Im September 2020 hat die Europäische Kommission einen ersten Entwurf des „Digital Operational Resilience Act“ (DORA) veröffentlicht. Die Verordnung soll ein zentraler Treiber der von der EU formulierten „Digital Finance Strategie“ werden. Mit DORA sollen einheitliche Anforderungen an die Sicherheit von Netzwerken und Informationssystemen von Finanzunternehmen sowie deren IKT-Drittanbietern festgelegt und ein Rechtsrahmen für die digitale operationelle Widerstandsfähigkeit geschaffen werden. Im Rahmen des informellen Trilogs erreichten Ratspräsidentschaft und das Europäische Parlament nun am 10. Mai 2022 eine vorläufige Einigigung über DORA.

Am 28. April 2022 hatte ich hierzu im Rahmen der BITKOM Arbeitskreis-Sitzung "Cyber Security im Zahlungsverkehr" einen Vortrag gehalten. Die Slides der Präsentation hängen an.

Die EU hat als Reaktion auf den Angriffskrieg in der Ukraine weitreichende Finanz- und Handelssanktionen gegenüber Russland und Belarus verhängt. In vielen Bereichen werden hierbei auch Zahlungsdienstleister in die Pflicht genommen. Einige Sanktionsvorschriften, wie z.B. das Verfügungsverbot („Einfrieren von Geldern“) nach Art. 2 Abs. 1 Verordnung (EU) Nr. 269/2014 (EU-Russland-Embargo I-VO), sind in ihrer Struktur bereits bekannt und ihre Einhaltung sollte Zahlungsdienstleister – zumindest in einfach gelagerten Fällen – vor keine größeren rechtlichen oder praktischen Probleme stellen.

Jenseits davon enthalten die Sanktionsregime aber auch eine Reihe neuartiger Aspekte, welche vielgestaltige rechtliche und praktische Umsetzungsfragen aufwerfen.

Um einige dieser Fragen soll es im Folgenden gehen:

Die EBA hat im Februar 2022 ihren finalen Entwurf für Leitlinien über die Anwendung der „limited loop“ Ausnahme gemäß der PSD2 veröffentlicht. Diese gelten ab dem 1. Juni 2022. In Umsetzung der Leitlinien muss eine Neubewertung der "limited loop" Ausnahme i.S.d. PSD2 erfolgen. Im Rahmen dessen müssen Dienstleister, die von der Ausnahme bislang Gebrauch gemacht haben und bereits eine Anzeige über die Ausnahmenutzung gem. § 2 Abs. 2 S. 1 ZAG bei der „BaFin“ abgegeben haben, diese Anzeige unter erneuter Beschreibung der angebotenen Dienstleistung bis zum 1. September 2022 erneuert haben.

In unserer neuen Legal Update Reihe informieren wir Sie über aktuelle Entwicklungen rund um das Zahlungsdiensterecht.

Hier soll es um das neue, aktualisierte Rundschreiben zur Meldung schwerwiegender Sicherheitsvorfälle der BaFin gehen.

Die BaFin hatte bereits vor Veröffentlichung der Urteilsgründe verkündet, dass dieses Urteil die Finanzbranche Milliarden kosten werde. Es kann sicherlich als Erdrutsch bezeichnet werden. Ganz unerwartet kommt das Urteil nicht. Der BGH hat mit seinem am 27. April 2021 verkündeten Urteil, dessen Begründung seit gestern (8. Juni 2021) veröffentlicht ist, die AGB-Änderungsklauseln der vom Bundesverband Deutscher Banken empfohlenen Banken-AGB für unwirksam erklärt.