1) Zeitspanne der Statistiken über die Verfügbarkeit und die Leistung gemäß Artikel 32 Absatz 4 der Delegierten Verordnung (EU) 2018/389

Sachverhalt

Gemäß Artikel 32 Absatz 4 der Delegierten Verordnung (EU) 2018/389 haben kontoführende Zahlungsdienstleister auf ihrer Website vierteljährliche Statistiken über die Verfügbarkeit und die Leistung der dedizierten Schnittstelle und der von ihren Zahlungsdienstnutzern verwendeten Schnittstelle zu veröffentlichen. Gemäß der von der Europäischen Bankenaufsichtsbehörde (EBA) veröffentlichten EBA Q&A 2023_6687 (Period to be covered by statistics pursuant to Article 32(4) of Commission Delegated Regulation (EU) 2018/389) kann die zuständige Behörde eine angemessene Zeitspanne festlegen, die von den Statistiken erfasst sein soll.

Erwartungshaltung

Die veröffentlichten Statistiken der kontoführenden Zahlungsdienstleister gemäß Artikel 32 Absatz 4 der Delegierten Verordnung (EU) 2018/389 sollen mindestens den Zeitraum der letzten vier Quartale umfassen.

2) „Screen Scraping“ von Redirection-Seiten

Sachverhalt

Kontoführenden Zahlungsdienstleistern steht es gemäß der Ziffern 48 bis 50 der Opinion of the European Banking Authority on the implementation of the RTS on SCA and CSC (EBA-Op-2018-04) in Verbindung mit der Ziffer 11 der Opinion of the European Authority on obstacles under article 32(3) of the RTS on SCA and CSC (EBA/OP/2020/10) frei, über die Methoden zur Durchführung des Authentifizierungsverfahrens der Zahlungsdienstnutzer wie Redirection-, Embedded- oder Decoupled-Ansatz (oder eine Kombination davon) zu entscheiden, sofern sie damit alle Authentifizierungsverfahren unterstützen können, die der kontoführende Zahlungsdienstleister auch seinen eigenen Zahlungsdienstnutzern zur Verfügung gestellt hat. Damit hat der kontoführende Zahlungsdienstleister auch die Möglichkeit, eine Zugangsschnittstelle für Zahlungsauslösedienstleister und Kontoinformationsdienstleister (ZAD/KID) anzubieten, die ausschließlich dem Redirection-Ansatz oder dem Decoupled-Ansatz folgt.

Gemäß Artikel 30 Absatz 3 der Delegierten Verordnung (EU) 2018/389 müssen die kontoführenden Zahlungsdienstleister gewährleisten, dass die technische Spezifikation einer jeden Schnittstelle dokumentiert ist und die Routinen, Protokolle und Tools beschreibt, die von ZAD/KID benötigt werden, damit die Interoperabilität ihrer Software und ihrer Anwendungen mit den Systemen der kontoführenden Zahlungsdienstleister gegeben ist.

Die EBA hat in der EBA Q&A 2021_6044 (Re-engineering by TPP of the ASPSP’s redirect API and PSU customer journey) festgehalten, dass ZAD/KID gemäß Artikel 30 Absatz 3 der Delegierten Verordnung (EU) 2018/389 beim Zugriff auf die dedizierte Schnittstelle des kontoführenden Zahlungsdienstleisters die vom kontoführenden Zahlungsdienstleister festgelegten technischen Spezifikationen zu befolgen haben. Techniken zur Einbettung der Authentifizierungsschritte in die eigene Domäne der ZADs/KIDs (oft als „Screen Scraping“ oder „Reengineering“ bezeichnet) werden als „non compliant“ eingestuft. Wenn sich der kontoführende Zahlungsdienstleister für einen Redirection-Ansatz oder Decoupled-Ansatz entschieden hat und dieser hindernisfrei ausgestaltet ist, muss der ZAD/KID – die Spezifikation befolgend – die Zahlungsdienstnutzer entsprechend auf die Domäne des kontoführenden Zahlungsdienstleisters zur Authentifizierung umleiten. Einen eigenen technischen Ansatz für die Abfrage und nachfolgende Übermittlung der Zugangsdaten der Zahlungsdienstnutzer an den kontoführenden Zahlungsdienstleister einzuführen, der sich von dem vom kontoführenden Zahlungsdienstleister in den technischen Spezifikationen der dedizierten Schnittstelle vorgesehenen Ansatz unterscheidet, ist demnach als nicht zulässig zu betrachten.

Darüber hinaus hat die EBA in der EBA Q&A 2021_6245 (ASPSP restricting access for TPPs who embeds the redirect) festgehalten, dass Redirection-Seiten für eine ausschließliche Nutzung durch den Zahlungsdienstnutzer vorgesehen sind und eine Zugriffsverweigerung bei anderweitiger Nutzung aufsichtlich nicht zu beanstanden ist.

Erwartungshaltung

Die BaFin folgt in ihrer Erwartungshaltung den Ausführungen der EBA Q&A 2021_6044 und EBA Q&A 2021_6245. Andere, nicht in der technischen Spezifikation (Dokumentation) des kontoführenden Zahlungsdienstleisters beschriebene Zugriffsarten auf die dedizierte Schnittstelle erfolgen außerhalb des regulatorisch Erlaubten. Eine etwaige Zugriffsblockierung durch den kontoführenden Zahlungsdienstleister ist in diesem Fall aufsichtlich nicht zu beanstanden.

Die BaFin wird Hinweisen zu aufsichtlichen Verstößen nachgehen.

3) Meldung von Problemen mit den dedizierten Schnittstellen

Sachverhalt

ZAD/KID haben für den Zugriff auf Zahlungskonten bzw. die Ausführung von Zahlungsauslösungen grundsätzlich die von den kontoführenden Zahlungsdienstleistern bereitgestellten Kontozugangsschnittstellen zu nutzen. Bei einem Ausfall einer dedizierten Kontozugangsschnittstelle gemäß Artikel 33 Absatz 1 der Delegierten Verordnung (EU) 2018/389 ist ein solcher Ausfall nach Artikel 33 Absatz 3 der Delegierten Verordnung (EU) 2018/389 unverzüglich durch die kontoführenden Zahlungsdienstleister als auch ZAD/KID an die zuständige Aufsichtsbehörde zu melden. Von einer unvorhergesehenen Nichtverfügbarkeit oder einem Systemausfall wird ausgegangen, wenn fünf aufeinanderfolgende Anfragen für den Zugang zu Informationen zur Bereitstellung von ZAD/KID nicht innerhalb von 30 Sekunden beantwortet werden.

Bei einer Nutzung der von den kontoführenden Zahlungsdienstleistern ihren eigenen Zahlungsdienstnutzern zur Verfügung gestellten Kundenschnittstellen, legen ZAD/KID gemäß Artikel 33 Absatz 5 Buchstabe d der Delegierten Verordnung (EU) 2018/389 gegenüber ihrer zuständigen nationalen Behörde auf Verlangen unverzüglich die Gründe für die Nutzung der Schnittstelle dar und informieren gemäß Artikel 33 Absatz 5 Buchstabe e der Delegierten Verordnung (EU) 2018/389 den kontoführenden Zahlungsdienstleister diesbezüglich.

Erwartungshaltung

Der Ausfall einer dedizierten Kontozugangsschnittstelle im Sinne von Artikel 33 Absatz 1 der Delegierten Verordnung (EU) 2018/389 ist von einem kontoführenden Zahlungsdienstleister unverzüglich an die BaFin zu melden, wenn es sich nicht um eine lediglich einmalige Störung im Kontext einer einzelnen Anfrage (eines technischen Requests) handelt. Dies gilt unabhängig davon, ob dem jeweiligen Institut eine Ausnahme von der Bereitstellung eines Notfallmechanismus nach Artikel 33 Absatz 6 der Delegierten Verordnung (EU) 2018/389 gewährt wurde.

Sollte die Störung einen ZAD/KID dazu veranlassen die vom kontoführenden Zahlungsdienstleister bereitgestellten Kundenschnittstellen im Rahmen der von der Delegierten Verordnung (EU) 2018/389 vorgesehenen Regeln zu nutzen, hat auch dieser die Störung und die Nutzung dieser Schnittstellen unverzüglich an die BaFin zu melden.

Die Meldung erfolgt jeweils formlos und per E-Mail ausschließlich an das Postfach:

git1@bafin.de

Dabei ist das Datum und die Dauer der Störung anzugeben und ob nur bestimmte Dienste (Zahlungsauslösedienste oder Kontoinformationsdienste) von der Störung betroffen waren. Meldungen von kontoführenden Zahlungsdienstleistern sollten darüber hinaus einen Grund für die Störung der dedizierten Schnittstelle und die Mitteilung, ob gegebenenfalls entsprechende Maßnahmen veranlasst worden sind, enthalten. Zudem ist mitzuteilen, ob die ZAD/KID über die Störung der dedizierten Schnittstelle informiert worden sind.