Spezialisten im Bereich Gesellschaftsrecht, Immobilienrecht, Kapitalmarktrecht, Pharma- und Arztneimittelrecht und Private Equity / Venture Capital.

Zahlungsdiensterichtlinie II (PSD II) – das neue Zahlungsdienstegesetz 2018

Aug 21, 2018 | Aktuelles |

Mit 01.06.2018 ist das neue Bundesgesetz über die Erbringung von Zahlungsdiensten (Zahlungsdienstegesetz 2018 – ZaDiG 2018) in Kraft getreten, das das bisherige Zahlungsdienstegesetz aus dem Jahr 2009 abgelöst hat. Damit soll die europarechtliche Zahlungsdiensterichtlinie (EU) 2015/2366 umgesetzt werden, die den technischen Entwicklungen und damit einhergehende Sicherheitsrisiken in den vergangenen Jahren, insbesondere dem Internet-Banking und Online-Shopping mit neuen Regulierungen entgegnen soll.

Schwerpunkte des Gesetzes sind die Regulierung neuartiger Zahlungsdienste, die Einführung der sogenannten starken Kundenauthentifizierung bei Online-Zahlungen und die Festlegung von Haftungsregeln bei nicht autorisierten Zahlungen.

Begriffe neu: “Zahlungsauslösedienstleister” sowie “Kontoinformationsdienstleister”

Das ZaDiG 2018 erfasst neuerdings “Zahlungsauslösedienstleister” sowie “Kontoinformationsdienstleister”, die mit ihren Diensten am Internet-Banking von Kreditinstituten anknüpfen. Beide Dienstleister übermitteln Daten zwischen Kunden, Kreditinstituten und Händlern, ohne selbst in den Besitz von Kundengeldern zu gelangen.

  • Beim „Zahlungsauslösedienst“ beauftragt der Kunde den Dienstleister, für ihn bei seinem kontoführenden Zahlungsdienstleister eine Überweisung auszulösen; dies etwa, wenn er im Online-Shop eines Händlers einkauft.
  • Beim „Kontoinformationsdienst“ hingegen erhält der Kunde vom Dienstleister aufbereitete Informationen über seine Zahlungskonten, die er bei einem oder mehreren Zahlungsdienstleistern hält; damit kann er an einer Stelle zusammenfassend eine Übersicht über seine Finanzen gewinnen.

Beide Dienste waren bisher nicht ausdrücklich reguliert und im aufsichtsrechtlichen “Graubereich” tätig. Mit dem ZaDiG 2018 benötigen Zahlungsauslösedienstleister eine Konzession und Kontoinformationsdienstleister müssen sich bei der FMA registrieren. Beide neuen Zahlungsdienste haben eine Berufshaftpflichtversicherung abzuschließen oder eine gleichwertige Garantie vorzuweisen.

Verbesserung der Sicherheit bei Online-Zahlungen durch „starker Kundenauthentifizierung“

Die Erhebliche Zunahme von Internetzahlungen sowie mobilen Zahlungen macht nach den Erläuterungen zum Ministerialentwurfes (332/ME XXV. GP) eine Verbesserung der Sicherheit bei der Zahlungsabwicklung notwendig. Dies soll gewährleistet werden, indem bei Online-Zahlungen Zahlungsdienstleister in bestimmten Fällen eine „starke Kundenauthentifizierung“ verlangen müssen; dies insbesondere wenn der Zahler online auf sein Zahlungskonto zugreift, einen elektronischen Zahlungsvorgang auslöst oder über einen Fernzugang eine Handlung vornimmt, die das Risiko eines Betrugs im Zahlungsverkehr oder anderen Missbrauchs birgt. Als „starke Kundenauthentifizierung“ gilt eine Authentifizierung unter Heranziehung von mindestens zwei der folgenden drei Elementen:

  • Wissen: etwas, das nur der Nutzer weiß, zB Passwort;
  • Besitz: etwas, das nur der Nutzer besitzt, zB Kreditkarte; oder
  • Inhärenz: etwas, das nur der Nutzer ist, zB Fingerabdruck.

Die Elemente dürfen zudem nur herangezogen werden, sofern sie voneinander unabhängig sind, dh die Nichterfüllung eines Elements kann die Zuverlässigkeit des anderen nicht in Zweifel ziehen. Zudem muss die Vertraulichkeit der Authentifizierungsdaten geschützt sein.

Missbräuchliche Verwendung eines Zahlungsinstruments

Bei nicht autorisierten Zahlungsvorgängen wurde die Rechtsstellung des Zahlers verbessert: Diesfalls haftet der Zahler nach dem ZaDiG 2018 nur, falls es ihm möglich war dies missbräuchliche Verwendung des Zahlungsinstruments – etwa Verlust oder Diebstahl – zu bemerken. Darüber hinaus ist die betragsmäßige Haftungsgrenze des Zahlers von bisher höchstens Euro 150,– auf nunmehr höchstens Euro 50,– herabgesetzt.

Wie bisher gilt die Haftungsgrenze nicht, wenn der Zahler in betrügerischer Absicht gehandelt oder die Pflicht, seine personalisierten Sicherheitsmerkmale vor unbefugtem Zugriff zu schützen, vorsätzlich oder grob fahrlässig verletzt hat. Allerdings ist hierbei eine Beweislastumkehr zu Gunsten des Zahlers vorgesehen: Der Zahlungsdienstleister – nicht der Zahler – hat den Nachweis für Betrug, Vorsatz oder grobe Fahrlässigkeit zu erbringen.

Neuerungen auf einem Blick:

  • Konzessionierung bzw. Registrierung für bestimmte neue Zahlungsdienste: Dies einerseits für „Zahlungsauslösedienstleister“, die einen Zahlungsauftrag eines Kunden auslösen und andererseits „Kontoinformationsdienstleister“, die Kontoinformations-/ bzw. management-Dienstleistungen anbieten.
  • Neue Plicht: “starke Kundenauthentifizierung”, um den Kunden und seine Daten vor Betrug und Missbrauch besser zu schützen. Der Zahler muss künftig zwei von drei Bedingungen erfüllen können:
    • Erstens etwas angeben, was nur er weiß, zB Passwort.
    • Zweitens etwas vorzeigen, das nur er besitzen kann, zB Kreditkarte.
    • Drittens ein Merkmal nachweisen, das nur er hat, zB Fingerabdruck.
  • Verliert der Kunde seine Zahlungskarte oder wird sie ihm gestohlen und danach missbräuchlich verwendet, so hat er nur mehr in der Höhe von 50,– Euro zu haften sowie nur, wenn Zahlungsdienstleister Betrug, Vorsatz oder grobe Fahrlässigkeit des Kunden beweist.
  • Bei fehlerhafter oder verspäteter Transaktion haftet künftig die kontoführende Bank gegenüber dem Kunden.
  • Bei Kündigung eines Rahmenvertrages durch den Kunden darf der Zahlungsdienstleister dafür keine Kosten verrechnen, es sei denn die Laufzeit des Vertrages ist kürzer als sechs Monate.