Die Umsetzung der Anforderungen aus der PSD2 prägt derzeit die Projektlandschaft der Zahlungsdienstleister. Während das Zivilrecht (größtenteils) Anfang 2018 zur Anwendung kommt, haben sich die Institute aufgrund von Fristverschiebungen und der Abhängigkeit von EBA-Veröffentlichungen etwas Zeit in der Umsetzung von einzelnen Teilen des Aufsichtsrechts verschafft.
Dennoch: Obwohl einige Zieltermine für umfangreiche Themen in der Zukunft liegen, empfiehlt es sich, sich für die Interne Revision bereits jetzt mit der Thematik zu befassen, die Änderungen im Zahlungsverkehr einzuplanen und ggf. mit Prüfungen zu starten oder in Form von Projektberatung zu unterstützen. Z.B. kann die Umsetzung der MaSI (Mindestanforderungen an die Sicherheit von Internetzahlungen) geprüft werden, da diese sich als Vorbote der PSD2 darin in Teilen wiederfindet. Zeitnah kann auch die Umsetzung des (PSD2-)Meldeprozesses an die Aufsicht oder die Umsetzung des Zivilrechts (u.a. Durchführung von Zahlungen, Entgelte, Haftungsfragen) überprüft werden, da die Änderungen Anpassungen in den Prozessen erfordern (vgl. z.B. BGB §675y Absatz 3-5 – verspätete Ausführung und Nachforschung bei Angabe falscher IBAN).
Der Umfang der PSD2 ist dabei nicht zu unterschätzen. Schließlich regelt diese auf oberster Ebene die Zulassung eines Dienstleisters und endet in den Untiefen der Durchführung eines einzelnen Zahlungsvorgangs. Daneben stehen Anforderungen an die Sicherheit von Zahlungsdiensten und natürlich die Implementierung der Schnittstelle („Access to account-XS2A“) auf der Agenda. Steht man als Interne Revision vor der Detailplanung, wird schnell erkannt, wie komplex es überhaupt ist, sich einen Überblick über relevante Themen zu verschaffen und die Grundlagen zu erheben, gegen die geprüft werden soll. Relevant sind das Zahlungsdiensteaufsichtsgesetz und die Änderungen im BGB, z.B. §675. Detailregelungen werden von der EBA in Form von RTS (Regulatory Technical Standards) und Leitlinien herausgegeben, welche davon teilweise von der BaFin als Rundschreiben erscheinen.
Ist der „Paragrafen- und Artikeldschungel“ einmal durchdrungen, gilt es, die korrekten Prüfungsfelder bzw. Prüfobjekte zu identifizieren (Aufteilung ist generisch und nicht vollständig, sie kann weiter unterteilt werden):
- Zivilrecht – Haftungsregelungen und prozessuale Umsetzung, Autorisierung und Durchführung von Zahlungsvorgängen, Prozesse im Fachbereich rund um Drittdienstleister („Third Party Providers“)…
- Sicherheit im Zahlungsverkehr – u.a. starke Kundenauthentifizierung, Transaktionsüberwachung, Umgang mit sensiblen Zahlungsdaten, MaSI 2.0
- Meldung und Streitbeilegung
- Governance – Risikomanagement im Zahlungsverkehr, Rolle IT-Security, IKS im Zahlungsverkehr
- Fraud Reporting
- Outsourcing im Zahlungsverkehr – u.a. Prüfung von Verträgen hinsichtlich PSD2-Konformität
- Schnittstelle zu Drittdienstleistern
- übergreifende Anforderungen an Zahlungsdienstleister
- Produktlandschaft (sind alle betroffenen Produkte identifiziert?)
Die Themenfelder betreffen die Revision sowie IT-Revision. Neben Prozessoptimierungen (speziell für die Umsetzung des Zivilrechts) und der Erstellung von diversen Dokumentationen sind auch technische Sicherheitsmaßnahmen hinsichtlich der Funktionsfähigkeit zu überprüfen. Es gilt auch zu prüfen, inwieweit das Risikomanagement die verschärften Anforderungen an Risiken und Kontrollen im Zahlungsverkehr aufgegriffen hat. Z.B. fordert die EBA Guideline (security measures for operational and security risks) die Erstellung eines Inventars (Systeme, Key Persons und sonstige Assets) als Basis für das Risikomanagement. Eine eigene Richtline widmet die EBA auch dem Thema "Meldung von Sicherheitsvorfällen". Hier gilt es zu prüfen, ob alle relevanten Sicherheitsvorfälle erfasst und rechtzeitig gemäß den Anforderungen an die Aufsicht übermittelt und im Anschluss überwacht werden. Herausfordernd ist sicherlich auch die Prüfung der starken Kundenauthentifizierung in Verbindung mit der Transaktionsüberwachung und einer ggf. durchzuführenden Transaktionsrisikoanalyse (geregelt in der RTS). Hier sind Mechanismen zu implementieren, die den Einsatz der starken Kundenauthentifizierung von Ergebnissen der Transaktionsrisikoanalyse abhängig machen.
Sind Zahlungsprozesse ausgelagert, so müssen die bestehenden Verträge dahingehend kritisch überprüft werden, ob die neuen Anforderungen auch mit dem Dienstleister hinreichend geregelt sind. Dies kann z.B. die rechtzeitige Meldung (oder Mitmeldung) betreffen, kann aber auch bedeuten, dass im Ergebnis festgestellt wird, dass erforderliche Services hinzu gebucht oder angepasst werden müssen (im Verhältnis Zahlungsdienstleister und Zahlungsabwicklungsanbieter).
Einer Prüfung sollte auch das „PSD2-Scoping“ unterzogen werden. Abhängig von den angebotenen Zahlungsdienstleistungen enthält die PSD2 Ausnahmen, sodass die Anforderungen auf bestimmte Zahlungsdienstleistungen keine Anwendung finden. Hierbei kann der Fall eintreten, dass je nach Komplexität des Instituts bestimmte Produkte falsch eingestuft oder versehentlich vergessen wurden.
In komplexen Unternehmensstrukturen können zudem laufende Zahlungsdiensteprojekte, neue Fintechs etc. eine Rolle spielen. Interessant aus Revisionssicht ist sicherlich die Überprüfung, ob diese Projekte und Fintechs PSD2-konform agieren. Gerade Fintechs haben den Fokus auf der Kerndienstleistung (was für ein Startup natürlich ist). Da bleibt wenig Zeit, sich z.B. mit „lästigen“ Anforderungen an Governance zu beschäftigen.
Vorbereitung auf die Prüfung und Wissensaufbau
Das Selbststudium ist aufwendig, jedoch möglich. Empfehlenswert sind hierbei kommentierte (EG-) BGB-Synopsen und ZAG-Werke, in denen die Änderungen markiert sind. Darüber hinaus sollte in den Browserfavoriten die Seite der EBA zu PSD2 abgelegt werden. Gegen die darin aufgeführten Dokumente kann geprüft werden (auf den Status der Dokumente ist dabei zu achten). Auf der BaFin-Seite sind ebenfalls viele wertvolle Information zu finden. Unternehmen, die an BdB/vbo-Fachtagungen teilgenommen haben, können auf eine umfangreiche Sammlung an Informationen zugreifen.
Für Prüferinnen und Prüfer, die darüber hinaus ein Seminar besuchen möchten, empfehlen wir die Veranstaltung "PSD 2 - Prüfungsleitfaden für die Interne Revision und rechtliche Rahmenbedingungen" der compliance-net-akademie, bei der die Teilnehmer u.a. einen Prüfungsleitfaden erhalten.
AKTUALISIERUNG: Weitere Veranstaltungen sind in der Planung. Die compliance-net akademie führt auch Inhouse-Veranstaltungen durch. Bei Interesse oder wenn Sie weitere Informationenen (z.B. Prüfprogramme) wünschen, schreiben Sie gerne eine Nachricht an info@compliance-net-akademie.de