Die Antwort wurde namens der Bundesregierung mit Schreiben des Bundesministeriums der Finanzen vom 17. Juli 2018 übermittelt. Die Drucksache enthält zusätzlich – in kleinerer Schrifttype – den Fragetext. Deutscher Bundestag Drucksache 19/3460 19. Wahlperiode 19.07.2018 Antwort der Bundesregierung auf die Kleine Anfrage der Abgeordneten Jörn König, Uwe Kamann, Uwe Schulz, weiterer Abgeordneter und der Fraktion der AfD – Drucksache 19/2851 – Datenzugriff auf Kontobewegungen durch sogenannte Fintech-Unternehmen entsprechend der überarbeiteten Zahlungsdiensterichtlinie 2 ((EU) 2015/2366, Payment Service Directive 2) V o r b e m e r k u n g d e r F r a g e s t e l l e r Die schnelle Entwicklung im Zahlungsverkehrsmarkt hat zu Anpassungserfordernissen geführt. Um auf diese Anforderungen zu reagieren, wurde Ende 2015 die überarbeitete Zahlungsdiensterichtlinie 2 ((EU) 2015/2366, Payment Service Directive 2, kurz PSD 2) mit einer Reihe von Regelungen erlassen, mit dem Ziel, die Sicherheit im Zahlungsverkehr zu erhöhen und weiteren Wettbewerb zu ermöglichen. Die PSD 2 gilt ab 13. Januar 2018 als deutsches Recht (vgl. www.bundesbank.de/Redaktion/DE/Standardartikel/Aufgaben/Unbarer_ Zahlungsverkehr/der_rechtliche_rahmen.html). Ein Kernpunkt der PSD 2 ist die Einbeziehung sogenannter dritter Zahlungsdienstleister , die Zahlungsauslösedienste, Kontoinformationsdienste und die Ausgabe von Zahlungskarten anbieten, in den Anwendungsbereich der Richtlinie . Ein Zahlungsauslösedienst wird vom Zahler beauftragt, zulasten seines bei einem anderen Zahlungsdienstleister (z. B. Kreditinstitut) geführten Zahlungskontos eine Überweisung auszulösen. Die PSD 2 regelt den Zugriff der „dritten Zahlungsdienstleister“ auf die Zahlungskonten bei den kontoführenden Zahlungsdienstleistern . Diese „dritten Zahlungsdienstleister“ sind in der Regel spezialisierte Fintech- Unternehmen (Fintech = Finanztechnologie), welche zum Teil zu großen Handels - und Konsumgüterkonzernen gehören. Diese Konzerne können durch PSD 2 Zugriffe auf Kontodaten bekommen, die bisher ausschließlich den Banken vorbehalten waren. Die Voraussetzung dafür ist, dass die Kunden dem zustimmen (vgl. www.morgenpost.de/wirtschaft/article213070745/Amazon-erhaelttiefen -Einblick-in-private-Finanzen-der-Kunden.html). Künftig kann dann ein frisch gegründetes Fintech-Unternehmen oder ein Onlinekonzern wie Amazon auf alle Kontodaten zugreifen, wenn der Endkunde dies gestattet. Die Banken müssen ihre Kernbankensysteme so einrichten, dass nach einer Übergangsfrist von 18 Monaten die Datenabfrage von außen durch die zugelassenen Fintechs (dritte Zahlungsdiensteanbieter) möglich ist. Firmen, Vorabfassung - w ird durch die lektorierte Version ersetzt. Drucksache 19/3460 – 2 – Deutscher Bundestag – 19. Wahlperiode die den Zugriff haben wollen, müssen auch eine Zulassung bei der Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) besitzen. Einsehen dürfen diese Fintech-Unternehmen künftig alle Kontodaten der vergangenen 90 Tage. V o r b e me r k u n g d e r B u n d e s r e g i e r u n g Mit der vollharmonisierenden Zweiten Zahlungsdiensterichtlinie (Richtlinie (EU) 2015/2366, umgesetzt durch das Gesetz zur Umsetzung zur Zweiten Zahlungsdiensterichtlinie vom 17. Juli 2017, BGBl. I S. 2446) sind die bestehenden Vorschriften für Zahlungsdienste an den technologischen Fortschritt angepasst, neue Zahlungsdienste – die Zahlungsauslösedienste bzw. Kontoinformationsdienste – einer Aufsicht unterstellt und die Sicherheit bei Zahlungen – insbesondere im Internet – verbessert. Die Vorschriften traten überwiegend zum 13. Januar 2018 in Kraft. Vereinzelte Vorschriften über die starke Kundenauthentifizierung und den Zugang zu Zahlungskonten treten später ab dem 14. September 2019 in Kraft und werden zusammen mit den Regulierungsstandards der delegierten Verordnung (EU) 2018/389 angewendet. Zahlungsauslösedienste lösen im Auftrag ihrer Kundinnen und Kunden einen Zahlungsauftrag auf deren Konto aus, das bei einem anderen Zahlungsdienstleister geführt wird. Kontoinformationsdienste sammeln im Auftrag ihrer Kunden Informationen zu ihren online geführten Konten und stellen sie ihnen auf besonders aufbereitete Weise wieder zur Verfügung. Die Inanspruchnahme von dritten Zahlungsdienstleistern setzt voraus, dass das Konto online zugänglich ist (§ 45 Absatz 1 Nummer 1 des Zahlungsdiensteaufsichtsgesetzes – ZAG, § 675f Absatz 3 Satz 1 des Bürgerlichen Gesetzbuchs – BGB). Dritte Zahlungsdienstleister werden nur tätig, wenn der Kunde (der im Zahlungsdiensterecht als Zahlungsdienstnutzer bezeichnet wird) einen entsprechenden Vertrag mit ihnen geschlossen hat. 1. Welche Voraussetzungen für eine solche Zulassung gibt es, und nach welchen Kriterien wird bei der BaFin über Zulassung bzw. Nichtzulassung entschieden ? Ein Unternehmen benötigt nach dem Zahlungsdiensteaufsichtsgesetz (ZAG) die schriftliche Erlaubnis bzw. Registrierung der Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin), wenn es Zahlungsauslösedienste bzw. Kontoinformationsdienste gewerbsmäßig oder in einem Umfang erbringen möchte, der einen in kaufmännischer Weise eingerichteten Geschäftsbetrieb erfordert (§§ 10, 34 ZAG). Wird es auf diese Weise tätig, ohne über die erforderliche Erlaubnis bzw. Registrierung zu verfügen, schreitet die BaFin ein und trägt dafür Sorge, dass die unerlaubten Geschäftstätigkeiten nicht weiter fortgeführt werden. Zugelassene CRR-Kreditinstitute und E-Geld-Institute können Zahlungsauslösedienste bzw. Kontoinformationsdienste bereits auf Grundlage ihrer bestehenden Erlaubnis erbringen . Die BaFin erteilt Unternehmen, die derartige Zahlungsdienste erbringen möchten, auf Antrag eine Erlaubnis bzw. Registrierung (§§ 10, 34 ZAG), falls sich die Geschäftsaktivitäten als erlaubnis- bzw. registrierungsfähig darstellen; andernfalls versagt die BaFin die Erlaubnis bzw. Registrierung (§§ 12, 35 ZAG). Um die Erlaubnis - bzw. Registrierungsfähigkeit einer Geschäftsaktivität überprüfen zu können , benötigt die BaFin eine Reihe an Angaben und Unterlagen von den Unternehmen . So müssen beispielsweise das Geschäftsmodell dargestellt werden und ein tragfähiger Geschäftsplan beigefügt sein. Die Geschäftsleiter müssen zuver- Vorabfassung - w ird durch die lektorierte Version ersetzt. Deutscher Bundestag – 19. Wahlperiode – 3 – Drucksache 19/3460 lässig und außerdem fachlich geeignet sein. Die Unternehmen haben eine ordnungsgemäße Geschäftsorganisation, eine angemessene Unternehmenssteuerung und interne Kontrollmechanismen einzurichten. Darüber hinaus müssen die Unternehmen unter anderem ihre Sicherheitsstrategie darlegen und angeben, wie sie mit sensiblen Zahlungsdaten umgehen. Näher ausgeformt sind die im Rahmen des Antragsverfahrens zu übermittelnden Informationen in Leitlinien der Europäischen Bankenaufsichtsbehörde (EBA). 2. Wie viele Unternehmen haben nach Kenntnis der Bundesregierung bisher die Zulassung bei der BaFin für den Zugriff auf die Kontodaten als „dritter Zahlungsdienstleister“ beantragt bzw. erhalten? Kann diese Liste entsprechend dem Informationsfreiheitsgesetz öffentlich zugänglich gemacht werden? Bisher haben 25 Unternehmen Anträge für das Erbringen von Kontoinformationsdiensten bzw. Zahlungsauslösediensten bei der BaFin gestellt. 13 dieser Anträge richten sich ausschließlich auf das Erbringen von Kontoinformationsdiensten . Die Erlaubnis- bzw. Registrierungsverfahren sind noch nicht abgeschlossen. Die BaFin führt auf ihrer Internetseite ein öffentlich zugängliches Zahlungsinstituts -Register (§ 43 ZAG), in das sie unter anderem Zahlungsinstitute nach erfolgter Erteilung einer Erlaubnis bzw. Registrierung einträgt. Die BaFin übermittelt die in das Zahlungsinstituts-Register aufgenommenen Angaben an die EBA. Die EBA wird auf ihrer Internetseite ein öffentlich zugängliches Register einrichten, in das die von den Aufsichtsbehörden der einzelnen Mitgliedstaaten übermittelten Angaben aufgenommen werden (Artikel 15 der Zweiten Zahlungsdiensterichtlinie ). 3. Wie wird gewährleistet, dass die Zustimmungsabfrage dem Kunden explizit deutlich gemacht wird und nicht durch Zustimmung einer neuen AGB-Fassung „untergeschoben“ wird. Gibt es Vorgaben für den Prozess der Zustimmung, und falls ja, welche? Die Einschaltung eines dritten Zahlungsdienstleisters setzt einen entsprechenden Vertragsabschluss des Kunden mit dem jeweiligen Zahlungsauslöse- oder Kontoinformationsdienstleister voraus. Hierfür gelten die allgemeinen zivilrechtlichen Regeln. Es ist nicht ersichtlich, wie ein solches Vertragsverhältnis durch „Unterschieben“ einer neuen AGB-Fassung im Rahmen einer bestehenden Geschäftsbeziehung begründet werden kann. Ein Händler kann die für einen geschlossenen Vertrag geltenden AGB nur durch einen Änderungsvertrag mit dem Kunden durch neue AGB ersetzen. Wenn ein Angebot zum Abschluss eines Änderungsvertrages Klauseln enthalten sollte, durch die nicht nur der bestehende Vertrag zwischen Händler und Kunde geändert werden soll, sondern auch ein neuer zwischen dem Kunden und einem Zahlungsauslöse- oder Kontoinformationsdienstleister geschlossen werden soll, wären solche Klauseln als überraschend anzusehen, wenn der Kunde nicht ausdrücklich auf sie hingewiesen wurde. Überraschende Klauseln werden nach § 305c BGB nicht Vertragsbestandteil. Im Übrigen sehen die §§ 45 Absatz 1 Nummer 2, 46 Nummer 1, 48 Absatz 1, 51 Absatz 1 des Zahlungsdiensteaufsichtsgesetzes (ZAG) eine ausdrückliche Zustimmung des Zahlungsdienstnutzers zu verschiedenen Maßnahmen im Zusammenhang mit Drittdiensten vor. Weiter muss sich beispielsweise bei Zahlungsauslösedienstleistungen die Zustimmung des Zahlungsdienstnutzers auf den kon- Vorabfassung - w ird durch die lektorierte Version ersetzt. Drucksache 19/3460 – 4 – Deutscher Bundestag – 19. Wahlperiode kreten Zahlungsvorgang mit einem genauen Betrag an einen bestimmten Zahlungsempfänger beziehen, damit eine Autorisierung des Zahlungsvorgangs i. S. d. § 675j BGB erfolgen kann; eine Zustimmung mittels AGB in diesem Zusammenhang erscheint fernliegend. 4. Wie ist gewährleistet, dass dem Kunden keine Nachteile entstehen, wenn er einer Datenübermittlung an den „dritten Zahlungsdienstleister“ widerspricht? Die Anfrage scheint vorauszusetzen, dass der kontoführende Zahlungsdienstleister aus eigenem Antrieb Daten von Zahlungsdienstnutzern an dritte Zahlungsdienstleister übermitteln darf und der Zahlungsdienstnutzer dem widersprechen muss. Tatsächlich ist es jedoch dem Zahlungsdienstnutzer überlassen, dritte Zahlungsdienstleister einzuschalten und dabei die Mitwirkung seines kontoführenden Zahlungsdienstleisters in Anspruch zu nehmen (§ 675f Absatz 3 BGB). Nur in diesem Fall dürfen im Rahmen der durch das ZAG gesetzten engen Grenzen die hierfür notwendigen Daten an dritte Zahlungsdienstleister übermittelt werden. 5. Womit wird die 90-Tage-Regelung zur Einsicht in Kontodaten der Kunden begründet? Nach der Zweiten Zahlungsdiensterichtlinie sollen Zahlungsdienstleister für bestimmte Vorgänge im elektronischen Zahlungsverkehr vom Zahler eine starke Kundenauthentifizierung verlangen (§§ 55, 1 Absatz 24 ZAG). Das bedeutet eine Legitimation über mindestens zwei Komponenten. Die Kombination von Zahlungskarte und Geheimzahl ist dafür ein Beispiel. Technische Anforderungen an die starke Kundenauthentifizierung und Ausnahmen von der starken Kundenauthentifizierung enthalten Regulierungsstandards auf Basis von Artikel 98 der Zweiten Zahlungsdiensterichtlinie, die als delegierte Verordnung (EU) 2018/389 von der Europäischen Kommission am 27. November 2017 erlassen wurden. Sie konkretisieren die – im Vergleich zum Status quo – erhöhten aufsichtsrechtlichen Anforderungen der Zweiten Zahlungsdiensterichtlinie für den technischen Zugang zu Zahlungskontendaten durch Zahlungsauslösedienste bzw. Kontoinformationsdienste. Ausnahmen von der starken Kundenauthentifizierung sind unter engen Voraussetzungen möglich. Ein Beispiel dafür ist der Online-Zugriff auf Kontostand bzw. auf die Zahlungsvorgänge, die in den vergangen 90 Tagen ausgeführt wurden. Nicht von dieser Ausnahme erfasst sind sensible Zahlungsdaten, die in § 1 Absatz 26 ZAG näher umschrieben werden. Außerdem muss mindestens alle 90 Tage eine starke Kundenauthentifizierung weiterhin durchgeführt werden (Artikel 10 der delegierten Verordnung (EU) 2018/389). Auch in diesen Fällen haben die Anbieter lediglich Zugang auf ausgewählte Kontoinformationen, die sie für die Erbringung ihrer Dienste benötigen. Für den europäischen Gesetzgeber war eine Risikobewertung bei der Ausgestaltung der Ausnahmen von der starken Kundenauthentifizierung maßgeblich (Erwägungsgründe 9 und 10 der delegierten Verordnung (EU) 2018/389). Nationaler gesetzgeberischer Gestaltungsspielraum besteht nicht. Vorabfassung - w ird durch die lektorierte Version ersetzt. Deutscher Bundestag – 19. Wahlperiode – 5 – Drucksache 19/3460 6. Sind Regelungen vorgesehen, dass der Verbraucher den Umfang seiner Kontodaten beschränken kann? Wenn nicht, welche Gründe liegen vor, alle Daten freizugeben? Einleitend ist darauf hinzuweisen, dass es Zahlungsdienstnutzern freisteht, ob und in welchem Umfang sie sogenannte dritte Zahlungsdienstleister einschalten. Bei Kontoinformationsdiensten beispielsweise gibt es unterschiedliche Angebote, die eine unterschiedlich intensive Erhebung und Verarbeitung von Kontodaten des Nutzers voraussetzen. Der Zahlungsdienstnutzer kann somit schon mit der Auswahl des jeweiligen Dienstes den Umfang der abzufragenden Informationen steuern . Zum Schutz der Kundendaten regelt die Zweite Zahlungsdiensterichtlinie den Zugriff auf Informationen des Kunden und schränkt diesen ein. In Umsetzung der Richtlinie regeln die §§ 45 ff. ZAG, welche Daten von den kontoführenden Zahlungsdienstleistern weitergegeben werden dürfen und welchen Beschränkungen und Zustimmungserfordernissen die dritten Zahlungsdienstleistern bei ihrer Erhebung und Verwendung unterliegen (beispielsweise in den §§ 45 Absatz 1 Nummer 2 und Absatz 2, 46 Satz 3, 48 Absatz 1 Nummer 2, 49 Absatz 4, 51 Absatz 1 Satz 2 bis 4 und Absatz 2 Satz 2 ZAG). Die Übermittlung von Informationen von Zahlungskonten ist danach streng zweckgebunden für den jeweils vom Zahlungsdienstnutzer ausdrücklich geforderten Dienst. Wenn der Zahlungsdienstenutzer beispielsweise nur einem Kontoinformationsdienst ausdrücklich zugestimmt hat, der lediglich den Kontostand, aber nicht die Umsätze abrufen soll, dann darf der Drittdienstleister auch keine Umsätze abrufen . Wenn er wie vom Zahlungsdienstenutzer gewünscht auf den Kontostand zugreift , muss er sich jedes Mal gegenüber dem kontoführenden Institut identifizieren und über sichere Kanäle mit ihm kommunizieren. 7. Wie viele Banken in Deutschland stellen nach Kenntnis der Bundesregierung zugelassenen Fintech-Unternehmen einen Zugang zur Datenabfrage bereits zur Verfügung (bitte die Anzahl der Sparkassen sowie die Anzahl der Volksbanken mit Zugang, Stand. 14. Juli 2018, angeben)? Der Bundesregierung liegen keine Informationen über die Anzahl der Kreditinstitute in Deutschland vor, die bereits heute einen Zugang für Zahlungsauslösedienste bzw. Kontoinformationsdienste zur Verfügung stellen. Vorabfassung - w ird durch die lektorierte Version ersetzt. Satz: Satzweiss.com Print, Web, Software GmbH, Mainzer Straße 116, 66121 Saarbrücken, www.satzweiss.com Druck: Printsystem GmbH, Schafwäsche 1-3, 71296 Heimsheim, www.printsystem.de Vertrieb: Bundesanzeiger Verlag GmbH, Postfach 10 05 34, 50445 Köln, Telefon (02 21) 97 66 83 40, Fax (02 21) 97 66 83 44, www.betrifft-gesetze.de ISSN 0722-8333