Beratung für Dritte Zahlungsdienstleister

Dritte Zahlungsdienstleister

Zweite Zahlungsdiensterichtlinie (PSD2): Rechte und Pflichten für Finanzdienstleister

Zahlreiche Anbieter ermöglichen heute Online-Zahlungen, bei denen der Zahlungsempfänger den Zahlungseingang sofort bestätigt bekommt. Dies ermöglicht den Handel mit digitalen Produkten, die nunmehr sofort ausgeliefert werden können, ohne dass der Verkäufer das Zahlungsrisiko trägt.

Und auch das Management der eigenen Konten und Portfolios wird immer bequemer. Zahlreiche Unternehmen bieten Programme für den PC oder auch Apps für das Smartphone an, mit denen man sich einen schnellen Überblick über den eigenen Kontostand verschaffen kann.

All diese Dienstleister unterliegen heute in weiten Teilen keiner Regulierung. Diese Situation wird oft als unbefriedigend empfunden. Denn gerade solche Dienste, die Zugangsdaten der Kunden (PIN/TAN) zu deren Konten abfragen, gehen mit äußerst sensiblen Kundendaten um. Und auch die Banken sind wenig begeistert von der neuen Konkurrenz und untersagen zumeist die Weitergabe dieser Zugangsdaten in ihren Geschäftsbestimmungen. Mit der zweiten Zahlungsdiensterichtlinie, die im englischen Payment Services Directive 2 (PSD2) heißt, schafft der Europäische Gesetzgeber nun einen Rechtsrahmen, der diese neuen „dritten Zahlungsdienstleister“ explizit erfasst und ihnen regulatorische Pflichten aufbürdet, aber auch mit Rechten gegenüber den Banken ausstattet.

Zweite Zahlungsdiensterichtlinie (PSD II): Rechte und Pflichten für Finanzdienstleister

Zulassungspflicht und Rechte gegenüber Banken

Die Payment Services Directive II (PSD2) nennt diese neuen Dienstleistungen zum einen „Zahlungsauslösedienste“ und zum anderen „Kontoinformationsdienste“. Je nachdem unter welche Kategorie ein Dienstleister fällt, gelten für ihn strengere oder mildere aufsichtsrechtliche Anforderungen. Am Anfang jeder Tätigkeit steht für beide Kategorien von Dienstleistern die Zulassungspflicht.

Um die Zulassung zu erhalten, müssen Unternehmen, die Zahlungsauslösedienste anbieten wollen, zwingend als juristische Person (also GmbH oder AG) organisiert sein. Außerdem müssen sie ein Anfangskapital von mindestens 50.000 Euro vorweisen, welches im Laufe der Geschäftstätigkeit auch nicht unterschritten werden darf. Zudem müssen sie die BaFin als Aufsichtsbehörde davon überzeugen, dass sie zuverlässig sind und generell über solide Unternehmenssteuerungsregelungen verfügen, zu denen von Rechnungslegung bis zum Risikomanagement alle Aspekte der Unternehmensführung zählen.

Ist die Behörde von der Organisation des Unternehmens überzeugt, erteilt sie ihm auf Antrag die Zulassung und trägt dies in ein öffentliches Register ein. Die BaFin-Zulassung ermöglicht es dem Zahlungsdienstleister dann, in allen Mitgliedsstaaten der Europäischen Union das Geschäft zu betreiben, wenn dies ordnungsgemäß bei der Heimataufsichtsbehörde angezeigt wird (sog. EU-Passporting).

BaFin prüft Einhaltung

Nach der Zulassung trifft den Zahlungsauslösedienstleister eine Reihe andauernder Pflichten, deren Einhaltung von den Aufsichtsbehörden geprüft wird. Unter anderem sind dies

  • die Pflicht, die Voraussetzungen für die Zulassung auch in Zukunft zu erfüllen,
  • die Erfüllung von Informationspflichten für Einzelaufträge und Rahmenverträge gegenüber den Nutzern,
  • die Pflicht, die Bestimmungen der Geldwäscherichtlinie zu befolgen und
  • die Pflicht zur starken Kundenauthentifizierung.

Daneben müssen Zahlungsdienstleiter eine Vielzahl von Spezialverordnungen und Verwaltungsvorschriften beachten, zu denen wir unsere Mandanten beraten. Beispielsweise müssen die Regeln der folgenden Vorschriften eingehalten werden:

  • Mindestanforderungen an die Sicherheit bei Internetzahlungen (MaSi)
  • Geldtransferverordnung
  • SEPA Verordnung
  • ZAGAnzV
  • ZIEV
  • RechZahlV

Pflicht zur Kundenauthentifizierung

Gerade die Pflicht zur starken Kundenauthentifizierung ist ein Herzstück der PSD2. Sie soll verhindern, dass über die dritten Zahlungsdienstleister unautorisierter Zugriff auf die Konten der europäischen Bürger erlangt wird. Nach den Vorstellungen des Richtliniengebers umfasst eine solche Authentifizierung mindestens zwei der drei Elemente:

  • Wissen (z.B. ein Passwort),
  • Besitz (z.B. einen Token) und
  • Inhärenz (z.B. ein Netzhautscan).

Für diesen erhöhten Aufwand bekommt das Unternehmen dann aber starke Rechte gegenüber den sogenannten kontoführenden Zahlungsdienstleistern, also klassischerweise den Banken. Denn diese werden nunmehr verpflichtet, Zahlungsauslösedienstleistern die erforderlichen Kontoinformationen zur Verfügung zu stellen und die durch die Zahlungsauslösedienstleister im Auftrag des Kunden angestoßenen Zahlungen auszuführen, als ob sie vom Kunden selbst kommen.

Dasselbe Recht steht auch den Unternehmen zu, die Kontoinformationsdienste anbieten. Da die bloße Kontoinformation nach Ansicht des Richtliniengebers weniger missbrauchsanfällig ist, müssen diese Dienstleister geringere Anforderungen für ihren Betrieb und ihre Zulassung erfüllen. Insbesondere können sie auch als natürliche Person auftreten und müssen kein Anfangskapital aufweisen. Sie brauchen zur Aufnahme ihrer Tätigkeit auch keine Erlaubnis, sondern müssen sich lediglich bei der Aufsichtsbehörde registrieren. Allerdings benötigen sie eine Berufshaftpflichtversicherung, die eingreift, wenn das Unternehmen für einen betrügerischen oder nicht autorisierten Zugriff auf Kontoinformationen haftet.

Zivilrechtliche Haftungsverteilung trifft zukünftig auch Zahlungsauslösedienste

Neben den neuen aufsichtsrechtlichen Anforderungen regelt die PSD2 auch die zivilrechtliche Haftungsverteilung zwischen den einzelnen Zahlungsdienstleistern.Im Verhältnis Zahlungsauslösedienst / kontoführender Zahlungsdienstleister möchte der Europäische Gesetzgeber dabei erreichen, dass jeder Dienstleister die zivilrechtliche Verantwortung für Fehler in seinem jeweiligen Verantwortungsbereich übernimmt. Dabei ist jedoch zunächst der kontoführende Zahlungsdienstleister in der Pflicht, bei unautorisierten oder fehlerhaften Zahlungsvorgängen dem Kunden den fälschlicherweise überwiesenen Betrag zu erstatten. Im Innenverhältnis ist dann jedoch der Zahlungsauslösedienstleister verpflichtet, dem kontoführenden Zahlungsdienstleister den Betrag unverzüglich zu erstatten, soweit der Fehler in dessen Zuständigkeitsbereich fällt.

Zahlungsauslösedienstleister und PSD2

Der Zahlungsauslösedienstleister trägt dabei die Beweispflicht dafür, dass der Zahlungsauftrag beim Zahlungsdienstleister des Kunden eingegangen ist und dass der Zahlungsvorgang ordnungsgemäß autorisiert, aufgezeichnet und ausgeführt wurde. Wurde die Autorisierung durch grobe Fahrlässigkeit oder gar betrügerischen Vorsatz des Kunden erreicht, haftet der Zahlungsauslösedienstleister ebenfalls nicht. Dabei schreibt die PSD2 nun aber ausdrücklich fest, dass die bloße Verwendung eines Zahlungsinstruments (z.B. PIN/TAN) nicht ausreicht, um ein entsprechendes Fehlverhalten des Kunden festzustellen. Damit folgt der Europäische Richtliniengeber der Tendenz in der deutschen Rechtsprechung, die Verwendung dieser Identifikationsmerkmale nicht ausreichen zu lassen um Kredit- und Finanzinstitute aus der Haftung zu entlassen. Vielmehr müssen die Zahlungsdienstleister nunmehr ausdrücklich unterstützende Beweismittel vorlegen, um Betrug oder grobe Fahrlässigkeit des Zahlungsdienstnutzers nachzuweisen.

Kontoinformationsdienstleister und PSD2

Für Kontoinformationsdienstleister enthält die PSD2 kein dezidiertes Haftungsregime. Hier ist deshalb zu erwarten, dass die Rechtsprechungspraxis auf das allgemeine Recht zurückgreifen wird. Infrage kommt zum Beispiel ein Schadensersatzanspruch nach § 7 des Bundesdatenschutzgesetzes, wenn Dritte unbefugt über den Kontoinformationsdienstleister Finanzinformation des Kunden einsehen. 

Ihr Anwalt für die Zahlungsdiensterichtlinie ZDR II

Rechtsanwältin Dr. Annette Wagemann (Fachanwältin für Bank- und Kapitalmarktrecht) und Rechtsanwalt Michael Kissler stehen Ihnen zur Verfügung, um Sie und Ihr Unternehmen rund um die ZDR II zu beraten. Wir unterstützen Sie bei der Beantragung der BaFin-Zulassung und beraten Sie bei der Umsetzung und Implementierung der neuen Pflichten. Auch die gerichtliche Vertretung im Zusammenhang mit Regressprozessen bei unautorisierten Zahlungsvorgängen nehmen wir für Ihr Unternehmen wahr. Sie erreichen uns am einfachsten per E-Mail (info@winheller.com) oder gerne auch telefonisch (069 / 76 75 77 80).

Sie benötigen Unterstützung?

Sie haben Fragen zu unseren Leistungen oder möchten einen persönlichen Beratungstermin vereinbaren? Wir freuen uns auf Ihre Kontaktaufnahme! Häufig gestellte Fragen beantworten wir in unseren FAQs.

Oder rufen Sie uns an: +49 (0)69 76 75 77 80
 

Kontakt

Kontakt
captcha