Zweite Zahlungsdienste-Richtlinie: Erlaubnispflicht von Kontoinformations- und Zahlungsauslösediensten

Einige Kontoinformations- und Zahlungsauslösedienste scheinen noch keine BaFin-Zulassung zu haben. Stichtag ist der 14. September 2019 – ab dann können diese Zahlungsdienstleister nicht mehr auf Bankkonten zugreifen. Das Betreiben der Zahlungsdienste ohne BaFin-Zulassung ist verboten. Bei Nichtbeachtung drohen Geld- und sogar Freiheitsstrafen.

von Rechtsanwälten Miriam Bouazza und Dr. Peter Schad, KPMG Law

Anfang 2018 wurde die Zweite EU-Zahlungsdiensterichtlinie in deutsches Recht umgesetzt. Sie hat einige Neuerungen für den europäischen Binnenmarkt für elektronische Zahlungen gebracht. So werden in Deutschland etwa seitdem zwei Arten von Zahlungsdiensten von der deutschen Finanzaufsicht BaFin überwacht, die bis Januar 2018 erlaubnisfrei erbracht werden konnten: nämlich sogenannte Zahlungsauslösedienste und Kontoinformationsdienste.

Es scheint, dass noch nicht alle Betreiber solcher Zahlungsdienste davon wissen, dass diese Tätigkeiten erlaubnis- bzw. registrierungspflichtig sind.”

Mit der Umsetzung des zweiten Teils der Zweiten EU-Zahlungs­diensterichtlinie zum 14. September 2019 werden allerdings nur noch solche Dienstleister Zahlungs­auslöse­dienste/ Kontoinformationsdienste erbringen können, die über eine aufsichtsrechtliche Erlaubnis verfügen oder registriert sind.

Online-Handel, Finanz-Apps, webbasierte Buchhaltungs-Software

Zahlungsauslöse- und Kontoinformationsdienstleister werden mittlerweile im Internet in vielfältiger Weise im elektronischen Zahlungsverkehr eingesetzt. Die Zwischenschaltung von Zahlungs­auslöse­dienst­leistern etwa im Online-Handel erfolgt durch die Händler und ermöglicht Ihnen den rascheren Versand von Waren und damit die schnellere Abwicklung des Geschäfts. Denn der Kunde räumt dem Zahlungsauslösedienstleister die Möglichkeit ein, die Bezahlung des Kaufpreises direkt auf seinem Bankkonto dergestalt anzustoßen, dass der Zahlungsauftrag ab diesem Zeitpunkt im Grundsatz nicht mehr widerruflich ist.

Sobald der Händler die Information erhält, dass der Kunde die Zahlung des Kaufpreises auf seinem Konto ausgelöst hat, kann er die Ware risikofrei versenden. Er muss also nicht warten, bis der Zahlungsbetrag auf seinem Konto eingegangen ist.”

Zahlungsauslösedienstleister können jedoch auch auf Seiten des Zahlers eingesetzt werden. So gibt es  etwa Anbieter von webbasierter Buchhaltungssoftware, die es Nutzern ermöglicht, direkt auf ihre Bankkonten zuzugreifen und dort Zahlungen auszulösen, etwa um fällige Rechnungen zu bezahlen. Dabei können dann diese Zahlungen wiederum automatisch in der Buchhaltung erfasst werden.

Kontoinformationsdienste werden etwa von sogenannten Multi-Banking-Apps oder Finanz-Apps angeboten.”

Diese ermöglichen es Nutzern, sich die Kontoumsätze aller angeschlossenen Bankkonten in einer App anzeigen zu lassen, ohne dass der Nutzer sich jeweils einzeln bei seinen Bankkonten einloggen muss. Auch die vorgenannten Anbieter von webbasierter Buchhaltungssoftware machen damit Werbung, dass Kontostände und die Umsätze von angeschlossenen Bankkonten im Rahmen der Nutzung der Buchhaltungssoftware nicht nur angezeigt, sondern direkt in der Buchhaltung verarbeitet und ausgewertet werden können.

Beide Zahlungsdienste, sowohl der Zahlungsauslöse- als auch der Kontoinformationsdienst, knüpfen an das „Online Banking“ an und geben dem Zahlungsdienstleister Zugriff auf das Bankkonto des Nutzers, ohne dass er damit in die Verfügungsgewalt von Geld des Nutzers gelangen würde.

Allein dieser Zugriff und die sensiblen Zahlungsdaten, die der Zahlungsdienstleister dadurch erhält, sind der Grund, dass diese Dienste seit Anfang 2018 von den Finanzaufsichtsbehörden, in Deutschland von der BaFin beaufsichtigt werden.”

Stichtag 14. September 2019

Mit der Umsetzung des zweiten Teils der Zweiten EU-Zahlungsrichtlinie zum 14. September 2019 müssen Zahlungsdienstleister nicht nur die Verfahren für die sogenannte „Starke Kundenauthentifizierung“ anwenden, sondern ab diesem Zeitpunkt müssen sich auch Zahlungsdienstleister, die auf Kundenkonten zugreifen wollen, wie etwa Kontoinformations- und Zahlungsauslösedienstleister, gegenüber den kontoführenden Zahlungsdienstleistern (Banken) mit einem „qualifizierten Zertifikat“ für elektronische Siegel ausweisen (Vgl. Art. 34 (1) Delegierte Verordnung (EU) 2018/389 der Kommission v. 27.11.2017 in Verbindung dem Anhang III der Verordnung (EU) 910/2014 des Europäischen Parlaments und des Rats vom 23.7.2014.).

Diese qualifizierten Zertifikate werden von sogenannten „Qualifizierten Vertrauensdiensteanbietern“ ausgestellt, welche dieses Status in Deutschland auf Antrag von der Bundesnetzagentur als zuständiger Aufsichtsbehörde erhalten können und nach ihrer Anerkennung in die deutsche Vertrauensliste eingetragen werden (Trusted List).”

Die Erteilung eines qualifizierten Zertifikats setzt allerdings unter anderem voraus, dass ein Zahlungsdienstleister eine aufsichtsrechtliche Erlaubnis/Registrierung  für die Erbringung der Zahlungsdienste – in Deutschland – durch die Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) aufweisen kann (Art 34 (2) Delegierte Verordnung (EU) 2018/389 der Kommission v. 27.11.2017.). Diese Regelung tritt zum 14. September 2019 in Kraft. Zahlungsauslöse- und Kontoinformationsdienstleister, die bis zu diesem Tag den kontoführenden Zahlungsdienstleistern (Banken) kein qualifiziertes Zertifikat für ein elektronisches Siegel vorweisen können, darf von den Kreditinstituten kein Zugriff auf Bankkonten mehr gewährt werden.

Erlaubnisantragsverfahren bei der BaFin

Die Beantragung einer Erlaubnis, aber auch die Registrierung bei der BaFin, sind Vorgänge, deren Vorbereitung mehrere Wochen, wenn nicht Monate, in Anspruch nehmen kann.”

Dabei sind der Aufsichtsbehörde umfangreiche Informationen und Unterlagen vorzulegen. Diese reichen von einer Beschreibung des beabsichtigten Geschäftsmodells und eines Geschäftsplans einschließlich Budgetplanung für die nächsten drei Jahre, über eine Darstellung der Unternehmensstruktur, des Risikomanagements, des internen Kontrollsystems und einer Übersicht der an dem Antragsteller wesentlich beteiligten Personen bzw. Gesellschaften bis hin zur Nennung der Geschäftsleiter und ihrer Lebensläufe, aus der sich ihre ausreichende Erfahrung und Zuverlässigkeit ergibt.

Die Zweite Zahlungsrichtlinie hat für das Erlaubnisverfahren zudem einen deutlichen Schwerpunkt gelegt auf das Thema „Sensible Zahlungsdaten“ sowie deren Überwachung, Sicherung und die Zugangsberechtigungen. Daten, die zu betrügerischen Handlungen verwendet werden können, einschließlich personalisierter Sicherheitsmerkmale, gelten als sensible Zahlungsdaten.

Das Thema „Auslagerung“ von wesentlichen Aktivitäten und Prozessen dürfte gerade für einige Anbieter von Online-Banking-Funktionen aus dem Bereich der Unternehmensgründungen/Start-ups und der FinTechs im Rahmen des Erlaubnisantragsverfahrens, aber auch später bei der laufenden Überwachung durch die BaFin, eine bedeutende Rolle spielen. Diese Unternehmen sind zumeist stark davon geprägt, dass sie nicht nur ihre IT und Rechenzentren ausgelagert haben, sondern sich auch standardisierte Prozesse ihres Geschäftsbetriebs von externen Drittanbietern erbringen lassen.

Hier hat die European Banking Authority (EBA), die oberste europäische Bankaufsichtsbehörde, unlängst die Anforderungen gerade für cloudbasierte Auslagerungen deutlich ausgeweitet und verschärft: Ab dem 30. September 2019 gelten diese Regeln für Auslagerungen nicht mehr nur für Kredit- und Finanzdienstleistungsinstitute, sondern eben auch für Zahlungs- und E-Geld-Institute.”

Vorgeschrieben werden hier bereits im Vorfeld von Auslagerungen etwa die Durchführung detaillierter Risikoanalysen, aber auch eine Due Diligence der Unternehmen, auf die Prozesse und Aktivitäten ausgelagert werden, und ihrer Sub-Unternehmer. Für Auslagerungen in Drittstaaten außerhalb der EU gelten verschärfte Vorschriften, vor allem im Hinblick auf Datenschutz und Datensicherheit.

Ausnahmen von der Erlaubnispflicht

Die BaFin stellt in einem Merkblatt zum einen klar, dass rein „technische Dienstleister“, die etwa lediglich Autorisierungsanfragen und Datensätze zur Abrechnung von Zahlungen übermitteln, jedoch keinen eigenen Zugriff auf die Bankkonten erhalten, keine Zahlungsauslösedienste erbringen. Andererseits stellt es keinen Kontoinformationsdienst dar, wenn ein Zugriff auf Zahlkonten nicht „online stattfindet“ sondern lediglich von Rechnern/Servern, die ausschließlich im Verfügungsbereich des Nutzers stehen.

Für den Fall allerdings, dass in den beschriebenen Fällen die Anbieter von Online-Banking-Funktionen technisch Zugriff auf die Zahlkonten der Nutzer erhalten, benötigen sie entweder eine Erlaubnis von der BaFin oder – falls ausschließlich Kontoinformationsdienste erbracht werden – müssen sie sich vorab bei der BaFin registrieren lassen.

Strafen

Die Erbringung von Zahlungsdiensten ohne die dafür erforderliche Erlaubnis beziehungsweise Registrierung ist strafbewehrt und kann mit einer Freiheitsstrafe von bis zu fünf Jahren geahndet werden. Davon unabhängig kann die BaFin die sofortige Einstellung des Geschäftsbetriebs und die unverzügliche Abwicklung der Geschäfte anordnen. In diesem Zusammenhang und vor allem im Vorfeld zu der Einstellung des Geschäftsbetriebs kann die BaFin umfassende Auskünfte von dem Unternehmen verlangen und die Deutsche Bundesbank mit der Durchsuchung beauftragen. Alle diese Maßnahmen sind sofort vollziehbar, das heißt Rechtsmittel haben keine aufschiebende Wirkung.

Zahlungsauslöse- und Kontoinformationsdienstleister, die bislang noch keine Erlaubnis beziehungsweise Registrierung bei der BaFin aufweisen können, sollten dies – gerade auch im Hinblick auf den 14. September 2019 – nunmehr eiligst in Angriff nehmen.”RAs Miriam Bouazza und Dr. Peter Schad, KPMG