Neue Leitlinien zur Meldung schwerwiegender Vorfälle im Zahlungsverkehr

Auf der Grundlage von Artikel 96 der überarbeiteten Zahlungsdiensterichtlinie (Payment Services Directive 2 – PSD2) ist die europäische Bankenaufsichtsbehörde (EBA) verpflichtet, Leitlinien bezüglich der Meldung schwerwiegender Betriebs- und Sicherheitsvorfälle im Zahlungsverkehr zu erlassen. Adressaten sind Zahlungsdienstleister sowie die für ihre Überwachung zuständigen Behörden.

Unter einem schwerwiegenden Betriebs- oder Sicherheitsvorfall werden ein einzelnes oder mehrere zusammenhängende, ungeplante Ereignisse verstanden, welche sich nachteilig auf die Schutzziele Integrität, Verfügbarkeit, Vertraulichkeit, Authentizität und das Fortführen der Zahlungsdienste auswirken können. Tritt solch ein Vorfall ein, muss der Zahlungsdienstleister diesen unverzüglich der national zuständigen Behörde in seinem Heimatland melden, für in Deutschland ansässige Unternehmen ist dies die Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin). Die BaFin wiederum leitet die Meldungen an Bundesbank, EBA und europäische Zentralbank (EZB) weiter. Sie bewertet außerdem die Relevanz des Vorfalls für andere nationale Behörden und leitet diesen die erforderlichen Informationen anonymisiert weiter.

Die Leitlinien unterteilen sich in drei Teile: Der erste Teil (Leitlinien 1 bis 4) ist an die Zahlungsdienstleister adressiert und spezifiziert die Kriterien zur Klassifizierung eines schwerwiegenden Vorfalls. Außerdem wird das Formular zur Meldung sowie das Meldeverfahren an sich erklärt. Der zweite Teil (Leitlinien 5 und 6) richtet sich an die zuständigen Behörden bezüglich der Bewertung und Meldung des Vorfalls an andere nationale Behörden. Zuletzt wird in Teil 3 (Leitlinien 7 und 8) die Informationsweitergabe an EBA und EZB geregelt.

Grafik zeigt die Beurteilung des Vorfalls
Beurteilung des Vorfalls

Zur Klassifizierung eines Vorfalls hat die EBA mehrere Kriterien, Schwellenwerte und Methoden erarbeitet. Die Kriterien zur Beurteilung der Bedeutung sind qualitativer und quantitativer Natur, beispielsweise die Anzahl der betroffenen Transaktionen bzw. der Zahlungsdienstnutzer, die Ausfallzeit oder der Einfluss auf die Reputation des Zahlungsdienstleisters. Je Kriterium wurden zwei Schwellenwerte festgelegt. Überschreitet auch nur ein Kriterium den oberen Schwellenwert, wird angenommen, dass der Vorfall starke Auswirkungen auf die Schutzziele des Zahlungsdienstleisters hat. Daher muss er unverzüglich an die BaFin gemeldet werden. Anderenfalls tritt eine Meldeverpflichtung erst dann ein, wenn mindestens drei Kriterien den unteren Schwellenwert überschreiten.

Mit dem Erlass der Leitlinien verfolgt die EBA das Ziel eines gemeinsamen und einheitlichen Ansatzes zur Beurteilung und Meldung schwerwiegender Vorfälle im Zahlungsverkehr. Die am 17. Juli 2017 veröffentlichten Leitlinien treten am 13. Januar 2018 in Kraft und lösen dann das derzeit gültige Meldeverfahren bei schwerwiegenden Zahlungssicherheitsvorfällen nach dem Rundschreiben 4/2015 (Mindestanforderungen an die Sicherheit von Internetzahlungen) der BaFin ab.

Entwurf der Leitlinien zu Anforderungen an die Berichterstattung zu statistischen Daten zu Betrugsfällen veröffentlicht
Am 2. August 2017 veröffentlichte die europäische Bankenaufsichtsbehörde (EBA) den Entwurf von Leitlinien über die Meldung statistischer Daten zu Betrugsfällen im Zahlungsverkehr (Leitlinien zu Anforderungen an die Berichterstattung zu statistischen Daten in Bezug auf Betrugsfälle) zur Konsultation. Die Leitlinien richten sich an Zahlungsdienstleister und zuständige Behörden. Ziel ist, die Erhebung von statistischen Betrugsdaten EU-weit zu vereinheitlichen und dadurch die Sicherheit im Massenzahlungsverkehr zu erhöhen. Hierfür ist die Meldung von "high-level" Daten je Zahlungsmittel pro Quartal sowie eine detaillierte Meldung einmal im Jahr vorgesehen. Marktteilnehmer und interessierte Parteien sind aufgefordert, sich noch bis zum 3. November 2017 zu dem Entwurf zu äußern.