Insbesondere Daten sollen innerhalb der EU branchenübergreifend zum Nutzen aller fließen. Die EU-Regeln zum Schutz der Privatsphäre und des Datenschutzes sowie das Wettbewerbsrecht bilden dabei den Rahmen. Die EU soll sich zu einer attraktiven, sicheren und dynamischen Datenwirtschaft entwickeln. Dafür muss unter anderem in die nächste Generation von Standards und Infrastrukturen zur Speicherung und Verarbeitung von Daten investiert werden. Zudem sollen die Kräfte für eine europäische Cloud-Lösung gebündelt werden. Neben dem Start der Konsultation der EU-Datenstrategie werden parallel auch Aspekte zur künstlichen Intelligenz (KI) konsultiert. Die Kommission hat das Finanzwesen als einen Sektor identifiziert, in dem die EU mit einer Datenstrategie unter anderem auch zum globalen KI-Spitzenreiter werden kann. Der Markt treibt zur Datenökonomie im Sinne von Open Banking und Open Data. Es besteht jedoch erheblicher Bedarf nach regulatorischer Klarheit, um auch Geschäftsmodelle für Banken zu ermöglichen.

Wir werden uns an den Konsultationsprozessen zu wichtigen Aspekten der öffentlichen Banken beteiligen.

Das entspricht einem Wachstum von 18,7 Prozent beziehungsweise 12,6 Prozent gegenüber dem Vorjahr. Das kontaktlose Bezahlen ist an mehr als 755.000 der 871.000 Terminals im Handel möglich.

In der nächsten Ausbaustufe werden nun alle Voraussetzungen für die Nutzung digitaler girocards für sogenannte App-Zahlungen geschaffen. Hierbei kann die digitale girocard direkt in die App des Händlers integriert sein und für Internet-Zahlungen genutzt werden. Entscheidend ist, dass die Kundenauthentifizierung über die Consumer Device Card­holder Verification Method (CDCVM) erfolgt. Das bedeutet, dass biometrische Merkmale wie der Fingerabdruck oder die Gesichtserkennung genutzt werden und nicht die PIN.Auch die notwendige Absicherung der Transaktionsdaten erfolgt über standardisierte Algorithmen, wie sie bereits an Point-of-Sale-Terminals verwendet werden. Die technische Lösung soll bereits in diesem Jahr pilotiert werden.

Wir unterstützen als ein Mitbetreiber des girocard-Systems diese Entwicklung. girocard ist ein sowohl beim Karteninhaber als auch im Handel stark verbreitetes Zahlungssystem. Es steht für Sicherheit und Vertrauen beim Bezahlen in Deutschland sowie darüber hinaus.

Dazu werden die Joint Supervisory Teams (JST) den laufenden aufsichtsrechtlichen Dialog mit den einzelnen Banken zur Behandlung bestehender IT-Risiken auf Grundlage der IT-Risiko-Selbstbewertung (IT-Risk-Self-Assessments) vertiefen. Ebenso sollen vermehrt Vor-Ort-Prüfungen mit Fokus auf das IT-Risiko („on-sight-inspections“) durchgeführt werden. Bei allen Maßnahmen rückt die Überprüfung der Cybersicherheit der Institute in den Fokus. Die Banken sind daher weiterhin verpflichtet, alle bedeutenden Cyber-Vorfälle im Rahmen des Cyber-Vorfall-Meldeschemas der Europäischen Zentralbank zu melden.

Wir erkennen die grundlegende Bedeutung der IT- und Cybersicherheit im Finanzsektor an und halten eine angemessene aufsichtliche Begleitung für sinnvoll. Dabei plädieren wir für eine regelmäßige Überprüfung der Notwendigkeit von Umfang und Intensität der aufsichtlichen Maßnahmen, um Entlastungen für die Institute zu realisieren. Insgesamt fordern wir, dass auch die Prüfungspraxis dem Proportionalitätsprinzip folgt und die individuellen Gegebenheiten beim jeweiligen Institut berücksichtigt.

Unter der strategischen Ausrichtung der Europäischen Union auf größere Souveränität Europas machen insbesondere die Europäische Zentralbank und die Europäische Kommission erheblichen Druck zur Schaffung einer einheitlichen europäischen Bezahllösung. Diese könnte die Bereiche E-/M-Commerce, Zahlungen an Handelskassen (POS), Verfügungen an Geldautomaten und Person-to-Person-Zahlungen abdecken und Europa damit unabhängiger von internationalen Bezahlsystemen und -infrastrukturen sowie von der zunehmenden Bedeutung von globalen BigTechs machen. Auch in der Kreditwirtschaft wird aufgrund der Notwendigkeit übergreifender gemeinsamer Mehrwertangebote und sinkender Margen für rein transaktionsbasierte Abwicklungsangebote die Wichtigkeit einer europäischen Lösung erkannt. Derzeit prüft eine Initiative von verschiedenen Banken in Europa den Aufbau eines gemeinsamen europäischen Systems.

Wir finden es entscheidend wichtig, dass die Rahmenbedingungen für tragfähige Geschäftsmodelle geschaffen und Mehrwerte für Kunden und Händler geboten werden. Nur so kann ein neues System Erfolg haben und auch die politisch-strategischen Ziele zur Stärkung Europas einlösen.

Auf die meldepflichtigen Institute kommen neue, teils umfangreiche Änderungen zu: So sind erstmals Betrugsdaten für alle Zahlverfahren zu melden, die sich weitgehend an den EBA-Leitlinien zur Betrugsstatistik im Rahmen der PSD II orientieren. Mit Abweichungen aufgrund des unterschiedlichen Scopes von EBA und EZB dürfte zu rechnen sein.

Die Meldeperioden verkürzen sich von einmal jährlich auf voraussichtlich vierteljährlich sowie quartalsmäßig mit unterschiedlichen Dateninhalten. Die finale Veröffentlichung der neuen Statistikanforderungen für den Zahlungsverkehr ist für März 2020 vorgesehen. Der erste Meldezeitraum soll das zweite Quartal 2021 werden.

Wir und die weiteren Verbände der Deutschen Kreditwirtschaft hatten sich bereits an der im Jahr 2018 durchgeführten Kosten-Nutzen-Analyse beteiligt. Wir werden uns ebenfalls in die anstehende öffentliche Konsultation einbringen.

Dieses komplexe System wird nun im November 2021 in großen Teilen konsolidiert. Die Umstellung erfolgt zum Stichtag und betrifft die Konten, technische Formate und Prozesse.

Letztlich hat die Umstellung in den Banken eine erhebliche Bedeutung für alle Kernfunktionen der Bank (Zahlungsverkehr, Kredite und Wertpapiergeschäft). Insofern handelt es sich um eine Operation am offenen Herzen.

Die Bundesbank verfolgt die TARGET2-Projekte in den Instituten sehr genau. Regelmäßig wird der Projektstatus abgefragt, was die Bedeutung des Umstellungsprojektes unterstreicht. Jedes Institut ist dabei von der Umstellung betroffen. Zudem müssen Banken bei der Bundesbank neue Konten beantragen. Neue Netzdienstleister müssen für den Zugang zum TARGET2-System ausgewählt werden.

Mit dem Erkennen der Bedeutung des Umstellungsprojekts mit Stichtagsumstellung wird dieses Thema zunehmend hohe Priorität in den Banken erlangen, obwohl es bei reibungsloser Umstellung keine großen Auswirkungen auf die Kunden haben dürfte.

Wir sehen, dass dieses kritische Projekt Banken erhebliche Ressourcen kosten wird und es bei einer nahtlosen Umstellung – trotz der Bedeutung für die Funktion der Banken – kein Öffentlichkeitsthema werden wird. Nach der Umstellung wird unter anderem ein zentrales TARGET-Liquiditätsmanagement ermöglicht.

Der Gesetzesentwurf beinhaltet einen deutlichen Ausbau des Bundesamts für Sicherheit in der Informationstechnik (BSI) mit bis zu 850 weiteren Planstellen und sieht umfangreiche neue Aufgaben und Befugnisse der Behörde vor. So soll das BSI zukünftig im Speziellen auch Sicherheitslücken und -risiken erkennen und bewerten.

Die größten Auswirkungen auf Banken und IT-Dienstleister dürften sich nach dem Gesetzesentwurf durch eine im konkreten Störfall mögliche Ausdehnung von Pflichten der Betreiber kritischer Infrastrukturen auf „Nicht-KRITIS-Betreiber“ und die vorgesehene Beschränkung auf die Verwendung von Kernkomponenten im KRITIS-Betrieb von Herstellern ergeben, die zuvor ihre „Vertrau-
enswürdigkeit“ erklärt haben müssen.

Auch die geplante Einführung eines „freiwilligen IT-Sicherheitskennzeichens“ für IT-Hersteller kann Einfluss auf die Beschaffung und den Einsatz von IT-Produkten und -Dienstleistungen nehmen. Aufgrund der hohen Bedeutung der Cybersicherheit ist von einem Abschluss des Gesetzgebungsvorhabens noch bis Ende des Jahres 2019 auszugehen.

Wir halten die Vereinbarung und Koordination eines gemeinsamen Vorgehens mit Blick auf die Umsetzung des IT-SiG für den Finanzsektor durch das BSI und die Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) für unverzichtbar.

Erstmals werden Institute gesetzlich verpflichtet, ihre Kundenzugänge für Drittdiensteanbieter zu öffnen beziehungsweise über eine technische Schnittstelle (API) – nach Einwilligung der betroffenen Firmen- und Privatkunden – Zugriff auf Kontoinformationen zu gewähren, Zahlungen auszulösen und die Verfügbarkeit von Mitteln auf onlinefähigen Zahlungskonten abzufragen. Dies zunächst für bestimmte Zahlungsdienste.

Insbesondere für die Europäische Zentralbank (EZB) und das von ihr initiierte und geleitete Euro Retail Payments Board (ERPB) ist die Fortführung der Arbeiten auf Basis der PSD2-Schnittstelle im E- und M-Commerce auch ein politisches Thema. Das ERPB hat im November 2018 die Gründung einer Arbeitsgruppe beschlossen, die die Entwicklung einer Schnittstellenlösung unter Beteiligung verschiedener Marktakteure vorbereiten soll (Working Group on API Access Scheme). Hier steht die Beschreibung von Bankdiensten („Use Cases“ bzw. „Customer Journeys“) im Mittelpunkt.

Weitere Aktivitäten zur Gründung eines oder mehrerer spezifischer Systeme für einen optionalen Beitritt werden in den nächsten Monaten aufgesetzt. So sollen unter anderem Dienste für die Bezahlung für Waren und Dienstleistungen, später Kredit-
anträge, Kontowechsel/ Produkttransfers, Kauf von Bankprodukten, Dienste mit wiederkehrender Nutzung von Personenbezogenen Daten sowie horizontale Anwendungen (zum Beispiel für die Identifizierung, Betrugsbekämpfung, Nutzung der starken Kundenauthentifizierung für Drittdienste) beschrieben werden.

Wir engagieren uns bei der Definition und Weiterentwicklung der Open-Banking-Standards.

Dabei soll eine volle Harmonisierung mit den SEPA-Regelwerken des EPC und hier insbesondere der Über-
weisung und der Echtzeitüberweisung (Instant Payments) sichergestellt werden. Das EPC berücksichtigt auch bereits existierende Standardisierungen. So sind beispielsweise Länder und Kommunen in Deutschland schon heute verpflichtet, elektronische Rechnungen im Geschäftsbetrieb mit Nichtverbrauchern zu nutzen beziehungsweise bei Ausschreibungen zu fordern.

Die Unterstützung der bestehenden Standards ist für die europäische Kreditwirtschaft jedoch bisher nicht verpflichtend, weder für die Bank des Rechnungsstellers noch für die des Zahlers. Die Forderung von Rechnungsstellern nach einheitlichen Verfahren für „request to pay“ kann bisher weder von den Softwareherstellern noch von den Banken erfüllt werden. Hier könnte eine zunächst optionale, später auch verpflichtende Umsetzung in den EPC-Regelwerken Abhilfe schaffen.

Einheitliche europäische Standards des EPC für elektronische Rechnungen und insbesondere den „request to pay“ helfen den Banken, dem Zahler oder dem Rechnungssteller ergänzende Services zu ermöglichen. Neben Krediten, Skonto und Bonussystemen wären auch Innovationen für das Debitorenmanagement für Unternehmen und die öffentliche Hand denkbar.

Nachdem zunächst nur „Finanzmarktinfrastrukturen“ (FMI) im Fokus der Aufseher standen, ist mittlerweile klar, dass Red-Team-Tests – also tatsächliche Hackerangriffe zu Testzwecken – auch bei „größeren Kreditinstituten mit Relevanz für den Finanzsektor“ durchgeführt beziehungsweise von diesen beauftragt werden sollen. Ob und in welchem Umfang „Red Teaming“ für Institute verpflichtend wird und wie die operative Umsetzung in Deutschland im Einzelnen erfolgen soll, ist aktuell bei der BaFin unter Einbeziehung des BSI noch in Planung.

Hierbei sind unbedingt zentrale und noch unbeantwortete Fragen und Punkte zu klären. Zum Beispiel die Frage nach eindeutigen und aufsichtlich belastbaren Auswahlkritieren für die Beauftragung von Red-Team-Dienstleistern und nach grundlegenden Vorgaben für den Umgang mit den sicherheitsrelevanten Testergebnissen oder auch die Auswirkung auf das Risikomanagement der Institute.

Wir setzen uns weiterhin für eine risikoadjustierte Umsetzung nach dem Grundsatz der Proportionalität ein. Wir fordern in diesem speziellen Fall, dass eine Umsetzung erst nach vollständiger Klärung offener Umsetzungsfragen und eingehender Betrachtung und Bewertung potenzieller Risiken erfolgt.​​​​​​

Schwerpunkt der Kompromissfindung im Trilog waren die zusätzlichen Informations- und Transparenzanforderungen bei Währungsumrechnungen, sowohl beim Einsatz von Zahlkarten am Point of Sale (POS) und Geldautomaten (GAA) als auch bei Überweisungen.

Über die erweiterten Regelungen zur gleichen Bepreisung von Zahlungsdiensten in Euro und EU-Landeswährungen für Institute in Nicht-Euro-Ländern bestand schon vorab Einigkeit. Die neuen Informationen bei Währungsumrechnungen für (elektronische) Überweisungen in EU-Landeswährungen außer Euro sollen innerhalb von zwölf Monaten nach Inkrafttreten der neuen Preisverordnung umgesetzt werden.

Für die Umsetzung der elektronischen Mitteilung bei Währungsumrechnungen bei Einsatz der Zahlkarte an POS und GAA gilt eine 24-Monats-Frist. Nach der Verabschiedung der geänderten EU-Preisverordnung durch das EU-Parlament Mitte Februar 2019 ist mit der Veröffentlichung der Verordnung im EU-Amtsblatt bis Ende des ersten Quartals 2019 zu rechnen.

Die Regelungen zur Gleichstellung der Bepreisung von Euro-Zahlungen und Zahlungen in anderen EU-Landeswährungen müssen aus unserer Sicht von den Instituten in den Nicht-Euro-Mitgliedstaaten bereits ab dem 19. Dezember 2019 beachtet werden.

Dabei stehen der gesicherte Wiederanlauf und die Wiederherstellung (zeit-)kritischer IT-Systeme nach erheblichen Störungen, Krisen oder Notfällen im Fokus.

Aus unserer Sicht ist davon auszugehen, dass die Aufsicht dazu unter anderem konkrete Anforderungen an die Verzeichnisführung der IT-Systeme und -Prozesse, die Identifikation und Priorisierung der IT-Systeme, die Notfallplanung und deren regelmäßiges Testen formulieren wird. Mit der Veröffentlichung eines Konsultationsentwurfs und gegebenenfalls auch einer weitergehenden Betrachtung im BaFin-Fachgremium IT ist voraussichtlich im zweiten Quartal 2019 zu rechnen.

Mit Blick auf die bei der BaFin diskutierte Implementierung zahlungsverkehrsspezifischer Anforderungen an die IT aus den PSD2 in die BAIT ist wahrscheinlich, dass diese nicht ausschließlich als eigenes Kapitel veröffentlicht, sondern auch punktuell in die bestehenden Kapitel der BAIT eingearbeitet werden. Diese Anpassungen sollen zusammen mit möglichen Ergänzungen infolge der in Vorbereitung befindlichen EBA-Leitlinien zum IKT-Risikomanagement (IKT – Informations- und Kommunikationstechnik) realisiert werden.

Darüber hinaus bleibt unsererseits noch abzuwarten, welcher Anpassungsbedarf sich für die BAIT aus der neuen „EBA-Guideline on Outsourcing“ ergeben wird, deren Veröffentlichung ebenfalls für das zweite Quartal 2019 avisiert ist.