BaFin

Thema Risikomanagement Anschreiben zum Rundschreiben 08/2018 zur Meldung schwerwiegender Zahlungssicherheitsvorfälle

Geschäftszeichen GIT 1-FR 1529-2017/0022Datum: 07.06.2018

An die Verbände der Zahlungsdienstleister

Sehr geehrte Damen und Herren,

Anbei übersende ich Ihnen das Rundschreiben über die Meldung schwerwiegender Zahlungssicherheitsvorfälle 08/2018 (BA). Das Rundschreiben setzt die Anforderungen der EBA-Leitlinien für die Meldung schwerwiegender Vorfälle gemäß der Richtlinie (EU) 2015/2366 (PSD 2) um und konkretisiert damit die Anforderungen des § 54 Absatz 1 Satz 1 Zahlungsdiensteaufsichtsgesetz (ZAG).

Das Rundschreiben enthält konkrete Vorgaben zum Meldeprozess und zu den Kriterien, die für die Klassifizierung von Vorfällen als schwerwiegende Zahlungssicherheitsvorfälle berücksichtigt werden sollen. Das Rundschreiben beabsichtigt eine inhaltliche Eins-zu-eins Umsetzung der erwähnten EBA-Leitlinien.

Die Vorgaben dieses Rundschreibens ersetzen die Meldepflicht nach Nr. 3.2 des Rundschreibens 4/2015 (BA) - Mindestanforderungen an die Sicherheit von Internetzahlungen (MaSI); in allen anderen Punkten ist das Rundschreiben 4/2015 (BA) jedoch vorerst weiterhin anzuwenden (vgl. auch § 68 Absatz 4 ZAG).

Meldungen über Zahlungssicherheitsvorfälle sind über die Melde- und Veröffentlichungsplattform (MVP-Portal) der BaFin zu übermitteln. Technische Details zum Meldeprozess wurden Ihnen erstmalig bereits im September 2017 übermittelt. Des Weiteren verweise ich auf die technischen Hinweise zur Abgabe von Meldungen über das MVP-Portal, die unter folgender URL zu finden sind: https://www.bafin.de/DE/DieBaFin/Service/MVPportal/PSD2/psd2_artikel.html

Eine gesonderte Meldung an die Bundesbank ist von Ihrer Seite nicht mehr erforderlich. Die entsprechenden Stellen bei der Bundesbank werden von der BaFin über den Eingang von und den Inhalt der Meldungen informiert.

Um etwaigen Rückfragen vorzugreifen, möchte ich Ihnen im Folgenden noch einige Handlungsempfehlungen mitteilen:

Bei der Klassifizierung eines Vorfalls empfehle ich eine enge Orientierung an den vorgegebenen Kriterien und Schwellenwerten in diesem Rundschreiben. Falls genaue Werte zur Anzahl an betroffenen Zahlungsdienstnutzern, betroffenen Transaktionen und dem betroffenen Transaktionsvolumen nicht oder nur mit unverhältnismäßig hohem Aufwand ermittelt werden können, greifen Sie bei der Ermittlung der jeweiligen Fallzahlen und Referenzwerte bei Bedarf auf plausible eigene Schätzungen zurück. Berücksichtigen Sie dabei Erfahrungswerte. Werden die Schwellenwerte offensichtlich nicht erreicht, ist keine Meldung erforderlich. Dies bedeutet zum Beispiel, dass ein Ausfall eines einzelnen Geldautomaten grundsätzlich nicht meldepflichtig ist, sofern bei diesem Vorfall die vorgegebenen Kriterien und Schwellenwerte nicht erfüllt werden.

Ich empfehle die Verwendung des XML-Formats um Meldungen über das MVP-Portal oder die bereitgestellte SOAP Web-Service Schnittstelle zu übermitteln. Als alternative Möglichkeit steht Ihnen ein Web-Formular im MVP-Portal zur Verfügung. Die in der Anlage beigefügten Meldeformulare dienen nur zur Ansicht.

Anzeigen an die Bundesanstalt nach den Nummern 2.11, 2.14, 2.18, 3.1(c) und 3.4 des hiesigen Rundschreibens können Sie an die zentrale E-Mail-Adresse Zahlungssicherheitsvorfall-meldung@bafin.de oder alternativ die Fax-Nummer 0228 4108-1550 richten. Sofern vorhanden, geben Sie dabei immer die Meldungs-ID an, die Sie bei Einreichung der Erstmeldung erhalten haben.

Die oben genannte Mailadresse dient auch der direkten Kontaktaufnahme mit der Bundesanstalt bei allgemeinen Anfragen zum Meldeprozess und der Übermittlung etwaiger zusätzlicher Informationen. Beachten Sie bei Bedarf in diesem Zusammenhang auch die Hinweise zur sicheren Kommunikation.

Sollte das MVP-Portal ausnahmsweise einmal nicht zur Verfügung stehen, bitte ich Sie, eine kurze Beschreibung des zu meldenden Vorfalls formlos innerhalb der vorgesehenen Fristen mit dem Betreff „Sicherheitsvorfallmeldung für GIT 1“ an die E-Mail-Adresse Zahlungssicherheitsvorfall-Meldung@bafin.de oder alternativ an die Fax-Nummer 0228 4108-1550 zu senden. Diese alternativen Kommunikationswege stehen ausschließlich für den Fall der technischen Nichtverfügbarkeit des MVP-Portals zur Verfügung. Sobald dieses wieder zur Verfügung steht, bitte ich Sie, die vollständige Meldung über das MVP-Portal nachzureichen.

Das Rundschreiben tritt mit Veröffentlichung in Kraft.

Mit freundlichen Grüßen

Zusatzinformationen

Fanden Sie den Beitrag hilfreich?

Wir freuen uns über Ihr Feedback