Am 21. Dezember 2016 hat das Bundesministerium der Finanzen (BMF) den Referentenentwurf eines Gesetzes zur Umsetzung der aufsichtsrechtlichen Vorschriften der Richtlinie (EU) 2015/2366 (Zweite Zahlungsdiensterichtlinie) veröffentlicht (Zahlungsdiensteumsetzungsgesetz – ZDUG). Die Zweite Zahlungsdiensterichtlinie ist bis zum 13. Januar 2018 von den EU-Mitgliedstaaten umzusetzen und löst die Richtlinie 2007/64/EG (Erste Zahlungsdiensterichtlinie) ab (siehe dazu auch Freshfields Briefing PSD II, Oktober 2015). 

Einleitung

Die Zweite Zahlungsdiensterichtlinie besteht aus einem zivilrechtlichen und einem aufsichtsrechtlichen Teil, wobei das ZDUG als Artikelgesetz nur die aufsichtsrechtlichen Anforderungen in das neu gefasste Zahlungsdiensteaufsichtsgesetz (ZAG) umsetzt. Daneben wird insbesondere das Kreditwesengesetz (KWG) an die erforderlichen redaktionellen Folgeänderungen angepasst. Die zivilrechtlichen Bestimmungen, insbesondere zum Haftungsregime, werden separat vor allem durch Änderungen des Bürgerlichen Gesetzbuchs (BGB) umgesetzt.

Die neuen Regelungen im ZAG-E beinhalten unter anderem

  • eine Erweiterung des Anwendungsbereichs auf Zahlungsauslöse- und Kontoinformationsdienste und eine Neustrukturierung der Erlaubnistatbestände,
  • die Neukonturierung der Ausnahmen und
  • neue Anforderungen an die Sicherheit bei der Zahlungsabwicklung (starke Kundenauthentifizierung). 

Erweiterter Anwendungsbereich

Die grundlegendste Neuerung ist die Einführung der neuen Erlaubnistatbestände des Zahlungsauslösedienstes und Kontoinformationsdienstes gem. § 1 Abs. 1 S. 2 Nr. 7 und Nr. 8 ZAG-E. Diese Dienstleister, die auf dem Online-Banking der Kreditinstitute aufbauen, waren bisher in einem aufsichtsrechtlichen Graubereich tätig.

Zahlungsauslösedienstleister haben dabei Zugang zu den Konten des Zahlers, wobei sie nicht in den Besitz der Gelder gelangen oder den Zahlungsvorgang ausführen, sondern diesen lediglich auslösen. Von dem neuen Tatbestand werden insbesondere solche Unternehmen erfasst, die die Webseite eines Händlers mit der Online-Banking-Plattform eines kontoführenden Kreditinstituts verbinden und dem Zahler auf diese Weise Zugang zu seinem Konto ermöglichen, um Überweisungen an den Händler zu tätigen. Kontoauslösedienste können dem Zahlungsempfänger auf diese Weise auch die Gewissheit bieten, dass der Zahlungsauftrag übermittelt wurde, woraufhin dieser seine Ware unverzüglich frei geben kann.

Kontoinformationsdienste bieten dem Zahlungsdienstenutzer hingegen eine aggregierte Übersicht über seine Zahlungskonten und Aktivitäten bei einem oder mehreren Zahlungsdienstleistern. Sie unterliegen jedoch nur einem vereinfachten Registrierungsverfahren (vgl. § 34 ZAG-E).

Daneben wird der bisherige Tatbestand des Zahlungsauthentifizierungsgeschäfts umbenannt und künftig gem. § 1 Abs. 1 S. 2 Nr. 5 ZAG-E als die Ausgabe von Zahlungsinstrumenten und die Annahme und Abrechnung von Zahlungsvorgängen („Acquiring“) bezeichnet. Unter den Tatbestand fällt nunmehr auch die Entgegennahme von Zahlungen für Händler, die nicht mit Hilfe eines Zahlungsinstruments, sondern beispielsweise durch Lastschrift oder Überweisung ausgelöst werden.

Darüber hinaus fällt das digitalisierte Zahlungsgeschäft, das bisher in § 1 Abs. 1 S. 2 Nr. 5 ZAG geregelt ist, als selbstständiger Erlaubnistatbestand weg. Dies bedeutet jedoch nicht, dass entsprechende Aktivitäten künftig nicht mehr beaufsichtigt werden. Die Zweite Zahlungsdiensterichtlinie hält lediglich einen eigenen Tatbestand nicht mehr für erforderlich, was nicht ausschließt, dass solche Geschäfte künftig als Acquiring gem. § 1 Abs. 1 S. 2 Nr. 5 ZAG-E oder als Finanztransfergeschäft gem. § 1 Abs. 1 S. 2 Nr. 6 ZAG-E qualifizieren können.

Daneben wird der Katalog der bisherigen erlaubnispflichtigen Zahlungsdienstleistungen nur neu gegliedert, ohne dass damit eine inhaltliche Änderung einhergeht.

Neukonturierung der Ausnahmetatbestände

Um Marktverzerrungen zu verhindern und ein Level Playing Field zu schaffen, wurde durch die Zweite Zahlungsdiensterichtlinie die Reichweite der Ausnahmen konkretisiert. Darüber hinaus soll nach der Gesetzesbegründung zum ZDUG eine Ausnahme von der Erlaubnispflicht nur noch dann möglich sein, wenn der Betreiber keine unangemessene rechtliche Gestaltung wählt, die sich in der Gesamtschau als missbräuchlich darstellt. Offenkundige Konstruktionen, die nur den Zweck verfolgen, den Erlaubnisvorbehalt zu umgehen, sollen daher nicht mehr unter eine der Ausnahmen fallen.

Änderungen erfährt insbesondere zum einen die Ausnahme zu den begrenzten Netzen gem. § 2 Abs. 1 Nr. 10 ZAG-E (Verbundzahlungssysteme). Durch das ZDUG entspricht diese Bereichsausnahme nunmehr in weiten Teilen der bisherigen Verwaltungspraxis der Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin). Neu ist in diesem Zusammenhang vor allem, dass solche Geschäfte keinen Zahlungsdienst darstellen, die auf Zahlungsinstrumenten beruhen, die einer Regelung durch eine nationale oder regionale öffentliche Stelle für bestimmte soziale oder steuerliche Zwecke zum Erwerb bestimmter Waren oder Dienstleistungen unterliegen. 

Zum anderen wird § 2 Abs. 1 Nr. 11 ZAG neu gefasst, der eine Ausnahme für Zahlungsvorgänge, die von einem Anbieter elektronischer Kommunikationsnetze oder -dienste bereitgestellt werden, vorsieht. In diesem Rahmen werden auch die Definitionen der elektronischen Kommunikationsnetze und -dienste in § 1 Abs. 12 und Abs. 13 ZAG-E neu aufgenommen. Von dieser Ausnahme kann jedoch nur im Falle von Kleinstbetragszahlungen Gebrauch gemacht werden.

Im Rahmen der Handelsvertreterausnahme wird zudem gem. § 2 Abs. 1 Nr. 2 ZAG-E klargestellt, dass dieser entweder im Namen des Zahlers oder ausschließlich im Namen des Zahlungsempfängers den Verkauf oder Kauf von Waren oder Dienstleistungen aushandeln oder abschließen darf. 

Anforderungen an die Sicherheit bei der Zahlungsabwicklung

Darüber hinaus werden durch das ZDUG verstärkte Anforderungen an die Sicherheit bei der Zahlungsabwicklung eingeführt und verschiedene Definitionen in diesem Zusammenhang neu in das ZAG aufgenommen. Die BaFin hatte zur starken Kundenauthentifizierung bisher lediglich ein Rundschreiben zu den Mindestanforderungen an die Sicherheit von Internetzahlungen (MaSi) veröffentlicht (siehe dazu Freshfields Briefing MaSI, Mai 2015). Eine starke Kundenauthentifizierung wird nach § 56 Abs. 1 ZAG-E verlangt, wenn der Zahler über das Internet auf sein Zahlungskonto zugreift, einen elektronischen Zahlungsvorgang auslöst (worunter z.B. Zahlungen fallen, die vor Ort an einem POS-Terminal mittels einer Zahlkarte ausgelöst werden) oder über einen Fernzugang eine Handlung vornimmt, die das Risiko eines Betrugs im Zahlungsverkehr oder anderen Missbrauchs birgt. Zahlungsdienstleister müssen in diesem Fall über angemessene Vorkehrungen verfügen, um die Vertraulichkeit und Integrität der personalisierten Sicherheitsmerkmale zu schützen. Auch die neu eingeführten Zahlungsauslöse- und Kontoinformationsdienstleister müssen die verstärkten Anforderungen einhalten. Im Rahmen eines elektronischen Fernzahlungsvorgangs, worunter z.B. ein Zahlungsvorgang mittels Mobilfunkgerät fällt, der über das Internet ausgelöst wird, muss die starke Kundenauthentifizierung darüber hinaus ein dynamisches Element aufweisen, die den Zahlungsvorgang mit einem bestimmten Betrag und einem bestimmten Zahlungsempfänger verknüpft. Davon wird z.B. das in Deutschland übliche mTAN- oder photoTAN-Verfahren erfasst.

Die Anforderungen an die starke Kundenauthentifizierung werden im Übrigen durch einen delegierten Rechtsakt der Europäischen Kommission konkretisiert. Die Europäische Bankaufsichtsbehörde (EBA) erarbeitet dazu technische Regulierungsstandards aus, die ursprünglich bis zum 13. Januar 2017 umgesetzt werden sollten, wobei aufgrund der umfangreichen Reaktionen der Interessenvertreter mit einer Verzögerung zu rechnen ist.

Daneben sieht § 56 Abs. 6 ZAG-E eine Verordnungsermächtigung für das BMF vor, wonach dieses – jedenfalls bis zum Inkrafttreten des unmittelbar anwendbaren delegierten Rechtsakts – nähere Bestimmungen zu den Erfordernissen und dem Verfahren zur starken Kundenauthentifizierung einschließlich etwaiger Ausnahmen vorsehen kann.

Fazit und Ausblick

Das ZDUG soll voraussichtlich im Frühjahr 2017 in den Bundestag eingebracht und von diesem bis zur Sommerpause beschlossen werden. Da die Zweite Zahlungsdiensterichtlinie eine Vollharmonisierung anstrebt, bleiben den nationalen Gesetzgebern nur wenige Umsetzungsspielräume, wodurch nationale Besonderheiten berücksichtigt werden könnten. So sieht auch das ZDUG bisher kaum Abweichungen von den europäischen Vorgaben vor. Banken und Zahlungsdienstleister können sich daher bereits jetzt gut an den Vorgaben des Referentenentwurfs orientieren und Umsetzungsmaßnahmen einleiten.