Eine Korrekturmeldung im eigentlichen Sinne gibt es nicht. Bei Korrekturbedarf ist eine erneute Meldung unter Verwendung der Incident-ID der Erstmeldung abzugeben. Diese korrigierte Meldung sollte unverzüglich erfolgen. Sollte der Vorfall bereits abgeschlossen sein, ist auch eine erneute Abschlussmeldung abzugeben, sodass diese die letzte Meldung darstellt.

Ist die genaue Anzahl betroffener Zahlungsvorgänge bzw. deren Wert nicht bekannt, so sind gemäß Ziffer 2.15 des Rundschreibens 03/2022 (BA) Schätzwerte anzugeben. Hierfür können historische Werte extrapoliert oder alternativ eine begründete Schätzung basierend auf sonstigen Kenntnissen und Erfahrungen angegeben werden. Anmerkungen zu den Schätzungen sind im Kommentarfeld anzugeben. Im Falle von Schätzungen ist spätestens mit der Abschlussmeldung gemäß Ziffer 2.20 eine erneute, abschließende Zwischenmeldung mit möglichst genauen Daten abzugeben.

Im Falle eines Ausfalls, z.B. des Onlinebankings, können die betroffenen Zahlungsvorgänge nicht mit Null angegeben werden, verbunden mit dem Hinweis, die Kunden hätten diese später nachgeholt. Stattdessen sind – wie oben dargestellt – die Anzahl der betroffenen Zahlungsvorgänge und ihr Wert zu beziffern.

Konnten Zahlungsvorgänge kundenseitig über einen anderen Kanal beauftragt/durchgeführt werden, ist diese Information mitzuteilen, da es sich i.d.R. um einen (wirksamen) Workaround handeln dürfte. Der Workaround befreit nicht von der Verpflichtung zur Meldungsabgabe. Zahlungsvorgänge und Zahlungsdienstnutzer gelten weiterhin als betroffen, sofern diese beeinträchtigt sind. Eine Beeinträchtigung liegt vor, sobald der Zahlungsdienst nicht auf dem gewohnten Weg genutzt werden kann (z.B. Nutzung einer alternativen Banking Software anstelle der regulären Software). Im Rahmen eines für den Kunden spürbaren Workarounds beauftragte/verarbeitete Zahlungsvorgänge sind in die Angaben zu betroffenen Zahlungsvorgängen einzubeziehen und nicht abzuziehen.

Die Quoten sind anhand der Summe aller Überweisungen zu berechnen. Maßgeblich für die Definition des hier betroffenen Zahlungsdienstes (Überweisungsgeschäft) ist §1, Abs. 1 Satz 2 Nr. 3c) ZAG.

Ist die genaue Anzahl betroffener Zahlungsdienstnutzer nicht bekannt, so sind gemäß Ziffer 2.15 des Rundschreibens 03/2022 (BA) Schätzwerte anzugeben. Hierfür können historische Werte extrapoliert oder alternativ begründete Schätzungen basierend auf sonstigen Kenntnissen und Erfahrungen angegeben werden. Anmerkungen zu Schätzungen sind im Kommentarfeld mitzuteilen. Im Falle von Schätzungen ist spätestens mit der Abschlussmeldung gemäß Ziffer 2.20 eine erneute, abschließende Zwischenmeldung mit möglichst genauen Daten abzugeben.

Eine Versicherungsleistung kann die anzugebenden Kosten bei einer Vorfallsmeldung nicht mindern. Bei der Angabe der monetären Kosten sind daher stets die gesamten durch den Vorfall verursachten Kosten anzugeben. Etwaige Erstattungen von Dritten sind außer Acht zu lassen.

Ist bekannt, dass andere Zahlungsdienstleister ebenfalls durch den Vorfall betroffen sind oder wahrscheinlich betroffen sein werden, ist diese Frage mit "Ja" zu beantworten.

Ebenso ist die Frage mit "Ja" zu beantworten, falls der Vorfall (wahrscheinlich) Auswirkungen auf die Finanzmarktinfrastruktur hat bzw. insgesamt Auswirkungen auf die stabile Funktion des Finanzsystems hat oder haben könnte.

Die Betroffenheit anderer Zahlungsdienstleister kann durch ganz unterschiedliche Ursachen gegeben sein. So ist in Erwägung zu ziehen, ob betroffene Hard- oder Software (ggfs. auch gleichen Typs, z.B. Kartenterminals) in der Branche verbreitet ist und daher wahrscheinlich auch von anderen Zahlungsdienstleistern genutzt wird oder ob es sich bei einem betroffenen Netzwerk um ein auch extern verfügbares Netzwerk handelt. Falls sich der Vorfall bei einem Drittdienstleister ereignet, so könnten auch andere Institute betroffen sein. Sind beispielsweise die Zahlungsdienste eines Instituts aufgrund des Ausfalls eines Dienstleisters eingeschränkt und bekannt, dass der Dienstleister auch andere Zahlungsdienstleister versorgt, so können diese auch betroffen sein, womit die Betroffenheit anderer Zahlungsdienstleister gegeben sein könnte.

Kann ein Zahlungsdienstleister seinen Verpflichtungen innerhalb der Finanzmarktinfrastruktur nicht mehr oder nur noch eingeschränkt nachkommen, so sind andere Institute ebenfalls betroffen, womit die Betroffenheit anderer Zahlungsdienstleister oder maßgeblicher Infrastrukturen gegeben ist.

Die Meldeschwelle der hohen Auswirkungsstufe bezüglich des Kriteriums "Wirtschaftliche Auswirkungen" wird in folgenden Fällen erreicht:

• Bis zu einem Kernkapital von 200 Mio. EUR bei wirtschaftlichen Auswirkungen i.H.v. mindestens 200 TEUR.

• Bei einem Kernkapital zwischen 200 Mio. EUR und 5 Mrd. EUR bei wirtschaftlichen Auswirkungen ab einer Höhe von 0,1% des Kernkapitals.

• Bei einem Kernkapital > 5 Mrd. EUR bei wirtschaftlichen Auswirkungen i.H.v. mindestens 5 Mio. EUR

Unabhängig von der Höhe des Kernkapitals wird die Meldeschwelle für dieses Kriterium bei wirtschaftlichen Auswirkungen unter 200 TEUR niemals und bei wirtschaftlichen Auswirkungen über 5 Mio. EUR in jedem Fall erreicht.

Eine generelle Ausnahme für Wochenenden bietet das Rundschreiben 03/2022 (BA) nicht. Die Formulierung in Ziffer 2.8 dieses Rundschreibens, wonach die Arbeitsabläufe des Zahlungsdienstleisters so zu gestalten sind, dass eine Erkennung und Klassifizierung von Betriebs- oder Sicherheitsvorfällen mindestens während der üblichen Geschäftszeiten erfolgen kann, stellt eine Mindestanforderung dar.

In Bezug auf die Fristen zur Klassifizierung ist die vorrangig geltende Frist in Ziffer 2.9 Satz 1 des Rundschreibens formuliert. Demnach ist ein Betriebs- oder Sicherheitsvorfall zügig zu klassifizieren, jedenfalls nicht später als 24 Stunden nach seiner Erkennung und unverzüglich, nachdem die für die Klassifizierung des Vorfalls erforderlichen Informationen vorliegen. Eine Erstmeldung ist gemäß Ziffer 2.8. des Rundschreibens spätestes vier Stunden nach der erstmaligen Klassifizierung des Vorfalls an die BaFin zu übermitteln. Diese genannten Fristen gelten ohne Einschränkung und somit auch an Wochenenden und Feiertagen. Je nach Erkennungszeitpunkt des Zahlungssicherheitsvorfalls kann ein Zahlungsdienstleister somit verpflichtet sein, eine Erstmeldung auch an einem Wochenende bzw. außerhalb der üblichen Geschäftszeiten abzugeben.

(Gemäß Ziffer 2.12 des Rundschreiben 03/2022 (BA) muss immer eine Zwischenmeldung erfolgen, wenn die regulären Tätigkeiten wiederaufgenommen wurden und der Regelbetrieb wiederhergestellt worden ist.

Falls innerhalb von drei Geschäftstagen nach Übermittlung der Erstmeldung an die BaFin die durch den Vorfall beeinflussten regulären Tätigkeiten nicht wiederhergestellt werden konnten, ist der BaFin gemäß Ziffer 2.13 innerhalb dieser drei Tage, spätestens aber am dritten Tag nach Einreichen der Erstmeldung eine Zwischenmeldung zu übermitteln.

Ist der Regelbetrieb nach drei Tagen noch nicht wiederhergestellt, muss gemäß Ziffer 2.13 spätestens drei Tage nach der Erstmeldung eine erste Zwischenmeldung abgegeben werden. Eine erneute Zwischenmeldung gemäß Ziffer 2.14 muss jedoch nur nach wesentlichen Änderungen des Vorfalls sowie bei Wiederaufnahme der regulären Tätigkeiten gemäß Ziffer 2.12 erfolgen. Eine regelmäßige Zwischenmeldung alle drei Tage wird somit nicht mehr verlangt.

Kommt es zu wesentlichen Änderungen des Vorfalls verglichen mit den Angaben in der vorangegangenen Erst– oder Zwischenmeldung (bspw. Verschlimmerung oder Abschwächung, neue Maßnahmen zur Eindämmung des Problems) muss die BaFin gemäß Ziffer 2.14 unverzüglich über diese Änderungen in Form einer ersten Zwischenmeldung (falls die Änderung innerhalb der ersten drei Tage liegt und noch keine Zwischenmeldung erfolgt ist) oder in Form einer weiteren Zwischenmeldung informiert werden.

Beispiel:
Das nachfolgende Beispiel dient der Veranschaulichung der Vorgaben aus dem Rundschreiben 03/2022 (BA). Es dient als Orientierung für die Zeitpunkte, zu denen eine Zwischenmeldung einzureichen ist.

Annahme:
Ein Institut stellt einen Vorfall fest, klassifiziert diesen und meldet ihn der BaFin. Es gelingt ihm jedoch nicht, den Regelbetrieb innerhalb der ersten drei Tage nach der Erstmeldung wiederherzustellen, sondern erst nach zehn Tagen. Acht Tage nach der Erstmeldung werden wesentliche Änderungen des Vorfalls festgestellt (siehe auch Beispielgrafik).

Abb. 1

Falls der Regelbetrieb am Tag der Erstmeldung wiederhergestellt werden kann, muss die BaFin gemäß Ziffer 2.12 hierüber umgehend durch das Einreichen einer Zwischenmeldung informiert werden. Falls zu diesem Zeitpunkt keine genauen Daten über die Auswirkungen des Vorfalls vorliegen, bspw. zu der Anzahl betroffener Zahlungen, etc., sind Schätzungen anzugeben. Genaue Angaben sollten in diesem Fall gemäß Ziffer 2.20 spätestens in Form einer aktualisierten Zwischenmeldung mit der Abschlussmeldung eingereicht werden.