Am 13. Januar 2018 tritt das Umsetzungsgesetz zur zweite Zahlungsdiensterichtlinie (Payment Services Directive 2 – PSD2) und somit die Neufassung des Zahlungsdiensteaufsichtsgesetzes (ZAG) in Kraft. Neben diversen Erneuerungen werden in Zukunft auch sogenannte Dritte Zahlungsdienstleister, sprich Kontoinformationsdienstleister (Account Information Service Provider – AISP) und Zahlungsauslösedienstleister (Payment Initiation Service Provider – PISP) erstmalig reguliert. Zu Kontoinformationsdiensten berichteten wir bereits ausführlich auf der Basis der Regelungen in der PSD2.
Dieser Beitrag soll den Zahlungsauslösedienst näher beleuchten und Implikationen der öffentlich-rechtlichen Aufsichtsregime über Zahlungsdienste deutlich machen, um FinTechs und Investoren Chancen und Risiken aufzuzeigen. Dabei spielt der 13. Januar 2018 eine besondere Rolle.
1. Der Begriff des Zahlungsauslösedienstes
Ein Zahlungsauslösungsdienst ist ein Dienst, bei dem auf Veranlassung des Zahlungsdienstnutzers ein Zahlungsauftrag in Bezug auf ein bei einem anderen Zahlungsdienstleister (meistens einer Bank) geführtes Zahlungskonto ausgelöst wird. Zahlungsauslösedienstleister nutzen jedoch nicht nur die Daten des Zahlers und lösen hierdurch eine Zahlung aus; der Mehrwert liegt für den Handel in der Bestätigung an den Zahlungsempfänger (z.B. dem Verkäufer), dass die Zahlung erfolgt ist. Durch diese Bestätigung, kann der Zahlungsempfänger unmittelbar mit dem Versenden der Ware, der Erbringung der Dienstleistung, etc. beginnen. Letztlich wird ein Vorgang ausgelöst, welcher der Nutzung einer Kreditkarte ähnelt.
2. Abgrenzung zu technischen Dienstleistern
Auf Grund der Nähe zu einem reinen technischen Dienstleister ist diese Abgrenzung von besonderer Relevanz. Dienste, die von technischen Dienstleistern erbracht werden, die zwar zur Erbringung der Zahlungsdienste beitragen, jedoch zu keiner Zeit in den Besitz der zu übertragenden Gelder gelangen, gelten nicht als Zahlungsdienst. Der Gesetzestext stellt hierbei ausdrücklich klar, dass dies nicht für Zahlungsauslösedienste und Kontoinformationsdienste gilt.
Dabei ist es für den Zahlungsauslösedienst erforderlich, dass dieser den Zahlungsauftrag übermittelt und nicht nur eine Autorisierungsanfrage. Werden nur eine Autorisierungsanfrage oder ein Datensatz zur Abrechnung einer Zahlung übermitteln, bekommt der Dienstleister selbst aufgrund der technischen Ausgestaltung zu keiner Zeit Zugriff auf das Zahlungskonto. Dann besteht auch keine Erlaubnispflicht, es sei denn, der Dienstleister erlangt Besitz über Kundengelder oder die Verfügungsbefugnis über die zu transferierenden Geldbeträge.
Auch Dienstleister, die die technische Verbindung zwischen dem POS-Terminal und dem kartenausgebenden Institut bei Kartenzahlungen herstellen, fallen nicht unter den Begriff der Zahlungsauslösedienste.
3. Grundsätzliche Anforderungen
Der Zahlungsauslösedienstleister muss, wie alle erlaubnispflichtigen Zahlungsinstitute, in der Rechtsform der juristischen Person oder Personenhandelsgesellschaft organisiert sein. Er muss mindestens zwei Geschäftsleiter bestellen (bei geringer Größe genügt ein Geschäftsleiter). Die erforderlichen Mittel zum Geschäftsbetrieb müssen zur Verfügung stehen und das Anfangskapital mindestens EUR 50.000 betragen. Viele Vorschriften für Dritte Zahlungsdienstleister treten erst verzögert zeitgleich mit den RTS (siehe unten) in Kraft.
4. Berufshaftpflichtversicherung
Der Zahlungsauslösedienst muss entweder über eine Berufshaftpflichtversicherung oder eine andere gleichwertige Garantie verfügen, die alle Länder abdeckt, in denen er tätig werden will. Diese Absicherung für den Haftungsfall muss durch ein im Inland zum Geschäftsbetrieb befugten Versicherungsunternehmen oder Kreditinstitut bereitgestellt werden. Die EBA hat Leitlinien zu den Anforderungen an die Mindestdeckungssumme veröffentlicht.
5. RTS on SCA
Da Dritte Zahlungsdienstleister auf die Systeme der kontoführenden Zahlungsdienstleister (regelmäßig Banken) und damit auf sensible Daten zugreifen, bestehen besondere Anforderungen an diese Schnittstellen. Dies erfolgt im Einklang mit den Regelungen für die Verfahren zur starken Kundenauthentifizierung (sog. Strong Customer Authentication - SCA). Die European Banking Authority (EBA) entwickelte in enger Zusammenarbeit mit der Europäischen Zentralbank (EZB) technische Regulierungsstandards zur starken Kundenauthentifizierung und sicheren Kommunikation (Regulatory Technical Standards on Strong Customer Authentication (SCA) and common and secure communication (CSC) (RTS on SCA), im Weiteren nur RTS).
Am 27. November 2017 veröffentlichte die Europäische Kommission die finale Fassung der RTS. Die darin getroffenen Regelungen sollen 18 Monate nach ihrer Veröffentlichung im Amtsblatt der Europäischen Union in Kraft treten; die Europäische Kommission rechnet mit September 2019. Ab diesem Zeitpunkt gelten dann auch die besonderen Regelungen für Kontoinformationsdienste und Zahlungsauslösedienste.
Daneben klären die RTS auch die Frage nach dem umstrittenen Screen Scraping. Screen Scraping beschreibt das Vorgehen von Zahlungsauslösedienstleistern, wenn diese durch das Zahlungsnutzer-Interface ihrer Kunden (d.h. in der Regel mit deren PIN) auf deren Zahlungskonten zugreifen. Durch dieses Verfahren haben Dritte Zahlungsdienstleister Zugriff auf die Nutzerdaten, ohne dass der Zugriff durch diese gegenüber der Bank offengelegt wird. Dieses Vorgehen war den Banken bislang ein Dorn im Auge; nicht nur, dass die Weitergabe der Zugangsdaten (PIN) in den AGB regelmäßig verboten war (diese Klausel sieht das Bundeskartellamt als unzulässig an), darüber hinaus können die Dritten Zahlungsdienstleister die mitunter aufwendig für den Kunden entwickelte Software der Banken für ihren eigenen Service nutzen.
Das neue ZAG gewährt aber dem Dritten Zahlungsdienstleister den Zugang zu dem Zahlungskonto seines Kunden. Die Europäische Kommission vertritt die Auffassung, dass Screen Scraping für Zahlungsauslösedienste grundsätzlich nicht mehr zulässig sein wird. Allerdings müssen diese einen Zugang zu den relevanten Daten ihrer Kunden erhalten. Kontoführende Zahlungsdienstleister (überwiegend Banken) können hierbei entscheiden, ob dieser Zugang derselbe Zugang ist, wie der, der dem Kontoinhaber zur Verfügung gestellt wird, oder ob eine eigens dafür entwickelte Schnittstelle genutzt werden soll. Dies sorgte für Diskussion, da teilweise eine Abhängigkeit von Banken befürchtet wurde, welche den Zugang beliebig öffnen und schließen könnte; ferner wurde auf Systemausfälle hingewiesen, in denen es den Dritten Zahlungsdiensten dann doch möglich sein müsse Screen Scraping zu betreiben. Letztlich entschied sich die Europäische Kommission für das Verbot von Screen Scraping im klassischen Sinn. Allerdings muss eine fall-back Lösung etabliert werden: Sollte die dem Dritten Zahlungsdienstleister zur Verfügung gestellte Schnittstelle nicht funktionieren, der Nutzerzugang des Kontoinhabers allerdings möglich sein, so muss den Dritten Zahlungsdienstleistern dieser Zugang gestattet werden. Dass ein Zugang nicht möglich ist, darf ein Dritter Zahlungsdienstleister annehmen, wenn fünf aufeinanderfolgende Anfragen für den Zugang zu Informationen zur Bereitstellung von Zahlungsauslösediensten oder Kontoinformationsdiensten nicht innerhalb von 30 Sekunden beantwortet werden.
6. Frist zur Erlaubnisbeantragung bzw. Registrierung
Das neue ZAG sieht Übergangsvorschriften für bereits tätige Kontoinformationsdienstleister und Zahlungsauslösedienstleister vor. So dürfen die Kontoinformationsdienstleister und Zahlungsauslösedienstleister, die ihre Tätigkeit bereits vor dem 12. Januar 2016 ausgeübt haben, ihre Dienste bis längstens zum Inkrafttreten der RTS (September 2019) unter den bisher gültigen Voraussetzungen erbringen.
Kontoinformationsdienstleister und Zahlungsauslösedienstleister, die ab dem 13. Januar 2018 tätig sein und diese Dienste auch ab dem 13. Januar 2018 weiter anbieten wollen, müssen innerhalb von drei Monaten ab dem 13. Januar 2018 einen Erlaubnis- oder Registrierungsantrag stellen. Wird der Erlaubnisantrag oder Registrierungsantrag rechtzeitig und vollständig gestellt, so können die Kontoinformationsdienstleister und Zahlungsauslösedienstleister bis zur Bestandskraft der Entscheidung über den Erlaubnis- bzw. Registrierungsantrag weiterhin tätig bleiben.
Nach der Meinung der BaFin müssen danach alle Dritten Zahlungsdienstleister ab dem 13. Januar 2018 ihre Anträge stellen (bzw. vorbereiten und binnen drei Monaten einreichen). Die Übergangsvorschriften befreien demnach nicht von der Erlaubnis- bzw. Registrierungspflicht, sondern nur von den besonderen Anforderungen des neuen ZAG.
Auch die Europäische Kommission rief Kontoinformationsdienstleister und Zahlungsauslösedienstleister, die bereits vor 13. Januar 2016 tätig waren, Ende November 2017 dazu auf, schnellstmöglich eine Erlaubnis bzw. Registrierung zu beantragen.
Am 19. Dezember 2017 hat die EBA eine Stellungnahme zum Übergang der Regelungen von der PSD1 zur PSD2 veröffentlich, die sich an die nationalen Aufsichtsbehörden richtet. Darin stellt sie fest, dass Kontoinformationsdienstleister und Zahlungsauslösedienstleister nach dem 13. Januar 2018 ohne Erlaubnis oder Registrierung ihre Tätigkeit nicht aufnehmen bzw. fortsetzen darf. Hierfür sieht die EBA (unter Verweis auf Art. 115 Abs. 5 PSD2) allerdings eine Ausnahme für Kontoinformationsdienstleister und Zahlungsauslösedienstleister, die diese Tätigkeit bereits vor dem 12. Januar 2016 im gleichen Mitgliedsstaat ausgeübt haben. Diese dürften die Tätigkeit fortsetzen, auch wenn sie noch nicht über die Erlaubnis oder Registrierung verfügen.
Eine Änderung an dem Umstand, dass ab dem 13. Januar 2018 alle Kontoinformationsdienstleister und Zahlungsauslösedienstleister, d.h. heißt auch solche Kontoinformationsdienstleister und Zahlungsauslösedienstleister, die ihre Tätigkeit bereits vor dem 12. Januar 2016 ausgeübt haben, ab dem 13. Januar 2018 einen Erlaubnis- bzw. Registrierungsantrag stellen müssen bedeutet dies jedoch nicht. Wir empfehlen daher allen Kontoinformationsdienstleistern und Zahlungsauslösedienstleistern die Absicht der Antragsstellung frühzeitig bei der BaFin anzuzeigen.
Mit freundlicher Unterstützung von Timo Förster (wissenschaftlicher Mitarbeiter), Bird & Bird Frankfurt am Main