Navigation und Service

  • Analysen und Berichte

    Zwei­te Zah­lungs­diens­te­richt­li­nie – No­vel­le des Zah­lungs­diens­teauf­sichts­ge­set­zes

    • Das Gesetz zur Umsetzung der Zweiten Zahlungsdiensterichtlinie tritt im Wesentlichen zum 13. Januar 2018 in Kraft. Es fasst das Zahlungsdiensteaufsichtsgesetz neu und passt die zivilrechtlichen Vorschriften im Bürgerlichen Gesetzbuch an.
    • Das Gesetz hat das Ziel, den bestehenden Rechtsrahmen für Zahlungsdienste an den technologischen Fortschritt anzupassen, die Sicherheit von Zahlungen zu verbessern und die Rechte der Kunden bei der Nutzung der gängigen Zahlverfahren zu stärken.
    • Das Gesetz ist auf positive Resonanz gestoßen. Es findet eine gute Balance zwischen neuen Marktchancen für etablierte Kreditinstitute sowie für junge, innovative Unternehmen und den schutzwürdigen Interessen der Kunden. Es leistet einen wichtigen Beitrag dazu, den digitalen Wandel im Zahlungsverkehr positiv zu begleiten.

    Einleitung

    Das Gesetz zur Umsetzung der Zweiten Zahlungsdiensterichtlinie1 regelt die Geschäftstätigkeit von Zahlungsdienstleistern – insbesondere von Kredit- und Zahlungsinstituten, die Zahlungsdienste erbringen. Mit dem Gesetz wird die vollharmonisierende europäische Zweite Zahlungsdiensterichtlinie2 in deutsches Recht umgesetzt, die ein Bündel an Vorgaben mit hybridem (aufsichtsrechtlich-zivilrechtlichem) Charakter enthält.

    Das Gesetz passt den bestehenden Rechtsrahmen für Zahlungsdienste an den technologischen Fortschritt an, verbessert die Sicherheit von Zahlungen (z. B. im Internet) und stärkt die Rechte der Kunden bei der Nutzung der gängigen Zahlverfahren (z. B. der Lastschrift).

    Wesentliche Inhalte des Gesetzes

    Die aufsichtsrechtlichen Vorgaben der Zweiten Zahlungsdiensterichtlinie werden durch das neu gefasste Zahlungsdiensteaufsichtsgesetz (ZAG) umgesetzt. Das bisherige Zahlungsdiensteaufsichtsgesetz3, das der Umsetzung der aufsichtsrechtlichen Vorgaben der Ersten Zahlungsdiensterichtlinie4 von 2007 diente, wird aufgehoben. Die zivilrechtlichen Vorgaben der Zweiten Zahlungsdiensterichtlinie werden im Bürgerlichen Gesetzbuch (BGB) umgesetzt, in dem das Umsetzungsrecht der Ersten Zahlungsdiensterichtlinie im Recht der Schuldverhältnisse angepasst wird. Konkret bedeutet dies: Die Vorschriften für Zahlungsdienste in §§ 675c bis 676c BGBwerden geändert und ein neuer § 270a BGB wird eingefügt. Ebenfalls geändert werden die schon bislang im Einführungsgesetz zum Bürgerlichen Gesetzbuche (EGBGB) gebündelt umgesetzten Informationspflichten (vergleiche Art. 248 EGBGB). An diese zivilrechtlichen Änderungen schließt sich eine verfahrensrechtliche Folgeänderung im Unterlassungsklagengesetz (UKlaG) an.

    Erfassung von Zahlungsauslöse- und Kontoinformationsdienstleistern

    Mit der Neufassung des ZAG werden Zahlungsauslöse- und Kontoinformationsdienstleister5 einer Erlaubnis- beziehungsweise Registrierungspflicht durch die Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) unterstellt.

    Zahlungsauslöse- und Kontoinformationsdienstleister

    bauen ihre Dienste auf dem Internet-Banking der Kreditinstitute auf. Diese Unternehmen übermitteln – meist über das Internet – Datensätze zwischen Kunden und Kreditinstituten, ohne selbst in Berührung mit den Kundengeldern zu kommen. Beim Zahlungsauslösedienst können Kunden über die Internetseite des Unternehmens eine Überweisung auslösen, wenn sie im Internet-Shop eines Händlers eingekauft haben. Beim Kontoinformationsdienst erhalten Kunden über das Internet vom Unternehmen aufbereitete Informationen über ihre Guthaben auf Zahlungskonten bei verschiedenen Kreditinstituten.

    Im Zuge der Regulierung erhalten Zahlungsauslöse- und Kontoinformationsdienstleister europaweiten Zugang zum Zahlungsverkehrsmarkt (den sogenannten Europäischen Pass). Damit diese Unternehmen ihre Dienste erbringen können, müssen ihnen kontoführende Kreditinstitute Zugang zu Zahlungskonten gewähren – unter Einhaltung besonderer Sicherheitsanforderungen, die in technischen Regulierungsstandards6 auf europäischer Ebene näher festgelegt werden.

    Unternehmen, die ein Erlaubnis- beziehungsweise Registrierungsverfahren nach dem ZAG bei der BaFin durchlaufen, müssen sich einer Reihe von Anforderungen stellen: Unter anderem muss neben einer Darstellung des Geschäftsmodells ein tragfähiger Geschäftsplan vorgelegt werden. Unternehmen müssen über eine ordnungsgemäße Geschäftsorganisation verfügen und eine angemessene Unternehmenssteuerung einrichten. Im Wesentlichen entsprechen die Anforderungen dem bisherigen Verfahren; es gibt allerdings einige Erweiterungen: Künftig müssen Unternehmen beispielsweise ihre Sicherheitsstrategie darlegen und erläutern, wie sie mit Sicherheitsvorfällen umgehen und sensible Zahlungsdaten handhaben. Für Zahlungsauslöse- und Kontoinformationsdienstleister gelten weitere Besonderheiten: Sie müssen – je nach Ausgestaltung ihres Geschäftsmodells – eine Absicherung für den Haftungsfall nachweisen und beispielsweise sicherstellen, dass personalisierte Sicherheitsmerkmale (wie die Persönliche Identifikationsnummer, kurz PIN) keiner anderen Person als dem Nutzer und der ausgebenden Stelle zugänglich sind und über sichere und effiziente Kanäle übermittelt werden.

    Konkretisierung von Ausnahmetatbeständen

    Neben der Neujustierung des Katalogs der Zahlungsdienste – insbesondere der Erfassung von Zahlungsauslöse- und Kontoinformationsdienstleistern – werden zudem die Ausnahmetatbestände des ZAG neu gefasst.

    Zahlungsdienste

    dienen der Abwicklung des Zahlungsverkehrs. Neben klassischen Kreditinstituten etablieren sich zunehmend auch junge Unternehmen mit innovativen Dienstleistungen auf dem Markt für Zahlungsdienste. Klassische Zahlungsdienste sind beispielsweise die Einzahlung sowie Abhebung von Geld auf und von einem Konto (über einen Geldautomaten), die Ausführung von Überweisungen und Lastschriften oder die Ausgabe von Zahlungskarten (u. a. einer Kreditkarte). Bei innovativen Zahlungsdiensten können Kunden beispielsweise berührungslos oder gestützt auf einen maschinell lesbaren Code bezahlen, etwa über eine App auf dem Mobilfunkgerät.

    Unter anderem werden die Ausnahmetatbestände für Zahlungsdienste von Telekommunikationsunternehmen (z. B. der Erwerb einer App) und für Zahlungsinstrumente mit begrenzter Einsatzmöglichkeit (z. B. manche Gutscheinkarten) konkretisiert. Unternehmen, die unter diese Ausnahmetatbestände fallen, benötigen zwar keine Erlaubnis der BaFin, müssen allerdings ihr Geschäft unter bestimmten Voraussetzungen (z. B. bei Überschreitung von gewissen Umsatz-Schwellenwerten) melden und können darüber hinaus den Europäischen Pass nicht in Anspruch nehmen.

    Vorsehen einer starken Kundenauthentifizierung

    Mit der Neufassung des ZAG und den Änderungen im BGB wird die Sicherheit von elektronischen Zahlungen – insbesondere im Internet – verbessert und der Schutz der Kunden verstärkt.

    Zahlungsdienstleister sollen künftig bei bestimmten Vorgängen im elektronischen Zahlungsverkehr eine starke Kundenauthentifizierung vorsehen, d. h. eine Legitimation über mindestens zwei Sicherheitselemente aus den Kategorien Wissen (z. B. ein Passwort), Besitz (z. B. eine Karte) oder Inhärenz (d. h. ein ständiges Merkmal, wie z. B. den Fingerabdruck) verlangen. Die Sicherheitselemente müssen voneinander unabhängig sein, d. h. wird eines kompromittiert (z. B. ein Passwort ausgelesen), muss das andere den Kunden noch immer zuverlässig schützen (z. B. die erfolgreiche Autorisierung einer Zahlung durch eine andere Person verhindern). Die Vertraulichkeit der Sicherheitselemente muss gewahrt sein. Darüber hinaus muss in manchen Fällen der Vorgang der Authentifizierung Sicherheitselemente umfassen, die dynamisch mit dem jeweiligen Zahlungsbetrag und Zahlungsempfänger verknüpft werden.

    Die Anforderungen an die starke Kundenauthentifizierung und Ausnahmen davon werden in denselben technischen Regulierungsstandards auf europäischer Ebene näher festgelegt, die auch die Anforderungen an den Zugang zu Zahlungskonten regeln.

    Stärkung der Rechte der Zahlungsdienstnutzer

    Mit den Änderungen des BGB, des EGBGB und des UKlaG werden weitere Vorgaben der Richtlinie im Zivilrecht umgesetzt und die Rechte der Kunden bei der Nutzung bargeldloser Zahlverfahren gestärkt. So werden die Zahlungsauslöse- und Kontoinformationsdienstleister in das zivilrechtliche Regelungssystem einbezogen (vergleiche §§ 675c bis 676c BGB) und die haftungsrechtlichen Folgen bei einer Nichtbeachtung der starken Kundenauthentifizierung geregelt. Weiter wird das in Deutschland bereits übliche bedingungslose Erstattungsrecht des Zahlers bei Lastschriften nunmehr gesetzlich geregelt und europaweit eingeführt – bislang war es lediglich in den Geschäftsbedingungen der Kreditinstitute verankert. Zudem wird es – auch im Internethandel – untersagt, Preisaufschläge für die Nutzung gängiger Zahlverfahren (Überweisungen und Lastschriften sowie gängige Zahlungskarten) von Kunden zu verlangen, das sogenannte Surcharging-Verbot.

    Ferner werden die Rechte der Kunden im BGB bei nicht autorisierten Zahlungsvorgängen verbessert. So haften Kunden künftig nur noch bis zur Höhe von 50 € für Schäden, die beispielsweise durch den Diebstahl einer Zahlungskarte entstehen. Eine vorsätzliche oder grob fahrlässige Pflichtverletzung der Kunden kann in diesem Zusammenhang nicht mehr ohne Weiteres angenommen werden. Die Kreditinstitute werden stärker in die Pflicht genommen und müssen unterstützende Beweismittel für den Nachweis eines Betrugs oder einer groben Fahrlässigkeit der Kunden vorlegen.

    Inkrafttreten

    Das Gesetz tritt gestaffelt in Kraft. Grundsätzlich sollen die neuen Vorschriften für Zahlungsdienste am 13. Januar 2018 in Kraft treten. Ausgenommen sind die aufsichtsrechtlichen Regelungen zur starken Kundenauthentifizierung und über den Zugang zu Zahlungskonten für Zahlungsauslöse- und Kontoinformationsdienstleister, soweit diese technische Regulierungsstandards voraussetzen, die auf europäischer Ebene noch nicht erlassen sind. Diese Vorschriften sollen 18 Monate nach Inkrafttreten der technischen Regulierungsstandards in Kraft treten. Das wird voraussichtlich erst 2019 der Fall sein.

    Fazit

    Das Gesetz ist auf positive Resonanz gestoßen. Es findet eine gute Balance zwischen neuen Marktchancen für etablierte Kreditinstitute sowie für junge, innovative Unternehmen und den schutzwürdigen Interessen der Kunden. Der Wettbewerb und die Sicherheit im Zahlungsverkehr werden gestärkt. Kunden profitieren von verbraucherschützenden Vorschriften für Händler und Zahlungsdienstleister. Das Gesetz leistet einen wichtigen Beitrag dazu, den digitalen Wandel im Zahlungsverkehr positiv zu begleiten.

Footer