Beantragung der Zulassung gemäß der PSD2 sowie Meldepflicht betroffener Dienstleister bei Sicherheitsvorfällen

Interessant sind die Änderungen insbesondere für sog. Drittanbieter, die zukünftig stärker in Konkurrenz zur Hausbank eines Kunden treten können, indem ihnen Zugang zu dessen Kontodaten eingeräumt wird. Der Einblick in die individuellen Kundenbedürfnisse, twa im Hinblick auf Anlagepotenzial oder Kreditbedarf, bleibt dann nicht mehr exklusiv der kontoführenden Bank vorbehalten. Beispielsweise für Fintechs bietet sich somit eine Perspektive, mit ihren innovativen Produkten leichter zur Kundschaft etablierter Banken vorzudringen. Letztere müssen sich auf verstärkten Wettbewerb einstellen.

Die Umsetzung der Richtlinie in nationales Recht ist für Januar 2018 vorgesehen. Dies nahm die EBA zum Anlass, nach mehrmonatigen Konsultationsprozessen verschiedene Leitlinien zu erarbeiten: Am 11. Juli 2017 wurden die Zulassungskriterien für die von der Richtlinie betroffenen Dienstleister konkretisiert. Am 27. Juli 2017 folgten Auslegungshinweise zu den Meldepflichten im Falle von Sicherheitsvorfällen.

Die EBA-Leitlinien vom 11. Juli 2017 sind in unterschiedliche Abschnitte für Zahlungsinstitute, Kontoinformationsdienstleister sowie E-Geld-Institute aufgeteilt und definieren die von diesen für den Zulassungsprozess jeweils bereitzustellenden Informationen.

Unter anderem betrifft dies die folgenden Punkte:

• Inhalt des Geschäftsplans
• Beschreibung der Aufbauorganisation
• Nachweis des Anfangskapitals
• Beschreibung der Unternehmenssteuerung und der internen Kontrollmechanismen
• Verfahren bei Sicherheitsvorfällen und sicherheitsbezogenen Kundenbeschwerden
• Prävention von Geldwäsche und Terrorismusfinanzierung
• Regelungen zur Geschäftsfortführung im Krisenfall
• Grundsätze und Definitionen für die Erfassung statistischer Daten über Leistungsfähigkeit, Geschäftsvorgänge und Unregelmäßigkeiten (Fraud)
• Namen der Personen, die direkt oder indirekt eine qualifizierte Beteiligung halten
• Namen der für die Geschäftsführung verantwortlichen Personen.

Die EBA-Leitlinien vom 27. Juli 2017 konkretisieren die Kriterien, die eine Meldepflicht der betroffenen Dienstleister im Falle von Sicherheitsvorfällen auslösen. Sicherheitsvorfälle im Sinne der Leitlinien sind als ungeplante, einzeln oder in Serie auftretende Ereignisse definiert, die eine negative Auswirkung beispielsweise auf die Verfügbarkeit oder die Vertraulichkeit der angebotenen zahlungsbezogenen Dienstleistungen aufweisen oder wahrscheinlich aufweisen werden.

Die Abgrenzung zwischen wesentlichen („major“) und unwesentlichen („non-major“) Vorfällen wird seitens der EBA näher erläutert. Meldepflichtige Sicherheitsvorfälle liegen demnach vor, wenn bestimmte Schwellenwerte hinsichtlich der Anzahl und des Wertes betroffener Transaktionen, des relativen Anteils an der Gesamtsumme an Transaktionen, der Anzahl betroffener Kunden, der zeitlichen Dauer der Vorfälle sowie der Höhe des ausgelösten Schadens überschritten werden.

Neben einem Ad-hoc-Reporting innerhalb von vier Stunden ist eine weitere Berichterstattung erforderlich, sobald die Ursachenanalyse für einen meldepflichtigen Vorfall abgeschlossen ist. Hierfür ist ein Zeitraum von maximal zwei Wochen nach Bereinigung des Vorfalls vorgegeben. Ein Antrag auf eine Verlängerung dieser Frist erfordert u.a. eine Beschreibung der Gründe für die Verzögerung.

Für die Berichterstattung wird ein einheitliches Meldeformat vorgegeben. Ferner werden die Voraussetzungen für eine Auslagerung des Meldewesens an Dritte beschrieben.

Um eine EU-weit einheitliche Handhabung sicherzustellen, erfolgt darüber hinaus eine Konkretisierung der Abstimmungsprozesse zwischen den zuständigen nationalen Behörden sowie der EBA und der EZB.