PSD2: Neue FAQ der BaFin zur Meldung schwerwiegender Zahlungssicherheitsvorfälle

Das Rundschreiben 03/2022 (BA) der BaFin zur Meldung schwerwiegender Zahlungssicherheitsvorfälle gilt seit dem 01. Oktober 2022 (wir berichteten hierzu). Nun hat die BaFin ein FAQ veröffentlicht, in dem sie Antworten auf verschiedene Fragen im Zusammenhang mit der Meldepflicht und dem Meldeverfahren gibt.

In den FAQ führt die BaFin insbesondere aus, wie eine fehlerhafte Meldung zu korrigieren ist, was Zahlungsdienstleister melden müssen, wenn (noch) nicht klar ist, welchen Umfang ein Zahlungssicherheitsvorfall hat, und welche Konsequenz es hat, wenn die Pflicht zur Abgabe einer Erstmeldung auf ein Wochenende oder einen Feiertag fällt.

Meldepflicht nach § 54 Absatz 1 Satz 1 ZAG

Durch das Rundschreiben 03/2022 (BA) überführte die BaFin die von der Europäischen Bankenaufsicht (EBA) vorgenommenen Änderung zur Meldepflicht schwerwiegender Zahlungssicherheitsvorfälle in die deutsche Zahlungsdiensteaufsicht.

Tritt ein schwerwiegender Zahlungssicherheitsvorfall bei einem Zahlungsdienstleister (etwa ein Zahlungsinstitut, ein E-Geld-Institut sowie ein CRR-Kreditinstitut oder die Kreditanstalt für Wiederaufbau (KfW), soweit diese Zahlungsdienste anbieten), muss dieser die BaFin gemäß § 54 Absatz 1 Satz 1 Zahlungsdiensteaufsichtsgesetz (ZAG) unverzüglich hiervon unterrichten. Hierzu ist ein dreistufiges Meldeverfahren vorgesehen. Dieses sieht eine Erstmeldung, (ggf. mehrere) Zwischenmeldungen und eine Abschlussmeldung vor.

Bei einem Zahlungssicherheitsvorfall handelt es sich laut Rundschreiben 03/2022 (BA) um „ein aus einem Einzelereignis oder einer Verkettung von Ereignissen bestehenden Vorfall, der vom Zahlungsdienstleister nicht beabsichtigt wurde und sich nachteilig auf die Integrität, die Verfügbarkeit, die Vertraulichkeit und/oder die Authentizität von zahlungsbezogenen Diensten auswirkt oder wahrscheinlich auswirken wird“. 

Auslösendes Ereignis für die Pflicht zur Abgabe einer Erstmeldung ist die Klassifizierung eines Zahlungssicherheitsvorfall als „schwerwiegend“. Dies ist anhand einer Reihe von Kriterien zu beurteilen, die wir bereits in unserem vorherigen Beitrag dargestellt haben. In ihrem Rundschreiben 03/2022 (BA) übernimmt die BaFin die Maßstäbe (eingeteilt in niedrige und hohe Auswirkungsstufe) um zu klassifizieren, ob eine Erstmeldung abzugeben ist. Dies ist der Fall, wenn mindestens eines der Kriterien eine „hohe Auswirkungsstufe“ oder mindestens drei Kriterien eine „niedrige Auswirkungsstufe“ erreichen.

Stellt ein Zahlungsdienstleister einen Zahlungssicherheitsvorfall fest, so hat dieser innerhalb von 24 Stunden eine Klassifizierung anhand der soeben beschriebenen Kriterien und Maßstäbe vorzunehmen. Im Falle des Vorliegens eines schwerwiegenden Vorfalles hat die Erstmeldung an die BaFin innerhalb von 4 Stunden zu erfolgen. Auch die Reklassifizierung/Hochstufung eines ursprünglich nicht-schwerwiegenden in einen schwerwiegenden Vorfall löst die Meldepflicht aus.

In der Folge hat der pflichtige Zahlungsdienst eine Zwischenmeldung zu erbringen, wenn die reguläre Tätigkeit wieder aufgenommen wurden und der Regelbetrieb besteht. Dies ist der Fall, wenn das ursprüngliche Leistungsniveau wiederhergestellt ist und keine Notfallmaßnahmen mehr aktiv sind. Auch für den Fall, dass der Regelbetrieb nicht wieder aufgenommen ist, ist eine Meldung zu erbringen – diese ist innerhalb von 3 Tagen nach der Erstmeldung und dann in diesem Turnus zu erbringen.

Wird der Regelbetrieb wiederaufgenommen, so ist innerhalb von 20 Tagen nach der Wiederaufnahme eine Abschlussmeldung an die Bafin zu erbringen. Diese Frist kann unter Angabe der Gründe in Rücksprache mit der Bafin verlängert werden. Im Abschlussbericht ist der Umfang des Vorfalls (in konkreten Zahlen), (sofern verfügbar) die Hauptursache(n) und die Maßnahmen, die zur Behebung des Problems oder zur Verhinderung seines erneuten Auftretens in der Zukunft ergriffen wurden oder geplant sind, aufzuführen.

Klarstellungen durch FAQ

Offenbar sah sich die BaFin trotz des Rundschreibens dazu veranlasst, einzelne Klarstellungen zu treffen, die die Meldepflicht aus § 54 Absatz 1 Satz 1 ZAG betreffen.

Korrektur fehlerhafter Meldungen

Gibt ein Zahlungsdienstleister eine fehlerhafte Meldung ab, so kann er diese nicht im eigentlichen Sinne korrigieren. Vielmehr hat er eine erneute, fehlerfreie Meldung abzugeben. Sofern der Vorgang bereits abgeschlossen ist, hat er dies mittels einer erneuten Abschlussmeldung vorzunehmen, die die letzte Meldung des Verfahrens darstellt.

Um eine Zuordnung der korrigierenden Meldung zu ermöglichen, ist die Vorfallsnummer (Incident-ID) anzugeben. 

Umgang mit unbekannten Vorfallsdaten

Sind genaue Daten zur Zahl der betroffenen Zahlungsvorgänge oder der betroffenen Zahlungsdienstnutzer nicht verfügbar, entfällt dadurch nicht die Pflicht zur Abgabe einer Meldung. Vielmehr sind Schätzwerte anzugeben, die durch Extrapolierung historischer Daten zu ermitteln sind. Zur Nachvollziehbarkeit durch die BaFin sind Anmerkungen zur Schätzung (etwa Methode, zugrundeliegende Daten, Zeitraum gesicherter Daten) im Kommentarfeld des Meldeformulars anzugeben.

Zu beachten ist, dass Anknüpfungspunkt für die Meldepflicht der klassifizierte schwerwiegende Zahlungssicherheitsvorfall ist. Diese Pflicht entfällt auch dann nicht, wenn die betroffenen Vorfälle nachgeholt oder auf anderem Wege ausgeführt werden konnten. Jedoch ist dies im Rahmen der Meldung an die BaFin darzulegen.

Betroffenheit anderer Zahlungsdienstleister

Weiterhin stellt die BaFin klar, wann eine Betroffenheit anderer Zahlungsdienstleister zu melden ist und erklärt beispielshaft, wodurch diese zu Stande kommen kann. Dies ist der Fall, wenn der Sicherheitsvorfall auch andere Zahlungsdienstleister betrifft oder wahrscheinlich betreffen wird sowie ferner, wenn die Finanzmarktinfrastruktur insgesamt von den Auswirkungen betroffen werden kann.

Zur Veranschaulichung führt die BaFin an, dass etwa die Betroffenheit branchenweit verwendeter Soft- oder Hardware, das Vorliegen eines Vorfalles bei einem (vermutlich) branchenweit tätigen Drittdienstleisters oder des Ausfalles bei einem Dienstleister die Betroffenheit anderer Zahlungsdienstleister bedeuten kann. Ferner kann auch der Ausfall eines Zahlungsdienstleisters Auswirkungen innerhalb der Finanzmarktinfrastruktur haben. 

Besteht eine derartige (wahrscheinliche) Betroffenheit anderer Zahlungsdienstleister, ist eine Meldung nach § 54 Absatz 1 Satz 1 ZAG abzugeben.

Erstmeldung an Wochenenden und Feiertagen

Hinsichtlich der Abgabe einer Erstmeldung verdeutlicht die BaFin, dass meldepflichtige Vorfälle auch an einem Wochenende oder an einem Feiertag festgestellt, klassifiziert und gemeldet werden müssen. So stelle die Anforderung zur Erkennung und Klassifizierung von Zahlungssicherheitsvorfällen eine Mindestanforderung dar. Dies bedeute jedoch nicht, dass die darüberhinausgehende Beobachtung der Funktionsfähigkeit des Zahlungsdiensteverkehrs optional ist. Schließlich böte das Rundschreiben keine Ausnahmeregelung für Wochenenden oder Feiertage.

Klarstellungen zur Abgabe der Zwischenmeldungen

Letztlich stellt die BaFin die Anforderungen an die Abgabe der Zwischenmeldungen klar. Diese hat stets dann zu erfolgen, wenn die regulären Tätigkeiten wiederaufgenommen und der Regelbetrieb wiederhergestellt worden sind. Sollte der Regelbetrieb jedoch nicht innerhalb von drei Tagen nach der Erstmeldung wiederhergestellt worden sein, so ist eine entsprechende Zwischenmeldung abzugeben. Eine weitere Zwischenmeldung ist jedoch nur erforderlich, wenn wesentliche Änderungen des Vorfalls eintreten oder der Regelbetrieb wieder aufgenommen wird. Ist bereits eine Erst- oder eine Zwischenmeldung abgegeben, wenn eine wesentliche Änderung eintritt, so ist die BaFin im Rahmen einer ersten beziehungsweise einer zweiten Zwischenmeldung über diese Änderung in Kenntnis zu setzen.

Hinzuweisen ist darauf, dass die Zwischenmeldung stets abzugeben ist – dies ist auch der Fall, wenn der Vorfall bereits am Tag der Erstmeldung beseitigt werden kann.

Ausblick/Stellungnahme

Die Klarstellungen der BaFin durch das FAQ sind nicht überraschend, sondern konkretisieren was das Rundschreiben 03/2022 (BA) bereits regelt. Die Klarstellungen sind zu begrüßen, da sie Unklarheiten beseitigen. Die Möglichkeit der Korrektur fehlerhafter Meldungen durch die Abgabe einer fehlerfreien Meldung gibt den meldepflichtigen Zahlungsdienstleistern ein vertrautes Werkzeug an die Hand, ohne das bestehende System zu erweitern und zu verkomplizieren. Dies schafft (Rechts-)Klarheit und ist daher zu begrüßen.

 

Mit freundlicher Unterstützung von Manuel Traub, wissenschaftlicher Mitarbeiter.