Rundschreiben zu den Mindestanforderungen an die Sicherheit von Internetzahlungen

Stellungnahme vom 18. März 2015

Der PVD begrüßt das gemeinsame Bestreben der Bundesanstalt für Finanzdienstleistungsaufsicht und der Europäischen Zentralbank, Betrug im Zahlungsverkehr zu bekämpfen und das Vertrauen des Verbrauchers in Internetzahlungsdienste zu stärken. Gleichwohl würde die Umsetzung des RS-Entwurfes erhebliche Auswirkungen auf die Geschäftsmodelle der betroffenen Marktteilnehmer haben und zu bedeutenden finanziellen und operativen Aufwänden führen. Vor diesem Hintergrund nehmen wir zu dem RS-Entwurf wie folgt Stellung:

  1. Der RS-Entwurf berücksichtigt nach Auffassung des PVD noch nicht in hinreichendem Maße, dass die derzeit am Markt existierenden Zahlungsverkehrsprodukte nicht allen  Anforderungen des RS-Entwurfes erfüllen können (z. B. die Anforderung an die „starke Kundenauthentisierung“). Es wäre daher eine tiefgreifende Umgestaltung dieser Zahlungsverkehrsprodukte erforderlich, die nicht ohne Mitwirkung von Zahlungsdienstleistern umgesetzt werden kann, die außerhalb Deutschlands oder sogar außerhalb des Europäischen Wirtschaftsraums ansässig sind. Der PVD plädiert daher dafür, dass die Anforderungen des RS-Entwurfes so ausgestaltet werden, dass sie für die derzeit am Markt existierenden Zahlungsverkehrsprodukte umsetzbar sind.
  2. Der PVD ist der Auffassung, dass eine verbindliche Implementierung der Empfehlungen des European Forum on the Security of Retail Payments vom 01.12.2013 („Recommendations“) und der Guidelines on the security of internet payments der European Banking Authority vom 19.12.2014 („Guidelines“) aus verfassungsrechtlichen Gründen dem europäischen Gesetzgeber überlassen werden muss. Dies gilt schon deshalb, weil nur auf diese Weise einheitliche Anforderungen in allen Mitgliedsstaaten der Europäischen Union herbeigeführt werden können (level playing field). Darüber hinaus wird aufgrund des Umstandes, dass zur Erfüllung der Anforderungen des RS-Entwurfes ggf. eine tiefgreifende Umgestaltung von Zahlungsverkehrsprodukten erforderlich ist (siehe Ziffer 1), eine längere Frist zur Umsetzung dieser Anforderungen zwingend benötigt. Aus den beiden vorgenannten Gründen sollte eine verbindliche Implementierung der Recommendations und der Guidelines im Rahmen der PSD 2 erfolgen. Auf die diesbezügliche Stellungnahme des PVD gegenüber der European Banking Authority, die wir diesem Schreiben als Anlage beigefügt haben, nehmen wir  Bezug.
  3. Jedenfalls müsste in Tz. 2 des RS-Entwurfes (Anwendungsbereich) klargestellt werden, dass das vorgesehene Rundschreiben nur für inländische Zahlungsdienstleister anwendbar ist. Es ist bereits heute absehbar, dass die nationalen Aufsichtsbehörden die Recommendations und die Guidelines in unterschiedlicher Weise umsetzen werden. Würde das Rundschreiben auch für ausländische Zahlungsdienstleister Anwendung finden, bestünde die Gefahr, dass grenzüberschreitend tätige Zahlungsdienstleister unterschiedliche oder gar sich widersprechende Anforderungen einzuhalten hätten. Abgesehen davon gibt es keine Rechtsgrundlage, die es der Bundesanstalt für Finanzdienstleistungsaufsicht erlauben würde, diesbezügliche Anforderungen gegenüber ausländischen Zahlungsdienstleistern aufzustellen.

Vor diesem Hinfergrund müsste der erste Satz der Tz. 2 des RS-Entwurfes wie folgt lauten:

„Das Rundschreiben ist auf alle Zahlungsdienstleister im Sinne des § l Abs. i Zahlungsdiensteaufsichtsgesetz (ZAG) mit Sitz im Inland anwendbar, die Zahlungsgeschäfte i. S. d. §  1 Abs. 2 Nr. 2 ZAG im Massenzahlungsverkehr über das lnternet anbieten (lnternet-Zahlungsdienste).“

Laden Sie die Stellungnahme als pdf herunter