BaFin macht Rückzieher bei MaSin

Bafin

BaFin-Rundschreiben-Rückruf. Es war nur ein Montagsentwurf.

Die Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) hat das angekündigte Rundschreiben zu den „Mindestanforderungen an die Sicherheit von Internetzahlungen“ (MaSin) fristgerecht am 5. Mai veröffentlicht. Im Gegensatz zu den ursprünglichen Plänen eine Kehrtwendung um 180 Grad, denn statt nationaler Sonderwege findet man nunmehr nur noch eine Eins-zu-Eins-Übersetzung der EBA-Leitlinien, also der Vorgaben der europäischen Aufsichtsbehörde. Das Papier wirft dennoch Fragen auf – und sorgt für Entsetzen im Markt.

tl;dr: BaFin reguliert ePayment bevor die PSD II kommt. Unklare Reichweite. Acquirern droht Konkurrenz aus dem EU-Ausland.

Die Konsultation zeigte Wirkung. 16 Stellungnahmen gingen bei der BaFin ein, nachdem die Aufsichtsbehörde im Februar ihren Rundschreibenentwurf zur Umsetzung der EBA-Leitlinien mit der Gelegenheit zur Stellungnahme verschickt hatte. Das Echo war verheerend: Niemand befürwortete die Abweichung von den europäischen Vorgaben, der Zeitpunkt der Veröffentlichung – im Vorfeld der PSD II – wurde scharf kritisiert und der Sinn der EBA-Leitlinien grundsätzlich in Frage gestellt.

Das MaSin-Rundschreiben ist nun nur noch die wortgetreue Übernahme der offiziellen deutschen Übersetzung der „Guidelines on the security of internet payments“ der European Banking Authority (EBA). „Damit trage ich den Kritikpunkten aus den Stellungnahmen im Rahmen der Konsultation 02/2015 Rechnung“, heißt es kleinlaut im Anschreiben der BaFin zur Begründung der Kehrtwendung. Von einem deutschen Sonderweg, wie er nach dem ursprünglichen Entwurf zu befürchten war, kann also – zumindest was den Wortlaut der Vorgaben angeht – keine Rede mehr sein.

Herr Nachbar, wie halten Sie es mit den EBA-Leitlinien?

Nun stellt sich noch die Frage, was die anderen europäischen Mitgliedstaaten mit SecuRe Pay machen. Die EBA will dazu demnächst eine Übersicht veröffentlichten.

Dass Großbritannien zunächst die Verabschiedung der laufenden Reform der EU-Zahlungsdiensterichtlinie (PSD II) abwarten will, war hier im Blog bereits in den Kommentaren zu lesen (siehe FCA-Homepage am Ende des Textes). In Luxemburg will man es wohl ähnlich handhaben.

Finanzaufsicht ist eben auch Standortpolitik, man schaue sich nur an, wie viele Zahlungsinstitute in UK zugelassen sind (224) und wie viele in der Bundesrepublik (37). Darüber hinaus ist es ja ganz nett von der nur sehr mittelbar demokratisch legitimierten Aufsichtsbehörde abzuwarten, wie der EU-Gesetzgeber genau diese Materie mit der PSD II regeln will.

Auf dem deutschen Markt aktive Acquirer wie Six, Elavon und andere, die ihren aufsichtsrechtlich relevanten Sitz in Großbritannien, Luxemburg oder auf der grünen Insel haben, wird es jedenfalls freuen. Die EBA-Leitlinien knüpfen am Acquirer an und nicht am Sitz oder der Tätigkeit des Online-Händlers oder Dienstleisters.

Wer seinen Kunden also künftig Kreditkartenzahlungen im Internet anbieten will, ohne über PayPal zu gehen und ohne „starke Kundenauthentifizierung“, dem sei ein Zahlungsdienstleister mit Sitz in einem EU-Staat empfohlen, der es mit der Umsetzung der EBA-Richtlinien nicht so streng nimmt oder der zumindest auf die Verabschiedung und Umsetzung der PSD II warten kann.

Zwei oder drei Jahre Zeitvorsprung in der digitalen Welt, das sind vermutlich 20 oder 30 Jahre in der alten Welt. In drei Jahren bezahlen wir ohnehin telepathisch, sind alle im Circle oder haben uns freiwillig einen Apple-Chip implantiert, so dass das Problem der Identifikation und Authorisierung im Internet längst gelöst ist.

Aber vielleicht nimmt es die BaFin auch gar nicht so streng. Eins-zu-Eins-Übersetzung der EBA-Vorgaben heißt nämlich buchstäblich, dass jetzt im Rundschreiben überall „soll“ bzw. „sollte“ steht, wo im Original „should“ stand. Nun kann man schmunzelnd fragen: „‚Soll‘ im Sinne von muss oder kann?“.

In unserer Jurisdiktion ist „sollte“ jedenfalls keine verbindliche Vorgabe – allenfalls ein Hinweis auf eine vorwerfbares Verschulden im Sinne einer Fahrlässigkeit, wenn denn mal etwas passiert ist.

Wäre doch cool von der BaFin einfach nur ein wenig Papier zu produzieren ohne Verbindlichkeitsanspruch. Andere EU-Länder haben ja schließlich auch keine Schwierigkeiten damit europäische Vorgaben in ihr nationales Recht umzusetzen, ohne es in Geltung zu bringen.

Nun kann man allerdings nicht wirklich darauf hoffen, dass die BaFin das MaSin-Rundschreiben ohne Vollzugsabsicht veröffentlicht hat, nur um es fristgerecht (5.5.2015!) in die Welt zu setzen.

Daher stellen sich nun folgende Fragen:

Was machen die anderen EU-Mitgliedsstaaten mit SecuRePay?

Wird es eine Abwanderung von Online-Anbietern zu Acquirern mit Sitz im Ausland geben?

Wie weit reicht der Anwendungsbereich der MaSin? Sind Online-Lastschriften betroffen?

Zur letzten Frage soll es auf dem EHI-Kartenkongress Anfang Mai muntere Diskussionen gegeben haben. Leider war ich nicht in Bonn, aber man hörte, die Szene ist sich einig: 50 Prozent der versammelten Zahlungsverkehrsexperten meinten ja, 50 Prozent meinten nein. 🙂

Geprüfte und ungeprüfte Gerüchte bei der Gelegenheit

Wer es bis hier geschafft hat, dem sei noch zum Thema MIF-Regulierung der Beitrag von Dr. Markus Weber, Geschäftsführer der Ingenico Payment Services, im IT-Finanzmagazin empfohlen: „Die Folgen der EU-Gebührenregulierung: Sind Girocard und ELV jetzt bald am Ende?“

Dass Uniti und BfT Rahmenverträge mit Ingenico und B + S Card Service geschlossen haben, um auch den restlichen 9.000 Tankstellen – nach Aral und Orlen und mit Ausnahme von Shell – das Mischverfahren mit EC-Cash und Lastschrift (ELV) schmackhaft zu machen, sollte eine klare Antwort auf die Frage sein. Ein Treppenwitz, dass die B+S Card Service der Sparkassen-Finanzgruppe nun offensiv ELV anbietet.

Die Gerüchteküche meldet im Übrigen, dass das Bundeskartellamt für die Überwachung der Kartengebühren zuständig werden soll. Die BaFin sei ohnehin überlastet, so das für die Umsetzung der MIF-Regulierung federführende BMF. Die Wettbewerbshüter würden damit zur Preisfestsetzungsbehörde, zur „Bundeskartennetzagentur“. Da blutet den Ökonomen und Wettbewerbsrechtlern in Bonn das Herz.

Sie hatten den Fall ja eigentlich schon abgeschlossen, aber wegen der aktuellen Streitigkeiten um die Ausgestaltung der ab November 2016 vorgesehen „Phase II“ des Konzentratormodells müssen die Kartellwächter die Akte vermutlich ohnehin noch einmal aufmachen. Das aber ist eine andere Geschichte… 🙂

Update (12.12.2016): Die Gefahr einer staatlich verordneten Zwei-Faktor-Authorisierung für elektronische Zahlungen ist noch nicht geplant. Zur aktuellen Entwicklung siehe diesen Beitrag zum EBA-Draft zur Umsetzung der PSD2.

2 Gedanken zu „BaFin macht Rückzieher bei MaSin

  1. Die BaFin hat klargestellt, dass die MaSI nur dann anzuwenden sind, wenn ein nach ZAG regulierter Zahlungsdienstleister an der Einholung des Lastchrift-Mandats beteiligt ist. D.h. für den Handel: Lastschriften am besten über’s eigene Konto einziehen und nicht über einen PSP. Das ist ohnehin effizienter.

    Quelle: Mai Ausgabe des BaFin-Journals (Seite 13): „Für elektronische Einzugsermächtigungen ist das Rundschreiben nur anwendbar, wenn bei deren Mandatserteilung ein Zahlungsdienstleister beteiligt ist.“
    http://www.bafin.de/SharedDocs/Downloads/DE/BaFinJournal/2015/bj_1505.html

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert