Jetzt Mitglied werden

PSD2: Strengere Anforderungen an das Meldewesen

Es ist richtig, dass die überarbeitete Zahlungsdiensterichtlinie (PSD2) Zahlungskonten für Drittdienstleister öffnet und gleichzeitig höhere Sicherheitsstandards schafft. Das ist aber nicht alles, denn Zahlungsdienstleister müssen zudem auch strengere Anforderungen an das Meldewesen umsetzen.

Von Christoph Schmidt - 11. Mai 2018

Die Reportingfristen für Banken orientieren sich an den oben aufgeführten Kriterien. Quelle: Bundesverband deutscher Banken e.V.

Der 13. Januar 2018 brachte für Zahlungsdienstleister einige neue Herausforderungen mit sich. Während die ersten Teile der PSD2 bereits ohne viel Aufsehen in Kraft getreten sind, ist die neu zu schaffende Drittdienstleisterschnittstelle in aller Munde. Die von der Berlin Group entwickelte Schnittstellenspezifikation muss voraussichtlich bis Herbst 2019 mit einer vorherigen Testphase von sechs Monaten realisiert sein und wird wahrscheinlich von vielen deutschen Instituten umgesetzt. Nicht weniger herausfordernd sind allerdings die neuen Anforderungen an das Meldewesen, wonach schwerwiegende Sicherheitsvorfälle über eine neue, automatisierte Plattform an die Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) gemeldet werden müssen.

Bereits die Mindestanforderungen an die Sicherheit von Internetzahlungen (MaSI) beinhalteten Meldungen von IT-Sicherheitsvorfällen, wonach innerhalb einer Stunde nach Bekanntwerden eines Vorfalls gemeldet werden musste. Nun jedoch werden diese Meldeanforderungen durch die PSD2 komplett abgelöst und Zahlungsdienstleister müssen anhand sieben konkreter Kriterien und Schwellwerte bewerten, ob Vorfälle meldepflichtig sind – eine Erstmeldung ist nach spätestens vier Stunden abzugeben. Trotz verlängerter Reportingfrist rechnen Banken mit einer erhöhten Anzahl meldepflichtiger Vorfälle, da die verschiedenen Kriterien schnell erreicht werden können: beim „lower impact level“ ab drei gerissenen Schwellwerten und beim „higher impact level“ bereits ab einem (siehe Tabelle).

Offizielles Rundschreiben der BaFin fehlt bislang

Meldungen via gesicherter E-Mail sind passé – jedes Institut muss sich für die neue Plattform registrieren. Was jedoch fehlt, ist ein offizielles Rundschreiben der BaFin, welches die Guidelines on incident reporting der Europäischen Bankenaufsichtsbehörde (EBA) formal umsetzt. Laut Aussagen der BaFin gelten die Anforderungen auch ohne Rundschreiben seit dem 13. Januar, da das Zahlungsdiensteaufsichtsgesetz (ZAG) den Art. 96 PSD2 im §54 bereits aufgreift. Viele international agierende Banken benötigen hinzukommend ein Meldeformular in englischer Sprache, welches voraussichtlich noch im ersten Halbjahr 2018 bereitstehen soll.

Außerdem wird das Leben für kleinere Zahlungsdienstleister erleichtert, indem der gesamte Meldeprozess unter bestimmten Voraussetzungen ausgelagert werden kann. Dazu gehört unter anderem, dass die designierte Meldepartei in der Europäischen Union ansässig sein und ein formaler Vertrag zwischen der Bank und der ausgelagerten Drittpartei bestehen muss. Die volle Verantwortung über die Einhaltung der Anforderungen bleibt dabei weiterhin bei der Bank. Vor allem im Sparkassen- und Genossenschaftslager werden Meldeanforderungen an konkrete SPOC (Single Point Of Contact), wie die eigenen IT-Dienstleister, delegiert.

Darüber hinaus müssen Zahlungsdienstleister statistische Daten zu Betrugsfällen an die Aufsicht liefern. Anfangs ebenfalls für Januar 2018 geplant sind die Guidelines jedoch erst im zweiten Halbjahr 2017 konsultiert worden und die finale Version der Anforderungen noch in der Erarbeitung. Es wird mit einer Veröffentlichung noch im zweiten Quartal dieses Jahres gerechnet.
Welche Betrugsstatistiken sollen gemeldet werden und ab wann?

Nach dem ersten Entwurf müssen vierteljährliche und jährliche Meldungen erfolgen, wobei die jährlichen Zusammenfassungen detaillierter ausfallen sollen. Dazu gehören nicht autorisierte Zahlungen, solche, bei denen der Zahler die Autorisierung besseren Wissens bestreitet, sowie autorisierte Zahlungen, bei denen der Zahler manipuliert wurde. Besonders der letzte Punkt dürfte Bauchschmerzen bereiten, da Banken oft nicht sehen und bewerten können, ob der Kunde wirklich manipuliert wurde, da diese Zahlungen in den meisten Fällen ordnungsgemäß freigegeben wurden – Stichwort CEO-Fraud. Außerdem können sich Recherche und Analyse dieser Betrugsfälle zeitlich in die Länge ziehen. Speziell diese Einbeziehung in die Statistiken wurde unter anderem von der Deutschen Kreditwirtschaft in deren Stellungnahme kritisiert. Die Aufzeichnung der Daten und erste Meldungen sollen laut Aussagen der BaFin erst ab 2019 erfolgen.

Was sollte passieren?

Zusammenfassend lässt sich sagen, dass neben der Bereitstellung der neuen Drittdienstleisterschnittstelle auch die Umsetzung der Meldeanforderungen priorisiert werden sollte. Zum einen werden das neue Bewertungsmuster und die damit verbundene zügige Meldefrist für Mehraufwand sorgen. Zum anderen muss für das Reporting von Betrugsstatistiken eine deutlich umfangreichere Datenbasis geschaffen werden.

Christoph Schmidt

Bundesverband deutscher Banken e.V.

Christoph Schmidt ist Referent Retail Banking und Banktechnologie beim Bundesverband deutscher Banken e.V.

Lesen Sie auch

100 Milliarden

Markus Braun, Chef der Wirecard AG, hält es[…]

Redaktion

Live aus dem Krypto-Valley

Autoren: Michael Lewrick, Christian Di Giorgio Preis: 19,80 Euro Seiten:[…]

Tobias Schenkel

Apple Pay kommt

Google ist schon da...

Thorsten Hahn

Online-Banking: Von wegen Mobile First

Das Smartphone als täglicher Begleiter. Für das Online-Banking[…]

Philipp Scherber

Plötzlich auf der Überholspur

Die Instant Payment-Ankündigung der Sparkassen bringt neuen Fahrtwind[…]

Tobias Schenkel

„Okay Google, ich würde gerne zahlen!“

Der Internet-Riese Google startet mit seiner eigenen Mobile[…]

Tobias Schenkel

Brauchen Banken eine eigene Wallet-App für das mobile Bezahlen?

Gerade die jüngere Kundengeneration bevorzugt bei mobilen Bezahlvorgängen[…]

Volker Koppe

Context Payments: Disruptive Kräfte formen Zahlungsprozesse neu

Die Art und Weise, in der wir Zahlungen[…]

Hartmut Giesen

Mit girocard kontaktlos in die digitale Zukunft

Kunden erwarten von einem modernen Bezahlsystem heute vor[…]

Ralf-Christoph Arnoldt

Aktuelle Payment-Trends im Zuge der Digitalisierung

Bargeldlose Zahlungen gewinnen in Deutschland stetig an Bedeutung.[…]

Dr. Heike Winter

100 Tage Instant Payments – eine erste Bilanz

Überweisungen in Echtzeit könnten etablierte Zahlverfahren überflüssig machen[…]

Gerhard Bystricky

Quo vadis, Payment?

„Beklage nicht, was nicht zu ändern ist, aber[…]

Nicole Jonat

Multibanking – neue Finanzzentrale vor Herausforderungen

Der Begriff Multibanking beschreibt die Aggregation von Konten[…]

Marten Ahrens

„Bei der Pflicht sicher, bei der Kür am Anfang“

Vernetzung ist einer der Kernaspekte der EU-Zahlungsdiensterichtlinie PSD2.[…]

Philipp Scherber

7 Gründe, warum Kryptowährungen auch 2018 steigen werden

Nicht einmal die größten Optimisten hätten zu Beginn[…]

Marko Mahler

„Will ich der digitale Löwe sein oder das Schaf?“

In einer Gesellschaft, die sich im stetigen Wandel[…]

Daniel Fernandez

Den Kaufprozess anders denken

Das liebe Bargeld hat die Deutschen nach wie[…]

Patrick Urban

Chancen von PSD2 offensiv nutzen

Die meisten Finanzinstitute planen derzeit, nur die Mindestanforderungen[…]

Christian Albrecht

Mobile Payment in Deutschland: Jahresrückblick 2017

Auch in diesem Jahr spielte Mobile Payment hierzulande[…]

Rudolf Linsenbarth

Das Ei-Ei-Problem

Noch bevor paydirekt wirklich gescheitert ist, wird dem[…]

Redaktion

Der digitale Aufbruch: Geschäftsmodelle neu denken

Banken und Fintechs sind zugleich Wettbewerber, Kunden und[…]

Andreas Linke

Mobile Payment ist in aller Munde – doch kaum ein Kunde fährt darauf ab

Die Medien sind voll von neuen mobilen Bezahllösungen,[…]

Daniel Hess

„Ich sehe viel Potenzial für Partnerschaften“

Auf der dmexco 2017 sprachen wir mit PayPal-Pressesprecherin[…]

Daniel Fernandez

Können Banken Innovation?

Liest man in der Presse über Innovation in[…]

Karsten Becker

Mobile Payment in Deutschland

Deutschland bewegt sich in Richtung mobiles Bezahlen, jedoch[…]

Christian Grosshardt

Zahlungsverkehr & Online-Banking – Kunden jetzt begeistern

Der Zahlungsverkehr stellt einen wesentlichen Faktor im Wirtschaftskreislauf[…]

Sebastian Müller

Cryptocoins – Investieren in digitale Währungen

Autor: Aaron Koenig, Preis: 16,99 €, 192 Seiten,[…]

Daniel Fernandez

Eine Revolution? Ja, aber…

Am 13. Januar des kommenden Jahres wird die[…]

Christian Grosshardt

Access to Accounts (XS2A) – Herausforderung oder Chance?

Mit der Payment Services Directive (PSD2) hat die[…]

Michael Göpper

„Einer der ersten alltagstauglichen Smart-Contract-Anwendungsfälle“

Die Sutor Bank hat mit dem Start-up Motionwerk[…]

Philipp Scherber

Einkaufen ohne Portemonnaie

Jetzt können Kunden der Deutschen Bank im Supermarkt,[…]

Michael Koch

„ATM Future Trends 2017“: GAAs im Wandel

Der Geldausgabeautomat (GAA) wird 50. Zu diesem Jubiläum[…]

Redaktion
Gebühren für Bargeld Abhebungen

Hilflos

Die tradierten Erlösmodelle der Banken verschwinden allmählich. Der[…]

Thorsten Hahn

Es war einmal: Ein Anruf bei PayPal

PSD2, harte und weiche Authentifikationsmerkmale, zwei Faktoren, Biometrie[…]

Thorsten Hahn

Die Payment-Trends 2017

Was wir dieses Jahr im Bereich Payment erwarten[…]

Rudolf Linsenbarth

Kryptische Vorzeichen

Im Jahre 2008 wurde das Konzept der „Bitcoin“[…]

Christian Grosshardt

Was ist Geld? Der Geldbegriff der Kreditgeldwirtschaft

Autor: Dietrich Eckardt Euro: 34,80 170 Seiten, gebunden[…]

Christian Grosshardt

Ein Supermarkt ohne Kassen

Amazon hat bereits die Vormachtstellung im Onlinehandel für[…]

Daniel Fernandez

Auswirkung der Regulierung auf Banken

In Zeiten des digitalen Wandels und der regulatorischen[…]

Matthias Hönisch

Mobile-Banking-Lösungen als Erfolgsfaktor im Firmenkundengeschäft

In einem anspruchsvollen Marktumfeld müssen Banken ihren Kunden[…]

Christoph Radziej

Wie Unternehmen durch Digitalisierung zu Banken werden

Die Digitalisierung verändert die Welt mindestens genauso stark,[…]

Patrick Urban

Wie werden wir im Jahr 2030 bezahlen?

Dieser Frage gingen auf dem fünften Fachkongress Next[…]

Daniel Fernandez

„Wir sind noch weit entfernt vom bargeldlosen Alltag“

Anfang 2017 erhielt Auriga die Zulassung für das[…]

Philipp Scherber

ver.di ruft Geldboten zum Streik auf

Berlin – In neun Bundesländern sind am Freitag[…]

Daniel Fernandez

Warum wir eine paneuropäische Mobile-Payment-Lösung brauchen

Mobile-Payment-Lösungen wie Apple Pay aus den USA, Samsung[…]

Christian Pirkner

Weihnachten steht vor der Tür – das Online-Bezahlverfahren paydirekt ist bereit

Mit dem Eintritt des Weihnachtsgeschäfts in die heiße[…]

Ines Reichardt

Digitalisierung auch bei Bankenabrechnungen und Preisen

Die Digitalisierung dringt in immer mehr Bereiche unseres[…]

Monika Wetscheza

„Eine Operation am offenen Herzen“

Die Implementierung von paydirekt in den Kernbanksystemen glich[…]

Philipp Scherber

Stadionwurst via App

Am Wochenende startet die neue Bundesliga-Saison und viele[…]

Philipp Scherber