Zahlungsdienstegesetz 2018 (ZaDiG 2018)

Am 20. Oktober 2017 hat das BMF nun endlich den Entwurf für ein Zahlungsdienstegesetz 2018 (ZaDiG 2018) veröffentlicht. Den Begutachtungsentwurf können Sie hier downloaden. Damit soll die PSD2 in Österrich umgesetzt werden. Mit dem Inkrafttreten des ZaDiG 2018 soll das derzeitige ZaDiG aufgehoben werden.Ob sich eine rechtzeitige Umsetzung bis 13. Jänner 2018 ausgeht, ist angesichts der derzeitigen politischen Lage unklar.

Wir möchten Sie hier über die wichtigsten Neuerungen informieren, die das Zahlungsdienstegesetz 2018 (ZaDiG 2018) mit sich bringt:

Neue Zahlungsdienste

Das ZaDiG 2018 sieht zwei neue Arten von Zahlungsdiensten vor, die künftig nur nach entsprechender Konzessionierung bzw. Registrierung gewerblich erbracht werden dürfen. Dabei handelt es sich um sogenannte Zahlungsauslöse- und Kontoinformationsdienste.

Unter Zahlungsauslösediensten versteht man Zahlungsdienste, die auf Antrag des Zahlungsdienstnutzers einen Zahlungsauftrag in Bezug auf ein bei einem anderen Zahlungsdienstleister geführtes Zahlungskonto auslösen. Sie werden von der PSD2 als Alternative zu kartenbasierten Zahlungsvorgängen gesehen.

Kontoinformationsdienste sind Online-Dienste zur Mitteilung konsolidierter Informationen über ein Zahlungskonto oder mehrere Zahlungskonten, das oder die ein Zahlungsdienstnutzer entweder bei einem anderen Zahlungsdienstleister oder bei mehr als einem Zahlungsdienstleister hält. Für derartige Zahlungsdienste ist charakteristisch, dass sie mit den Geldbeträgen nicht in Berührung kommen.

Der bisherige Tatbestand des digitalisierten Zahlungsgeschäfts wird hingegen gestrichen. Ansonsten bleiben die bisherigen Zahlungsdienste bestehen.

Änderung der Ausnahmen

Das Zahlungsdienstegesetz 2018 (ZaDiG 2018)  schränkt auch die bisherigen Ausnahmetatbestände des ZaDiG ein. So wird etwa der Ausnahmetatbestand des sogenannten begrenzten Netzes an Waren oder Händlern restriktiver definiert. Es wird im Zusammenhang mit der Inanspruchnahme der Ausnahme eine Anzeigepflicht an die FMA festgelegt, wenn der Gesamtwert der Zahlungsvorgänge der vorangegangenen zwölf Monate den Betrag von einer Million Euro überschreitet.

Auch die sg. Telekom-Ausnahme wird neu definiert. Sie gilt künftig für Betreiber elektronischer Kommunikationsnetze oder -dienste, die Zahlungsvorgänge im Zusammenhang mit dem Erwerb digitaler Inhalte, sprachbasiertes Services, Tickets oder im Rahmen karitativer Tätigkeiten als Nebendienstleistungen zu eletronischen Kommunikationsdiensten erbringen. Weiters wurde eine Betragsgrenze eingezogen, wonach einzelne Zahlungsvorgänge EUR 50 und der kumulative Wert von Zahlungsvorgängen innerhalb eines Rechnungsmonats EUR 300 nicht überschreiten dürfen. Unternehmen, die von der Ausnahme Gebrauch machen wollen, müssen dies der FMA ebenfalls melden. Der FMA ist jährlich ein Gutachten eines Wirtschaftsprüfers zu übermitteln, aus dem hervorgeht, dass die Tätigkeit mit den vorgenannten Obergrenzen vereinbar ist.

Auch die Ausnahme für Handelsagenten wird dahingehend eingeschränkt, dass künftig nur mehr Zahlungsvorgänge von Zahlern an Zahlungsempfänger über Handelsagenten befreit sind, die befugt sind, den Kauf oder Verkauf von Waren oder Dienstleistungen nur im Namen des Verkäufers oder nur im Namen des Käufers auszuhandeln oder abzuschließen.

Open Banking bzw. Access to Account (XS2A)

Die Einführung der Zahlungsauslöse- und Kontoinformationsdienste (sg Drittanbieter bzw Third Party Provider, kurz TPPs) geht mit der Verpflichtung für kontoführende Zahlungsdienstleister (idR Kreditinstitute) einher, den TPPs technischen Zugriff auf die Konten ihrer Kunden zu gewähren, damit diese ihre Dienste erbringen können. Das Recht, Zahlungsauslöse- und Kontoinformationsdienste zu nutzen besteht nur, wenn das Zahlungskonto online zugänglich ist.

Wie die sichere Kommunikation zwischen kontoführendem Zahlungsdienstleister und Drittanbieter zu erfolgen hat, legen von der EBA bereits vorbereitete, aber von der Europäischen Kommission noch zu erlassende technische Regulierungsstandards (RTS) fest. Im Rahmen der Arbeiten an diesen RTS ist im letzten Jahr ein handfester Streit darüber entbrannt, wie kontoführende Zahlungsdienstleister den Drittanbietern Zugang zu den Kundenkonten gewähren müssen. Während Kreditinstitute aus Sicherheitsgründen den Zugriff nur über eine dedizierte Schnittstelle (API) zulassen möchten, wollen Drittanbieter auch weiterhin mittels sg „Screen Scraping“ auf die Kundenkonten zugreifen. Unter Screen Scraping versteht man den Zugriff in einer Form, in der auch der Kunde selbst auf sein Konto online zugreifen kann. Banken fürchten, dass Drittanbieter beim Zugriff über Screen Scraping Daten einsehen und speichern könnten, die über die Informationen hinausgehen, die sie zur Erbringung ihres Dienstes benötigen. Drittanbieter hingegen haben die Sorge, dass kontoführende Institute kein Interesse haben, gut funktionierende APIs zur Verfügung zu stellen, und damit ihre Geschäftstätigkeit stark beeinträchtigen könnte.

Starke Kundenauthentifizierung (SCA)

Das ZaDiG 2018 soll auch die Sicherheit von Zahlungsvorgängen verbessern. Deshalb müssen Zahlungsdienstleister künftig in bestimmten Fällen vom Zahler eine SCA verlangen. Es muss demnach eindeutig und nachweisbar festgestellt werden, dass ein bestimmter Zahler eine bestimmte Zahlung in Auftrag gegeben hat. SCA erfordert mindestens zwei der folgenden drei Elemente: Besitz (etwas, das ausschließlich der Zahler besitzt, zB eine Kreditkarte, Wissen (etwas, das ausschließlich der Zahler weiß, zB ein Passwort) oder Inhärenz (ein Merkmal des Zahlers, das diesem eindeutig zugeordnet werden kann, zB ein Fingerabdruck), wobei die Elemente voneinander unabhängig sein müssen.

Die Präzisierung der Anforderungen für SCA, insbesondere die Festlegung bestimmter Ausnahmen (etwa für geringfügige Zahlungen), in denen keine starke Kundenauthentifizierung erforderlich ist, erfolgt durch die erwähnten technischen Regulierungsstandards (RTS), die auch in diesem Bereich umstritten sind. Die RTS SCA treten 18 Monate nach deren Veröffentlichung in Kraft, um den Instituten entsprechend Zeit zur Umstellung zu geben.

Haftung bei nicht autorisierten Zahlungen

Das ZaDiG 2018 verbessert auch die Rechtsstellung des Zahler bei nicht autorisierten Zahlungsvorgängen. Bei missbräuchlicher Verwendung eines Zahlungsinstruments wird der Zahler etwa nur mehr haften, wenn er in der Lage war, den Verlust, den Diebstahl oder die sonstige missbräuchliche Verwendung des Zahlungsinstruments zu bemerken. Die Haftung des Zahlers beträgt zudem künftig höchstens 50 Euro (bisher 150 Euro). Hat der Zahler jedoch in betrügerischer Absicht gehandelt oder die Pflicht, seine personalisierten Sicherheitsmerkmale vor unbefugtem Zugriff zu schützen, vorsätzlich oder grob fahrlässig verletzt, gilt die Haftungsgrenze nicht. Die Beweispflicht für Betrug, Vorsatz oder grobe Fahrlässigkeit trägt der Zahlungsdienstleister.

Wie können wir helfen?

Wenn Sie Fragen zum Zahlungsdienstegesetz 2018 bzw. ZaDiG 2018 haben, stehen wir Ihnen gerne zur Verfügung.

Ansprechpartner: Dr. Bernd Fletzberger