Das Zahlungsverkehrsrecht ist ein sich sehr stark wandelnder Bereich – Digitalisierung und Nachhaltigkeit spielen dabei eine wichtige Rolle. Insbesondere im EU-Recht gibt es Bestrebungen, allfälligen Entwicklungen zu entsprechen und zahlungsverkehrsrechtliche Regelungen an diese anzupassen.
In diesem zweiten Teil des Sondernewsletters „Aktuelle Themen im Zahlungsverkehrsrecht“ informieren wir über zwei EU-Rechtsakte, die zur weiteren Digitalisierung des Zahlungsverkehrsrechts beitragen sollen:
der Novelle der „Payment Services Directive“, die in ihrer dritten Auflage weiterbesteht (PSD III) und
einer neuen Verordnung für Zahlungsdienste, der „Payment Services Regulation“ (PSR).
In Teil I wurden bereits DORA, die Instant Payment VO und CSRD/ESG-Risiken behandelt. Den ersten Teil des Newsletters finden Sie hier.
1. Seminar- und Vortragsankündigung
1.1 Webinar: „Arbeitsrecht für Führungskräfte in der Finanzwirtschaft“
Frau Mag. Unger hält am 01.10.2024 das Webinar „Arbeitsrecht für Führungskräfte in der Finanzwirtschaft". Nähere Informationen finden Sie hier: https://www.finanzverlag.at/events/arbeitsrecht-finanzwirtschaft-2/
1.2 Präsenzseminar "Arbeitsrecht für Führungskräfte" für alle Bereiche
Am 10.09.2024 findet wieder das Präsenzseminar „Arbeitsrecht für Führungskräfte“, das für alle Branchen geeignet ist, im Hilton Vienna Plaza Wien statt. Nähere Informationen finden Sie hier: https://www.weka-akademie.at/arbeitsrecht-fur-fuhrungskrafte/
1.3 Präsenzseminar: „Zahlungsverkehr, Zahlungsdienste, Zahlungskonto“
Am 23.10.2024 findet das Fachseminar "Zahlungsverkehr, Zahlungsdienste, Zahlungskonto! Neuerungen/aktuelle Entwicklungen sowie relevante zivilrechtliche Aspekte" statt. Nähere Informationen finden Sie hier: https://www.finanzverlag.at/events/zahlungsverkehr-zahlungsdienste-zahlungskonto-2/
1.4 Austrian Payment Academy/APAc – Grundkurs 2024 (hybrid)
Die APAc (Austrian Payment Academy) ist ein seit 2023 bestehendes neues Ausbildungsangebot für alle, die im Zahlungsverkehr tätig sind, Verantwortung tragen oder durch ihr Berufsbild einen umfassenden Einblick in die technologiegetriebene dynamische Payment Branche erhalten möchten. Frau Mag Unger trägt das Modul IV „Legal, Compliance“ vor und erläutert die rechtlichen Rahmenbedingungen des Zahlungsverkehrs. Der nächste Grundkurs findet im September 2024 statt. Nähere Informationen unter https://paymentacademy.at/angebot.
2. Payment Services Directive III (PSD III) und Payment Services Regulation (PSR)
2.1 Hintergrund
2023 veröffentlichte die Europäischen Kommission das „Financial Data Access and Payment Package“. Dieses Packet enthält Maßnahmen zur Digitalisierung des Zahlungsverkehrs und besteht aus drei Regulierungsentwürfen:
PSD III (RL über Zahlungsdienste und E-Geld-Dienste, Payment Service Directive)
PSR (VO über Zahlungsdienste, Payment Services Regulation)
FIDA (VO für den Zugang zu Finanzdaten/Financial Data Access)
Die bestehende PSD II wird in zwei Rechtsakte aufgespalten:
Zusätzlich wird auch die E-Geld Richtlinie in PSD III und PSR integriert und das E-Geld-Geschäft als weiterer Zahlungsdienst anerkannt.
Hinweis: Da wir uns noch im Umsetzungszeitraum befinden, handelt es sich nur um Entwürfe!
2.2. Umsetzung
Bis dieses Maßnahmenpaket in Kraft tritt, wird noch einige Zeit verstreichen, denn die Vorschläge der EU-Kommission müssen noch das EU-Gesetzgebungsverfahren durchlaufen. Das Europäische Parlamet hat seine finale Position im April 2024 abgegeben und die Entwürfe angenommen. Der Rat hat noch keine Entscheidung getroffen – mit Start der Trilogverhandlungen rechnet man frühestens im Herbst 2024. Mit den endgültigen Fassungen wird wohl nicht vor 2025 zu rechnen sein.
Die PSR und PSD III sollen am 20. Tag nach ihrer Veröffentlichung im EU-Amtsblatt in Kraft treten und ab 18 Monaten nach dem Datum ihres Inkrafttretens gelten bzw in nationales Recht umgesetzt werden.
2.3. Ziele
Aus dem Maßnahmenpaket ergeben sich im Wesentlichen folgende Ziele:
Stärkung der Harmonisierung und Durchsetzbarkeit
Neuordnung und Anpassung des regulatorischen Rahmens
Erhöhung des Wettbewerbs (level playing field)
Förderung von Open Banking
Stärkung des Verbraucherschutzes, insbesondere Betrugsbekämpfung
Verbesserung der Verfügbarkeit von Bargeld
2.4. Schwerpunkte von DORA
Die PSD III soll die seit 16.10.2015 geltende PSD II ersetzen. In ihr sollen die Voraussetzungen für die Zulassung sowie die Aufsicht von Zahlungsinstituten geregelt werden.
2.4.1 Geplante Änderungen
Zahlungsdienstekatalog (Art 2 Nr 3 PSD III, Annex I)
Neuordnung der Tatbestände
Zusammenführung der Tatbestände Ein- und Auszahlungsgeschäft
Zusammenführung der Tatbestände von Zahlungsvorgängen mit und ohne Kreditgewährung
Aufspaltung von Issuing und Acquiring
Begriffsbestimmungen (Art 2 PSD III, Art 3 PSR)
Klarstellung vorhandener Begriffe, zB
→ „Zahlungskonto“ (Anpassung an BKA/Ing-DiBa, C-191/17),
→ „Zahlungsinstrument“ (Anpassung an T-Mobile Austria GmbH/VKI, C-616/11 – „individualisiert“, auch Gutscheinkarten)
→ „Geld“ (alle Formen des Zentralbankgeldes; Stichwort: „digitaler Euro“, E-Geld-Token)
Aufnahme neuer Definitionen, zB „E-Geld“, „Geldautomatenbetreiber“, „Anbieter von technischen Diensten“
Doppelung der Definitionen in PSD III (39) und PSR (55)
Anpassungen beim Konzessionsverfahren (Art 3 PSD III)
Anpassung der Voraussetzung an DORA-Vorgaben
Einreichung eines Abwicklungsplans (Art 3 Abs 3 lit s PSD III)
Möglichkeit, die Berufshaftpflichtversicherung durch ein Anfangskapital iHv EUR 50.000 zu ersetzen
Inflationsbedingte Anpassung des Anfangskapitals (Art 5 PSD III)
→ Finanztransfergeschäft: EUR 25.000 (statt: EUR 20.000,00)
→ Andere Zahlungsdienste: EUR 150.000 (statt: EUR 125.000)
→ E-Geld-Geschäft: EUR 400.000 (statt: EUR 350.000)
Sicherung der Kundengelder (Art 9 PSD III)
zusätzliche Optionen zum Schutz der Kundengelder, da Zahlungsinstitute Schwierigkeiten haben, Treuhandkonten zu erhalten
Möglichkeit der Sicherung über Zentralbanken(so diese dies anbieten – freies Ermessen)
Verwendung verschiedener Sicherungsmethoden und Vermeidung der Sicherung aller Kundengelder bei nur einem Kreditinstitut -> Verhinderung von Konzentrationsrisiken
Ziel: besserer Schutz von Kundengeldern
RTS der EBA vorgesehen
Unabhängige Geldautomatenbetreiber („ATM deployer“) (Art 2 Nr 38 und Art 38 PSD III)
Ziel: besserer Schutz von Kundengeldern
Aktuell noch keine Konzessionspflicht (Ausnahme gem Art 3 lit o PSD II, vorausgesetzt nur Auszahlungen), in Zukunft Registrierungspflicht („Konzession-light“)
→ Beschränkung auf Bargeldbehebungen („Auszahlungsgeschäft“)
Informationspflichten müssen beachtet werden („Gebührentransparenz“)
2.4.2 Überblick
3. Payment Services Regulation (PSR)
Durch die geplante unmittelbar anwendbare PSR sollen ein Großteil der Regelungen der PSD II in die PSR transferiert werden, va die Vorschriften über/zur
die Zahlungen/ Transaktionen
die Verträge über Zahlungsdienste
die Rechte und Pflichten der Zahlungsdienstnutzer und der Zahlungsdienstleister, insbesondere auch über die Informationspflichten der Zahlungsdienstleister und über die Haftung
Betrugsbekämpfung, Autorisierungsverfahren und starken Kundenauthentifizierung (SCA)
3.1 Anpassungen im Ausnahmekatalog
Der Ausnahmekatalog regelt, wer bzw was vom Anwendungsbereich der PSR ausgenommen bleibt:
3.2 Inhaltliche Änderungen
Zugang zu Zahlungssystemen (Art 31 PSR, Art 46 PSD III) (derzeit § 5 ZaDiG 2018)
Änderung der Finalitäts-RL dahingehend, dass Zahlungsinstitute nun in diese miteinbezogen werden
Verschärfung der Vorgaben für Kreditinstitute:
→ Zugangsvoraussetzungen hat der Betreiber zu veröffentlichen
→ Ablehnung muss schriftlich und begründet sein und darf nur aufgrund angeführter Risiken erfolgen
Zugang zu Zahlungkontodiensten (Art 32 PSR) (derzeit § 6 ZaDiG 2018)
Zugang von Zahlungsinstituten zu Zahlungskontodiensten (zB Treuhandkonten zur Sicherung von Kundengeldern)
Verschärfung der Vorgaben für Kreditinstitute:
→ Ablehnung/Kündigung muss schriftlich und begründet sein und darf nur aufgrund angeführter schwerwiegender Gründe erfolgen
→ Beschwerdemöglichkeit
Ausweitung des Anwendungsbereichs auf Vertriebsstellen, Agenten und Konzessionswerber
RTS durch die EBA
Open Banking (Art 35ff PSR)
Neue Mindestanforderungen und Regelungen bezüglich der API-Schnittstellen
demonstrative Liste verbotener Übertragungshindernisse, um optimalen Datenzugang zu gewährleisten
Wegfall des Notfallmechanismus -> dedizierte Schnittstelle muss aber aufrechterhalten werden
Bei Ausfall der Schnittstelle muss ein vorübergehender Notfalldatenzugriff möglich sein
Verpflichtung der Bereitstellung eines sog. „Permission Dashboard“ für Zahlungsdienstnutzer – Überblick, wem Datenzugriff gewährt wurde
Betrugsbekämpfung (Art 50, 82ff PSR)
Bekämpfung von Social-Enginering-Betrug, insbesonder „Spoofing“:
→ IBAN-Name Check (Art 50 PSR) bei Überweisungen in EU-Währungen (Zahlungsdienstleister müssen unentgeltlich IBAN und Kontoname des Zahlungsempfängers prüfen)
→ Stärkere Transaktionsüberwachung (Art 82ff PSR) und „Fraud data sharing“ zwischen den Zahlungsdienstleistern (Art 83 PSR)
→ Verpflichtung zur Durchführung von Aufklärungsmaßnahmen (Art 84 PSR)
→ Ausweitung der Erstattungsrechte der Zahlungsdienstnutzer (Art 59), wenn folgende Voraussetzungen gegeben sind:
Es hat eine polizeiliche Anzeige stattgefunden,
der Zahlungsdienstleister wurde unverzüglich informiert und
beim Verbraucher liegt keine grobe Fahrlässigkeit oder Betrugsabsicht vor, wobei die Beweislast der Zahlungsdienstleister trägt.
Exkurs zum „Social Engineering“ und „Spoofing”
Dabei handelt es sich um eine bestimmte Betrugsmasche, bei der Kunden durch Manipulation zur Herausgabe von Informationen oder gar zur Tätigung einer Transaktion bewegt werden. Grundsätzlich unterscheidet man zwischen autorisierten und nicht autorisierten Transaktionen. Diese Unterscheidung hat Auswirkungen auf die Haftung. Bei Betrugsarten wie etwa dem „Spoofing“ verschwimmt die Grenze, weil zwar eine Autorisierung stattgefunden hat, diese aber durch Manipulation erzeugt wurde.
Haftung für technische Dienstleister (Art 58 PSR)
Erweiterung der Haftung technischer Dienstleister für die fehlende Unterstützung der Durchführung der SCA
Starke Kundenauthentifizierung (SCA) (Art 85ff PSR)
Bereitstellung von Tools, die Menschen, die Schwierigkeiten mit der Nutzung haben (zB aufgrund von Alter oder Behinderung), die Verwendung von SCA trotzdem ermöglichen.
Eine SCA darf bei von Händlern ausgelösten Zahlungsvorgängen nur dann unterbleiben, wenn überhaupt keine Beteiligung des Zahlers vorliegt.
Bei Bestellungen über Telefon oder Mail (MOTOs) soll die nicht digitale Auslösung des Zahlungsvorganges keiner Verpflichtung zu SCA unterliegen, sofern der Zahlungsdienstleister des Zahlers durch Sicherheitsanforderungen eine andere Form der Authentifizierung ermöglicht.
Die Häufigkeit der von kontoführenden Zahlungsdienstleistern verpflichtend durchzuführenden SCA wird verringert: auf die erstmalige Anwendung und dann alle 180 Tage.