§ 16 ZAG
§ 16 Absicherung für den Haftungsfall für Zahlungsauslösedienste; Verordnungsermächtigung
(1) 1Ein Institut, das Zahlungsauslösedienste erbringt, hat eine Berufshaftpflichtversicherung oder eine andere gleichwertige Garantie abzuschließen und während der Gültigkeitsdauer seiner Erlaubnis aufrechtzuerhalten. 2Die Berufshaftpflichtversicherung oder die andere gleichwertige Garantie hat sich auf die Gebiete, in denen der Zahlungsauslösedienstleister seine Dienste anbietet, zu erstrecken und muss die sich für den Zahlungsauslösedienstleister ergebende Haftung aus den Vorschriften des Bürgerlichen Gesetzbuchs abdecken. 3§ 17 Absatz 3 gilt entsprechend.
(2) 1Die Berufshaftpflichtversicherung muss bei einem im Inland zum Geschäftsbetrieb befugten Versicherungsunternehmen genommen werden. 2In der Vereinbarung ist das Versicherungsunternehmen zu verpflichten, der Bundesanstalt die Beendigung oder Kündigung der Berufshaftpflichtversicherung, gegebenenfalls erst nach Ablauf der Frist des § 38 Absatz 3 Satz 3 des Versicherungsvertragsgesetzes, sowie jede Vertragsänderung, die die vorgeschriebene Absicherung für den Haftungsfall im Verhältnis zu Dritten beeinträchtigt, unverzüglich mitzuteilen.
(3) 1In den Fällen des § 115 Absatz 1 Satz 1 Nummer 2 und 3 des Versicherungsvertragsgesetzes erteilt die Bundesanstalt Dritten zur Geltendmachung von Haftungsansprüchen auf Antrag Auskunft über den Namen und die Adresse des Versicherungsunternehmens sowie die Vertragsnummer, soweit das Unternehmen, das den Zahlungsauslösedienst erbringt, kein überwiegendes schutzwürdiges Interesse an der Nichterteilung der Auskunft hat. 2Dies gilt auch, wenn die Erlaubnis als Zahlungsauslösedienstleister erloschen oder aufgehoben ist.
(4) Zuständige Stelle im Sinne des § 117 Absatz 2 des Versicherungsvertragsgesetzes ist die Bundesanstalt.
(5) 1Das Bundesministerium der Finanzen wird ermächtigt, durch Rechtsverordnung, die nicht der Zustimmung des Bundesrates bedarf, nähere Bestimmungen zu Umfang und Inhalt der erforderlichen Absicherung im Haftungsfall zu treffen. 2Das Bundesministerium der Finanzen kann die Ermächtigung durch Rechtsverordnung auf die Bundesanstalt übertragen. 3Vor Erlass der Rechtsverordnung sind die Spitzenverbände der Institute und der Versicherungsunternehmen anzuhören.
Fußnote
(+++ § 16: Zur Nichtanwendung vgl. § 2 Abs. 6 +++)
§ 17 ZAG
§ 17 Sicherungsanforderungen für die Entgegennahme von Geldbeträgen im Rahmen der Erbringung von Zahlungsdiensten und des Betreibens des E-Geld-Geschäfts
(1) 1Institute, die die Zahlungsdienste gemäß § 1 Absatz 1 Satz 2 Nummer 1 bis 6 erbringen oder das E-Geld-Geschäft betreiben, haben die Geldbeträge, die sie von den Zahlungsdienstnutzern oder über einen anderen Zahlungsdienstleister für die Ausführung von Zahlungsvorgängen oder die Ausgabe von E-Geld entgegengenommen haben, nach den Methoden 1 oder 2 zu sichern. 2Die Geldbeträge
1.
a)
dürfen zu keinem Zeitpunkt mit den Geldbeträgen anderer natürlicher oder juristischer Personen als der Zahlungsdienstnutzer oder E-Geld-Inhaber, für die sie gehalten werden, vermischt werden,
b)
sind, wenn sie sich am Ende des auf den Tag ihres Eingangs folgenden Geschäftstags noch im Besitz des Instituts befinden und noch nicht dem Zahlungsempfänger übergeben oder an einen anderen Zahlungsdienstleister übermittelt worden sind, auf einem offenen Treuhandkonto bei einem Kreditinstitut zu hinterlegen oder in sichere liquide Aktiva mit niedrigem Risiko nach Abstimmung mit der Bundesanstalt anzulegen; die Bundesanstalt kann insoweit nach pflichtgemäßem Ermessen im Einzelfall nach § 1 Absatz 31 grundsätzlich erfasste Aktiva ausschließen, wenn die kategorische Einordnung als sichere liquide Aktiva mit niedrigem Risiko mit Rücksicht auf die objektive Werthaltigkeit der Sicherheit, insbesondere Fälligkeit und anderer relevanter Risikofaktoren sachlich nicht gerechtfertigt erscheint,
c)
sind so von den übrigen Vermögenswerten des Instituts zu trennen, dass sie im Insolvenzfall nicht in die Insolvenzmasse des Instituts fallen und dessen Gläubiger auf sie auch nicht im Wege der Einzelzwangsvollstreckung Zugriff haben, oder
2.
sind durch eine Versicherung oder eine andere vergleichbare Garantie bei einem Versicherungsunternehmen oder Kreditinstitut, das im Geltungsbereich dieses Gesetzes zum Geschäftsbetrieb befugt ist und nicht zur selben Gruppe gehört wie das Institut selbst, in Höhe eines Betrags abzusichern, der demjenigen entspricht, der ohne die Versicherung oder die andere vergleichbare Garantie getrennt gehalten werden müsste und der im Falle der Zahlungsunfähigkeit des Zahlungsinstituts auszuzahlen ist.
3Die Bundesanstalt kann dem Institut nach pflichtgemäßem Ermessen eine der beiden in Satz 2 beschriebenen Methoden vorgeben.
(2) 1Muss ein Institut Geldbeträge nach Absatz 1 absichern und ist ein Teil dieser Geldbeträge für zukünftige Zahlungsvorgänge zu verwenden, während der verbleibende Teil für Dienste, die keine Zahlungsdienste sind, verwendet werden muss, gilt Absatz 1 auch für den Anteil der Geldbeträge, der für zukünftige Zahlungsvorgänge zu verwenden ist. 2Ist dieser Anteil variabel oder nicht im Voraus bekannt, ist Satz 1 mit der Maßgabe anzuwenden, dass ein repräsentativer Anteil zugrunde gelegt wird, der typischerweise für Zahlungsdienste verwendet wird, sofern sich dieser repräsentative Anteil auf der Grundlage historischer Daten nach Überzeugung der Bundesanstalt mit hinreichender Sicherheit schätzen lässt.
(3) 1Das Institut hat der Bundesanstalt während des laufenden Geschäftsbetriebs auf Anforderung darzulegen und nachzuweisen, dass es ausreichende Maßnahmen ergriffen hat, um die in den Absätzen 1 und 2 genannten Anforderungen zu erfüllen. 2Wird der Nachweis nicht erbracht oder sind die Maßnahmen nicht ausreichend, kann die Bundesanstalt das Institut auffordern, die erforderlichen Nachweise vorzulegen oder Vorkehrungen zu treffen, die geeignet und erforderlich sind, die bestehenden Mängel zu beseitigen; die Bundesanstalt kann dafür eine angemessene Frist bestimmen. 3Werden die Nachweise oder Vorkehrungen nicht oder nicht fristgerecht vorgelegt oder getroffen, kann die Bundesanstalt Maßnahmen nach § 21 Absatz 2 treffen.
Fußnote
(+++ § 17: Zur Nichtanwendung vgl. § 2 Abs. 6 +++)
§ 18 ZAG
§ 18 Sicherungsanforderungen für die Entgegennahme von Geldbeträgen für die Ausgabe von E-Geld
1Sofern Geldbeträge zum Zweck der Ausgabe von E-Geld durch Zahlung mittels eines Zahlungsinstruments entgegengenommen werden, sind diese Geldbeträge, sobald sie dem Zahlungskonto des E-Geld-Instituts gutgeschrieben oder dem E-Geld-Institut nach Maßgabe des § 675s des Bürgerlichen Gesetzbuchs zur Verfügung gestellt worden sind, spätestens jedoch fünf Geschäftstage im Sinne des § 675n Absatz 1 Satz 4 des Bürgerlichen Gesetzbuchs nach Ausgabe des E-Geldes zu sichern; die Vorgaben des § 17 gelten entsprechend.
Fußnote
(+++ § 18: Zur Nichtanwendung vgl. § 2 Abs. 6 +++)
§ 25 ZAG
§ 25 Inanspruchnahme von Agenten; Verordnungsermächtigung
(1) 1Beabsichtigt ein Institut, Zahlungsdienste über einen Agenten zu erbringen, hat es der Bundesanstalt und der Deutschen Bundesbank folgende Angaben zu übermitteln:
1.
Name und Anschrift des Agenten;
2.
eine Beschreibung der internen Kontrollmechanismen, die der Agent anwendet, um die Anforderungen des Geldwäschegesetzes zu erfüllen; diese ist bei sachlichen Änderungen der zuvor übermittelten Angaben unverzüglich zu aktualisieren;
3.
die Namen der Geschäftsleiter und der für die Geschäftsleitung verantwortlichen Personen eines Agenten, der zur Erbringung von Zahlungsdiensten eingesetzt werden soll, und im Falle von Agenten, die keine Zahlungsdienstleister sind, den Nachweis, dass sie zuverlässig und fachlich geeignet sind;
4.
die Zahlungsdienste des Zahlungsinstituts, mit denen der Agent beauftragt ist;
5.
gegebenenfalls den Identifikationscode oder die Kennnummer des Agenten.
2Die Bundesanstalt teilt dem Institut binnen zwei Monaten nach vollständiger Übermittlung der Angaben nach Satz 1 mit, ob der Agent in das Zahlungsinstituts-Register eingetragen wird. 3Der Agent darf erst nach Eintragung in das Zahlungsinstituts-Register mit der Erbringung von Zahlungsdiensten beginnen. 4Ändern sich Verhältnisse, die nach Satz 1 angezeigt wurden, hat das Institut diese Änderungen der Bundesanstalt und der Deutschen Bundesbank unverzüglich schriftlich anzuzeigen; die Sätze 2 und 3 gelten entsprechend.
(2) 1Das Institut hat sicherzustellen, dass der Agent zuverlässig und fachlich geeignet ist, bei der Erbringung der Zahlungsdienste die gesetzlichen Vorgaben erfüllt, den Zahlungsdienstnutzer vor oder während der Aufnahme der Geschäftsbeziehung über seinen Status informiert und diesen unverzüglich von der Beendigung dieses Status in Kenntnis setzt. 2Das Institut hat die erforderlichen Nachweise für die Erfüllung seiner Pflichten nach Satz 1 mindestens fünf Jahre nach dem Ende des Status des Agenten aufzubewahren.
(3) 1Die Bundesanstalt kann einem Institut, das die Auswahl oder Überwachung seiner Agenten nicht ordnungsgemäß durchgeführt hat, untersagen, Agenten im Sinne der Absätze 1 und 2 in das Institut einzubinden. 2Die Untersagung kann sich auf die Ausführung von Zahlungsdiensten durch einzelne Agenten oder auf die Einbindung von Agenten insgesamt beziehen.
(4) Beabsichtigt ein Institut durch Beauftragung eines Agenten in einem anderen Mitgliedstaat oder einem anderen Vertragsstaat des Abkommens über den Europäischen Wirtschaftsraum Zahlungsdienste zu erbringen, so muss es das Verfahren nach § 38 Absatz 1 befolgen.
(5) 1Das Bundesministerium der Finanzen wird ermächtigt, durch Rechtsverordnung, die nicht der Zustimmung des Bundesrates bedarf, im Benehmen mit der Deutschen Bundesbank nähere Bestimmungen über Art, Umfang und Form der Nachweise nach Absatz 2 Satz 2 zu erlassen, soweit dies zur Erfüllung der Aufgaben der Bundesanstalt erforderlich ist. 2Das Bundesministerium der Finanzen kann die Ermächtigung im Einvernehmen mit der Deutschen Bundesbank durch Rechtsverordnung auf die Bundesanstalt übertragen. 3Vor Erlass der Rechtsverordnung sind die Spitzenverbände der Institute anzuhören.
Fußnote
(+++ § 25: Zur Nichtanwendung vgl. § 2 Abs. 6 +++)
§ 26 ZAG
§ 26 Auslagerung
(1) 1Ein Institut muss abhängig von Art, Umfang, Komplexität und Risikogehalt einer Auslagerung von Aktivitäten und Prozessen auf ein anderes Unternehmen, die für die Durchführung von Zahlungsdiensten, E-Geld-Geschäften oder sonstigen nach diesem Gesetz institutstypischen Dienstleistungen wesentlich sind, einschließlich IT-Systeme, angemessene Vorkehrungen treffen, um übermäßige zusätzliche Risiken zu vermeiden. 2Eine Auslagerung darf weder die Ordnungsmäßigkeit dieser Geschäfte und Dienstleistungen noch die Geschäftsorganisation beeinträchtigen. 3Insbesondere muss ein angemessenes und wirksames Risikomanagement durch das Institut gewährleistet bleiben, das die ausgelagerten Aktivitäten und Prozesse einbezieht, und die Auslagerung darf nicht zu einer Delegation der Verantwortung der Geschäftsleiter oder anderen in § 10 Absatz 2 Nummer 14 und in § 11 Absatz 2 Satz 2 Nummer 5 bezeichneten Personen an das Auslagerungsunternehmen führen. 4Das Institut bleibt für die Einhaltung der von ihm zu beachtenden gesetzlichen Bestimmungen verantwortlich. 5Durch die Auslagerung darf die Bundesanstalt an der Wahrnehmung ihrer Aufgaben nicht gehindert werden; ihre Auskunfts- und Prüfungsrechte sowie Kontrollmöglichkeiten müssen in Bezug auf die ausgelagerten Aktivitäten und Prozesse auch bei einer Auslagerung auf ein Unternehmen mit Sitz im Ausland durch geeignete Vorkehrungen gewährleistet werden; Entsprechendes gilt für die Wahrnehmung der Aufgaben der Prüfer des Instituts. 6Eine Auslagerung bedarf einer schriftlichen Vereinbarung, welche die zur Einhaltung der vorstehenden Voraussetzungen erforderlichen Rechte des Instituts, einschließlich Weisungs- und Kündigungsrechten, sowie die korrespondierenden Pflichten des Auslagerungsunternehmens festschreibt.
(2) 1Beabsichtigt ein Institut, wesentliche betriebliche Aufgaben von Zahlungsdiensten oder des E-Geld-Geschäfts auszulagern, hat es die Bundesanstalt und die Deutsche Bundesbank hiervon in Kenntnis zu setzen. 2Eine betriebliche Aufgabe ist dann wesentlich, wenn deren unzureichende oder unterlassene Wahrnehmung die dauerhafte Einhaltung der Zulassungsanforderungen oder der anderen Verpflichtungen des Instituts nach diesem Gesetz, seine finanzielle Leistungsfähigkeit oder die Solidität oder die Kontinuität seiner Zahlungsdienste oder des E-Geld-Geschäfts wesentlich beeinträchtigen würde.
(3) 1Rechtfertigen Tatsachen die Annahme, dass eine Auslagerung die Prüfungsrechte und Kontrollmöglichkeiten der Bundesanstalt beeinträchtigt, kann die Bundesanstalt gegenüber dem Institut die Anordnungen treffen, die geeignet und erforderlich sind, die Beeinträchtigungen zu beseitigen und künftigen Beeinträchtigungen vorzubeugen. 2Erweisen sich die Maßnahmen nicht als hinreichend, um die Prüfungsrechte und Kontrollmöglichkeiten der Bundesanstalt zu gewährleisten, kann die Bundesanstalt die Rücklagerung der ausgelagerten Tätigkeiten anordnen. 3Die Befugnisse der Bundesanstalt nach § 27 Absatz 3 bleiben unberührt.
(4) Ändert sich die Inanspruchnahme von Stellen, an die Tätigkeiten ausgelagert werden, hat das Institut der Bundesanstalt und der Deutschen Bundesbank diese Änderungen unverzüglich schriftlich anzuzeigen.
§ 27 ZAG
§ 27 Organisationspflichten
(1) 1Ein Institut muss über eine ordnungsgemäße Geschäftsorganisation verfügen; die Geschäftsleiter sind für die ordnungsgemäße Geschäftsorganisation des Instituts verantwortlich. 2Eine ordnungsgemäße Geschäftsorganisation umfasst insbesondere:
1.
angemessene Maßnahmen der Unternehmenssteuerung, Kontrollmechanismen und Verfahren, die gewährleisten, dass das Institut seine Verpflichtungen erfüllt;
2.
das Führen und Pflegen einer Verlustdatenbank sowie eine vollständige Dokumentation der Geschäftstätigkeit, die eine lückenlose Überwachung durch die Bundesanstalt für ihren Zuständigkeitsbereich gewährleistet;
3.
ein angemessenes Notfallkonzept für IT-Systeme;
4.
interne Verfahren und Kontrollsysteme, die die Einhaltung der Verordnung (EG) Nr. 924/2009, der Verordnung (EU) Nr. 260/2012 und der Verordnung (EU) 2015/751 des Europäischen Parlaments und des Rates vom 29. April 2015 über Interbankenentgelte für kartengebundene Zahlungsvorgänge (ABl. L 123 vom 19.5.2015, S. 1) gewährleisten;
5.
unbeschadet der Pflichten der §§ 4 bis 7 des Geldwäschegesetzes angemessene Maßnahmen, einschließlich Datenverarbeitungssysteme, die die Einhaltung der Anforderungen des Geldwäschegesetzes und der Verordnung (EU) 2015/847 gewährleisten; soweit dies zur Erfüllung dieser Pflicht erforderlich ist, darf das Institut personenbezogene Daten verarbeiten.
(2) 1Die §§ 6a, 24c, 25i, 25m und 60b des Kreditwesengesetzes sowie § 93 Absatz 7 und 8 in Verbindung mit § 93b der Abgabenordnung gelten für Institute im Sinne dieses Gesetzes entsprechend. 2§ 24c des Kreditwesengesetzes gilt mit der Maßgabe, dass die Bundesanstalt einzelne Daten aus dem Dateisystem nach § 24c Absatz 1 Satz 1 des Kreditwesengesetzes abrufen darf, soweit dies zur Erfüllung ihrer aufsichtsrechtlichen Aufgaben nach diesem Gesetz und dem Geldwäschegesetz, insbesondere im Hinblick auf unerlaubte Zahlungsdienste und unerlaubte E-Geld-Geschäfte erforderlich ist und besondere Eilbedürftigkeit im Einzelfall vorliegt.
(3) 1Die Bundesanstalt kann gegenüber einem Institut im Einzelfall Anordnungen treffen, die geeignet und erforderlich sind, um die Anforderungen an eine ordnungsgemäße Geschäftsorganisation im Sinne des Absatzes 1 zu erfüllen. 2Die Bundesanstalt kann Kriterien bestimmen, bei deren Vorliegen Institute vom Einsatz von Datenverarbeitungssystemen nach Absatz 1 Satz 2 Nummer 5 absehen können.
(4) 1Die Bundesanstalt überwacht die Einhaltung der in der Verordnung (EU) 2015/847, in der Verordnung (EG) Nr. 924/2009, in der Verordnung (EU) Nr. 260/2012 und in der Verordnung (EU) 2015/751 enthaltenden Pflichten durch die Institute. 2Sie kann gegenüber einem Institut und seinen Geschäftsleitern Anordnungen treffen, die geeignet und erforderlich sind, um Verstöße gegen die Pflichten nach den Verordnungen nach Satz 1 zu verhindern oder zu unterbinden.
Fußnote
§ 28 ZAG
§ 28 Anzeigen; Verordnungsermächtigung
(1) Ein Institut hat der Bundesanstalt und der Deutschen Bundesbank unverzüglich anzuzeigen:
1.
die Absicht der Bestellung eines Geschäftsleiters und der Ermächtigung einer Person zur Einzelvertretung des Instituts in dessen gesamten Geschäftsbereich unter Angabe der Tatsachen, die für die Beurteilung der Zuverlässigkeit und der fachlichen Eignung, einschließlich der Leitungserfahrung, wesentlich sind, und den Vollzug einer solchen Absicht;
2.
das Ausscheiden eines Geschäftsleiters sowie die Entziehung der Befugnis zur Einzelvertretung des Instituts in dessen gesamten Geschäftsbereich;
3.
die Änderung der Rechtsform, soweit nicht bereits eine neue Erlaubnis nach § 10 Absatz 1 oder § 11 Absatz 1 oder neue Registrierung nach § 34 Absatz 1 erforderlich ist, und die Änderung der Firma;
4.
den Erwerb oder die Aufgabe einer bedeutenden Beteiligung an dem eigenen Institut, das Erreichen, das Über- oder das Unterschreiten der Beteiligungsschwellen von 20 Prozent, 30 Prozent und 50 Prozent der Stimmrechte oder des Kapitals sowie die Tatsache, dass das Institut Tochterunternehmen eines anderen Unternehmens wird oder nicht mehr ist, sobald das Institut von der bevorstehenden Änderung dieser Beteiligungsverhältnisse Kenntnis erlangt;
5.
einen Verlust in Höhe von 25 Prozent der Eigenmittel;
6.
die Verlegung der Niederlassung oder des Sitzes;
7.
die Einstellung des Geschäftsbetriebs;
8.
das Entstehen, die Änderung oder die Beendigung einer engen Verbindung im Sinne des Artikels 4 Absatz 1 Nummer 38 der Verordnung (EU) Nr. 575/2013 zu einer anderen natürlichen Person oder einem anderen Unternehmen;
9.
die Absicht, sich mit einem anderen Institut im Sinne dieses Gesetzes oder einem Institut im Sinne des § 1 Absatz 1b des Kreditwesengesetzes zu vereinigen;
10.
die Absicht einer Auslagerung sowie den Vollzug einer Auslagerung.
(2) 1Ein Institut hat der Bundesanstalt und der Deutschen Bundesbank im Voraus jede wesentliche Änderung der zur Sicherung von Geldbeträgen nach § 17 getroffenen Maßnahmen anzuzeigen. 2Hat ein Institut eine Absicherung im Haftungsfall gemäß § 16 oder § 36 aufrechtzuerhalten, so hat es der Bundesanstalt und der Deutschen Bundesbank im Voraus jede wesentliche Änderung der Absicherung anzuzeigen.
(3) Geschäftsleiter, die für die Geschäftsleitung des Instituts verantwortlichen Personen und soweit es sich um Institute handelt, die neben der Erbringung von Zahlungsdiensten und der Ausgabe von E-Geld anderen Geschäftsaktivitäten nachgehen, die Personen, die für die Führung der Zahlungsdienstgeschäfte und des E-Geld-Geschäfts des Instituts verantwortlich sind, haben der Bundesanstalt und der Deutschen Bundesbank unverzüglich anzuzeigen:
1.
die Aufnahme und die Beendigung einer Tätigkeit als Geschäftsleiter oder als Aufsichtsrats- oder Verwaltungsratsmitglied eines anderen Unternehmens und
2.
die Übernahme und die Aufgabe einer unmittelbaren Beteiligung an einem Unternehmen sowie Veränderungen in der Höhe der Beteiligung.
(4) 1Das Bundesministerium der Finanzen wird ermächtigt, durch Rechtsverordnung, die nicht der Zustimmung des Bundesrates bedarf, im Benehmen mit der Deutschen Bundesbank nähere Bestimmungen über Art, Umfang, Zeitpunkt und Form der nach diesem Gesetz vorgesehenen Anzeigen und Vorlagen von Unterlagen und über die zulässigen Datenträger, Übertragungswege und Datenformate zu erlassen und die bestehenden Anzeigepflichten durch die Verpflichtung zur Erstattung von Sammelanzeigen und die Einreichung von Sammelaufstellungen zu ergänzen, soweit dies zur Erfüllung der Aufgaben der Bundesanstalt erforderlich ist. 2Das Bundesministerium der Finanzen kann die Ermächtigung im Einvernehmen mit der Deutschen Bundesbank durch Rechtsverordnung auf die Bundesanstalt übertragen. 3Vor Erlass der Rechtsverordnung sind die Spitzenverbände der Institute anzuhören.
Fußnote
(+++ § 28 Abs. 1 Nr. 1, 2, 6 und 7: Zur Anwendung vgl. § 39 Abs. 1 +++)
§ 29 ZAG
§ 29 Monatsausweise; Verordnungsermächtigung
(1) 1Ein Institut hat unverzüglich nach Ablauf eines jeden Monats der Deutschen Bundesbank einen Monatsausweis einzureichen. 2Die Deutsche Bundesbank leitet diese Meldungen an die Bundesanstalt mit ihrer Stellungnahme weiter; diese kann auf die Weiterleitung bestimmter Meldungen verzichten.
(2) In den Fällen des § 15 Absatz 1 Satz 3 kann die Bundesanstalt festlegen, ob und wie ein Institut unverzüglich nach Ablauf eines jeden Monats der Deutschen Bundesbank einen zusammengefassten Monatsausweis einzureichen hat.
(3) 1Das Bundesministerium der Finanzen wird ermächtigt, durch Rechtsverordnung, die nicht der Zustimmung des Bundesrates bedarf, im Benehmen mit der Deutschen Bundesbank nähere Bestimmungen über Inhalt, Art, Umfang und Zeitpunkt sowie über die zulässigen Datenträger, Übertragungswege und Datenformate der Monatsausweise zu erlassen, insbesondere um Einblick in die Entwicklung der Vermögens- und Ertragslage der Institute zu erhalten, sowie über weitere Angaben, soweit dies zur Erfüllung der Aufgaben der Bundesanstalt erforderlich ist. 2Das Bundesministerium der Finanzen kann die Ermächtigung im Einvernehmen mit der Deutschen Bundesbank durch Rechtsverordnung auf die Bundesanstalt übertragen. 3Vor Erlass der Rechtsverordnung sind die Spitzenverbände der Institute anzuhören.
§ 30 ZAG
§ 30 Aufbewahrung von Unterlagen
1Die Institute haben für aufsichtsrechtliche Zwecke alle Unterlagen unbeschadet anderer gesetzlicher Bestimmungen mindestens fünf Jahre aufzubewahren. 2§ 257 Absatz 3 und 5 des Handelsgesetzbuchs sowie § 147 Absatz 5 und 6 der Abgabenordnung gelten entsprechend. 3§ 257 Absatz 4 des Handelsgesetzbuchs bleibt unberührt.
§ 36 ZAG
§ 36 Absicherung für den Haftungsfall; Verordnungsermächtigung
(1) 1Ein Institut, das Kontoinformationsdienste erbringt, ist verpflichtet, eine Berufshaftpflichtversicherung oder eine andere gleichwertige Garantie abzuschließen und während der Gültigkeitsdauer seiner Registrierung aufrechtzuerhalten. 2Die Berufshaftpflichtversicherung oder die andere gleichwertige Garantie hat sich auf die Gebiete, in denen der Kontoinformationsdienstleister seine Dienste anbietet, zu erstrecken und muss die sich für den Kontoinformationsdienstleister ergebende Haftung gegenüber dem kontoführenden Zahlungsdienstleister und dem Zahlungsdienstnutzer für einen nicht autorisierten oder betrügerischen Zugang zu Zahlungskontoinformationen und deren nicht autorisierte oder betrügerische Nutzung abdecken.
(2) Die Berufshaftpflichtversicherung muss bei einem im Inland zum Geschäftsbetrieb befugten Versicherungsunternehmen genommen werden; § 16 Absatz 2 Satz 2 gilt entsprechend.
(4) 1Das Bundesministerium der Finanzen wird ermächtigt, durch Rechtsverordnung, die nicht der Zustimmung des Bundesrates bedarf, nähere Bestimmungen zu Umfang und Inhalt der erforderlichen Absicherung im Haftungsfall zu treffen. 2Das Bundesministerium der Finanzen kann die Ermächtigung durch Rechtsverordnung auf die Bundesanstalt übertragen. 3Vor Erlass der Rechtsverordnung sind die Spitzenverbände der Institute und der Versicherungsunternehmen anzuhören.
§ 45 ZAG
§ 45 Pflichten des kontoführenden Zahlungsdienstleisters
(1) Ein kontoführender Zahlungsdienstleister hat einem Zahlungsdienstleister, der kartengebundene Zahlungsinstrumente ausgibt (kartenausgebender Zahlungsdienstleister) auf dessen Ersuchen unverzüglich zu bestätigen, ob der für die Ausführung eines kartengebundenen Zahlungsvorgangs erforderliche Geldbetrag auf dem Zahlungskonto des Zahlers verfügbar ist, wenn
1.
das Zahlungskonto des Zahlers zum Zeitpunkt des Ersuchens online zugänglich ist,
2.
der Zahler dem kontoführenden Zahlungsdienstleister seine ausdrückliche Zustimmung erteilt hat, den Ersuchen eines bestimmten kartenausgebenden Zahlungsdienstleisters um Bestätigung der Verfügbarkeit des Geldbetrags, der einem bestimmten kartengebundenen Zahlungsvorgang entspricht, auf dem Zahlungskonto des Zahlers nachzukommen und
3.
die Zustimmung nach Nummer 2 vor Eingang des ersten Ersuchens erteilt worden ist.
(2) Die Antwort des kontoführenden Zahlungsdienstleisters auf das Ersuchen darf keine Mitteilung des Kontostandes des Zahlers enthalten und besteht ausschließlich aus "Ja" oder "Nein".
(3) Die Bestätigung nach Absatz 1 erlaubt es dem kontoführenden Zahlungsdienstleister nicht, einen Geldbetrag auf dem Zahlungskonto des Zahlers zu sperren.
§ 46 ZAG
§ 46 Rechte und Pflichten des kartenausgebenden Zahlungsdienstleisters
1Der kartenausgebende Zahlungsdienstleister darf den kontoführenden Zahlungsdienstleister um die Bestätigung nach § 45 Absatz 1 ersuchen, wenn der Zahler
1.
dem kartenausgebenden Zahlungsdienstleister vorab seine ausdrückliche Zustimmung hierzu erteilt und
2.
den kartengebundenen Zahlungsvorgang über den betreffenden Betrag unter Verwendung eines vom kartenausgebenden Zahlungsdienstleister ausgegebenen kartengebundenen Zahlungsinstruments ausgelöst hat.
2Der kartenausgebende Zahlungsdienstleister hat sich gegenüber dem kontoführenden Zahlungsdienstleister vor jedem einzelnen Ersuchen um Bestätigung zu authentifizieren und mit ihm auf sichere Weise zu kommunizieren. 3Der kartenausgebende Zahlungsdienstleister darf die Antwort nach § 45 Absatz 2 nicht speichern oder für andere Zwecke als für die Ausführung des kartengebundenen Zahlungsvorgangs verwenden. 4Näheres regelt der delegierte Rechtsakt nach Artikel 98 der Richtlinie (EU) 2015/2366.
§ 48 ZAG
§ 48 Pflichten des kontoführenden Zahlungsdienstleisters bei Zahlungsauslösediensten
(1) Erteilt der Zahler seine ausdrückliche Zustimmung zur Ausführung einer Zahlung, so ist der kontoführende Zahlungsdienstleister verpflichtet,
1.
mit dem Zahlungsauslösedienstleister auf sichere Weise zu kommunizieren,
2.
unmittelbar nach Eingang des Zahlungsauftrags über einen Zahlungsauslösedienstleister diesem alle Informationen über die Auslösung des Zahlungsvorgangs und alle dem kontoführenden Zahlungsdienstleister zugänglichen Informationen hinsichtlich der Ausführung des Zahlungsvorgangs mitzuteilen oder zugänglich zu machen und
3.
Zahlungsaufträge, die über einen Zahlungsauslösedienstleister übermittelt werden, insbesondere in Bezug auf zeitliche Abwicklung, Prioritäten oder Entgelte so zu behandeln wie Zahlungsaufträge, die der Zahler unmittelbar übermittelt, es sei denn, es bestehen objektive Gründe für eine abweichende Behandlung.
(2) Das Erbringen von Zahlungsauslösediensten ist nicht davon abhängig, ob der Zahlungsauslösedienstleister und der kontoführende Zahlungsdienstleister zu diesem Zweck einen Vertrag abgeschlossen haben.
(3) Näheres regelt der delegierte Rechtsakt nach Artikel 98 der Richtlinie (EU) 2015/2366.
§ 49 ZAG
§ 49 Pflichten des Zahlungsauslösedienstleisters
(1) 1Der Zahlungsauslösedienstleister darf den Zahlungsbetrag, den Zahlungsempfänger oder ein anderes Merkmal des Zahlungsvorgangs nicht ändern. 2Er darf zu keiner Zeit Gelder des Zahlers im Zusammenhang mit der Erbringung des Zahlungsauslösedienstes halten.
(2) 1Ein Zahlungsauslösedienstleister ist verpflichtet, sich gegenüber dem kontoführenden Zahlungsdienstleister des Zahlers jedes Mal, wenn er eine Zahlung auslöst, zu identifizieren. 2Er muss sicherstellen, dass die personalisierten Sicherheitsmerkmale des Zahlungsdienstnutzers keiner anderen Partei als dem Nutzer und demjenigen, der die personalisierten Sicherheitsmerkmale ausgegeben hat, zugänglich sind.
(3) 1Der Zahlungsauslösedienstleister hat mit dem kontoführenden Zahlungsdienstleister, dem Zahler und dem Zahlungsempfänger auf sichere Weise zu kommunizieren. 2Soweit die Übermittlung der personalisierten Sicherheitsmerkmale des Zahlers erforderlich ist, darf dies nur über sichere und effiziente Kanäle geschehen.
(4) 1Der Zahlungsauslösedienstleister darf vom Zahler nur die für die Erbringung des Zahlungsauslösedienstes erforderlichen Daten verlangen und keine sensiblen Zahlungsdaten des Zahlers speichern. 2Er darf Daten nur für die Zwecke des vom Zahler ausdrücklich geforderten Zahlungsauslösedienstes speichern, verwenden oder darauf zugreifen. 3Alle anderen Informationen, die er über den Zahler bei der Bereitstellung von Zahlungsauslösediensten erlangt hat, darf er nur dem Zahlungsempfänger mitteilen; dies setzt die ausdrückliche Zustimmung des Zahlers voraus.
(5) Sobald der Zahlungsauftrag ausgelöst worden ist, hat der Zahlungsauslösedienstleister dem kontoführenden Zahlungsdienstleister des Zahlers die Referenzangaben des Zahlungsvorgangs zugänglich zu machen.
(6) Näheres regelt der delegierte Rechtsakt nach Artikel 98 der Richtlinie (EU) 2015/2366.
§ 50 ZAG
§ 50 Pflichten des kontoführenden Zahlungsdienstleisters bei Kontoinformationsdiensten
(1) Der kontoführende Zahlungsdienstleister ist verpflichtet,
1.
mit dem Kontoinformationsdienstleister auf sichere Weise zu kommunizieren und
2.
Anfragen nach der Übermittlung von Daten, die von einem Kontoinformationsdienstleister übermittelt werden, ohne Benachteiligung zu behandeln, es sei denn, es bestehen objektive Gründe für eine abweichende Behandlung.
(2) Das Erbringen von Kontoinformationsdiensten ist nicht davon abhängig, ob der Kontoinformationsdienstleister und der kontoführende Zahlungsdienstleister zu diesem Zweck einen Vertrag abgeschlossen haben.
(3) Näheres regelt der delegierte Rechtsakt nach Artikel 98 der Richtlinie (EU) 2015/2366.
§ 51 ZAG
§ 51 Pflichten des Kontoinformationsdienstleisters
(1) 1Der Kontoinformationsdienstleister darf seine Dienste nur mit der ausdrücklichen Zustimmung des Zahlungsdienstnutzers erbringen. 2Er darf nur auf Informationen von Zahlungskonten, die der Zahlungsdienstnutzer bezeichnet hat, und mit diesen im Zusammenhang stehenden Zahlungsvorgängen zugreifen. 3Er darf keine sensiblen Zahlungsdaten anfordern, die mit den Zahlungskonten in Zusammenhang stehen. 4Er darf Daten nur für die Zwecke des vom Zahlungsdienstnutzer ausdrücklich geforderten Kontoinformationsdienstes speichern, verwenden oder darauf zugreifen.
(2) 1Ein Kontoinformationsdienstleister ist verpflichtet, sich gegenüber dem kontoführenden Zahlungsdienstleister des Zahlungsdienstnutzers jedes Mal, wenn er mit ihm kommuniziert, zu identifizieren. 2Er muss sicherstellen, dass die personalisierten Sicherheitsmerkmale des Zahlungsdienstnutzers keiner anderen Partei als dem Nutzer und demjenigen, der die personalisierten Sicherheitsmerkmale ausgegeben hat, zugänglich sind.
(3) 1Der Kontoinformationsdienstleister hat mit dem kontoführenden Zahlungsdienstleister und dem Zahlungsdienstnutzer auf sichere Weise zu kommunizieren. 2Soweit die Übermittlung der personalisierten Sicherheitsmerkmale erforderlich ist, darf dies nur über sichere und effiziente Kanäle geschehen.
(4) Näheres regelt der delegierte Rechtsakt nach Artikel 98 der Richtlinie (EU) 2015/2366.
§ 52 ZAG
§ 52 Zugang zu Zahlungskonten
(1) Ein kontoführender Zahlungsdienstleister kann einem Kontoinformationsdienstleister oder einem Zahlungsauslösedienstleister den Zugang zu einem Zahlungskonto verweigern, wenn objektive und gebührend nachgewiesene Gründe im Zusammenhang mit einem nicht autorisierten oder betrügerischen Zugang des Kontoinformationsdienstleisters oder des Zahlungsauslösedienstleisters zum Zahlungskonto, einschließlich der nicht autorisierten oder betrügerischen Auslösung eines Zahlungsvorgangs, es rechtfertigen.
(2) 1In den Fällen des Absatzes 1 hat der kontoführende Zahlungsdienstleister den Vorfall der Bundesanstalt unverzüglich zu melden. 2Hierbei sind die Einzelheiten des Vorfalls und die Gründe für das Tätigwerden anzugeben. 3Die Bundesanstalt hat den Fall zu bewerten und kann erforderlichenfalls geeignete Maßnahmen ergreifen. 4Die Aufgaben und Zuständigkeiten anderer Behörden, insbesondere der Kartellbehörden nach dem Gesetz gegen Wettbewerbsbeschränkungen sowie der Strafverfolgungsbehörden nach der Strafprozessordnung, bleiben unberührt.
(3) Der kontoführende Zahlungsdienstleister hat den Zugang zu dem Zahlungskonto zu gewähren, sobald die Gründe für die Verweigerung des Zugangs nicht mehr bestehen.
§ 53 ZAG
§ 53 Beherrschung operationeller und sicherheitsrelevanter Risiken
(1) 1Ein Zahlungsdienstleister hat angemessene Risikominderungsmaßnahmen und Kontrollmechanismen zur Beherrschung der operationellen und der sicherheitsrelevanten Risiken im Zusammenhang mit den von ihm erbrachten Zahlungsdiensten einzurichten, aufrechtzuerhalten und anzuwenden. 2Dies umfasst wirksame Verfahren für die Behandlung von Störungen im Betriebsablauf, auch zur Aufdeckung und Klassifizierung schwerer Betriebs- und Sicherheitsvorfälle.
(2) 1Ein Zahlungsdienstleister hat der Bundesanstalt einmal jährlich eine aktuelle und umfassende Bewertung der operationellen und sicherheitsrelevanten Risiken im Zusammenhang mit den von ihm erbrachten Zahlungsdiensten und hinsichtlich der Angemessenheit der Risikominderungsmaßnahmen und Kontrollmechanismen, die er zur Beherrschung dieser Risiken ergriffen hat, zu übermitteln. 2Die Bundesanstalt kann gegenüber einem Zahlungsdienstleister festlegen, dass die Übermittlung der Bewertung nach Satz 1 in kürzeren Zeitabständen zu erfolgen hat.
§ 54 ZAG
§ 54 Meldung schwerwiegender Betriebs- oder Sicherheitsvorfälle
(1) 1Ein Zahlungsdienstleister hat die Bundesanstalt unverzüglich über einen schwerwiegenden Betriebs- oder Sicherheitsvorfall zu unterrichten. 2Die Bundesanstalt unterrichtet die Europäische Bankenaufsichtsbehörde und die Europäische Zentralbank unverzüglich nach Eingang einer Meldung über die maßgeblichen Einzelheiten des Vorfalls. 3Sie hat die Relevanz des Vorfalls für andere in ihrer sachlichen Zuständigkeit betroffene inländische Behörden unverzüglich zu prüfen und diese entsprechend zu unterrichten.
(2) Die Bundesanstalt wirkt an der Prüfung der Relevanz des Vorfalls für andere in ihrer sachlichen Zuständigkeit betroffene Behörden der Europäischen Union, der anderen Mitgliedstaaten und der anderen Vertragsstaaten des Abkommens über den Europäischen Wirtschaftsraum durch die Europäische Bankenaufsichtsbehörde und die Europäische Zentralbank mit.
(3) Wird die Bundesanstalt von der Europäischen Bankenaufsichtsbehörde oder der Europäischen Zentralbank über einen Vorfall im Sinne des Absatzes 1 Satz 1 unterrichtet, so hat sie die für die unmittelbare Sicherheit des Finanzsystems notwendigen Schutzvorkehrungen zu treffen.
(4) Kann sich ein Vorfall im Sinne des Absatzes 1 Satz 1 auf die finanziellen Interessen seiner Zahlungsdienstnutzer auswirken, hat ein Zahlungsdienstleister diese unverzüglich über den Vorfall zu benachrichtigen und über alle Maßnahmen zu informieren, die sie ergreifen können, um negative Auswirkungen des Vorfalls zu begrenzen.
(5) 1Die Zahlungsdienstleister haben der Bundesanstalt mindestens einmal jährlich statistische Daten zu Betrugsfällen in Verbindung mit den unterschiedlichen Zahlungsmitteln vorzulegen. 2Die Bundesanstalt hat der Europäischen Bankenaufsichtsbehörde und der Europäischen Zentralbank die vorgelegten Daten in aggregierter Form zur Verfügung zu stellen.
(6) Meldepflichten der Zahlungsdienstleister an andere inländische Behörden, Mitwirkungsaufgaben der Bundesanstalt sowie die Zuständigkeiten anderer inländischen Behörden für schwerwiegende Betriebs- oder Sicherheitsvorfälle bleiben unberührt.
§ 55 ZAG
§ 55 Starke Kundenauthentifizierung
(1) 1Der Zahlungsdienstleister ist verpflichtet, eine starke Kundenauthentifizierung zu verlangen, wenn der Zahler
1.
online auf sein Zahlungskonto zugreift;
2.
einen elektronischen Zahlungsvorgang auslöst;
3.
über einen Fernzugang eine Handlung vornimmt, die das Risiko eines Betrugs im Zahlungsverkehr oder anderen Missbrauchs beinhaltet.
2Ein Zahlungsdienstleister muss im Fall des Satzes 1 über angemessene Sicherheitsvorkehrungen verfügen, um die Vertraulichkeit und die Integrität der personalisierten Sicherheitsmerkmale der Zahlungsdienstnutzer zu schützen.
(2) Handelt es sich bei dem elektronischen Zahlungsvorgang nach Absatz 1 Satz 1 Nummer 2 um einen elektronischen Fernzahlungsvorgang, hat der Zahlungsdienstleister eine starke Kundenauthentifizierung zu verlangen, die Elemente umfasst, die den Zahlungsvorgang dynamisch mit einem bestimmten Betrag und einem bestimmten Zahlungsempfänger verknüpfen.
(3) 1Absatz 1 Satz 2 und Absatz 2 gelten auch, wenn Zahlungen über einen Zahlungsauslösedienstleister ausgelöst werden. 2Absatz 1 gilt auch, wenn die Informationen über einen Kontoinformationsdienstleister angefordert werden.
(4) Der kontoführende Zahlungsdienstleister hat es dem Zahlungsauslösedienstleister und dem Kontoinformationsdienstleister zu gestatten, sich auf die Authentifizierungsverfahren zu stützen, die er dem Zahlungsdienstnutzer gemäß Absatz 1 sowie, in Fällen, in denen ein Zahlungsauslösedienstleister beteiligt ist, darüber hinaus gemäß Absatz 2 bereitstellt.
(5) Näheres zu Erfordernissen und Verfahren zur starken Kundenauthentifizierung einschließlich etwaiger Ausnahmen von deren Anwendung sowie Anforderungen an Sicherheitsvorkehrungen für die Vertraulichkeit und die Integrität der personalisierten Sicherheitsmerkmale regelt der delegierte Rechtsakt nach Artikel 98 der Richtlinie (EU) 2015/2366.