Payment Services
Law Blog

Gestern hat die BaFin ihr Rundschreiben 4/2016 vom 10. Juni 2016 bis zum 31. Dezember 2016 ausgesetzt (BaFin Schreiben 11.07.2016).

POS und eCommerce-Abwicklung über Zahlungsauslösedienste und technische Dienstleister nach der PSD2

Es ist die Absicht der EZB und des ERPB (Euro Retail Payments Board), mit Instant Payments die Geschwindigkeit von Zahlungen in der Europäischen Union erheblich zu steigern. Heute dauert es in der Regel einen Geschäftstag, bis eine Zahlung den Empfänger erreicht. Mit Instant Payments soll die Gutschrift “in real time”, 24 Stunden pro Tag, 365 Tage im Jahr, stattfinden. Das Verfahren wird voraussichtlich ab 2018 verfügbar sein – möglicherweise mit einer EU-gesetzlichen Verpflichtung der Zahlungsdienstleister, es durchzuführen.

Ein „Use Case“ von Instant Payment könnte es sein, damit im eCommerce oder am Point of Sale (POS) eine einfache und schnelle bargeldlose Zahlung Zug-um-Zug zu gewährleisten, so dass auch Garantien für zeitverzögerte Zahlungen (z.B. bei Kreditkarten) entfallen können. Zur Abwicklung wird es aber eines dazwischen geschalteten Dienstleisters bedürfen, der Händler und Online-Banking verknüpft. Für die Abwicklung von SEPA Instant Payment ist es also von erheblicher Bedeutung, die Regeln zur Zahlungsabwicklung über solche dritten Dienstleister unter der PSD2 zu betrachten und zu berücksichtigen.

Seit der ersten Entwurfsfassung sind 29 Monate vergangen. Das EU Parlament hatte Anfang Oktober 2015 zugestimmt. Der Europäische Rat im Dezember 2015. Die Richtlinie war noch vor Weihnachten im Amtsblatt veröffentlicht worden. Heute tritt sie in Kraft. Was bedeutet dies für die Welt des Zahlungsverkehrs?

Ab dem 5. November 2015 werden Zahlungsdienstleister in Deutschland die „Mindestanforderungen an die Sicherheit von Internetzahlungen (MaSI)“ befolgen müssen. Ob die dadurch erhöhte Sicherheit der Zahlungen im Internet mit einem Rückgang der Conversion Rate im E-Commerce „erkauft“ werden muss, ist noch nicht klar.

Um bei Zahlungen über das Internet drohenden Gefahren zu begegnen, erließ die EZB 2013 die „Final SecuRe Pay Recommendations on the Security of Internet Payments“ (EZB-Empfehlungen). Später war man überzeugt, dass die Europäische Bankenaufsichtsbehörde (EBA) eher zuständig sei, diese Regeln zu erlassen, sodass die EBA im Dezember 2014 die „Leitlinien zur Sicherheit von Internetzahlungen“ (EBA-Leitlinien) veröffentlichte. Die Bundesanstalt für Finanzdienstleistungen (BaFin) traf die Entscheidung, die EBA-Leitlinien im Mai 2015 wortgleich als „Rundschreiben über Mindestanforderungen an die Sicherheit von Internetzahlungen (MaSI)“ zu veröffentlichen und hierdurch in ihre Aufsichtspraxis zu übernehmen. Den deutschen Zahlungsdienstleistern räumte die BaFin eine Karenz ein, indem sie zusagte, dass die neuen Vorschriften erst ab dem 5. November 2015 aufsichtsrechtlich durchgesetzt würden.

Soeben hat die BaFin das in der Zahlungsindustrie mit Spannung erwartete Rundschreiben “Mindestanforderungen an die Sicherheit von Internetzahlungen” (MaSin) veröffentlicht. Anders als erwartet sind die MaSin eine bloße, wörtliche Übersetzung der EBA-Leitlinien zur Sicherheit von Internetzahlungen.

Unternehmen, die Zweifel haben, ob ihre gegenwärtige oder künftige Geschäftstätigkeit nach den Vorschriften des Zahlungsdiensteaufsichtsgesetzes (ZAG) oder des Kreditwesengesetzes (KWG) erlaubnispflichtig ist, legen ihr Geschäftsmodell häufig der BaFin zur Prüfung vor und beantragen eine entsprechende Stellungnahme der BaFin („Negativtestat“). Die Frage der Erlaubnispflichtigkeit ist insbesondere bei Unternehmen von Relevanz, deren Geschäftstätigkeit nicht in erster Linie auf die Erbringung von Bankgeschäften oder Zahlungsdiensten ausgerichtet ist, die aber gegenüber Geschäftspartnern oder Kunden im Rahmen ihrer Geschäftstätigkeit einzelne Leistungen anbieten oder anbieten möchten, die als Zahlungsdienste oder Bankgeschäfte qualifiziert werden könnten. Die Erstellung solcher Negativtestate erfolgte bislang ohne Erhebung von Gebühren durch die BaFin. Seit dem 1. Januar 2015 sind solche Negativtestate nunmehr gebührenpflichtig.

In dem Rechtsstreit nahm ein Kunde einer europäischen Bank, die an ihn eine Kreditkarte ausgegeben hatte, diese Bank auf Rückerstattung von Abbuchungen von der Kreditkarte in Anspruch. Bestandteil des den Zahlungen zugrunde liegenden Geschäfts war ein „Credit Card Authorisation Agreement“ mit einem Reparaturdienstleister, in welchem der Kunde einer Mehrzahl von Abbuchungen von seiner Kreditkarte zugestimmt hatte. Der Kunde widersprach gegenüber der Bank zwei seines Erachtens nicht autorisierten Zahlungen. Die Bank verweigerte die Rückbuchung der Beträge. Das AG Hamburg-Altona wies die Klage ab und verneinte einen Rückerstattungsanspruch des Kunden (AG Hambrug-Altona, Urt. vom 3.12.2013 – 316 C 416/12).

Am 17. Juli 2014 veröffentlichte das New York Department of Financial Services (die Finanzaufsichtsbehörde des US-Bundesstaates New York) einen 40 Seiten umfassenden Entwurf für eine Regulierung von virtuellen Währungen. Wenn diese Regulierung so – nach Ablauf des Anhörungsverfahrens – in Kraft tritt, wäre sie wohl weltweit die erste spezifische Gesetzgebung zu Crypto-Währungen.

Anfang Februar 2014 hat das Bundesministerium der Finanzen das erste Online-Identifizierungsverfahren genehmigt (Osborne Clarke hat WebID Solutions GmbH, Berlin, dabei beraten). Dieses neue Verfahren ist eine große Bereicherung für den eCommerce-Markt in Deutschland, weil es die Identifizierung nach dem Geldwäscherecht ohne Medienbruch erlaubt.

Es gibt eine sehr große Anzahl von Definitionen von Mobile Wallets von Industrieverbänden, vom European Payment Council und von zahlreichen Autoren. Nach Lektüre soll nachfolgend der Versuch unternommen werden, die wesentlichen Elemente zu erfassen.

Ein Mobile Wallet ist eine auf einem mobilen Endgerät gespeicherte Softwareapplikation, über die das mobile Endgerät für mindestens eine der drei nachfolgenden Funktionen genutzt wird: