Neues Zahlungsdiensteaufsichtsgesetz tritt in Kraft

Am 13. Januar 2018 tritt die Umsetzung der zweiten Zahlungsdiensterichtlinie in Kraft. Die (neuen) regulatorischen Vorgaben finden sich im überarbeiteten Zahlungsdiensteaufsichtsgesetz (ZAG). Die wesentlichen Neuerungen beziehen sich auf sog. Dritte Zahlungsdienstleister (d.h. Kontoinformationsdienstleister und Zahlungsauslösedienstleister), die erstmalig reguliert werden, und das Erfordernis der sog. starken Kundenauthentifizierung zur Verbesserung der Sicherheit bei der Zahlungsabwicklung.

1. Kontoinformationsdienste

Der Kontoinformationsdienst ist ab dem 13. Januar 2018 ein regulierter Zahlungsdienst. Dabei handelt es sich um einen Online-Dienst zur Mitteilung konsolidierter Informationen über ein Konto bei einem oder mehreren Zahlungsdienstleistern, die über Online-Schnittstellen des kontoführenden Zahlungsdienstleisters (überwiegend Banken) zugänglich sind. Durch den Kontoinformationsdienst soll der Zahlungsdienstnutzer einen Gesamtüberblick über seine finanzielle Situation zu einem bestimmten Zeitpunkt in Echtzeit erhalten.

Unternehmen, die als Zahlungsdienst nur den Kontoinformationsdienst erbringen, bedürfen dafür keiner Erlaubnis als Zahlungsdienstleister; es reicht eine Registrierung bei der BaFin mit geringeren Anforderungen. Siehe hierzu auch unseren ausführlichen Beitrag.

2. Zahlungsauslösedienste

Auch der Zahlungsauslösungsdienst ist ab dem 13. Januar 2018 ein regulierter Zahlungsdienst. Dabei handelt es sich um einen Dienst, bei dem auf Veranlassung des Zahlungsdienstnutzers ein Zahlungsauftrag in Bezug auf ein bei einem anderen Zahlungsdienstleister geführtes Zahlungskonto ausgelöst wird.

Unternehmen, die Zahlungsauslösedienste erbringen wollen, bedürfen einer Erlaubnis der BaFin. Siehe hierzu auch unseren ausführlichen Beitrag.

3. Acquiring

Das neue ZAG erweitert auch den Anwendungsbereich des Acquirings. Dieses wurde bisher als „Zahlungsauthentifizierungsgeschäft“ bezeichnet und umfasste (neben dem Issuing bzw. der Ausgabe von Zahlungsauthentifizierungsinstrumenten bzw. nunmehr Zahlungsinstrumenten) die Annahme und Abrechnung von mit Zahlungsauthentifizierungsinstrumenten ausgelösten Zahlungsvorgängen. Unter dem neuen ZAG wird nunmehr als Acquiring die Annahme und Abrechnung von Zahlungsvorgängen als „Akquisitionsgeschäft“ erfasst. Das Acquiring beschränkt sich daher nicht mehr nur auf Zahlungen, die bspw. durch eine Zahlungskarte ausgelöst wurden. Es erfasst nunmehr auch die Entgegennahme von Zahlungen für Händler per Lastschrift oder Überweisung.

4. Telekommunikationsdienstleister

Wie bereits die zuvor ist im neuen ZAG eine Ausnahme von der Regulierung als Zahlungsdienstleister für Anbieter von Kommunikationsdiensten vorgesehen, wenn die Waren oder Dienstleistungen an ein Telekommunikations-, ein Digital- oder ein IT-Gerät geliefert werden und mittels eines solchen genutzt werden (u.a. für Mehrwertdienste).

Auf Grund der unterschiedlichen praktischen Handhabung der Vorgängervorschrift in den einzelnen EU-Mitgliedstaaten gab es jedoch eine explizite Einschränkung bei dieser Ausnahme im Vergleich zu PSD1. Zahlungsvorgänge von Anbietern elektronischer Kommunikationsnetze oder -dienste im Zusammenhang mit dem Erwerb von digitalen Inhalten und Sprachdiensten bedürfen nunmehr nur dann keiner BaFin-Erlaubnis, wenn die neu eingeführten Schwellenwerte von 50 Euro pro Zahlungsvorgang und 300 Euro pro Kunde und Monat nicht überschritten werden.

Nach erheblichen Diskussionen während des Gesetzgebungsprozesses stellt die BaFin nunmehr klar, dass das ZAG das Online-Billing (das Telekommunikationsunternehmen rechnet eigene Leistungen in eigenem Namen und auf eigene Rechnung ab) nicht erfasst. Offline-Billing im Festnetz und Factoring im Mobilfunk (das Telekommunikationsunternehmen rechnet Leistungen Dritter ab, übernimmt das Inkasso und leitet die Zahlung an den Anbieter weiter) kann jedoch nur im Rahmen der obenerwähnten Ausnahme (insb. unter Beachtung der Schwellenwerte) erlaubnisfrei erbracht werden. Entscheidend für die Schwellenwerte sind dabei historische Abrechnungsdaten für eine statistische Betrachtungsweise (keine Einzelfallbetrachtung).

Unter dem neuen ZAG muss das Telekommunikationsunternehmen aber der BaFin anzeigen, dass es diese Ausnahme nutzt. Zudem muss es in einem jährlichen Bestätigungsvermerk der BaFin mitzuteilen, dass die Tätigkeit die Schwellenwerte nicht überschreitet.

5. Handelsvertreter und Zentralregulierer

Nur eine Klarstellung, aber keine inhaltliche Änderung sieht die BaFin in der Anpassung der Ausnahme für Handelsvertreter und Zentralregulierer. Zahlungsvorgänge, die über einen Zentralregulierer oder Handelsvertreter abgewickelt werden sind keine Zahlungsdienste, wenn dieser aufgrund einer Vereinbarung befugt ist, den Verkauf oder Kauf von Waren oder Dienstleistungen nur im Namen des Zahlers oder nur im Namen des Zahlungsempfängers auszuhandeln oder abzuschließen. Der Handelsvertreter darf also entweder ausschließlich für den Zahler oder den Zahlungsempfänger tätig werden. Er darf nicht in beiden Lagern stehen. Dies entsprach auch bisher der Verwaltungspraxis der BaFin.

6. Zahlungssysteme in limitierten Netzen oder mit limitierter Produktpalette

Auch im Bereich der Ausnahme für Zahlungssysteme in limitierten Netzen oder mit limitierter Produktpalette ändert sich in Deutschland praktisch nur wenig. Die Anpassungen an den Ausnahmetatbestand entsprechen schon weitestgehend der bisherigen Verwaltungspraxis der BaFin.

Bedeutend ist jedoch die Meldepflicht, die nunmehr Unternehmen trifft, die die Bereichsausnahme nutzen. Wenn der Gesamtwert der Zahlungsvorgänge der vorangegangenen zwölf Monate den Betrag von EUR 1 Million überschreitet, hat das Unternehmen dies der BaFin anzuzeigen. Damit verbunden ist auch die Pflicht, eine Beschreibung der unter dem Ausnahmetatbestand angebotenen Dienstleistung bei der BaFin einzureichen, damit diese prüfen kann, ob der Ausnahmetatbestand tatsächlich erfüllt ist.

7. RTS zur Starken Kundenauthentifizierung

Die European Banking Authority (EBA) war in enger Zusammenarbeit mit der Europäischen Zentralbank (EZB) damit betraut, technische Regulierungsstandards zur starken Kundenauthentifizierung (Regulatory Technical Standards on Strong Customer Authentication (RTS on SCA), im Weiteren nur RTS) zu entwickeln. Am 27. November 2017 veröffentlichte die Europäische Kommission die RTS. Die darin getroffenen Regelungen sollen 18 Monate nach Veröffentlichung im Amtsblatt der Europäischen Union, wahrscheinlich im September 2019, in Kraft treten.

An das Inkrafttreten der RTS sind auch die besonderen Regelungen für Kontoinformationsdienste und Zahlungsauslösedienste geknüpft.

Daneben klären die RTS auch die Frage nach dem umstrittenen Screen Scraping. Screen Scraping meint den Datenzugang durch das Nutzer-Interface mit den Nutzerzugangsdaten (z.B. PIN). Durch dieses Vorgehen haben Dritte Zahlungsdienstleister Zugriff auf das Konto und die Kontodaten, ohne dass der Zugriff durch einen Dritten gegenüber der Bank offengelegt wird. Dieses Vorgehen sahen die Banken bislang kritisch. Screen Scraping im klassischen Sinn wird nach in Krafttreten der RTS nicht mehr erlaubt sein.

Zur Nutzung Dritter Zahlungsdienstleister müssen diese jedoch einen Zugang zum Zahlungskonto erhalten. Banken müssen eine Schnittstelle für Dritte Zahlungsdienstleister zur Verfügung stellen. Zudem müssen Banken eine fall-back-Lösung für den Fall einrichten, dass die Schnittstelle für die Dritten Zahlungsdienstleister nicht zur Verfügung steht. In diesem Fall soll den Dritten Zahlungsdienstleistern der Zugang durch das Nutzer-Interface als sicheren Kommunikationsweg ermöglicht werden. Die BaFin kann hiervon jedoch Ausnahmen ermöglichen.