PSD2: BaFin veröffentlicht Merkblatt zu Kontozugangsschnittstellen

Die BaFin veröffentlicht ihre Verwaltungspraxis als Merkblatt zur Erteilung einer Ausnahme von der Bereitstellung eines Notfallmechanismus nach Artikel 33 Absatz 6 der Delegierten Verordnung (EU) 2018/389.

Hintergrund

Vor Inkrafttreten der PSD2 (Richtlinie (EU) 2015/2366) und deren Umsetzung im deutschen Zahlungsdiensteaufsichtsgesetz (ZAG) nutzten Zahlungsauslösedienstleister (ZAD) und Kontoinformationsdienstleister (KID) die Online-Banking Zugangsdaten der Kontoinhaber, um ihre Dienstleistungen an die Kontoinhaber zu erbringen (sog. Screen Scraping). Die Weitergabe dieser sensiblen Daten war durch die allgemeinen Geschäftsbedingungen (AGB) der kontoführenden Institute in der Regel ausgeschlossen. Auch wenn der Bundesgerichtshof (BGH) ein vertragliches Verbot für kartellrechtlich unzulässig hält, ist auf Grund der damit verbundenen Risiken ein Zugriff auf die Zugangsdaten der Kontoinhaber durch Dritte nicht wünschenswert. Obwohl ZAD und KID Zugang zu den Konten ihrer Kunden hatten, wurden sie vor der PSD2-Umsetzung nicht reguliert.

Nachdem ZAD und KID nun reguliert werden, wurde unter anderem auch festgelegt, dass diese Drittzahlungsdienstleister durch eine dedizierte Schnittstelle – etwa per API (application programming interface) - auf die benötigten Daten bei den kontoführenden Zahlungsdienstleistern zugreifen können müssen. Die Einführung dieser dedizierten Schnittstellen bereitete jedoch einige Schwierigkeiten (siehe unseren Client Alert).

Wenn diese dedizierten Schnittstellen nicht erreichbar sind, legt die Delegierte Verordnung (EU) 2018/389 der Europäischen Kommission fest, dass die kontoführenden Zahlungsdienstleister den Drittzahlungsdienstleister einen Notfallmechanismus zur Verfügung stellen müssen. Kontoführende Zahlungsdienstleister können sich von der Verpflichtung zur Bereitstellung eines solchen Notfallmechanismus befreien lassen, wenn sie bestimmte Bedingungen erfüllen. Die BaFin hatte bereits 2019 ein Antragsformular zur Befreiung sowie 2021 Hinweise zum Antrag veröffentlicht. Das neue BaFin Merkblatt fasst die Verwaltungspraxis der BaFin zu dieser Befreiung nun zusammen.

Befreiung von der Verpflichtung zur Einrichtung des Notfallmechanismus

Die BaFin stellt in ihrem Merkblatt die Anforderungen an eine Befreiung von der Verpflichtung zur Einrichtung des Notfallmechanismus dar. Dabei nimmt die BaFin regelmäßig Bezug auf die Opinion of the European Banking Authority on the implementation of the RTS on SCA and CSC (EBA-OP-2018-04) (siehe hierzu unseren Client Alert) sowie die dazugehörigen EBA Leitlinien (EBA/GL/2018/07). Diese europaweit geltenden Vorgaben sind wesentlicher Bestandteil der BaFin-Praxis.

Die Anforderungen, die die BaFin nun darstellt, gliedern sich in die folgenden Themenbereiche:

1. Die dedizierte Schnittstelle erfüllt alle in der Delegierten Verordnung (EU) 2018/389 gestellten Anforderungen (insbesondere die Anforderungen an eine dedizierte Schnittstelle nach Art. 32 und die allgemeinen Anforderungen an Zugangsschnittstellen nach Art. 30);
2. die dedizierte Schnittstelle wurde zur Zufriedenheit der die dedizierte Schnittstelle nutzende Zahlungsdienstleister gestaltet und getestet;
3. die dedizierte Schnittstelle hat eine Marktbewährungsphase von mindestens drei Monate erfolgreich durchlaufen; und
4. alle Probleme im Zusammenhang mit der dedizierten Schnittstelle wurden unverzüglich behoben.

Anforderungen der Delegierten Verordnung

Die BaFin betont, dass die Delegierte Verordnung verschiedene Anforderungen stellt. Hierbei hebt die BaFin die folgenden Punkte besonders hervor:

• Die dedizierte Schnittstelle muss alle in der Tabelle 1 der EBA Opinion genannten Funktionen haben.
• Service-Level, Performanz und Verfügbarkeit der dedizierten Schnittstelle müssen nach den internen Vorgaben des Instituts mindestens das gleiche Niveau haben, das das Institut bei den Kundenschnittstellen ansetzt.
• Auch in der Praxis müssen Performanz und Verfügbarkeit der dedizierten Schnittstelle mit denen der Kundenschnittstellen mithalten. Geringfügige Abweichungen, die Kunden nicht bemerken, sind jedoch unschädlich.
• Das Institut muss Statistiken über die Performanz und Verfügbarkeit der dedizierten Schnittstelle erstellen und auf der Internetseite veröffentlichen.
• Die Leistungsfähigkeit muss durch Stresstests belegt worden sein.
• Es dürfen keine Hindernisse vorliegen, die die EBA in ihrer Opinion genannt hat. Die BaFin führt beispielhafte Hindernisse auf, z.B. die Notwendigkeit einer manuellen Eingabe der IBAN des Zahlungskontos, notwendige Vorregistrierungen oder auch die Notwendigkeit der Freischaltung der Nutzung von ZAD/KID durch den Zahlungsdienstenutzer im Online-Banking (sog. ex-ante consent).

Zufriedenheit der ZAD/KID

Die dedizierte Schnittstelle muss zur Zufriedenheit der KID und ZAD gestaltet sein. Dies bedeutet aber nicht, dass eine eine positive Zustimmung der KID und ZAD vorliegen muss, sondern nur, dass bei der BaFin keine begründeten Beschwerden eingegangen sind.

Für die Gestaltung der dedizierten Schnittstelle verweist die BaFin auf die Anforderungen der EBA Opinion sowie der EBA Leitlinien.

Die BaFin betont, dass eingestellte Daueraufträge sowie der Name des Kontoinhabers durch KID abrufbar sein müssen. Zudem muss ein Zahlungsdienstnutzer in der Lage sein, einem KID zu erlauben, für 90 Tage vier Mal pro Tag ohne erneute Starke Kundenauthentifizierung die Kontodaten abrufen zu können.

Marktbewährungsphase

Damit ein kontoführender Zahlungsdienstleister sich befreien lassen kann, muss er eine dreimonatige Marktbewährungsphase durchlaufen. In dieser Zeit muss die dedizierte Schnittstelle umfassend genutzt werden. Als Nachweis verlangt die BaFin daher die Vorlage von aktuellen Nutzungszahlen.

Geringe Nutzungszahlen schließen jedoch nicht aus, dass die Marktbewährungsphase erfolgreich absolviert wird. Insbesondere bei kleineren Instituten kann das Interesse von ZAD und KID zur Nutzung gering sein. In diesen Fällen reicht es, wenn das Institut die Nutzungsmöglichkeit publik macht.

Die BaFin veröffentlicht die Institute, die sich in der Marktbewährungsphase befinden, unter Nennung des Beginns der Marktbewährungsphase auf ihrer Internetseite.

Problemlösung

Die kontoführenden Zahlungsdienstleister müssen ohne schuldhaftes Zögern mögliche Probleme mit der dedizierten Schnittstelle beheben. Neben einer Bestätigung durch den kontoführenden Zahlungsdienstleister im Antragsformular stützt die BaFin sich auf mögliche Beschwerden von ZAD und KID. Soweit durch die die Schnittstellen nutzenden ZAD und KID keine begründeten Probleme in ihren Beschwerden gegen einen kontoführenden Zahlungsdienstleister gemeldet wurden, geht die BaFin davon aus, dass alle Probleme mit der dedizierten Schnittstelle unverzüglich behoben wurden.

Fazit