Sondernewsletter Zahlungsverkehr

Am 30.11.2023 findet wieder das Fachseminar „Zahlungsverkehr, Zahlungsdienste, Zahlungskonto! Aktuelle Regulatorik und Zivilrecht! – Aktuelle Judikatur des EuGH und des OGH“ statt.

Frau Mag. Unger trägt zu den zivilrechtlichen Aspekten des unbaren Zahlungsverkehrs, insbesondere zur aktuellen Judikatur zum ZaDiG 2018 sowie zu Banken-AGB vor und verschafft einen praxisbezogenen Überblick für die Gestaltung der Verträge und AGB für Zahlungsdienstleister.

Weitere Details finden Sie hier: Link zur Seminarinformation 

Die APAc (Austrian Payment Academy) ist ein neues Ausbildungsangebot für alle, die im Zahlungsverkehr tätig sind, Verantwortung tragen oder durch ihr Berufsbild einen umfassenden Einblick in die technologiegetriebene dynamische Payment Branche erhalten möchten.

Durch 2x jährlich stattfindende Grundkurse werden in bis zu 8 Modulen (Angebot | APAC (paymentacademy.at)) die wesentlichen Fachthemen im Zahlungsverkehr vermittelt.

Frau Mag. Unger trägt im November 2023 erstmals das Modul IV „Legal, Compliance“ vor und erläutert die rechtlichen Rahmenbedingungen des Zahlungsverkehrs.

Am 20.11.2023 erscheint das Handbuch „Zahlungsverkehr 4.0 – FinTechs – Krypto Assets – Sandbox & Co“ im Linde Verlag. In diesem umfangreichen Werk werden praktische und rechtliche Themen, die gegenwärtig und zukünftig für den Zahlungsverkehr von Bedeutung sind, behandelt. Weitere Details finden Sie hier: Link zu Handbuch 

Frau Mag Unger verfasste gemeinsam mit Frau Dr Valeska Grond-Szucsich das Kapitel 12 „Verbraucherbestimmungen im ZaDiG 2018“. Darin setzt sie sich umfangreich mit dem Verbraucherbegriff, Entgelten, Vertragsänderungen und Zustimmungsfiktion sowie Vertragsbeendigung von Rahmenverträgen im Rahmen des ZaDiG 2018 auseinander. Literatur und Judikatur sind umfassend dargestellt.

DORA gilt für Finanzunternehmen, wie Kreditinstitute, Zahlungsinstitute, Kontoinformationsdienstleister, E-Geld-Institute, Wertpapierfirmen, Anbieter von Krypto-Dienstleistungen, Versicherungs- und Rückversicherungsunternehmen, Versicherungsvermittler, IKT-Drittdienstleister ua.

Ausnahmen und Vereinfachungen gibt es für Kleinstunternehmen (< als 10 Mitarbeiter, < als EUR 2 Mio Jahresumsatz/Jahresbilanz).

DORA zielt darauf ab, die digitale operationelle Widerstandsfähigkeit von Unternehmen im gesamten EU-Finanzsektor zu verbessern und die wichtigsten Anforderungen an die digitale operationelle Widerstandsfähigkeit für alle EU-Finanzunternehmen weiter zu harmonisieren. Um ein hohes gemeinsames Niveau an digitaler operationaler Resilienz zu erreichen, werden einheitliche Anforderungen für die Sicherheit von Netzwerk- und Informationssystemen, die die Geschäftsprozesse von Finanzunternehmen unterstützen, festgelegt (Art 1 Abs 1 DORA).

Finanzunternehmen sollten bei der Bewältigung von IKT-Risiken denselben Ansatz und dieselben grundsatzbasierten Regeln befolgen, wobei ihrer Größe und ihrem Gesamtrisikoprofil sowie der Art, dem Umfang und der Komplexität ihrer Dienstleistungen, Tätigkeiten und Geschäfte Rechnung zu tragen ist (Grundsatz der Verhältnismäßigkeit, Art 4 DORA).

Ein wesentliche Aspekt von DORA ist das Management des IKT-Drittparteienrisikos. 

In Hinblick darauf sieht Art 28 DORA allgemeine Prinzipien vor:

• Verantwortlichkeit: Finanzunternehmen bleiben für die Einhaltung und Erfüllung aller Verpflichtungen verantwortlich.
• Verhältnismäßigkeit: Finanzunternehmen berücksichtigen die Art, das Ausmaß, die Komplexität und die Relevanz IKT-bezogener Abhängigkeiten.
• Strategie: für das IKT-Drittparteienrisiko und Überarbeitung sowie Leitlinien für die Nutzung von IKT-Dienstleistungen
• Informationsregister: Auflistung aller vertraglichen Vereinbarungen über die Nutzung von IKT-Drittdienstleistungen
• Maßnahmen vor dem Vertragsabschluss (IKT-Drittdienstleister-Due Diligence)
• Kündigungsmöglichkeit bei Vorliegen bestimmter Umstände
• Ausstiegsstrategien (unterbrechungslose Geschäftstätigkeit, Dokumentation, Testung und regelmäßige Überprüfung von Ausstiegsplänen, Übergangspläne und Notfallmaßnahmen)

Art 29 DORA definiert die inhaltlichen Anforderungen an die Vertragsbestimmungen eines IKT-Dienstleistungsvertrages:

• allgemeine Anforderungen:
  • Dienstleistungen:
    • Beschreibung der Funktionen und IKT-Dienstleistungen
    • Zulässigkeit und Bedingungen von Subaufträgen
    • Bereitstellungsstandorte der Dienstleistungen
    • Beschreibung der Dienstleistungsgüte
  • Zusammenarbeit:
    • kostenfreie Unterstützung bei einem IKT-Vorfall
    • Verpflichtung des IKT-Dienstleisters zur Zusammenarbeit mit den zuständigen Behörden
    • Teilnahme an Programmen zur Sensibilisierung und Schulungen
  • Daten:
    • Verarbeitungs- und Speicherort von Daten
    • Datenschutz
    • Datenzugang im Falle einer Insolvenz, Abwicklung oder Einstellung der Geschäftstätigkeit des IKT-Drittdienstleisters
    •  
• besondere Anforderungen bei kritischen und wichtigen Funktionen:
  • vollständige Beschreibung der Leistungsqualitäten (Service Levels)
  • Berichtspflichten, insbesondere Meldung von wesentlichen Entwicklungen
  • Implementierung von Notfallplänen und Maßnahmen zur IKT-Sicherheit
  • Beteiligung und Mitwirkung an den TLPT (Threat Led Penetration Testing, Art 26 und Art 27 DORA) des Finanzunternehmens
  • Überwachung der Leistungen durch uneingeschränkte Zugangs-, Kontroll- und Auditrechte
  • Pflicht zur Zusammenarbeit bei Vor-Ort-Inspektionen und Audits samt Berichtspflicht bei solchen Maßnahmen
  • Ausstiegsstrategien mit einem Übergangszeitraumes, in dem der IKT-Drittdienstleister Leistungen auch nach Vertragsende erbringt

Hinweis: Diese Anforderungen ergänzen bereits geltende Regelungen, wie etwa zu Auslagerungen (zB § 25 BWG, § 21 ZaDiG 2018, EBA-Leitlinien zu Auslagerungen). Es empfiehlt sich daher eine Gap-Analyse vorzunehmen.

4.2.1. PSD III (Payment Service Directive III)

Die PSD III soll die seit 16.10.2015 geltende PSD II ersetzen. In ihr sollen die Voraussetzungen für die Zulassung sowie die Aufsicht von Zahlungsinstituten (weiterhin) geregelt werden. Weiters soll die bisher eigenständige E-Geld-Richtlinie (RL 2009/110/EG) in die PSD III - und damit auch die E-Geld-Institute - integriert und die E-Geld-Richtlinie aufgehoben werden. Definitionen werden weiter ausformuliert und die Regelungen zu den Zahlungsdienstleistern, zu Bargeldbehebungsdiensten und unabhängigen Geldausgabeautomatenbetreibern angepasst werden. So sollen sich ua Geldausgabeautomatenbetreiber, die keine Zahlungskonten führen, registrieren müssen.

4.2.2. PSR (Payment Service Regulation)

Durch die geplante unmittelbar anwendbare PSR sollen ein Großteil der Regelungen der PSD II in die PSR transferiert werden, va die Vorschriften über/zur

• die Zahlungen/ Transaktionen
• die Verträge über Zahlungsdienste
• die Rechte und Pflichten der Zahlungsdienstnutzer und der Zahlungsdienstleister, insbesondere auch über die Informationspflichten der Zahlungsdienstleister und über die Haftung
• Betrugsbekämpfung, Autorisierungsverfahren und starken Kundenauthentifizierung (SCA)

Diese Regelungen sollen detaillierter gefasst und weiters Details zu den Open-Banking Diensten und -Schnittstellen (API) getroffen werden, so insbesondere Folgendes:

• IBAN-Überprüfungen bei Überweisungen: Der Zahlungsdienstleister soll den IBAN mit den Namen des Empfängers der Transaktion abgleichen und den Kunden informieren, wenn es Differenzen gibt.
• Betrugsbekämpfung: Geplant ist, eine bessere Betrugsbekämpfung durch zusätzliches Monitoring von Transaktionen, Schulungen und Austausch von Betrugsinformationen mit anderen Zahlungsdienstleistern zu ermöglichen.
• Informationspflichten: Den Zahlungsdienstleister treffen weitere Informationspflichten an seinen Kunden (iZm mit Betrug, Drittstaaten-Zahlungen, Geldausgabeautomatengebühren oder auf Kontoauszügen). 
• Haftung bei Identitätsbetrug: Der Zahlungsdienstleister soll zukünftig bei einer Manipulation durch einen Dritten, der sich als Mitarbeiter des Zahlungsdienstleisters ausgibt, dem Zahlungsdienstnutzer als Verbraucher haften, wenn diese Manipulation anschließend autorisierte betrügerische Zahlungsvorgänge zur Folge hat. Der Zahlungsdienstleister hat dem Verbraucher den Betrag des autorisierten betrügerischen Zahlungsvorgangs voll zu erstatten, wenn der Verbraucher den Betrug unverzüglich bei der Polizei und seinem Zahlungsdienstleister anzeigt.
• Starke Kundenauthentifizierung (SCA): Für verschiedene Zahlungsarten werden weitere Details zur SCA festgelegt. Zudem sollen zukünftig für die SCA 2 der 3 Elemente (Besitz, Wissen, Inhärenz) nicht mehr zwingend aus den verschiedenen Kategorien sein, wenn sie unabhängig voneinander sind.
• Open-Banking: Open-Banking meint den Austausch von Daten zwischen Banken und Fintechs, ua Zahlungsauslösedienstleister und Kontoinformationsdienstleister. Banken müssen zukünftig Schnittstellen für den Zugang zu Open-Banking-Daten (API) sowie ein Dashboard für ihre ein Bankkonto innehabenden Kunden bereitstellen.
• Die Europäische Bankenaufsicht (EBA) soll wieder technische Regulierungsstandards für die technischen Details entwickeln.

Art 4 Z 30 PSD II definiert die starke Kundenauthentifizierung, Art 97 PSD II regelt die Fälle, bei denen eine starke Kundenauthentifizierung verpflichtend vorzusehen ist.

Der österreichische Gesetzgeber setzte die Verpflichtung des Zahlungsdienstleisters zur sog. starken Kundenauthentifizierung in § 87 ZaDiG 2018 um. § 4 Z 28 ZaDiG 2018 definiert die starke Kundenauthentifizierung als eine Authentifizierung unter Heranziehung von mindestens 2 Elementen der Kategorie Wissen (etwas, das nur der Nutzer weiß, wie zB ein Passwort), Besitz (etwas, das nur der Nutzer besitzt, wie zB eine Zahlungskarte) oder Inhärenz (etwas das nur der Nutzer ist, wie zB ein Fingerabdruck). Dieser Gesetzesbegriff ist allgemein auch als „Zwei-Faktor-Authentifizierung“ bekannt.

Im deutschen Recht finden sich die entsprechenden Regelungen in § 1 Abs 24 und § 55 ZAG (Zahlungsdiensteaufsichtsgesetz).

Damit befasste sich das Landesgericht Heilbronn in seiner Entscheidung vom 16.05.2023 (Link: Entscheidung LG Heilbronn).

Hintergrund waren missbräuchliche Transaktionen über eine Push-TAN-App aufgrund betrügerischer Telefonanrufe. Der Kunde einer Bank, ein Nutzer des Online-Bankings dieser Bank, forderte missbräuchlich getätigte Überweisungen von seiner Bank zurück.

Nunmehr liegt eine gerichtliche Entscheidung vor, die das Vorliegen einer starken Kundenauthentifizierung iZm einem PushTAN-Verfahren verneint, wenn die App für den Empfang der TAN und die Bank-App auf einem Mobiltelefon installiert sind.

Freilich ist dies Rechtsansicht für österreichische Gerichte nicht verbindlich. Diese Entscheidung aus Deutschland sollte aber dennoch im Auge behalten werden; dies insbesondere vor dem Hintergrund der drohenden rechtlichen Konsequenzen für Banken. Denn nach § 68 Abs 5 ZaDiG 2018 ist der Zahler seinem Zahlungsdienstleister bei einem Schadenfall nicht zum Schadenersatz verpflichtet, wenn der Zahlungsdienstleister keine starke Kundenauthentifizierung verlangt. In diesem Fall haftet der Zahlungsdienstleister für den Schaden allein. Dies gilt nur nicht, wenn der Zahler in betrügerischer Absicht gehandelt hat. Davon ist bei betrügerischen Anrufen von Dritten idR nicht auszugehen.

Anmerkung: Die Entscheidung des LG Heilbrunn steht im Gegensatz zur Meinung der EBA. Diese vertritt in ihrem Single Rulebook Q&A (Question ID 2019_4637: Link) die Ansicht, dass ein Einmalpasswort zum Nachweis des Besitzes, das zusammen mit einem Wissenselement auf demselben Mehrzweckgerät (zB einem Smartphone) verwendet wird, eine gültige starke Kundenauthentifizierung darstellen und somit den Anforderungen zur starken Kundenauthentifizierung entsprechen kann, sofern der Zahlungsdienstleister Maßnahmen ergriffen hat, um sicherzustellen, dass die Verletzung eines der Elemente die Zuverlässigkeit des anderen Elements nicht beeinträchtigt.