info@winheller.com+49 (0)69 76 75 77 80 Mo. - Fr. von 8 bis 20 Uhr, Sa. von 8 bis 17 Uhr
Persönliche Termine nach Vereinbarung

Neue Organisations- und Meldepflichten für Zahlungsdienstleister ab Januar 2018

Die sogenannte Cyberkriminalität, also Attacken, die vornehmlich über das Internet geführt werden, nimmt in allen Bereichen der Wirtschaft zu. Von den vergangenen Angriffen mit sogenannter Ransomware blieben auch große Industrieunternehmen wie beispielsweise die Deutsche Bahn nicht verschont. Besonders empfindlich gegenüber solchen Angriffen ist der Finanzsektor. Dies hat auch der Gesetzgeber erkannt und im Rahmen der Zahlungsdiensterichtlinie II reagiert.

BaFin-Meldepflicht für schwerwiegende Sicherheitsvorfälle bei Zahlungsdienstleistern

Mit Wirkung zum 13. Januar 2018 werden Zahlungsdienstleister verpflichtet, schwerwiegende Betriebs- und Sicherheitsvorfälle an die Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) zu melden. Die Zahlungsdienstleister trifft damit nicht nur eine bürokratische Meldepflicht. Sie müssen auch organisatorische Maßnahmen ergreifen, um Sicherheitsvorfälle überhaupt zu identifizieren und sie dann als schwerwiegend einstufen zu können.

Entscheidend für diese Einordnung sind die Richtlinien der Europäischen Bankenaufsicht (EBA). Danach liegt ein Sicherheitsvorfall dann vor, wenn es zu einem Ereignis oder einer Serie von Ereignissen kommt, die vom Zahlungsdienstleister nicht geplant sind und die negative Auswirkungen auf die Integrität, Verfügbarkeit, Vertraulichkeit, Authentizität oder Fortsetzung der Zahlungsdienstleistung haben oder voraussichtlich haben werden. Um zu bestimmen, ob ein solcher Sicherheitsvorfall schwerwiegend ist, hat die EBA verschiedene Kriterien entwickelt. Diese wiederum hat sie in die Kategorien „Hohe Beeinträchtigung“ und „Geringe Beeinträchtigung“ aufgeteilt. Schwerwiegend ist ein Vorfall dann, wenn er in mindestens einem Kriterium eine „Hohe Beeinträchtigung“ oder in drei Kriterien „Geringe Beeinträchtigungen“ erreicht.

Zahlungsdienstleister müssen Sicherheitsvorfälle unverzüglich melden

Eine hohe Beeinträchtigung liegt beispielsweise vor, wenn der Vorfall mehr als 25% der normalerweise durch den Zahlungsdienstleister abgewickelten Transaktionen oder Transaktionen mit einem Gesamtwert von über fünf Millionen Euro betrifft. Eine geringe Beeinträchtigung ist demgegenüber dann gegeben, wenn mehr als 10% aller Transaktionen betroffen sind und diese Transaktionen einen Gesamtwert von über 100.000 Euro erreichen. Ebenfalls als geringe Beeinträchtigung gilt, wenn die Reputation des Zahlungsdienstleisters beeinträchtigt ist oder seine Dienstleistung für länger als zwei Stunden nicht erreichbar ist.

Der Zahlungsdienstleister hat dementsprechend fortlaufend die Funktionstüchtigkeit seiner Systeme zu kontrollieren. Stellt er einen Sicherheitsvorfall fest, kann aber noch nicht absehen, ob dieser schwerwiegend ist oder nicht, hat er eine erste Einschätzung nach bestem Wissen vorzunehmen. Bereits vier Stunden nachdem ein Sicherheitsvorfall entdeckt wurde, ist dieser zusammen mit detaillierten Angaben an die BaFin zu schicken. Die BaFin ist danach fortlaufend über den Stand der Entwicklungen auf dem Laufenden zu halten.

Bereits jetzt auf neue Anforderungen vorbereiten

Die Pflicht zur Meldung schwerwiegender Sicherheitsvorfälle tritt bereits in vier Monaten in Kraft. Bis dahin sollten Zahlungsdienstleister alle notwendigen Vorkehrungen getroffen haben, um Sicherheitsvorfälle zu entdecken, ihre Schwere einzuschätzen und schließlich eine den rechtlichen Anforderungen genügende Meldung an die BaFin zu schicken.

Unsere erfahrenen Anwälte beraten Sie gerne dabei, wie Sie die neuen Anforderungen zügig und effizient umsetzen können. Wir freuen uns auf Ihre Kontaktaufnahme!

Weiterlesen:
Zahlungsdiensterichtlinie II reguliert FinTechs
Aufsichtsrechtliche Pflichten von Zahlungsdienstleistern

Sebastian Förste

Sebastian Förste

Sebastian Förste berät Kredit- sowie Finanzdienstleistungsinstitute zu aufsichtsrechtlichen Fragestellungen und vertritt sie gegenüber der Bundesanstalt für Finanzdienstleitungsaufsicht (BaFin) und der Bundesbank. Außerdem berät er zum Recht kryptographischer Währungen, wie beispielsweise Bitcoin, Ethereum und Ripple sowie zu Initial Coin Offerings/Token Sales.

>> Zum Profil

Hinterlassen Sie einen Kommentar

Ihre E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

WINHELLER-Blog via Newsletter

Abonnieren Sie unsere kostenlosen Newsletter und erhalten Sie regelmäßig die wichtigsten Beiträge aus dem Wirtschafts- und/oder Gemeinnützigkeitsrecht bequem per E-Mail. Wählen Sie einfach Ihren Wunschnewsletter aus. (Pflichtfelder sind mit * markiert).

German Business Law News (4x jährlich)
Nonprofitrecht aktuell (1x im Monat)
Ich möchte den oder die ausgewählten Newsletter abonnieren und erteile zu diesem Zwecke meine Einwilligung in die Verarbeitung meiner oben angegebenen Daten durch WINHELLER. Die „Hinweise zur Datenverarbeitung im Rahmen des Newsletter-Abonnements“ habe ich gelesen.
Mir ist bekannt, dass ich meine erteilte Einwilligung jederzeit mit Wirkung für die Zukunft durch Betätigung des Abmeldebuttons innerhalb des Newsletters widerrufen kann. *