Ab dem Stichtag 14. September 2019 benötigen alle Zahlungsdienstleister ein qualifiziertes Zertifikat für den Zugriff auf Bankkonten. Voraussetzung ist eine BaFin-Erlaubnis. Künftig werden nur noch solche Dienstleister sogenannte Zahlungsauslösedienste und Kontoinformationsdienste erbringen können, die über eine aufsichtsrechtliche Erlaubnis verfügen oder registriert sind. Denn ab dem 14. September dürfen Banken den Zugriff auf Kundenkonten nur noch den Zahlungsdienstleistern ermöglichen, die ihre Zugriffsberechtigung über ein "qualifiziertes Zertifikat" nachweisen. Ein solches qualifiziertes Zertifikat können jedoch nur diejenigen erhalten, die von der BaFin die Erlaubnis zum Betrieb von Zahlungsdiensten verfügen.
Es scheint, dass bislang einige Dienstleister von Zahlungsauslösediensten und Kontoinformationsdiensten noch nicht wissen, dass das Betreiben bereits seit Anfang 2018 erlaubnispflichtig beziehungsweise registrierungspflichtig ist. Zu diesem Zeitpunkt wurde die Zweite EU-Zahlungsdiensterichtlinie in deutsches Recht umgesetzt. Sie hat einige Neuerungen für den europäischen Binnenmarkt für elektronische Zahlungen gebracht. Eine davon ist, dass in Deutschland nunmehr zwei Arten von Zahlungsdiensten von der deutschen Finanzaufsicht BaFin überwacht werden, die zuvor erlaubnisfrei erbracht werden konnten: Zahlungsauslösedienste und Kontoinformationsdienste.
Online-Handel - Paradebeispiel für Zahlungsauslösedienste
Zahlungsauslöse- und Kontoinformationsdienstleister bieten im Bereich des elektronischen Zahlungsverkehrs im Internet mittlerweile in einigen Bereichen und in teilweise sehr unterschiedlichen Funktionen ihre Dienstleistungen an. Im Online-Handel etwa erfolgt die Zwischenschaltung von Zahlungsauslösedienstleistern durch die Händler. Dies ermöglicht eine deutlich schnellere Abwicklung von Geschäften als etwa bei der Zahlung des Kaufpreises durch Überweisungen. Denn der Kunde räumt dem Zahlungsauslösedienstleister die Möglichkeit ein, die Bezahlung des Kaufpreises direkt auf seinem Bankkonto anzustoßen. Ab diesem Zeitpunkt ist dann der Zahlungsauftrag im Grundsatz nicht mehr widerruflich. Damit kann der Händler schon ab diesem Zeitpunkt die Ware risikofrei versenden, denn er wird unmittelbar über die Zahlungsauslösung informiert und braucht nicht zu warten, bis der Zahlungsbetrag seinem Konto gutgeschrieben wird.
Auch aufseiten des Zahlers
Es gibt jedoch auch Beispiele, in denen Zahlungsdienstleister aufseiten von Zahlern tätig werden. So machen Anbieter von webbasierter Buchhaltungssoftware etwa damit Werbung, dass Nutzer Zahlungen direkt von ihren Bankkonten tätigen können, die an die Buchhaltung angeschlossen werden können. Der Nutzer muss also nicht erst über die Online-Banking-Funktion seiner Bank Überweisungen tätigen, sondern kann sie direkt aus der Buchhaltung heraus auslösen. Ein weiterer Vorteil besteht darin, dass dann diese Zahlungen wiederum automatisch in der Buchhaltung erfasst werden können.
In diesem Zusammenhang werden oftmals auch Kontoinformationsdienste angeboten: Die Nutzer dieser Buchhaltungssoftware können dann nicht nur die Kontostände und -umsätze der angeschlossenen Bankkonten einsehen, sondern die Buchhaltungssoftware wertet diese oftmals auch aus und gleicht etwa ab, ob in Rechnung gestellte Beträge gezahlt worden und auf dem Konto eingegangen sind.
Kontoinformationsdienste werden zudem auch von Anbietern von Multi-Banking-Apps oder Finanz-Apps verwendet. Auch diese bieten den Nutzern an, dass sie Kontoumsätze aller angeschlossenen Bankkonten in einer App einsehen können, ohne sich jeweils über die Online-Banking-Funktionen bei den einzelnen Kreditinstituten einloggen zu müssen. Ferner bieten diese Dienstleister vielfältige Dienste im Zusammenhang mit der Auswertung der Kontendaten an: Diese reichen etwa von der Anzeige, ob bestimmte Budgets eingehalten werden, über die Auswertung von Strom- und Gasrechnungen und dem Vergleich mit und dem Angebot von anderen Anbietern bis hin zur Erstellung von Bonitätsauskünften für Mieter, welche einen Nachweis ihrer Einkünfte für den Vermieter einer Wohnungen benötigen.
Beide Zahlungsdienste, sowohl der Zahlungsauslöse- als auch der Kontoinformationsdienst, knüpfen an das "Online-Banking" an und geben dem Zahlungsdienstleister Zugriff auf das Bankkonto des Nutzers, ohne dass er damit in die Verfügungsgewalt von Geld des Nutzers gelangen würde. Allein dieser Zugriff und die sensiblen Zahlungsdaten, die der Zahlungsdienstleister dadurch erhält, sind der Grund dafür, dass diese Dienste seit Anfang 2018 von den Finanzaufsichtsbehörden, in Deutschland von der Ba-Fin, beaufsichtigt werden.
Ohne BaFin-Zulassung kein Kontozugriff
Ab dem 14. September 2019 müssen sich Zahlungsdienstleister gegenüber den Banken mit einem "qualifizierten Zertifikat" für elektronische Siegel ausweisen, wenn sie auf Kundenkonten zugreifen wollen 1). Diese qualifizierten Zertifikate werden von sogenannten "qualifizierten Vertrauensdiensteanbietern" ausgestellt, welche in Deutschland diesen Status auf Antrag von der Bundesnetzagentur als zuständiger Aufsichtsbehörde erhalten können und nach ihrer Anerkennung in die deutsche Vertrauensliste eingetragen werden (Trusted List).
Die Erteilung eines qualifizierten Zertifikats setzt allerdings unter anderem voraus, dass ein Zahlungsdienstleister eine aufsichtsrechtliche Erlaubnis/Registrierung für die Erbringung der Zahlungsdienste aufweisen kann. Diese wird in Deutschland von der Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) erteilt 2). Diese Regelung setzt den zweiten Teil der Zweiten Zahlungsdiensterichtlinie um. Zahlungsauslöse- und Kontoinformationsdienstleister, die bis zu diesem Tag den kontoführenden Zahlungsdienstleistern (Banken) kein qualifiziertes Zertifikat für ein elektronisches Siegel vorweisen können, dürfen von den Kreditinstituten kein Zugriff auf Bankkonten mehr gewährt werden.
Erlaubnisantragsverfahren bei der BaFin
Die Beantragung einer Erlaubnis als Zahlungsauslösedienstleister, aber auch die Registrierung zur Erbringung von Kontoinformationsdiensten bei der BaFin kann - von der Antragsstellung bis zur Erlaubniserteilung - mehrere Wochen, wenn nicht Monate, in Anspruch nehmen. In diesem Zusammenhang sind der Behörde umfangreiche Informationen und Unterlagen vorzulegen. Diese reichen
- von einer Beschreibung des beabsichtigten Geschäftsmodells und eines Geschäftsplans einschließlich Budgetplanung für die nächsten drei Jahre
- über eine Darstellung der Unternehmensstruktur, des Risikomanagements, des internen Kontrollsystems und einer Übersicht der an dem Antragsteller wesentlich beteiligten Personen beziehungsweise Gesellschaften
- bis hin zur Nennung der Geschäftsleiter und ihrer Lebensläufe, aus denen sich ihre ausreichende Erfahrung und Zuverlässigkeit ergibt.
Standards für den Umgang mit sensiblen Daten im Fokus
Im Rahmen des Erlaubnisverfahrens ist ein zunehmend wichtiger Gesichtspunkt, wie der Zahlungsdienstleister mit den Daten umgeht, die er im Zusammenhang mit der Erbringung seiner Dienstleistung erhält. Hier muss der Antragsteller vor allem den Nachweis ausreichender Sicherungsstandards für die Überwachung/Speicherung von "sensiblen Zahlungsdaten" und der Zugangsberechtigungen zu ihnen erbringen.
Als sensible Zahlungsdaten gelten solche, die zu betrügerischen Handlungen verwendet werden können, einschließlich personalisierter Sicherheitsmerkmale.
Anforderungen an Auslagerungen in die Cloud deutlich erweitert
Sollten die Zahlungsdienstleister die Speicherung dieser sensiblen Zahlungsdaten auf einen Server ausgelagert haben, die von Dritten betrieben werden, gelten insoweit ab Ende September verschärfte aufsichtsrechtliche Vorschriften. Die European Banking Authority (EBA), die oberste europäische Bankaufsichtsbehörde, hat unlängst die Anforderungen gerade für cloudbasierte Auslagerungen und solche, bei denen Daten in Rechenzentren außerhalb der EU gespeichert werden, deutlich ausgeweitet.
Vorgeschrieben werden hier bereits im Vorfeld von Auslagerungen etwa die Durchführung detaillierter Risikoanalysen, aber auch eine Due Diligence der Unternehmen, auf die Prozesse und Aktivitäten ausgelagert werden, und ihrer Sub-Unternehmer. Für Auslagerungen in Drittstaaten außerhalb der EU gelten verschärfte Vorschriften, vor allem im Hinblick auf Datenschutz und Datensicherheit.
Keiner BaFin-Erlaubnis bedürfen rein "technische Dienstleister", die etwa lediglich Autorisierungsanfragen und Datensätze zur Abrechnung von Zahlungen übermitteln, jedoch keinen eigenen Zugriff auf die Bankkonten erhalten. Andererseits stellt es keinen Kontoinformationsdienst dar, wenn ein Zugriff auf Zahlkonten nicht "online stattfindet" sondern lediglich von Rechnern/Servern, die ausschließlich im Verfügungsbereich des Nutzers stehen.
Derjenige, der Zahlungsdienste ohne die dafür erforderliche aufsichtsrechtliche Erlaubnis beziehungsweise Registrierung erbringt, kann mit einer Freiheitsstrafe von bis zu fünf Jahren bestraft werden. Davon unabhängig kann die BaFin die sofortige Einstellung des Geschäftsbetriebs und die unverzügliche Abwicklung der Geschäfte anordnen.
In diesem Zusammenhang und vor allem im Vorfeld zu der Einstellung des Geschäftsbetriebs kann die BaFin umfassende Auskünfte von dem Unternehmen verlangen und die Deutsche Bundesbank mit der Durchsuchung beauftragen. Alle diese Maßnahmen sind sofort vollziehbar, das heißt, Rechtsmittel haben keine aufschiebende Wirkung.
Zahlungsauslöse- und Kontoinformationsdienstleister, die bislang noch keine Erlaubnis beziehungsweise Registrierung bei der BaFin aufweisen können, sollten dies - gerade auch im Hinblick auf den 14. September 2019 - nunmehr eiligst in Angriff nehmen.
Fußnoten
1) Vgl. Art. 34 (1) Delegierte Verordnung (EU) 2018/389 der Kommission v. 27.11.2017 in Verbindung dem Anhang III der Verordnung (EU) 910/2014 des Europäischen Parlaments und des Rats vom 23.7.2014.
2) Art 34 (2) Delegierte Verordnung (EU) 2018/389 der Kommission v. 27.11.2017.
