Um den Anforderungen gerecht zu werden, rücken neben den nationalen insbesondere auch weltweiten, allgemeinen Standards (bspw. ISO/IEC 270xx für ein ISMS) sowie spezifische Industriestandards bzw. solche von übergreifenden Initiativen (wie bspw. das MITRE Framework zur Klassifizierung von Bedrohungen und Angriffserkennung) in den Fokus der Banken. So können diese darauf basierenden Systeme im Zusammenspiel mit einem Security Information and Event Management (SIEM), angedockt an ein Security Operations Center (SOC) zur Durchführung gezielter Maßnahmen, eine ganzheitliche Betrachtung und einen wichtigen Teilbereich bspw. der IT-Systembezogenen Informationssicherheit abdecken. 

Auf regulatorischer Ebene soll das erste Paket der delegierten DORA-Rechtsakte Mitte Juni 2023 von den europäischen Aufsichtsbehörden EIOPA, EBA, ESMA und den ESAs zur Konsultation gestellt werden. Diese Konsultation läuft bis zum 11. September 2023. Das zweite Paket ist für November/Dezember 2023 angekündigt. Die zeitlichen Eckpunkte stehen bereits fest. So sollen die Rechtsakte des 1. Pakets am 17. Januar 2024 und die des 2. Pakets am 17. Juli 2024 final vorliegen. Alle Anforderungen sind bis zum 17. Januar 2025 umzusetzen bzw. anzuwenden.

Der deutsche Gesetzgeber plant für die DORA-Anwendung ein nationales Begleitgesetz für die den Mitgliedstaaten eingeräumten Optionen und für spezifische Aspekte zur Klarstellung. Dieses soll in Kürze auf den formalen Weg des Gesetzgebungsverfahrens gebracht werden. Neben DORA sollen in diesem Gesetz auch spezifische Aspekte der EU-Regulierung zu Markets in Crypto Assets (MiCA) für Deutschland geregelt werden. 

Wie in DORA generell vorgesehen, ist es für die Mitglieder ganz entscheidend, Handlungsspielräume für die Umsetzung in Abhängigkeit vom jeweiligen Geschäft zu erhalten. Dabei ist die Berücksichtigung von Proportionalität und Verhältnismäßigkeit, u. a. durch die Berücksichtigung von risikobasierten Ansätzen des jeweiligen Instituts, sehr wichtig. 
 

Dies ist typischerweise bei Förderbanken der Fall. Die Echtzeitüberweisung darf aber nicht die SEPA-Überweisung ablösen. Der heutige Massenzahlungsverkehr ist hoch effizient und sowohl ökonomisch als auch ökologisch sinnvoll.

Inzwischen wird der Vorschlag im Trilog zwischen Kommission, Rat und Parlament diskutiert. Die Positionen der Drei liegen nicht weit auseinander. Nach derzeitigem Stand sollen die Institute verpflichtet werden, Echtzeitüberweisungen, aktiv und passiv, anzubieten. Die Entgelte für die Echtzeitüberweisung dürfen das Niveau der EU-Standardüberweisung nicht überschreiten. Der Abgleich der IBAN mit dem Namen des Zahlungsempfängers wird von allen drei Parteien favorisiert. Eine europäische Lösung muss dafür erst noch etabliert werden. Die Übergangsfisten müssen daher deutlich verlängert werden.

Da sich die Trilog-Partner in den wesentlichen Punkten einig sind, erwarten wir eine Verabschiedung noch im Jahr 2023. Damit würde die Verordnung noch rechtzeitig vor den Europawahlen im Juni 2024 in Kraft treten. 

 Die Schemes erweitern die Dienste der PSD2. Die Zugriffe können bepreist werden, so dass ein neues Geschäftsmodell für Banken entsteht. Daher begrüßen wir die Initiativen und engagieren uns als VÖB in beiden Schemes, da wir sie als innovativ und zukunftsweisend bewerten.

In der giroAPI sollen sich die Entgelte an Marktpreisen orientieren. Das Kartellamt hat dafür grünes Licht gegeben und setzt nach einer Einführungsphase auf Entgelte, die zwischen Anbietern und Abnehmern ausgehandelte werden. In SPAA sollen die Entgelte kostenbasiert zuzüglich einer Marge kalkuliert werden. Die Berechnung ist wesentlich komplexer als erwartet, da Amortisationszeiten, erwartete Volumina und individuelle Kosten eine enorme Bandbreite an Entgelten zulassen.

Technisch unterscheiden sich beide Schemes: SPAA soll technisch agnostisch sein. Es ist offen, wie unterschiedliche Techniken miteinander interoperieren können. Die giroAPI setzt auf den Standard der Berlin Group, der im Scheme konkretisiert wird, um eine hohe Kompatibilität zu erreichen.

Beide Schemes sollen 2024 in Betrieb gehen. Die giroAPI wird von der DK und SPAA vom European Payment Council (EPC) verwaltet. Erste Institute bereiten sich auf die Teilnahme an der giroAPI vor. Auch bei SPAA laufen die Gespräche über die technische Umsetzung. Im Zusammenspiel mit der FIDA-Regulierung werden entsprechende Zugangssysteme zusätzlich stärkere Bedeutung erlangen, da nur über diese Geschäftsmodelle für die Beteiligten abbildbar sein werden.

Die EU-Richtlinie zur Eindämmung des Mehrwertsteuerbetrugs wurde bereits Anfang 2020 verabschiedet und wird mit Artikel 17 des Jahressteuergesetzes 2022 in deutsches Recht umgesetzt. Danach müssen mehr als 25 grenzüberschreitende Zahlungen pro Quartal an einen Empfänger dem Bundeszentralamt für Steuern (BZSt) gemeldet werden. Die Zählweise ist komplex und die Daten müssen elektronisch an das BZSt übermittelt werden. Die Zeit für die Umsetzung in den Instituten drängt, da die Daten ab dem 1. Januar 2024 erhoben und zu Beginn des 2. Quartals 2024 gemeldet werden müssen.

Mit dem Jahressteuergesetz 2022 werden in § 139b Abs. 10 - 13 die Mitteilungspflichten der Abgabenordnung um die Übermittlung von IBAN und Steuer-ID erweitert. Mit der Änderung will der Gesetzgeber die Hilfen schnell und direkt an die Bürger auszahlen können. Daher sollen unter anderem IBAN und Steuer-ID online über ELSTER, Steuerberater oder Kreditinstitute an das BZSt übermittelt werden. Die Institute müssen ihren Kunden dafür eine papierhafte oder Web-Schnittstelle anbieten. Zur Identifikation des Kunden benötigt das BZSt neben der IBAN und der Steuer-ID zusätzlich das Geburtsdatum, den Geburtsort, den Vor- und Nachnamen sowie bei ausländischen Konten den BIC. IBAN und BIC müssen jedoch nicht von Drittinstituten akzeptiert werden. Die Kreditinstitute müssen ihren Kunden diese Schnittstelle voraussichtlich ab Frühjahr 2024 anbieten und die Daten zeitnah an das BZSt übermitteln.