Aufrufe
vor 5 Jahren

die bank 02 // 2018

die bank gehört zu den bedeutendsten Publikationen der gesamten Kreditwirtschaft. Die Autoren sind ausnahmslos Experten von hohem Rang. Das Themenspektrum ist weit gefächert und umfasst fachlich fundierte Informationen. Seit 1961 ist die bank die meinungsbildende Fachzeitschrift für Entscheider in privaten Banken, Sparkassen und kreditgenossenschaftlichen Instituten. Mit Themen aus den Bereichen Bankmanagement, Regulatorik, Risikomanagement, Compliance, Zahlungsverkehr, Bankorganisation & Prozessoptimierung und Digitalisierung & Finanzinnovationen vermittelt die bank ihren Lesern Strategien, Technologien, Trends und Managementideen der gesamten Kreditwirtschaft.

THEMENSCHWERPUNKT

THEMENSCHWERPUNKT ZAHLUNGSVERKEHR PSD 2 DIENT AUCH DEM VERBRAUCHERSCHUTZ FinTechs agieren nicht mehr im rechtsfreien Raum Die Zeiten, als der Bereich Zahlungsverkehr als notwendiges, aber etwas angestaubtes Metier galt, sind vorbei. Heute spricht man vom Payment-Sektor, und der gilt mit seinen vielfältigen neuen Möglichkeiten als „sexy“. Er heizt den Wettbewerb zwischen Unternehmen an und, noch wichtiger: Hier können Erträge erzielt werden. Viele neue Geschäftsfelder gibt es bereits, andere entstehen gerade. Eines ist allen gemeinsam: Sie halten die Finanzaufsicht auf Trab. Die oben genannte Einschätzung zur neuen Attraktivität des Zahlungsverkehrs stammt von Raimund Röseler. Der Exekutiv-Direktor Bankenaufsicht warnte im Rahmen einer BaFin Konferenz in Frankfurt aber auch vor den vielfältigen Gefahren, die sich aus den neuen Geschäftsfeldern ergeben. Hackerattacken sind dabei nur ein Angriffspunkt. Was passiert mit all den Daten, die die Basis des Zahlungsverkehrs darstellen? Die neue Zahlungsdiensterichtlinie (Payment Service Directive, PSD 2), deren Umsetzungsgesetz Mitte Januar in Kraft trat, dient nicht nur der Weiterentwicklung des europäischen Binnenmarkts für unbare Zahlungen, sie hat auch einen Fokus auf dem Verbraucherschutz. Zahlungsinstitute, aber auch Drittdienstleister müssen sich seit Januar noch strenger in die Karten schauen lassen und schärfere Anforderungen erfüllen. Was im Rahmen der PSD 2 und des neu gefassten Zahlungsdiensteaufsichtsgesetzes (ZAG) auf sie zukommt, darüber informierten die Mitarbeiter der Bundesanstalt für Finanzdienstleistungsaufsicht nun noch einmal im Detail. Für die Antragsteller sollte so der Durchblick durch das Dickicht der Erlaubnis- und Registrierungsverfahren vereinfacht werden – und umgekehrt sollte die Veranstaltung auch den Mitarbeitern der BaFin und der Bundesbank den Umgang mit den Antragstellern erleichtern. Fragen, die bereits im Vorfeld geklärt werden können, erfordern schließlich keine umständlichen Nachverhandlungen im Erlaubnisprozess, reduzieren die Fehlerquote und damit die Bearbeitungszeit. Natürlich haben die Antragsteller aber die Möglichkeit, ihre Fragen zur Erlaubnis- oder Registrierungspflicht vorab zu adressieren. Rechtsfreier Raum? Das war einmal Banken verbinden mit dem ZAG und der PSD 2 vor allem und zunächst einmal das Schreckgespenst des Kontozugangs für Dritte. Unter dem Paradigma der Wettbewerbsförderung müssen sie die Infrastruktur schaffen – und finanzieren – und neue Anbieter docken an dieser Schnittstelle mit innovativen Finanz-Apps und anderen Services an und greifen auf die Konten der Kunden zu. Diese Start-ups oder FinTechs agieren dank der Regulierung nicht länger im rechtsfreien Raum. Ihre Geschäftsmodelle kann man unterscheiden in Kontoinformationsdienste und Zahlungsauslösedienste. Für beide Varianten gelten seit dem 13. Januar geregelte Erlaubnisverfahren. Ein Zahlungsauslösedienst (ZAD) ermöglicht es einem Nutzer, einen Zahlungsauftrag in Bezug auf ein Konto auszulösen, das bei einem anderen Dienstleister geführt wird, ohne dass dazu ein Vertrag zwischen dem ZAD-Dienstleister und dem kontoführenden Institut erforderlich wird. Der Dienstleister kann dabei das Authentifizierungsverfahren des kontoführenden Instituts nutzen. Ein Kontoinformationsdienst (KID) hingegen ermöglicht dem Nutzer lediglich die Auswertung von Informationen über Konten bei verschiedenen Instituten. Multi-Bankingtools etwa ersparen es dem Benutzer der App, für verschiedene Konten verschiedene Online-Banking-Zugänge öffnen zu müssen. Im ZAG wird nun geregelt, dass Kontoinformationsdienste sich bei der BaFin registrieren lassen müssen, Zahlungsauslösedienste brauchen sogar eine Erlaubnis. So stark unterscheiden sich die beiden Verfahren jedoch nicht: Sind es für den KID 14 Schritte bis zur Registrierung, muss der ZAD noch fünf zusätzliche Hürden von der Antragstellung bis zur Genehmigung überspringen. ÿ 1 zeigt die „Antragsschlange“ des Erlaubnis- bzw. Registrierungsverfahrens. Beide Dienstleistungsmodelle müssen u. a. darlegen, wie ihre Geschäftsmodelle und -strategien sind, wie gezielt sie die Sicherheit schützen, wie sie mit sensiblen Kundendaten umgehen, wie die Geschäftsfortführung im Krisenfall gewährleistet wird oder wie sie der Geldwäsche vorbeugen. Ein wichtiger Punkt im Erlaubnisverfahren ist die Regelung des Haftungsfalls. Der kann beispielsweise durch eine Berufshaftpflicht mit Mindestdeckung geregelt sein. „Der Mindestbetrag für die Absicherung im Haftungsfall beträgt mindestens 150.000 oder 200.000 € (im Fall von sonstigen Tätigkeiten)“, stellt die BaFin fest. Zur Ermittlung der Mindestdeckungssumme bzw. der gleichwertigen Garantie werden die Summen herangezogen, die jeweils das Risikoprofil sowie Art und Umfang der Tätigkeit widerspiegeln. Wer einen Zahlungsauslösedienst be- 8 02 // 2018

THEMENSCHWERPUNKT ZAHLUNGSVERKEHR treiben möchte, muss darüber hinaus ein regulatorisches Anfangskapital von mindestens 50.000 € nachweisen. Für E-Geldinstitute beträgt diese Summe sogar 350.000 €. Die Bestandteile des regulatorischen Anfangskapitals sind streng definiert (§1 Abs. 30 ZAG 2018). Für die Berechnung der regulatorischen Eigenmittel wird das harte Kernkapital mit dem zusätzlichen Kernkapital addiert, wie in den Artikeln 50 und 61 der CRR festgelegt. Darauf kommt dann noch das Ergänzungskapital (Art. 71 CRR). Die Summe dieser anrechenbaren Eigenmittel muss dabei immer höher sein als die notwendigen Eigenmittelanforderungen nach ZIEV. 1 Etwas andere Vorschriften gelten für bestehende E-Geldinstitute, die ihre Geschäfte fortführen dürfen, sofern sie dies der BaFin anzeigen. Ihre bestehende Erlaubnis erweitern müssen die „sonstigen Zahlungsinstitute“. Ziel der Mühen ist schließlich die Aufnahme in das zentrale, öffentlich verfügbare Register der BaFin, in dem alle erlaubten bzw. registrierten ZAG-Institute aufgeführt sind. Ein Aspekt, der klar auf den Verbraucherschutz abstellt. Rahmenvorgaben für den Kontozugriff Auch die Frage, wie Drittanbieter und kontoführende Institute kommunizieren, traf im Rahmen der Informationsveranstaltung auf großes Interesse. Erst Ende November hatte die Europäische Kommission die technischen Regulierungsstandards (RTS on SCA SC) 2 zu elektronischen Zahlungen in Geschäften und im Internet verabschiedet und damit die PSD 2 konkretisiert. Die somit geschaffene Rechtssicherheit und Klarheit über den Kontozugang für Dritte war besonders bei den Banken auf Lob gestoßen. Die RTS enthalten Rahmenvorgaben für die weitere Ausgestaltung des Kontenzugriffs. Die Drittdienstleister erhalten zwar das Recht, auf die Kontodaten der Kunden beim kontoführenden Institut zuzugreifen. Die Kreditinstitute müssen dafür auch ihre Schnittstelleninfrastruktur für elektronische Kontozugriffe durch Drittdienstleister bis zum dritten Quartal 2019 anpassen. Wer aber den Kontakt zum Kundenkonto haben möchte, muss sich mit einem qualifizierten Zertifikat auf Basis der eIDAS-Verordnung identifizieren. Solche Zertifikate werden nicht von der BaFin, sondern von qualifizierten Vertrauensdiensteanbietern (VDA) ausgestellt. Neben 02 // 2018 9

die bank