Anfang Juni veröffentlichte die BaFin das Rundschreiben 08/2018 (BA) zur Meldung schwerwiegender Zahlungssicherheitsvorfälle. Das Rundschreiben enthält konkrete Vorgaben zur Klassifizierung solcher Vorfälle und zum Meldeprozess.
Schwerwiegende Zahlungssicherheitsvorfälle: Gesetzliche Meldepflicht
Gemäß § 54 Abs. 1 S. 1 ZAG hat ein Zahlungsdienstleister die BaFin unverzüglich über einen schwerwiegenden Betriebs- oder Sicherheitsvorfall (so genannte schwerwiegende Zahlungssicherheitsvorfälle) zu unterrichten. Das Rundschreiben setzt die Anforderungen der EBA-Leitlinien für die Meldung solcher schwerwiegender Zahlungssicherheitsvorfälle um und konkretisiert damit die Anforderungen des § 54 Abs. 1 S. 1 ZAG. Die Vorgaben des Rundschreibens ersetzen die Meldepflicht nach Nr. 3.2 des Rundschreibens der BaFin zu den Mindestanforderungen an die Sicherheit von Internetzahlungen.
Schwerwiegende Zahlungssicherheitsvorfälle: Für wen gilt die Meldepflicht?
Das Rundschreiben gilt für Zahlungsinstitute, E-Geld-Institute, CRR-Kreditinstitute und die Kreditanstalt für Wiederaufbau, soweit diese Zahlungsdienste im Sinne des ZAG erbringen.
Wann ist ein schwerwiegender Zahlungssicherheitsvorfall gegeben?
Nur schwerwiegende Zahlungssicherheitsvorfälle lösen die Meldepflicht aus. Das Rundschreiben definiert den Zahlungssicherheitsvorfall, d. h. nach der gesetzlichen Terminologie den Betriebs- oder Sicherheitsvorfall, als ein einzelnes Ereignis, oder eine Reihe zusammenhängender Ereignisse, das/die vom Zahlungsdienstleister nicht beabsichtigt wurde und sich negativ auf die Integrität, die Verfügbarkeit, die Vertraulichkeit, die Authentizität und/oder die Kontinuität von zahlungsbezogenen Diensten auswirkt oder aller Wahrscheinlichkeit nach eine solche negative Auswirkung haben wird.
Ein Betriebs- oder Sicherheitsvorfall ist schwerwiegend und damit meldepflichtig, wenn von den nachfolgend aufgeführten Kriterien mindestens ein Kriterium die Voraussetzungen einer „hohen Auswirkungsstufe“ oder mindestens drei Kriterien die Voraussetzungen einer „niedrigen Auswirkungsstufe“ erfüllt bzw. erfüllen.
Die Kriterien sind im Einzelnen:
- „Betroffene Zahlungsvorgänge“
- „Betroffene Zahlungsdienstnutzer“
- „Dienstausfallzeit“
- „Wirtschaftliche Auswirkungen“
- „Hohe interne Eskalationsstufe“
- „Andere Zahlungsdienstleister oder maßgebliche Infrastrukturen, die möglicherweise betroffen sind“ sowie
- „Reputationsschäden“
Die Einordnung als „hohe Auswirkungsstufe“ bzw. als „niedrige Auswirkungsstufe“ hängt davon ab, ob die im Rundschreiben definierten Schwellenwerte zum Betrachtungszeitpunkt bereits erreicht wurden oder aller Wahrscheinlichkeit nach im weiteren Verlauf des Vorfalls erreicht werden.
Wie muss ich schwerwiegende Zahlungssicherheitsvorfälle melden?
Eine vollständige Vorfallsmeldung besteht aus Erst-, Zwischen- und Abschlussmeldung. Eine Erstmeldung ist an die BaFin innerhalb von vier Stunden zu übermitteln, wenn ein schwerwiegender Betriebs- oder Sicherheitsvorfall erstmalig erkannt wird. Zwischenmeldungen sind zu übermitteln, wenn sich der Status des Vorfalls wesentlich geändert hat. Zwischenmeldungen sind mindestens zu dem in der vorherigen Meldung angegebenen Datum für die nächste Aktualisierung zu übermitteln. Wenn der Regelbetrieb wiederhergestellt wurde, ist eine letzte Zwischenmeldung zu übermitteln. Die Abschlussmeldung ist der BaFin grundsätzlich innerhalb von zwei Wochen nachdem der Regelbetrieb wiederhergestellt wurde zu übermitteln.
Meldungen über Zahlungssicherheitsvorfälle sind über die Melde- und Veröffentlichungsplattform (MVP-Portal) der BaFin zu übermitteln. Weitere Informationen enthält das Anschreiben der BaFin zum Rundschreiben.
Umsetzung
Nach eingehender Analyse des Rundschreibens sind die Vorgaben der BaFin – sofern noch nicht geschehen – unverzüglich umzusetzen. Insbesondere sind die Arbeitsabläufe so anzupassen, dass der Zahlungsdienstleister zumindest während der üblichen Geschäftszeiten zu einer zuverlässigen Erkennung eines schwerwiegenden Zahlungssicherheitsvorfalls kommen kann. Zudem sind alle Verantwortlichkeiten für die Meldung von schwerwiegenden Zahlungssicherheitsvorfällen sowie die umgesetzten Prozesse zur Einhaltung der in den vorliegenden Rundschreiben beschriebenen Anforderungen in den Betriebs- und Sicherheitsrichtlinien klar zu definieren. Sofern ein Zahlungsdienstleister die Meldepflicht an einen Dritten auslagern will, sind die hierfür in dem Rundschreiben formulierten Bedingungen zu beachten.
