Mit der Überarbeitung des Zahlungsdiensteaufsichtsgesetz (ZAG) und des den Zahlungsverkehr betreffenden Teils des Bürgerlichen Gesetzbuches (§§ 675c ff. BGB) wurde die zweite EU-Zahlungsdiensterichtlinie (Payment Service Directive II, kurz: PSD II) fristgerecht zum 13.01.2018 in deutsches Recht umgesetzt.
Ziele der PSD II
Die EU verfolgt mit der PSD II neben der Erhöhung des Sicherheitsniveaus im Zahlungsverkehr insbesondere das Ziel, den Wettbewerb zu intensivieren. Gleichzeitig reguliert sie den Markt für neue Zahlungsverkehrsdienstleister, welche für die Erbringung ihrer Dienstleistungen Zugriff auf die Zahlungskonten bei Banken und Sparkassen erhalten sollen. Es handelt sich hierbei um Kontoinformationsdienste (analysieren Kontobewegungen und bereiten Informationen für den Kunden auf), Zahlungsauslösedienste (initiieren im Auftrag des Kunden Zahlungen vom Kundenkonto) und Drittkartenemittenten (fordern eine Bestätigung der Verfügbarkeit von Geldern auf dem Kundenkonto an).
In einem nächsten Schritt werden durch die europäische Bankenaufsichtsbehörde EBA auf Basis der PSD II in 2018 noch technische Regulierungsstandards (so genannte EBA-RTS) und Guidelines entwickelt, welche beispielsweise die Rahmenbedingungen für die sichere Kommunikation zwischen den einzelnen Zahlungsdienstleistern, für die starke Kundenauthentifizierung sowie für die Meldung von Sicherheitsvorfällen umfassen werden. Da für diese Regelungen mitunter ein Umsetzungszeitraum von 18 Monaten vorgesehen ist, werden sich die entsprechenden Maßnahmen in den einzelnen Instituten noch bis in das Jahr 2019 erstrecken.
Prüfung durch die Interne Revision
Für die Interne Revision ist die Novellierung der PSD II ein Anlass, um sich in Übereinstimmung mit dem BT 2.3 „Prüfungsplanung und -durchführung" der Mindestanforderungen an das Risikomanagement der Kreditinstitute (MaRisk) mit der Überarbeitung der Risikoeinschätzung für das Prüfungsgebiet „Zahlungsverkehr" zu beschäftigen und in Ansehung der jeweiligen Risikosituation ggf. eine Prüfung im Rahmen des jährlich fortzuschreiben Prüfungsplans vorzusehen. Sofern die Umsetzung der PSD II im Rahmen eines aus Institutssicht wesentlichen Projekts erfolgt, soll die Interne Revision gem. BT 2.1 Tz. 2 MaRisk hier begleitend tätig sein. Für die etablierten Kreditinstitute ergeben sich zum aktuellen Umsetzungsstand der PSD II im Wesentlichen drei Handlungsfelder, welche gleichzeitig von der Internen Revision als Prüfungsschwerpunkte herangezogen werden können.
Allgemeine Geschäftsbedingungen
Als erstes Handlungsfeld ist aus Sicht der Institute sicherlich die erforderliche Anpassung ihrer Allgemeinen Geschäftsbedingungen (AGB) sowie der ergänzenden Sonderbedingungen zu nennen. Wesentliche Änderungen sind dabei die mögliche Nutzung eines Zahlungsauslösedienstes unter Verwendung seiner persönlichen Authentifizierungsmerkmale (PIN/TAN), die Verkürzung der Erstattungsfrist bei nicht autorisierten Zahlungen auf einen Geschäftstag und die Reduzierung der Haftungsgrenze von 150 € auf 50 €. Darüber hinaus ergeben sich z. B. Ergänzungen bei Überweisungen in Drittstaatenwährungen (z. B. in US-Dollar) innerhalb des europäischen Wirtschaftsraums (EWR), da für diese jetzt auch die Haftungsregelungen des europäischen Zahlungsdienstrechts gelten.
Die neuen Kundenbedingungen müssen mit den Kunden rechtswirksam vereinbart werden, so dass die Interne Revision neben den o. g. inhaltlichen Änderungen auch den AGB-Änderungsprozess in ihren Prüfungsfokus rücken sollte. Dabei spielt die bereits seit der ersten PSD geltende 2-Monats-Frist für die Kundeninformation genau so eine Rolle wie das Transparenzgebot, da gemäß § 675 g Abs. 1 BGB die Kundeninformation „in leicht verständlichen Worten und in klarer und verständlicher Form abzufassen" sind. Darüber hinaus empfiehlt es sich ggf. – auch unter Einbeziehung der Compliance-Funktion –, zu prüfen, ob eine nachvollziehbare Risikobewertung aus der potentiell unwirksamen Vereinbarung der neuen AGB erfolgt ist, da in diesem Falle neben einer ungewollten rechtlichen Besserstellung des Kunden ggf. auch Abmahnungen durch Verbraucherschutzverbände drohen.
Prozessuale Anpassungen
Die Anpassung von Geschäftsprozessen innerhalb des Kreditinstituts stellt das zweite Handlungsfeld dar, dies z. B. im Bezug auf den Erstattungsprozess bei nicht autorisierten Zahlungen sowie das Meldeverfahren bei Betriebs- und Sicherheitsvorfällen.
Im Falle einer nicht autorisierten Zahlung ist das Kundenkonto auf Verlangen so zu stellen, wie es sich ohne die reklamierte Zahlung befunden hätte. Diese Anforderung ist bis zum Ende des auf die Reklamation folgenden Geschäftstags zu erfüllen. Somit ergibt sich die Fragestellung, wie eine Beschleunigung der Reklamationsbearbeitung gewährleistet werden kann, ohne gleichzeitig übermäßigen Risiken z. B. aus einem betrügerischen Verhalten des Kunden ausgesetzt zu sein.
SEMINARTIPPS
PSD II in Prüfung und Praxis, 12.04.2018, Frankfurt/M.Risiko Kontoführung & Zahlungsverkehr, 19.11.2018, Frankfurt/M.
Infos unter www.fch-gruppe.de
Weiterer Anpassungsbedarf ergibt sich beim bereits aus den Mindestanforderungen an die Sicherheit von Internetzahlungen (MaSI) bekannten Meldeverfahren für Betriebs- und Sicherheitsvorfälle im Zahlungsverkehr. Hier gelten im Rahmen eines zweistufigen Verfahrens nunmehr neue Kriterien, anhand derer eine Meldeverpflichtung gegenüber der Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) abzulesen ist. Es handelt sich z. B. um die Anzahl der betroffenen Kunden bzw. Transaktionen, wirtschaftliche Auswirkungen auf das Eigenkapital, die Beeinflussung anderer Zahlungsdienstleister sowie die Öffentlichkeitswirkung des Vorfalls. Neu ist auch, dass eine Meldung über die Melde- und Veröffentlichungsplattform (MVP) zu erfolgen hat und die Meldungen – neben der BaFin – auch der Europäischen Zentralbank, der EBA und der Deutschen Bundesbank zur Verfügung gestellt werden.
Geschäftspolitische Handlungsfelder
Unter dem Prüfungsaspekt „Wirtschaftlichkeit" wäre das dritte Handlungsfeld der PSD II, die Kundenentgelte, zu fassen. Hier ergibt sich auf Basis des § 675o Abs. 1 BGB nunmehr die Möglichkeit, nicht mehr nur für die Benachrichtigung über die (berechtigte) Ablehnung einer Zahlung ein Entgelt zu vereinnahmen, sondern für den kompletten Ablehnungsvorgang. Die Höhe des Entgelts muss jedoch kostenbasiert ermittelt werden, so dass sich ggf. unterschiedliche Preise je nach gewähltem Informationsmedium (z. B. Brief, Kontoauszugsdrucker oder elektronisches Postfach) ergeben. Darüber hinaus kann das Institut gemäß § 675y Abs. 5 BGB ein Entgelt dafür verlangen, dass es dem Kunden alle relevanten Informationen zur Wiedererlangung fehlgeleiteter Zahlungen zur Verfügung stellt. Auch hier sollte sich die Interne Revision von der kostenbasierten Ermittlung überzeugen. Mit Inkrafttreten der PSD II ist darüber hinaus die Entgeltteilung („SHARE") der Standardfall bei grenzüberschreitenden Zahlungen innerhalb des EWR geworden, jedoch sollten die Institute auf Basis einer Risikobewertung entscheiden, ob sie im Kundeninteresse ggf. auch eine Entgeltweisung zu Lasten des Auftraggebers („OUR") zulassen.
Wie bereits einleitend dargestellt, verfolgt die EU mit der PSD II das Ziel, den Wettbewerb im Zahlungsdienstgeschäft zu stärken. Vor diesem Hintergrund sollte jedes Institut über die rein formale Umsetzung der o. g. Anforderungen hinaus auch ihre strategische Ausrichtung mit Blick auf die neuen Marktteilnehmer (Kontoinformations- und Zahlungsauslösedienste sowie Drittkartenemittenten) überarbeiten. Die Geschäftsstrategie ist zwar gemäß AT 4.2 MaRisk selbst nicht Gegenstand der Prüfung, jedoch kann die Interne Revision im Rahmen ihrer Berichterstattung bezüglich der PSD II-Umsetzung hierzu ggf. einen wichtigen Anstoß geben.
PRAXISTIPPS
- Berücksichtigen Sie bei der Risikobewertung für das Prüffeld „Zahlungsverkehr" neben der Regulatorik auch Wirtschaftlichkeits- und Wettbewerbsaspekte sowie die technische Weiterentwicklung (Stichwort: Digitalisierung).
- Binden Sie in die Prüfung neben Fachprüfern auch die IT-Revision ein. Planen Sie ggf. eine projektbegleitende Prüfung.
- Stimmen Sie Ihre Prüfungshandlungen zur PSD II mit den Funktionen der 2. Verteidigungslinie, insbesondere der MaRisk-Compliance und dem Informationssicherheitsbeauftragen ihres Instituts, ab, um ggf. auf deren Erkenntnissen aufsetzen zu können.
Beitragsnummer: 426