{"id":7882,"date":"2017-09-20T10:08:51","date_gmt":"2017-09-20T08:08:51","guid":{"rendered":"https:\/\/winheller.com\/blog\/?p=7882"},"modified":"2021-07-12T13:16:43","modified_gmt":"2021-07-12T11:16:43","slug":"meldepflicht-zahlungsdienstleister-ab-2018","status":"publish","type":"post","link":"https:\/\/winheller.com\/blog\/meldepflicht-zahlungsdienstleister-ab-2018\/","title":{"rendered":"Meldepflichten f\u00fcr Zahlungsdienstleister ab Januar 2018"},"content":{"rendered":"<p>Die sogenannte Cyberkriminalit\u00e4t, also Attacken, die vornehmlich \u00fcber das Internet gef\u00fchrt werden, nimmt in allen Bereichen der Wirtschaft zu. Von den vergangenen Angriffen mit sogenannter Ransomware blieben auch gro\u00dfe Industrieunternehmen wie beispielsweise die Deutsche Bahn nicht verschont. Besonders empfindlich gegen\u00fcber solchen Angriffen ist der Finanzsektor. Dies hat auch der Gesetzgeber erkannt und im Rahmen der Zahlungsdiensterichtlinie II reagiert.<\/p>\n<h3>BaFin-Meldepflicht f\u00fcr schwerwiegende Sicherheitsvorf\u00e4lle bei Zahlungsdienstleistern<\/h3>\n<p>Mit Wirkung zum 13. Januar 2018 werden Zahlungsdienstleister verpflichtet, schwerwiegende Betriebs- und Sicherheitsvorf\u00e4lle an die <a href=\"https:\/\/www.winheller.com\/bankrecht-finanzrecht\/aufsichtsrecht-bafin-lizenz.html\" target=\"_blank\" rel=\"noopener\"><strong>Bundesanstalt f\u00fcr Finanzdienstleistungsaufsicht<\/strong><\/a> (BaFin) zu melden. Die Zahlungsdienstleister trifft damit nicht nur eine b\u00fcrokratische Meldepflicht. Sie m\u00fcssen auch organisatorische Ma\u00dfnahmen ergreifen, um Sicherheitsvorf\u00e4lle \u00fcberhaupt zu identifizieren und sie dann als schwerwiegend einstufen zu k\u00f6nnen.<\/p>\n<p>Entscheidend f\u00fcr diese Einordnung sind die Richtlinien der Europ\u00e4ischen Bankenaufsicht (EBA). Danach liegt ein Sicherheitsvorfall dann vor, wenn es zu einem Ereignis oder einer Serie von Ereignissen kommt, die vom Zahlungsdienstleister nicht geplant sind und die negative Auswirkungen auf die Integrit\u00e4t, Verf\u00fcgbarkeit, Vertraulichkeit, Authentizit\u00e4t oder Fortsetzung der Zahlungsdienstleistung haben oder voraussichtlich haben werden. Um zu bestimmen, ob ein solcher Sicherheitsvorfall schwerwiegend ist, hat die EBA verschiedene Kriterien entwickelt. Diese wiederum hat sie in die Kategorien \u201eHohe Beeintr\u00e4chtigung\u201c und \u201eGeringe Beeintr\u00e4chtigung\u201c aufgeteilt. Schwerwiegend ist ein Vorfall dann, wenn er in mindestens einem Kriterium eine \u201eHohe Beeintr\u00e4chtigung\u201c oder in drei Kriterien \u201eGeringe Beeintr\u00e4chtigungen\u201c erreicht.<\/p>\n<h3>Zahlungsdienstleister m\u00fcssen Sicherheitsvorf\u00e4lle unverz\u00fcglich melden<\/h3>\n<p>Eine hohe Beeintr\u00e4chtigung liegt beispielsweise vor, wenn der Vorfall mehr als 25% der normalerweise durch den Zahlungsdienstleister abgewickelten Transaktionen oder Transaktionen mit einem Gesamtwert von \u00fcber f\u00fcnf Millionen Euro betrifft. Eine geringe Beeintr\u00e4chtigung ist demgegen\u00fcber dann gegeben, wenn mehr als 10% aller Transaktionen betroffen sind und diese Transaktionen einen Gesamtwert von \u00fcber 100.000 Euro erreichen. Ebenfalls als geringe Beeintr\u00e4chtigung gilt, wenn die Reputation des Zahlungsdienstleisters beeintr\u00e4chtigt ist oder seine Dienstleistung f\u00fcr l\u00e4nger als zwei Stunden nicht erreichbar ist.<\/p>\n<p>Der Zahlungsdienstleister hat dementsprechend fortlaufend die Funktionst\u00fcchtigkeit seiner Systeme zu kontrollieren. Stellt er einen Sicherheitsvorfall fest, kann aber noch nicht absehen, ob dieser schwerwiegend ist oder nicht, hat er eine erste Einsch\u00e4tzung nach bestem Wissen vorzunehmen. Bereits vier Stunden nachdem ein Sicherheitsvorfall entdeckt wurde, ist dieser zusammen mit detaillierten Angaben an die BaFin zu schicken. Die BaFin ist danach fortlaufend \u00fcber den Stand der Entwicklungen auf dem Laufenden zu halten.<\/p>\n<h3>Bereits jetzt auf neue Anforderungen vorbereiten<\/h3>\n<p>Die Pflicht zur Meldung schwerwiegender Sicherheitsvorf\u00e4lle tritt bereits in vier Monaten in Kraft. Bis dahin sollten Zahlungsdienstleister alle notwendigen Vorkehrungen getroffen haben, um Sicherheitsvorf\u00e4lle zu entdecken, ihre Schwere einzusch\u00e4tzen und schlie\u00dflich eine den rechtlichen Anforderungen gen\u00fcgende Meldung an die BaFin zu schicken.<\/p>\n<p>Unsere erfahrenen Anw\u00e4lte\u00a0beraten Sie gerne dabei, wie Sie die neuen Anforderungen z\u00fcgig und effizient umsetzen k\u00f6nnen. Wir freuen uns auf Ihre Kontaktaufnahme!<\/p>\n<p>Weiterlesen:<br \/>\n<strong><a href=\"https:\/\/winheller.com\/blog\/zahlungsdiensterichtlinie-ii\/\" target=\"_blank\" rel=\"noopener\">Zahlungsdiensterichtlinie II reguliert FinTechs<\/a><\/strong><br \/>\n<a href=\"https:\/\/www.winheller.com\/bankrecht-finanzrecht\/bankrecht\/prozessfuehrung-haftung-zahlungsdienstleister.html\" target=\"_blank\" rel=\"noopener\"><strong>Aufsichtsrechtliche Pflichten von Zahlungsdienstleistern<\/strong><\/a><\/p>\n","protected":false},"excerpt":{"rendered":"<p>Die sogenannte Cyberkriminalit\u00e4t, also Attacken, die vornehmlich \u00fcber das Internet gef\u00fchrt werden, nimmt in allen Bereichen der Wirtschaft zu. Von den vergangenen Angriffen mit sogenannter Ransomware blieben auch gro\u00dfe Industrieunternehmen wie beispielsweise die Deutsche Bahn nicht verschont. Besonders empfindlich gegen\u00fcber solchen [&hellip;]<\/p>\n","protected":false},"author":3,"featured_media":9919,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"om_disable_all_campaigns":false,"_monsterinsights_skip_tracking":false,"_monsterinsights_sitenote_active":false,"_monsterinsights_sitenote_note":"","_monsterinsights_sitenote_category":0,"footnotes":""},"categories":[1897,48],"tags":[],"class_list":["post-7882","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-aufsichtsrecht","category-bankrecht"],"acf":[],"aioseo_notices":[],"_links":{"self":[{"href":"https:\/\/winheller.com\/blog\/wp-json\/wp\/v2\/posts\/7882","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/winheller.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/winheller.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/winheller.com\/blog\/wp-json\/wp\/v2\/users\/3"}],"replies":[{"embeddable":true,"href":"https:\/\/winheller.com\/blog\/wp-json\/wp\/v2\/comments?post=7882"}],"version-history":[{"count":3,"href":"https:\/\/winheller.com\/blog\/wp-json\/wp\/v2\/posts\/7882\/revisions"}],"predecessor-version":[{"id":14053,"href":"https:\/\/winheller.com\/blog\/wp-json\/wp\/v2\/posts\/7882\/revisions\/14053"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/winheller.com\/blog\/wp-json\/wp\/v2\/media\/9919"}],"wp:attachment":[{"href":"https:\/\/winheller.com\/blog\/wp-json\/wp\/v2\/media?parent=7882"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/winheller.com\/blog\/wp-json\/wp\/v2\/categories?post=7882"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/winheller.com\/blog\/wp-json\/wp\/v2\/tags?post=7882"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}