PPayments & Regulierung

BaFin-Rundschreiben: Meldung von Zahlungssicherheitsvorfällen

0
Shares
0
0
0
0
0
0

Anfang Juni veröffentlichte die BaFin das Rundschreiben 08/2018 (BA) zur Meldung schwerwiegender Zahlungssicherheitsvorfälle. Das Rundschreiben enthält konkrete Vorgaben zur Klassifizierung solcher Vorfälle und zum Meldeprozess.

Schwerwiegende Zahlungssicherheitsvorfälle: Gesetzliche Meldepflicht

Gemäß § 54 Abs. 1 S. 1 ZAG hat ein Zahlungsdienstleister die BaFin unverzüglich über einen schwerwiegenden Betriebs- oder Sicherheitsvorfall (so genannte schwerwiegende Zahlungssicherheitsvorfälle) zu unterrichten. Das Rundschreiben setzt die Anforderungen der EBA-Leitlinien für die Meldung solcher schwerwiegender Zahlungssicherheitsvorfälle um und konkretisiert damit die Anforderungen des § 54 Abs. 1 S. 1 ZAG. Die Vorgaben des Rundschreibens ersetzen die Meldepflicht nach Nr. 3.2 des Rundschreibens der BaFin zu den Mindestanforderungen an die Sicherheit von Internetzahlungen.

Schwerwiegende Zahlungssicherheitsvorfälle: Für wen gilt die Meldepflicht?

Das Rundschreiben gilt für Zahlungsinstitute, E-Geld-Institute, CRR-Kreditinstitute und die Kreditanstalt für Wiederaufbau, soweit diese Zahlungsdienste im Sinne des ZAG erbringen.

Wann ist ein schwerwiegender Zahlungssicherheitsvorfall gegeben?

Nur schwerwiegende Zahlungssicherheitsvorfälle lösen die Meldepflicht aus. Das Rundschreiben definiert den Zahlungssicherheitsvorfall, d. h. nach der gesetzlichen Terminologie den Betriebs- oder Sicherheitsvorfall, als ein einzelnes Ereignis, oder eine Reihe zusammenhängender Ereignisse, das/die vom Zahlungsdienstleister nicht beabsichtigt wurde und sich negativ auf die Integrität, die Verfügbarkeit, die Vertraulichkeit, die Authentizität und/oder die Kontinuität von zahlungsbezogenen Diensten auswirkt oder aller Wahrscheinlichkeit nach eine solche negative Auswirkung haben wird.

Ein Betriebs- oder Sicherheitsvorfall ist schwerwiegend und damit meldepflichtig, wenn von den nachfolgend aufgeführten Kriterien mindestens ein Kriterium die Voraussetzungen einer „hohen Auswirkungsstufe“ oder mindestens drei Kriterien die Voraussetzungen einer „niedrigen Auswirkungsstufe“ erfüllt bzw. erfüllen.

Die Kriterien sind im Einzelnen:

  • „Betroffene Zahlungsvorgänge“
  • „Betroffene Zahlungsdienstnutzer
  • „Dienstausfallzeit“
  • „Wirtschaftliche Auswirkungen“
  • „Hohe interne Eskalationsstufe“
  • „Andere Zahlungsdienstleister oder maßgebliche Infrastrukturen, die möglicherweise betroffen sind“ sowie
  • „Reputationsschäden“

Die Einordnung als „hohe Auswirkungsstufe“ bzw. als „niedrige Auswirkungsstufe“ hängt davon ab, ob die im Rundschreiben definierten Schwellenwerte zum Betrachtungszeitpunkt bereits erreicht wurden oder aller Wahrscheinlichkeit nach im weiteren Verlauf des Vorfalls erreicht werden.

Wie muss ich schwerwiegende Zahlungssicherheitsvorfälle melden?

Eine vollständige Vorfallsmeldung besteht aus Erst-, Zwischen- und Abschlussmeldung. Eine Erstmeldung ist an die BaFin innerhalb von vier Stunden zu übermitteln, wenn ein schwerwiegender Betriebs- oder Sicherheitsvorfall erstmalig erkannt wird. Zwischenmeldungen sind zu übermitteln, wenn sich der Status des Vorfalls wesentlich geändert hat. Zwischenmeldungen sind mindestens zu dem in der vorherigen Meldung angegebenen Datum für die nächste Aktualisierung zu übermitteln. Wenn der Regelbetrieb wiederhergestellt wurde, ist eine letzte Zwischenmeldung zu übermitteln. Die Abschlussmeldung ist der BaFin grundsätzlich innerhalb von zwei Wochen nachdem der Regelbetrieb wiederhergestellt wurde zu übermitteln.

Meldungen über Zahlungssicherheitsvorfälle sind über die Melde- und Veröffentlichungsplattform (MVP-Portal) der BaFin zu übermitteln. Weitere Informationen enthält das Anschreiben der BaFin zum Rundschreiben.

Umsetzung

Nach eingehender Analyse des Rundschreibens sind die Vorgaben der BaFin – sofern noch nicht geschehen – unverzüglich umzusetzen. Insbesondere sind die Arbeitsabläufe so anzupassen, dass der Zahlungsdienstleister zumindest während der üblichen Geschäftszeiten zu einer zuverlässigen Erkennung eines schwerwiegenden Zahlungssicherheitsvorfalls kommen kann. Zudem sind alle Verantwortlichkeiten für die Meldung von schwerwiegenden Zahlungssicherheitsvorfällen sowie die umgesetzten Prozesse zur Einhaltung der in den vorliegenden Rundschreiben beschriebenen Anforderungen in den Betriebs- und Sicherheitsrichtlinien klar zu definieren. Sofern ein Zahlungsdienstleister die Meldepflicht an einen Dritten auslagern will, sind die hierfür in dem Rundschreiben formulierten Bedingungen zu beachten.

0
0

Matthäus ist Rechtsanwalt und Partner der Kanzlei Annerton am Standort München. Er berät seit über 10 Jahren Mandanten aus der Finanzdienstleistungs- und Paymentbranche. Der Schwerpunkt seiner Tätigkeit liegt in der Beratung zu Fragen des Bankaufsichtsrechts, Zahlungsverkehrsrechts sowie des Geldwäscherechts.



Indem Sie fortfahren, akzeptieren Sie unsere Datenschutzerklärung.
You May Also Like
BBitcoin & Kryptowährungen
MiCAR trifft PSD2: Warum E-Geld-Token plötzlich doppelt reguliert werden | ALLES LEGAL #138
Weiterlesen
  • 2 Minuten

MiCAR trifft PSD2: Warum E-Geld-Token plötzlich doppelt reguliert werden | ALLES LEGAL #138

Seit dem Ende der EBA-Übergangsphase im März 2026 müssen viele Kryptowerte-Dienstleister prüfen, ob neben der MiCAR auch eine PSD2- beziehungsweise ZAG-Lizenz erforderlich ist. In dieser Folge erklärt Kemal Ahmedi, warum sich Krypto- und Zahlungsdiensterecht überschneiden und welche Folgen das für Geschäftsmodelle und Lizenzstrategien hat.
Weiterlesen
DDatenschutz
Datenschutz im Zahlungsverkehr – Rechtliche Grundlagen und Besonderheiten Data Protection in Payment Services – Legal Framework and Key Particularities
Weiterlesen
  • 9 Minuten

Datenschutz im Zahlungsverkehr – Rechtliche Grundlagen und Besonderheiten

Der Datenschutz im Zahlungsverkehr bewegt sich im Spannungsfeld zwischen DSGVO, PSD2 und ZAG. Besonders herausfordernd ist dabei die rechtliche Einordnung von Zahlungsdaten, da Transaktionsdaten weitreichende Rückschlüsse auf persönliche Lebensbereiche ermöglichen können. Der Beitrag beleuchtet die wichtigsten Rechtsgrundlagen der Datenverarbeitung sowie die datenschutzrechtlichen Rollen und Verantwortlichkeiten von Zahlungsdienstleistern, PISP und AISP.
Weiterlesen
PPayments & Regulierung
Ist bei E-Geld ein Vertrag zwischen dem E-Geld-Herausgeber und der Akzeptanzstelle erforderlich? Is a contract between the e-money issuer and the merchant required for e-money?
Weiterlesen
  • 8 Minuten

Ist bei E-Geld ein Vertrag zwischen dem E-Geld-Herausgeber und der Akzeptanzstelle erforderlich?

Der Beitrag analysiert die umstrittene Interpretation von Art. 11 Abs. 7 EMD2 durch die Europäische Kommission im Zusammenhang mit der Definition von E-Geld. Im Mittelpunkt steht die Frage, ob für die Akzeptanz von E-Geld zwingend eine vertragliche Beziehung zwischen E-Geld-Emittent und Akzeptanzstelle erforderlich ist. Der Artikel kommt zu dem Ergebnis, dass sich aus Art. 11 Abs. 7 EMD2 keine generelle Vertragspflicht für die Akzeptanz von E-Geld ableiten lässt.
Weiterlesen