Gesetz zur Umsetzung der Zweiten Zahlungsdiensterichtlinie (PSD II) beschlossen

06.06.2017

Der Bundestag hat am 1. Juni 2017 das Gesetz zur Umsetzung der Zweiten Zahlungsdiensterichtlinie (ZDUG) beschlossen. Mit dem Artikelgesetz wird u.a. das Zahlungsdiensteaufsichtsgesetzes (ZAG) komplett überarbeitet und neu gefasst, um den aufsichtsrechtlichen Teil der Zweiten Zahlungsdiensterichtlinie (Richtlinie (EU) 2015/2366, PSD II) umzusetzen. Ferner werden die zivilrechtlichen Vorgaben der PSD II vor allem über Neuerung im Bürgerlichen Gesetzbuch (BGB) implementiert werden. Wegen der vom europäischen Gesetzgeber intendierten Vollharmonisierung, die für den Zahlungsverkehr in der Europäischen Union ein „Level-Playing-Field“ schaffen soll, handelt es sich im Wesentlichen um eine 1:1-Umsetzung der PSD II.

Das Gesetz soll im Einklang mit den Bestimmungen der PSD II am 13. Januar 2018 in Kraft treten, so dass es bis auf wenige Ausnahmen ab diesem Zeitpunkt zu beachten ist. Bei dem Gesetz handelt es sich um ein sog. Einspruchsgesetz, so dass der Bundesrat theoretisch noch die Möglichkeit hat, die Verkündung des Gesetzes zu verzögern. Vor dem Hintergrund der intendierten Vollharmonisierung dürfte damit allerdings nicht zu rechnen sein.

Im Folgenden soll ein Überblick zu den besonders wichtigen Änderungen gegeben werden, die das ZDUG auf dem Gebiet des Aufsichtsrechts und des Zivilrechts mit sich bringt. Diese Änderungen sind nicht nur für derzeit regulierte Unternehmen relevant, sondern wegen der Ausweitung der erlaubnispflichtigen Zahlungsdienste sowie der Einschränkung von Ausnahmen auch für viele andere Unternehmen, die im Bereich der Zahlungsdienste Leistungen erbringen und nun prüfen müssen, ob zusätzliche Compliance-Maßnahmen erforderlich werden.

Ausweitung des Anwendungsbereichs des ZAG n.F.


Das mit dem ZDUG überarbeitete ZAG n.F. wird über zusätzliche Tatbestände für erlaubnispflichtige Dienstleistungen, einer örtlichen Ausdehnung des Anwendungsbereichs sowie über die Einschränkung von Ausnahmen zu einer auch in der Praxis erheblichen Erweiterung der regulierten Sachverhalte führen.

Schaffung neuer Erlaubnistatbestände


Besonders augenfällig wird die Erweiterung des Regulierungsumfangs durch die Aufnahme der sog. „Dritten Zahlungsdienstleister“ in das ZAG n.F. Mit den Dritten Zahlungsdienstleistern sind die Erbringer von Zahlungsauslöse- und Kontoinformationsdiensten gemeint. Damit soll auf Entwicklungen der letzten Jahre reagiert werden, in denen den etablierten Zahlungsdienstleistern mit neuen Anbietern innovativer Geschäftsmodelle Konkurrenz erwachsen ist. Diese Neuerung hat für Fintechs, die Zahlungsauslöse- oder Kontoinformationsdienste anbieten, große praktische Bedeutung, weil sie sich künftig einerseits mit den regulatorischen Anforderungen werden auseinandersetzen müssen, andererseits aber auch die damit einhergehenden Vorteile (Zugangsrecht zu den Bankensystemen, größeres Kundenvertrauen) nutzen können. Das ZAG n.F. sieht nämlich vor, dass Kunden bei online zugänglichen Konten Zahlungsauslösedienste und Kontoinformationsdienste diskriminierungsfrei nutzen können. Dies bedeutet im Ergebnis, dass die kontenführenden Zahlungsdienstleister den Dritten Zahlungsdienstleistern über die Schnittstelle zwischen dem kontoführenden Zahlungsdienstleister und dem Kunden grundsätzlich Zugriff auf die Konten des Kunden gewähren müssen. Die kontoführenden Zahlungsdienstleister sind ferner verpflichtet, Zahlungsaufträge von Zahlungsauslösedienstleistern so zu behandeln wie Zahlungsaufträge des Zahlers selbst, und zwar auch ohne das Bestehen einer vertraglichen Beziehung zwischen dem kontoführenden Zahlungsdienstleister und dem Dritten Zahlungsdienstleister. Anderes gilt nur, wenn für die Abweichung objektive und angemessen nachgewiesene Gründe vorliegen.

Erweiterung des räumlichen Anwendungsbereich des ZAG n.F.


Neben der sachlichen Erweiterung des Anwendungsbereichs wird auch der räumliche Anwendungsbereich der Vorgaben für Zahlungsdienste insofern über Änderungen im BGB erweitert, als die in der PSD II vorgegebenen zivilrechtlichen Informationspflichten und vertragsrechtlichen Vorschriften – mit einigen wenigen Ausnahmen – grundsätzlich auch für die innerhalb der EU getätigten Bestandteile eines Zahlungsvorgangs gelten werden. Dies setzt lediglich voraus, dass mindestens einer der an diesem Zahlungsvorgang beteiligten Zahlungsdienstleister innerhalb der EU belegen ist (sog. „one-leg transactions“), ohne dass es dabei auf die Währung des Zahlungsvorgangs kommt.

Einschränkung von Ausnahmen für Anbieter elektronischer Kommunikationsnetze


Mit dem ZAG n.F. wird der Anwendungsbereich der regulierten Zahlungsdienste auch durch die Einschränkung von Ausnahmen erweitert. Dies gilt bspw. für die bisherige Ausnahme für Zahlungsvorgänge von Anbietern elektronischer Kommunikationsnetze. Diese wird zwar künftig zwei statt nur einer Fallgruppe umfassen. Entscheidend dürfte aber sein, dass die Ausnahme nur noch in den Grenzen der vom europäischen Gesetzgeber vorgegebenen Schwellenwerte von EUR 50 pro Zahlungsvorgang sowie – kumulativ – von 300 Euro pro Teilnehmer und Monat Anwendung finden wird. Ausweislich der Regierungsbegründung und der Begründung in der PSD II sollen damit nur noch Zahlungsdienste mit niedrigem Risikoprofil von der Ausnahme erfasst sein. Freilich bleibt bei der Neufassung der Ausnahme einiges unklar. So ist nicht eindeutig, ob für die Schwellenwerte auf den einzelnen Kunden oder aber die jeweilige Telefonnummer abzustellen ist. Ferner wird weder im Kontext der neu gefassten Ausnahme noch anderweitig das praktisch besonders relevant Verhältnis zwischen den erlaubnispflichtigen Zahlungsdiensten und den Pflichten aus dem Telekommunikationsgesetz geklärt. Dies hat bereits zu erheblicher Unruhe bei betroffenen Telekommunikationsdienstleistern und solchen Anbietern geführt, deren Geschäftsmodell letztlich auf der Einziehung von Entgelten durch die Telekommunikationsanbieter angewiesen ist. Die damit einhergehenden Bedenken werden auch nicht dadurch beseitigt, dass das digitalisierte Zahlungsgeschäft als eigenständiger Zahlungsdienst im ZAG n.F. gestrichen wird. Ausweislich der Gesetzesmaterialien bedeutet dies nämlich nicht, dass entsprechende Geschäfte nicht mehr als Zahlungsdienst erfasst werden. Vielmehr wird die Notwendigkeit eines speziellen Tatbestandes nicht mehr gesehen. Je nach Ausgestaltung sollen diese Dienstleistungen künftig beispielsweise unter den Tatbestand des Akquisitionsgeschäfts oder des Finanztransfergeschäfts fallen. Es bleibt daher abzuwarten, wie die Vorgaben des ZAG n.F. im Hinblick auf die Ausnahme für Anbieter elektronischer Kommunikationsnetze künftig von der BaFin ausgelegt werden.

Einschränkung der Ausnahme für Handelsvertreter


Ebenfalls neu gefasst wird die Ausnahme für Handelsvertreter. So wird künftig verlangt, dass der Handelsvertreter beim Verkauf oder Kauf von Waren oder Dienstleistungen entweder nur im Namen des Zahlers oder nur im Namen des Zahlungsempfängers auftritt. Zudem muss er aufgrund einer Vereinbarung befugt sein, das Geschäft auszuhandeln oder abzuschließen. Die Neufassung soll – der bisherigen Verwaltungspraxis der BaFin entsprechend – Plattformen des elektronischen Geschäftsverkehrs, die auf beiden Seiten des Geschäfts auftreten, ohne über einen eigenen Spielraum zum Aushandeln des Geschäfts zu verfügen, vom Anwendungsbereich der Ausnahme ausschließen. Hier wird aufmerksam zu beobachten sein, ob die BaFin sich durch die Änderung der Handelsvertreterausnahme im ZAG n.F. dazu veranlasst sehen wird, ihre bisherige Rechtsauffassung auch in der Praxis stärker durchzusetzen.

Einschränkung der Ausnahme für begrenzte Netze


Wesentlich überarbeitet wurde die Ausnahme für begrenzte Netze. Diese Ausnahme ist von besonderer praktischer Bedeutung für Unternehmen, die Zahlungsinstrumente wie Kundenkarten, Tankkarten, Mitgliedskarten, Fahrkarten des öffentlichen Verkehrs, Parktickets, Essensgutscheine oder Gutscheine für bestimmte Dienstleistungen ausgeben. Die zweite Variante der Ausnahme für Verbundsysteme, also die für ein begrenztes Waren- oder Dienstleistungsspektrum, soll künftig nur anwendbar sein, wenn die Zahlungsinstrumente lediglich zum Erwerb eines sehr begrenzten Spektrums von Waren oder Dienstleistungen verwendet werden können. Durch die Einfügung des Wortes „sehr“ wird deutlich, dass die Ausnahme künftig restriktiver ausgelegt werden soll. Diese Einschränkung könnte bspw. für Tankkarten problematisch werden, wenn – wie in der Praxis oft anzutreffen – mit den Karten neben Kraftstoff auch andere Waren und Dienstleistungen bezahlt werden können. Zwar wird es bislang von der Aufsicht zugelassen, dass mit Tankkarten auch Waren und Dienstleistungen des typischen Reisebedarfs bezahlt werden. Angesichts der Einschränkung der Ausnahme und auch der zunehmenden Auswahl von Tankstellenshops dürfte es aber fraglich sein, ob an dieser Verwaltungspraxis festgehalten werden wird.

Freilich führen die Änderungen bei der Ausnahme für beschränkte Netze nicht nur zu einer Erweiterung des Anwendungsbereichs des ZAG n.F. So wird das ZAG n.F. künftig nicht auf Zahlungsinstrumente anwendbar sein, die es ihrem Inhaber erlauben, Waren oder Dienstleistungen lediglich in den Geschäftsräumen des Emittenten oder innerhalb eines begrenzten Netzes von Dienstleistern im Rahmen einer Geschäftsvereinbarung mit einem professionellen Emittenten zu erwerben. Nach den Vorstellungen des europäischen Gesetzgebers, die sich auch in den Gesetzesmaterialien zum ZDUG wiederfinden, soll das Merkmal des professionellen Emittenten nämlich so zu verstehen sein, dass es den Erwerb von Waren und Dienstleistungen bei einem bestimmten Einzelhändler oder einer bestimmten Einzelhandelskette erfasst, wenn die beteiligten Stellen unmittelbar durch eine gewerbliche Vereinbarung verbunden sind, in der beispielsweise die Verwendung einer einheitlichen Zahlungsmarke vorgesehen ist. Diese Änderung könnte für Anbieter von Gutscheinkarten, die in Einzelhandelsketten verwendet werden können, die zwar unter einer Marke, jedoch rechtlich mit selbständigen Gesellschaften auftreten, zu erheblichen Erleichterungen führen. Dies deshalb, weil nach der derzeitigen BaFin-Verwaltungspraxis die Ausnahme für begrenzte Netze nur dann anwendbar ist, wenn das „Netz der Akzeptanzstellen“ streng, grundsätzlich auch lokal, begrenzt ist, so dass Einzelhandelsketten mit überregionaler Verbreitung und rechtlich selbständigen Gesellschaften die Ausnahme grundsätzlich nicht nutzen dürfen. Dies könnte sich künftig somit ändern.

Gänzlich neu im Rahmen der Ausnahme für Verbundsysteme ist die Privilegierung von Instrumenten, die bestimmten sozialen oder steuerlichen Zwecken dienen. Darunter sollen z.B. Essensgutscheine oder Gutscheine für bestimmte Dienstleistungen fallen, die einem steuer- oder arbeitsrechtlichen Rahmen unterliegen, der die Verwendung der Instrumente zur Erfüllung der Ziele der Sozialgesetzgebung fördert.

Neu ist auch, dass die Inanspruchnahme der Ausnahme für beschränkte Netze oder für das sehr begrenzte Waren- oder Dienstleistungsangebot von den Dienstleistern unter Beschreibung der angebotenen Dienstleistungen der zuständigen Behörde anzuzeigen ist, wenn die Zahlungsvorgänge der vergangenen 12 Monate ein Volumen von EUR 1 Millionen überschritten haben. Die Behörde wird daraufhin prüfen, ob die Voraussetzungen der Ausnahme vorliegen. Die angezeigten Dienstleistungen werden zudem im nationalen Register nach §§ 30, 30a ZAG n.F. sowie im Register der EBA nach Art. 15 PSD II veröffentlicht.

Unklarheiten beim Factoring


Im Kontext der Bestimmung des Anwendungsbereichs des ZAG n.F. ist auch die Frage zu sehen, welche Factoring-Dienstleistungen ggf. in den Anwendungsbereich des Finanztransfergeschäfts fallen. Leider hat der Gesetzgeber mit dem ZDUG die Chance verpasst, für die wünschenswerte Klarheit zu sorgen. Stattdessen haben etwas kryptisch geratene Formulierungen in den Gesetzesmaterialien Anlass zu Spekulationen gegeben, ob der Anwendungsbereich des Finanztranstransfergeschäfts über das von der BaFin bereits heute als Zahlungsdienst eingestufte Fälligkeitsfactoring hinaus auch auf andere Factoring-Konstellationen ausgeweitet werden soll. Es wird zu beobachten sein, ob es sich lediglich um missverständliche Äußerungen in den Gesetzesmaterialien handelt oder ob damit wider Erwarten tatsächlich eine weitere Ausweitung des Anwendungsbereichs des ZAG n.F. einhergehen könnte.

Zivilrechtliches Verbot des sog. Surcharging


Mit der Umsetzung der PSD II wird das Verbot des sog. Surcharging für bestimmte Zahlungsarten im BGB verankert. Unter Surcharging versteht man das Erheben eines Zahlungstransaktionsentgeltes für die Verwendung eines bestimmten Zahlungsinstruments bzw. einer bestimmten Zahlungsweise gegenüber dem Schuldner. Nach § 270a BGB n.F. gilt das Surcharging-Verbot für die der Verordnung (EU) 2015/751 (MIF-VO) unterfallenden Kartenzahlverfahren sowie für SEPA-Basislastschriften, SEPA-Firmenlastschriften und SEPA-Überweisungen. Dabei ist zu beachten, dass das Surcharging-Verbot bei SEPA-Transaktionen nicht nur gegenüber Verbrauchern, sondern auch gegenüber Unternehmern gilt. Künftig sind somit Vereinbarungen unwirksam, die Entgelte im vorgenannten Sinne festlegen.

Neue Pflichten der Zahlungsdienstleister


Die Bedeutung der Ausweitung des Anwendungsbereichs der Regulierung von Zahlungsdiensten wird letztlich nur verständlich, wenn man sich die damit verbundenen Rechtsfolgen vergegenwärtigt. Diese reichen von dem strafbewährten Erfordernis einer Erlaubnis, die nur nach Erfüllung umfangreicher Anforderungen erteilt wird, bis zu fortlaufenden Verpflichtungen nach Erteilung einer Erlaubnis. Im Folgenden wird auf einige praktisch besonders relevante Änderungen der Pflichten von Zahlungsdienstleistern eingegangen.

Anforderungen an Dritte Zahlungsdienstleister


Die Leistungen Dritter Zahlungsdienstleister werden durch das ZAG n.F. zwar in den Bereich der regulierten Zahlungsdienste aufgenommen. Jedoch werden sie weniger weitreichenden Aufsichtsanforderungen unterworfen als die übrigen Zahlungsdienstleister. Zahlungsauslösedienstleister benötigen lediglich ein Anfangskapital von mindestens EUR 50.000, Kontoinformationsdienstleister sind sogar ganz vom Erfordernis eines Anfangskapitals ausgenommen. Das ist letztlich nur konsequent, weil Zahlungsauslöse- und Kontoinformationsdienstleister im Gegensatz zu anderen Zahlungsdienstleistern auch keine laufenden Eigenmittelanforderungen erfüllen müssen. Um ihre Haftungsverpflichtungen abzusichern, müssen sie allerdings eine Berufshaftpflichtversicherung oder eine gleichwertige Garantie vorweisen, wobei die EBA-Leitlinien zur Mindestdeckungssumme erlassen wird. Kontoinformationsdienstleister unterliegen darüber hinaus nicht einmal einer echten Erlaubnispflicht, sondern lediglich einer Registrierungspflicht.

Spezielle Anforderungen treffen die Dritten Zahlungsdienstleister im Bereich Datenschutz und Sicherheit. So müssen sie bspw. sicherstellen, dass sensible Kontodaten und Sicherheitsmerkmale der Kunden nicht in die Hände Dritter geraten. Dazu hat die EBA am 23. Februar 2017 den finalen Entwurf einer entsprechenden RTS veröffentlicht und an die Europäische Kommission weitergeleitet. Nach dem RTS-Entwurf sollen die kontoführenden Zahlungsdienstleister dazu verpflichtet werden, eine Kommunikationsschnittstelle einzurichten, die es den Dritten Zahlungsdienstleistern ermöglicht, sich zu identifizieren, Kontoinformationen abzurufen oder Zahlungsvorgänge auszulösen. Wird berücksichtigt, dass Banken bis vor kurzem die Weitergabe von sensiblen Kontendaten durch Kunden an Dritte Zahlungsanbieter wie SOFORT Überweisung gänzlich verhindern wollten, sind diese Rechte – und die damit einhergehenden Pflichten der kontoführenden Zahlungsdienstleister – von enormen praktischem Gewicht.

Die Regelungen, von denen Dritte Zahlungsdienstleister betroffen sind, müssen von diesen abweichend vom regulären Umsetzungsdatum der PSD II und des ZDUG erst 18 Monate nach Inkrafttreten der in Art. 98 PSD II genannten RTS umsetzen. Der Erlass der RTS ist überdies auch insoweit für die Geltung der PSD II-Bestimmungen relevant, als Dritte Zahlungsdienstleister, die ihre Dienste bereits vor dem 13.01.2016 erbracht haben und bei denen es sich um juristische Personen handelt, über den 13. Januar 2018 hinaus innerhalb von 18 Monaten nach Inkrafttreten der RTS im Einklang mit dem derzeit geltenden Rechtsrahmen ihre Dienste erbringen dürfen, um sich in dieser Übergangsfrist auf die neuen Vorgaben einzustellen.

Starke Kundenauthentifizierung


Das ZDUG verpflichtet die Zahlungsdienstleister zur Einführung des Verfahrens der „starken Kundenauthentifizierung“, um die Sicherheit von Online-Bezahlvorgängen zu verbessern. Die Zahlungsdienstleister müssen die Vorgaben zur starken Kundenauthentifizierung 18 Monate nach Inkrafttreten der hierzu von der EBA zu erlassenden, bereits erwähnten RTS umgesetzt haben. Freilich sind die Anforderungen für die Zahlungsdienstleister nicht absolutes Neuland. Vielmehr ist das Verfahren der starken Kundenauthentifizierung bereits aus dem Rundschreiben der BaFin über die Mindestanforderungen an die Sicherheit von Internetzahlungen (MaSI) für die Auslösung von Internetzahlungen und den Zugang zu sensiblen Zahlungsdaten bekannt. Mit MaSI, die die Leitlinien zur Sicherheit von Internetzahlungen der EBA umsetzt, wurde schon vor Umsetzung der PSD II eine erste Harmonisierung der Mindestanforderungen an die Sicherheit des Zahlungsverkehrs bewirkt. Diese Harmonisierung entspricht allerdings nicht in allen Details dem Standard der PSD II und damit dem ZDUG, so dass die MaSI an die PSD II wird angepasst werden müssen.

Fazit


Mit dem ZDUG trägt der deutsche Gesetzgeber – wie bei Erlass der PSD II vom europäischen Gesetzgeber intendiert – zur weiteren Harmonisierung des Marktes für Zahlungsdienstleistungen bei. Freilich geht damit eine wesentliche Ausweitung des Anwendungsbereichs der regulierten Zahlungsdienste und der für Zahlungsdienstleister geltenden Anforderungen einher. Doch dies ist vor dem Hintergrund der technischen Entwicklungen der letzten Jahre nur konsequent, da ansonsten der Kundenschutz nicht ausreichend zu gewährleisten ist. Im Sinne der Förderung von Wettbewerb, der hoffentlich den Kunden zu Gute kommt, sind grundsätzlich auch die Regelungen zum Open Access zu begrüßen, die den Dritten Zahlungsdienstleistern neue Chancen eröffnen. Dem steht freilich ein nochmals erhöhter Aufwand insbesondere der kontoführenden Zahlungsdienstleister gegenüber, um den gestiegenen regulatorischen Anforderungen gerecht zu werden. Hier wird zu beobachten sein, ob Kosten und Nutzen in einem angemessenen Verhältnis stehen.

Zu bedauern ist, dass der Gesetzgeber die Gelegenheit zur Umsetzung der PSD II nicht genutzt hat, bestehende Unklarheiten zu beseitigen bzw. neue zu vermeiden. Gerade bei den Ausnahmen von Anwendungsbereich des ZAG, aber auch bei Detailfragen zur Auslegung des Finanztransfergeschäfts zeigt sich, dass trotz der auf Vollharmonisierung abzielenden PSD II weiterhin einige Spielräume in der Rechtsanwendung bestehen.

Ob das ZDUG für absehbare Zeit die letzte Neuerung im Recht der Zahlungsdienste bleiben wird, mag schließlich bezweifelt werden. Weitere technische Innovationen im Zahlungsverkehr sind absehbar. Dazu gehören z. B. die sogenannten Instant Payments, Zahlungsvorgänge auf SEPA-Basis, die in Echtzeit durchgeführt werden und im Laufe des Jahres 2018 eingeführt werden sollen. Noch in etwas weiterer Ferne liegt dagegen die Einführung der Blockchain-Technologie, der eine revolutionäre Veränderung des Zahlungsverkehrs zugetraut wird. Auch die PSD II selbst erkennt im Übrigen an, dass möglichweise noch Anpassungsbedarf entstehen könnte und enthält folgerichtig eine Überprüfungsklausel, nach der die Kommission bis zum 13.01.2021 einen Bericht über die Anwendung und die Auswirkungen der neuen Richtlinie vorlegen muss. Weiterhin offen ist auch, ob der Gesetzgeber durch Zusammenführung der PSD II mit der Zweiten E-Geld-Richtlinie doch noch einen einheitlichen Rechtsrahmen für alle digitalen Zahlungsvorgänge schaffen wird. In all diesen Fällen wird auch der deutsche Gesetzgeber naturgemäß erneut tätig werden müssen.

Weitere Einzelheiten zur PSD II finden Sie auch in den beiden verlinkten Aufsätzen im Compliance Berater:

Die neue Zahlungsdiensterichtlinie (PSD II): Regulatorische Erfassung „ Dritter
Zahlungsdienstleister“ und anderer Leistungsanbieter – Teil 1
 

Die neue Zahlungsdiensterichtlinie (PSD II): Regulatorische Erfassung „ Dritter
Zahlungsdienstleister“ und anderer Leistungsanbieter – Teil 2

Haben Sie Fragen? Kontaktieren Sie gerne: Dr. Jens H. Kunz oder Christoph Klessing
Practice GroupsBanking & Finance und Regulierung & Governmental Affairs