Zweite Zahlungsdiensterichtlinie
Beitrag aus dem Jahresbericht 2016 der BaFin
Mitte Januar 2016 ist die Zweite Zahlungsdiensterichtlinie1 in Kraft getreten. Der europäische Gesetzgeber verfolgt damit das Ziel, den europäischen Binnenmarkt für elektronische Zahlungen weiterzuentwickeln. Die Richtlinie regelt die Geschäftstätigkeit von Zahlungsdienstleistern und ersetzt damit die Zahlungsdiensterichtlinie aus dem Jahr 20072. Inhaltlich werden die Bestimmungen an neuartige Bezahlverfahren im Internet und per Mobilfunk angepasst. Neue Informations- und Haftungsvorschriften sollen einen besseren Kundenschutz gewährleisten. Mit Blick auf die fortschreitende Digitalisierung regelt die Richtlinie den Erlaubnisvorbehalt neu. Das Gefüge der Zahlungsdienstetatbestände wird entsprechend justiert, Ausnahmen werden konkretisiert.
Die Richtlinie gilt grundsätzlich für alle Zahlungsdienste, die in der Europäischen Union (EU) erbracht werden. Wie ihre Vorgängerin unterscheidet sie zwischen privilegierten Zahlungsdienstleistern, die mit Rücksicht auf ihren besonderen gesetzlichen Auftrag oder eine bereits bestehende Institutsaufsicht von der Anwendung bestimmter Bestimmungen der Richtlinie ausgenommen sind, und den Zahlungsinstituten, die insbesondere auch dem Erlaubnisvorbehalt und der laufenden Aufsicht nach der Richtlinie unterworfen werden.
Nach der Definition dienen Zahlungsdienste der Abwicklung des Zahlungsverkehrs. Banken zählen dabei zu den klassischen Zahlungsdienstleistern, wobei jedoch zunehmend auch junge Unternehmen mit neuen Geschäftsideen auf den Plan treten, zum Beispiel Fintechs3.
Die EU-Mitgliedstaaten müssen die Regelungen bis zum 13. Januar 2018 in nationales Recht umsetzen. Bestimmte IT-Sicherheitsanforderungen werden erst 18 Monate nach Inkrafttreten einer Delegierten Verordnung für die Unternehmen verpflichtend sein – also frühestens im Oktober 2018.
Neujustierung des Erlaubnisvorbehalts
Zwei Geschäftstätigkeiten werden durch die Richtlinie als neue Zahlungsdienste qualifiziert und sind damit künftig grundsätzlich erlaubnis- oder registrierungspflichtig: Zahlungsauslöse- und Kontoinformationsdienste. Beide Dienste bauen auf dem Online-Banking auf. Wenn ein Kunde im Internet einkauft, kann er den Zahlungsauftrag über Zahlungsauslösedienste initiieren. Diese übermitteln dem Händler den Zahlungsauftrag, ohne selbst das Geld des Kunden in Besitz zu nehmen. Über Kontoinformationsdienste erhalten Nutzer zusammenfassende Informationen über ihre Zahlungskonten.
Das digitalisierte Zahlungsgeschäft wird kein eigennormierter Zahlungsdienst mehr sein. Der Tatbestand wird allerdings nicht ersatzlos wegfallen, sondern in alten und neuen Zahlungsdienstetatbeständen aufgehen.
Die Konkretisierung der Ausnahmen betrifft insbesondere Zahlungsinstrumente mit begrenzter Einsatzmöglichkeit und bestimmte Zahlungsvorgänge durch Anbieter elektronischer Kommunikationsnetze oder -dienste, die bestimmte Schwellenwerte nicht überschreiten. Die Dienstleister, die unter diese Ausnahmen fallen, benötigen zwar keine Erlaubnis, müssen der BaFin jedoch ihre Geschäfte melden.
Erlaubnisverfahren
Die Richtlinie regelt auch das Erlaubnisverfahren für Zahlungsinstitute. Es entspricht dem bisherigen Verfahren, allerdings gibt es einige Ergänzungen.
Wie bisher müssen die Zahlungsinstitute einen Zulassungsantrag bei der Aufsichtsbehörde einreichen und ihr Geschäftsmodell darstellen sowie einen tragfähigen Geschäftsplan beifügen. Künftig sind die Unternehmen verpflichtet, auch ihre Sicherheitsstrategie darzulegen. Darunter fallen Angaben, wie sie mit Sicherheitsvorfällen und sicherheitsbezogenen Kundenbeschwerden umgehen, wie sie sensible Zahlungsdaten handhaben und wie sie die Geschäftsfortführung im Krisenfall sicherstellen wollen und bestimmte statistische Daten erheben.
Neu ist außerdem das Registrierungsverfahren für Kontoinformationsdienste.
Zahlungsauslöse- und Kontoinformationsdienste
Die neue Richtlinie trifft auch besondere Regelungen für Zahlungsauslöse- und Kontoinformationsdienste. Für Kreditinstitute ist es künftig verpflichtend, den neuen Dienstleistern Zugang zu den bei ihnen im Online-Banking geführten Zahlungskonten zu gewähren. Dabei müssen diese Dienstleister, je nach Gestaltung ihres Geschäftsmodells, besondere Vorschriften über den Zugang zum Zahlungskonto und Kontoinformationen sowie deren Nutzung beachten. Beim Zugriff auf das Zahlungskonto ist eine eindeutige Identifizierung gegenüber dem kontoführenden Institut notwendig.
Zahlungsauslöse- und Kontoinformationsdienste müssen sicherstellen, dass die personalisierten Sicherheitsmerkmale niemand anderem als dem Nutzer und Emittenten zugänglich sind. Die Übermittlung muss über sichere und effiziente Kanäle erfolgen.
Darüber hinaus haben Zahlungsauslöse- und Kontoinformationsdienstleister eine Berufshaftpflichtversicherung abzuschließen.
Starke Kundenauthentifizierung
Die Novelle enthält für Zahlungsdienstleister besondere Sicherheitsanforderungen an die Zahlungsausführung, die den Kunden besser vor Betrug und Missbrauch schützen sollen. Zahlungsdienstleister müssen künftig in bestimmten Fällen, etwa wenn ein elektronischer Zahlungsvorgang ausgelöst wird, eine starke Kundenauthentifizierung vom Zahler verlangen. Diese erfordert mindestens zwei Elemente der Kategorien „Wissen“ (z.B. Passwort), „Besitz“ (z.B. Zahlungskarte) und „Inhärenz“ (z.B. Fingerabdruck), wobei diese Elemente unabhängig voneinander sein müssen. Das heißt: Wird ein Kriterium nicht erfüllt, darf die Zuverlässigkeit der anderen nicht beeinträchtigt werden. Bei Internet-Zahlungen muss der Authentifizierungsprozess zudem Elemente umfassen, die den Zahlungsvorgang dynamisch mit einem bestimmten Betrag und einem bestimmten Zahlungsempfänger verknüpfen.
Die Europäische Bankenaufsichtsbehörde EBA (European Banking Authority) hat am 23. Februar 2017 einen Entwurf für Technische Regulierungsstandards veröffentlicht, die Einzelheiten der sicheren Kommunikation und die Pflicht sowie Ausnahmen zur starken Kundenauthentifizierung regeln werden.
Haftungsverteilung
Für nicht autorisierte Zahlungsvorgänge sieht die Novelle differenzierte Regelungen zu Anzeige, Nachweis und Haftung vor. Als nicht autorisiert gelten Zahlungsvorgänge, die mit verlorenen, gestohlenen oder anderweitig missbräuchlich verwendeten Zahlungsinstrumenten ausgelöst werden. Die Selbstbeteiligung des Zahlers soll künftig bei einfacher Fahrlässigkeit nur noch maximal 50 Euro betragen.
Stärkung der Rechte des Zahlers
Auch sonst stärkt die Richtlinie die privatrechtliche Stellung des Zahlers. Die in Deutschland übliche Möglichkeit, bei Lastschriften auf dem Konto innerhalb von acht Wochen ohne Angabe von Gründen eine Erstattung verlangen zu können, war bisher nur vertraglich zwischen Bank und Kunde vereinbart; für SEPA-Lastschriften in Euro wird dieses Erstattungsrecht nun auch gesetzlich festgeschrieben.
Häufigen verlangen Unternehmen bei Einsatz bestimmter Zahlungsmittel – insbesondere der Nutzung von Kreditkarten – ein nicht unbeträchtliches Entgelt. Die Richtlinie verbietet solche Entgelte für Zahlungen mittels SEPA-Überweisung, SEPA-Lastschrift sowie für die meisten Kartenzahlungen. Ausgenommen vom Verbot sind nur Firmenkarten sowie Karten, die im Rahmen eines so genannten Drei-Parteien-Verfahrens ausgegeben wurden; die in Deutschland gängigsten Debit- und Kreditkarten werden aber im Vier-Parteien-Verfahren ausgegeben.
Kundeninformation
Die Richtlinie wird auf Basis neuer Informationspflichten transparentere Vertragsbedingungen schaffen. Bargeldabhebungsdienste werden den Kunden über jede Gebühr, die eine Geldabhebung nach sich zieht, vor Ort informieren.
Die Europäische Kommission will bis Januar 2018 ein elektronisches Merkblatt mit einer klaren und leicht verständlichen Darstellung der Verbraucherrechte bei Zahlungsdiensten erstellen. Die EBA wird ein europaweites elektronisches Register über Zahlungsinstitute und Zahlungsdiensteagenten einrichten, in das die nationalen Register eingehen.
Fußnoten:
- 1 RL 2015/2366/EU, ABl. EU L 337/35.
- 2 RL 2007/64/EG, ABl. EG L 319/1.
- 3 Vgl. Fintechs.
