GSK PSD 2 Konferenz. Neuer rechtlicher Rahmen für elektronische Zahlungen, Kredit- und Zahlungsinstitute durch das Zahlungsdiensteumsetzungsgesetz

Transkript

1

2 GSK PSD 2 Konferenz Neuer rechtlicher Rahmen für elektronische Zahlungen, Kredit- und Zahlungsinstitute durch das Zahlungsdiensteumsetzungsgesetz Dr. Markus Escher, GSK Stockmann Frankfurt a.m. 17. Mai 2017

3 PSD 2 Was kommt für wen? Ein erster Einstieg

4 EU-Zahlungsdiensterichtlinie 2015/2366 PSD 2 Erster Einstieg Wer ist von der PSD 2 betroffen? B Banken Z D N Zahlungsinstitute heute schon reguliert als Issuer, Acquirer, Finanztransferdienstleister oder sonstige ZI; einschließlich E-Geld-Institute Zahlungsinstitute Neue Drittdienstleister: Zahlungsauslöse- und Kontoinformationsdienstleister Nicht regulierte FinTechs, technische Dienstleister, Handelsunternehmen V Verbraucher / Zahlungsdienstnutzer 4

5 PSD 2 Erster Einstieg Was sind die Schwerpunkte von PSD 2? Zulassung von Drittdienstleistern als neue ZAG- Zahlungsdienstleister: Gesetzliche Klärung eines langjährigen Streits B D Einschränkung und stärkere Überwachung von ZAG- Ausnahmetatbeständen N V Stärkere Sicherheitsanforderungen an Organisation und Abwicklung von Zahlungen B Z D N V Hier kommentiert: Einführung, Grundsätzliches, Karten- und Überweisungsgeschäft Zu Zahlungsauslöse- und Kontoinformationsdiensten (vgl. Vorträge Konferenzteil 2) 5

6 PSD 2: Neue EU-Rechtstechniken und 2-Phasen Inkrafttreten PSD 1 PSD 2 EU-RiLi 2015/2366 EBA Guidelines EBA / EU KOM RTS EU-RiLi 2007/ 64 ZAG (2018) BaFin Praxis EU VO ZAG (2009) Monate RTS SCA (2019) (13.1./ ) (13.1./ ) / +18M RTS SCA

7 PSD 2: Wie weit ist die deutsche Umsetzung? (Zahlungsdiensteumsetzungsgesetz ZDUG ; BT-Drs. 18/11495) ZDUG BMF Referentenentwurf Aufsichtsrecht: ZAG-Entwurf Zivilrecht: BGB- Änderungen Regierungsentwurf Finanzausschuss BT , Bundesrat / Inkraft

8 PSD 2: Veränderungen bei ZAG Erlaubnis- und Ausnahmetatbeständen Aufsichtlicher Teil im ZAG (2018)

9 PSD 2: Neue ZAG-Zahlungsdienste und Ausnahmen (1) D Neue Drittdienstleister: Zahlungsauslösedienstleister (ZAD) und Kontoinformationsdienstleister (KID): 2. Fokus unserer Konferenz N Neue Definition /Erweiterung des Akquisitionsgeschäfts :. Verarbeitung von Zahlungsvorgängen ( 1 Nr. 5 und (35) ZAG-E, statt bisher Zahlungsinstrumente ). Nach Regierungsbegründung (S. 109, 111) umfasst dies auch das Subacquiring und Aggregating, auch Forderungskäufe/Factoring schützen nicht vor ZAG. Vermutlich erhebliche Betroffenheit des Telekommunikationsmarktes mit Zwischenaggregatoren/Verbindungsnetzbetreiber (VNB), aber auch sonstige Dienstleister mit Clearing- und Inkasso -Funktionen 9

10 PSD 2: Neue ZAG-Zahlungsdienste und Ausnahmen (2) Z Neue Definition /Erweiterung des Akquisitionsgeschäfts :. Verarbeitung von Zahlungsvorgängen ( 1 Nr. 5 und (35) ZAG-E, statt bisher Zahlungsinstrumente ). Nach Regierungsbegründung (S. 109, 111) umfasst dies auch das Subacquiring und Aggregating. Zahlungsinstitute mit diesen Funktionen erbrachten bisher Finanztransfer; Nach PSD 2 werden ZI mit diesen Funktionen und Akquisitionsgeschäft auch zur Kreditgewährung befugt sein: (i) beschränkt für Zahlungsdienste, (ii) 12-Monate Laufzeit und (iii) nicht aus Kundengeldern refinanziert ( 3 (4) ZAG-E) 10

11 PSD 2: Neue ZAG-Zahlungsdienste und Ausnahmen (3) Limited Network Ausnahme ( 1 (1) Nr.10 ZAG-E): Zahlungsdienste N (a)für den Erwerb innerhalb eines begrenzten Netzes von Dienstleistern (b)für den Erwerb eines sehr begrenzten Waren- oder Dienstleistungsspektrums Neu:Anzeigepflicht an BaFin bei Zahlungsvolumen von insgesamt mehr als 1,0 Mio. /vergangene 12 Monate ( 2(2) ZAG-E Geldbuße bis zu 100 T ; ggf. Feststellung Erlaubnispflicht Künftige BaFin-Praxis mit absoluten Schwellenbeträgen? Internationaler Einsatz schädlich? 11

12 PSD 2: Neue ZAG-Zahlungsdienste und Ausnahmen (4) N TK-Netz Ausnahme ( 1 (1) Nr.11 ZAG-E): Zahlungsdienste (a) die auf der entsprechenden Rechnung zusätzlich zu elektronischen Kommunikationsdiensten für einen Teilnehmer abgerechnet werden (b) im Zusammenhang mit Erwerb von digitalen Inhalten / Sprachdiensten (..) oder (c) von/über ein elektr. Gerät ausgeführt und (..)ir einer gemeinnützigen Tätigkeit oder für Erwerb von Tickets abgerechnet (d) Wert der Einzelzahlung <50 ; (e) kumulativer Wert eines Teilnehmers (?) <300 monatlich Neu: Anzeigepflicht an BaFin + jährlicher Bestätigungsvermerk ( 2(3) ZAG-E) Geldbuße bis zu 100 T ; ggf. Feststellung Erlaubnispflicht 12

13 PSD 2: Neue ZAG-Zahlungsdienste und Ausnahmen (5) Handelsvertreter- Ausnahme ( 1 (1) Nr. 2 ZAG-E): Zahlungsdienste (a) mit Aushandlungs-/Abschlussbefugnis (b) nicht gleichzeitig für Zahler/Zahlungsempfänger N Neu: Gesetzliche Klarstellung ist zwar in der EU neu, entspricht aber weitgehend bisheriger BaFin Praxis elektronische Online-Shoppingplattformen für Waren, Dienstleistungen von Dritthändlern weiterhin im Regelfall kritisch zu beurteilen. 13

14 PSD 2: Erstmalige und wiederholte Erlaubnisverfahren; neues EU-Passverfahren Aufsichtlicher Teil im ZAG (2018)

15 PSD 2: Neue Erlaubnisverfahren und -voraussetzungen (1) Z D ZI PSD 1 ZI PSD 2 ZAD KID Geschäftsmodell, Geschäftsplan (3- Jahresplanung), Unternehmenssteuerung, interne Kontrolllmechanismen, RisikomanagementVf Organisatorischer Aufbau, Niederlassungen Zwei Geschäftsleiter, Abschlussprüfer Management von Sicherheitsvorfällen, IT- Meldepflichten (54) Überwachung Zugang sensible Zahlungsdaten Business continuity plans Sicherheitsstrategie Erfassung statist Daten zu performance, Betrugsfällen Organisationspflichten/KWG (27), operationelle Risiken (53) Lfd Aufsicht 15

16 PSD 2: Neue Erlaubnisverfahren und -voraussetzungen (2) Z D ZI PSD 1 ZI PSD 2 ZAD KID Anfangskapital laufende Eigenmittel Inhaberkontrolle / Inhaber bedeutender Beteiligungen Sicherungsanforderungen zu Geldern ZD Nutzer EU-Pass für Niederlassungen und crossborder Dienstleistungen Berufshaftplichtversicherung 16

17 PSD 2: Übergangsvorschrift für Zahlungsinstitute (1) Z Zahlungsinstitute, die bereits eine ZAG-Erlaubnis besitzen, müssen ( 66 ZAG-E) - bis Fortsetzungsabsicht anzeigen, - bis zweiten Erlaubnisantrag einreichen (um Erlaubnis bis zu erhalten), - mit (neuen) Angaben und Nachweisen zu den neuen PSD 2 Anforderungen: ZI PSD 1 ZI PSD 2 Management von Sicherheitsvorfällen, IT- Meldepflichten (54) Überwachung Zugang sensible Zahlungsdaten Business continuity plans Sicherheitsstrategie Erfassung statist Daten zu performance, Betrugsfällen Kontinuität bestehende EU-Pass Niederlassungen und cross-border Geschäft? 17

18 PSD 2: Übergangsvorschrift für Zahlungsinstitute (2) Z D Zahlungsinstitute, die bereits eine ZAG-Erlaubnis besitzen ( 66 ZAG-E), sollten bei Beantragung der zweiten ZAG- Erlaubnis beachten: - den neuen EBA RTS zu PSD 2 Erlaubnisverfahren nach Art. 5 (5) PSD 2 / vgl. EBA Konsultation (EBA/CP/2016/18), - die neuen EBA Guidelines zu Anzeigepflichten bei Sicherheitsvorfällen nach Art. 96 (3) PSD 2 / vgl. EBA Konsultation (EBA/CP/2016/23) ( GL incident reporting ) - und die neuen EBA Guidelines zum Management operationeller und sicherheitsrelevanter Risiken nach Art. 95 (3) PSD 2 / vgl. EBA Konsultation (EBA/CP/2017/04)(public hearing 20.6.; Frist zur Stellungnahme 7.8.)( GL security measures ). - Soweit relevant sollten auch Drittdienstleister bei erstmaliger ZAG-Beantragung diese RTS und Guidelines beachten D 18

19 PSD 2: Systemwechsel beim EU-Pass für Zahlungsinstitute Z D Zahlungsinstitute, die den EU-Pass für EU-Zweigniederlassungen oder cross-border Geschäft nutzen wollen, - mussten nach PSD 1/ZAG 2009 nur ein Anzeigeverfahren ( 25 ZAG) durchlaufen. - werden nach PSD 2 /ZAG 2018 auch ein Anzeigeverfahren, aber jetzt mit erforderlicher BaFin-Entscheidung zur Eintragung der Niederlassung oder des Agenten in das Institutsregister durchlaufen müssen. Erst nach Eintragung ist künftig Tätigkeit im Aufnahmestaat zulässig ( 38 (6) ZAG-E) - Hierbei ist künftig der final draft EBA RTS vom (EBA/RTS/2016/08) zu EU- Passverfahren zu beachten - Unklare Rechtslage nach ZAG-E zur Zulässigkeit des Tätigkeitsbeginns cross-border Geschäft, vermutlich künftig nach Mitteilung der BaFin an ZI nach Art. 15 (2) EBA RTS 2016/08 - Übergangsfrist ( 66 ZAG-E) und Kontinuität EU-Pass: Lösung ggf. durch Finanzausschuss des Deutschen Bundestages 19

20 PSD 2: Gesteigerte Anforderungen an IT-Sicherheit Aufsichtlicher Teil im ZAG (2018)

21 PSD 2: Mehr ZAG für alle (1) ZAG 2009 galt nur sehr beschränkt für Banken ZAG , 7, 28 KWG PSD 1 Gesamter Aufsichtsteil Begriffe Zugang zu Z- Systemen BeschwerdeVf Organisatorische Anforderungen (MaRisk) Zahlungs-/E- Geldinstitute Alle Zahlungsdienstleister Kreditinstitute D Z Z B B 21

22 PSD 2: Mehr ZAG für alle (2) ZAG 2018 ZAG 2018 mit hoher Bedeutung auch für Banken , 57, KWG Erlaubnisse Ausnahmen Begriffe Zugang zu Z- Systemen BeschwerdeVf Organisatorische Anforderungen (MaRisk) PSD 2 Allgemeine Organisation und Aufsicht Karten Zugang zu Konten Kreditinstitute ZAG 2018 Zahlungs-/E- Geldinstitute IT-Risiken Starke KundAuth Datenschutz B Z Alle Zahlungsdienstleister D Z D B N 22

23 PSD 2: Mehr ZAG für alle (3) Z D B N ZAG-E Bestätigung verfügbarer Geldbeträge an Kartenemittenten ZAG-E Zugang von ZAD / KID zu Zahlungskonten ZAG-E Operationelles und Sicherheitsrisikomanagement Meldung von Sicherheitsvorfällen 53 ZAG-E Operationelles und sicherheitsrelevantes Risikomanagement bei Zahlungsdiensten (Inkraft ) Störungen im Betriebsablauf Aufdeckung schwerer Betriebs- und Sicherheitsvorfälle Jährliche Risikobewertung an BaFin zu übermitteln; ggf. häufiger /BaFin-Anforderung Wichtig: Neue EBA Guidelines nach Art. 95 (3) PSD 2 / vgl. EBA Konsultation (EBA/CP/2017/04)(public hearing 20.6.; Frist zur Stellungnahme 7.8.; In Kraft: )( GL security measures ) starke Überlappung mit BAIT (!) Betonung der Erstreckung auf Outsourcing Dienstleister, GL 1.7; 1.8 wird MaSI (BaFin RS 4/2015 zu Mindestanforderungen an die Sicherheit von N Internet Zahlungen diesbezüglich ersetzen) 23

24 PSD 2: Mehr ZAG für alle (3) Z D B N ZAG-E Bestätigung verfügbarer Geldbeträge an Kartenemittenten ZAG-E Zugang von ZAD / KID zu Zahlungskonten ZAG-E Operationelles und Sicherheitsrisikomanagement Meldung von Sicherheitsvorfällen 53 ZAG-E Operationelles und sicherheitsrelevantes Risikomanagement bei Zahlungsdiensten (Inkraft ) Störungen im Betriebsablauf Aufdeckung schwerer Betriebs- und Sicherheitsvorfälle Jährliche Risikobewertung an BaFin zu übermitteln; ggf. häufiger /BaFin-Anforderung Wichtig: Neue EBA Guidelines nach Art. 95 (3) PSD 2 / vgl. EBA Konsultation (EBA/CP/2017/04)(public hearing 20.6.; Frist zur Stellungnahme 7.8.; In Kraft: )( GL security measures ) starke Überlappung mit BAIT (!) Betonung der Erstreckung auf Outsourcing Dienstleister, GL 1.7; 1.8 wird MaSI (BaFin RS 4/2015 zu Mindestanforderungen an die Sicherheit von N Internet Zahlungen diesbezüglich ersetzen) 24

25 PSD 2: Mehr ZAG für alle (4) Z D B N ZAG-E Operationelles und Sicherheitsrisikomanagement Meldung von Sicherheitsvorfällen 53 ZAG-E Operationelles und sicherheitsrelevantes Risikomanagement bei Zahlungsdiensten (Inkraft ) Wichtig: Neue EBA Guidelines/Konsultation (EBA/CP/2017/04) ( PSD IT Compliance )/ security guidelines ) mit acht Leitlinien, die fordernd werden dürften: governance, (incl. 3-lines of defence) Risk assessment Protection Monitor & Detect Business continuity Testing of security measures Situational awareness and continuous learning Payment service users relationship management (incl. communication and reporting) Klassische Compliance Strukturansätze N 25

26 PSD 2: Mehr ZAG für alle (5) Z D B N ZAG Operationelles und Sicherheitsrisikomanagement Meldung von Sicherheitsvorfällen 54 ZAG Meldung schwerwiegender Betriebs- und Sicherheitsvorfälle (Inkraft ) Unverzügliche Meldung schwerwiegender Betriebs- und Sicherheitsvorfälle an BaFin; Detailmeldung von BaFin an EZB/EBA; Prüfung Relevanz für andere Behörden Reaktion der BaFin auf Meldungen von EZB/EBA Informationspflicht an ZD-Nutzer bei Relevanz Jährliche Meldung zu statistischen Daten Betrugsfällen/PSD an BaFin Wichtig: Neue EBA Guidelines nach Art. 96 (3) PSD 2 / vgl. EBA Konsultation (EBA/CP/2016/23) ( GL incident reporting ), In Kraft Betonung der Erstreckung auf Outsourcing Dienstleister, GL 3; streitig/zdug: Fortbestehende ZAG-Verantwortung der Zahlungsdienstleister wird MaSI diesbezüglich ersetzen 26

27 PSD 2: Mehr ZAG für alle (6) Z D B N V 55 ZAG-E / EBA RTS Starke Kundenauthentifzierung Überblick (1) Abgrenzung 55 ZAG-E / EBA RTS SKA 55 ZAG-E EBA RTS SKA 2017/02 Grundsätzliche Tatbestandsvoraussetzungen Wann? Technische Anforderungen Wie im Detail? Grundsätzliche technische Anforderungen Wie im Grundsatz? Zugelassene Ausnahmen Wann doch nicht? 27

28 PSD 2: Mehr ZAG für alle (5) Z D B N V 55 ZAG Starke Kundenauthentifzierung Überblick (2) Erhebliche Auswirkungen auf Verbraucher, Händler, technische Dienstleister und alle Zahlungsdienstleister bei elektronischen Zahlungsvorgängen Rekord-Aktivität in EBA Konsultation mehr als 150 europ. Stellungnahmen Status EBA final report and draft RTS strong customer authentication and common and secure communication vom (EBA/RTS/2017/02)( EBA RTS ) Wird 18 Monate nach Inkrafttreten als EU Verordnung (mit unmittelbarer Wirkung in Deutschland) wirksam >> vermutlich frühestens Frühjahr 2019 Fortlaufende Abstimmung und Aktivitäten EU Parlament / EBA/ EU Kommission / EU Ministerat zu künftigem (EBA) Regulatory Technical Standard (RTS) als EU Verordnung > ggf Mitteilung der EU Kommission / vgl. Art. 10 Abs. 1 UAbs. 6 EU-Verordnung 1093/2010, ggf. mit Änderungsvorschlägen der EU Kommission 28

29 PSD 2: Mehr ZAG für alle (6) Z D B N V 55 ZAG Starke Kundenauthentifzierung Überblick (3) Zu 55 ZAG-E wichtige Erörterungen (ggf. Klarstellungen) im Finanzausschuss Deutscher Bundestag Weiterer Anwendungsbereich als bei MaSi (dort nur Internetzahlungen) wird MaSI diesbezüglich erst ab ca ersetzen, da 55 ZAG-E/SKA erst mit Wirksamwerden des RTS SKA der EU Kommission in Kraft treten wird (vgl. Art. 7 (1) ZDUG) 29

30 PSD 2: Ausgewählte Fragen zur starken Kundenauthentifizierung (1) Z D B N V 55 ZAG-E Starke Kundenauthentifzierung Aktuelle Fragen und Verfahren: Parlamentarische Verhandlungen/Finanzausschuss Deutscher Bundestag Ist eine schriftlich am POS-Terminal unterzeichnete Kreditkartentransaktion die Auslösung eines elektronischen Zahlungsvorgangs? M.E. wohl nein bereits aus Art. 97 PSD-2 argumentierbar Bestehen 55 ZAG-Pflichten/SKA auch bei (non-eu) one-leg Kreditkartenzahlungen (US-Karte in Deutschland <>Deutsche Karte in USA)? M.E. wohl nein schwierig mit Wortlaut der PSD-2 zu argumentieren. Gleichwohl kann sich eine Lösung nach Sinn und Zweck von Art. 2 PSD 2 im Sinne des EBA-Kommentars 272, 295 (final report ) basierend auf neuer Einschätzung der EU Kommission, der EBA und ggf. Finanzausschuss bzw. später der BaFin abzeichnen. 30

31 PSD 2: Ausgewählte Fragen zur starken Kundenauthentifizierung (2) Z D B N V 55 ZAG <> 675v Abs. 4 BGB Starke Kundenauthentifzierung Aktuelle Fragen und Verfahren: Parlamentarische Verhandlungen/Finanzausschuss Deutscher Bundestag 675v Abs. 4 BGB-E lässt den Zahlungsdienstnutzer bei Karteneinsatz ohne SKA nur bei betrügerischem Verhalten gegenüber dem Issuer haften (Haftungsverschärfung) Dem Issuer gegenüber würde grds. auch der Acquirer bei Nichtanwendung der SKA haften, 675v Abs. 4 BGB Greift diese Haftungsverschärfung nach 675v Abs. 4 BGB auch bei künftig rechtmäßiger Inanspruchnahme einer EBA RTS Ausnahme? Gegenwärtig streitige Betrachtung (Risiko: Zivilrechtliche Haftungsverschärfung kann durch die Hintertür die aufsichtlichen Ausnahmen zur SKA entwerten) 31

32 PSD 2: Ausgewählte Fragen zur starken Kundenauthentifizierung (3) Z D B N V EBA RTS SKA 2017/02 Starke Kundenauthentifzierung Aktuelle Fragen und Verfahren: EBA RTS im Annahmeverfahren zwischen EU-Parlament/ECON, Ministerrat und EU Kommission Werden auch für Kartenzahlungen am POS-Terminal authentication codes (also zusätzlich zu Besitz/Karte und Wissen/PIN) für die Erfüllung der SKA gefordert? (Heute: Art. 4 EBA RTS-E)(betrifft alle Zahlungskarten, also einschließlich debit/electronic cash) Werden auch für Kartenzahlungen an trusted payees ( Whitelisting ) Ausnahmen von der SKA zugelassen? (vgl. Art. 13 (1) a EBA RTS-E) Werden für B2B-payments / corporate cards Ausnahmen von der SKA zugelassen? 32

33 PSD 2: Zivilrechtlich relevante Änderungen (2018)

34 PSD 2: Ausgewählte Fragen zu zivilrechtlichen Änderungen (1) Z B N V 270a BGB-E Surcharging? Aktuelle Fragen und Verfahren: Parlamentarische Verhandlungen/Finanzausschuss Deutscher Bundestag Grundsätzliches Surcharging-Verbot (Inkraft ) 270a BGB-E Satz 1: Gesetzliches Verbot für Vereinbarung vom Schuldner (also Zahler gegenüber Zahlungsempfänger/Händler) für die Nutzung einer SEPA- Basislastschrift, SEPA-Firmenlastschrift, SEPA-Überweisung oder Zahlungskarte ein Entgelt zu verlangen 270a BGB-E Satz 2: Für Zahlungskarten gilt Satz 1 nur für Verbraucher, wenn die Zahlungskarte nach Kapitel II der Interchange-VO 751/2015 entgeltbegrenzt ist Aktuell verhandelt: Erweiterung des surcharging-verbots auch auf andere Karten, die nicht nach Interchange-VO entgeltreguliert sind (echte Drei-Parteiensysteme, corporate cards). Problem: kritische Regelungsverbote für Acquirer nach Art. 11 (1) IF-VO 34

35 PSD 2: Ausgewählte Fragen zu zivilrechtlichen Änderungen (2) Z B V 675u BGB-E 675v BGB-E Sofortige Gutschriften bei Nichtautorisierung Haftungsreduzierung für Verbraucher Wichtige zivilrechtliche Änderungen PSD 2 /(hier mit Ausnahme Drittdienstleister): 675u BGB-E Satz 4 (Nicht autorisierte Zahlungsvorgänge (Inkraft ): Keine Pflicht zur sofortigen Gutschrift, falls ZDL des Zahlers der zuständigen Behörde (zuständige Staatsanwaltschaft, ggf. BaFin) schriftlich einen diesbezüglichen Betrugsverdacht auf Kundenseite mitteilt. (Neuer Organisationsbedarf für Banken und Kreditkartenissuer) 675v BGB-E: Haftungsbeschränkung des Zahlers/Verbrauchers auf 50 bei abhandengekommenen Zahlungsinstrumenten oder Missbrauch, es sei denn mind. grob fahrlässige Verletzung der Vertragspflichten, insbesondere Anzeige-/Sperrpflicht nach 675l BGB 675v Abs. 4 BGB-E: Auf jeden Fall Haftungsverschärfung des ZDL des Zahlers (und ggf. des Acquirers) falls rechtswidrig (entgegen 55 ZAG-E, EBA RTS) SKA nicht angewendet. Zur rechtmäßigen Nichtanwendung, vgl. oben 35

36 Ansprechpartner

37 Ansprechpartner Dr. Markus Escher Karl-Scharnagl-Ring München MÜNCHEN Tel Fax Mail markus.escher@gsk.de