Bundesrecht - tagaktuell konsolidiert - alle Fassungen seit 2006
Vorschriftensuche
 

Abschnitt 10 - Zahlungsdiensteaufsichtsgesetz (ZAG)


Abschnitt 10 Gemeinsame Bestimmungen für alle Zahlungsdienstleister

Unterabschnitt 1 Kartengebundene Zahlungsinstrumente

§ 45 Pflichten des kontoführenden Zahlungsdienstleisters



(1) Ein kontoführender Zahlungsdienstleister hat einem Zahlungsdienstleister, der kartengebundene Zahlungsinstrumente ausgibt (kartenausgebender Zahlungsdienstleister) auf dessen Ersuchen unverzüglich zu bestätigen, ob der für die Ausführung eines kartengebundenen Zahlungsvorgangs erforderliche Geldbetrag auf dem Zahlungskonto des Zahlers verfügbar ist, wenn

1.
das Zahlungskonto des Zahlers zum Zeitpunkt des Ersuchens online zugänglich ist,

2.
der Zahler dem kontoführenden Zahlungsdienstleister seine ausdrückliche Zustimmung erteilt hat, den Ersuchen eines bestimmten kartenausgebenden Zahlungsdienstleisters um Bestätigung der Verfügbarkeit des Geldbetrags, der einem bestimmten kartengebundenen Zahlungsvorgang entspricht, auf dem Zahlungskonto des Zahlers nachzukommen und

3.
die Zustimmung nach Nummer 2 vor Eingang des ersten Ersuchens erteilt worden ist.

(2) Die Antwort des kontoführenden Zahlungsdienstleisters auf das Ersuchen darf keine Mitteilung des Kontostandes des Zahlers enthalten und besteht ausschließlich aus „Ja" oder „Nein".

(3) Die Bestätigung nach Absatz 1 erlaubt es dem kontoführenden Zahlungsdienstleister nicht, einen Geldbetrag auf dem Zahlungskonto des Zahlers zu sperren.


§ 46 Rechte und Pflichten des kartenausgebenden Zahlungsdienstleisters



1Der kartenausgebende Zahlungsdienstleister darf den kontoführenden Zahlungsdienstleister um die Bestätigung nach § 45 Absatz 1 ersuchen, wenn der Zahler

1.
dem kartenausgebenden Zahlungsdienstleister vorab seine ausdrückliche Zustimmung hierzu erteilt und

2.
den kartengebundenen Zahlungsvorgang über den betreffenden Betrag unter Verwendung eines vom kartenausgebenden Zahlungsdienstleister ausgegebenen kartengebundenen Zahlungsinstruments ausgelöst hat.

2Der kartenausgebende Zahlungsdienstleister hat sich gegenüber dem kontoführenden Zahlungsdienstleister vor jedem einzelnen Ersuchen um Bestätigung zu authentifizieren und mit ihm auf sichere Weise zu kommunizieren. 3Der kartenausgebende Zahlungsdienstleister darf die Antwort nach § 45 Absatz 2 nicht speichern oder für andere Zwecke als für die Ausführung des kartengebundenen Zahlungsvorgangs verwenden. 4Näheres regelt der delegierte Rechtsakt nach Artikel 98 der Richtlinie (EU) 2015/2366.


§ 47 Ausnahme für E-Geld-Instrumente



Die §§ 45 und 46 gelten nicht für Zahlungsvorgänge, die durch kartengebundene Zahlungsinstrumente ausgelöst werden, auf denen E-Geld gespeichert ist.


Unterabschnitt 2 Zugang von Zahlungsauslöse- und Kontoinformationsdienstleistern zu Zahlungskonten

§ 48 Pflichten des kontoführenden Zahlungsdienstleisters bei Zahlungsauslösediensten



(1) Erteilt der Zahler seine ausdrückliche Zustimmung zur Ausführung einer Zahlung, so ist der kontoführende Zahlungsdienstleister verpflichtet,

1.
mit dem Zahlungsauslösedienstleister auf sichere Weise zu kommunizieren,

2.
unmittelbar nach Eingang des Zahlungsauftrags über einen Zahlungsauslösedienstleister diesem alle Informationen über die Auslösung des Zahlungsvorgangs und alle dem kontoführenden Zahlungsdienstleister zugänglichen Informationen hinsichtlich der Ausführung des Zahlungsvorgangs mitzuteilen oder zugänglich zu machen und

3.
Zahlungsaufträge, die über einen Zahlungsauslösedienstleister übermittelt werden, insbesondere in Bezug auf zeitliche Abwicklung, Prioritäten oder Entgelte so zu behandeln wie Zahlungsaufträge, die der Zahler unmittelbar übermittelt, es sei denn, es bestehen objektive Gründe für eine abweichende Behandlung.

(2) Das Erbringen von Zahlungsauslösediensten ist nicht davon abhängig, ob der Zahlungsauslösedienstleister und der kontoführende Zahlungsdienstleister zu diesem Zweck einen Vertrag abgeschlossen haben.

(3) Näheres regelt der delegierte Rechtsakt nach Artikel 98 der Richtlinie (EU) 2015/2366.


§ 49 Pflichten des Zahlungsauslösedienstleisters



(1) 1Der Zahlungsauslösedienstleister darf den Zahlungsbetrag, den Zahlungsempfänger oder ein anderes Merkmal des Zahlungsvorgangs nicht ändern. 2Er darf zu keiner Zeit Gelder des Zahlers im Zusammenhang mit der Erbringung des Zahlungsauslösedienstes halten.

(2) 1Ein Zahlungsauslösedienstleister ist verpflichtet, sich gegenüber dem kontoführenden Zahlungsdienstleister des Zahlers jedes Mal, wenn er eine Zahlung auslöst, zu identifizieren. 2Er muss sicherstellen, dass die personalisierten Sicherheitsmerkmale des Zahlungsdienstnutzers keiner anderen Partei als dem Nutzer und demjenigen, der die personalisierten Sicherheitsmerkmale ausgegeben hat, zugänglich sind.

(3) 1Der Zahlungsauslösedienstleister hat mit dem kontoführenden Zahlungsdienstleister, dem Zahler und dem Zahlungsempfänger auf sichere Weise zu kommunizieren. 2Soweit die Übermittlung der personalisierten Sicherheitsmerkmale des Zahlers erforderlich ist, darf dies nur über sichere und effiziente Kanäle geschehen.

(4) 1Der Zahlungsauslösedienstleister darf vom Zahler nur die für die Erbringung des Zahlungsauslösedienstes erforderlichen Daten verlangen und keine sensiblen Zahlungsdaten des Zahlers speichern. 2Er darf Daten nur für die Zwecke des vom Zahler ausdrücklich geforderten Zahlungsauslösedienstes speichern, verwenden oder darauf zugreifen. 3Alle anderen Informationen, die er über den Zahler bei der Bereitstellung von Zahlungsauslösediensten erlangt hat, darf er nur dem Zahlungsempfänger mitteilen; dies setzt die ausdrückliche Zustimmung des Zahlers voraus.

(5) Sobald der Zahlungsauftrag ausgelöst worden ist, hat der Zahlungsauslösedienstleister dem kontoführenden Zahlungsdienstleister des Zahlers die Referenzangaben des Zahlungsvorgangs zugänglich zu machen.

(6) Näheres regelt der delegierte Rechtsakt nach Artikel 98 der Richtlinie (EU) 2015/2366.


§ 50 Pflichten des kontoführenden Zahlungsdienstleisters bei Kontoinformationsdiensten



(1) Der kontoführende Zahlungsdienstleister ist verpflichtet,

1.
mit dem Kontoinformationsdienstleister auf sichere Weise zu kommunizieren und

2.
Anfragen nach der Übermittlung von Daten, die von einem Kontoinformationsdienstleister übermittelt werden, ohne Benachteiligung zu behandeln, es sei denn, es bestehen objektive Gründe für eine abweichende Behandlung.

(2) Das Erbringen von Kontoinformationsdiensten ist nicht davon abhängig, ob der Kontoinformationsdienstleister und der kontoführende Zahlungsdienstleister zu diesem Zweck einen Vertrag abgeschlossen haben.

(3) Näheres regelt der delegierte Rechtsakt nach Artikel 98 der Richtlinie (EU) 2015/2366.


§ 51 Pflichten des Kontoinformationsdienstleisters



(1) 1Der Kontoinformationsdienstleister darf seine Dienste nur mit der ausdrücklichen Zustimmung des Zahlungsdienstnutzers erbringen. 2Er darf nur auf Informationen von Zahlungskonten, die der Zahlungsdienstnutzer bezeichnet hat, und mit diesen im Zusammenhang stehenden Zahlungsvorgängen zugreifen. 3Er darf keine sensiblen Zahlungsdaten anfordern, die mit den Zahlungskonten in Zusammenhang stehen. 4Er darf Daten nur für die Zwecke des vom Zahlungsdienstnutzer ausdrücklich geforderten Kontoinformationsdienstes speichern, verwenden oder darauf zugreifen.

(2) 1Ein Kontoinformationsdienstleister ist verpflichtet, sich gegenüber dem kontoführenden Zahlungsdienstleister des Zahlungsdienstnutzers jedes Mal, wenn er mit ihm kommuniziert, zu identifizieren. 2Er muss sicherstellen, dass die personalisierten Sicherheitsmerkmale des Zahlungsdienstnutzers keiner anderen Partei als dem Nutzer und demjenigen, der die personalisierten Sicherheitsmerkmale ausgegeben hat, zugänglich sind.

(3) 1Der Kontoinformationsdienstleister hat mit dem kontoführenden Zahlungsdienstleister und dem Zahlungsdienstnutzer auf sichere Weise zu kommunizieren. 2Soweit die Übermittlung der personalisierten Sicherheitsmerkmale erforderlich ist, darf dies nur über sichere und effiziente Kanäle geschehen.

(4) Näheres regelt der delegierte Rechtsakt nach Artikel 98 der Richtlinie (EU) 2015/2366.


§ 52 Zugang zu Zahlungskonten



(1) Ein kontoführender Zahlungsdienstleister kann einem Kontoinformationsdienstleister oder einem Zahlungsauslösedienstleister den Zugang zu einem Zahlungskonto verweigern, wenn objektive und gebührend nachgewiesene Gründe im Zusammenhang mit einem nicht autorisierten oder betrügerischen Zugang des Kontoinformationsdienstleisters oder des Zahlungsauslösedienstleisters zum Zahlungskonto, einschließlich der nicht autorisierten oder betrügerischen Auslösung eines Zahlungsvorgangs, es rechtfertigen.

(2) 1In den Fällen des Absatzes 1 hat der kontoführende Zahlungsdienstleister den Vorfall der Bundesanstalt unverzüglich zu melden. 2Hierbei sind die Einzelheiten des Vorfalls und die Gründe für das Tätigwerden anzugeben. 3Die Bundesanstalt hat den Fall zu bewerten und kann erforderlichenfalls geeignete Maßnahmen ergreifen. 4Die Aufgaben und Zuständigkeiten anderer Behörden, insbesondere der Kartellbehörden nach dem Gesetz gegen Wettbewerbsbeschränkungen sowie der Strafverfolgungsbehörden nach der Strafprozessordnung, bleiben unberührt.

(3) Der kontoführende Zahlungsdienstleister hat den Zugang zu dem Zahlungskonto zu gewähren, sobald die Gründe für die Verweigerung des Zugangs nicht mehr bestehen.


Unterabschnitt 3 Risiken und Meldung von Vorfällen

§ 53 Beherrschung operationeller und sicherheitsrelevanter Risiken



(1) 1Ein Zahlungsdienstleister hat angemessene Risikominderungsmaßnahmen und Kontrollmechanismen zur Beherrschung der operationellen und der sicherheitsrelevanten Risiken im Zusammenhang mit den von ihm erbrachten Zahlungsdiensten einzurichten, aufrechtzuerhalten und anzuwenden. 2Dies umfasst wirksame Verfahren für die Behandlung von Störungen im Betriebsablauf, auch zur Aufdeckung und Klassifizierung schwerer Betriebs- und Sicherheitsvorfälle.

(2) 1Ein Zahlungsdienstleister hat der Bundesanstalt einmal jährlich eine aktuelle und umfassende Bewertung der operationellen und sicherheitsrelevanten Risiken im Zusammenhang mit den von ihm erbrachten Zahlungsdiensten und hinsichtlich der Angemessenheit der Risikominderungsmaßnahmen und Kontrollmechanismen, die er zur Beherrschung dieser Risiken ergriffen hat, zu übermitteln. 2Die Bundesanstalt kann gegenüber einem Zahlungsdienstleister festlegen, dass die Übermittlung der Bewertung nach Satz 1 in kürzeren Zeitabständen zu erfolgen hat.


§ 54 Meldung schwerwiegender Betriebs- oder Sicherheitsvorfälle



(1) 1Ein Zahlungsdienstleister hat die Bundesanstalt unverzüglich über einen schwerwiegenden Betriebs- oder Sicherheitsvorfall zu unterrichten. 2Die Bundesanstalt unterrichtet die Europäische Bankenaufsichtsbehörde und die Europäische Zentralbank unverzüglich nach Eingang einer Meldung über die maßgeblichen Einzelheiten des Vorfalls. 3Sie hat die Relevanz des Vorfalls für andere in ihrer sachlichen Zuständigkeit betroffene inländische Behörden unverzüglich zu prüfen und diese entsprechend zu unterrichten.

(2) Die Bundesanstalt wirkt an der Prüfung der Relevanz des Vorfalls für andere in ihrer sachlichen Zuständigkeit betroffene Behörden der Europäischen Union, der anderen Mitgliedstaaten und der anderen Vertragsstaaten des Abkommens über den Europäischen Wirtschaftsraum durch die Europäische Bankenaufsichtsbehörde und die Europäische Zentralbank mit.

(3) Wird die Bundesanstalt von der Europäischen Bankenaufsichtsbehörde oder der Europäischen Zentralbank über einen Vorfall im Sinne des Absatzes 1 Satz 1 unterrichtet, so hat sie die für die unmittelbare Sicherheit des Finanzsystems notwendigen Schutzvorkehrungen zu treffen.

(4) Kann sich ein Vorfall im Sinne des Absatzes 1 Satz 1 auf die finanziellen Interessen seiner Zahlungsdienstnutzer auswirken, hat ein Zahlungsdienstleister diese unverzüglich über den Vorfall zu benachrichtigen und über alle Maßnahmen zu informieren, die sie ergreifen können, um negative Auswirkungen des Vorfalls zu begrenzen.

(5) 1Die Zahlungsdienstleister haben der Bundesanstalt mindestens einmal jährlich statistische Daten zu Betrugsfällen in Verbindung mit den unterschiedlichen Zahlungsmitteln vorzulegen. 2Die Bundesanstalt hat der Europäischen Bankenaufsichtsbehörde und der Europäischen Zentralbank die vorgelegten Daten in aggregierter Form zur Verfügung zu stellen.

(6) Meldepflichten der Zahlungsdienstleister an andere inländische Behörden, Mitwirkungsaufgaben der Bundesanstalt sowie die Zuständigkeiten anderer inländischen Behörden für schwerwiegende Betriebs- oder Sicherheitsvorfälle bleiben unberührt.


Unterabschnitt 4 Starke Kundenauthentifizierung

§ 55 Starke Kundenauthentifizierung



(1) 1Der Zahlungsdienstleister ist verpflichtet, eine starke Kundenauthentifizierung zu verlangen, wenn der Zahler

1.
online auf sein Zahlungskonto zugreift;

2.
einen elektronischen Zahlungsvorgang auslöst;

3.
über einen Fernzugang eine Handlung vornimmt, die das Risiko eines Betrugs im Zahlungsverkehr oder anderen Missbrauchs beinhaltet.

2Ein Zahlungsdienstleister muss im Fall des Satzes 1 über angemessene Sicherheitsvorkehrungen verfügen, um die Vertraulichkeit und die Integrität der personalisierten Sicherheitsmerkmale der Zahlungsdienstnutzer zu schützen.

(2) Handelt es sich bei dem elektronischen Zahlungsvorgang nach Absatz 1 Satz 1 Nummer 2 um einen elektronischen Fernzahlungsvorgang, hat der Zahlungsdienstleister eine starke Kundenauthentifizierung zu verlangen, die Elemente umfasst, die den Zahlungsvorgang dynamisch mit einem bestimmten Betrag und einem bestimmten Zahlungsempfänger verknüpfen.

(3) 1Absatz 1 Satz 2 und Absatz 2 gelten auch, wenn Zahlungen über einen Zahlungsauslösedienstleister ausgelöst werden. 2Absatz 1 gilt auch, wenn die Informationen über einen Kontoinformationsdienstleister angefordert werden.

(4) Der kontoführende Zahlungsdienstleister hat es dem Zahlungsauslösedienstleister und dem Kontoinformationsdienstleister zu gestatten, sich auf die Authentifizierungsverfahren zu stützen, die er dem Zahlungsdienstnutzer gemäß Absatz 1 sowie, in Fällen, in denen ein Zahlungsauslösedienstleister beteiligt ist, darüber hinaus gemäß Absatz 2 bereitstellt.

(5) Näheres zu Erfordernissen und Verfahren zur starken Kundenauthentifizierung einschließlich etwaiger Ausnahmen von deren Anwendung sowie Anforderungen an Sicherheitsvorkehrungen für die Vertraulichkeit und die Integrität der personalisierten Sicherheitsmerkmale regelt der delegierte Rechtsakt nach Artikel 98 der Richtlinie (EU) 2015/2366.


Unterabschnitt 5 Zugang zu Konten und Zahlungssystemen

§ 56 Zugang zu Zahlungskontodiensten bei CRR-Kreditinstituten



(1) 1CRR-Kreditinstitute im Sinne des § 1 Absatz 3d Satz 1 des Kreditwesengesetzes haben den Instituten, die im Inland auf der Grundlage einer entsprechenden Erlaubnis tätig werden, auf objektiver, nichtdiskriminierender und verhältnismäßiger Grundlage den Zugang zu Zahlungskontodiensten zu gewähren. 2Der Zugang nach Satz 1 muss so umfassend sein, dass das Institut seine Dienstleistung ungehindert und effizient erbringen kann. 3Das CRR-Kreditinstitut hat die Ablehnung des Zugangs nach Satz 1 mit einer nachvollziehbaren Begründung der Bundesanstalt mitzuteilen.

(2) Die Vorschriften zur Bekämpfung der Geldwäsche und der Terrorismusfinanzierung bleiben unberührt.


§ 57 Zugang zu Zahlungssystemen



(1) 1Der Betreiber eines Zahlungssystems darf Zahlungsdienstleister, Zahlungsdienstnutzer und gleichartige Zahlungssysteme weder unmittelbar noch mittelbar

1.
bei dem Zugang zum Zahlungssystem durch restriktive Bedingungen oder mit sonstigen unverhältnismäßigen Mitteln behindern;

2.
in Bezug auf ihre Rechte und Pflichten als Teilnehmer des Zahlungssystems ohne sachlich gerechtfertigten Grund unterschiedlich behandeln;

3.
im Hinblick auf den institutionellen Status des Zahlungsdienstleisters beschränken.

2Der Betreiber eines Zahlungssystems darf objektive Bedingungen für eine Teilnahme an einem Zahlungssystem festlegen, soweit diese für einen wirksamen Schutz der finanziellen und operativen Stabilität des Zahlungssystems und zur Verhinderung der mit der Teilnahme an einem Zahlungssystem verbundenen Risiken erforderlich sind. 3Zu diesen Risiken gehören insbesondere das operationelle Risiko, das Erfüllungsrisiko und das unternehmerische Risiko. 4Jeder Zahlungsdienstleister und jedes andere Zahlungssystem hat vor dem Beitritt und während seiner Teilnahme an einem Zahlungssystem gegenüber dem Betreiber und den anderen Teilnehmern des Zahlungssystems auf Anforderung darzulegen, dass seine eigenen Vorkehrungen die objektiven Bedingungen im Sinne des Satzes 2 erfüllen. 5Der Betreiber hat bei Ablehnung eines Antrags auf Zugang zu dem System oder Ausschluss eines Teilnehmers mit der Bekanntgabe der Maßnahme die Gründe abschließend darzulegen.

(2) 1Wer als Betreiber eines Zahlungssystems gegen die Vorschriften des Absatzes 1 verstößt, ist dem Betroffenen zur Beseitigung und bei Wiederholungsgefahr zur Unterlassung verpflichtet. 2Wer den Verstoß vorsätzlich oder fahrlässig begeht, ist dem Betroffenen zum Ersatz des daraus entstehenden Schadens verpflichtet; für diese Ansprüche ist der ordentliche Rechtsweg gegeben.

(3) 1Die Absätze 1 und 2 gelten nicht für die in § 1 Absatz 16 des Kreditwesengesetzes bezeichneten Systeme sowie für die Zahlungssysteme, die ausschließlich aus einer einzigen Unternehmensgruppe angehörenden Zahlungsdienstleistern bestehen. 2Gewährt ein Teilnehmer eines in § 1 Absatz 16 des Kreditwesengesetzes bezeichneten Systems einem zugelassenen oder registrierten Zahlungsdienstleister, der kein Teilnehmer des Systems ist, das Recht, über ihn Überweisungsaufträge über das System zu erteilen, hat er auch anderen zugelassenen oder registrierten Zahlungsdienstleistern auf Antrag die gleiche Möglichkeit in objektiver, verhältnismäßiger und nichtdiskriminierender Weise einzuräumen; die Bestimmungen des Absatzes 1 Satz 4 und Absatz 2 gelten für diese Teilnehmer insoweit entsprechend.

(4) Die Aufgaben und Zuständigkeiten der Kartellbehörden nach dem Gesetz gegen Wettbewerbsbeschränkungen bleiben unberührt.


§ 58 Aufgaben der Bundesanstalt bei Kartenzahlverfahren, Ausnahmen für neue Zahlverfahren im Massenzahlungsverkehr; Verordnungsermächtigung



(1) Die Bundesanstalt überwacht die Einhaltung der Pflichten der Betreiber von Kartenzahlverfahren nach der Verordnung (EU) 2015/751; sie kann gegenüber den Betreibern von Kartenzahlverfahren Anordnungen treffen, die geeignet und erforderlich sind, um Verstöße gegen die Pflichten nach dieser Verordnung zu verhindern oder zu unterbinden.

(2) Die Bundesanstalt ist zuständige Behörde nach Artikel 4 Absatz 4 der Verordnung (EU) Nr. 260/2012, an die die Anträge nach Artikel 4 Absatz 4 dieser Verordnung zu stellen sind, wenn der Antragsteller seinen Sitz im Inland hat.

(3) 1Das Bundesministerium der Finanzen wird ermächtigt, durch Rechtsverordnung, die nicht der Zustimmung des Bundesrates bedarf, im Benehmen mit der Deutschen Bundesbank nähere Bestimmungen über Inhalt, Art und Umfang der Angaben, Nachweise und Unterlagen zu treffen, die ein Antrag nach Artikel 4 Absatz 4 der Verordnung (EU) Nr. 260/2012 enthalten muss. 2Das Bundesministerium der Finanzen kann die Ermächtigung im Einvernehmen mit der Deutschen Bundesbank durch Rechtsverordnung auf die Bundesanstalt übertragen. 3Vor Erlass der Rechtsverordnung sind die Spitzenverbände der Zahlungsdienstleister anzuhören.