu fast 300 Vorfällen ein. Es löste das bisherige Meldeverfahren nach den Mindestanforderungen an die Sicherheit von Internetzahlungen (MaSI) ab. Schwerwiegende Sicherheitsvorfälle sollten nur noch mit den neuen Meldeformularen und über die Melde- und Veröffentlichungsplattform der BaFin, das MVP-Portal, gemeldet werden. Zu der Frage, wann ein Sicherheitsvorfall schwerwiegend und damit meldepflichtig ist, hat die Europäische Bankenaufsichtsbehörde EBA (European Banking Authority) ebenfalls Leitlinien veröffentlicht. Die BaFin hat diese mit dem Rundschreiben 08/2018 (BA) in ihre Aufsichtspraxis übernommen.
