§ 34 ZAG
§ 34 Registrierungspflicht; Verordnungsermächtigung
(1) 1Wer im Inland gewerbsmäßig oder in einem Umfang, der einen in kaufmännischer Weise eingerichteten Geschäftsbetrieb erfordert, als Zahlungsdienst ausschließlich Kontoinformationsdienste erbringen will, bedarf nur der schriftlichen Registrierung durch die Bundesanstalt. 2Der Registrierungsantrag muss folgende Angaben und Nachweise enthalten:
1.
eine Beschreibung des Geschäftsmodells, aus dem insbesondere die Art des beabsichtigten Kontoinformationsdienstes hervorgeht;
2.
einen Geschäftsplan mit einer Budgetplanung für die ersten drei Geschäftsjahre, aus dem hervorgeht, dass der Kontoinformationsdienstleister über geeignete und angemessene Systeme, Mittel und Verfahren verfügt, um seine Tätigkeit ordnungsgemäß auszuführen;
3.
eine Beschreibung der Unternehmenssteuerung und der internen Kontrollmechanismen des Kontoinformationsdienstes einschließlich der Verwaltungs-, Risikomanagement- und Rechnungslegungsverfahren, aus der hervorgeht, dass diese Unternehmenssteuerung, Kontrollmechanismen und Verfahren verhältnismäßig, angemessen, zuverlässig und ausreichend sind;
4.
eine Beschreibung der vorhandenen Verfahren für Überwachung, Handhabung und Folgemaßnahmen bei Sicherheitsvorfällen und sicherheitsbezogenen Kundenbeschwerden, einschließlich eines Mechanismus für die Meldung von Vorfällen, der die Meldepflichten des Kontoinformationsdienstleisters nach § 54 berücksichtigt;
5.
eine Beschreibung der vorhandenen Verfahren für die Erfassung, Überwachung, Rückverfolgung sowie Beschränkung des Zugangs zu sensiblen Zahlungsdaten;
6.
eine Beschreibung der Regelungen zur Geschäftsfortführung im Krisenfall, einschließlich klarer Angabe der maßgeblichen Abläufe, der wirksamen Notfallpläne und eines Verfahrens für die regelmäßige Überprüfung der Angemessenheit und Wirksamkeit solcher Pläne;
7.
eine Beschreibung der Sicherheitsstrategie, einschließlich einer detaillierten Risikobewertung des erbrachten Kontoinformationsdienstes und eine Beschreibung von Sicherheitskontroll- und Risikominderungsmaßnahmen zur Gewährleistung eines angemessenen Schutzes der Zahlungsdienstnutzer vor den festgestellten Risiken, einschließlich Betrug und illegaler Verwendung sensibler und personenbezogener Daten;
8.
eine Darstellung des organisatorischen Aufbaus des Kontoinformationsdienstes, gegebenenfalls einschließlich einer Beschreibung der geplanten Errichtung von Zweigniederlassungen und von deren Überprüfungen vor Ort oder von außerhalb ihres Standorts erfolgenden Überprüfungen, zu deren mindestens jährlicher Durchführung der Kontoinformationsdienstleister sich verpflichtet, sowie einer Darstellung der Auslagerungsvereinbarungen und eine Beschreibung der Art und Weise seiner Teilnahme an einem nationalen oder internationalen Zahlungssystem;
9.
die Namen der Geschäftsleiter, der für die Geschäftsführung des Kontoinformationsdienstleisters verantwortlichen Personen und soweit es sich um Unternehmen handelt, die neben der Erbringung des Kontoinformationsdienstes anderen Geschäftsaktivitäten nachgehen, der für die Führung der Zahlungsdienstgeschäfte des Kontoinformationsdienstleisters verantwortlichen Personen;
10.
die Rechtsform und die Satzung oder den Gesellschaftsvertrag des Kontoinformationsdienstes;
11.
die Anschrift der Hauptverwaltung oder des Sitzes des Kontoinformationsdienstes;
12.
eine Darstellung der Absicherung für den Haftungsfall nach § 36 einschließlich einer Erläuterung des Risikoprofils des Kontoinformationsdienstes, des etwaigen Erbringens anderer Zahlungsdienste als dem Kontoinformationsdienst oder des Nachgehens anderer Geschäftstätigkeiten als den Zahlungsdienstgeschäften, der Zahl der Kunden, die den Kontoinformationsdienst nutzen, sowie der besonderen Merkmale der Berufshaftpflichtversicherung oder der anderen gleichwertigen Garantie.
3Mit den Unterlagen nach Satz 2 Nummer 3, 4 und 8 hat der Kontoinformationsdienstleister eine Beschreibung seiner Prüfmodalitäten und seiner organisatorischen Vorkehrungen für das Ergreifen aller angemessenen Maßnahmen zum Schutze der Interessen seiner Kunden und zur Gewährleistung der Kontinuität und Verlässlichkeit des von ihm erbrachten Kontoinformationsdienstes vorzulegen. 4In der Beschreibung der Sicherheitsstrategie gemäß Satz 2 Nummer 7 ist anzugeben, auf welche Weise durch diese Maßnahmen ein hohes Maß an technischer Sicherheit und Datenschutz gewährleistet wird; das gilt auch für Software und IT-Systeme, die der Kontoinformationsdienstleister oder die Unternehmen verwenden, an die der Kontoinformationsdienstleister alle oder einen Teil seiner Tätigkeiten auslagert. 5Der Antrag muss den Nachweis enthalten, dass die unter Satz 2 Nummer 9 genannten Personen zuverlässig sind und über angemessene theoretische und praktische Kenntnisse und Erfahrungen zur Erbringung des Kontoinformationsdienstes verfügen. 6Der Kontoinformationsdienstleister hat mindestens zwei Geschäftsleiter zu bestellen; bei Unternehmen mit geringer Größe genügt ein Geschäftsleiter. 7Die Bundesanstalt kann im Einzelfall zu den Angaben nach den Sätzen 2 bis 6 nähere Angaben und Nachweise verlangen, soweit dies erforderlich erscheint, um ihren gesetzlichen Auftrag zu erfüllen.
(2) Die Bundesanstalt teilt dem Antragsteller binnen drei Monaten nach Eingang des Antrags oder bei Unvollständigkeit des Antrags binnen drei Monaten nach Übermittlung aller für die Entscheidung erforderlichen Angaben mit, ob die Registrierung erteilt oder versagt wird.
(3) Die Bundesanstalt kann die Registrierung unter Auflagen erteilen, die sich im Rahmen des mit diesem Gesetz verfolgten Zwecks halten müssen.
(4) Über die Erbringung des Kontoinformationsdienstes hinaus sind von der Registrierung nur die Erbringung betrieblicher und eng verbundener Nebendienstleistungen erfasst; Nebendienstleistungen sind die Dienstleistungen für die Sicherstellung des Datenschutzes sowie die Datenspeicherung und -verarbeitung.
(5) Der Kontoinformationsdienstleister hat der Bundesanstalt unverzüglich jede materiell und strukturell wesentliche Änderung der tatsächlichen oder rechtlichen Verhältnisse mitzuteilen, soweit sie die Richtigkeit der nach Absatz 1 vorgelegten Angaben und Nachweise betreffen.
(5a) Die Bundesanstalt hat die Registrierung im Bundesanzeiger bekannt zu machen.
(6) Soweit für das Erbringen von Kontoinformationsdiensten eine Registrierung nach Absatz 1 erforderlich ist, dürfen Eintragungen in öffentliche Register nur vorgenommen werden, wenn dem Registergericht die Registrierung nachgewiesen ist.
(7) 1Das Bundesministerium der Finanzen wird ermächtigt, durch Rechtsverordnung, die nicht der Zustimmung des Bundesrates bedarf, im Benehmen mit der Deutschen Bundesbank nähere Bestimmungen über Art, Umfang, und Form der nach dieser Vorschrift vorgesehenen Antragsunterlagen zu erlassen. 2Das Bundesministerium der Finanzen kann die Ermächtigung im Einvernehmen mit der Deutschen Bundesbank durch Rechtsverordnung auf die Bundesanstalt übertragen. 3Vor Erlass der Rechtsverordnung sind die Spitzenverbände der Institute anzuhören. 4Das Bundesamt für Sicherheit in der Informationstechnik ist anzuhören, soweit die Sicherheit informationstechnischer Systeme betroffen ist.