BaFin : Meldepflicht für Zahlungsdienstleister bei Sicherheitsvorfällen

Zahlungsdienstleister müssen die BaFin künftig unverzüglich über schwerwiegende Betriebs- und Sicherheitsvorfälle unterrichten. Hintergrund ist die Neufassung des Zahlungsdiensteaufsichtsgesetzes (ZAG) durch das Gesetz zur Umsetzung der Zweiten Zahlungsdiensterichtlinie, die am 13.1.2018 in Kraft tritt.

Die Vorschrift in § 54 Abs. 1 S. 1 soll dazu beitragen, die Sicherheit im Zahlungsverkehr zu erhöhen. Sicherheitsvorfälle sind Ereignisse, die die Vertraulichkeit, Verfügbarkeit und Integrität wichtiger Daten, Geschäftsprozesse oder IT-Systeme so beeinträchtigen, dass ein Schaden für das Unternehmen entstehen kann. Zu der Frage, welche Vorfälle meldepflichtig sind, hat die Europäische Bankenaufsichtsbehörde EBA bereits Leitlinien veröffentlicht.

Die BaFin wird ein elektronisches Meldeverfahren implementieren, das auf ihrer Melde- und Veröffentlichungsplattform (MVP-Portal) basiert. Das neue Verfahren wird die Meldepflichten nach den Mindestanforderungen an die Sicherheit von Internetzahlungen (MaSI) ablösen. In einem Merkblatt hat die BaFin nun konkretisiert, was Zahlungsdienstleister dabei zu beachten haben. Die technischen Details für die Anbindung wird sie voraussichtlich im Oktober veröffentlichen.

Die BaFin leitet alle Meldungen an die Europäische Zentralbank, die Europäische Bankenaufsichtsbehörde EBA und die Deutsche Bundesbank weiter. Sie kann die Meldungen zudem an andere deutsche Behörden übermitteln, die in ihrer Zuständigkeit betroffen sind.

(Meldung BaFin vom 14.9.2017)