BaFin konkretisiert Meldepflichten zu Sicherheitsvorfällen bei Zahlungsdienstleistern

ESV-Redaktion Recht

Zahlungsdienstleister müssen die BaFin unverzüglich über schwerwiegende Betriebs- oder Sicherheitsvorfälle informieren. (Foto: BaFin)

Die BaFin hat die Zahlungsdienstleister mit ihrem Rundschreiben 03/2022 (BA) über die neuen Regelungen informiert, die für die Meldung von schwerwiegenden Sicherheitsvorfällen gelten. Damit will die Aufsichtsbehörde das aktuelle Rundschreiben 08/2018 (BA) ersetzen und die Meldepflichten des ZAG konkretisieren.

Zahlungsdienstleister müssen die BaFin nach § 54 Absatz 1 Satz 1 ZAG unverzüglich über schwerwiegende Betriebs- oder Sicherheitsvorfälle informieren. Vor diesem Hintergrund hatte die Aufsichtsbehörde die Zahlungsdienstleister mit dem „Rundschreiben 08/2018 (BA) zur Meldung schwerwiegender Sicherheitsvorfälle“ vom 07.06.2018 hierüber unterrichtet. Grundlage hierfür sind die EBA-Leitlinien vom 19.12.2017 nach Artikel 96 Absatz 3 der Richtlinie (EU) 2015/2366 des Europäischen Parlaments und des Rates vom 25.11.2015.

Das neue Rundschreiben

Anwendungsbereich und Begriffe

Anwendungsbereich: Umfasst vom Anwendungsbereich sind alle Zahlungsinstitute und E-Geld-Institute. Hinzu kommen alle CRR-Kreditinstitute und die Kreditanstalt für Wiederaufbau, wenn diese Zahlungsdienste im Sinne des § 1 Absatz 1 Satz 2 ZAG erbringen. Der räumliche Anwendungsbereich beschränkt sich auf inländische Unternehmen und auf Institute nach § 53 KWG oder nach § 42 ZAG.

Begriffe: Soweit nicht anders definiert, gelten die Begriffsbestimmungen des ZAG auch für dieses Rundschreiben. Darüber hinaus gelten folgenden Begriffsbestimmungen:

Betriebs- oder Sicherheitsvorfall: Ein solcher Vorfall ergibt sich aus einem Einzelereignis, das der Zahlungsdienstleister nicht beabsichtigt hatte und der nachteiligen Auswirkung auf die Integrität, die Verfügbarkeit, die Vertraulichkeit und/oder die Authentizität von zahlungsbezogenen Diensten. Gleiches gilt, wenn eine solche Auswirkung wahrscheinlich ist und für die Verkettung von Ereignissen.

Integrität: Die Integrität betrifft die Eigenschaften, die Korrektheit und Vollständigkeit von Vermögenswerten. Hierzu gehören auch Daten.

Verfügbarkeit: Verfügbarkeit bedeutet, dass zahlungsbezogene Dienste für die Nutzer in dem Umfang, den der Zahlungsdienstleister vorher festgelegt hat, zugänglich sind und verwendet werden können.

Vertraulichkeit: Informationen dürfen unbefugten Personen, Stellen oder Prozessen nicht zugänglich gemacht oder diesen nicht offengelegt werden.

Zahlungsbezogene Dienste: Gemeint sind gewerbliche Tätigkeiten nach § 1 Abs. 1 Satz 2 ZAG. Hierzu zählen auch alle technischen unterstützenden Aufgaben, die für die korrekte Erbringung von Zahlungsdiensten erforderlich sind.

Der kostenlose Newsletter Recht – Hier können Sie sich anmelden!

Redaktionelle Meldungen zu neuen Entscheidungen und Rechtsentwicklungen, Interviews und Literaturtipps.

Klassifizierung der Betriebs- und Sicherheitsvorfälle

Alle Betriebs- und Sicherheitsvorfälle sind zu bewerten und als schwerwiegender bzw. als nicht schwerwiegender Vorfall zu klassifizieren. Schwerwiegende Vorfälle sind der BaFin zu melden. Hierfür gelten die folgenden Kriterien und Indikatoren:

Schwerwiegend und damit meldepflichtig sind Betriebs- oder Sicherheitsvorfälle, wenn nach den Kriterien des Rundschreibens

mindestens ein Kriterium der hohen Auswirkungsstufe oder

mindestens drei Kriterien der niedrigen Auswirkungsstufe

erfüllt sind. Näheres hierzu enthält das Rundscheiben in Ziffer Nr. 1.2. Die Schwellenwerte sind in der Tabelle nach Nr. 1.3 des Rundschreibens angegeben.

Zu den Kriterien für die Einordnung des Vorfalls gehört auch die Frage, ob die Sicherheit von Netz- und Informationssystemen durch eine böswillige Handlung verletzt wurde. Weitere Kriterien sind die Ausfallzeit, die wirtschaftlichen Auswirkungen, die interne Eskalationsstufe, die Betroffenheit anderer Zahlungsdienstleister sowie Infrastrukturen und Reputationsschäden.

Meldeverfahren

Das aktuelle Rundschreiben benennt als Meldeformen die Erstmeldung, die Zwischenmeldung, die Abschlussmeldung und die Delegierte Meldung. Alle relevanten Informationen sind zu sammeln und der Aufsichtsbehörde einer Vorfallsmeldung zu übermitteln. Hierbei sind die von der BaFin bereitgestellten Wege der Melde- und Veröffentlichungsplattform (MVP-Portal) sowie die elektronischen Formulare zu nutzen.

Ist das MVP-Portal nicht verfügbar oder funktionsbereit, müssen die entsprechenden Informationen formlos über alternative Kommunikationskanäle übermittelt werden, die die BaFin bekannt gemacht hat.

Die vollständige Vorfallsmeldung muss nachgereicht werden, wenn der Meldekanal wieder verfügbar ist.

Geltungszeitraum

Das alte Rundschreiben 08/2018 (BA) gilt noch bis zum 30.08.2022. Anschließend wird die BaFin das neue Rundschreiben anwenden.

Quelle: Rundschreiben 03/2022 (BA) 09.03.2022 Geschäftszeichen GIT 1-FR 1529-2021/0009

FinTech

Die Zukunft der Finanzindustrie ist digital. Eine Zukunft, in der Maschinen nahezu autonom agieren, disruptive Blockchain-Technologien schon heute traditionelle Geschäftsmodelle in Frage stellen und Daten wertvollste Güter sind, bietet unzählige Chancen – stellt jedoch Gesetzgeber und Industrie vor völlig neue Herausforderungen.

Innovationen, Regulierung, Management: Einen detaillierten Gesamtüberblick über das „FinTech“- Universum bietet Ihnen die inhaltlich umfassend verstärkte 2. Auflage dieses viel beachteten Praxisbuchs, wie etwa:

Status-quo: Welche technischen Innovationen und neuen Anwendungsfelder gibt es? Wie verändert FinTech den traditionellen Bankensektor?

Regulatorische Entwicklungen: Bankaufsichtsrecht, Kreditplattformen und Crowdfunding, Zahlungsverkehr, Robo-Advice, Kryptowerte und Blockchain, Algorithmen und Kartellrecht

NEU: Künstliche Intelligenz und digitale Identität – Stellenwert, Praxisfelder und aktuelle Regulierungsvorhaben

Aktuelle Case Studies: uunter anderem zur KI in der Cloud, Open-Source-Technologien und Digitalisierungsstrategien

(ESV/bp)