Contents
- Strafbare Handlungen im Zahlungsverkehr: PSD2, SCA-RTS und § 27 ZAG – Organisationspflichten
- PSD2 und SCA-Verordnung: Technische Sicherheitsanforderungen
- Delegierte Verordnung (EU) 2018/389 – RTS zur starken Kundenauthentifizierung (SCA)
- § 27 ZAG
- EBA-Leitlinien zur Betrugsberichterstattung (EBA/GL/2018/05)
- Was interne Sicherungsmaßnahmen umfassen müssen?
- Typische strafbare Handlungen im Zahlungsverkehr
- Einheitliche Sicherheitsstandards – kein Raum für Lücken
Strafbare Handlungen im Zahlungsverkehr: PSD2, SCA-RTS und § 27 ZAG – Organisationspflichten
Digitale Zahlungssysteme sind anfällig für Betrug, Skimming, Phishing und Identitätsdiebstahl. Deshalb schreibt der europäische und nationale Gesetzgeber vor, dass Zahlungsinstitute, E-Geld-Institute und E-Geld-Emittenten wirksame interne Sicherungsmaßnahmen einführen müssen. Grundlage hierfür sind insbesondere:
- PSD2 (Richtlinie (EU) 2015/2366)
- Delegierte Verordnung (EU) 2018/389 – SCA-RTS
- ZAG und die Verweisungen auf das KWG (§ 27 Abs. 2 ZAG)
- EBA-Leitlinien zur Betrugsberichterstattung
PSD2 und SCA-Verordnung: Technische Sicherheitsanforderungen
Art. 94–96 PSD2: Kernpflichten für Zahlungsdienstleister
- Art. 94: Schutz personalisierter Sicherheitsmerkmale
- Art. 95: Sicherheitsmaßnahmen und Risikoanalysen gegen Betrug
- Art. 96: Meldepflicht schwerwiegender Sicherheitsvorfälle (z. B. Datenlecks, Hackerangriffe)
Delegierte Verordnung (EU) 2018/389 – RTS zur starken Kundenauthentifizierung (SCA)
Diese Verordnung konkretisiert Art. 97 PSD2 und verpflichtet Zahlungsdienstleister dazu, bei elektronischen Zahlungen in der Regel eine Zwei-Faktor-Authentifizierung durchzuführen, basierend auf:
- Wissen (z. B. Passwort)
- Besitz (z. B. Mobilgerät)
- Inhärenz (z. B. Fingerabdruck, biometrische Merkmale)
Ausnahmen (z. B. Kleinbeträge, vertrauenswürdige Empfänger, risikoarme Transaktionen) sind nur unter strengen Bedingungen zulässig und müssen durch ein internes Transaktionsrisikomanagement flankiert werden.
§ 27 ZAG
Gemäß § 27 Abs. 2 ZAG gelten für Zahlungs- und E-Geld-Institute folgende KWG-Bestimmungen sinngemäß:
- § 25i KWG: Sorgfaltspflichten bei Ausgabe von E-Geld – inkl. Schwellenwerte, Rücktauschbeschränkungen, Protokollierung
- § 25m KWG: Verbot riskanter Kontostrukturen wie Nested Accounts oder unkontrollierter Drittzugriffe
- § 6a KWG: Einrichtung interner Hinweisgebersysteme
- § 24c KWG: Erweiterte Datenabrufrechte der BaFin bei Verdachtsmomenten
EBA-Leitlinien zur Betrugsberichterstattung (EBA/GL/2018/05)
Zahlungsdienstleister sind verpflichtet, halbjährlich Betrugsstatistiken zu erheben und an die Aufsicht (z. B. BaFin) zu übermitteln. Berichtet werden müssen:
- Anzahl und Volumen betrügerischer Transaktionen, aufgeschlüsselt nach Zahlungsinstrument und Authentifizierungsverfahren
- Vergleichsdaten zu autorisierten Transaktionen (Fraud Rate)
- Differenzierung nach SCA-konform vs. nicht SCA-konform
Diese Daten werden für die aufsichtsrechtliche Bewertung der Risikosteuerung genutzt.
Was interne Sicherungsmaßnahmen umfassen müssen?
Zahlungsdienstleister müssen insbesondere:
- eine Risikoanalyse zu typischen Delikten durchführen (Phishing, Prepaid-Fraud, BEC-Fraud etc.)
- SCA-Anforderungen technisch umsetzen und überwachen
- Betrugsmonitoring-Mechanismen mit Echtzeiterkennung integrieren
- Awareness-Schulungen für Mitarbeiter etablieren
- Verdachtsfälle dokumentieren und intern eskalieren
- Sicherheitsvorfälle unverzüglich melden
Typische strafbare Handlungen im Zahlungsverkehr
| Delikt | Typische Bedrohung |
|---|---|
| Kartendiebstahl | Einsatz gestohlener Karten ohne SCA |
| Skimming | Terminalmanipulation und Datenklau |
| Phishing / Smishing | Täuschung zur Herausgabe von Zugangsdaten |
| Account Takeover | Logins durch kompromittierte Credentials |
| E-Geld-Missbrauch | Aufladung mit gestohlenen Kartendaten |
| Business Email Compromise (BEC) | Täuschende Zahlungsanweisungen durch Social Engineering |
Einheitliche Sicherheitsstandards – kein Raum für Lücken
Zahlungsdienstleister stehen unter regulatorischem Druck, wirksame Sicherheitsmechanismen zu etablieren. PSD2, die SCA-Verordnung, ZAG und die Betrugsreporting-Pflichten der EBA bilden gemeinsam ein umfassendes Schutzregime. Die interne Sicherungsarchitektur muss technisch, organisatorisch und prozessorientiert aufgestellt sein, um strafbare Handlungen wirksam zu verhindern, zu erkennen und zu melden.
Erstellen Sie einen institutsinternen Sicherheits- und Kontrollplan, der alle regulatorischen Anforderungen integriert – inklusive SCA-Umsetzung, Betrugsreporting, interner Eskalationswege und Reaktionsmaßnahmen.
Quellen:
https://www.gesetze-im-internet.de/zag_2018/__27.html
https://eur-lex.europa.eu/legal-content/DE/ALL/?uri=celex%3A32015L2366
https://eur-lex.europa.eu/legal-content/DE/ALL/?uri=CELEX%3A32018R0389