PSD 2 Konferenz. Rechtliche Einführung zu Drittdienstleistern. Daniela Eschenlohr, GSK Stockmann. Frankfurt am Main, den 17.

Größe: px

Ab Seite anzeigen:

Download "PSD 2 Konferenz. Rechtliche Einführung zu Drittdienstleistern. Daniela Eschenlohr, GSK Stockmann. Frankfurt am Main, den 17."

Michael Kruse
vor 5 Jahren
Abrufe

2 PS 2 Konferenz Rechtliche Einführung zu rittdienstleistern aniela Eschenlohr, GSK Stockmann Frankfurt am Main, den 17. Mai 2017

3 Worüber sprechen wir?

4 Worüber sprechen wir? (1) ZA: ein ienst, bei dem auf Veranlassung des Zahlungsdienstenutzers ein Zahlungsauftrag in Bezug auf ein bei einem anderen Zahlungsdienstleister geführtes Zahlungskonto ausgelöst wird (vgl. 1 Abs. 33 ZAG neu) ZA zu keinem Zeitpunkt der Zahlungskette im Besitz der Gelder aber (laut Gesetzesbegründung): Zugang zu Konten des Zahlers Art des Auslösens / Anstoßens jedoch nicht exakt definiert Anwendungsbereich daher ggf. weiter als klassische ZA? 4

5 Worüber sprechen wir? (2) EXKURS: Auch ienstleister (im B2B-Bereich) mit Kontovollmacht ggf. ZA? dagegen wohl: [ZA] steht insofern zwischen der Autorisierung des Zahlungsvorgang durch den Zahlungsdienstnutzer und der Ausführung durch das kontoführende Institut 2 Abs. 1 Nr. 9 ZAG neu (Ausnahme für technische Infrastrukturdienstleistungen) einschlägig? Ausnahme (-) bei Besitz Besitz hat der ienstleister an den Geldern auch dann, wenn er zwar selbst nicht Inhaber der Konten ist, über die die Gelder fließen, aber gegenüber dem ausführenden Zahlungsdienstleister ausschließlich die Weisungsbefugnis ausübt 5 Kontrollfrage (Abgrenzung laut Regierungsbegründung): Hat nur der ienstleister und nicht der Zahlungsdienstbenutzer dem ausführenden Zahlungsdienstleiter gegenüber die Kontrolle über die Gelder oder kann er aufgrund der Vertragsgestaltung nicht davon ausgeschlossen werden?

6 Worüber sprechen wir? (3) KI: ein Online-ienst zur Mitteilung konsolidierter Informationen über ein Zahlungskonto oder mehrere Zahlungskonten des Zahlungsdienstnutzers bei einem oder mehreren anderen Zahlungsdienstleistern (vgl. 1 Abs. 34 ZAG neu) Kein Besitz an Geldern konsolidierte Online-Informationen, die über Online-Schnittstellen der kontoführenden Zahlungsdienstleisters zugänglich sind Gesetzesbegründung: An einer Mitteilung von Informationen fehlt es i.d.r. dann, wenn der Kontoinformationsdienstleister zwar den Zugang zum Zahlungskonto herstellt, aufgrund der technischen Ausgestaltung aber keinen Zugriff auf die Kundendaten hat. 6

7 Was ändert sich für die kontoführenden Banken? (1) ZA: Bei ausdrücklicher Zustimmung des Zahlers zur Ausführung einer Zahlung, ist der kontoführende Zahlungsdienstleister verpflichtet, 1. mit dem Zahlungsauslösedienstleister auf sichere Weise zu kommunizieren, 2. unmittelbar nach Eingang des Zahlungsauftrags über einen Zahlungsauslösedienstleister diesem alle Informationen über die Auslösung des Zahlungsvorgangs und alle dem kontoführenden Zahlungsdienstleister zugänglichen Informationen hinsichtlich der Ausführung des Zahlungsvorgangs mitzuteilen oder zugänglich zu machen und 3. Zahlungsaufträge, die über einen Zahlungsauslösedienstleister übermittelt werden, insbesondere in Bezug auf zeitliche Abwicklung, Prioritäten oder Entgelte so zu behandeln wie Zahlungsaufträge, die der Zahler unmittelbar übermittelt, es sei denn, es bestehen objektive Gründe für eine abweichende Behandlung. (vgl. 48 ZAG) Unabhängig von (Kooperations-)Vertrag ZA-Bank 7

8 Was ändert sich für die kontoführenden Banken? (2) KI: er kontoführende Zahlungsdienstleister ist verpflichtet, 1. mit dem Kontoinformationsdienstleister auf sichere Weise zu kommunizieren und 2. Anfragen nach der Übermittlung von aten, die von einem Kontoinformationsdienstleister übermittelt werden, ohne Benachteiligung zu behandeln, es sei denn, es bestehen objektive Gründe für eine abweichende Behandlung (vgl. 50 ZAG) Unabhängig von (Kooperations-)Vertrag KI-Bank 8

9 PS 2: Neue Erlaubnisverfahren und- Voraussetzungen (1) Z ZI PS 1 ZI PS 2 ZA KI Geschäftsmodell, Geschäftsplan (3- Jahresplanung), Unternehmenssteuerung, interne Kontrolllmechanismen, Risikomanagementverfahren Organisatorischer Aufbau, Niederlassungen Zwei Geschäftsleiter, Abschlussprüfer Management von Sicherheitsvorfällen, IT- Meldepflichten (54) Überwachung Zugang sensible Zahlungsdaten Business continuity plans Sicherheitsstrategie Erfassung statist. aten zu performance, Betrugsfällen Organisationspflichten/KWG (27), operationelle Risiken (53) 9

10 PS 2: Neue Erlaubnisverfahren und- Voraussetzungen (2) Z ZI PS 1 ZI PS 2 ZA KI Anfangskapital / laufende Eigenmittel Inhaberkontrolle / Inhaber bedeutender Beteiligungen Sicherungsanforderungen zu Geldern Z Nutzer EU-Pass für Niederlassungen und crossborder ienstleistungen Laufende Eigenmittel nach PS2 (-), sollte im Gesetzestext aber klargestellt werden Berufshaftplichtversicherung von laufender Inhaberkontrolle ausgenommen, 2 Abs. 6 ZAG 10

11 Übergangsvorschriften für ZA und KI - 68 ZAG Erlaubnis-/Registrierungsantrag innerhalb von 3 Monaten ab dem 13. Januar 2018 zu stellen. Wird Antrag rechtzeitig und vollständig gestellt, kann Tätigkeit bis Bestandskraft der Entscheidung weiterhin erbracht werden. EU-Pass-Nutzung VOR finaler Erlaubniserteilung? Kontoführende Zahlungsdienste dürfen bis Inkrafttreten 45-52, 55 ZAG ZA und KI den Zugang zu ihren Zahlungskonten nicht verweigern, weil sie die Anforderungen der 45-52, 55 ZAG nicht erfüllen. Bloße uldungspflicht wie schon bislang oder weitergehende Ansprüche von ZA und Zahlungsdienstnutzern? 11

12 Aktuelle iskussionspunkte 675 f. Abs. 3 ZAG (zivilrechtlicher Anspruch des Zahlungsdienstenutzers zur Nutzung von ZA und KI) K: Nutzungsanspruch sowie Haftungsregeln (Primärhaftung Bank) erst für lizensierte oder registrierte ZA/KI, die auch alle sicherheitstechnischen Anforderungen erfüllen solange keine aufsichtsrechtliche Qualitätssicherung auch Primärhaftung Bank nicht gerechtfertigt ZA: Position der K verstößt gegen PS 2. Art. 115 Abs. 4 PS regelt abschließend, welche Vorschriften nicht 2018, sondern erst mit Inkrafttreten EBA-RTS Geltung erlangen. KI: Beschränkung es sei denn, Zahlungskonto ist für Zahlungsdienstnutzer nicht online zugänglich Nicht-Zahlungskonten, z.b. Kredit- und Sparkonten, nicht erfasst aber möglich: bilaterale Vereinbarungen zwischen KI und kontoführendem Zahlungsdienstleister mit entsprechender Kundenzustimmung Klarstellung erforderlich?!? 12

13 Aktuelle iskussionspunkte getrennte technische Zugangsdaten und wege für Kunden und für ZA zum Schutz der Verbraucher? Bundesrat-Stellungnahme vom (BT-rs. 18/11929): Gefahr, dass durch Preisgabe der personalisierten Sicherheitsmerkmale durch den Kunden an den ZA die Möglichkeit besteht, dass unbefugte ritte leichter an die Zugangsdaten gelangen könnten; Bank muss wissen, wer auslöst (ZA oder Kunde selbst) Bundeskartellamt: Allein Einräumung direkten Zugangs vermeidet Missbrauchs- und Konfliktpotential; nur direkter Zugang stellt sicher, dass ZA alle für sein ienstleistungsangebot erforderlichen Informationen vollständig, verlässlich, rechtzeitig und ohne behindernde Kosten erhält; bloße Verzögerung der Herausgabe von aten zur Verfügbarkeit von Geldern führt i.d.r. zum Abbruch; Rechtsschutz praktisch nahezu wirkungslos ZA: siehe Vortrag r. Lütcke! 13

14 Aktuelle iskussionspunkte 51 Abs. 1 Satz 1 ZAG: KI darf seine ienste nur mit ausdrücklicher Zustimmung des Zahlungsdienstnutzers erbringen K: Problematisch, da kontoführender Zahlungsdienstleister als datenverantwortliche Stelle gesetzlich verpflichtet sicherzustellen, dass aten nicht unberechtigt zur Kenntnis gegeben werden Keine Möglichkeit zu prüfen, ob entsprechende Zustimmung des Kunden vorliegt Risiko unberechtigter atenweitergabe Einschränkung datenschutzrechtlicher Vorschriften erforderlich? 14

15 Vor welchem Hintergrund sind die iskussionen zu sehen? allgemein: Wettbewerb allgemeine zivilrechtliche Haftungsrisiken ABER AUCH: eutliche Verschärfungen bzgl. Bußgeldern und Sanktionen bei atenschutzverstößen durch die atenschutz- Grundverordnung Verschärfungen IT-Aufsicht über Banken, vgl. z.b.: Konsultation 02/ Bankaufsichtliche Anforderungen an die IT (BAIT) Konsultation der EBA Guidelines on Information and communication technology (ICT) Risk Assessment under the Supervisory Review and Evaluation process (SREP) (EBA/GL/2017/05) vom (ICT risk als Komponente des operational risk) ab 01/2018?! 15

16 gsk.de GSK. er Unterschied.

Ähnliche Dokumente

Alternative Zahlungsdienste im Lichte der PSD2. Barbara Buchalik (BaFin, Referat BA 51) Nadim Ayyad (BaFin, Referat GW 3)

Alternative Zahlungsdienste im Lichte der PSD2 Barbara Buchalik (BaFin, Referat BA 51) Nadim Ayyad (BaFin, Referat GW 3) Inhaltsübersicht I. Zuständigkeiten innerhalb der BaFin II. Eckdaten der PSD2 III.