Wien. Das neue Zahlungsdienstegesetz schafft ein einheitliches Spielfeld für „Zahlungsauslösedienstleister“ und Konto-Infodienste. Außerdem kommen kundenfreundliche Bezahl-Regeln.
Klare rechtliche Rahmenbedingungen für Dritt-Zahlungsdienstleister und Erhöhung der Sicherheit im Zahlungsverkehr sind jedenfalls die Ziele des neuen Zahlungsdienstegesetzes, das der Finanzminister jetzt dem Nationalrat vorgelegt hat.
Da sich der Zahlungsverkehrsmarkt in technischer Hinsicht erheblich weiterentwickelt hat, sei eine Überarbeitung des bisherigen Aufsichtsregimes für Zahlungsdienstleister notwendig, so die Erläuterungen zum Gesetzentwurf. Und natürlich werden damit auch die entsprechenden EU-Vorgaben umgesetzt.
Was konkret geplant ist
Die Maßnahmen umfassen laut Parlamentskorrespondenz u.a.:
- die Regulierung von sogenannten „Zahlungsauslösediensten“ und Kontoinformationsdiensten,
- die Einführung einer starken Kundenauthentifizierung bei Online-Zahlungen sowie
- die Festlegung klarer und kundenfreundlicher Haftungsregeln bei nicht autorisierten Zahlungen, so die Ausführungen des Finanzministeriums.
Die Umsetzung erfolgt aufgrund von EU-Vorgaben bzw. der so genannten Richtlinie „PSD II“, die laut Folgenabschätzung mit mehrheitlich vollharmonisierten Vorschriften weitgehend keinen nationalen Spielraum zulässt.
Regulierung von Drittdiensten als Zahlungsdienstleister
Zahlungsauslösedienstleister und Kontoinformationsdienstleister knüpfen am Internet-Banking von Kreditinstituten an. Sie übermitteln Daten zwischen KundInnen, Kreditinstituten und HändlerInnen, ohne selbst in den Besitz von Kundengeldern zu gelangen.
- Der Zahlungsauslösedienst löst – etwa beim Einkauf in einem Online-Shop – beim kontoführenden Zahlungsdienstleister eine Überweisung aus.
- Beim Kontoinformationsdienst erhält der Kunde aufbereitete Informationen über seine Zahlungskonten.
Statt des bisherigen aufsichtsrechtlichen Graubereichs sollen beide nun als Zahlungsdienstleister reguliert werden und haben unter anderem eine Berufshaftpflichtversicherung abzuschließen, so die Erläuterungen zum Gesetzentwurf.
Zudem benötigen damit Zahlungsauslösedienstleister eine Konzession, Kontoinformationsdienstleister müssen sich registrieren. Beide sollen unionsweiten Zugang zum Zahlungsverkehrsmarkt erhalten, und mit Zustimmung des Kunden das Recht auf Zugang zu seinem Zahlungskonto, beschränkt durch Datenschutz- und Sicherheitsvorschriften.
Starke Kundenauthentifizierung wird Pflicht
Der Zahlungsdienstleister muss gemäß den Erläuterungen künftig in bestimmten Fällen vom Zahler bzw. von der Zahlerin eine starke Kundenauthentifizierung verlangen.
Erforderlich ist demnach für den Zahlungsdienstleister unter anderem, durch mindestens zwei Elemente der folgenden Kategorien eindeutig und nachweisbar festzustellen, dass der/die ZahlerIn eine bestimmte Zahlung in Auftrag gegeben hat:
- über den eindeutigen Besitz, etwa der Kreditkarte;
- durch ausschließliches Wissen, zum Beispiel des Passworts;
- und durch Inhärenz, also durch ein eindeutig zuordenbares Merkmal wie den Fingerabdruck.
Haftungsregeln bei nicht autorisierten Zahlungen
Verbessert werden soll auch die Rechtsstellung von ZahlerInnen im Fall von nicht autorisierten Zahlungsvorgängen:
- Bei missbräuchlicher Verwendung eines Zahlungsinstruments haften Zahler nur, wenn sie in der Lage waren, den Verlust, den Diebstahl oder die sonstige missbräuchliche Verwendung zu bemerken, wird in den Erläuterungen ausgeführt. Die Haftungsgrenze der Zahler wird dabei von bisher 150 Euro auf 50 Euro herabgesetzt.
- Im Fall von Betrug, Vorsatz oder grober Fahrlässigkeit seitens der Zahler gilt diese Haftungsgrenze zwar nicht, allerdings hat nunmehr der Zahlungsdienstleister den Nachweis darüber zu erbringen.
- Klar festgelegt werden soll laut Vorlage bei nicht autorisierten Vorgängen auch die Haftungsfrage zwischen dem kontoführenden Zahlungsdienstleister und dem Zahlungsauslösedienstleister.
Die Fristen
In Kraft treten soll das Gesetz grundsätzlich mit 1. Juni 2018, wobei die Umsetzung der EU-Vorgaben bereits bis 13. Jänner 2018 erfolgen hätte sollen, wie die Parlamentskorrespondenz berichtet.
Bestimmte technische Regulierungsstandards werden 18 Monate nach Inkrafttreten des entsprechenden delegierten Rechtsaktes, den die EU-Kommission zu erlassen hat, wirksam.
Link: Parlament
