diebank 07 // 2019

REGULIERUNG eine

REGULIERUNG eine Darstellung der Unternehmensstruktur, des Risikomanagements, des internen Kontrollsystems und einer Übersicht der an dem Antragsteller wesentlich beteiligten Personen bzw. Gesellschaften bis hin zur Nennung der Geschäftsleiter und ihrer Lebensläufe. Aus den Darlegungen sollen sich ausreichende Erfahrung und Zuverlässigkeit ergeben. Sensible Zahlungsdaten Die PSD2 hat für das Erlaubnisverfahren zudem einen deutlichen Schwerpunkt gelegt auf das Thema sensible Zahlungsdaten sowie deren Überwachung, Sicherung und Zugangsberechtigungen. Daten, die zu betrügerischen Handlungen verwendet werden können, ein- schließlich personalisierter Sicherheitsmerkmale, gelten als sensible Zahlungsdaten. Das Thema Auslagerung von wesentlichen Aktivitäten und Prozessen dürfte gerade für einige Anbieter von Online-Banking- Funktionen aus dem Bereich der Unternehmensgründungen/Start-ups und der FinTechs im Rahmen des Erlaubnisantragsverfahrens, aber auch später bei der laufenden Überwachung durch die BaFin, eine bedeutende Rolle spielen. Diese Unternehmen sind zumeist stark davon geprägt, dass sie nicht nur ihre IT und ihre Rechenzentren ausgelagert haben, sondern sich auch standardisierte Prozesse ihres Geschäftsbetriebs von externen Drittanbietern erbringen lassen. Hier hat die European Banking Authority (EBA), die oberste europäische Bankaufsichtsbehörde, unlängst die Anforderungen gerade für cloudbasierte Auslagerungen deutlich ausgeweitet bzw. verschärft: Ab dem 30. September 2019 gelten diese Regeln für Auslagerungen nicht mehr nur für Kredit- und Finanzdienstleistungsinstitute, sondern eben auch für Zahlungs- und E-Geld-Institute. Durchführung detaillierter Risikoanalysen Vorgeschrieben werden hier bereits im Vorfeld von Auslagerungen etwa die Durchführung detaillierter Risikoanalysen, aber auch eine Due Diligence der Unternehmen, auf die 64 07 // 2019

REGULIERUNG FAZIT Die Erbringung von Zahlungsdiensten ohne die dafür erforderliche Erlaubnis beziehungsweise Registrierung ist strafbewehrt und kann mit einer Freiheitsstrafe von bis zu fünf Jahren geahndet werden. Davon unabhängig kann die BaFin die sofortige Einstellung des Geschäftsbetriebs und die unverzügliche Abwicklung der Geschäfte anordnen. Vor allem im Vorfeld zu der Einstellung des Geschäftsbetriebs kann die BaFin umfassende Auskünfte von dem Unternehmen verlangen und die Deutsche Bundesbank mit der Durchsuchung beauftragen. All diese Maßnahmen sind sofort vollziehbar. Dies bedeutet, dass Rechtsmittel keine aufschiebende Wirkung haben. Zahlungsauslöse- und Kontoinformationsdienstleister, die bislang noch keine Erlaubnis beziehungsweise Registrierung bei der BaFin aufweisen können, sollten dies – gerade auch im Hinblick auf den 14. September – nunmehr eiligst in Angriff nehmen. Prozesse und Aktivitäten ausgelagert werden, und ihrer Sub-Unternehmer. Für Auslagerungen in Drittstaaten außerhalb der EU gelten verschärfte Vorschriften vor allem im Hinblick auf Datenschutz und Datensicherheit. Mit der Umsetzung des zweiten Teils der PSD2 zum 14. September 2019 müssen Zahlungsdienstleister nicht nur die Verfahren für die sogenannte Starke Kundenauthentifizierung anwenden, sondern ab diesem Zeitpunkt müssen sich auch Zahlungsdienstleister, die auf Kundenkonten zugreifen wollen, gegenüber den kontoführenden Zahlungsdienstleistern (Banken) mit einem qualifizierten Zertifikat ausweisen. Die Erteilung von qualifizierten Zertifikaten setzt allerdings unter anderem voraus, dass ein Zahlungsdienstleister eine aufsichtsrechtliche Erlaubnis/Registrierung für die Erbringung der Zahlungsdienste aufweisen kann. Autoren Miriam Bouazza ist Rechtsanwältin und Leiterin der Solution Line Legal Financial Services KPMG Law Rechtsanwaltsgesellschaft mbH in Frankfurt am Main. Dr. Peter Schad arbeitet als Rechtsanwalt bei der KPMG Law Rechtsanwaltsgesellschaft mbH, München. 07 // 2019 65