Die Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) hat in ihrer Aufsichtsmitteilung vom 09.10.2024 (hier abrufbar) ihre Erwartungshaltung bezüglich der Kontozugangsschnittstellen im Rahmen der Zweiten Zahlungsdiensterichtlinie (PSD2) präzisiert. Diese Klarstellungen betreffen aktuelle Fragestellungen bei der Bereitstellung dedizierter Kontozugangsschnittstellen. Die BaFin hat sich dabei u.a. an den einschlägigen Q&As der Europäischen Bankenaufsichtsbehörde (EBA) orientiert.
1. Veröffentlichung von Statistiken zur Schnittstellenverfügbarkeit
Kontoführende Zahlungsdienstleister haben auf ihrer Website vierteljährliche Statistiken über die Verfügbarkeit und die Leistung der dedizierten Schnittstelle und der von ihren Zahlungsdienstnutzern verwendeten Schnittstelle zu veröffentlichen (vgl. Artikel 32 Absatz 4 Satz 2 der Delegierten Verordnung (EU) 2018/389).
Die BaFin kann eine angemessene Zeitspanne festlegen, die von den Statistiken erfasst sein soll (vgl. EBA Q&A 2023 6687).
Erwartungshaltung der BaFin
Die BaFin teilt mit, dass die veröffentlichen Statistiken der kontoführenden Zahlungsdienstleister mindestens den Zeitraum der letzten vier Quartale umfassen soll.
2. „Screen Scraping“ von Redirection-Seiten
Kontoführende Zahlungsdienstleister müssen gewährleisten, dass die technische Spezifikation einer jeden Schnittstelle dokumentiert ist und die Routinen, Protokolle und Tools beschreibt, die von Drittanbieter wie Zahlungsauslösedienstleister (ZAD) / Kontoinformationsdienstleister (KID) benötigt werden, damit die Interoperabilität ihrer Software und ihrer Anwendungen mit den Systemen der kontoführenden Zahlungsdienstleister gegeben ist (vgl. Artikel 30 Absatz 3 Unterabsatz 2 der Delegierten Verordnung (EU) 2018/389)
Das ist wichtig, da ZAD/KID beim Zugriff auf die dedizierte Schnittstelle des kontoführenden Zahlungsdienstleisters die von diesem festgelegten technischen Spezifikationen zu befolgen haben (vgl. EBA Q&A 2021 6044).
Als Methoden zur Durchführung des Authentifizierungsverfahrens der Zahlungsdienstnutzer kann der kontoführende Zahlungsdienstleister frei entscheiden; z.B. kann er sich für den Redirection-, Embedded- oder Decoupled-Ansatz (oder eine Kombination davon) entscheiden.
Nutzen ZAD/KID alternative Ansätze zur Authentifizierung (wie z.B. „Screen Scarping“), die technisch von den Spezifikationen des kontoführenden Zahlungsdienstleister abweichen, werden diese Ansätze als „non compliant“ eingestuft.
Beispiel:
„Wenn sich der kontoführende Zahlungsdienstleister für einen Redirection-Ansatz oder Decoupled-Ansatz entschieden hat und dieser hindernisfrei ausgestaltet ist, muss der ZAD/KID – die Spezifikation befolgend – die Zahlungsdienstnutzer entsprechend auf die Domäne des kontoführenden Zahlungsdienstleisters zur Authentifizierung umleiten. Einen eigenen technischen Ansatz für die Abfrage und nachfolgende Übermittlung der Zugangsdaten der Zahlungsdienstnutzer an den kontoführenden Zahlungsdienstleister einzuführen, der sich von dem vom kontoführenden Zahlungsdienstleister in den technischen Spezifikationen der dedizierten Schnittstelle vorgesehenen Ansatz unterscheidet, ist demnach als nicht zulässig zu betrachten.“ (vgl. BaFin Aufsichtsmitteilung vom 09.10.2024, dort unter 2) „Screen Scraping“ von Redirection-Seiten).
Erwartungshaltung der BaFin
- Verwenden ZAD/KID andere Zugriffsarten auf die dedizierte Schnittstelle (z.B. Screen Scraping), die nicht in der technischen Spezifikation (Dokumentation) des kontoführenden Zahlungsdienstleisters beschrieben ist, erfolgt dies außerhalb des regulatorisch Erlaubten.
- Der kontoführende Zahlungsdienstleister darf in diesen Fällen den Zugriff blockieren. Die Zugriffsblockierung ist in diesem Fall aufsichtlich nicht zu beanstanden.
Die BaFin wird Hinweisen zu aufsichtlichen Verstößen nachgehen.
3. Meldepflicht bei Störungen der dedizierten Schnittstellen
Wenn eine dedizierte Kontozugangsschnittstelle ausfällt, haben sowohl der kontoführende Zahlungsdienstleister als auch ZAD/KID den Ausfall unverzüglich an die BaFin zu melden (vgl. Artikel 33 Absatz 3 der Delegierten Verordnung (EU) 2018/389).
Von einem Ausfall ist auszugehen, wenn fünf aufeinanderfolgende Zugangsanfragen von ZAD/KID nicht innerhalb von 30 Sekunden beantwortet werden (vgl. Artikel 33 Abs. 1 Satz 2 der Delegierten Verordnung (EU) 2018/389).
Erwartungshaltung der BaFin
Die Meldung erfolgt unverzüglich, formlos und ausschließlich an die BaFin (via E-Mail an git1@bafin.de).
In der Meldung sind das Datum und die Dauer der Störung anzugeben. Anzugeben ist auch, ob nur bestimmte Dienste (Zahlungsauslösedienste, Kontoinformationsdienste) von der Störung betroffen waren.
Kontoführende Zahlungsdienstleister sollten darüber hinaus den Grund für die Störung der dedizierten Schnittstelle angeben sowie ob ggfs. entsprechende Maßnahmen veranlasst wurden und ob ZAD/KID über die Störung der dedizierten Schnittstelle informiert wurden.
Fazit
Die Aufsichtsmitteilung der BaFin zu dedizierten Kontozugangsschnittstellen ist zu begrüßen. Mit der Formulierung ihrer Erwartungshaltung stellt die BaFin u.a. die Transparenz über die Stabilität und Leistungsfähigkeit der Schnittstellen sicher (vgl. den angemessenen Zeitraum bei der Veröffentlichung von Statistiken zur Schnittstellenverfügbarkeit). Zugleich fördert die veröffentlichte Erwartungshaltung der BaFin auch die Rechtssicherheit, wenn kontoführenden Zahlungsdienstleistern in bestimmten Fällen den Zugriff durch ZAD/KID blockieren, die dann aufsichtlich nicht zu beanstanden ist. Mit diesen Klarstellungen können die betroffenen Marktteilnehmer im Zahlungsverkehr – von Banken als kontoführende Zahlungsdienstleister, über ZAD und KID bis hin zu IT-Dienstleistern – die Erwartungshaltung der BaFin in ihren Prozessen entsprechend widerspiegeln, um eine reibungslose Zusammenarbeit im Finanzsektor sicherzustellen.
