§ 34 Absatz 1 ZAG
(1) 1Wer im Inland gewerbsmäßig oder in einem Umfang, der einen in kaufmännischer Weise eingerichteten Geschäftsbetrieb erfordert, als Zahlungsdienst ausschließlich Kontoinformationsdienste erbringen will, bedarf nur der schriftlichen Registrierung durch die Bundesanstalt. 2Der Registrierungsantrag muss folgende Angaben und Nachweise enthalten:
1.
eine Beschreibung des Geschäftsmodells, aus dem insbesondere die Art des beabsichtigten Kontoinformationsdienstes hervorgeht;
2.
einen Geschäftsplan mit einer Budgetplanung für die ersten drei Geschäftsjahre, aus dem hervorgeht, dass der Kontoinformationsdienstleister über geeignete und angemessene Systeme, Mittel und Verfahren verfügt, um seine Tätigkeit ordnungsgemäß auszuführen;
3.
eine Beschreibung der Unternehmenssteuerung und der internen Kontrollmechanismen des Kontoinformationsdienstes einschließlich der Verwaltungs-, Risikomanagement- und Rechnungslegungsverfahren, aus der hervorgeht, dass diese Unternehmenssteuerung, Kontrollmechanismen und Verfahren verhältnismäßig, angemessen, zuverlässig und ausreichend sind;
4.
eine Beschreibung der vorhandenen Verfahren für Überwachung, Handhabung und Folgemaßnahmen bei Sicherheitsvorfällen und sicherheitsbezogenen Kundenbeschwerden, einschließlich eines Mechanismus für die Meldung von Vorfällen, der die Meldepflichten des Kontoinformationsdienstleisters nach § 54 berücksichtigt;
5.
eine Beschreibung der vorhandenen Verfahren für die Erfassung, Überwachung, Rückverfolgung sowie Beschränkung des Zugangs zu sensiblen Zahlungsdaten;
6.
eine Beschreibung der Regelungen zur Geschäftsfortführung im Krisenfall, einschließlich klarer Angabe der maßgeblichen Abläufe, der wirksamen Notfallpläne und eines Verfahrens für die regelmäßige Überprüfung der Angemessenheit und Wirksamkeit solcher Pläne;
7.
eine Beschreibung der Sicherheitsstrategie, einschließlich einer detaillierten Risikobewertung des erbrachten Kontoinformationsdienstes und eine Beschreibung von Sicherheitskontroll- und Risikominderungsmaßnahmen zur Gewährleistung eines angemessenen Schutzes der Zahlungsdienstnutzer vor den festgestellten Risiken, einschließlich Betrug und illegaler Verwendung sensibler und personenbezogener Daten;
8.
eine Darstellung des organisatorischen Aufbaus des Kontoinformationsdienstes, gegebenenfalls einschließlich einer Beschreibung der geplanten Errichtung von Zweigniederlassungen und von deren Überprüfungen vor Ort oder von außerhalb ihres Standorts erfolgenden Überprüfungen, zu deren mindestens jährlicher Durchführung der Kontoinformationsdienstleister sich verpflichtet, sowie einer Darstellung der Auslagerungsvereinbarungen und eine Beschreibung der Art und Weise seiner Teilnahme an einem nationalen oder internationalen Zahlungssystem;
9.
die Namen der Geschäftsleiter, der für die Geschäftsführung des Kontoinformationsdienstleisters verantwortlichen Personen und soweit es sich um Unternehmen handelt, die neben der Erbringung des Kontoinformationsdienstes anderen Geschäftsaktivitäten nachgehen, der für die Führung der Zahlungsdienstgeschäfte des Kontoinformationsdienstleisters verantwortlichen Personen;
10.
die Rechtsform und die Satzung oder den Gesellschaftsvertrag des Kontoinformationsdienstes;
11.
die Anschrift der Hauptverwaltung oder des Sitzes des Kontoinformationsdienstes;
12.
eine Darstellung der Absicherung für den Haftungsfall nach § 36 einschließlich einer Erläuterung des Risikoprofils des Kontoinformationsdienstes, des etwaigen Erbringens anderer Zahlungsdienste als dem Kontoinformationsdienst oder des Nachgehens anderer Geschäftstätigkeiten als den Zahlungsdienstgeschäften, der Zahl der Kunden, die den Kontoinformationsdienst nutzen, sowie der besonderen Merkmale der Berufshaftpflichtversicherung oder der anderen gleichwertigen Garantie.
3Mit den Unterlagen nach Satz 2 Nummer 3, 4 und 8 hat der Kontoinformationsdienstleister eine Beschreibung seiner Prüfmodalitäten und seiner organisatorischen Vorkehrungen für das Ergreifen aller angemessenen Maßnahmen zum Schutze der Interessen seiner Kunden und zur Gewährleistung der Kontinuität und Verlässlichkeit des von ihm erbrachten Kontoinformationsdienstes vorzulegen. 4In der Beschreibung der Sicherheitsstrategie gemäß Satz 2 Nummer 7 ist anzugeben, auf welche Weise durch diese Maßnahmen ein hohes Maß an technischer Sicherheit und Datenschutz gewährleistet wird; das gilt auch für Software und IT-Systeme, die der Kontoinformationsdienstleister oder die Unternehmen verwenden, an die der Kontoinformationsdienstleister alle oder einen Teil seiner Tätigkeiten auslagert. 5Der Antrag muss den Nachweis enthalten, dass die unter Satz 2 Nummer 9 genannten Personen zuverlässig sind und über angemessene theoretische und praktische Kenntnisse und Erfahrungen zur Erbringung des Kontoinformationsdienstes verfügen. 6Der Kontoinformationsdienstleister hat mindestens zwei Geschäftsleiter zu bestellen; bei Unternehmen mit geringer Größe genügt ein Geschäftsleiter. 7Die Bundesanstalt kann im Einzelfall zu den Angaben nach den Sätzen 2 bis 6 nähere Angaben und Nachweise verlangen, soweit dies erforderlich erscheint, um ihren gesetzlichen Auftrag zu erfüllen.