Ziel des ZAG war es unter anderem, die Zahlungsverkehrsbranche einheitlich zu regeln und Ausnahmetatbestände zu vereinheitlichen. Nach zwei Jahren ZAG - wie sieht Ihre Bilanz aus?
Deutschland hat mit dem novellierten Zahlungsdiensteaufsichtsgesetz (ZAG) eine konsistente Regelung. Bisher haben wir damit gut die uns bekannten Geschäftsmodelle am Markt einordnen können. Die harmonisierten Vorschriften für die Zahlungsverkehrsbranche bilden zudem die Grundlage für ein Level Playing Field innerhalb der EU.
Wir müssen aber auch feststellen, dass manche der nach dem ZAG beaufsichtigten Institute groß sind und möglicherweise durchaus eine gewisse Bedeutung für den Zahlungsverkehr haben. Es ist deshalb zu prüfen, ob Aufsichtsregime und Aufsichtspraxis an der einen oder anderen Stelle nachgeschärft werden sollten.
Wie viele Zahlungs- und E-Geld-Institute haben inzwischen eine Zulassung der BaFin erhalten? Und wie viele davon erbringen die neuen Zahlungsauslöse- und Kontoinformationsdienste?
Insgesamt stehen inzwischen 80 Zahlungs- beziehungsweise E-Geld-Institute unter der Aufsicht der BaFin. Damit hat sich die Zahl dieser sogenannten ZAG-Institute seit Inkrafttreten der Novelle fast verdoppelt. Davon haben 16 eine Erlaubnis sowohl für Zahlungsauslöse- als auch für Kontoinformationsdienste; weitere zwölf Institute haben bloß eine Registrierung, weil sie nur den Kontoinformationsdienst erbringen. Die Zahl der aktuell in Bearbeitung befindlichen Anträge liegt im mittleren zweistelligen Bereich; und es kommen stetig neue Anträge hinzu.
Gab oder gibt es nach Inkrafttreten des novellierten ZAG eine Art "Zulassungsstau"? Reichen die Kapazitäten der BaFin aus, um die Prüfungen in einem vertretbaren Zeitraum zu bearbeiten?
Richtig ist, dass nach der Novelle in relativ kurzer Zeit eine Vielzahl von Anträgen bei uns eingegangen ist. Wir haben darauf flexibel reagiert. Zunächst haben wir zusätzlich Mitarbeiter aus dem Haus herangezogen, danach auch dauerhaft personell aufgestockt. In einer solchen Situation muss man Aufgaben priorisieren.
Welcher Anteil der eingereichten Anträge auf ZAG-Zulassung kann nicht bewilligt werden? Und woran scheitert es in solchen Fällen am häufigsten?
In den letzten Jahren haben wir keinen Antrag formell abgelehnt. Allerdings wurden 19 Anträge zurückgenommen, oft, weil der Antragsteller nach Rückmeldung der BaFin eingesehen hat, dass die Erfolgschancen seines Antrages gering sind, oder weil er den Umfang der gesetzlichen Anforderungen unterschätzt hatte.
Kennen Sie Fälle, in denen Unternehmen von der BaFin keine Zulassung erhalten haben, jedoch von der Aufsicht in einem anderen Land? Oder kann man davon ausgehen, dass alle Aufsichtsbehörden gleichermaßen streng prüfen?
Ein deutsches Unternehmen kann sich die Aufsichtsbehörde nicht einfach nach Gutdünken aussuchen. Will ein deutsches Unternehmen die Zulassung in einem anderen EU-Mitgliedsstaat erhalten, dann muss es auch dorthin seinen Sitz verlegen. Davon abgesehen ist es Sache der Europäischen Bankaufsichtsbehörde EBA sicherzustellen, dass die Aufsichtsmaßstäbe überall vergleichbar sind. Hierzu hat die EBA unter anderem umfangreiche Leitlinien zu den Zulassungsverfahren erlassen.
Immer wieder gibt es Fälle, in denen Geschäfte unerlaubt betrieben werden. Wie viele waren das seit Inkrafttreten des ZAG? Ist hier ein zu- oder abnehmender Trend zu erkennen?
Die Zahl der Maßnahmen, welche die BaFin ergriffen hat, um unerlaubt erbrachte Zahlungsdienstleistungen einzustellen und abzuwickeln, ist seit Inkrafttreten des novellierten ZAG kontinuierlich gestiegen. In diesem Jahr haben wir bereits mehr als 20 Bescheide erlassen.
Ein Schwerpunkt unserer Aufsicht liegt beim unerlaubten Finanztransfergeschäft. Hier sind wir in enger Kooperation mit den Strafverfolgungsbehörden vor allem gegen betrügerisch agierende, nicht lizenzierte - und oft aus dem Ausland heraus operierende - Internethandelsplattformen und ihre inländischen Geldsammelstellen vorgegangen.
Worauf wird nach Erteilung einer ZAG- Zulassung laufend geprüft?
Aus dem umfangreichen Aufsichtskatalog möchte ich nur ein paar Punkte herausgreifen. Ein wichtiger Punkt der laufenden Aufsicht ist beispielsweise die Kontrolle, ob das Institut über ausreichende Eigenmittel verfügt. Wichtig ist auch die Einhaltung der Sicherungsanforderungen in Bezug auf die Kundengelder. Werden Zahlungsauslöse- oder Kontoinformationsdienste erbracht, kontrollieren wir, ob die vorgeschriebene Berufshaftpflichtversicherung vorliegt.
Kommt ein neuer Geschäftsleiter, prüfen wir dessen Zuverlässigkeit und fachliche Eignung. Viel Arbeit machen auch Inhaberkontrollverfahren: Gerade in der Payment-Branche kam es in den letzten Jahren zu einer Reihe von Umstrukturierungen, deren Prüfung äußerst komplex und zeitintensiv war.
Seit 2018 gibt es auch ein neues Meldeverfahren für schwerwiegende Sicherheitsvorfälle. Wie ist hier "schwerwiegend" definiert?
Um als "schwerwiegend" zu gelten, muss der Vorfall verschiedene Kriterien erfüllen. Die Einzelheiten regelt ein BaFin-Rundschreiben. Wir unterscheiden zwischen Kriterien einer niedrigen Auswirkungsstufe, beispielsweise eine Dienstausfallzeit von zwei Stunden, und einer hohen Auswirkungsstufe, beispielsweise bei einem hohen wirtschaftlichen Schaden. Eine Meldepflicht besteht dann, wenn drei Kriterien der niedrigen Auswirkungsstufe oder ein Kriterium der hohen Auswirkungsstufe erfüllt werden.
Wie viele Vorfälle dieser Art gab es in den letzten zwei Jahren - und wie sieht die Entwicklung aus?
Seit Inkrafttreten der neuen Meldepflicht am 13. Januar 2018 haben die Zahlungsdienstleister, also Kreditinstitute und Institute nach dem ZAG, uns etwa 700 Vorfälle gemeldet. Von 2018 auf 2019 konnten wir beobachten, dass die Zahl gemeldeter Cyber-Angriffe leicht gesunken ist. Insgesamt gab es vermehrt Störungen beim Online-Banking inklusive dem Mobile Banking, während Störungen am Geldautomaten leicht zurückgegangen sind.
Weiterhin können wir beobachten, dass der größte Teil der Störung "hausgemacht" ist und sich typischerweise auf mangelnde Cyber-Hygiene zurückführen lässt. Allerdings werden Zahlungsdienstleister auch Opfer von Cyberattacken, die beispielsweise die Verfügbarkeit von Diensten mittels Einsatz von DDoS-Attacken beeinträchtigen wollen. Das macht jedoch nur einen niedrigen einstelligen Prozentbereich der eingehenden Meldungen aus.
Generell: Was sind die wesentlichen Erkenntnisse aus der Aufsichtspraxis?
Die Corona-Krise hat gezeigt, dass die ZAG-Institute sehr darauf bedacht sind, alle Aufsichtspflichten nach dem ZAG zu erfüllen. Es ist besonders bemerkenswert, dass wir selbst in dieser Ausnahmesituation und trotz kurzer Fristen bei zwei Abfragen einen Rücklauf von 100 Prozent verzeichnen konnten.
Außerdem sind die Institute frühzeitig eigeninitiativ auf uns als Aufsicht zugekommen und haben den Dialog gesucht. Wenngleich bei einigen neuen Marktakteuren noch kleinere Compliance-Defizite zu verzeichnen sind, nehme ich ein breites Bestreben wahr, alle Aufsichtsanforderungen ohne Abstriche zu erfüllen.
Seit September 2019 muss theoretisch die starke Kundenauthentifizierung umgesetzt werden. Wie weit ist die Payment-Branche inzwischen an dieser Stelle gekommen? Wird die eingeräumte Kulanzfrist zum Nacharbeiten ausreichend genutzt? Oder rechnen Sie damit, dass es zum Auslaufen der "Gnadenfrist" immer noch in erheblichem Ausmaß Defizite geben wird?
Die allermeisten Zahlungsdienstleister haben die neuen Anforderungen rechtzeitig umgesetzt. Das gilt zum Beispiel für die Kartenzahlung am PoS, bei denen eine Zwei-Faktor-Authentifizierung schon seit längerem bekannt ist. Ähnliches gilt für das Online-Banking: Authentifizierungsverfahren, welche die Anforderungen der PSD2 nicht erfüllen, zum Beispiel gedruckte TAN-Listen, wurden planmäßig ersetzt.
Auch für Kartenzahlungen im E-Commerce haben die meisten deutschen Kartenemittenten ihren Kunden die Möglichkeit zur Starken Kundenauthentifizierung rechtzeitig bereitgestellt. Leider waren aber viele Online-Händler damals noch nicht in der Lage, diese Möglichkeit zu nutzen. Deshalb hatte sich die EBA entschieden, eine zusätzliche Migrationsphase bis zum 31. Dezember 2020 zu ermöglichen, in der die Aufsichtsbehörden das Fehlen einer - eigentlich erforderlichen - Starken Kundenauthentifizierung nicht beanstanden müssen.
Insgesamt sehe ich erhebliche Fortschritte in diesem Bereich. Die Zahlungsdienstleister unternehmen deutliche Anstrengungen, die Pflicht zur Starken Kundenauthentifizierung zu erfüllen und gleichzeitig die möglichen Ausnahmen von dieser Pflicht zu nutzen. Bei den Online-Händlern haben wir nur begrenzte Einblicke, da diese nicht von uns beaufsichtigt werden. Ich kann aber jedem im Karten-Ökosystem nur raten, im eigenen Interesse die notwendigen Nacharbeiten bis zum 31.Dezember 2020 abzuschließen.
Auch bei den Kontoschnittstellen gab es Verzögerungen. Im September 2019 gab es bei den meisten Schnittstellen noch keine erfolgreiche Marktbewährung. Woran lag das? Und wie sieht es heute aus?
Wir hatten in Deutschland die Situation, dass es bereits vor der PSD2 ein hoch entwickeltes System von Zahlungsauslöse- und Kontoinformationsdienstleistern gab, deren Angebote von vielen Verbrauchern und Unternehmen intensiv genutzt werden. Wir haben deshalb hohe Anforderungen an die neuen Schnittstellen für diese Dienstleister gestellt.
Im September 2019 waren diese Anforderungen noch nicht vollständig erfüllt, da noch einzelne Funktionalitäten fehlten. Mittlerweile konnten sowohl die kontoführenden Institute als auch die Zahlungsauslöse- und Kontoinformationsdienstleister wesentliche Fortschritte erzielen. Einige Schnittstellen werden heute bereits erfolgreich und vollumfänglich für Kontozugriff und Zahlungsauslösungen genutzt.
Teilweise lassen sich die Verzögerungen sicher auf einen knappen Umsetzungszeitraum nach Fertigstellung der technischen Umsetzungsstandards zurückführen. Dennoch: Vertraut die Branche bei knapp gesetzten Terminen vielleicht etwas zu sehr darauf, dass es schon eine Fristverlängerung geben wird? "Erzieht" man mit solchen Verschiebungen gewissermaßen zur schleppenden Umsetzung?
In beiden Fällen besteht die besondere Schwierigkeit darin, dass es für das einzelne Mitglied des Systems nicht ausreicht, seine eigenen Hausaufgaben zu machen. Vielmehr müssen die technischen Systeme der verschiedenen Mitglieder miteinander verbunden und anschließend das Zusammenwirken der jeweils betroffenen Systeme getestet werden. Zudem mussten komplexe und sicherheitssensible Zahlungsverkehrsprozesse technisch neu abgebildet werden.
Grundsätzlich ist der von Ihnen genannte Aspekt aber richtig. Er war sicherlich einer der Gründe dafür, dass die Europäische Kommission und die EBA sich vor kurzem dazu entschieden haben, keine Verlängerung der zusätzlichen Migrationsphase für Kartenzahlungen im Internet zu gewähren.
