Bundesrecht - tagaktuell konsolidiert - alle Fassungen seit 2006
Vorschriftensuche
 

Abschnitt 7 - Zahlungsdiensteaufsichtsgesetz (ZAG)


Abschnitt 7 Sonderbestimmungen für Kontoinformationsdienste

§ 34 Registrierungspflicht; Verordnungsermächtigung



(1) 1Wer im Inland gewerbsmäßig oder in einem Umfang, der einen in kaufmännischer Weise eingerichteten Geschäftsbetrieb erfordert, als Zahlungsdienst ausschließlich Kontoinformationsdienste erbringen will, bedarf nur der schriftlichen Registrierung durch die Bundesanstalt. 2Der Registrierungsantrag muss folgende Angaben und Nachweise enthalten:

1.
eine Beschreibung des Geschäftsmodells, aus dem insbesondere die Art des beabsichtigten Kontoinformationsdienstes hervorgeht;

2.
einen Geschäftsplan mit einer Budgetplanung für die ersten drei Geschäftsjahre, aus dem hervorgeht, dass der Kontoinformationsdienstleister über geeignete und angemessene Systeme, Mittel und Verfahren verfügt, um seine Tätigkeit ordnungsgemäß auszuführen;

3.
eine Beschreibung der Unternehmenssteuerung und der internen Kontrollmechanismen des Kontoinformationsdienstes einschließlich der Verwaltungs-, Risikomanagement- und Rechnungslegungsverfahren, aus der hervorgeht, dass diese Unternehmenssteuerung, Kontrollmechanismen und Verfahren verhältnismäßig, angemessen, zuverlässig und ausreichend sind;

4.
eine Beschreibung der vorhandenen Verfahren für Überwachung, Handhabung und Folgemaßnahmen bei Sicherheitsvorfällen und sicherheitsbezogenen Kundenbeschwerden, einschließlich eines Mechanismus für die Meldung von Vorfällen, der die Meldepflichten des Kontoinformationsdienstleisters nach § 54 berücksichtigt;

5.
eine Beschreibung der vorhandenen Verfahren für die Erfassung, Überwachung, Rückverfolgung sowie Beschränkung des Zugangs zu sensiblen Zahlungsdaten;

6.
eine Beschreibung der Regelungen zur Geschäftsfortführung im Krisenfall, einschließlich klarer Angabe der maßgeblichen Abläufe, der wirksamen Notfallpläne und eines Verfahrens für die regelmäßige Überprüfung der Angemessenheit und Wirksamkeit solcher Pläne;

7.
eine Beschreibung der Sicherheitsstrategie, einschließlich einer detaillierten Risikobewertung des erbrachten Kontoinformationsdienstes und eine Beschreibung von Sicherheitskontroll- und Risikominderungsmaßnahmen zur Gewährleistung eines angemessenen Schutzes der Zahlungsdienstnutzer vor den festgestellten Risiken, einschließlich Betrug und illegaler Verwendung sensibler und personenbezogener Daten;

8.
eine Darstellung des organisatorischen Aufbaus des Kontoinformationsdienstes, gegebenenfalls einschließlich einer Beschreibung der geplanten Errichtung von Zweigniederlassungen und von deren Überprüfungen vor Ort oder von außerhalb ihres Standorts erfolgenden Überprüfungen, zu deren mindestens jährlicher Durchführung der Kontoinformationsdienstleister sich verpflichtet, sowie einer Darstellung der Auslagerungsvereinbarungen und eine Beschreibung der Art und Weise seiner Teilnahme an einem nationalen oder internationalen Zahlungssystem;

9.
die Namen der Geschäftsleiter, der für die Geschäftsführung des Kontoinformationsdienstleisters verantwortlichen Personen und soweit es sich um Unternehmen handelt, die neben der Erbringung des Kontoinformationsdienstes anderen Geschäftsaktivitäten nachgehen, der für die Führung der Zahlungsdienstgeschäfte des Kontoinformationsdienstleisters verantwortlichen Personen;

10.
die Rechtsform und die Satzung oder den Gesellschaftsvertrag des Kontoinformationsdienstes;

11.
die Anschrift der Hauptverwaltung oder des Sitzes des Kontoinformationsdienstes;

12.
eine Darstellung der Absicherung für den Haftungsfall nach § 36 einschließlich einer Erläuterung des Risikoprofils des Kontoinformationsdienstes, des etwaigen Erbringens anderer Zahlungsdienste als dem Kontoinformationsdienst oder des Nachgehens anderer Geschäftstätigkeiten als den Zahlungsdienstgeschäften, der Zahl der Kunden, die den Kontoinformationsdienst nutzen, sowie der besonderen Merkmale der Berufshaftpflichtversicherung oder der anderen gleichwertigen Garantie.

3Mit den Unterlagen nach Satz 2 Nummer 3, 4 und 8 hat der Kontoinformationsdienstleister eine Beschreibung seiner Prüfmodalitäten und seiner organisatorischen Vorkehrungen für das Ergreifen aller angemessenen Maßnahmen zum Schutze der Interessen seiner Kunden und zur Gewährleistung der Kontinuität und Verlässlichkeit des von ihm erbrachten Kontoinformationsdienstes vorzulegen. 4In der Beschreibung der Sicherheitsstrategie gemäß Satz 2 Nummer 7 ist anzugeben, auf welche Weise durch diese Maßnahmen ein hohes Maß an technischer Sicherheit und Datenschutz gewährleistet wird; das gilt auch für Software und IT-Systeme, die der Kontoinformationsdienstleister oder die Unternehmen verwenden, an die der Kontoinformationsdienstleister alle oder einen Teil seiner Tätigkeiten auslagert. 5Der Antrag muss den Nachweis enthalten, dass die unter Satz 2 Nummer 9 genannten Personen zuverlässig sind und über angemessene theoretische und praktische Kenntnisse und Erfahrungen zur Erbringung des Kontoinformationsdienstes verfügen. 6Der Kontoinformationsdienstleister hat mindestens zwei Geschäftsleiter zu bestellen; bei Unternehmen mit geringer Größe genügt ein Geschäftsleiter. 7Die Bundesanstalt kann im Einzelfall zu den Angaben nach den Sätzen 2 bis 6 nähere Angaben und Nachweise verlangen, soweit dies erforderlich erscheint, um ihren gesetzlichen Auftrag zu erfüllen.

(2) Die Bundesanstalt teilt dem Antragsteller binnen drei Monaten nach Eingang des Antrags oder bei Unvollständigkeit des Antrags binnen drei Monaten nach Übermittlung aller für die Entscheidung erforderlichen Angaben mit, ob die Registrierung erteilt oder versagt wird.

(3) Die Bundesanstalt kann die Registrierung unter Auflagen erteilen, die sich im Rahmen des mit diesem Gesetz verfolgten Zwecks halten müssen.

(4) Über die Erbringung des Kontoinformationsdienstes hinaus sind von der Registrierung nur die Erbringung betrieblicher und eng verbundener Nebendienstleistungen erfasst; Nebendienstleistungen sind die Dienstleistungen für die Sicherstellung des Datenschutzes sowie die Datenspeicherung und -verarbeitung.

(5) Der Kontoinformationsdienstleister hat der Bundesanstalt unverzüglich jede materiell und strukturell wesentliche Änderung der tatsächlichen oder rechtlichen Verhältnisse mitzuteilen, soweit sie die Richtigkeit der nach Absatz 1 vorgelegten Angaben und Nachweise betreffen.

(6) Soweit für das Erbringen von Kontoinformationsdiensten eine Registrierung nach Absatz 1 erforderlich ist, dürfen Eintragungen in öffentliche Register nur vorgenommen werden, wenn dem Registergericht die Registrierung nachgewiesen ist.

(7) 1Das Bundesministerium der Finanzen wird ermächtigt, durch Rechtsverordnung, die nicht der Zustimmung des Bundesrates bedarf, im Benehmen mit der Deutschen Bundesbank nähere Bestimmungen über Art, Umfang, und Form der nach dieser Vorschrift vorgesehenen Antragsunterlagen zu erlassen. 2Das Bundesministerium der Finanzen kann die Ermächtigung im Einvernehmen mit der Deutschen Bundesbank durch Rechtsverordnung auf die Bundesanstalt übertragen. 3Vor Erlass der Rechtsverordnung sind die Spitzenverbände der Institute anzuhören. 4Das Bundesamt für Sicherheit in der Informationstechnik ist anzuhören, soweit die Sicherheit informationstechnischer Systeme betroffen ist.


§ 35 Versagung der Registrierung



Die Registrierung zur Erbringung von Kontoinformationsdiensten ist zu versagen, wenn

1.
der Antrag entgegen § 34 Absatz 1 keine ausreichenden Angaben oder Unterlagen enthält;

2.
der Antragsteller nicht über eine Absicherung für den Haftungsfall gemäß den Voraussetzungen des § 36 verfügt;

3.
Tatsachen die Annahme rechtfertigen, dass der Antragsteller nicht zuverlässig ist oder aus anderen Gründen nicht den im Interesse einer soliden und umsichtigen Führung des Kontoinformationsdienstes zu stellenden Ansprüchen genügt;

4.
Tatsachen vorliegen, aus denen sich ergibt, dass ein Geschäftsleiter nicht zuverlässig ist oder nicht die zur Leitung des Kontoinformationsdienstes erforderliche fachliche Eignung hat und die Bundesanstalt nach § 1 Absatz 8 Satz 2 eine andere Person als Geschäftsleiter bestimmt; die fachliche Eignung setzt voraus, dass in ausreichendem Maß theoretische und praktische Kenntnisse in den betreffenden Geschäften und Leitungserfahrung vorhanden sind;

5.
der Antragsteller nicht über wirksame Verfahren zur Ermittlung, Steuerung, Überwachung und Meldung von Risiken sowie angemessene interne Kontrollverfahren einschließlich solider Verwaltungs- und Rechnungslegungsverfahren verfügt;

6.
Tatsachen die Annahme rechtfertigen, dass eine wirksame Aufsicht über den Antragsteller beeinträchtigt wird;

7.
der Antragsteller seine Hauptverwaltung nicht im Inland hat oder nicht zumindest einen Teil seiner Dienste im Inland erbringt.


§ 36 Absicherung für den Haftungsfall; Verordnungsermächtigung



(1) 1Ein Institut, das Kontoinformationsdienste erbringt, ist verpflichtet, eine Berufshaftpflichtversicherung oder eine andere gleichwertige Garantie abzuschließen und während der Gültigkeitsdauer seiner Registrierung aufrechtzuerhalten. 2Die Berufshaftpflichtversicherung oder die andere gleichwertige Garantie hat sich auf die Gebiete, in denen der Kontoinformationsdienstleister seine Dienste anbietet, zu erstrecken und muss die sich für den Kontoinformationsdienstleister ergebende Haftung gegenüber dem kontoführenden Zahlungsdienstleister und dem Zahlungsdienstnutzer für einen nicht autorisierten oder betrügerischen Zugang zu Zahlungskontoinformationen und deren nicht autorisierte oder betrügerische Nutzung abdecken.

(2) Die Berufshaftpflichtversicherung muss bei einem im Inland zum Geschäftsbetrieb befugten Versicherungsunternehmen genommen werden; § 16 Absatz 2 Satz 2 gilt entsprechend.

(3) § 16 Absatz 3 und 4 sowie § 17 Absatz 3 gelten entsprechend.

(4) 1Das Bundesministerium der Finanzen wird ermächtigt, durch Rechtsverordnung, die nicht der Zustimmung des Bundesrates bedarf, nähere Bestimmungen zu Umfang und Inhalt der erforderlichen Absicherung im Haftungsfall zu treffen. 2Das Bundesministerium der Finanzen kann die Ermächtigung durch Rechtsverordnung auf die Bundesanstalt übertragen. 3Vor Erlass der Rechtsverordnung sind die Spitzenverbände der Institute und der Versicherungsunternehmen anzuhören.


§ 37 Erlöschen und Aufhebung der Registrierung



(1) Die Registrierung erlischt, wenn der Kontoinformationsdienstleister von ihr nicht innerhalb eines Jahres seit ihrer Erteilung Gebrauch macht oder wenn er ausdrücklich auf sie verzichtet.

(2) Die Bundesanstalt kann die Registrierung außer nach den Vorschriften des Verwaltungsverfahrensgesetzes aufheben, wenn

1.
der Geschäftsbetrieb, auf den sich die Registrierung bezieht, seit mehr als sechs Monaten nicht mehr ausgeübt worden ist;

2.
die Registrierung aufgrund falscher Angaben oder auf andere Weise unrechtmäßig erlangt wurde;

3.
Tatsachen bekannt werden, die die Versagung der Registrierung nach § 35 rechtfertigten, oder gegen die Mitteilungspflicht nach § 34 Absatz 5 verstoßen wird.

(3) 1§ 38 des Kreditwesengesetzes gilt entsprechend. 2§ 48 Absatz 4 Satz 1 und § 49 Absatz 2 Satz 2 des Verwaltungsverfahrensgesetzes über die Jahresfrist sind nicht anzuwenden.

(4) Die Bundesanstalt macht die Aufhebung oder das Erlöschen der Registrierung im Bundesanzeiger und im Zahlungsinstituts-Register bekannt.