Sabine Kröger, Rechtsanwältin, Fachanwältin für Bank- und Kapitalmarktrecht und Handels- und Gesellschaftsrecht, SKW Schwarz Rechtsanwälte, München
Mit freundlicher Unterstützung von:
Am 13.01.2018 ist das vollständig neu gefasste Zahlungsdiensteaufsichtsgesetz (ZAG) – mit Ausnahme einiger weniger Regelungen – in Kraft getreten. Das auf Basis der EU-Richtlinie 2015/2366 (Payment Services Directive, PSD II) geänderte Gesetz regelt zwei neue Zahlungsdienste, namentlich die „Zahlungsauslösedienste“ (vgl. § 1 Abs. 1 Satz 2 Nr. 7 ZAG) und die „Kontoinformationsdienste“ (vgl. § 1 Abs. 1 Satz 2 Nr. 8 ZAG). Mit Zahlungsauslösedienstleistern können Nutzer bei Abschluss eines Geschäfts direkt einen Zahlungsauftrag auf ihrem Zahlungskonto auslösen und dadurch z. B. beim Einkaufen im Internet nahezu in Echtzeit bezahlen. Mit Kontoinformationsdiensten können sich Nutzer Kontoinformationen aufbereiten lassen und sich so zu einem bestimmten Zeitpunkt auch einen Gesamtüberblick über mehrere Zahlungskonten verschaffen. Zahlungsauslösedienstleister bedürfen einer Erlaubnis durch die BaFin (vgl. § 10 Abs. 1 Satz 1 ZAG); für Kontoinformationsdienstleister ist eine Registrierung durch die BaFin ausreichend (vgl. § 34 Abs. 1 Satz 1 ZAG).
Kreditinstitute müssen künftig als kontoführende Zahlungsdienstleister technische Schnittstellen für diese beiden Zahlungsdienstleister zur Verfügung stellen, damit diese Kontodaten der Kunden einsehen und Zahlungen von den Bankkonten initiieren können (vgl. §§ 48 ff, 68 ZAG). Schon deshalb haben die neuen gesetzlichen Bestimmungen auch für die Praxis der Banken und Sparkassen eine erhebliche Relevanz. Schon im Vorgriff auf das Inkrafttreten des geänderten ZAG hatte die BaFin mit ihrem am 29.11.2017 geänderten „Merkblatt – Hinweise zum Zahlungsdiensteaufsichtsgesetz (ZAG)“ erste Hinweise zum Anwendungsbereich der ZAG-Vorschriften veröffentlicht, dessen Inhalt nachfolgend zusammenfassend dargestellt wird:
Der Zahlungsauslösungsdienst ist ein Dienst, bei dem auf Veranlassung des Zahlungsdienstnutzers ein Zahlungsauftrag in Bezug auf ein bei einem anderen Zahlungsdienstleister geführtes Zahlungskonto ausgelöst wird (vgl. § 1 Abs. 33 ZAG). Mit der Regulierung dieses Dienstes soll der Entwicklung neuer Technologien Rechnung getragen werden und das Risiko unautorisierter Zahlungsvorgänge minimiert werden.
Die BaFin weist in ihrem Merkblatt darauf hin, dass die Zahlungsauslösedienstleister Zugang zu den Konten des Zahlers haben, aber zu keinem Zeitpunkt der Zahlungskette im Besitz der Gelder des Zahlungsdienstnutzers seien. Der Dienstleister führe den Zahlungsvorgang nicht selbst aus, sondern stoße ihn bei einem kontoführenden Zahlungsdienstleister an. Er stehe insofern zwischen der Autorisierung des Zahlungsvorgangs durch den Zahlungsdienstnutzer und der Ausführung durch das zahlungskontoführende Institut.
Der Zahlungsauslösedienstleister erbringe – so die BaFin – seine Dienste i. d. R. gegenüber dem Zahlungsdienstnutzer. Ein Vertragsverhältnis zwischen den kontoführenden Zahlungsdienstleistern und dem Zahlungsauslösedienstleister sei nicht erforderlich und dürfe von dem kontoführenden Zahlungsdienstleister auch nicht zur Voraussetzung gemacht werden (vgl. § 675 f Abs. 3 Satz 2 BGB).
Zahlungsauslösedienste übermitteln Zahlungsaufträge (vgl. § 675 f Abs. 4 Satz 2 BGB); die Übermittlung einer bloßen Autorisierungsanfrage genüge dagegen nicht.
Keine Zahlungsauslösedienste sollen nach Ansicht der BaFin bei sogenannten Netzbetreibern vorliegen, die bei der Zahlung im electronic cash-Verfahren (Girocard) die elektronische Datenverbindung zwischen dem Terminal des Zahlungsempfängers an der Ladenkasse vor Ort (POS-Terminal) und dem kartenausgebenden Zahlungsdienstleister herstellen, den weiteren Zahlungsvorgang aber nicht über den Zugang zum Online-Banking Konto des Zahlers abwickeln. Nicht unter die Zahlungsauslösedienste falle, so die BaFin, auch das elektronische Lastschriftverfahren, bei dem es sich um einen durch den Zahlungsempfänger ausgelösten Zahlungsvorgang handele und kein Zugang des Zahlungsempfängers oder seines technischen Dienstleisters auf das Zahlungskonto über die von der kontoführenden Stelle im Internet-Banking des Zahlers zur Verfügung gestellten Schnittstellen erfolge.
Der Kontoinformationsdienst ist ein Online-Dienst zur Mitteilung konsolidierter Informationen über ein Zahlungskonto oder mehrere Zahlungskonten des Zahlungsdienstnutzers bei einem oder mehreren anderen Zahlungsdienstleistern (vgl. § 1 Abs. 34 ZAG). Ziel der Regulierung dieses Dienstes ist es, die zahlungskontenbezogenen Daten der Kunden vor unautorisiertem Zugriff zu schützen.
SEMINARTIPPS:
PSD II in Prüfung und Praxis, 12.04.2018, Frankfurt/M.
Risiko Kontoführung& Zahlungsverkehr, 19.11.2018, Frankfurt/M.
Die BaFin weist in ihrem Merkblatt darauf hin, dass das Gesetz ein weites Verständnis dieses Dienstes zugrunde lege. An einer Mitteilung von Informationen fehle es aber regelmäßig, wenn der Kontoinformationsdienstleister zwar den Zugang zum Zahlungskonto herstellt, aufgrund der technischen Ausgestaltung aber keinen Zugriff auf die Kundendaten hat. Tatbestandsmäßig seien Online-Dienste, die Kontoinformationen – selbst oder durch einen anderen Kontoinformationsdienstleister – von einem oder mehreren Zahlungskonten abrufen und – ggf. weiterverarbeitet – an den Empfänger weiterleiten. Umfasst seien Dienste unabhängig davon, wer der Adressat der Mitteilung ist. Ein Bezug zu einem konkreten Zahlungsvorgang sei nicht erforderlich.
Tatbestandsmäßig sei, so die BaFin, nur ein Zugriff auf Informationen von Zahlungskonten und mit diesen in Zusammenhang stehenden Zahlungsvorgängen (vgl. § 51 Abs. 1 Satz 2 ZAG). Dienste, die andere Konten betreffen, seien vom Tatbestand nicht erfasst.
Nicht vom Anwendungsbereich erfasst seien die Bereitstellung von kreditrelevanten Informationen über Zahlungsdienstnutzer (z. B. Auskünfte über die Bonität durch Scoring-Verfahren), soweit die zugrundeliegenden Informationen nicht vom Online Banking-Konto abgerufen werden, sowie von Online-Diensten für betriebswirtschaftliche Auswertungen im unternehmerischen Auftrag (z. B. im Rechnungswesen oder in der Personalwirtschaft eines Unternehmens), soweit der Datenaustausch nicht über einen Zugang zum Online Banking-Konto erfolgt. Auch müsse es sich stets um einen Online-Dienst handeln. Die Bereitstellung von Software, die ausschließlich auf Rechnern im Verfügungsbereich des Zahlungsdienstnutzers läuft, falle deshalb ebenfalls nicht unter den Tatbestand.
PRAXISTIPPS
- Zahlungsauslösedienstleister sowie Zahlungsinformationsdienstleister erhalten durch die erweiterten Vorschriften im ZAG mit dem gesetzlich vorgesehenen Zugang zum Bankensystem neue Rechte, werden aber auch erstmalig der Regulierung unterworfen. Die BaFin hat der Praxis mit ihrem „Merkblatt – Hinweise zum Zahlungsdiensteaufsichtsgesetz (ZAG)“ (Stand 29.11.2017) erste Auslegungshilfen für die Einordnung derartiger Dienste als regulierungspflichtig und zum Bankensystem zugangsberechtigt an die Hand gegeben. Schwierige Abgrenzungsfragen werden sich dennoch aufgrund der Vielzahl unterschiedlicher Geschäftsmodelle in der Praxis weiterhin stellen.
- Bereits jetzt nutzt ein hoher Anteil der Kunden für Online-Käufe alternative Zahlungsmethoden (z. B. PayPal). Das Interesse von Kunden für weitere digitale Bankdienstleistungen ist erheblich. Das ZAG bietet die rechtliche Grundlage für die Etablierung derartiger Dienstleistungen. Um in diesen Geschäftsfeldern wettbewerbsfähig zu bleiben, erscheint es für jedes Institut sinnvoll, Überlegungen dahingehend anzustellen, ob und inwieweit künftig eine Anpassung des eigenen Geschäftsmodells oder die Zusammenarbeit mit externen Partnern (z. B. FinTechs) angebracht sein könnte.
Beitragsnummer: 383