Erscheinung:07.06.2018 | Geschäftszeichen GIT 1-FR 1529-2017/0022 | Thema Risikomanagement Rundschreiben 08/2018 (BA) zur Meldung schwerwiegender Zahlungssicherheitsvorfälle
An alle CRR-Kreditinstitute, Zahlungsinstitute und E-Geld-Institute mit Sitz im Inland
Wichtige Hinweise:Rundschreiben aufgehoben
Das Rundschreiben 8/2018 (BA) zur Meldung schwerwiegender Zahlungssicherheitsvorfälle wurde durch das Rundschreiben 03/2022 (BA) zur Meldung schwerwiegender Zahlungssicherheitsvorfälle gemäß § 54 Abs. 1 ZAG aufgehoben.
Vorbemerkung
Gemäß § 54 Absatz 1 Satz 1 Zahlungsdiensteaufsichtsgesetz (ZAG) hat ein Zahlungsdienstleister die BaFin unverzüglich über einen schwerwiegenden Betriebs- oder Sicherheitsvorfall zu unterrichten. Dieses Rundschreiben enthält Kriterien darüber, wann ein Betriebs- oder Sicherheitsvorfall schwerwiegend und damit meldepflichtig ist, und enthält Regelungen über Format und Verfahren der Meldungen.
Sie beziehen sich auf alle Vorfälle, die unter die Definition von „schwerwiegenden Betriebs- oder Sicherheitsvorfällen“ fallen, in die sowohl externe als auch interne Ereignisse, in böswilliger Absicht oder versehentlich verursacht, eingeschlossen sind.
Anwendungsbereich
Das Rundschreiben gilt für alle Zahlungsinstitute und E-Geld-Institute, sowie für alle CRR-Kreditinstitute und die Kreditanstalt für Wiederaufbau, soweit diese Zahlungsdienste im Sinne des § 1 Absatz 1 Satz 2 ZAG erbringen. Räumlich gilt es nur für Unternehmen mit Sitz im Inland sowie für Institute im Sinne des § 53 Kreditwesengesetz (KWG) sowie im Sinne des § 42 ZAG.
Die Regelungen dieses Rundschreibens ersetzen die im Rundschreiben 04/2015 (BA) „Mindestanforderungen an die Sicherheit von Internetzahlungen“ (MaSI) unter Nummer 3.2 genannten Meldepflichten für Zahlungssicherheitsvorfälle.
Begriffsbestimmungen
Sofern nicht anders angegeben, gelten die Begriffsbestimmungen des ZAG auch für dieses Rundschreiben. Für die Zwecke dieses Rundschreibens gelten darüber hinaus die folgenden Begriffsbestimmungen:
Betriebs- oder Sicherheitsvorfall
Ein einzelnes Ereignis, oder eine Reihe zusammenhängender Ereignisse, das vom Zahlungsdienstleister nicht beabsichtigt wurde und das sich negativ auf die Integrität, die Verfügbarkeit, die Vertraulichkeit, die Authentizität und/oder die Kontinuität von zalungsbezogenen Diensten auswirkt oder aller Wahrscheinlichkeit nach eine solche negative Auswirkung haben wird.
Integrität
Die Eigenschaft, die Korrektheit und Vollständigkeit von Vermögenswerten (einschließlich Daten) zu schützen.
Verfügbarkeit
Die Eigenschaft, dass zahlungsbezogene Dienste für die Zahlungsdienstnutzer zugänglich sind und von diesen verwendet werden können.
Vertraulichkeit
Die Eigenschaft, dass Informationen unbefugten Personen, Stellen oder Prozessen nicht zugänglich gemacht oder diesen nicht offengelegt werden.
Authentizität
Die Eigenschaft einer Informationsquelle, dass diese tatsächlich das ist, was sie zu sein vorgibt.
Kontinuität
Die Eigenschaft, dass die für die Erbringung der zahlungsbezogenen Dienste erforderlichen Prozesse, Aufgaben und Vermögenswerte einer Organisation in vollem Umfang zugänglich und auf einem annehmbaren vordefinierten Niveau funktionsfähig sind.
Zahlungsbezogene Dienste
Zahlungsdienst sowie alle unterstützenden Aufgaben, die für die korrekte Erbringung von Zahlungsdiensten notwendig sind.
- Klassifizierung als schwerwiegender Vorfall
1.1 Ein Betriebs- oder Sicherheitsvorfall ist schwerwiegend und damit meldepflichtig, wenn er auf Grundlage der in diesem Rundschreiben im Folgenden beschriebenen Kriterien und der in 1.3 dargelegten Schwellenwerte
– mindestens ein Kriterium der „hohen Auswirkungsstufe“ oder
– mindestens drei Kriterien der „niedrigen Auswirkungsstufe“ erfüllt.
1.2 Ein Betriebs- oder Sicherheitsvorfall ist anhand der folgenden grundsätzlichen Kriterien und den zugrunde liegenden Indikatoren zu bewerten:
Zu bestimmen ist der Gesamtwert der betroffenen Zahlungsvorgänge sowie die Anzahl der beeinträchtigten Zahlungen als Prozentsatz des üblichen Volumens der mit dem betroffenen Zahlungsdienst ausgeführten Zahlungsvorgänge.
Als generelle Regel sind als „betroffene Zahlungsvorgänge“ alle inländischen und grenzüberschreitenden Zahlungsvorgänge zu berücksichtigen, die unmittelbar oder mittelbar von dem Vorfall betroffen waren oder höchstwahrscheinlich betroffen sein werden. Insbesondere fallen darunter solche Vorgänge, die nicht ausgelöst oder verarbeitet werden konnten, solche, für die der Inhalt der Zahlungsnachricht geändert wurde, und solche, die in betrügerischer Absicht in Auftrag gegeben wurden (unabhängig davon, ob der Betrag wiedererlangt wurde).
Beim üblichen Volumen der Zahlungsvorgänge ist vom jährlichen Tagesdurchschnitt der mit denselben Zahlungsdiensten ausgeführten inländischen und grenzüberschreitenden Zahlungsvorgängen auszugehen, die von dem Vorfall betroffen waren. Für die Berechnungen ist das Vorjahr als Bezugszeitraum heranzuziehen. Wenn dieser Wert als nicht repräsentativ erachtet wird (zum Beispiel aufgrund der Saisonalität), kann stattdessen eine andere repräsentative Messzahl verwendet werden. Das dieser Messzahl zugrunde liegende Prinzip kann der zuständigen Behörde im betreffenden Feld des elektronischen Formulars mitgeteilt werden.
Zu bestimmen ist die Anzahl der betroffenen Zahlungsdienstnutzer, als absolute Zahl sowie als Prozentsatz der Gesamtzahl der Zahlungsdienstnutzer.
Als „betroffene Zahlungsdienstnutzer“ sind alle Kunden (inländische oder ausländische, Verbraucher oder Unternehmen) zu betrachten, die einen Vertrag mit dem betroffenen Zahlungsdienstleister, der ihnen Zugang zu dem betroffenen Zahlungsdienst gewährt, geschlossen haben und die von den Folgen des Vorfalls beeinträchtigt waren oder höchstwahrscheinlich beeinträchtigt sein werden. Zur Bestimmung der Anzahl der Zahlungsdienstnutzer, die den Zahlungsdienst während der Dauer des Vorfalls eventuell genutzt haben beziehungsweise nutzen wollten, können Schätzungen erfolgen, die frühere Nutzungsaktivitäten berücksichtigen.
Im Falle einer Gruppenzugehörigkeit sind nur die eigenen Zahlungsdienstnutzer zu berücksichtigen. Falls ein Zahlungsdienstleister Anderen operationelle Dienste bereitstellt, sollte dieser Zahlungsdienstleister nur die eigenen Zahlungsdienstnutzer (sofern vorhanden) berücksichtigen. Die Zahlungsdienstleister, welche diese operationellen Dienste erhalten, haben den Vorfall in Bezug auf ihre eigenen Zahlungsdienstnutzer zu bewerten.
Des Weiteren ist als Gesamtzahl der Zahlungsdienstnutzer die aggregierte Anzahl der inländischen und grenzüberschreitenden Zahlungsdienstnutzer zu berücksichtigen, die zum Zeitpunkt des Vorfalls vertraglich an den Zahlungsdienstleister gebunden sind (oder alternativ die neueste verfügbare Anzahl) und die Zugang zu dem betroffenen Zahlungsdienst haben, unabhängig von deren Größe und davon, ob es sich um aktive oder passive Zahlungsdienstnutzer handelt.
iii. Dienstausfallzeit
Zu bestimmen ist die Zeitspanne, innerhalb der der Dienst dem Zahlungsdienstnutzer höchstwahrscheinlich nicht zur Verfügung steht, oder innerhalb der der Zahlungsauftrag im Sinne von § 675f Absatz 4 Satz 2 BGB vom Zahlungsdienstleister nicht ausgeführt werden kann.
Es ist der Zeitraum zu berücksichtigen, in dem eine Aufgabe, ein Prozess oder ein Kanal in Verbindung mit der Bereitstellung von Zahlungsdiensten nicht oder höchstwahrscheinlich nicht zur Verfügung steht und dadurch i) die Auslösung und/oder Ausführung eines Zahlungsdienstes und/oder ii) der Zugang zu einem Zahlungskonto verhindert werden. Die Dienstausfallzeit ist ab dem Zeitpunkt des Ausfalls zu ermitteln. Dabei ist sowohl die Zeitspanne zu berücksichtigen, innerhalb der der für die Ausführung von Zahlungsvorgängen erforderliche Geschäftsbetrieb unterhalten wird, als auch die Schließungs- und Wartungszeiten, sofern relevant und anwendbar. Falls der Beginn der Dienstausfallzeit nicht bestimmt werden kann, ist in diesem Ausnahmefall die Ausfallzeit ab dem Zeitpunkt zu zählen, zu dem der Ausfall erkannt wurde.
Zu bestimmen sind die mit dem Vorfall insgesamt verbundenen monetären Kosten. Dabei sind sowohl die absolute Höhe als auch gegebenenfalls die relative Bedeutung dieser Kosten im Verhältnis zur Größe des Zahlungsdienstleisters (das heißt zu seinem Kernkapital) zu berücksichtigen.
Es sind sowohl die Kosten zu berücksichtigen, die unmittelbar mit dem Vorfall in Verbindung gebracht werden können, als auch diejenigen, die mittelbar mit dem Vorfall in Zusammenhang stehen. Unter anderem sind veruntreute Gelder oder Vermögenswerte, Kosten für den Ersatz von Hard- oder Software, sonstige forensische oder Sanierungskosten, Gebühren aufgrund der Nichteinhaltung vertraglicher Verpflichtungen, Sanktionen, Auslandsverbindlichkeiten und entgangene Einnahmen zu berücksichtigen. Im Hinblick auf indirekte Kosten sind nur die bereits bekannten oder die aller Wahrscheinlichkeit nach entstehenden Kosten einzubeziehen.
Es ist zu bestimmen, ob der betreffende Vorfall den Führungskräften gemeldet wurde oder diesen höchstwahrscheinlich gemeldet wird.
Von einer hohen internen Eskalationsstufe ist auszugehen, wenn infolge der Auswirkung des Vorfalls auf zahlungsbezogene Dienste der Chief Information Officer (oder eine vergleichbare Position) außerhalb des regelmäßigen Meldeverfahrens sowie fortlaufend während der Dauer des Vorfalls über den Vorfall informiert wurde oder aller Wahrscheinlichkeit nach informiert wird. Des Weiteren ist bei der Auslösung oder voraussichtlichen Auslösung eines Krisenmodus von einer hohen internen Eskalationsstufe auszugehen.
vi. Andere Zahlungsdienstleister oder maßgebliche Infrastrukturen, die möglicherweise betroffen sind
Zu bestimmen sind die systemischen Auswirkungen, die der Vorfall höchstwahrscheinlich hat, das heißt inwieweit der Vorfall sich über den ursprünglich betroffenen Zahlungsdienstleister hinaus auf andere Zahlungsdienstleister, Finanzmarktinfrastrukturen und/oder Zahlungskartensysteme auswirken kann.
Es sind die Auswirkung des Vorfalls auf den Finanzmarkt zu bewerten, wobei darunter die Finanzmarktinfrastrukturen und/oder die Zahlungskartensysteme zu verstehen sind, auf die sich der betroffene Zahlungsdienstleister sowie andere Zahlungsdienstleister stützen. Insbesondere ist zu bestimmen, ob der Vorfall auch bei anderen Zahlungsdienstleistern aufgetreten ist oder wahrscheinlich auftreten wird, ob er sich auf das reibungslose Funktionieren der Finanzmarktinfrastrukturen ausgewirkt hat oder wahrscheinlich auswirken wird und ob er die stabile Funktion des Finanzsystems insgesamt beeinträchtigt hat oder wahrscheinlich beeinträchtigen wird. Dabei sind verschiedene Aspekte zu berücksichtigen, z. B. ob die betroffene Komponente oder Software urheberrechtlich geschützt oder allgemein verfügbar ist, ob es sich bei dem beeinträchtigten Netzwerk um ein internes oder externes Netzwerk handelt und ob der Zahlungsdienstleister die Erfüllung seiner Verpflichtungen innerhalb der Finanzmarktinfrastrukturen, denen er angehört, eingestellt hat oder wahrscheinlich einstellen wird.
Zu bestimmen ist, inwiefern der Vorfall das Vertrauen der Nutzer in den Zahlungsdienstleister oder allgemeiner in den zugrunde liegenden Dienst oder den Markt insgesamt erschüttern kann.
Zu berücksichtigen ist der Grad der Sichtbarkeit, den der Vorfall nach Kenntnislage auf dem Markt erlangt hat oder wahrscheinlich erlangen wird. Als ein guter Indikator sollte dabei insbesondere eingeschätzt werden, inwiefern der Vorfall voraussichtlich auch gesellschaftliche Schäden verursacht. Des Weiteren ist zu berücksichtigen, ob
i) der Vorfall einen sichtbaren Prozess betraf und daher in den Medien vermutlich Beachtung findet oder bereits gefunden hat (wobei nicht nur herkömmliche Medien wie Zeitungen, sondern auch Blogs, soziale Netzwerke usw. einzubeziehen sind),
ii) aufsichtsrechtliche Pflichten missachtet wurden oder vermutlich missachtet werden,
iii) gegen Sanktionen verstoßen wurde oder vermutlich verstoßen wird
iv) ein Vorfall der gleichen Art bereits zuvor aufgetreten ist.
1.3 Ein Vorfall ist zu bewerten, indem für jedes oben genannte Kriterium ermittelt wird, ob die in Tabelle 1 aufgeführten jeweiligen Schwellenwerte zum Betrachtungszeitpunkt bereits erreicht wurden oder aller Wahrscheinlichkeit nach im weiteren Verlauf des Vorfalls erreicht werden.
| Kriterien | Niedrige Auswirkungsstufe | Hohe Auswirkungsstufe |
|---|---|---|
| Betroffene Zahlungsvorgänge | > 10 % des üblichen Transaktionsvolumens des Zahlungsdienstleisters (in Bezug auf die Anzahl der Transaktionen) und > 100.000 EUR | > 25 % des üblichen Transaktionsvolumens des Zahlungsdienstleisters (in Bezug auf die Anzahl der Transaktionen) oder > 5 Mio. EUR |
| Betroffene Zahlungsdienstnutzer | > 5.000 und > 10 % der Zahlungsdienstnutzer des Zahlungsdienstleisters | > 50.000 oder > 25 % der Zahlungsdienstnutzer des Zahlungsdienstleisters |
| Dienstausfallzeit | > 2 Stunden | Nicht anwendbar |
| Wirtschaftliche Auswirkungen | Nicht anwendbar | > Max (0,1 % Kernkapital *; 200.000 EUR) oder > 5 Mio. EUR |
| Hohe interne Eskalationsstufe | Ja | Ja und voraussichtliche Auslösung eines Krisenmodus (oder eines ähnlichen Verfahrens) |
| Andere Zahlungsdienstleister oder maßgebliche Infrastrukturen, die möglicherweise betroffen sind | Ja | Nicht anwendbar |
| Reputationsschäden | Ja | Nicht anwendbar |
Tabelle 1 Schwellenwerte
* Kernkapital nach Artikel 25 der Verordnung (EU) Nr. 575/2013 des Europäischen Parlaments und des Rates vom 26. Juni 2013 über Aufsichtsanforderungen an Kreditinstitute und Wertpapierfirmen und zur Änderung der Verordnung (EU) Nr. 646/2012
1.4 Falls keine konkreten Daten vorliegen, um genauer beurteilen zu können, ob ein bestimmter Schwellenwert erreicht ist oder aller Wahrscheinlichkeit nach erreicht wird (dies kann beispielsweise während der anfänglichen Untersuchungsphase der Fall sein), so ist auf Schätzungen zurückzugreifen.
1.5 Eine Bewertung des Vorfalls ist während der Dauer des Vorfalls kontinuierlich durchzuführen, um eine mögliche Zustandsänderung – (von nicht schwerwiegend in schwerwiegend oder von schwerwiegend in nicht schwerwiegend) – zu ermitteln.
2. Meldeverfahren
2.1 Alle relevanten Informationen sind zu sammeln und eine Vorfallsmeldung unter Verwendung der von der Bundesanstalt bereitgestellten Meldewege (Melde- und Veröffentlichungsplattform – MVP-Portal) und elektronischen Formulare zu übermitteln.
Falls das MVP-Portal zu dem betreffenden Zeitpunkt nicht verfügbar oder funktionsbereit ist, sollte über die von der Bundesanstalt bekannt gemachten alternativen Kommunikationskanäle eine formlose Information über das Auftreten eines Betriebs- oder Sicherheitsvorfalls erfolgen. Die vollständige Vorfallsmeldung (Erst-, Zwischen- oder Abschlussmeldung) sollte nachgereicht werden, sobald der reguläre Meldekanal wieder verfügbar oder funktionsbereit ist.
2.2 Während der Dauer des Vorfalls ist die Bundesanstalt unter Angabe der bei der Erstmeldung erhaltenen Meldungs-ID zu unterrichten (das heißt bei Erst-, Zwischen- und Abschlussmeldungen, wie in 2.7 bis 2.21 beschrieben). Alle abgefragten Informationen sind nach bestem Bemühen bereitzustellen. Sobald mehr Informationen im Laufe der internen Untersuchungen zutage treten, können Zwischenmeldungen abgegeben werden, um die bis dahin eingereichten Informationen zu ergänzen (siehe 2.11).
2.3 Auf Anfrage der Bundesanstalt ist ggf. eine Kopie der Informationen vorzulegen, die den Zahlungsdienstnutzern gemäß § 54 Absatz 4 ZAG bereitgestellt wurden oder bereitgestellt werden (sofern diese Informationen verfügbar sind).
2.4 Der Bundesanstalt sind alle zusätzlichen und verfügbaren Informationen über die zur Verfügung gestellten Meldewege zukommen zu lassen, die als maßgeblich für die Aufklärung des Sachverhalts erachtet werden. Hierfür steht im elektronischen Formular die Möglichkeit von Dateianhängen im Abschnitt „Ursachenanalyse“ zur Verfügung.
2.5 Auf Nachfrage der Bundesanstalt sind zusätzliche Informationen oder Klarstellungen in Bezug auf die bereits übermittelten Unterlagen zu liefern.
2.6 Die Vertraulichkeit und Integrität der mit der Bundesanstalt ausgetauschten Informationen ist jederzeit zu wahren; auf eine ordnungsgemäße Authentifizierung ist zu achten.
Erstmeldung
2.7 Der Bundesanstalt ist eine Erstmeldung zu übermitteln, wenn ein schwerwiegender Betriebs- oder Sicherheitsvorfall erstmalig erkannt wird.
2.8 Die Erstmeldung ist innerhalb von vier Stunden ab der erstmaligen Erkennung des schwerwiegenden Betriebs- oder Sicherheitsvorfalls über die von der Bundesanstalt zur Verfügung gestellten Meldewege zu übermitteln. Eine Erkennung liegt vor, wenn ein Vorfall als schwer-wiegender Vorfall nach den in 1.1 – 1.3 dargelegten Kriterien und Schwellenwerten klassifiziert worden ist. Die Arbeitsabläufe des Zahlungsdienstleisters sind so zu gestalten, dass mindestens während der üblichen Geschäftszeiten des Zahlungsdienstleisters eine zuverlässige Erkennung erfolgen kann.
2.9 Der Bundesanstalt ist ebenfalls eine Erstmeldung zu übermitteln, sobald ein zunächst nicht als schwerwiegend betrachteter Vorfall zu einem schwerwiegenden Vorfall wird. In diesem speziellen Fall ist der Bundesanstalt die Erstmeldung unmittelbar nach Erkennung der Statusänderung zu übermitteln.
2.10 In die Erstmeldung sind Übersichtsinformationen aufzunehmen, um so einige grundlegende Merkmale des Vorfalls sowie seine voraussichtlichen Folgen anhand der Informationen anzugeben, die unmittelbar nach Erkennung oder Neuklassifizierung des Vorfalls verfügbar waren. Liegen keine konkreten Daten vor, ist auf Schätzungen zurückzugreifen. In der Erstmeldung ist zudem das Datum der nächsten Aktualisierung anzugeben, die so schnell wie möglich und nicht später als drei Geschäftstage nach der letzten Meldung zu erfolgen hat.
Zwischenmeldung
2.11 Zwischenmeldungen sind zu übermitteln, wenn sich der Status des Vorfalls wesentlich geändert hat. Zwischenmeldungen sind mindestens zu dem in der vorherigen Meldung (Erstmeldung oder vorherige Zwischenmeldung) angegebenen Datum für die nächste Aktualisierung zu übermitteln. Liegen bis zu diesem Zeitpunkt keine wesentlichen neuen Informationen vor, so ist die Bundesanstalt mindestens darüber zu informieren, wann die nächste Aktualisierung erfolgen kann (siehe auch 2.14).
2.12 Der Bundesanstalt ist eine Zwischenmeldung mit einer ausführlicheren Beschreibung des Vorfalls und seiner Folgen zu übermitteln. Darüber hinaus sollten, sofern neue wesentliche Informationen vorliegen, gegebenenfalls zusätzliche Zwischenmeldungen erstellt werden, um die bereits übermittelten Informationen zu aktualisieren, (zum Beispiel wenn sich die Kritikalität des Vorfalls wesentlich erhöht oder aber abgeschwächt hat, wenn neue Ursachen ermittelt wurden oder neue wesentliche Maßnahmen zur Behebung des Problems ergriffen wurden). In jedem Fall hat eine Zwischenmeldung auf Ersuchen der Bundesanstalt zu erfolgen.
2.13 Wie im Fall von Erstmeldungen ist auf Schätzungen zurückzugreifen, wenn keine konkreten Daten verfügbar sind.
2.14 In jeder Meldung ist das Datum der nächsten geplanten Aktualisierung anzugeben, die so schnell wie möglich (bei Vorliegen wesentlicher neuer Informationen) und in keinem Fall später als drei Geschäftstage zu erfolgen hat. Kann ein Zahlungsdienstleister das für die nächste Aktualisierung veranschlagte Datum nicht einhalten, hat er die Bundesanstalt zu kontaktieren, um die Gründe für die Verzögerung zu erläutern und eine neue plausible Frist für die Meldung (nicht später als drei Geschäftstage) vorzuschlagen. Die Meldung kann über eine neue Zwischenmeldung erfolgen, in der nur die Information auf den neuesten Stand gebracht wird, die sich auf das veranschlagte Datum der nächsten Aktualisierung bezieht, oder formlos über die bekannt gemachten Kommunikationskanäle.
2.15 Wenn der Regelbetrieb wiederhergestellt wurde ist eine „letzte Zwischenmeldung“ zu übermitteln, in der die Bundesanstalt über diesen Sachverhalt unterrichtet wird. Der Regelbetrieb sollte als wiederhergestellt betrachtet werden, wenn die Aktivitäten/die Vorgänge wieder dasselbe Leistungsniveau/dieselben Bedingungen in Bezug auf Verarbeitungszeiten, Kapazität, Sicherheitsanforderungen usw. erreichen, die vom Zahlungsdienstleister festgelegt oder extern durch eine Dienstgütevereinbarung (Service Level Agreement) fest-geschrieben wurden, und keine Notfallmaßnahmen mehr aktiv sind.
2.16 Sollte sich der Geschäftsbetrieb vor Ablauf von vier Stunden seit der Erkennung des Vorfalls wieder normalisiert haben, sollte möglichst eine kombinierte Erst- und Zwischenmeldung innerhalb der Frist von vier Stunden übermittelt werden.
Abschlussmeldung
2.17 Nachdem die Ursachenanalyse durchgeführt wurde (unabhängig davon, ob Maßnahmen zur Begrenzung der Auswirkungen bereits umgesetzt wurden oder die endgültige Ursache ermittelt wurde) und konkrete Zahlen zur Ersetzung der Schätzungen vorliegen, ist eine Abschlussmeldung zu übermitteln.
2.18 Die Abschlussmeldung ist der Bundesanstalt innerhalb von zwei Wochen nachdem der Regelbetrieb wiederhergestellt wurde zu übermitteln (in der Regel also innerhalb von zwei Wochen nach der letzten Zwischenmeldung). Wird eine Verlängerung dieser Frist benötigt (weil zum Beispiel noch keine konkreten Zahlen zum Vorfall vorliegen), hat ein Zahlungsdienstleister vor Ablauf der Frist die Bundesanstalt über die bekannt gemachten Kommunikationskanäle zu kontaktieren und eine angemessene Begründung für die Verzögerung vorzulegen sowie ein neues Datum für die Abschlussmeldung vorzuschlagen.
2.19 Falls alle für die Abschlussmeldung erforderlichen Informationen innerhalb der Frist von vier Stunden nach der Erkennung des Vorfalls bereits vorliegen, kann eine kombinierte Erst-, Zwischen- und Abschlussmeldung als „Gesamtmeldung“ über das MVP-Portal übermittelt werden.
2.20 In der Abschlussmeldung sind möglichst vollständige Angaben zu machen, das heißt
i) konkrete Zahlen zum Vorfall statt Schätzungen (sowie jede weitere ggf. erforderliche Aktualisierung der Angaben die zuvor im Rahmen der Erst- und Zwischenmeldungen erfolgt sind) und
ii) Angaben zur Hauptursache des Vorfalls (root cause), sofern bereits bekannt, und eine Übersicht über die Maßnahmen, die zur Behebung des Problems oder zur Verhinderung seines künftigen erneuten Auftretens ergriffen wurden oder geplant sind.
2.21 Falls ein Zahlungsdienstleister infolge der kontinuierlichen Bewertung des Vorfalls feststellt, dass ein bereits gemeldeter Vorfall die betreffenden Kriterien für einen schwerwiegenden Vorfall nicht mehr erfüllt und nicht davon auszugehen ist, dass der Vorfall diese Kriterien vor seiner Lösung erfüllen wird, so ist die Bundesanstalt über die Reklassifizierung so schnell wie möglich und spätestens bis zu dem für die nächste Meldung veranschlagten Datum zu informieren. Im elektronischen Formular sind dafür das Feld „Vorfall nicht mehr als schwerwiegend klassifiziert“ anzukreuzen und die Gründe für diese Herabstufung zu erläutern.
3. Delegierte und konsolidierte Meldung
3.1 Sollten Zahlungsdienstleister die in diesem Rundschreiben aufgeführten Meldepflichten an einen Dritten delegieren (auslagern), sind folgende Bedingungen zu erfüllen:
a) In einem förmlichen Vertrag oder in den gegebenenfalls innerhalb einer Gruppe bestehenden internen Regelungen, der bzw. die der delegierten Meldung zwischen dem Zahlungsdienstleister und dem Dritten zugrunde liegt beziehungsweise liegen, ist die Zuordnung der Verantwortlichkeiten aller Parteien eindeutig festgelegt. Insbesondere wird in einem solchen Vertrag oder Regelungen klar dargelegt, dass der betreffende Zahlungsdienstleister, unabhängig von der möglichen Delegierung der Meldepflichten, für die Erfüllung der Pflichten gemäß § 54 ZAG sowie für den Inhalt der an die Bundesanstalt zu übermittelnden Informationen weiterhin in vollem Umfang verantwortlich und rechenschaftspflichtig ist.
b) Die Delegierung steht im Einklang mit den Anforderungen für Auslagerungen wichtiger betrieblicher Aufgaben gemäß
ii)§ 25b KWG in Verbindung mit AT 9 des Rundschreibens 09/2017 (Mindestanforderungen an das Risikomanagement) (bei CRR-Kreditinstituten).
c) Die Information über die Delegation der Meldepflicht wird der Bundesanstalt über die bekannt gemachten Kommunikations-kanäle vorab übermittelt.
d) Die Vertraulichkeit sensibler Daten sowie die Qualität, die Konsistenz, die Integrität und die Zuverlässigkeit der an die Bundesanstalt zu übermittelnden Informationen werden ordnungsgemäß gewährleistet.
3.2 Zahlungsdienstleister, die einem Dritten die Erfüllung der Meldepflichten auf konsolidierte Weise gestatten möchten (das heißt durch Vorlage einer einzigen Meldung, die sich auf mehrere Zahlungsdienstleister bezieht, welche von demselben Betriebs- oder Sicherheitsvorfall betroffen sind), haben sicherzustellen, dass dabei die folgenden Bedingungen erfüllt sind:
a) Die Zulässigkeit dieses Vorgehens wird in den der delegierten Meldung zugrunde liegenden Vertrag aufgenommen.
c) Die konsolidierte Meldung beschränkt sich auf Zahlungsdienstleister, die im selben Mitgliedstaat ansässig sind.
d) Es wird sichergestellt, dass der Dritte die Wesentlichkeit des Vorfalls für jeden betroffenen Zahlungsdienstleister bewertet und in die konsolidierte Meldung nur diejenigen Zahlungsdienstleister aufnimmt, für die der Vorfall als schwerwiegend klassifiziert wird. In Zweifelsfällen ist ein Zahlungsdienstleister in die konsolidierte Meldung einzubeziehen.
e) Bei der Übermittlung der Meldung ist darauf zu achten, dass bei Abfragefeldern, in denen möglicherweise keine gemeinsame Antwort möglich ist (weil nach absoluten Zahlenangaben gefragt wird), der Dritte in den entsprechenden Feldern in denen dies möglich ist, Wertebereiche angibt, die den für die verschiedenen Zahlungsdienstleister festgestellten oder geschätzten niedrigsten und höchsten Wert wiedergeben.
f) Es ist sicherzustellen, dass der Dritte die Zahlungsdienstleister jederzeit über alle relevanten Informationen bezüglich des Vorfalls und über jegliche etwaige Interaktionen des Dritten mit der zuständigen Behörde sowie deren Inhalt auf dem Laufenden hält; dies gilt jedoch nur insoweit, als keine Verletzung der Vertraulichkeit im Hinblick auf Informationen vorliegt, die sich auf andere Zahlungsdienstleister beziehen.
3.3 Meldepflichten sind nicht vor Unterrichtung der Bundesanstalt zu delegieren. Des Weiteren können Meldepflichten nicht delegiert werden, falls ein Zahlungsdienstleister in Kenntnis gesetzt wurde, dass die Auslagerungsvereinbarung mit dem Dritten die in 3.1(b) genannten Anforderungen nicht erfüllt.
3.4 Wenn Zahlungsdienstleister die Delegierung ihrer Meldepflichten widerrufen möchten, ist diese Entscheidung der Bundesanstalt über die bekannt gemachten Kommunikationskanäle mitzuteilen. Außerdem sollten die Zahlungsdienstleister die Bundesanstalt von jeder wesentlichen Entwicklung in Bezug auf den benannten Dritten und dessen Fähigkeit, den Meldepflichten nachzukommen, in Kenntnis setzen.
3.5 Falls es der benannte Dritte unterlässt, die Bundesanstalt entgegen der getroffenen Vereinbarungen von einem schwerwiegenden Betriebs- oder Sicherheitsvorfall gemäß § 54 ZAG und diesem Rundschreiben zu unterrichten, so haben die Zahlungsdienstleister sicherzustellen, dass sie ihre Meldepflichten auch ohne externe Unterstützung erfüllen können. Des Weiteren sollten Zahlungsdienstleister sicherstellen, dass ein Vorfall nicht zweimal gemeldet wird, zum einen vom betreffenden Zahlungsdienstleister und ein weiteres Mal von dem benannten Dritten.
4. Betriebs- und Sicherheitsrichtlinie
4.1 Es ist sicherzustellen, dass alle Verantwortlichkeiten für die Meldung von Vorfällen gemäß ZAG sowie die umgesetzten Prozesse zur Einhaltung der in den vorliegenden Rundschreiben beschriebenen Anforderungen, in den Betriebs- und Sicherheitsrichtlinien klar definiert sind.
