Novellierung des Zahlungsdiensteaufsichtsgesetzes

Bereits seit dem 12.1.2016 gilt die Richtlinie (EU) 2015/2366 über Zahlungsdienste im Binnenmarkt (Payment Services Directive - PSD II). Zu ihrer Umsetzung in deutsches Recht trat am 13.1.2018 das neue und vollständig überarbeitete Zahlungsdiensteaufsichtsgesetz (ZAG n. F.) in Kraft.

Wesentliche Merkmale des ZAG n. F. sind neben der Einführung neuer erlaubnispflichtiger Zahlungsdienste und der Einschränkung bisheriger Ausnahmeregelungen, vor allem die Erhöhung des Verbraucherschutzes u. a. durch die Einführung zusätzlicher Anforderungen an ein IT-Sicherheitsmanagement, an die Beschwerde- und Meldeverfahren, sowie an die Kundenauthentifizierung für die Zahlungsdienste erbringenden Unternehmen.

Novellierung des Zahlungsdiensteaufsichtsgesetzes

Hinweis

Bereits vor Inkrafttreten des ZAG n. F. hat die Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) ihr Merkblatt „Hinweise zum ZAG“ überarbeitet und dieses am 29.11.2017 veröffentlicht. Darin werden Auslegungshinweise u. a. zu den Erlaubnis- und Registrierungspflichten sowie zu den Begriffsdefinitionen der Zahlungsdienste und deren Ausnahmen gegeben.

Neue Anforderungen an die Erlaubnis- bzw. Registrierungsanträge

Im ZAG n. F. werden die Anforderungen an die Erlaubnis- bzw. Registrierungsanträge für alle Zahlungsdienstleister erweitert. Für die Antragstellung gelten künftig nicht nur besondere Übergangsfristen (siehe nachfolgend). Neben den bisher geltenden Voraussetzungen sind zusätzliche Angaben u. a. zum Zugang zu sensiblen Zahlungsdaten, zum Umgang mit Sicherheitsvorfällen vorzunehmen sowie eine Beschreibung der Sicherheitsstrategie, einschließlich einer detaillierten Risikobewertung der erbrachten Zahlungsdienste einzureichen. Grundlage für die Antragstellung sind die Leitlinien der Europäischen Bankenaufsichtsbehörde (EBA Leitlinien) zur Zulassung von Zahlungsinstituten und E-Geld-Instituten sowie zur Eintragung von Kontoinformationsdienstleistern (EBA/GL/2017/09) vom 8.11.2017.

Hinweis

Die BaFin veröffentlichte auf der Grundlage der EBA Leitlinien am 4.12.2017 auf ihrer Internetseite www.bafin.de die zu beachtenden Inhalte zu den Erlaubnis- bzw. Registrierungsanträgen in der Form von tabellarischen Übersichten. In Bezug auf den Ablauf des Erlaubnis- bzw. Registrierungsverfahrens sind Vorabklärungen vor Antragseinreichung mit der Aufsicht möglich.

Neue Erlaubnistatbestände

Kernelement des ZAG n. F. ist, dass sog. „Dritte Zahlungsdienstleister“ in den Anwendungsbereich aufgenommen werden. Darunter fallen Zahlungsauslösedienste (ZAD, d. h. Zahlungsdienstleister führen Zahlungen direkt vom Bankkonto des Kunden aus) und Kontoinformationsdienste (KID, d. h. Zahlungsdienstleister verwalten alle Kontoverbindungen des Kunden und stellen ihm konsolidierte Informationen zu seinen Zahlungskonten zur Verfügung). Anders als die klassischen Zahlungsdienste zeichnen sich die neuen Zahlungsdienste dadurch aus, dass diese Zahlungsdienstleister zu keinem Zeitpunkt in den Besitz von Kundengeldern gelangen.

Mit dem Einbezug dritter Zahlungsdienstleister in den Anwendungsbereich des ZAG n. F. werden deren Verantwortlichkeiten, Pflichten und Haftung gesetzlich geregelt. Für die Erbringung von ZAD bedarf es künftig einer Erlaubnis nach § 10 ZAG n. F. und von KID einer Registrierung nach §§ 34, 43 ZAG n. F. bei der BaFin. Für die Antragstellung gelten nicht nur besondere Übergangsfristen (siehe nachfolgend), sondern auch besondere Anforderungen an die einzureichenden Unterlagen. So sind z. B. Nachweise zur spezifischen Berufshaftpflichtversicherung oder einer gleichwertigen Garantie zur Absicherung der Haftung nach §§ 16 bzw. 36 ZAG n. F. zu erbringen. Zudem gelten für Zahlungsdienstleister, die ZAD oder KID erbringen, besondere Pflichten zur sicheren Identifikation und Kommunikation mit dem kontoführenden Institut des Kunden (siehe nachfolgend).

Gleichzeitig sind für diese Zahlungsdienstleister diverse Erleichterungen vorgesehen. Sie unterliegen z. B. nicht den laufenden Eigenmittelanforderungen oder Anforderungen an die Insolvenzsicherung nach §§ 15 bzw. 17 ZAG n. F, profitieren jedoch wie alle Zahlungsinstitute vom EU-Pass mit Niederlassungs- und Dienstleistungsrecht nach § 38 ZAG n. F.

Hinweis

CRR-Kreditinstitute gelten nach wie vor als nach dem ZAG n. F. zugelassene Zahlungsdienstleister. Ein CRR-Kreditinstitut, das zwar eine Erlaubnis für das Kreditgeschäft, nicht aber für das Einlagengeschäft hat, fällt nicht darunter. Erbringt dieses gleichwohl Zahlungsdienste, wird es als Zahlungsinstitut qualifiziert und fällt unter den Erlaubnisvorbehalt des ZAG n. F.

Neue aufsichtsrechtliche Pflichten

Eine Schlüsselrolle im Rahmen des ZAG n. F. haben die neu eingeführten aufsichtsrechtlichen Anforderungen sowohl an die Sicherheit im Zahlungsverkehr als auch an das Risikomanagement der Zahlungsdienstleister:

Schnittstellen zwischen ZAD, KID und kontoführenden Instituten (§§ 45 - 52 ZAG n. F.) sowie verstärkte Kundenauthentifizierung (§ 55 ZAG n. F.)

Das kontoführende Institut ist Kraft Gesetz verpflichtet, den Zahlungsdienstleistern, die ZAD oder KID erbringen, einen PSD II-konformen Zugang zu den Online-Konten seiner Kunden bereitzustellen. Gleichzeitig sind diese Zahlungsdienstleister verpflichtet, sich bei jedem Zahlungsvorgang durch Nutzung qualifizierter Zertifikate zu identifizieren. Zudem wird künftig nicht nur bei Internetzahlungen durch Kunden, sondern u. a. auch bei elektronischen Zahlungen am POS-Terminal, beim Online-Zugang des Kunden und beim Einschalten von ZAD oder KID eine verstärkte Kundenauthentifizierung gefordert. Die einzelnen Maßnahmen zur Umsetzung dieser Verpflichtungen hat die EU-Kommission am 27.11.2017 mit dem finalen Entwurf einer delegierten Verordnung über die technischen Regulierungsstandards (RTS) zur verstärkten Kundenauthentifizierung und sicheren Kommunikation (C (2017) 7782 final) angenommen.

Hinweis

Da nach ihrer Veröffentlichung (erwartet im ersten Quartal 2018) eine Umsetzungsfrist von 18 Monaten vorgesehen ist, werden die RTS voraussichtlich in der 2. Jahreshälfte 2019 wirksam. Bis dahin darf einem Zahlungsdienstleister, der ZAD oder KID erbringt, der Zugang zu Kundenkonten und -informationen von den kontoführenden Instituten nicht verweigert werden. Die verstärkte Kundenauthentifizierung hat bis dahin weiter nach Maßgabe der Mindestanforderungen an die Sicherheit von Internetzahlungen (MaSI) aus dem Jahr 2015 zu erfolgen, die von der BaFin auf der Grundlage der ersten europäischen Zahlungsdiensterichtlinie aus dem Jahr 2007 erlassen ist.

Risiken und Meldung von Vorfällen (§§ 53, 54 ZAG n. F.)

Mit der Umsetzung der PSD II im ZAG n. F. müssen nun alle Zahlungsdienstleister (sofern es sich dabei um ein CRR-Kreditinstitut handelt, zusätzlich zu den Vorgaben der Mindestanforderungen an das Risikomanagement (MaRisk) und der Bankaufsichtlichen Anforderungen an die IT (BAIT)) angemessene IT-Sicherheitsmaßnahmen zur Beherrschung operationeller und sicherheitsrelevanter Risiken ergreifen, insbesondere die mit den Zahlungsdiensten verbundenen Risiken eindeutig identifizieren und ein angemessenes Risikomanagement aufbauen.

Hinweis

Die EBA Leitlinien zu den Sicherheitsmaßnahmen bezüglich der operationellen und sicherheitsrelevanten Risiken von Zahlungsdiensten (EBA/GL/2017/17) wurden am 12.1.2018 in deutscher Sprache veröffentlicht. Die BaFin prüft derzeit die Umsetzung dieser Anforderungen in die Aufsichtspraxis. Bis dahin gelten die entsprechenden Bestimmungen der MaSI weiter.

Zudem sind Meldung über schwerwiegende Betriebs- oder Sicherheitsvorfälle an die BaFin und u. U. auch an davon betroffene Kunden zu erstatten.

Hinweis

Die Regelung nach § 54 ZAG n. F zur Meldepflicht bei schwerwiegenden Betriebs- oder Sicherheitsvorfällen ersetzt die bisherige Regelung gemäß Nr. 3.2 der MaSI. Die EBA Leitlinien zur Meldepflicht schwerwiegender Sicherheitsvorfälle (EBA/GL/2017/10) vom 19.12.2017 geben Auskunft darüber, welche Vorfälle konkret meldepflichtig sind. Die BaFin beabsichtigt diese Leitlinien in die deutsche Aufsichtspraxis umzusetzen und hat bereits die technischen Gegebenheiten für das Meldeverfahren (MVP-Portal) geschaffen.

EBA Level II- und Level III-Maßnahmen

Zur Konkretisierung der aufsichtsrechtlichen Anforderungen in der PSD II wurde die EBA mit der Erarbeitung von sog. Level II- und Level III-Maßnahmen (technische Regulierungsstandards (RTS), technische Durchführungsstandards (ITS), Leitlinien) ermächtigt und beauftragt. Die nachfolgende Abbildung gibt einen Überblick der relevanten Maßnahmen und deren Umsetzungsstand.

Da jedoch nicht alle Maßnahmen bereits am 13.1.2018 anwendbar waren, hat die EBA mit Stellungnahme vom 19.12.2017 Umsetzungsmaßnahmen für die Übergangsphase empfohlen.

Übergangsfristen für Erlaubnis- bzw. Registrierungsanträge nach dem ZAG n. F.

Für die Erbringung von Zahlungsdiensten ist eine BaFin-Erlaubnis bzw. Registrierung erforderlich. Je nach Zahlungsdienstleister- und Zahlungsdiensteart gibt das ZAG n. F. gem. §§ 66 ff. ZAG n. F. unterschiedliche, zeitlich gestaffelte Übergangsvorschriften für die zu stellenden Erlaubnis- bzw. Registrierungsanträge vor:

Zahlungs- und E-Geld-Institute mit vorhandener Erlaubnis

Bestehende, nach dem ZAG in der Fassung bis zum 12.1.2018 (ZAG a. F.) zugelassene, Zahlungs- und E-Geld-Institute haben die Regelungen des ZAG a. F. weiterhin, längstens jedoch bis zum 13.7.2018, anzuwenden. Sofern sie auch nach dem 13.7.2018 ihre Zahlungsdienste erbringen möchten, hatten diese bereits bis zum 26.1.2018 eine Absichtsanzeige und bis zum 9.2.2018 einen Antrag auf neue Erlaubnis im Rahmen eines sog. erleichterten Erlaubnisverfahrens bei der BaFin zu stellen. Andernfalls erlischt die alte Erlaubnis am 13.7.2018 und ein neues Erlaubnisverfahren ohne Erleichterungen wird erforderlich.

Hinweis

Das erleichterte Erlaubnisverfahren bedeutet, dass ausschließlich die neuen Erlaubnisanforderungen nach § 10 Abs. 2 Satz 1 Nr. 6 - 10 ZAG n. F. u. a. zu IT-Sicherheitsfragen, zu organisatorischen und strategischen Fragen zu berücksichtigen und Angaben zu eingetretenen wesentlichen Änderungen der tatsächlichen und rechtlichen Verhältnisse vorzunehmen sind.

Unternehmen, die ZAD oder KID erbringen

Da für Unternehmen, die ZAD oder KID erbringen, erstmalig im ZAG n. F. gesetzliche Rahmen geschaffen wurden, galten diese Dienstleistungen bislang als erlaubnisfrei.

Sofern Unternehmen diese Zahlungsdienste nach dem 13.1.2018 weiterhin erbringen möchten, sind sie zur Antragstellung um eine Erlaubnis nach § 10 ZAG n. F. bzw. Registrierung nach §§ 34, 43 ZAG n. F. bei der BaFin bis zum 13.4.2018 verpflichtet. Aus Gründen der Rechtssicherheit dürfen diese Unternehmen übergangsweise ihre Tätigkeit bis zur Bestandskraft der Entscheidung über den Erlaubnis- bzw. Registrierungsantrag weiterhin erbringen.

Unternehmen, die bereits vor dem Inkrafttreten der PSD II am 12.1.2016 ZAD oder KID erbracht haben, dürfen übergangsweise ihre Tätigkeit bis zum Wirksamwerden der RTS zur verstärkten Kundenauthentifizierung und sicheren Kommunikation, die die Anforderungen der §§ 45 - 52 und 55 ZAG n. F. konkretisieren, weiterhin erbringen.

Die erforderlichen Erlaubnis- bzw. Registrierungsanträge sind rechtzeitig und vollständig einzureichen.

BaFin hebt die Bereichsausnahme zum Konzernprivileg auf

Eine der bedeutendsten Veränderung mit hoher praktischer Relevanz im von der BaFin am 29.11.2017 veröffentlichten Merkblatt „Hinweise zum ZAG“ ist die Aufhebung der Bereichsausnahme zum Konzernprivileg.

Die bisher bestehende Bereichsausnahme ermöglichte die Einrichtung von zentralisierten Einheiten für Zahlungsdienste innerhalb eines Konzerns (Treasury-Einheiten). Der Wortlaut für das Konzernprivileg hat sich im ZAG n. F. nicht geändert. Weiterhin stellen „Zahlungsvorgänge und damit verbundene Dienste innerhalb eines Konzerns oder zwischen Mitgliedern einer kreditwirtschaftlichen Verbundgruppe“ keine Zahlungsdienste dar. Der Konzernbegriff orientiert sich dabei am Handelsrecht (§§ 271 Abs. 2 i. V. m. 290ff. HGB), wobei die Ausnahme nicht auf Gleichordnungskonzerne anwendbar ist.

Gemäß dem neuen BaFin-Merkblatt ist der Wortlaut des Konzernprivilegs hingegen entsprechend eng auszulegen. Demnach sind Zahlungsvorgänge „in den Konzern hinein“ oder „aus dem Konzern heraus“ nicht mehr privilegiert. Die enge Verwaltungsanweisung bedeutet, dass die Bereichsausnahme nur auf konzerninterne Zahlungsvorgänge Anwendung findet. Eine erlaubnispflichtige Zahlungsdienstleistung ist damit stets anzunehmen, sobald eine Kontovollmacht oder Zahlungsbefugnis der Treasury-Einheit zur Abwicklung von konzernexternem Zahlungsverkehr vorliegt.

Hinweis

Mit dieser Auslegung unterwirft die BaFin seit dem 13.1.2018 einige Treasury-Einheiten bzw. deren rechtliche Einheiten dem Erlaubnisvorbehalt nach dem ZAG n. F. Nach Hinweisen von Verbänden, u. a. vom Bundesverband der Deutschen Industrie e. V. (BDI) und vom Verband Deutscher Treasurer e. V., auf die Verwerfungen zwischen ZAG n. F. und der engeren Auslegung der BaFin besteht derzeit Rechtsunsicherheit. Gemäß einer Pressemitteilung des BDI vom 13.2.2018 sei die Anwendung der bisherigen Auslegung des Konzernprivilegs bis zur endgültigen Klärung möglich. Im April 2018 sollen weitere Gespräche mit der BaFin stattfinden.

23.04.2018 nach oben