Zahlungsdienstegesetz 2018

​​Neue Zahlungsdienste

Neue Zahlungsdienste – konkret Zahlungsauslöse- und Kontoinformationsdienstleister – knüpfen mit ihren Diensten am Internet-Banking von Kreditinstituten an. Sie übermitteln Daten zwischen Kunden, Kreditinstituten und Händlern, ohne selbst in den Besitz von Kundengeldern zu gelangen:

• Beim Zahlungsauslösedienst beauftragt der Kunde den Dienstleister, für ihn bei seinem kontoführenden Zahlungsdienstleister eine Überweisung auszulösen, etwa wenn er im Online-Shop eines Händlers einkauft. In der Gewissheit, dass die Zahlung ausgelöst wurde, ist der Händler eher bereit, seine Ware unverzüglich freizugeben bzw seine Dienstleistung zu erbringen.
• Beim Kontoinformationsdienst erhält der Kunde vom Dienstleister aufbereitete Informationen über seine Zahlungskonten, die er bei einem oder mehreren Zahlungsdienstleistern hält.

Bislang waren solche neuen Zahlungsdienste im aufsichtsrechtlichen „Graubereich“ tätig. Mit dem vorliegenden Gesetzentwurf werden Zahlungsauslöse- bzw Kontoinformationsdienstleister nun als Zahlungsdienstleister reguliert:

• Zahlungsauslösedienstleister benötigen eine Konzession (§ 9 ZaDiG 2018), Kontoinformationsdienstleister müssen sich registrieren (§ 15 ZaDiG 2018), um ihre Dienste erbringen zu dürfen.
• Beide Zahlungsdienste haben statt der Verpflichtung, Eigenmittel in bestimmter Höhe zu halten, eine Berufshaftpflichtversicherung abzuschließen oder eine gleichwertige Garantie vorzuweisen (§§ 8 und 15 ZaDiG 2018).
• Beide Zahlungsdienste erhalten über die Dienstleistungs- und Niederlassungsfreiheit einen unionsweiten Zugang zum Zahlungsverkehrsmarkt (§§ 27 ff ZaDiG 2018).
• Beide Zahlungsdienste haben das Recht auf Zugang zum Zahlungskonto des Kunden mit dessen Zustimmung. Allerdings sind sowohl der Zugriff als auch die Verwendung der dadurch erlangten Informationen durch Datenschutz- und Sicherheitsvorschriften beschränkt (§§ 60 und 61 ZaDiG 2018).

​​Kundenauthentifizierung bei Online-Zahlungen

Die erhebliche Zunahme von Internetzahlungen und mobilen Zahlungen macht eine Verbesserung der Sicherheit bei der Zahlungsabwicklung notwendig. Deshalb hat der Zahlungsdienstleister künftig in bestimmten Fällen (§ 87 ZaDiG 2018) vom Zahler eine starke Kundenauthentifizierung zu verlangen. Das bedeutet, eindeutig und nachweisbar festzustellen, dass ein bestimmter Zahler eine bestimmte Zahlung in Auftrag gegeben hat.

Die starke Kundenauthentifizierung erfordert mindestens zwei Elemente der folgenden Kategorien:

• Besitz: etwas, das ausschließlich der Zahler besitzt (zB Kreditkarte),
• Wissen: etwas, das ausschließlich der Zahler weiß (zB Passwort), oder
• Inhärenz: ein Merkmal des Zahlers, das diesem eindeutig zugeordnet werden kann (zB Fingerabdruck).

Die Elemente müssen dabei voneinander unabhängig sein. Die Nichterfüllung eines Kriteriums darf die Zuverlässigkeit der anderen nicht beeinträchtigen und die Vertraulichkeit der Authentifizierungsdaten muss geschützt sein. Bei einem elektronischen Fernzahlungsvorgang muss die Authentifizierung zudem Elemente umfassen, die den Zahlungsvorgang dynamisch mit einem bestimmten Betrag und einem bestimmten Zahlungsempfänger verknüpfen.

Die Präzisierung der Vorschriften betreffend die starke Kundenauthentifizierung sowie den Zugang zu Zahlungskonten für neue Zahlungsdienste erfolgt durch technische Regulierungsstandards gem Art 98 der RL (EU) 2015/2366 .

​​Haftung bei nicht autorisierten Zahlungen

Die Rechtsstellung des Zahlers bei nicht autorisierten Zahlungsvorgängen wird in Umsetzung der RL (EU) 2015/2366 verbessert.

Bei missbräuchlicher Verwendung eines Zahlungsinstruments haftet der Zahler nur, wenn er in der Lage war, den Verlust, den Diebstahl oder die sonstige missbräuchliche Verwendung des Zahlungsinstruments zu bemerken. Selbst in diesem Fall ist die Haftung des Zahlers aber auf höchstens 50 € begrenzt (bisher lag die Haftungsgrenze bei 150 €).

Die Haftungsgrenze gilt – wie bereits bisher – nicht, wenn der Zahler in betrügerischer Absicht gehandelt oder vorsätzlich oder grob fahrlässig seine Pflicht verletzt hat, seine personalisierten Sicherheitsmerkmale vor unbefugtem Zugriff zu schützen. Allerdings hat anstelle des Zahlers der Zahlungsdienstleister den Nachweis für Betrug, Vorsatz oder grobe Fahrlässigkeit zu erbringen.

Außerdem wird die Haftungsfrage zwischen dem kontoführenden Zahlungsdienstleister und dem Zahlungsauslösedienstleister geklärt:

• Ist ein Zahlungsauslösedienstleister in den Zahlungsvorgang eingebunden, haftet gegenüber dem Zahler zwar zunächst weiterhin der kontoführende Zahlungsdienstleister.
• Der Zahlungsauslösedienstleister hat dem kontoführenden Zahlungsdienstleister jedoch unverzüglich den Betrag des nicht autorisierten Zahlungsvorgangs zu erstatten – sowie alle vertretbaren Kosten, die iZm der Erstattung an den Zahler entstanden sind –, es sei denn, er kann nachweisen, dass er den nicht autorisierten Zahlungsvorgang nicht zu vertreten hat.

​​Inkrafttreten

Die Neuregelungen treten grds mit 1. 6. 2018 in Kraft; gleichzeitig tritt das bisherige ZaDiG, BGBl I 2009/66, außer Kraft.