Eine EU-Richtlinie schafft europaweit einheitliche Regelungen für den Zahlungsverkehr. Sie ist mit erheblichem Aufwand für die Marktteilnehmer verbunden. Umso mehr erstaunt, dass die neuen Vorschriften, die bereits in nationales Recht umgesetzt sind, in der Öffentlichkeit bisher kaum wahrgenommen wurden.
Die Zweite Zahlungsdiensterichtlinie (Richtlinie [EU]) 2015/2366 vom 25.11.2015 über Zahlungsdienste im Binnenmarkt, Payment Services Directive II (PSD II) wurde mit dem Zahlungsdiensteaufsichtsgesetz (ZAG) n. F. am 13. Januar 2018 in nationales Recht umgesetzt. Die neuen Regeln gelten primär für Dienstleister des Zahlungsverkehrs, darüber hinaus aber auch für Anbieter von Waren- oder Dienstleistungen, die parallel dazu eine entsprechende Zahlungsabwicklung organisieren, wie etwa eine Online-Handelsplattform. Derartige Aktivitäten können in den Anwendungsbereich des ZAG fallen und einer Erlaubnispflicht durch die Bundesanstalt für Finanzdienstleistungen (BaFin) unterliegen.
Von der PSD I zur PSD II
Vor dem 13. Januar 2018 basierte das Recht für deutsche Zahlungsdienste auf der ersten Zahlungsdiensterichtlinie (PSD I), die am 25. November 2007 in Kraft trat. Sie wurde mit dem ZAG vom 25. Juni 2009 (BGBl. I S. 1981) und in den §§ 675c ff. Bürgerliches Recht (BGB) beziehungsweise in Art. 248 Einführungsgesetz zum BGB (EGBGB) bis zum 1. November 2009 im deutschen Recht umgesetzt. Allerdings sah die EU-Kommission bereits damals weiteren Regelungsbedarf, um den Rechtsrahmen für neue Arten von Zahlungsdienstleistern im Internet zu setzen, die Sicherheit von Zahlungsdiensten zu gewährleisten sowie die Nutzer, speziell Verbraucher, zu schützen. Zudem wollte man die aufsichtsrechtliche Kontrolle grenzüberschreitend weiterentwickeln und besonders eine einheitliche Handhabung möglicher Ausnahmen von der Erlaubnispflicht erreichen. Schließlich sollten auf dem europäischen Markt gleiche Wettbewerbsbedingungen herrschen, ein für alle Anbieter gleiches Level Playing Field bestehen. Dem Kommissionsvorschlag für die PSD II folgten Verhandlungen auf EU-Ebene. Schließlich trat sie am 13. Januar 2016 in Kraft und war bis zum 13. Januar 2018 in nationales Recht umzusetzen.
Auswirkungen der Gesetzesnovelle
Es wurde die Chance verpasst, ein deutsches Zahlungsdienstegesetz ähnlich dem Kapitalanlagegesetzbuch zu schaffen.
Durch die Neuregelung wurden der Anwendungsbereich des Gesetzes erweitert sowie Ausnahmetatbestände eingeschränkt. Nun sehen sich auch Unternehmen mit dem ZAG konfrontiert, deren Tätigkeit bislang erlaubnisfrei war. Zudem mussten Zahlungsdienstleister, die bereits im Besitz einer Erlaubnis durch die BaFin waren, innerhalb von zwei Wochen nach Inkrafttreten des ZAG anzeigen, ob sie weiterhin derartige Dienste anbieten wollen. Falls ja, waren bis spätestens vier Wochen nach Inkrafttreten die für die Erteilung einer Erlaubnis nach der Neufassung des Gesetzes erforderlichen Unterlagen bei der BaFin einzureichen. Vor dem 13. Januar 2018 erteilte Erlaubnisse haben am 13. Juli 2018 ihre Gültigkeit verloren. Die PSD II enthält Vorgaben sowohl für das Zivil- wie auch das Aufsichtsrecht. Die zivilrechtlichen Vorgaben sind in das BGB (§§ 270a, 675c ff.) beziehungsweise das EGBGB (Art. 248) eingeflossen. Der aufsichtsrechtliche Teil findet sich im neu gefassten ZAG wieder. Damit ist das Recht für deutsche Zahlungsdienste zweigeteilt. Angaben zufolge wurde im Gesetzgebungsverfahren die Chance verpasst, ein Gesetzbuch für deutsche Zahlungsdienste ähnlich dem Kapitalanlagegesetzbuch zu schaffen. Die PSD II folgt wie ihre Vorgängerin dem Prinzip der Vollharmonisierung. Die nationalen Gesetzgeber durften bei Umsetzung der Richtlinie in nationales Recht weder strengere noch großzügigere Regelungen einführen, sondern mussten die Richtlinie eins zu eins umsetzen. Die nationalen Aufsichtsbehörden können aber zu unterschiedlichen Bewertungen kommen, wie bereits nach Umsetzung der PSD I geschehen.
Erlaubnispflichtige Zahlungsdienste
Wer hierzulande Zahlungsdienste gewerbsmäßig im Sinne von § 1 Abs. 2 ZAG erbringen will, bedarf nach § 10 ZAG einer schriftlichen Erlaubnis durch die BaFin. Gleiches gilt nach § 11 ZAG für das Betreiben von E-Geld-Geschäften. Die §§ 1 Abs. 1 Satz 2 Nr. 1 bis 8 und 1 Abs. 2 Satz 2f. ZAG definieren, was Zahlungsdienste oder E-Geld-Geschäfte sind. Dazu zählen neben dem Ein- und Auszahlungsgeschäft klassische Zahlungsverkehrsinstrumente wie Lastschrift-, Überweisungs- und Kartengeschäfte. Besondere Bedeutung in der Praxis hat das Finanztransfergeschäft. Darunter fallen Dienste, bei denen Geldbeträge fließen, ohne dass ein Zahlungskonto auf den Namen des Zahlenden oder des Zahlungsempfängers eingerichtet wird. Die entsprechenden Beträge werden nur zur Übermittlung an den Zahlungsempfänger oder einen anderen, im Namen des Zahlungsempfängers handelnden Zahlungsdienstleister entgegengenommen. Alternativ können die Geldbeträge auch nur im Namen des Zahlungsempfängers entgegengenommen und diesem verfügbar gemacht werden. Häufig findet man das bei Online-Handelsplattformen, wenn der Preis für dort erworbene Waren oder Dienstleistungen, etwa durch Belastung einer Kreditkarte, an den Leistungserbringer übermittelt wird. Greift nicht einer der in § 2 Abs. 1 Nr. 1 bis 15 genannten Ausnahmetatbestände, ist eine Erlaubnis bei der BaFin zu beantragen. Unternehmen, die über eine Erlaubnis in einem anderen EU- oder EWR-Land verfügen, können mit dem sogenannten europäischen Pass auch in Deutschland Zahlungs- oder E-Geld-Geschäfte anbieten.
Zahlungsauslöse- und Kontoinformationsdienste
Seit der PSD I will man der Entwicklung neuer Geschäftsmodelle bei den Zahlungsdiensten Rechnung tragen. Daher wurden die Geschäfte der Zahlungsauslöse- und Kontoinformationsdienstleister, sogenannte dritte Zahlungsdienstleister, mit den §§ 1 Abs. 2 Nr. 7 und 8 in das neue ZAG aufgenommen. Für die Geschäftstätigkeit derartiger Dienstleister sah die PSD I keine Regelung vor, weil man damals davon ausging, dass nur Nutzer und kontoführende Dienstleister Zugang zu Kontoinformationen hätten. Mit der PSD II können nun auch Drittanbieter, insbesondere Finanztechnologien, Zugriff auf Kunden- und Kontoinformationen nehmen. Zahlungsauslösedienstleister benötigen nach § 10 ZAG zwingend eine BaFin-Erlaubnis. Kontoinformationsdienste, die für die Nutzer Echtzeitinformationen über den Stand online zugänglicher Konten ermöglichen, sind ebenfalls der Aufsicht der BaFin unterworfen. Allerdings bedürfen sie gemäß § 2 Abs. 6 ZAG keiner aufsichtsrechtlichen Erlaubnis, sondern lediglich einer Registrierung (§ 34 ZAG) mit der Folge, dass nur beschränkte aufsichtsrechtliche Anforderungen zu erfüllen sind.
Ausnahmetatbestände
Neben der Erweiterung der aufsichtspflichtigen Zahlungsdienste ist die Neufassung von Ausnahmetatbeständen eine wesentliche Neuerung der PSD II. Unter den in § 2 Abs. 1 ZAG genannten, eng auszulegenden Voraussetzungen können einige Zahlungsdienste erlaubnisfrei gestellt werden. Von besonderer Bedeutung ist hier die engere Fassung der sogenannten Handelsvertreterausnahme (§ 2 Abs. 1 Nr. 2 ZAG, bislang § 1 Abs. 10 Nr. 2 ZAG). Zahlungsvorgänge über Handelsvertreter bleiben vom Anwendungsbereich des ZAG ausgenommen, wenn der Vertreter durch Vereinbarung zum Abschluss oder zum Aushandeln des Kaufs von Waren und Dienstleistungen berechtigt war und wenn er dabei nur für eine Partei auftrat. Das entspricht der bislang von der BaFin vertretenen engen Auslegung der Ausnahmevorschrift, auf die sich speziell Handelsplattformen berufen haben und dabei von einer Doppelvertretung hinsichtlich Zahler und Zahlungsempfänger ausgingen. Das wird künftig nicht mehr möglich sein. Diese Auslegung der Ausnahmevorschrift wird erhebliche Auswirkungen in der Praxis haben. Unternehmen, die bisher von der Erlaubnispflicht nach § 10 ZAG befreit waren, bedürfen nunmehr einer Erlaubnis. Auch die Ausnahme für Zahlungen über Telekommunikationsanbieter (§ 2 Abs. 1 Nr. 11 ZAG) wurde eingeschränkt. Nun ist nicht mehr generell der Erwerb von Waren und Dienstleistungen erlaubnisfrei, sondern lediglich der Erwerb von digitalen Inhalten und Sprachdiensten oder von elektronischen Tickets beziehungsweise Spenden. Dabei darf der Wert bei einer Einmalzahlung 50 Euro beziehungsweise kumulativ 300 Euro pro Monat nicht überschreiten. Auch hier wurden mit § 1 Abs. 10 Nr. 11 ZAG Unklarheiten bei der Auslegung der bisherigen Ausnahmevorschrift ausgeräumt. Die Vorschrift wurde für begrenzt nutzbare Zahlungsinstrumente (§ 2 Abs. 1 Nr. 10 ZAG, bisher § 1 Abs. 10 Nr. 10 ZAG) ebenfalls eingeschränkt, da sie auf Instrumente beschränkt ist, die nur in einem einzigen Netz nutzbar sind. Zudem wurde gemäß § 2 Abs. 2 ZAG eine Pflicht zur Mitteilung des Gesamtwerts der Zahlungen ab einem Betrag über eine Million Euro festgelegt. Neu ist schließlich noch die in § 2 Abs. 1 Nr. 10 lit. c ZAG eingeführte Ausnahme für begrenzt nutzbare Zahlungsinstrumente, die zu sozialen oder steuerlichen Zwecken einer öffentlichen Stelle erfolgen und für bestimmte darin genannte Waren und Dienstleistungen verwendet werden.
Erhöhte Aufsichtspflichten
Neuerungen ergeben sich auch für die Aufsichtstätigkeit der BaFin. Nach § 53 ZAG müssen Zahlungsdienstleister oder E-Geld-Institute interne Mechanismen zu operationellen und sicherheitsrelevanten Risiken bei Zahlungsdiensten vorhalten, die jährlich an die BaFin zu berichten sind. Das ist Voraussetzung für die Erteilung der Erlaubnis. Schwerwiegende Betriebs- oder Sicherheitsvorfälle beim Zahlungsdienstleister sind der BaFin zu melden (§ 54 ZAG). Sie prüft dann das weitere Vorgehen und beteiligt gegebenenfalls andere Behörden. Wird die BaFin ihrerseits über entsprechende Vorfälle in anderen Mitgliedsstaaten durch dort zuständige Aufsichtsbehörden unterrichtet, hat sie notwendige Maßnahmen zum Schutz des Finanzsystems zu treffen. Soweit Vorfälle die finanziellen Interessen der Nutzer von Zahlungsdiensten betreffen, sind auch diese gemäß § 54 Abs. 4 ZAG zu unterrichten. Um die Zusammenarbeit bei der Aufsicht in grenzüberschreitenden Fällen zu verbessern, wurde von der Europäischen Bankenaufsichtsbehörde (EBA) gemäß Art. 15 PSD II ein zentrales europäisches Register von Zahlungsinstituten eingeführt. Die EBA ist gemäß Art. 27 PSD II auch bei Meinungsverschiedenheiten der beteiligten Behörden in grenzüberschreitenden Fällen zu unterrichten.
Starke Kundenauthentifizierung
Die PSD II steht auch für eine starke Kundenauthentifizierung. Das in § 55 ZAG niedergelegte Verfahren ist in Art. 4 PSD II definiert als eine Authentifizierung des Zahlungsnutzers durch Heranziehen von mindestens zwei Elementen der Kategorien Wissen (etwas, das nur der Nutzer weiß – die PIN)– , Besitz (etwas, das nur der Nutzer besitzt – ein Smartphone) beziehungsweise Inhärenz (etwas, das der Kunde ist – sein Fingerabdruck). Werden bei der Authentifizierung des Nutzers mindestens zwei voneinander unabhängige Elemente dieser drei Kategorien verwendet, liegt eine starke Kundenauthentifizierung im Sinne der PSD II vor. Mit der in § 1 Abs. 24 ZAG definierten Authentifizierung wird nicht nur die Vertraulichkeit der Authentifizierungsdaten geschützt. Sie erfolgt beim Heranziehen von mindestens zwei Elementen der Kategorien Wissen, Besitz oder Inhärenz auch so, dass die Nichterfüllung eines Kriteriums die Zuverlässigkeit der anderen nicht infrage stellt. Die starke Kundenauthentifizierung greift beim Zugriff auf ein Zahlungskonto, bei der Auslösung elektronischer Zahlungsvorgänge, bei der Nutzung von Kontoinformations- und Zahlungsauslösediensten oder bei sonstigen Handlungen im Fernzugang, die Betrugs- oder Missbrauchsrisiken beinhalten. Zu beachten ist, dass eine TAN nicht nur bei Zahlungen verlangt wird. Über das künftige HBCI-PIN/TAN-Verfahren ist auch für Kontoumsatzabfragen spätestens alle 90 Tage eine TAN einzugeben. Noch weiß man nicht, wie die Kreditinstitute mit diesen neuen Vorgaben umgehen werden, die bis September 2019 umgesetzt sein müssen.
Abgrenzungen und Ausnahmen
Die starke Authentifizierung ist nur beim erstmaligen Zugriff sowie nach spätestens 90 Tagen ohne Zugriff erforderlich (Art. 10 ff. der technischen Regulierungsstandards – RTS). Eine Ausnahme greift bei kontaktlosen elektronischen Zahlungen bis zu einem Limit von 50 Euro pro Zahlung und ebenso bei elektronischen Zahlungen an Fahrticket- und Parkautomaten, bei Zahlungen an vom Zahler bestimmte, vertrauenswürdige Empfänger oder bei elektronischen Fernzahlungen bis zu einem Betrag von 30 Euro. Der im deutschen Recht bisher verwendete Begriff des Zahlungsauthentifizierungsinstruments (§§ 675f. Abs. 5, 675 j- 675j–m BGB a. F.) wird vom neuen Konzept einer starken Kundenauthentifizierung abgegrenzt und im BGB durch den Begriff des Zahlungsinstruments ersetzt. Darunter versteht man gemäß § 1 Abs. 20 ZAG jedes personalisierte Instrument oder Verfahren, dessen Verwendung zwischen Zahlungsdienstnutzer und -dienstleister vereinbart wurde und das zur Erteilung eines Zahlungsauftrags verwendet wird. Beispiele für Zahlungsinstrumente sind etwa Karten mit PIN oder Unterschrift, Telefon-Banking mit Passwort oder Online-Banking-Transaktionen mit SMS-TAN oder einem TAN-Generator.
Fotos: Image Source, decisiveimages / Getty Images