Dieser Inhalt ist frei verfügbar. Mit einem Abonnement der ZFR erhalten Sie die Zeitschrift in Print und vollen digitalen Zugriff im Web, am Smartphone und Tablet. Mehr erfahren…
Testen Sie
ALLE 13 Zeitschriftenportale
30 Tage lang kostenlos.
Der Zugriff endet nach 30 Tagen automatisch.
Bundesgesetz, mit dem das Zahlungsdienstegesetz 2018 erlassen werfen soll, mit dem das Alternativfinanzierungsgesetz, das Bankwesengesetz, das E-Geldgesetz 2010, das Fern-Finanzdienstleistungs-Gesetz, das Finanzmarkt-Geldwäschegesetz, das Finanzmarktaufsichtsbehördengesetz, das Gerichtsgebührengesetz, das Investmentfondsgesetz 2011, das Kapitalabfluss-Meldegesetz, das Nationalbankgesetz 1984, das Sanktionengesetz 2010, das Unternehmensgesetzbuch, das Verbraucherzahlungskontogesetz, das Versicherungsaufsichtsgesetz 2016 und das Versicherungsvertragsgesetz geändert werden sollen
RV 31. 1. 2018, 11 BlgNR 26. GP
Gesetzwerdung bleibt abzuwarten.
Mit dem gegenständlichen Vorhaben wird die RL (EU) 2015/2366 [über Zahlungsdienste im Binnenmarkt ...] umgesetzt.
Seit Umsetzung der Vorgänger-RL 2007/64/EG mit dem ZaDiG hat sich der Zahlungsverkehrsmarkt in technischer Hinsicht erheblich weiterentwickelt: Zum einen drängen neue Zahlungsdienste mit innovativen Lösungen auf den Markt. Zum anderen haben sich durch zahlreiche technische Neuerungen auch die Sicherheitsrisiken bei elektronischen Zahlungen erhöht.
Auf Basis dieser Entwicklungen enthält die Neuregelung folgende Schwerpunkte:
Neue Zahlungsdienste
Neue Zahlungsdienste – konkret Zahlungsauslöse- und Kontoinformationsdienstleister – knüpfen mit ihren Diensten am Internet-Banking von Kreditinstituten an. Sie übermitteln Daten zwischen Kunden, Kreditinstituten und Händlern, ohne selbst in den Besitz von Kundengeldern zu gelangen:
| - | Beim Zahlungsauslösedienst beauftragt der Kunde den Dienstleister, für ihn bei seinem kontoführenden Zahlungsdienstleister eine Überweisung auszulösen, etwa wenn er im Online-Shop eines Händlers einkauft. In der Gewissheit, dass die Zahlung ausgelöst wurde, ist der Händler eher bereit, seine Ware unverzüglich freizugeben bzw seine Dienstleistung zu erbringen. |
| - | Beim Kontoinformationsdienst erhält der Kunde vom Dienstleister aufbereitete Informationen über seine Zahlungskonten, die er bei einem oder mehreren Zahlungsdienstleistern hält. |
Bislang waren solche neuen Zahlungsdienste im aufsichtsrechtlichen „Graubereich“ tätig. Mit dem vorliegenden Gesetzentwurf werden Zahlungsauslöse- bzw Kontoinformationsdienstleister nun als Zahlungsdienstleister reguliert:
| - | Zahlungsauslösedienstleister benötigen eine Konzession (§ 9 ZaDiG 2018), Kontoinformationsdienstleister müssen sich registrieren (§ 15 ZaDiG 2018), um ihre Dienste erbringen zu dürfen. |
| - | Beide Zahlungsdienste haben statt der Verpflichtung, Eigenmittel in bestimmter Höhe zu halten, eine Berufshaftpflichtversicherung abzuschließen oder eine gleichwertige Garantie vorzuweisen (§§ 8 und 15 ZaDiG 2018). |
| - | Beide Zahlungsdienste erhalten über die Dienstleistungs- und Niederlassungsfreiheit (EU-Pass) einen unionsweiten Zugang zum Zahlungsverkehrsmarkt (§§ 27 ff ZaDiG 2018). |
| - | Beide Zahlungsdienste haben das Recht auf Zugang zum Zahlungskonto des Kunden mit dessen Zustimmung. Allerdings sind sowohl der Zugriff als auch die Verwendung der dadurch erlangten Informationen durch Datenschutz- und Sicherheitsvorschriften beschränkt (§§ 60 und 61 ZaDiG 2018). |
Kundenauthentifizierung bei Online-Zahlungen
Die erhebliche Zunahme von Internetzahlungen und mobilen Zahlungen macht eine Verbesserung der Sicherheit bei der Zahlungsabwicklung notwendig. Deshalb hat der Zahlungsdienstleister künftig in bestimmten Fällen (§ 87 ZaDiG 2018) vom Zahler eine starke Kundenauthentifizierung zu verlangen. Das bedeutet, eindeutig und nachweisbar festzustellen, dass ein bestimmter Zahler eine bestimmte Zahlung in Auftrag gegeben hat.
Die starke Kundenauthentifizierung erfordert mindestens zwei Elemente der folgenden Kategorien:
| - | Besitz: etwas, das ausschließlich der Zahler besitzt (zB Kreditkarte), |
| - | Wissen: etwas, das ausschließlich der Zahler weiß (zB Passwort), oder |
| - | Inhärenz: ein Merkmal des Zahlers, das diesem eindeutig zugeordnet werden kann (zB Fingerabdruck). |
Die Elemente müssen dabei voneinander unabhängig sein. Die Nichterfüllung eines Kriteriums darf die Zuverlässigkeit der anderen nicht beeinträchtigen und die Vertraulichkeit der Authentifizierungsdaten muss geschützt sein. Bei einem elektronischen Fernzahlungsvorgang muss die Authentifizierung zudem Elemente umfassen, die den Zahlungsvorgang dynamisch mit einem bestimmten Betrag und einem bestimmten Zahlungsempfänger verknüpfen.
Die Präzisierung der Vorschriften betreffend die starke Kundenauthentifizierung sowie den Zugang zu Zahlungskonten für neue Zahlungsdienste erfolgt durch technische Regulierungsstandards gem Art 98 der RL (EU) 2015/2366.
Haftung bei nicht autorisierten Zahlungen
Die Rechtsstellung des Zahlers bei nicht autorisierten Zahlungsvorgängen wird in Umsetzung der RL (EU) 2015/2366 verbessert.
Bei missbräuchlicher Verwendung eines Zahlungsinstruments haftet der Zahler nur, wenn er in der Lage war, den Verlust, den Diebstahl oder die sonstige missbräuchliche Verwendung des Zahlungsinstruments zu bemerken. Selbst in diesem Fall ist die Haftung des Zahlers aber auf höchstens 50 € begrenzt (bisher lag die Haftungsgrenze bei 150 €).
Die Haftungsgrenze gilt – wie bereits bisher – nicht, wenn der Zahler in betrügerischer Absicht gehandelt oder vorsätzlich oder grob fahrlässig seine Pflicht verletzt hat, seine personalisierten Sicherheitsmerkmale vor unbefugtem Zugriff zu schützen. Allerdings hat anstelle des Zahlers der Zahlungsdienstleister den Nachweis für Betrug, Vorsatz oder grobe Fahrlässigkeit zu erbringen.
Außerdem wird die Haftungsfrage zwischen dem kontoführenden Zahlungsdienstleister und dem Zahlungsauslösedienstleister geklärt:
| - | Ist ein Zahlungsauslösedienstleister in den Zahlungsvorgang eingebunden, haftet gegenüber dem Zahler zwar zunächst weiterhin der kontoführende Zahlungsdienstleister. |
| - | Der Zahlungsauslösedienstleister hat dem kontoführenden Zahlungsdienstleister jedoch unverzüglich den Betrag des nicht autorisierten Zahlungsvorgangs zu erstatten – sowie alle vertretbaren Kosten, die iZm der Erstattung an den Zahler entstanden sind –, es sei denn, er kann nachweisen, dass er den nicht autorisierten Zahlungsvorgang nicht zu vertreten hat. |
Inkrafttreten
Als Datum des Inkrafttretens ist grds der 1. 6. 2018 vorgesehen. Gleichzeitig soll das bisherige ZaDiG, BGBl I 2009/66, außer Kraft treten.
