PSD2: Strengere Anforderungen an das Meldewesen

Es ist richtig, dass die überarbeitete Zahlungsdiensterichtlinie (PSD2) Zahlungskonten für Drittdienstleister öffnet und gleichzeitig höhere Sicherheitsstandards schafft. Das ist aber nicht alles, denn Zahlungsdienstleister müssen zudem auch strengere Anforderungen an das Meldewesen umsetzen.


Die Reportingfristen für Banken orientieren sich an den oben aufgeführten Kriterien. Quelle: Bundesverband deutscher Banken e.V.

Der 13. Januar 2018 brachte für Zahlungsdienstleister einige neue Herausforderungen mit sich. Während die ersten Teile der PSD2 bereits ohne viel Aufsehen in Kraft getreten sind, ist die neu zu schaffende Drittdienstleisterschnittstelle in aller Munde. Die von der Berlin Group entwickelte Schnittstellenspezifikation muss voraussichtlich bis Herbst 2019 mit einer vorherigen Testphase von sechs Monaten realisiert sein und wird wahrscheinlich von vielen deutschen Instituten umgesetzt. Nicht weniger herausfordernd sind allerdings die neuen Anforderungen an das Meldewesen, wonach schwerwiegende Sicherheitsvorfälle über eine neue, automatisierte Plattform an die Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) gemeldet werden müssen.

Bereits die Mindestanforderungen an die Sicherheit von Internetzahlungen (MaSI) beinhalteten Meldungen von IT-Sicherheitsvorfällen, wonach innerhalb einer Stunde nach Bekanntwerden eines Vorfalls gemeldet werden musste. Nun jedoch werden diese Meldeanforderungen durch die PSD2 komplett abgelöst und Zahlungsdienstleister müssen anhand sieben konkreter Kriterien und Schwellwerte bewerten, ob Vorfälle meldepflichtig sind – eine Erstmeldung ist nach spätestens vier Stunden abzugeben. Trotz verlängerter Reportingfrist rechnen Banken mit einer erhöhten Anzahl meldepflichtiger Vorfälle, da die verschiedenen Kriterien schnell erreicht werden können: beim „lower impact level“ ab drei gerissenen Schwellwerten und beim „higher impact level“ bereits ab einem (siehe Tabelle).

Offizielles Rundschreiben der BaFin fehlt bislang

Meldungen via gesicherter E-Mail sind passé – jedes Institut muss sich für die neue Plattform registrieren. Was jedoch fehlt, ist ein offizielles Rundschreiben der BaFin, welches die Guidelines on incident reporting der Europäischen Bankenaufsichtsbehörde (EBA) formal umsetzt. Laut Aussagen der BaFin gelten die Anforderungen auch ohne Rundschreiben seit dem 13. Januar, da das Zahlungsdiensteaufsichtsgesetz (ZAG) den Art. 96 PSD2 im §54 bereits aufgreift. Viele international agierende Banken benötigen hinzukommend ein Meldeformular in englischer Sprache, welches voraussichtlich noch im ersten Halbjahr 2018 bereitstehen soll.

Außerdem wird das Leben für kleinere Zahlungsdienstleister erleichtert, indem der gesamte Meldeprozess unter bestimmten Voraussetzungen ausgelagert werden kann. Dazu gehört unter anderem, dass die designierte Meldepartei in der Europäischen Union ansässig sein und ein formaler Vertrag zwischen der Bank und der ausgelagerten Drittpartei bestehen muss. Die volle Verantwortung über die Einhaltung der Anforderungen bleibt dabei weiterhin bei der Bank. Vor allem im Sparkassen- und Genossenschaftslager werden Meldeanforderungen an konkrete SPOC (Single Point Of Contact), wie die eigenen IT-Dienstleister, delegiert.

Darüber hinaus müssen Zahlungsdienstleister statistische Daten zu Betrugsfällen an die Aufsicht liefern. Anfangs ebenfalls für Januar 2018 geplant sind die Guidelines jedoch erst im zweiten Halbjahr 2017 konsultiert worden und die finale Version der Anforderungen noch in der Erarbeitung. Es wird mit einer Veröffentlichung noch im zweiten Quartal dieses Jahres gerechnet.
Welche Betrugsstatistiken sollen gemeldet werden und ab wann?

Nach dem ersten Entwurf müssen vierteljährliche und jährliche Meldungen erfolgen, wobei die jährlichen Zusammenfassungen detaillierter ausfallen sollen. Dazu gehören nicht autorisierte Zahlungen, solche, bei denen der Zahler die Autorisierung besseren Wissens bestreitet, sowie autorisierte Zahlungen, bei denen der Zahler manipuliert wurde. Besonders der letzte Punkt dürfte Bauchschmerzen bereiten, da Banken oft nicht sehen und bewerten können, ob der Kunde wirklich manipuliert wurde, da diese Zahlungen in den meisten Fällen ordnungsgemäß freigegeben wurden – Stichwort CEO-Fraud. Außerdem können sich Recherche und Analyse dieser Betrugsfälle zeitlich in die Länge ziehen. Speziell diese Einbeziehung in die Statistiken wurde unter anderem von der Deutschen Kreditwirtschaft in deren Stellungnahme kritisiert. Die Aufzeichnung der Daten und erste Meldungen sollen laut Aussagen der BaFin erst ab 2019 erfolgen.

Was sollte passieren?

Zusammenfassend lässt sich sagen, dass neben der Bereitstellung der neuen Drittdienstleisterschnittstelle auch die Umsetzung der Meldeanforderungen priorisiert werden sollte. Zum einen werden das neue Bewertungsmuster und die damit verbundene zügige Meldefrist für Mehraufwand sorgen. Zum anderen muss für das Reporting von Betrugsstatistiken eine deutlich umfangreichere Datenbasis geschaffen werden.