EBA-Vorgaben zur Meldung von Zahlungssicherheitsvorfällen durch BaFin bestätigt

BaFin hat am 7. Juni 2018 ein Rundschreiben zur Meldung schwerwiegender Sicherheitsvorfälle veröffentlicht. Das Zahlungsdiensteaufsichtsgesetz (ZAG) sieht vor, dass ein Zahlungsdienstleister die BaFin unverzüglich über einen schwerwiegenden Betriebs- oder Sicherheitsvorfall unterrichten muss, die dann wiederum die EBA und EZB darüber informiert. Eine weitere Spezifizierung des Adjektivs „schwerwiegend“ erfolgt im Gesetz selbst nicht. Für einen einheitlichen Marktstandard in Deutschland und Europa waren klarstellende Aussagen der Aufsicht für die Klassifizierung von Vorfällen daher wünschenswert.

Die EBA hat bereits am 19. Dezember 2017 Leitlinien zu diesem Thema veröffentlicht, die die BaFin nun eins-zu-eins in ihre Verwaltungspraxis umsetzt. Dadurch werden die EBA-Leitlinien, die originär nur Rechtswirkung gegenüber den nationalen Aufsichtsbehörden in Europa haben, auch für den deutschen Markt bindend.

Das Rundschreiben richtet sich an alle regulierten Institute, die Zahlungsdienste erbringen, also nicht nur an Zahlungsinstitute, sondern auch an E-Geld-Institute und Banken. Es enthält neben praktischen Vorgaben zu Inhalt, Format und Verfahren für die Meldung solcher Vorfälle Auslegungshilfen dazu, nach welchen Kriterien die Relevanz eines Sicherheitsvorfalls im Zahlungsdienstebereich zu bewerten ist. Als Kriterien werden genannt Wert und Anzahl der vom Vorfall betroffenen Zahlungsvorgänge, die Anzahl der betroffenen Zahlungsdienstenutzer/Kunden, die Dienstausfallzeit, wirtschaftliche und systemische Auswirkungen, die Höhe der internen Eskalationsstufe innerhalb des betroffenen Zahlungsdienstleisters sowie Reputationsschäden. Diese Kriterien werden nach niedriger und hoher Auswirkungsstufe gewichtet. So ist z.B. eine niedrige Auswirkungsstufe für die Aufsicht dann erreicht, wenn mehr als 10% des üblichen Transaktionsvolumens des betroffenen Zahlungsdienstleisters und 100.000 EUR durch den Sicherheitsvorfall betroffen sind. Im Verhältnis dazu ist eine hohe Auswirkungsstufe erst ab einem betroffenen Transaktionsaktionsvolumen von über 25% des üblichen Volumens oder 5 Mio. EUR erreicht. Zieht man als Kriterium die Zahl der betroffenen Zahlungsdienstenutzer heran, so liegt eine niedrige Auswirkungsstufe etwa dann vor, wenn mehr als 5.000 und weniger als 50.000 Kunden und mehr als 10%, aber weniger als 25% der Kunden des betroffenen Zahlungsdienstleisters betroffen sind.

Ein schwerwiegender Zahlungssicherheitsvorfall wird angenommen, wenn entweder mindestens ein Kriterium der hohen Auswirkungsstufe oder mindestens drei Kriterien der niedrigen Auswirkungsstufe erfüllt sind. Dann ist eine Meldung des Sicherheitsvorfalls an die BaFin erforderlich.

Auch das neue Rundschreiben der BaFin zeigt, dass die Aufsicht von prinzipienbasierten Vorgaben geleitet ist, die im vorliegenden Fall durch quantitative Kriterien ergänzt werden. Da Sicherheitsvorfälle im Zahlungsdienstebereich abhängig vom individuellen Transaktionsvolumen und der Zahl der individuellen Kunden sind, ist der Proportionalitätsgrundsatz auch hier gewahrt. Das bedeutet, dass bei einem kleinen Zahlungsdienstleister ein Sicherheitsvorfall schon dann meldepflichtig sein kann, wenn bei großen Marktteilnehmern die Relevanzschwelle für Meldungen bei denselben quantitativen Fakten noch nicht erreicht ist.