PSD2 ante portas: Mehr Wettbewerb und mehr IT-Sicherheit im elektronischen Zahlungsverkehr

Dienstag, 26. November 2019

Neue Anforderungen an die Organisation der IT-Sicherheit im elektronischen Zahlungsverkehr.

Dr. Markus Escher, Rechtsanwalt GSK Stockmann, München, Bankaufsichtsrecht, Zahlungsregulierung.

I. Übersicht zur PSD2-Umsetzung

Die Zweite EU-Zahlungsdiensterichtlinie 2015/2366 vom 25.11.2015 („PSD2“) wird Banken nicht nur bei der IT-Sicherheit im elektronischen Zahlungsverkehr, sondern auch im Wettbewerb um den elektronischen Kontakt zum Bankkunden operationell, rechtlich und strategisch fordern. Hierzu ist das Zahlungsdiensteumsetzungsgesetz vom 17.07.2017[1] („ZDUG“) mit einer Neufassung des Zahlungsdiensteaufsichtsgesetzes („ZAG“) und Änderungen im BGB erlassen worden. Mit dem ZDUG werden die meisten Aspekte der PSD2 am 13.01.2018 in deutsches Recht umgesetzt und damit ein neuer Rechtsrahmen für mehr Wettbewerb um den Bankkunden bei elektronischen Zahlungen und „Banking as a Service“ geschaffen. Die Regelungen mit den stärksten IT-organisatorischen Anforderungen für Banken in der Interaktion mit Zahlungsauslöse- und Kontoinformationsdienstleistern („ZAD“, § 1 (2) Nr. 7; (33) ZAG und „KID“, § 1 (2) Nr. 8; (34) ZAG; zusammen „Drittdienstleister“), v. a. aber neue Anforderungen an die starke Kundenauthentifizierung im elektronischen Zahlungsverkehr, werden wohl erst im Sommer 2019 in Kraft treten, werfen aber heute bereits ihr Licht für Implementierungsprojekte und strategische Entscheidungen, insbesondere zu Auswirkungen auf das elektronische Kundenverhältnis voraus. Die Aufsichtspraxis der BaFin nach den MaSI[2] wird schrittweise durch das neue ZAG ersetzt.

II. Einführung zur PSD2

  1. Betroffene Institute
Für eine Bewertung der Auswirkungen der PSD2 und die gebotene Projektorganisation ist zunächst nach den betroffenen Instituten zu unterscheiden:

Klassische „CRR-Institute“ nach § 1 (3d) KWG (hier „Banken“) werden stärker von der PSD2 betroffen sein als seinerzeit von der PSD1. Ein Ausblenden des ZAG ist für Banken ab 13.01.2018 nicht mehr denkbar, da auch für diese gesteigerte aufsichtliche Anforderungen aus dem ZAG zur IT-Sicherheit bei electronic payments gelten, da für Banken alle Regelungen für Zahlungsdienstleister greifen. Zivilrechtliche Änderungen im Kundenverhältnis, aber auch zu anderen Zahlungsdienstleistern werden sich ebenfalls auf alle Banken auswirken. Hierzu gehören v. a. die rechtlich, aber auch strategisch neu zu bewertenden Regelungen im BGB zur Interaktion mit neuen Drittdienstleistern.

Teil-Banken nach § 1 (1) KWG ohne CRR-Institutsstatus unterliegen bereits heute einer Doppelaufsicht nach ZAG-alt als Kredit- und Zahlungsinstitut. Dies betrifft insbesondere Spezialbanken, die z. B. im Wertpapier- oder Bürgschaftsbereich Banktätigkeiten ohne Universalbankerlaubnis, aber mit Zahlungsdiensten erbringen. Für Spezialbanken besteht mit der PSD2 ein erhöhter Handlungsbedarf, da spätestens zum 13.07.2018 eine neue Erlaubnis als Zahlungsinstitut vorliegen muss (vgl. II.5.).

Betroffen werden ggf. auch Unternehmen der Telekommunikationsbranche sein, da die branchentypische Bereichsausnahme in § 2 (1) Nr. 11 ZAG erheblich beschränkt wurde. Zusätzlich wurde betont, dass auch bei Zahlungsabwicklungen mittels Forderungskäufen ein Zahlungsdienst nicht vermieden werden kann[3], so dass auch TK-Unternehmen ihre Zahlungsabwicklungsaktivitäten nach dem ZAG neu bewerten und fallabhängig ggf. eine Erlaubnis nach § 10 ZAG beantragen müssen. Gleiches gilt ggf. auch für Abrechnungsdienste von Zahlungsvorgängen für Händler, die unter das neue „Akquisitionsgeschäft“ fallen können, auch wenn diese nicht durch Karteneinsatz, sondern durch Lastschrift oder Überweisung ausgelöst werden. Auch dies erweitert das ZAG-Aufsichtsspektrum der BaFin.

2. Betroffene Zahlungsprodukte

Die PSD2 erfasst alle Zahlungsprodukte, also Überweisungs-, Lastschrift-, Karten- und E-Geldgeschäft, aber auch innovative Zahlungsprodukte im e-commerce wie Zahlungen über Drittdienstleister. Hierbei ist leider auf die gleiche Schwäche wie bei PSD1 hinzuweisen, da zahlreiche Vorschriften aus einer Überweisungsperspektive entstanden sind und in ihrer Anwendung auf das Kartengeschäft viele Unklarheiten aufwerfen. Für KID ist auch bemerkenswert, dass nicht nur Zahlungen, sondern gerade auch der transaktionsfreie Zugang zu Kontoinformationen nach PSD2 relevant sind.

3. Betroffene Kunden und internationale Erstreckung

Neben einer Stärkung des Verbraucherschutzes ist auch zu beachten, dass die PSD2 gerade in der Zahlungssicherheit erhebliche Auswirkungen auf das Firmenkundengeschäft haben kann, da auch bei Unternehmen die Pflicht zur starken Kundenauthentifizierung nach § 55 ZAG nicht vertraglich abbedungen werden kann. Anders als die PSD1 erstreckt sich die PSD2 international weiter und umfasst nun auch sog. „One-Leg-Transaktionen“, bei denen nur ein Zahlungsdienstleister in der EU ansässig ist, wie z. B. eine Auslandsüberweisung in die USA oder auch Zahlungen zwischen zwei EU- Banken in Nicht-EU Währungen, § 675d (6) BGB.

4. Vollharmonisierte Umsetzung und EBA-Mandate

Wie die PSD1 ist auch die PSD2 eine vollharmonisierte EU-Richtlinie. Das heißt, dass sie grundsätzlich EU-weit einheitlich umzusetzen ist und Mitgliedstaaten für Abweichungen nur einen begrenzten Spielraum haben, soweit ausdrücklich zugelassen. Zum anderen – und hier unter-scheidet sich PSD2 von PSD1 erheblich – erhält die European Banking Authority („EBA“) zur EU- Harmonisierung elf Mandate[4] zum Erlass aufsichtsrechtlicher Leitlinien („EBA Guidelines“) und Entwurf von Regulatory Technical Standards („EBA RTS“), die letztlich in unmittelbar geltende EU-Verordnungen der EU-Kommission münden, wie dies bereits nach der CRD-IV bzw. in der Wertpapieraufsicht nach MiFID II bekannt ist. Diese EBA-Maßnahmen werden sich erheblich auf den elektronischen Zahlungsverkehr und dessen IT-Organisation auswirken. Auch wenn das ZDUG in Deutschland bereits erlassen ist, sind einige EBA-Maßnahmen noch in der Konsultation und werden wohl erst vor Jahresende in finaler Fassung vorliegen. Beim EBA-RTS nach Art. 98 PSD2 zur starken Kundenauthentifizierung („SKA“) und zu sicheren Schnittstellen kommt es zu einer späteren Implementierung, wobei bei Redaktionsschluss dieses umstrittene RTS-Verfahren noch nicht abgeschlossen ist. Nach einem ersten Entwurf der EBA (EBA Final Report vom 23.02.2017, EBA/RTS/2017/02) hat die EU-Kommission diesen am 24.05.2017 zurückgewiesen, worauf die EBA einen zweiten Entwurf[5] („EBA RTS-E“) vorlegte. Die Annahme durch die Kommission sowie die erforderliche Mitwirkung des EU-Parlaments und des EU-Ministerrats, die bis zu drei Monate dauern kann[6], sind noch abzuwarten, so dass der RTS als EU-Verordnung vermutlich erst zum Jahreswechsel 17/18 veröffentlicht wird, dann allerdings erst 18 Monate später, also wohl erst im Sommer 2019 in Kraft tritt, Art. 37 EBA RTS-E.

5. Übergangsvorschriften und Zweistufige Implementierung

Für ZAG-Institute – und damit auch für Teil-Banken – ist die Beantragung einer neuen ZAG- Erlaubnis der BaFin nach § 66 (2) ZAG spätestens zum 27.01.2018 im Rahmen eines erleichterten Verfahrens anzuzeigen. Gleiches gilt für heutige E-Geld-Institute nach § 67 ZAG. Diese belastende Übergangsregelung wirkt ungewöhnlich, sie war allerdings durch Art. 109 PSD2 ohne Spielraum für den nationalen Gesetzgeber vorgegeben. Die Projekt- und Fristenverwaltung für diese Häuser hat daher akkurat § 66 ZAG zu beachten, da sonst zum 13.07.2018 die heutige ZAG-alt-Erlaubnis erlischt. Bei versäumten Anzeigefristen droht ein vollständig neues ZAG-Erlaubnisverfahren, ohne Erleichterungen. Dieses erleichterte Erlaubnisverfahren bedeutet, dass durch heute aktive ZAG-Institute nur die neuen PSD2-Erlaubnisvoraussetzungen zu IT-Sicherheits-, organisatorischen und strategischen Fragen der BaFin nachzuweisen sind, § 10 (2) S. 1 Nr. 6 bis 10 ZAG i. V. m. § 66 (2) ZAG. Antragsteller haben daher hierfür teilweise die bereits finalen EBA-Guidelines zum Erlaubnisverfahren[7] und zum Störfallmeldewesen[8], sowie den Entwurf der Guidelines zum IT-Sicherheitsmanagement[9] und zu jährlichen Betrugsberichten[10] zu beachten.

Für Drittdienstleister wie ZAD oder KID gilt bemerkenswerterweise nach Art. 115 Abs. 5 PSD2 eine liberalere Übergangsvorschrift. Soweit diese Dienste vor dem 12.01.2016 erbracht wurden, dürfen sie bis zum Wirksamwerden des EBA RTS, also ca. bis Sommer 2019, ohne ausdrücklich erteilte Erlaubnis tätig werden, § 68 (1), (2) ZAG. In dieser Übergangszeit bis zur zweiten Stufe der PSD2 sind Banken gleichwohl nicht berechtigt, Drittdienstleistern den Zugang zu ihren Zahlungskonten zu verweigern, § 68 (3) ZAG. Diese besondere Übergangsvorschrift für ZAD und KID führt zu einer Sondersituation, da alle PSD2-Änderungen im BGB sofort am 13.01.2018 in Kraft treten, auch wenn bereits aktive ZAD und KID noch keine ausdrücklich erteilte ZAG-Erlaubnis haben sollten.

Die PSD2 wird zweistufig nach Art. 15 (1) ZDUG umgesetzt, da die wichtigen Vorschriften zu den Schnittstellen zwischen ZAD, KID und Banken nach § 45 bis 52 ZAG sowie zur SKA nach § 55 ZAG erst mit Inkrafttreten des RTS SKA, also vermutlich Sommer 2019, greifen. Bis dahin hat die SKA weiterhin nach Maßgabe der MaSI zu erfolgen, § 68 (4) ZAG.

Die für alle Zahlungsdienstleister, also auch für Banken, relevanten Vorgaben an die IT- Sicherheitsorganisation und die Störfallanzeigen nach §§ 53, 54 ZAG werden allerdings sofort ab 13.01.2018 gelten. Die diesbezüglichen Anforderungen der BaFin aus den MaSI werden also bereits in Stufe 1 durch die neue gesetzliche Regelung verdrängt und wiederum durch neue Leitlinien der EBA in wichtigen Detailfragen ergänzt[11], die später durch die BaFin anzuwenden sind.

III. Verstärkter Wettbewerb um den Kundenkontakt mit Zahlungsauslöse- und Kontoinformationsdienstleistern

Nach langen Rechtstreitigkeiten zwischen der Deutschen Kreditwirtschaft (DK) und dem ZAD bzgl. der berechtigten Durchleitung von persönlichen Sicherheitsmerkmalen wie PIN und TAN im Online-Zahlungsauslöseverfahren bzw. in wettbewerbsrechtlicher Hinsicht bzgl. des Zugangs zu Zahlungskonten[12] erklärt nun die PSD2 die Tätigkeit von ZAD und KID, wie beispielsweise Sofortüberweisung, iDeal, Trustly und Figo, ausdrücklich für gesetzlich zulässig. Banken ist es daher nicht gestattet, diesen Drittdienstleistern den Zugang zu ihren Zahlungskonten zu verweigern, § 68 Abs. 3 ZAG. Diese Zulassung von ZAD und KID wird Banken rechtlich, technisch und strategisch fordern.

1. Aufsichtlicher Rahmen für Drittdienstleister und Banken

a) Aufsichtspflichtige Drittdienstleister

Die Erbringung von ZA-Diensten wird eine Erlaubnis der BaFin nach § 10 ZAG als Zahlungsinstitut erfordern. KID wiederum werden als Zahlungsinstitute nur im Institutsregister registriert – ohne ausdrückliche Erlaubnis, §§ 34, 43 ZAG. ZAD und KID unterliegen zwar den allgemeinen ZAG-Organisations- und Sicherheitsvorschriften, einschließlich der grundsätzlichen Anforderung an mindestens zwei zuverlässige und fachlich geeignete Geschäftsleiter. Sie unterliegen aber keinen Anforderungen an laufende Eigenmittel oder (Insolvenz-)Sicherungsanforderungen nach §§ 15, 17 ZAG, müssen hingegen eine spezifische Berufshaftpflichtversicherung oder eine andere gleichwertige Garantie zur Absicherung Ihrer Haftung nach §§ 16, 36 ZAG[13] nachweisen. Sie profitieren wie alle Zahlungsinstitute vom EU-Pass mit Niederlassungs- und Dienstleistungsrecht, so dass sie zu europaweiten Diensten befugt sind, § 38 ZAG. Banken müssen sich daher nicht nur auf deutsche, sondern auch auf EU-Drittdienstleister vorbereiten.

b) IT-Schnittstellen zu Banken

Abweichend von den allgemeinen Bestimmungen für ZAD und KID (vgl. a), werden die für diese spezifischen Aufsichtsvorgaben nach § 49 und 51 ZAG erst mit der zweiten PSD2-Stufe gelten (vgl. oben, II.5.). ZAD und KID sind hiernach nicht berechtigt, Gelder von Nutzern zu halten. Sie sind verpflichtet, sich bei jeder Zahlungsauslösung oder Kommunikation gegenüber der Bank des Zahlers zu identifizieren und ausschließlich über sichere Kanäle zu kommunizieren, § 49 (2), (3) bzw. 51 (2), (3) ZAG. Der hierfür geltende, politisch stark umstrittene RTS SKA ist von der Kommission noch zu verabschieden, aber nach aktuellem Entwurfsstand ist zu erwarten, dass die Identifizierung von ZAD und KID nach der eIDAS-VO zu erfolgen hat. Nach Art. 33 EBA RTS-E werden hierfür qualifizierte Zertifikate für elektronische Siegel bzw. für die Website-Authentifizierung nach Art. 3 (30) bzw. (39) der eIDAS-VO (910/2014) gefordert sein. Aktuell strittig ist noch, ob und wie ZAD und KID auf die allgemeine oder nur auf eine dedizierte Kundenschnittstelle (API) bei Banken zugreifen dürfen. Ein für Banken nicht erkennbares „screen scraping“ nur unter Nutzung der allgemeinen Schnittstelle wie bisher wird künftig nicht mehr zulässig sein[14]. Nach der EBA sollen Banken die Wahl haben, den diskriminierungsfreien Zugang zu ihren Konten über eine dedizierte Schnittstelle oder über eine modifizierte allgemeine Kundenschnittstelle zu gewähren, Art. 30, 31 EBA RTS-E. Hiermit hat die EBA insbesondere den Vorschlag der Kommission zurückgewiesen, bei Nichtverfügbarkeit der dedizierten ZAD-/KID-Schnittstelle zwingend eine modifizierte allgemeine Schnittstelle bereit zu halten (keine „fall-back-Lösung“). Zur Vermeidung von Diskriminierungen auf Seiten der Drittdienstleister werden Banken aber wohl zu hoher Transparenz, Überwachung von KPI und Öffnung von Testzugängen spätestens drei Monate vor Wirksamwerden des RTS verpflichtet sein, vgl. Art. 29 (3)–(5), 30, 31, 32 EBA RTS-E. Unabhängig von den Details des finalen RTS steht jedoch fest, dass sich Banken rechtzeitig in rechtlicher und technischer Sicht mit den Anforderungen an die Schnittstellen für sichere Kommunikation mit ZAD und KID und deren Zugang zu online zugänglichen Zahlungskonten gemeinsam mit ihren technischen Dienstleistern/Rechenzentren vorzubereiten haben. Hierzu wird auch die Veröffentlichung von Verfügbarkeitsstatistiken bzw. von Kommunikationsplänen gehören, wie Drittdienstleister bei Störfällen zu informieren sind, Art. 31 (3); 32 EBA RTS-E. Die aufsichtsrechtlichen Pflichten der Drittdienstleister und Banken nach den §§ 45–52 und 55 ZAG sowie dem RTS werden aber wie gesagt erst im Sommer 2019 wirksam werden.

2. Zivilrechtliche Besonderheiten zwischen Drittdienstleistern und Banken

Zeitlich nicht konsistent zum Aufsichtsrecht werden Änderungen des BGB bereits in der ersten PSD2-Phase ab 13.01.2018 zivilrechtliche Besonderheiten begründen. So legt § 675f (3) BGB ein Recht des Bankkunden fest, ZAD und KID zu nutzen, auch ohne, dass diese einen Vertrag mit der Bank unterhalten müssen, es sei denn, das Zahlungskonto ist nicht online zugänglich. Wichtig und haftungsträchtig wird § 675p (2) BGB sein, der den Widerruf eines Zahlungsauftrags des Kunden ausschließt, sobald der Zahlungsvorgang über einen ZAD ausgelöst wurde. Eine Bank darf daher in diesem Fall einen Widerruf nicht mehr zulassen, da anderenfalls Haftungsrisiken gegenüber dem ZAD, der ggf. auf Grund der ihm zuvor erteilten Zustimmung bereits einem Akzeptanten gegenüber im Risiko ist, bestehen können. Andererseits wird ein Ausgleichsanspruch der Bank gegen den ZAD nach § 676a (1) BGB bestehen, falls die Ursache für eine Haftung der Bank gegenüber dem Bankkunden im Verantwortungsbereich des ZAD liegt. In Streitfällen hat der ZAD die Beweislast dafür, ob ein über ihn ausgelöster Zahlungsvorgang autorisiert oder ordnungsgemäß ausgeführt wurde, § 676a (2) und (3) BGB.

3. Strategische Bedeutung der Zulassung von Drittdiensten

Strategisch dürfen Banken die Bedeutung von Drittdiensten nicht unterschätzen. Sollte eine Bank in der Kundenwahrnehmung zunehmend hinter „Drittdienstleistern“ im elektronischen Zahlungsverkehr „verschwinden“, wird dies erhebliche Auswirkungen auf die Kundenbindung und -kommunikation haben, da der Kunde zunehmend den ZAD oder KID als „face-to-the-customer“ wahrnehmen wird. Die Zulassung von Drittdiensten durch die PSD 2 sollte durch Banken aber nicht nur als Bedrohung, sondern strategisch auch als Geschäftschance verstanden werden. Da jede Bank selbst berechtigt ist, Drittdienste anzubieten, kann auch sie im Wettbewerb um die Kundenkommunikation aktiv sein und passende Mehrwertdienste und innovative digitale Produkte wie ein „Personal Finance Management“ anbieten. Hierzu können sich auch Kooperationen mit FinTech-Unternehmen anbieten, die ggf. technologisch flexibler als bankeigene Ressourcen sein können. Soweit ein kooperierendes FinTech-Unternehmen selbst nur als technischer Dienstleister im Hintergrund bleibt, wird es auch ohne ZAG-Erlaubnis oder Registrierung technische Ressourcen anbieten können, um wiederum Banken bei der Erbringung von ZA- oder KI-Diensten zu unterstützen[15]. Mit Spannung ist also zu beobachten, wie die die Drittdienste liberalisierende PSD2 den elektronischen Wettbewerb um den Bankkunden befeuern wird.

IV. Neue aufsichtsrechtliche Organisationspflichten

1. Sicherheitsrisiken und Störfallmeldungen – § 53, 54 ZAG

Unabhängig von der Zulassung von Drittdiensten sieht die PSD2 bereits ab 13.01.2018 neue aufsichtsrechtliche Organisationspflichten für Banken vor. Die MaSI begründeten bereits für Internetzahlungen und AT 7.2 MaRisk ganz allgemein Risiko- und Sicherheitsmanagementvorgaben für Banken. Nach § 53 ZAG werden Banken nun speziell für alle Zahlungsdienste angemessene Risikomanagement- und Kontrollmechanismen zur Beherrschung operationeller und sicherheitsrelevanter Risiken anwenden müssen. Im Hinblick auf die in Konsultation befindliche Novellierung der MaRisk mit einer Verschärfung der Aufsicht über IT-Auslagerungen[16] sowie die in Ergänzung hierzu konsultierten BAIT[17], aber auch im Hinblick auf die neuen EBA-ICT SREP Guidelines[18] wird es nicht einfach sein den Überblick zu behalten, da die EBA auch nach PSD2 noch den Entwurf von Guidelines zu operationellen und Sicherheitsrisiken sowie zu statistischen Berichten über Betrugsfälle bei Zahlungsdiensten konsultiert[19], die die künftige aufsichtliche Praxis zu § 53 und 54 ZAG konkretisieren werden. Hier bleibt abzuwarten, ob die finalen EBA GL Security Risks tatsächlich einen für das IT-Risikomanagement noch nicht durch gängig verbreiteten „three-lines-of-defense“ Ansatz fordern wird (EBA Draft GL 1.5 Security Risks), der bisher eher aus der allgemeinen Compliancepraxis bekannt ist, und wie stark eine Erstreckung des IT-Risiko- und Sicherheitsmanagements auf Auslagerungsdienstleister betont wird. Bemerkenswert für Banken ist, dass diese – anlassunabhängig und über die bisherige MaSI-Praxis hinausgehend – zur Übermittlung einer (mindestens) jährlichen Bewertung der operationellen und sicherheitsrelevanten Risiken bei Zahlungsdiensten an die BaFin nach § 53 (2) ZAG verpflichtet sein werden.

Darüber hinaus liegen bereits finale EBA Guidelines zur Aufsichtspraxis bei schwerwiegenden Betriebs- oder Sicherheitsvorfällen vor, bei denen Banken nach § 53 ZAG – wie bisher bereits aus den MaSI bekannt – zur Meldung an die BaFin verpflichtet sind, die wiederum die EBA und die EZB hiervon unverzüglich unterrichten wird. Diese EBA GL Incident Reportings greifen nicht nur bei Störfällen im Verantwortungsbereich der Banken, sondern gerade auch bei einer Störwirkung aus der Sicht der Kunden, wenn für diese – ungeachtet einer Verantwortung der Bank – Zahlungskanäle oder -instrumente nicht mehr elektronisch verfügbar oder gestört sind. Da die aufsichtsrechtliche Meldepflicht auch bei Auslagerungslösungen stets bei der Bank verbleibt, hat diese bei Auslagerungsdienstleistern mindestens den Melde- und Informationsfluss an die Bank oder – vermutlich häufig – eine unmittelbare Meldung des Dienstleisters (unter Verantwortung) der Bank an die BaFin sicherzustellen[20]. Hier ist die finale deutsche Praxis der BaFin abzuwarten, ob dann ggf. auch Banken die Delegation von Störfallmeldungen stets vorab unter Vorlage des Auslagerungsvertrages der BaFin anzuzeigen haben, wovon die EBA auszugehen scheint, vgl. EBA GL 3.1 Incident Reporting. In jedem Fall werden Banken künftig auch gesetzlich nach § 54 (4) ZAG verpflichtet sein, deren Kunden über den Störfall und etwaige Reaktionsmaßnahmen zu unterrichten, soweit sich dieser auf die finanziellen Interessen des Kunden auswirken kann.

2. Starke Kundenauthentifizierung – § 55 ZAG

Die starke Kundenauthentifizierung („SKA“), mit mindestens zwei der drei Faktoren Wissen, Besitz oder Biometrie („Zwei-Faktor-Authentifizierung“) (§ 1 (24) ZAG), ist der Bankpraxis bereits nach den MaSI für Internetzahlungen bekannt. § 55 ZAG wird in Phase 2 der PSD2-Umsetzung ab ca. Sommer 2019 darüber hinausgehen und eine SKA fordern, wenn der „Zahler“ (i) online auf sein Zahlungskonto zugreift, (ii) einen elektronischen Zahlungsvorgang auslöst oder (iii) über einen Fernzugang eine sonstige Handlung mit Betrugs- oder Missbrauchsrisiko im Zahlungsverkehr vornimmt. Die gesetzlichen Pflichten zur Anwendung der SKA werden teilweise empfindlich in die Vertragsfreiheit, v. a. zwischen Banken und Kunden, aber auch internationaler Kartenzahlungssysteme eingreifen, ohne dass diese aufsichtlichen Pflichten im Kundenverhältnis – auch nicht gegenüber Unternehmen – abbedungen werden können. Da die verpflichtende SKA auch massiven Einfluss auf die Zahlungsabwicklung im Internethandel haben wird, sind die RTS-Entwürfe der EBA nach Art. 98 (2) PSD 2 umstritten und lösten viele Marktinterventionen aus. Aus dem zweiten EBA RTS-E werden manche Eckpunkte bereits heute der Projektorganisation einer Bank zu Grunde gelegt werden können:

a) Veränderungen zu den MaSI bei der Starken Kundenauthentifizierung

Im Vergleich zur bisherigen Praxis nach den MaSI wird sich Folgendes ändern:

  •  SKA greift nicht nur bei Internetzahlungen (so die MaSI), sondern für alle elektronischen Zahlungen, also auch elektronische Kartenzahlungen am POS-Terminal,
  •  auch der Online-Zugang eines Kunden zu seinem Konto wird eine SKA und damit in der Praxis neben der Eingabe der PIN noch ein Besitzelement (z. B. SMS-/Chip-TAN) oder ein biometrisches Merkmal erfordern,
  •  bei elektronischen Fernzahlungsvorgängen hat die SKA auch ein „dynamic linking“ zum Zahlungsbetrag und -empfänger zu umfassen, § 55 (2) ZAG,
  •  Banken sind zur Akzeptanz der gleichen Authentifizierungsmechanismen verpflichtet, auch wenn der Kunde über einen KID auf sein Konto zugreift oder über einen ZAD eine elektronische Zahlung auslöst, § 55 (3), (4) ZAG.
In welchem Umfang für den Kunden der Online-Zugang zu seiner „Bank-Plattform“ ggf. mit Zahlungs- und Wertpapierkonten und -depots nach Art. 10 EBA-RTS-E eine Ausnahme für Zugriffe 90 Tage nach einem ersten SKA-Zugriff gewähren wird, ist nach der finalen RTS-Fassung noch abzuklären. Wichtig für eine PSD2-Vorbereitung einer Bank ist, dass diese berechtigt, aber nicht verpflichtet ist, die im RTS zugelassenen Ausnahmen von der SKA anzuwenden, rec. 16 EBA RTS-E.

b) Ausnahmen nach EBA RTS und Überweisungsverkehr

Zunächst ist anzumerken, dass die EBA kein Mandat hat, die Fälle zu definieren, in denen die SKA verbindlich anzuwenden ist. Dies ist abschließend durch Art. 97 PSD2 bzw. § 55 ZAG erfolgt. Bei einer nach § 55 ZAG gegebenen Pflicht zur SKA ist die EBA nur berechtigt, die technische Art und Weise der SKA bzw. Ausnahmefälle hierzu zu bestimmen. Im Online-Überweisungsverkehr mit Verbrauchern werden die praktischen Auswirkungen für Banken, die bereits mobile TAN- Verfahren mit einem „Besitzinstrument“ (z. B. Smartphone, Tablet) einsetzen, überschaubar bleiben. Im Firmenkundenbereich hingegen wird es eine Einzelfallfrage sein, ob die jeweils eingesetzten Verfahren den SKA-Anforderungen entsprechen. Gerade der unternehmerische Zahlungsverkehr ist bei den Ausnahmen im RTS zwischen Kommission und EBA noch umstritten. Während die Kommission noch eine eigenständige, von bestimmten Betrugs- raten unabhängige Ausnahme für unternehmerische Zahlungen vorgesehen hat (vgl. Art. 18 Kommissionsvorschlag 24.05.2017), hat die EBA abweichend hiervon nur eine Corporate- Ausnahme in Art. 17 (2) (b) EBA RTS-E vorgeschlagen, falls eine durchschnittliche Betrugsrate von 0,005 % nicht überschritten wird. Für wiederkehrende Zahlungen und inhouse Zahlungen zwischen Konten des gleichen Kunden werden Ausnahmemöglichkeiten für Banken bestehen, Art. 14, 15 EBA RTS-E.

c) Starke Kundenauthentifizierung und Kartenzahlungen

Die größte Herausforderung kommt auf Banken bei elektronischen Kartenzahlungen[21] zu. Kreditkartenzahlungen im Internet haben eine große Bedeutung, werden aber im Regelfall noch ohne dedizierte SKA eingesetzt, was wiederum zur Zeit noch den Markterwartungen an einfache Verfahren entspricht. Eine verpflichtende SKA in e-commerce Transaktionen wird weder bei Kunden noch bei Händlern auf Gegenliebe stoßen, so dass sich gerade Banken als Issuer auf Anfragen zu Ausnahmen einstellen müssen. Für kontaktlose POS-Zahlungen ist eine Kleinbetragsausnahme bis max. 50,00 €, aber kumulativ nicht mehr als 150,00 € oder fünf Transaktionen zu erwarten, Art. 11 EBA RTS-E. Gleiches gilt für die elektronische Bezahlung an automatisierten Parkplatzterminals und bei Mautzahlungen, Art. 12 RTS-E. Für Kartenzahlungen ist noch zu beobachten, ob im finalen RTS die „trusted beneficiary“-Ausnahme (Art. 13 EBA RTS-E) gilt, da dies für die Issuing-Praxis bedeutsam ist. Bei Zulässigkeit müssen sich Banken darauf einstellen, dass Kunden „glaubwürdige“ Internet-Händler auf eine „white list“ setzen möchten, so dass die Bank auf eine SKA im Einzelfall bei diesen verzichten darf. Dies ist für die Kartenpraxis der Bank i. d. R. noch neu, sie muss aber bei e-commerce aktiven Bankkunden auf entsprechende Anfragen vorbereitet sein.

d) Risikobasierte Ausnahme

Auf Druck der e-commerce Wirtschaft wurde für elektronische Fernzahlungen eine risikobasierte Ausnahme geschaffen, Art. 17 EBA RTS-E. Anspruchsvoll hierbei ist, dass Banken auch vorheriges und atypisches Zahlungsverhalten sowie Betrugsanzeichen als Risikofaktoren berücksichtigen sollen, Art. 17 (2)(d); (3) EBA RTS-E. Hierbei dürfen die individuellen Gesamtbetrugsraten eines Issuers für Fern-Kartenzahlungen bestimmte, nach Betragsgrößen gestaffelte Schwellenwerte nicht überschreiten, wobei die Faustformel gilt „je geringer die Betrugsrate – desto höher der einsetzbare Schwellenwert“. Der Annex zu Art. 17, 18 EBA RTS-E legt für Fern-Kartenzahlungen Schwellenwerte von 100 € bei einer Gesamtbetrugsrate von 0,13 % bzw. 250 € bei 0,06 % oder 500 € bei 0,01 % fest. Bei der Entscheidung der Bank, ob diese risikobasierte Ausnahme eingesetzt wird, ist zu berücksichtigen, dass sie nach Art. 3 (2) EBA RTS-E eine mindestens jährliche Prüfung des Konzepts und der ermittelten Betrugsraten vorzunehmen hat, deren Bericht auf Anforderung der BaFin vorzulegen ist. Wird die risikobasierte Ausnahme nicht eingesetzt, ist eine allgemeine Revisionspflicht zur Compliance mit dem RTS nur nach allgemein gebotenen Zeitabständen gegeben, Art. 3 (1) (2)1. UA. EBA RTS-E. Umstritten ist noch, ob die gebotene unabhängige Prüfung durch erfahrene Innenrevisoren oder nur durch externe Prüfer erfolgen darf. Wie bei den anderen RTS-Ausnahmen muss sich auch hier die Bank auf entsprechende Kundenanfragen gefasst machen.

e) Internationaler Karteneinsatz

Wichtig für die Bankpraxis ist auch, dass geklärt werden konnte, dass es für den Einsatz einer deutschen Karte im Nicht-EWR-Ausland (z. B. Einsatz einer deutschen Kreditkarte bei Hotelreservierung und Kreditkartenacquirer in den USA,) aufsichtlich genügen wird, allgemeine Authentifizierungsstandards ohne SKA nach § 55 ZAG einzusetzen[22]. Gleiches gilt für den Einsatz von Nicht-EWR-Karten im Inland.

3. Neue Verfahren zur Streitbeilegung

Neu ist auch, dass Banken Beschwerde- und Streitbeilegungsverfahren zu den BGB-Vorschriften der PSD2 anzuwenden haben, wobei dies für jeden EWR-Staat gilt, in dem die Bank Zahlungsdienste anbietet – also auch im Cross- Border Angebot, § 62 (1), (2) ZAG. Beschwerden sind spätestens innerhalb von 15 Arbeitstagen zu beantworten, soweit nicht eine vorläufige Antwort mit Angabe der Gründe auf eine spätere Beantwortung hinweist, die nicht später als 35 Arbeitstage nach Beschwerdeeingang erfolgen darf, § 62 (3) ZAG. Bemerkenswert ist, dass nach § 62 (4) ZAG Informationspflichten über zuständige Verbraucherschlichtungsstellen bestehen, selbst wenn keine Websites oder AGB verwendet werden bzw. auch, falls es sich um einen unternehmerischen Kunden handelt, § 62 (4) ZAG.

V. Zivilrechtliche Änderungen im klassischen Bankkundenverhältnis

1. Beschränktes Entgelt bei Kartenverlust

Der neue § 675l S.3 BGB beschränkt nun eine Entgeltvereinbarung für den Ersatz verlorener oder missbräuchlich verwendeter Karten auf die ausschließlich und unmittelbar mit dem Ersatz verbundenen Kosten. Nach dem jüngsten BGH-Urteil, das bisher bereits Entgeltvereinbarungen für die Ablehnung von Aufträgen nach § 675o (1) S. 4 BGB streng an den angemessenen und tatsächlichen Kosten ausrichtet[23], dürfte dies keine neue materielle Wirkung entfalten.

2. Unverzügliche Gutschrift bei nicht autorisierten Zahlungsvorgängen, § 675u BGB

Eine wichtige praktische Auswirkung hat die neue Pflicht einer Bank bei Anzeige nicht autorisierter Zahlungsvorgänge spätestens bis zum folgenden Geschäftstag dem Zahler den streitigen Zahlungsbetrag zu erstatten, § 675u S. 3–5 BGB. Einzige Ausnahme ist ein begründeter Betrugsverdacht beim Zahler und eine schriftliche Mitteilung der Bank dazu an eine zuständige Behörde, z. B. die lokal zuständige Staatsanwaltschaft. Nur in diesem Fall beschränkt sich die Pflicht auf eine unverzügliche Prüfung und Erstattung erst dann, wenn sich der Betrugsverdacht nicht bestätigt. Diese Pflicht trifft die Bank auch, wenn der Zahlungsvorgang über einen ZAD ausgelöst wird. Bei streitigen Onlinezahlungen kann der neue § 675u BGB empfindlich in die Kette des Kreditkartenclearings eingreifen, da sich die Acquirer und Akzeptanten auf kurzfristige Chargebacks einzustellen haben und Issuer ohne stark motivierte Karteninhaber (nach Gelderhalt) in Schwierigkeiten kommen, Zweifelsfälle aufzuklären.

3. Verschärfte Haftung, § 675v BGB

Bei verlorenen oder sonst abhanden gekommenen Karten kann die Regelhaftung des Zahlers nur noch bis zu einem Betrag von 50 € durchgesetzt werden. Dies gilt allerdings nicht, wenn es ihm nicht möglich war, den Verlust oder sonstigen Missbrauch rechtzeitig zu bemerken. Die abweichende Haftung des Zahlers nach § 675v (3) BGB bei vorsätzlicher oder grob fahrlässiger Pflichtverletzung (wie bisher) steht in Spannung zu Abs. 4, wonach der Zahler auch in diesen Fällen nicht zum Schadensersatz verpflichtet ist, wenn seine Bank eine SKA nicht verlangt oder der Zahlungsempfänger oder dessen Acquirer eine SKA nicht akzeptiert, es sei denn der Zahler hat in betrügerischer Absicht gehandelt. Dieses Haftungskonzept steht in evidentem Widerspruch zu den kommenden EBA RTS Ausnahmen zur SKA nach § 55 ZAG. Ist es denkbar, dass sich eine Bank aufsichtskonform mit Praktizierung einer SKA-Ausnahme verhält, dadurch aber dennoch ein gesteigertes Haftungsrisiko nach § 675v (4) BGB eingeht? Wohl kaum, auch wenn die Wortlaute der PSD2 sowie des ZDUG hierzu schweigen. Europarechtlich ist allerdings vorrangig die zweckgerichtete Auslegungsmethode heranzuziehen[24]. Richtigerweise sollte in richtlinienkonformer Auslegung der PSD2 mit dem ausdrücklichen EBA Mandat zur Bestimmung zulässiger SKA-Ausnahmen nach Art. 98 PSD2 die verschärfte Haftung nach § 675u (4) BGB nur greifen, wenn ein Issuer oder ein Acquirer „rechtswidrig“ die SKA nicht anwendet, also unter Verstoß gegen geltendes Aufsichtsrecht.

4. Erstattungen bei Lastschriften und surcharging-Verbot

Die PSD2 räumt Bankkunden bei Lastschriften nun schon ein gesetzliches Erstattungsrecht ein, ohne dass dies künftig (wie heute) gesondert vereinbart werden muss, § 675x (2) BGB. Dies gilt für alle auf Euro lautenden SEPA-Basis- als auch SEPA-Firmenlastschriften[25]. Abweichend von PSD1 regelt § 270a BGB nun für Zahlungsempfänger ein ausdrückliches surcharging-Verbot für die Nutzung von SEPA- Lastschriften oder SEPA-Überweisungen. Bei einer Zahlungskarte gilt dies nur bei Zahlungsvorgängen mit Verbrauchern, wenn auf diese die Entgeltbegrenzung nach der Interchange-Verordnung (EU/751/2015) anwendbar ist.

PRAXISTIPPS

  • Bei Implementierung der PSD2 muss das zweistufige Wirksamwerden des ZAG zum 13.01.2018 sowie mit dem RTS zum Sommer 2019 beachtet werden. Teilbanken mit ZAG -Erlaubnis müssen rasch eine neue ZAG -Erlaubnis nach PSD2 beantragen, um die alte ZAG -Erlaubnis nicht ab 13.07.2018 zu verlieren.
  • Das neue ZAG wird Banken stärker betreffen als das ZAG nach PSD1, da bei der Ausrichtung der IT-Sicherheitsorganisation nach den künftigen MaRisk und BAIT auch die neuen EBA-Guidelines zum Störfallmanagement, zu den IT-Sicherheitsrisiken und zum fraud reporting im Zahlungsverkehr nach PSD2 umgesetzt werden müssen. Hierzu gehören auch die rechtzeitige Einbindung von Auslagerungsdienstleistern und die Sicherstellung statistischen Materials für das Betrugsreporting an die BaFin.
  • Strategisch sollte die Auswirkung der Drittdienstleistungen auf die elektronische Kommunikation der Bank mit ihren Kunden bewertet werden. Rechtlich muss hierbei das Haftungsrisiko im Umgang mit widerrufenen Aufträgen durch Kunden nach § 675p (2) BGB beachtet werden.
  • Eine Bank sollte sich rechtzeitig auf die Behandlung von Kundenanfragen zum Umgang mit RTS-Ausnahmen zur starken Kundenauthentifizierung vorbereiten und die Auswirkungen im Firmenkundengeschäft frühzeitig beachten. Hierbei sollten Prüfaufwände nach Ar t. 3 EBA RTS-E bei Anwendung der risikobasierten Ausnahme nach Ar t. 17 EBA RTS-E berücksichtigt werden.
  1. BGBl. 2017, 2.446.
  2. BaFin Rundschreiben 5/2015, „Mindestanforderungen an die Sicherheit von Internetzahlungen“.
  3. Vgl. Amtl. Begründung ZDUG, BT-Drs. 18/11495, S. 104.
  4. Artt. 10, 16 EU-Verordnung 1093/2010.
  5. EBA-Op-2017-09 vom 29.06.2017.
  6. Vgl. Art. 13 Abs. 1 EU-Verordnung 1093/2010.
  7. Final EBA GL Authorization v. 11.07.2017, EBA/ GL/2017/09.
  8. Final EBA GL Incident Reporting vom 27.07.2017,

    EBA/GL/2017/10.

  9. EBA Draft GL Security Risks vom 05.05.2017,

    EBA/CP/2017/04.

  10. EBA Draft GL Fraud Reporting vom 02.08.2017,

    EBA/CP/2017/13.

  11. Vgl. EBA GL/2017/10 Incident Reporting, EBA Draft GL Security Risks und EBA Draft GL Fraud Reporting.
  12. Vgl. nrk Beschl. des Bundekartellamt vom 29. 06.2016 (B 4-71/10).
  13. Vgl. zusätzlich Final EBA GL Professional Indemnity Insurance vom 07.07.2017, EBA/GL/2017/07.
  14. Vgl. EBA-Op-2017-09 vom 29.06.2017, S. 8; Schmidt/Reinshagen/BaFin, GSK PSD2 Konferenz 17.05.2017, S. 26, https://www.gsk.de/de/veranstaltungen/veranstaltungsarchiv
  15. Vgl. hierzu Eschenlohr und Bernau, GSK PSD2- Konferenz 17.05.2017 (Fn. 14), Drittdienstleister und FinTech-Kooperationen.
  16. BaFin-Konsultation MaRisk 1/2016, AT 9.
  17. BaFin-Konsultation Bankaufaufsichtliche Anforderungen an die IT (BAIT) 02/2017.
  18. EBA Final Guidelines on ICT Risk Assessment under SREP vom 11.05.2017, EBA/GL/2017/05.
  19. Vgl. EBA Draft GL Security Risks (Fn. 9) und EBA Draft GL Fraud Reporting (Fn. 10).
  20. EBA GL/2017/10 Incident Reporting GL 3.1.
  21. Für handschriftlich bestätigte Kartenzahlungen konnte geklärt werden, dass diese nicht der SKA unterfallen (vgl. Bericht des Finanzausschusses, BT-Drs. 18/12568, S. 153).
  22. Vgl. Bericht des Finanzausschusses , BT-Drucksache 18/12568, S. 153, 154.
  23. Vgl. BGH-Urt. v. 12.09.2017 – XI ZR 590/15.
  24. EuGH-Urt. v. 18.03.2017 („Martini”) (C-211/12).
  25. Vgl. vgl. Amtl. Begründung ZDUG, BT-Drs. 18/11495, S. 82.


Beitragsnummer: 3699

Hinterlassen Sie einen Kommentar

Kommentare:

Um die Webseite so optimal und nutzerfreundlich wie möglich zu gestalten, nutzen wir Google Analytics und hierfür erforderliche Cookies. Weitere Infos finden Sie in unseren Datenschutzhinweisen.