Das Zahlungsverkehrsrecht ist ein sich sehr stark wandelnder Bereich – Digitalisierung und Nachhaltigkeit spielen dabei eine wichtige Rolle. Insbesondere im EU-Recht gibt es Bestrebungen, allfälligen Entwicklungen zu entsprechen und zahlungsverkehrsrechtliche Regelungen an diese anzupassen.
Dieser und der nächste Newsletter informieren daher über:
DORA
Instant-Payment-Verordnung
CSRD/ESG-Risiken
PSD III und PSR: darüber informieren wir im nächsten Newsletter – „Aktuelle Themen im Zahlungsverkehrsrecht – Teil II“
1. Digital Operational Resilience Act (DORA)
1.1 Umsetzung und Anwendungsbereich
DORA ist eine EU-Verordnung, trat am 16.1.2023 in Kraft und ist ab dem 17.1.2025 verpflichtend anzuwenden.
DORA gilt für Finanzunternehmen, wie Kreditinstitute, Zahlungsinstitute, Kontoinformationsdienstleister, E-Geld-Institute, Wertpapierfirmen, Anbieter von Krypto-Dienstleistungen, Versicherungs- und Rückversicherungsunternehmen, Versicherungsvermittler, und IKT-Drittdienstleister.
Ausnahmen und Vereinfachungen gibt es für Kleinstunternehmen (< als 10 Mitarbeiter, < als EUR 2 Mio Jahresumsatz/Jahresbilanz).
DORA zielt darauf ab,
die digitale operationelle Widerstandsfähigkeit von Unternehmen im gesamten EU-Finanzsektor zu verbessern und
die wichtigsten Anforderungen an die digitale operationelle Widerstandsfähigkeit für alle EU-Finanzunternehmen weiter zu harmonisieren.
Um ein hohes gemeinsames Niveau an digitaler operationaler Resilienz zu erreichen, werden einheitliche Anforderungen für die Sicherheit von Netzwerk- und Informationssystemen, die die Geschäftsprozesse von Finanzunternehmen unterstützen, festgelegt (Art 1 Abs 1 DORA).
Finanzunternehmen sollten bei der Bewältigung von IKT-Risiken denselben Ansatz und dieselben grundsatzbasierten Regeln befolgen, wobei ihrer Größe und ihrem Gesamtrisikoprofil sowie der Art, dem Umfang und der Komplexität ihrer Dienstleistungen, Tätigkeiten und Geschäfte Rechnung zu tragen ist (Grundsatz der Verhältnismäßigkeit, Art 4 DORA).
1.2. Delegierte Rechtsakte
Die ESA (= European Supervisory Authorities) sind beauftragt, insgesamt 13 delegierte Rechtsakte (RTS = technischer Regulierungsstandards; ITS = technischer Durchführungsstandards, GL = Leitlinien) zu entwickeln:
Vorlage bei EU-Kommission bis 17.01.2024 (finale Reports und zum Teil auch Delegierte Verordnungen sind bereits veröffentlicht)
RTS zur Festlegung der Tools, Methoden, Prozesse und Richtlinien für das IKT-Risikomanagement und des vereinfachten IKT-Risikomanagementrahmens (Art 15 Unterabsatz 4 und Art 16 Abs 3 Unterabsatz 4 DORA, = Delegierte Verordnung (EU) 2024/1774 vom 13.03.2024)
RTS zu Kriterien für die Klassifizierung von IKT-bezogenen Vorfällen (Art 18 Abs 3 DORA)
RTS zur Festlegung der Politik für IKT-Dienste, die kritische oder wichtige Funktionen unterstützen und von IKT-Drittanbietern (TPP) erbracht werden (Art 28 Abs 10 DORA) = Delegierte Verordnung (EU) 2024/1773 vom 13.03.2024
ITS zur Festlegung der Vorlagen für das Informationsregister (Art 28 Abs 9 DORA)
Vorlage bei EU-Kommission bis 17.07.2024 (finale Reports und zum Teil auch Delegierte Verordnungen sind bereits veröffentlicht)
RTS zu Threat Led Penetration Test (TLPT) (Art 26 Abs 11 DORA)
RTS zu Kriterien für die Untervergabe von IKT-Dienstleistungen zur Unterstützung kritischer oder wichtiger Funktionen (Art 30 Abs 5 DORA)
RTS zur Spezifikation der Berichte zu schwerwiegenden IKT-bezogenen Vorfällen (Art 20 lit a DORA)
ITS zur Festlegung von Standardformularen, Vorlagen und Verfahren zur Meldung eines schwerwiegenden IKT-bezogenen Vorfalls oder einer erheblichen Cyberbedrohung (Art 20 lit b DORA)
Leitlinien für die Schätzung der aggregierten jährlichen Kosten und Verluste, die durch schwerwiegende IKT-bezogene Vorfälle verursacht wurden (Art 11 Abs 11 DORA)
Leitlinien für die Zusammenarbeit zwischen den ESA und den zuständigen Behörden (Art 32 Abs 7 DORA)
RTS zur Festlegung der Informationen, die der Aufsicht zur Verfügung zu stellen sind (Art 41 Abs 2 DORA)
ESRB (= European Systemic Risk Board) Empfehlungen
Delegierte Verordnung (EU) 2024/1502 vom 22.02.2024 zur Festlegung der Kriterien für die Einstufung von IKT-Drittdienstleistern als für Finanzunternehmen kritisch (Art 31 Abs 6 DORA)
Delegierte Verordnung (EU) 2024/1505 vom 22.02.2024 zur Festlegung der Höhe der Überwachungsgebühren und über die Art und Weise der Entrichtung der Gebühren (Art 43 Abs 2 DORA)
1.3. Nationale Gesetzgebung – DORA-Vollzugsgesetz (DORA-VG)
Zur wirksamen Anwendung von DORA wurde in Österreich das DORA-VG (BGBl I 112/2024) erlassen, das am 01.01.2025 in Kraft treten wird. Dieses regelt den konkreten Anwendungsbereich von DORA in Österreich und stellt klar, welche nationalen Behörden für die Durchsetzung zuständig sind.
Ferner erhält die FMA die nötigen Aufsichtsbefugnisse zur wirksamen Anwendung von DORA (§ 4 DORA-VG). Zur Sanktionierung von Verstößen sind eigene Verwaltungsstrafen vorgesehen.
Dieses Gesetz normiert auch die Zusammenarbeit zwischen FMA und OeNB bei gewissen Aufsichtsbefugnissen. Die Zusammenarbeit soll in jenen Bereichen stattfinden, in denen sie auch bisher aufgrund sektoraler Bundesgesetze stattfindet (zB BWG für den Bankensektor).
Weitere gesetzliche Änderungen durch das DORA-VG betreffen uA das BWG, BörseG 2018, VAG 2016 und das ZaDiG 2018. Diese sind notwendig, um DORA umzusetzen und Cybersicherheit auf dem Finanzmarkt zu gewährleisten.
1.4. Schwerpunkte von DORA
Quelle: Präsentation BaFinTech 2023 „Digital Operational Resilience Act (DORA) – Was kommt auf den deutschen Finanzsektor zu?“ vom 19.09.2023, Dr Sibel Kocatepe/Bafin, Dominik Schäfer/Deutsche Bundesbank [abrufbar unter: Präsentation BaFin]
1.5. Anforderungen an IKT-Dienstleistungsverträge
Ein wesentlicher Aspekt von DORA ist das Management des IKT-Drittparteienrisikos (= ein IKT-bezogenes Risiko, das für ein Finanzunternehmen bei IKT-Dienstleistungen entstehen kann, die von IKT-Drittdienstleistern oder deren Unterauftragnehmern, einschließlich über Vereinbarungen zur Auslagerung, bereitgestellt werden).
Dabei sind folgende allgemeine Prinzipien zu berücksichtigen (Art 28 DORA):
IKT-Dienstleistungsverträge haben jedenfalls folgende Themenbereiche zu regeln (Art 30 Abs 2 DORA):
Dienstleistungen:
Beschreibung der Funktionen und IKT-Dienstleistungen
Zulässigkeit und Bedingungen von Subaufträgen
Bereitstellungsstandorte der Dienstleistungen
Beschreibung der Dienstleistungsgüte
Zusammenarbeit:
kostenfreie Unterstützung bei einem IKT-Vorfall durch den IKT-Drittdienstleister
Verpflichtung des IKT-Drittdienstleisters zur Zusammenarbeit mit den zuständigen Aufsichtsbehörden (zB OeNB, FMA, EZB)
Teilnahme an Programmen zur Sensibilisierung und Schulungen durch den IKT-Drittdienstleister
Daten:
Verarbeitungs- und Speicherort von Daten
Datenschutz
Datenzugang im Falle einer Insolvenz, Abwicklung oder Einstellung der Geschäftstätigkeit des IKT-Drittdienstleisters
Kündigungsrechte und Mindestkündigungsfristen
Die vertraglichen Vereinbarungen über die Nutzung von IKT-Dienstleistungen zur Unterstützung kritischer oder wichtiger Funktionen haben zusätzlich folgende Inhalte abzudecken (Art 30 Abs 3 DORA):
vollständige Beschreibung der Leistungsqualitäten (Service Levels)
Berichtspflichten, insbesondere Meldung von wesentlichen Entwicklungen
Implementierung von Notfallplänen und Maßnahmen zur IKT-Sicherheit
Beteiligung und Mitwirkung an den TLPT (Threat Led Penetration Testing, Art 26 und Art 27 DORA) des Finanzunternehmens
Überwachung der Leistungen durch uneingeschränkte Zugangs-, Kontroll- und Auditrechte
Pflicht zur Zusammenarbeit bei Vor-Ort-Inspektionen und Audits samt Berichtspflicht bei solchen Maßnahmen
Ausstiegsstrategien mit einem Übergangszeitraumes, in dem der IKT-Drittdienstleister Leistungen auch nach Vertragsende erbringt
„Kritische oder wichtige Funktion“ ist eine Funktion,
deren Ausfall die finanzielle Leistungsfähigkeit eines Finanzunternehmens oder die Solidität oder Fortführung seiner Geschäftstätigkeiten und Dienstleistungen erheblich beeinträchtigen würde oder
deren unterbrochene, fehlerhafte oder unterbliebene Leistung die fortdauernde Einhaltung der Zulassungsbedingungen und -verpflichtungen eines Finanzunternehmens oder seiner sonstigen Verpflichtungen nach dem anwendbaren Finanzdienstleistungsrecht erheblich beeinträchtigen würde.
2. Instant-Payment-Verordnung
Die „Instant-Payment-Verordnung“ ist Teil der „Retail Payments Strategy“ des Eurosystems. Hierbei handelt es sich um eine Überarbeitung der bereits vorhandenen SEPA-VO.
Die Instant Payment-Verordnung (VO (EU) 2024/886 vom 13.03.2024) regelt iW Folgendes:
Zahlungsdienstleister müssen Euro-Echtzeitüberweisungen anbieten. Dabei handelt es sich um eine Überweisung innerhalb von 10 Sekunden.
Für die Versendung und Entgegennahme von Euro-Echtzeitüberweisungen gibt es eine Entgeltobergrenze: Das Entgelt für Echtzeitüberweisung darf maximal das Entgelt für andere Überweisungen betragen.
Für Zahlungsdienstleister im Nicht-Euro-Raum gilt folgendes: sie müssen keine Echtzeitüberweisungen anbieten, die eine gewisse Obergrenze übersteigen und zu keinen Zeiten, zu denen herkömmliche Überweisungen in Euro weder versendet noch entgegengenommen werden. Die Obergrenze wird von den zuständigen Behörden festgelegt und muss mindestens € 25.000,- betragen.
Dem Zahler wird eine Empfängerüberprüfung für Echtzeit- und Standard-Überweisungen (Verification of Payee/VoP) unentgeltlich zur Verfügung gestellt.
Werden Echtzeitüberweisungen angeboten, überprüfen die Zahlungsdienstleister, ob unter ihren Zahlungsdienstnutzern eine Person oder Einrichtung ist, die gezielten finanziellen restriktiven Maßnahmen unterliegt. Abgleichung der EU-Sanktionsliste: 1x/Tag und unmittelbar nach Veröffentlichung von neuen „gezielten finanziellen restriktiven Maßnahmen“ (Art 5d Abs 1 IPR).
Umsetzungszeiträume:
3. Corporate Sustainability Directive (CSRD)/ESG-Risiken
3.1 Nachhaltigkeitsberichte
Die Corporate Sustainability Reporting Directive (CSRD), ist eine Richtlinie, die sich der Nachhaltigkeit widmet. Sie gibt einheitliche, verpflichtende Berichtsstandards vor (ESRS) und verpflichtet betroffene Unternehmen Risiken und Chancen bezüglich Nachhaltigkeit aufzuzeigen. Darüber hinaus muss dargelegt werden, welche Auswirkungen ihr Unternehmen auf Menschen und Umwelt hat.
Betroffene Unternehmer müssen für Geschäftsjahre, die am oder nach dem 01.01.2024 beginnen, verpflichtend einen Nachhaltigkeitsbericht erstellen. Vom Anwendungsbereich der CSRD erfasst sind:
Unternehmen, die ihren Sitz in der EU haben,
große Kapitalgesellschaften und alle an geregelten Märkten notierte Unternehmen (Ausnahme: börsennotierte Kleinstunternehmen),
große Kreditinstitute und Versicherungsunternehmen jeder Rechtsform.
Die Berichtspflichten ergeben sich aus den Delegierten Verordnungen („DelVO“ ) der EU-Kommission. Anhang I der DelVO enthält 12 European Sustainability Reporting Standards/ESRS:
Die ESRS 1 bestimmen „Grundsätze ordnungsgemäßer Nachhaltigkeitsberichterstattung".
Die ESRS 2 legen "allgemeine Angaben" fest, die berichtspflichtige Unternehmer im Nachhaltigkeitsbericht anführen müssen.
Die 10 anderen Standards setzen sich aus folgenden themenspezifischen Standards zusammen: 5 zu Umweltaspekten (E1-E5), 4 zu sozialen Themen (S1-S4) und 1 Standard zum Thema Governance (G1).
Die Nachhaltigkeitsberichterstattung muss in Zukunft in Form eines geschlossenen Kapitels Teil des Lageberichts sein. Der Lagebericht ist in digitaler Form zu veröffentlichen und die darin enthaltenen Nachhaltigkeitsinformationen sind nach einer noch zu entwickelnden Taxonomie zu taggen.
3.2 Umsetzung in nationales Recht
Da es sich um eine Richtlinie handelt, sind die Bestimmungen von den Mitgliedstaaten in nationales Recht umzusetzen. Der Rahmen dafür sieht folgendermaßen aus:
Trotz der mittlerweile bereits verstrichenen Umsetzungsfrist, liegt noch kein Ministerialentwurf vor. Laut Justizministerium befindet sich das Gesetzesvorhaben noch in der politischen Abstimmung.
3.3 EBA-Leitlinien für das Management von ESG-Risiken durch Institute
Die EBA hat im April 2024 einen Leitlinienentwurf zur Ermittlung, Messung, Steuerung und Überwachung von Umwelt-, Sozial- und Governance-Risiken (ESG-Risiken) durch Institute veröffentlicht. Mit einer Endfassung ist voraussichtlich Ende 2024 zu rechnen.
Folgende Anforderungen an die internen Prozesse und das ESG-Risikomanagement wurden festgelegt:
Identifizierungund Messung: robuste Datenprozesse sowie eine Kombination von Methoden, wie zB exposure-, portfolio- und szenario-basierte Ansätze
Steuerung und Überwachung: Ansätze zur kurz-, mittel- und langfristigen Steuerung und Minderung von ESG-Risiken über verschiedene Zeithorizonte - mind 10 J
Transitionspläne: ökologische Übergangs- und physische Risiken, über lange Zeithorizonte hinweg ermitteln, messen, steuern und überwachen